Повышаем безопасность Windows

По умолчанию Windows предоставляет основному пользователю права администратора, что обеспечивает чрезмерную свободу действий не только ему, но и вредоносным приложениям. CHIP расскажет, как перейти на использование более безопасной учетной записи, сохранив все накопленные программы и настройки.

Учетная запись администратора обладает расширенными правами, что может быть опасно для неопытных пользователей Настройки прав администратора, требующие коррекции, обозначены значком с изображением сине-желтого щита Независимо от того, имеете ли вы дело с только что приобретенным компьютером или просто заново установленной Windows, — в любом случае по умолчанию вам предлагается использовать учетную запись администратора. Проблема состоит в том, что она позволяет вносить критичные изменения в систему, поэтому в руках неопытных пользователей может привести к неработоспособности ОС. Кроме того, программам, запущенным администратором, делегируются расширенные права, чем активно пользуются разработчики вирусов. Конечно, впоследствии можно создать учетную запись с ограниченными правами и использовать уже ее. Но тогда окажутся недоступны некоторые установленные ранее программы, а также документы, почта и многое другое — вы сможете пользоваться и работать только с документами, созданными уже в новом профиле. Мы расскажем, как выйти из создавшегося положения без потерь, но с повышением безопасности работы.

Отбираем привилегии у администратора

Как сохранить возможность работы с привычными программами и настройками системы и при этом повысить ее защищенность? В Windows предусмотрена возможность изменить тип ранее созданной учетной записи — расширить или сократить права пользователя и таким образом превратить «простую» запись в администраторскую и наоборот. Нас интересует второй вариант. Зайдите в Центр управления учетными записями («Пуск | Панель управления | Администрирование | Управление компьютером | Локальные пользователи и группы | Пользователи»). Вы увидите окно административной консоли Windows, где можно посмотреть имеющиеся учетные записи и настроить их.

ШАГ 1. СОЗДАЕМ НОВОГО АДМИНИСТРАТОРА. При наличии всего одной учетной записи понизить ее права до уровня обычного пользователя не получится, ведь у системы обязательно должен быть администратор. Поэтому сначала необходимо создать новый профиль с административными правами. Для этого в контекстном меню выберите пункт «Новый пользователь…». В появившемся окне укажите имя и пароль, отметьте галочкой пункт «Срок действия пароля не ограничен» и нажмите кнопку «Создать». Сгенерированная учетная запись по умолчанию обладает правами обычного пользователя. Чтобы предоставить ей расширенные возможности, зайдите в меню «Свойства | Членство в группах | Добавить». В строке «Введите имя объекта» укажите «Администраторы» и нажмите кнопку «ОК». В результате ваша новая учетная запись станет принадлежать сразу к двум разным правовым группам — «Пользователи» и «Администраторы».

ШАГ 2. ПОНИЖАЕМ ПРАВА ТЕКУЩЕГО ПОЛЬЗОВАТЕЛЯ. Эта задача решается по аналогии с описанными выше действиями, но уже с урезанием прав учетной записи «старого» администратора. Для этого удалите ее из группы «Администраторы» («Свойства | Членство в группах | Администраторы | Удалить»). Чтобы изменения окончательно вступили в силу, необходимо выйти из системы или перезагрузить компьютер.

Таким образом вы сохраните все свои настройки и программы, но станете пользоваться уже ограниченными правами. Чтобы что-то поменять в системе, вам придется обращаться к учетной записи нового администратора.

Переписываем права

Учетные записи рядовых пользователей не позволяют изменять системные настройки. В Windows 7 пункты меню, для доступа к которым требуются права администратора, отмечены значком сине-желтого щита. Права, которые по умолчанию делегируются обычному пользователю, не позволяют выполнять некоторые повседневные задачи. Например, вы не сможете устанавливать драйверы устройств, а без этого даже флешку к компьютеру не подключишь.

Права можно расширить, не снижая уровень безопасности. В Windows 7 для этого предусмотрен инструментарий, позволяющий тонко настраивать полномочия различных пользовательских групп. Он доступен в разделе «Пуск | Панель управления | Администрирование | Локальная политика безопасности | Локальные политики | Назначение прав пользователя». В меню «Свойства | Добавить пользователя или группу…» можно немного расширить права обычного пользователя — к примеру, разрешить владельцам таких учетных записей подключать к компьютеру новые устройства («Загрузка и выгрузка драйверов устройств») и производить дефрагментацию разделов жесткого диска («Выполнение задач по обслуживания томов»).

Заменить учетную запись администратора можно, только создав еще одну с такими же правами
Средство контроля учетных записей

В настройках уведомлений UAC в Windows 7 можно выбрать менее надоедливый режим работы этого средства контроля Связующим звеном между правами пользователя и администратора является User Account Control (UAC). Этот компонент появился в Windows Vista и призван обезопасить систему от действий вредоносных приложений, а также ошибок пользователя. Работает данный механизм просто: при запуске программы, которая вносит какие-либо изменения в систему, например в реестр, запрашивается подтверждение действий, требующих прав администратора. Если они отсутствуют, то приложение не запускается. Из-за слишком частых запросов большинство пользователей просто отключали данный компонент. В Windows 7 в UAC появилась возможность выбора режимов работы. Он доступен через «Пуск | Панель управления | Учетные записи пользователей | Изменение параметров контроля учетных записей». Предлагается четыре режима, из которых оптимальным является «Уведомлять только при попытках программ внести изменения в компьютер (не затемнять Рабочий стол)».

Тонкая настройка

Операционная система Windows позволяет изменять ограничения операций с теми или иными файлами, папками и даже целыми разделами диска. Это может пригодиться, если требуется, например, защитить важные данные от изменения, случайного удаления, перезаписи или перемещения.

Чтобы нужным образом настроить права доступа к выбранному файлу или папке, выберите в контекстном меню пункт «Свойства». На вкладке «Безопасность» находятся две кнопки — «Изменить» и «Дополнительно». Первая из них позволяет разрешить или запретить определенным группам пользователей основные операции с файлами — чтение, запись и выполнение. Стоит учесть, что запреты имеют более высокий приоритет, чем пункты «Разрешить». Кнопка «Дополнительно» предоставляет доступ к детальным настройкам прав. Здесь можно сменить непосредственного владельца файла или папки, а также разрешить или запретить второстепенные операции с файлами: создание подпапок, запись дополнительных атрибутов и прочее.