Blokada administratora
Witam, to mój debiut na tym forum.
Mam nastoletniego syna z dużą wada wzroku oraz ogniskiem padaczkowym. Od dłuższego czasu szukam możliwości ograniczenia korzystania przez niego z komputera. Testowałem kilka programów ułatwiających wprowadzenie takich ograniczeń (czasowych). Główny problem nadal jednak jest nierozwiązany....
Chcę uniemożliwić dodawanie przez użytkownika na prawach admina dodanie nowego konta w WinXP.
Musi to być możliwe także w trybie awaryjnym. Eksperymentuję od dłuższego czasu - przedstawiam listę problemów które napotkałem i proszę o pomoc.
1. Zakładam hasło na ustawienia BIOS - w celu uniemożliwienia resetu obudowę zamykam kłódeczką. Problem #1 - jak uniemożliwić zmianę kolejności bootowania klawiszem skrótu F12 (F11)? Syn potrafi zbootować system np. z płytki lub innego urządzenia - stąd problem.
2. Zbootowanie z płytki lub uruchomienie systemu w trybie awaryjnym skutkuje możliwością manipulowania kontami użytkowników. Muszę uniemożliwić zmianę kolejności bootowania (o tym jest punkt 1). Ponadto muszę znaleźć sposób ukrócenia poczynań osoby która uruchomiła tryb awaryjny. Mój obecny wybór to zakup i użycie programu Folder Lock --- bo podobno jego pełna wersja działa także w trybie awaryjnym. Problem #2 - czy to prawda?
3. Za pomocą Folder Lock chcę uniemożliwić dostęp do plików (lub je zaszyfrować) umożliwiających wykonywanie pewnych operacji lub uruchamiających polecenia - jeśli Folder Lock działa także w trybie awaryjnym powinno to być skuteczne. Udało mi się w ten sposób (za pomocą Folder Lock) uniemożliwić otwieranie Microsoft Management Console (MMC) i co za tym idzie wszystkich plików .msc. Problem #3 - czy zablokowane w ten sposób pliki można skopiować z innego komputera i czy w ten banalny sposób można blokadę ominąć, tzn. czy będzie można uruchomić MMC skopiowane z innego kompa np. za pomocą pendrive'a?
4. Chciałbym zablokować (nie ukryć) :
- konsolę microsoft - mmc.exe
- czas systemowy ---- timedate.cpl
- konta użytkowników w panelu sterowania --- nusrmgr.cpl
- edycję rejestru --- regedit
- wiersz poleceń --- ?????
Problem #4 - czy wyspecyfikowane pliki są właściwe? Jaki plik odpowiada za uruchamianie wiersza poleceń?
Problem #5 - czy lista plików jest kompletna czy też w celu zablokowania opisanych funkcji muszę zablokować jeszcze jakieś pliki?
Problem #6 - blokada MMC skutkuje brakiem możliwości uruchamiania plików .msc , jak za jednym zamachem zablokować dostęp do plików .cpl?
PROBLEM GENERALNY - czy w ogóle moje działania idą w słusznym kierunku, czyli czy koncepcja jest dobra?
------------------------------------------------------------------------------------------------------------------------------
Pozdrawiam,
dejmag
Odpowiedzi: 16
Znalazłem rozwiązanie programowe odpowiednie dla 12 i 17 latka.
Ostatnia bolączka - jak wyłączyć możliwość jednorazowego dostępu do menu bootowania "boot menu" poprzez klawisze skrótu F11 / F12?
ZABIERZ KOMPUTER DZIECIAKOWI I KUP MU KSIĄŻKI
Można pójść w kierunku rozwiązań czysto sprzętowych. Są karty uniemożliwiajace zapis w konkretnych katalogach lub nawet pojedyńczych plików - skuteczne na tyle na ile zabezpieczenie mechaniczne obudowy, ewentualnie urządzenia szyfrujące dane w locie - wpinane pomiędzy kontroler i dysk. W tym wypadku nawet dostęp do środka komputera nic nie da. Dane są po prostu zaszyfrowane i bez specjalnego klucza-tokena nie widać nawet struktury logicznej dysku. Wymaga to jednak całkowitej reinstalacji systemu.
Może i jestem tu pierwszy raz w życiu ale ja zawsze robiłem tak.
Start>>Uruchom>>syskey
Kliknij Aktualizuj i weź uruchamianie z hasłem.
Wpisz hasła i zatwierdź.
Plus jest taki że bez hasła nie da się zalogować do systemu na którekolwiek z kont.
Minusem że istnieje narzędzie mogące obejść dane zabezpieczenie.
Możesz oczywiście użyć opcji z dyskietką ale polecam nagrać ją potem na CD.
Ja swoją rozwaliłem przypadkiem. :mryellow:
Krążycie wokół rozwiązania problemu, a nie wiecie jak jesteście blisko. Padło hasło wyłączania czasowego. W kontekście Twojej wiedzy inżynierskiej [w domyśle elektrycznej] proponuję zastosowanie wyłącznika czasowego o rozsądnych gabarytach wewnątrz obudowy komputera!!! - przy zachowaniu blokady mechanicznej. Można znaleźć stosowne schematy w Necie lub czaspisamach branżowych z dziedziny elektroniki użytkowej. Są też rozwiązania gotowe np. [url=http://www.sklep.ecp.info.pl/go/_info/?id=558]TO[/url] w połączeniu ze starym telefonem GSM pozwoli Ci zdalnie przez SMS załączenie maszyny na prośbę syna w dowolnym czasie i wyłączenie jej takoż samo, jak też zaprogramowanie powyższego automatycznie. Kwestię działania na polu software'u odłożyłbym ad acta ze względu na sprzeczne warunki jakie tu narzuciłeś.
Swego czasu znalazłem program o nazwie EXE Password. Program ten nakłada hasło na pliki *.exe, Ingerując w strukture samego pliku. Wiec jaki by nie był tryb pracy Xp hasło jest.Przynajmniej pliki exe bedziesz mieć załatwione. Jak coś to moge podesłać programik na maila wersja jest portable :)
A tak myśle może spróbować wyłączyć w biosie wykrywanie dysku CD [opcja None] .Windows i tak bedzie widzial CD ale może w boot menu nie bedzie opcji staru z CD
A tak swoją drogą - Sytuacja nie do pozazdroszczenia :neutral:
Nakładasz hasło na BIOS (Supervisor Password), a prawie na pewno możesz zmienić poziom zabezpieczeń z BIOS na SYSTEM (User Password) i wtedy komputer będzie pytał o hasło przy każdym włączeniu komputera a nie tylko przy próbie wejścia do BIOSu. Niestety na starych płytach ("wczesne" P2) można użyć standardowego hasła AWARD_SW lub 589589 do obejścia hasła.
Szczerze mówiąc nie widzę sprzeczności.
Odcinanie dostępu z zewnątrz (HDD,FDD,USB) ma dla mnie znaczenie przy bootowaniu - i to chcę zrobić, muszę tylko przeskoczyć skrót BIOS (klawisz F11 nie F12 jak pisałem wcześniej).
ŻÓŁTY
Płyta to MSI K8N Neo (troszkę leciwa) --- w opcjach BIOS jest funkcja "Boot from other device" którą mam i miałem wyłączoną. Pomimo kilkunastu prób różnych kombinacji innych ustawień komp zachowuje się - co mnie też dziwi - następująco:
po uruchomieniu można wcisnąć TAB lub DEL, del - wiadomo, tab - wchodzimy do POST czyli krótkiego testu, na dole ekranu pojawia się info "F11 - enter Boot Menu" i ZAWSZE mogę z niej skorzystać, bez względu na kombinowanie w BIOS (zawsze mogę też oczywiście skorzystać z przycisku TAB, który to wszystko inicjuje).
Ustawiam, na potrzeby tylko tego jednego bootowania - urządzonko bootujące i po obiedzie.....
BIOS jest updatowany na bieżąco (ostatnio chyba miesiąc temu).
Dla ścisłości dodam - w/w płyta jest u drugiego syna , 11 -latka, ale identycznymi blokadami muszę objąć obydwa kompy, inaczej starszy idzie do młodszego (gdyby pozbawić go własnego kompa) i czasem dochodzi do hałaśliwych sprzeczek (żona mi opowiada) albo rękoczynów (jak żony nie ma - wychodzi na jaw przy okazji).
Czy możecie udzielić wskazówek co do plików o które mi chodzi?
Oddzielne bezpieczniki - brałem pod uwagę, do tego trzeba mieć wydzielony obwód gniazd wtykowych w pokoju, a drugi na oświetleniu (bo mozna podpiąć tzw. złodziejkę) --- takie rzeczy są mozliwe w jednorodzinnym domu albo nowym mieszkaniu, a w starych gomułkowskich blokach (jak u mnie z lat 60-tych) --- po wypruciu starych przewodów ze ścian i położeniu nowych. W moim mieszkaniu gniazdka robione są "w przelocie " między jednym pokojem a drugim na jednym kablu. Nie chcę robić demolki z kablami w 3 pokojach i korytarzu (do tego się taki pomysł sprowadza).
Moim zdaniem (i proszę skorygujcie mnie tam gdzie się mylę) osiagnę cel jeżeli :
1.
narzucę bootowanie tylko z HDD i zablokuję możliwość zmiany urządzenia bootującego (na CD, przenośny dysk USB) - nie można będzie zainstalować (bo skąd) drugiego winxp ani go uruchomić (tylko jeden winxp moze być uruchomiony w tym samym czasie). Nie zajmujmy się innymi systemami.
2.
pozakładam tylko mnie znane hasła na konkretnych plikach - inny admin nic z nimi nie zrobi. Tyle, że :
- program ustawiający hasła do plików chronionych oraz same pliki chronione muszą być nieusuwalne bez podania hasła dostępu do programu - także w trybie awaryjnym.
- w ten sam sposób trzeba "unieszkodliwić" plik odpowiedzialny za uruchamianie systemu w trybie awaryjnym.
Gdzie w tym schemacie działania jest błąd?
Pomóżcie ustalić pliki odpowiedzialne tzn. te do zaszyfrowania / zahasłowania.
Pomóżcie wybrać program do zakładania haseł na plikach - taki którego nie można usunać w trybie awaryjnym.
Poeksperymentuję.
Dotychczas ustaliłem sobie taką listę :
mmc.exe , timedate.cpl , nusrmgr.cpl, taskmgr.exe, appwiz.cpl, regedt32.exe, regedit, cmd.exe
Brak mi pliku odpowiedzialnego za tryb awaryjny oraz pliku odpowiedzialnego za urucamianie komendy "uruchom" w menu "start"
Zastanawiam się również czy przeniesienie (np. na pendrive) w/w plików z innego komputera spowoduje przywrócenie funkcji które zablokuję - jak wiecie napiszcie, zaoszczedzicie mi czasu na eksperymenty.
Z poziomu komputera nic nie zrobisz bo WSZYSTKO MOŻNA OMINĄĆ!!! Wiem to z doświadczenia :D
Najlepszy i najłatwiejszy sposób to taki jaki zrobił mój ojciec paręnaście lat temu - Tata jest Elektrykiem i zamontował oddzielne bezpieczniki + czasowy zwalniacz na mój pokój i jak za długo siedziałem - po prostu wyłączało się zasilanie :-)) Działa w 100% :-)) Co lepsze ustawiasz o której ma się pojawiać zasilanie i o której ma się wyłączać!! (Coś takiego jest w latarniach) Oczywiście wiedząc że Twój syn podobnie jak ja będzie chciał się do tego dostać - zamontuj kłódkę aby nie miał bezpośredniego dostępu do bezpiecznika i zegara.
I po problemie - co do sekundy będziesz mógł ograniczyć czas przebywania przy komputerze.
Pozdrówka
TaKeN
Btw. Szkoda mi Ciebie, jeśli chłopak ma 17 lat i już tak odwala.... ja bym mu w ogóle zabrał komputer bo to do dobrego nie prowadzi tym bardziej jak sam wspomniałeś że ma problemy z zdrowiem!! To zamiast "walczyć z Nim" kto lepiej zna się na komputerach po prostu zabierz go i dawaj mu laptopa jak tego potrzebuje.
dejmag,
Owszem, można zablokować F8 itp. rzeczy. Problem w tym, że administrator może to odblokować, a możliwość uruchomienia komputera z CD praktycznie przekreśla wszelkie próby ograniczeń - możesz szyfrować (tu nawet administrator nie poradzi bez właściwego hasła), ograniczać itd. itp., ale nie zablokujesz możliwości uruchomienia linux-a czy wręcz zainstalowania drugiego systemu (i to tak, że nawet nie będziesz o tym wiedział!). IMO - w sposób programowy nie dasz rady tego "załatwić". Natomiast proponowane przeze mnie rozwiązanie załatwi sprawę definitywnie (o ile kumple Twojego syna nie potrafią posługiwać się wytrychem lub czymś podobnym), a UPS i możliwośc normalnego wyłączania komputera rozwiąże też sprawę zrywania połączeń emula. Możesz też odcinać zasilanie od samego monitora - komputer będzie sobie chodził i wykonywał swoje zadania.
Pozdrawiam
kierofca
Panowie, rozwiązania problemu szukam już od roku. 17-latek przesiadujący w sieci i jego kumple kontra stary piszący po nocach i nie mający aż tak dużo czasu (dlatego trwa to już rok). Wszystko co do tej pory wyczytałem i stosowałem było omijane.
Konta z restrykcjami - może i owszem, ale chyba dla kogoś kto administruje kompami w firmie. Tam ograniczane są akcje a nie czas. U mnie jest odwrotnie. Mój użytkownik (syn) ma admina bo np. instaluje, usuwa, testuje programy i robi mnóstwo innych rzeczy których nie mam zamiaru mu zabraniać, niech się rozwija. Ograniczyć chcę czas.
BIOS - ma ustawione hasło supervisora, jednak skrót F12 umożliwia wejście do boot menu i zmianę kolejności bootowania na potrzeby aktualnego procesu uruchamiania systemu.
Podejście techniczne - też w desperacji miałem takie pomysły #-o Ostatnim był czytnik linii papilarnych (mam taki w laptopie), poprzednio stacyjka samochodowa zamiast przycisku uruchamiania -- oba pomysły w połączeniu z odcinaniem zasilania (kłódeczkę na obudowie mam od dawna). Pomysły inżynierskie (zrobiłbym, jestem inż.) biorą w łeb gdy podnosi się krzyk o wywalanie z kolejek emula.
Testowałem ukrywanie plików w Folder Lock (by później ukryć znalezione pliki systemowe) - działało do czasu.
Pomimo zapewnień autorów (a wykupiłem licencję...) w trybie awaryjnym usunąłem cały katalog Folder Lock .... i po obiedzie. Napisałem maila do autorów....
Przeczytałem handbook Steady State - chyba jednak troszkę za cienkie, poza tym w trybie awaryjnym zupełnie bezbronne.
Mam kolejne ważne pytanie - jeden z testowanych przeze mnie programów rodzicielskich oferuje dwie opcje, które są ustawiane dla wszystkich userów (jeszcze nie testowałem ich działania, poza tym w wersji demo nie wszystko działa):
- wyłączanie trybu awaryjnego (F8)
- uniemożliwianie przywracania systemy (windows restore)
Skoro jest to możliwe, a niemiecki programik to tylko nakładka to jak samemu (chałupniczo) uniemożliwić uruchamianie trybu awaryjnego? (i ew. przywracania systemu)?
-
[quote=dejmag]Mój użytkownik (syn) ma admina bo np. instaluje, usuwa, testuje programy i robi mnóstwo innych rzeczy których nie mam zamiaru mu zabraniać, niech się rozwija. Ograniczyć chcę czas. [/quote] [quote=Żółty]Kolejna rzecz - hasła na plikach. Co to za problem dla administratora wyekspandować sobie z płytki exeka [/quote] [quote=dejmag]1. narzucę bootowanie tylko z HDD i zablokuję możliwość zmiany urządzenia bootującego (na CD, przenośny dysk USB) - nie można będzie zainstalować (bo skąd) drugiego winxp ani go uruchomić (tylko jeden winxp moze być uruchomiony w tym samym czasie). Nie zajmujmy się innymi systemami. 2. pozakładam tylko mnie znane hasła na konkretnych plikach - inny admin nic z nimi nie zrobi. Tyle, że : - program ustawiający hasła do plików chronionych oraz same pliki chronione muszą być nieusuwalne bez podania hasła dostępu do programu - także w trybie awaryjnym. - w ten sam sposób trzeba "unieszkodliwić" plik odpowiedzialny za uruchamianie systemu w trybie awaryjnym. [/quote] Żeby to osiągnąć musiałbyś całkowicie zablokować dostęp danych z zewnątrz (czytaj: odciąć cd, odciąć fdd, odciąć usb, odciąć sieć, odciąć internet - a tego przecież nie chcesz. IMO - założenia są sprzeczne - brak rozwiązania programowego. Wszystkie stosowane zabezpieczenia można ominąć - dla laika mogą być nie do przejścia, tak jak laikowi trudno jest rozbroić alarm w samochodzie czy otworzyć zamek wytrychem. :(( kierofca
dejmag - menu bootowania podczas startu - sprawdź czy w biosie nie da sie wyłączyć tego menu.
Kolejna rzecz - hasła na plikach. Co to za problem dla administratora wyekspandować sobie z płytki exeka ?? Konto ograniczone + restrykcje Cię ratują IMO.
-
[quote=Żółty] Konto ograniczone + restrykcje Cię ratują IMO.[/quote] Ten sposób rozwiązuje problem dejmaga tylko częsciowo - pozostaje możliwość uruchomienia systemu z płytki czy dyskietki, a potem już można robić właściwie wszystko (u mnie nie ma opcji wyłączenia menu bootowania). Ja proponowałbym odejście od podejścia informatycznego i zastosowanie metod inżyniersko-technicznych (vide zamykanie obudowy na kłódkę). Można np. zamknąć komputer w obudowie, w której będzie zegar odcinający zasilanie w określonych godzinach. Dodanie do tego UPS-a zapobiegnie ewentualnej utracie danych na skutek odcięcia zasilania... Pozdrawiam kierofca
MArhio2000,
Pomimo hasła BIOS przy uruchomieniu kompa można poprzez F12 wejść w "boot menu" i na potrzeby tego jednego uruchomienia zmienić kolejność bootowania --- chcę tę możliwość zablokować. Możliowść bootowania z CD stwarza możliwość zmian na kontach użytkowników - można zalogować się na prawach admina (np. za pomocą tzw. DreamPackCD). Z tego powodu zakładanie nowych kont i nowych haseł nie ma sensu.
Problem dotyczy sytuacji, gdy na kompie pozostają konta wbudowane (administrator i gość) oraz 1 konto administratora (syn), adminem wbudowanym jestem ja.
Tak więc jeden z adminów musi zablokować wszystkim innym (także adminom, w tym samemu sobie) mozliwość manipulowania przy kontach użytkowników, przy czasie systemowym, przy rejestrze itp. --- oczywiście w taki sposób aby właśnie ten admin (czyli ja) miał możliwość zdjęcia blokad. Admin blokuje adminów.
Żółty,
Tak, konto z uprawnieniami admina radzi sobie z większością blokad --- to jest ten problem. Chcę go rozwiązać blokując wszystkim użytkownikom (także adminom) dostęp do konkretnych plików --- najchętniej pozakładałbym na nie hasła (znane tylko jednemu adminowi, czyli mnie) lub zaszyfrował. Folder Lock potrafi uniemożliwić adminowi doostep do plików, blokadę można zdjąć po uruchomieniu programu FolderLock, ale do tego potrzebna jest znakomośc hasła (które ja ustalam). Folder Lock szyfruje z siła 256-bit i podobno działa też w trybie awaryjnym.
Stąd problemy - muszę zablokowac konkretne pliki i to wszystkie, które umożliwią dodanie nowego użytkownika oraz uniemożliwić zmianę kolejnosci bootowania. Czy to niewłaściwa ścieżka?
Programy zarządzające opcjami winXP działają jak nakładki - te które znam można usunąć z poziomu admina (a mam tylko adminów) --- sprawdzę SteadyState, jednakże :
Spróbujcie mi pomóc Panowie w problemach #1-#6.
IMO coś błedny kierunek. Konto z uprawnieniami administracyjnymi powinno sobie poradzic z większością blokad.
Może w tą - [url]http://infojama.pl/3697,aktualnosc.aspx[/url] stronę pójść należy ...
Chociaż jestem laikiem, Twoje pytania są dla mnie jak czarna magia. Mam inny pomysł, przynajmniej ja bym tak zrobił...
Po prostu przeinstaluj system, załóż nowe konto, załóż do niego hasło i po kłopocie.. Do biosa przecież tez możesz wprowadzić hasło... Po prostu porób wszystko od początku i po zakładaj hasła. Zeby zbootowac z plytki, najpierw musialby przestawic na booa z cd a jak zalozysz haslo do biosa nie bedzie mial takiej mozliwosci...
Strona 1 / 1
[quote=dejmag] Ostatnia bolączka - jak wyłączyć możliwość jednorazowego dostępu do menu bootowania "boot menu" poprzez klawisze skrótu F11 / F12?[/quote] Tak jak juz pisałem wczesniej wyłączyć w biosie wykrywanie dysku CD [opcja None] .Windows i tak bedzie widzial CD ale w boot menu nie bedzie opcji startu z CD. Właśnie to sprawdziłem i jest tak jak napisałem przynajmniej u mnie. A i oczywiście hasełko na biosa :lol: