Jak ograniczyłem dostęp do zasobów komputera?


          Wielu z nas, nauczycieli informatyki spotkało się zapewne z sytuację, w której po uruchomieniu komputera system nie chce się wczytać, mimo że wczoraj komputer do końca funkcjonował "prawidłowo". Sytuacja taka może mieć miejsce, gdy uczniowie nieświadomie przenieśli foldery na dysku C: z jednego miejsca na, lub gdy np. zmienili im nazwy. Może to doprowadzić nawet do formatowanie dysku twardego i ponownej instalacja oprogramowania. Aby tego uniknąć należy wprowadzić pewne ograniczenia. Windows 98 nie daje zbyt wielu możliwości wprowadzania zabezpieczeń i uczeń zdolny zawsze jest w stanie te ograniczenia ominąć, ale może to nie być aż tak proste i na pewno zauważymy już "ulepszanie systemu" jakiego on dokonuje. W pracowni, którą się opiekuję wykonałem to w sposób następujący.
          Należy rozpocząć od przygotowania kont. Mam założone tylko dwa konta, to mi wystarcza, ale oczywiście może być ich więcej i mieć dowolne ograniczenia. Po wywołaniu Mój komputer/Panel sterowania/Użytkownicy zostanie wyświetlonych po kolei 5 okien do których należy wprowadzać potrzebne dane.

okno pierwsze - informacyjne.  
okno drugie - wpisywanie nazw użytkowników - w moim przypadku uczniowie logują się do konta Uczeń. 
okno trzecie - wpisywanie haseł, dla ucznia wpisałem łatwe do zapamiętania hasło 111111 - wszyscy uczniowie mają takie samo, mojego oczywiście nie podam. 
czwarte okno - umożliwia przypisanie uczniowi istniejących ustawień, lub utworzenie nowych. Ja przyjąłem istniejące bowiem i tak potem wprowadziłem ograniczenia 
okno piąte to już okno końcowe, wystarczy tylko kliknąć Zakończ. Nastąpi restart komputera i logujemy się jako Uczeń podając wcześniej zadeklarowane hasło
     Teraz trzeba zainstalować program wprowadzający ograniczenia, czyli ułatwiający nam pracę w rejestrach Windows. Uruchamiałem go również bez instalowania, bezpośrednio z płyty. Przypominam, musimy być zalogowani jako Uczeń. Takim programem jest Poledit, znajdujący się na instalacyjnej płycie Windows 98 (Tools/Reskit/Netadmin). 
Instalujemy go poprzez Mój komputer/Panel sterowania/Dodaj /Usuń programy/Instalator systemu Windows). Po kliknięciu przycisku Z dysku... a następnie Przeglądaj... przechodzimy do foldera Poledit i jako nazwę pliku wybieramy Poledit.inf. Kliknięcie przycisków OK i ponownie OK wyświetli okienko jak obok . Wybrałem oba składniki. Po kliknięciu przycisku instaluj następuje zainstalowanie programu. Teraz należy już tylko pozamykać okna. 
          Po zainstalowaniu wszystkich ograniczeń będzie istniała jeszcze możliwość przejścia na dysk C: poprzez folder Moje dokumenty (skrót na Pulpicie, lub Start/Dokumenty/Moje dokumenty). O ile skrót z Pulpitu można usunąć, to mogą być kłopoty z drugą możliwością. Proponuję więc nie usuwać skrótu lecz zmienić miejsce domyślnego zapisywania plików. W tym celu prawym klawiszem myszki kliknąć należy skrót Moje dokumenty, następnie Właściwości i przycisk Przeglądaj ... W Moim komputerze otworzyć Dyskietka 3,5 (A:) i kliknąć OK. Tym samym zmieniliśmy folder docelowy. Ma to jednak również pewną wadę. Otóż w trakcie uruchamiania Windows a także w czasie pracy w tym środowisku występuje odwoływanie się do napędu A:, dobrze więc by byłą w nim dyskietka. Aby uniknąć takiego odwoływania lepiej jest umieścić folder Moje dokumenty na partycji np. D: (o ile jest) i do tego foldera przyporządkować skrót. Pozostawienie na Pulpicie skrótu do Internet Explorera daje możliwość penetracji zasobów, trzeba więc ten skrót usunąć a pozostawić skrót na pasku zadań. Proponuję również sprawdzić, jakie programy można uruchomić poprzez Start/Programy i usunąć te, które umożliwiają eksplorację zasobów komputera (np. Eksplorator Windows). 

          Przed przystąpieniem do nakładania ograniczeń zrobiłem również na Pulpicie skrót do napędu A: i napędu CD, bowiem w przyszłości będę ukrywał wszystkie napędy w folderze Mój komputer (również Dyskietka 3,5 (A:) i napęd CD-ROM ). Chcąc więc mieć dostęp do tych nośników z poziomu Pulpitu taki skrót jest nieodzowny. Należy także w Otoczeniu sieciowym - Właściwościach ustawić Logowanie na Famili Logon.

          Pracując w programach użytkowych typu Word czy Excel i zapisując wykonaną pracę programy proponują domyślnie zapisanie w folderze Mój komputer na dysku C:. Należy więc zmienić domyślne miejsce zapisywania na zaproponowane wcześniej np. w partycji D: lub na dyskietce. W przypadku Worda - Narzędzia/Opcje.../Położenie plików (Typy plików - Dokumenty), w przypadku Excela - Narzędzia/Opcje.../Ogólne.
Nakładanie ograniczeń należy rozpocząć od uruchomienia programu Poledit Start/Programy/Akcesoria/ Narzędzia systemowe/Edytor założeń systemowych) lub bezpośrednio z płyty CD. Następnie należy otworzyć rejestr - rys. obok. 
Potem należy dwukrotnie kliknąć ikonę Użytkownik lokalny a zostanie wyświetlony dostęp do opcji ograniczających 
Po rozwinięciu Panelu sterowania ograniczyłem dostęp do:
Sieci - Wyłącz Panel sterowania - Sieć,
Hasła - Wyłącz Panel sterowania haseł,
Systemu - Ukrywając wszystkie dostępne opcje. 
Po rozwinięciu Powłoki/Ograniczenia wyłączyłem dostęp do wszystkich pokazanych opcji. Są to naprawdę ogromne ograniczenia, i jeżeli ktoś uzna że zbyt duże - może to zmienić 
W Systemie/Ograniczenia wyłączyłem tylko tryb MS-DOS. Dzięki temu częściowo zabezpieczyłem się przed dostępem do zasobów poprzez ten tryb. Myślę, że można też wyłączyć narzędzia do edycji Rejestru, ale to już wg uznania nauczyciela. Po wprowadzeniu tych ograniczeń należy je zatwierdzić i po powrocie do okna Edytor założeń systemowych - Lokalny Rejestr - zapisać. Ograniczenia zostały nałożone. Po zapisaniu wybrane wcześniej opcje przestaną być aktywne - tylko dla konta Uczeń. 


          Pozostaje jeszcze zabezpieczyć się przed kliknięciem Anuluj w okienku logowania się. Takie obejście co prawda nie daje możliwości pracy w sieci (odpadają drukarki sieciowe, Internet) lecz dostępne są wszystkie zasoby komputera. Proponuję więc kliknąć w okienku logowania się Anuluj i po wczytaniu Windows:

          1. Otworzyć Właściwości: Ekran/Wygaszacz ekranu. Wczytać Kanałowy wygaszacz ekranu, kliknąć pole   Ochrona hasłem, wpisać i potwierdzić hasło. Następnie kliknąć OK zatwierdzając tym samym wygaszacz.
          2. Kliknąć Start/Programy/Autostart i w folderze tym umieścić skrót do wczytanego wcześniej wygaszacza. Teraz, po kliknięciu Anuluj w okienku logowania automatycznie będzie wczytywany wygaszacz, którego wyłączenie będzie wymagało podanie hasła znanego tylko nauczycielowi.

          Pozostaje do wykonania jeszcze jedna czynność. Po kliknięciu Start/Programy/Akcesoria/Narzędzia systemowe widoczny jest Edytor założeń systemowych. Dla ucznia to żaden problem uruchomić go i dokonać zmian. Proponuję więc przenieść go z tego miejsca na dyskietkę, i z niej w razie potrzeby w przyszłości go uruchamiać. Jeżeli uruchamiamy program Poledit z płyty ten problem odpada.

          Chcę jeszcze raz podkreślić, że nie są to 100% zabezpieczenia, lecz bardzo duże utrudnienie. W układzie jaki powstanie nie jest możliwe niechcący przeniesienie lub skasowanie pliku czy foldera na dysku twardym. Aby tego dokonać uczeń musi zdrowo kombinować, a to przecież zauważymy. Po zainstalowaniu takich ograniczeń nadal jest dostęp do drukarek sieciowych i do Internetu. 
  Władysław Sosulski
nauczyciel informatyki
II LO Nysa
zsr_nysa@wodip.opole.pl