Защита общедоступных компьютеров с помощью Windows SteadyState, часть 2

Если вы пропустили первую часть этой серии статей, прочтите Защита общедоступных компьютеров с помощью Windows SteadyState, часть 1.

серии статей на информационный бюллетень WindowSecurity.com, посвященный обновлению статей в режиме реального времени

Первая часть этой серии была кратким введением в Windows SteadyState (WSS). В этой части мы увидим, как легко попасть в игру.

В следующей и последней статье этой серии вы познакомитесь с версией 2.5 этого замечательного инструментария — первой версией, поддерживающей Windows Vista.

Перед установкой WSS

Перед установкой Windows SteadyState необходимо удалить предыдущие версии Microsoft Shared Computer Toolkit и более ранние версии Windows SteadyState (актуально только при установке версии 2.5, которая в настоящее время находится в бета-версии).

В моем мире вы хотите начать с нуля с абсолютно чистой установкой Windows XP, последним уровнем пакета обновления, последними драйверами и всеми необходимыми обновлениями (с веб-сайта Центра обновления Windows). Вы можете использовать существующую установку Windows XP, удалить ненужные программные приложения, профили пользователей, временные файлы и т. д., но вместо того, чтобы очищать старую систему, я бы рекомендовал начать все сначала (тогда вы не пропустите ни одной существующей дыры в безопасности и т. д.). Для начала виртуальная машина с Windows XP вполне подойдет для «демонстрационных» или тестовых целей.

Несмотря на то, что Windows SteadyState обеспечивает надежную защиту от изменений, вам все же следует установить поддерживаемое программное обеспечение для защиты от вредоносных программ и обновить определения. Также не забудьте установить несколько надежных паролей для учетных записей локального администратора.

Я бы порекомендовал установить любые приложения, функции, службы и т. д., которые должны быть доступны пользователям, до установки WSS или, по крайней мере, до «блокировки» с помощью Windows Disk Protection (WDP).

В последнюю очередь перед установкой WSS (и включением WDP) обязательно выполните дефрагментацию системных дисков для оптимизации производительности. Просто помните, что только когда WDP наконец включен (см. далее в этой статье), вы можете считать систему «замороженной и защищенной».

Первые шаги

Теперь вы должны быть готовы установить загруженный установочный пакет. Сначала примите условия лицензии, если они кажутся вам приемлемыми — затем лицензия Windows проверяется с помощью Windows Genuine Advantage (WGA) — а затем начинается установка (дальнейших вопросов нет!), она займет несколько минут. Нажмите Готово, когда будете готовы.

На рабочем столе и в меню «Все программы» теперь должен быть доступен новый ярлык программы «Windows SteadyState». При первом запуске автоматически запускается очень подробный справочный справочник (см. рис. 1), а также основные окна WSS (см. рис. 2).

Фигура 1:
WSS: справка по началу работы

Я рекомендую вам прочитать этот файл справки и руководство по WSS, доступное здесь.

На экране «Глобальные настройки компьютера» (рис. 2) представлены 3 основных параметра, которые мы рассмотрим в этой статье:

1. Установить ограничения для компьютера
2. Расписание обновлений программного обеспечения
3. Защитите жесткий диск

Помимо этого, в левом меню у вас есть доступ к ресурсам WSS, а в правом меню учетными записями пользователей можно управлять, экспортировать и импортировать. Настройка свойств и ограничений пользователя также будет рассмотрена далее в этой статье.

Фигура 2:
WSS: глобальные настройки компьютера

Прежде всего — давайте установим ограничения для компьютеров. Как следует из названия, это параметры политики для всего компьютера (можно сказать, HKLM), которые «задействуют» всех пользователей, входящих в систему. Я не буду описывать здесь все доступные настройки, но, как вы можете видеть на рис. 3, они связаны с диалоговым окном «Вход в Windows», экраном приветствия, перемещаемыми профилями, паролями, созданием файлов/папок, USB-накопителями, и т.п.

Рисунок 3:
WSS: установить ограничения для компьютера

В главном окне WSS выберите параметр «Запланировать обновления программного обеспечения». Это одна из действительно крутых функций WSS — возможность «заморозить» систему, но при этом получать последние обновления (ОС, AV и т. д.) и сохранять их. Если вы когда-либо пытались использовать аппаратные контроллеры для блокировки состояния оборудования, вы, вероятно, знаете, что поддерживать компьютеры в актуальном состоянии — это проблема. С WSS это становится автоматизированной задачей!

На рис. 4 показано диалоговое окно Schedule Software Updates — здесь вы можете запланировать обновления через определенные промежутки времени, разрешить «обновление программ безопасности» (AV/Anti-Malware и т. д.) или даже выполнить собственный сценарий загрузки для обновления (защиты) программного обеспечения, которое не поддерживается и определяется WSS по умолчанию.

Подробнее о запланированных обновлениях программного обеспечения далее в этой статье (см. отдельный раздел WDP).

Рисунок 4:
WSS: расписание обновлений программного обеспечения

В главном окне WSS выберите пункт «Защитить жесткий диск». Вот где волшебство — крутая и очень полезная функция под названием: Защита диска Windows, или просто WDP. Как вы, вероятно, видите на скриншоте ниже (рис. 5), по умолчанию WDP выключен. Как упоминалось ранее, перед включением WDP необходимо выполнить несколько основных действий, поэтому вы можете подождать на этом этапе и вернуться, чтобы включить его позже.

Обратите внимание, что здесь у вас есть несколько различных вариантов, но быстрый совет — использовать параметр «Удалить все изменения при перезапуске», так как это подойдет большинству администраторов киосков по всему миру. Это действительно не оказывает сильного влияния на производительность, а файл кеша (куда попадают все изменения) «очищается» в течение нескольких секунд во время запуска — подробнее об этом позже.

Рисунок 5:
WSS: Защитите жесткий диск

Флажок «Не предупреждать администратора о потере изменений перед выходом из системы, перезапуском или завершением работы» относится к следующему диалоговому окну (см. рис. 6), которое отображается по умолчанию с 30-секундным обратным отсчетом/тайм-аутом, где администратору напоминается, что WDP в настоящее время включен. Таким образом, WDP применяется ко всем пользователям — администраторам и не администраторам — я бы сказал, очень эффективно! Подробнее о WDP далее в этой статье.

Рисунок 6:
WSS: предупреждение WDP для администраторов

К этому моменту были рассмотрены 3 глобальных параметра компьютера для WSS, поэтому теперь пришло время рассмотреть создание пользователей и установку ограничений и ограничений для конкретных пользователей.

Пользователи следующие

Все администраторы это знают, нравится нам это или нет, пользователи нужны для того, чтобы вся наша тяжелая работа имела хоть какой-то смысл. Итак, давайте нажмем «Добавить нового пользователя» в главном окне WSS. На рис. 7 показан этот очень интуитивно понятный и простой диалог, который нам представили. Выберите имя пользователя, пароль (при необходимости), выберите местоположение пользователя и, наконец, изображение профиля. Нажмите OK, когда закончите.

Рисунок 7:
WSS: добавить нового пользователя

Вот тут-то и начинается настоящее веселье, теперь пора более детально настроить пользовательские настройки. Другими словами: настало время самоизоляции! Вы можете сделать большую часть этого с помощью комбинации локальной групповой политики (но помните, что до Vista локальная политика применялась ко всем пользователям, включая администраторов), безопасности NTFS, обязательных профилей, родительского контроля (только Vista) и т. д. Однако WSS позволяет чрезвычайно просто — здесь не нужно администратору, спасибо.

Вкладка «Общие» в настройках пользователя (см. рис. 8) дает нам возможность «заблокировать» профиль — это похоже на создание обязательного профиля (переименование User.Dat в User.Man). Также здесь настраиваются таймеры сеансов, включая возможность перезагрузки компьютера после выхода из системы, что (в зависимости от настроек WDP) сбрасывает систему обратно в «чистое» состояние.

Рисунок 8:
Пользовательские настройки WSS: вкладка «Общие»

Вкладка «Ограничения Windows» в настройках пользователя (см. рис. 9) дает нам возможность выбрать один из 4 настроенных по умолчанию уровней ограничений Windows: «Высокий», «Средний», «Низкий», «Без ограничений» или выбрать собственный набор ограничений Windows. Я не могу охватить в этой статье все возможные ограничения Windows, но чтобы дать вам представление, это позволяет вам скрывать диски, удалять объекты в меню «Пуск», запрещать все, от автозапуска до принтеров, отключать системные инструменты и т. д.

Рисунок 9:
Пользовательские настройки WSS: вкладка «Ограничения Windows»

На вкладке «Ограничения функций» в настройках пользователя (см. рис. 10) можно выбрать один из 4 настроенных по умолчанию уровней ограничения функций: «Высокий», «Средний», «Низкий», «Без ограничений» или выбрать собственный набор ограничений функций. Я также не могу описать в этой статье все возможные ограничения функций, но чтобы дать вам представление, это позволяет вам ограничивать Internet Explorer и некоторые параметры Microsoft Office.

Одним из очень полезных ограничений Internet Explorer является возможность «Запретить доступ в Интернет (кроме указанных ниже веб-сайтов)». В поле «Разрешенные веб-адреса» просто введите любые веб-сайты, которые вы хотите разрешить (без префиксов протоколов, таких как http:// или https://), и разделите их точкой с запятой. Так много людей просили о такой возможности на протяжении многих лет, и мы придумали несколько обходных путей, чтобы заставить ее работать, но теперь она есть, прямо «из коробки».

Рисунок 10:
Пользовательские настройки WSS: вкладка «Ограничения функций»

Вкладка «Блокировать программы» в настройках пользователя (см. рис. 11) дает нам возможность блокировать определенные исполняемые файлы. Список локальных исполняемых файлов автоматически генерируется WSS, но вы можете добавить определенные файлы вручную. Эта функция блокировки работает подобно политикам ограниченного использования программ (SRP) за счет использования хеширования. Дополнительные сведения о SRP см. в следующих двух статьях: «Запретить все приложения по умолчанию, часть 1» и «Запретить все приложения по умолчанию, часть 2».

Рисунок 11:
Пользовательские настройки WSS: вкладка «Блокировать программы»

Процедура проста – достаточно выбрать программный файл, который необходимо заблокировать, и нажать «Блокировать» (или заблокировать все найденные программы, нажав «Блокировать все». Если пользователь попытается открыть заблокированные программы, он/она получит сообщение об ошибке, так же, как с SRP.

Защита диска Windows (WDP)

WDP — это классная технология, которая кэширует изменения, внесенные в любые файлы в системном разделе Windows. Кэш — это физический файл (C:Cache.WDP), который по умолчанию будет занимать 50% вашего системного раздела (или до 40 ГБ максимум), но его можно уменьшить до минимума 2 ГБ, щелкнув «Изменить размер файла кеша» в окне «Защитить жесткий диск». Кэш очищается через определенные промежутки времени — моя рекомендация — при каждом перезапуске (в процессе загрузки). Настройка размера файла кеша может потребовать больше перезагрузок.

По сравнению с восстановлением системы Windows (WSR) это намного эффективнее, поскольку WSR отслеживает только изменения основного набора системных и программных файлов (например, важных файлов реестра). Но вдобавок к этому WSS с включенным WDP даже восстановит состояние личных профилей и данных пользователей (например, рабочий стол, избранное, история, документы и т. д.). Это делается автоматически без вмешательства пользователя или администратора!

Важно понимать, как работает Schedule Software Updates при включенном WDP. По сути, это процедура обновления в двух словах:

1. Активные пользователи выходят из системы, когда наступает запланированное время обновления.
2. Компьютер перезагружается, чтобы все изменения на диске были очищены.
3. Общие учетные записи пользователей отключены, чтобы предотвратить несанкционированные изменения диска.
4. WDP: «Сохранить все изменения навсегда» включается автоматически, чтобы убедиться, что изменения сохранены.
5. Обновления скачиваются и устанавливаются (выполняются ручные скрипты).
6. Компьютер перезагружается.
7. WDP снова установлен на «Удалить все изменения при перезапуске».

Обладая некоторыми навыками написания сценариев, вы можете убедиться, что ваша система красива и чиста, и в то же время автоматически обновляется. В этом основное отличие WDP от решений аппаратной защиты.

Несколько ответов на вопросы

Вот несколько вопросов, которые я получил после выхода последней статьи из этой серии:
Поддерживает ли WSS WSUS?
Да, WDP будет загружать и устанавливать обновления из Центра обновления Майкрософт, Центра обновления Windows или служб обновления Windows Server (WSUS) — в зависимости от настроек клиента.

Поддерживает ли WSS членство в домене?
Да, машина WSS может быть членом домена Active Directory.

Поддерживает ли WSS использование SYSPREP?
Да, только не забудьте сначала отключить WDP и разблокировать всех заблокированных пользователей.

Поддерживает ли WSS Windows Vista?
Нет, во всяком случае, не в этот момент. Но общедоступная бета-версия (версия WSS 2.5) доступна бесплатно от Microsoft прямо здесь — также получите новое руководство здесь.

Если я установил пользовательские ограничения, лимиты, заблокированные программы и т. д. и хочу использовать точно такие же настройки на другом компьютере WSS, как мне это сделать — вручную?
Нет, просто используйте функцию «Экспорт» в главном окне WSS, сохраните файл.SSU (см. рис. 12), скопируйте файл на другой компьютер и используйте там функцию «Импорт» — и все готово!

Рисунок 12:
WSS: успешно экспортированы пользовательские настройки в файл

Могу ли я управлять WSS с помощью групповых политик в моем домене Active Directory?
Да, файл ADM (SCTSettings.adm) является частью набора инструментов WSS, см. ниже « ». настройки ВСС.

Вывод

Windows SteadyState — это классный набор инструментов, предлагающий отличный контроль и гибкость одновременно. Он очень «удобен для администратора» с приятным графическим интерфейсом и очень тщательной справочной системой (не забудьте также ознакомиться с руководством). Я могу порекомендовать всем администраторам общедоступных машин, таких как интернет-киоски, машины с публичными библиотеками и т. д., немедленно взглянуть на этот инструмент.

Даже домашние пользователи могут воспользоваться этим инструментом, чтобы убедиться, что дети могут безопасно пользоваться семейным компьютером (компьютерами), даже без шанса «сломать» что-либо. После следующей перезагрузки вы точно знаете, что получите: стабильное состояние!

внешние ссылки

• Веб-сайт Microsoft Windows SteadyState
• Скачать Windows SteadyState
• Справочник по Windows SteadyState
• Технические вопросы и ответы по Windows SteadyState
• Файл Readme Windows SteadyState

Если вы пропустили первую часть этой серии статей, прочтите Защита общедоступных компьютеров с помощью Windows SteadyState, часть 1.

серии статей на информационный бюллетень WindowSecurity.com, посвященный обновлению статей в режиме реального времени