Программы для ограничения доступа к файлам
XL WinLock - бесплатна утилита, которая позволит вам производить блокировку компьютера, за которым никого нет. Отлично подойдет для защиты от детей либо от посторонних лиц, а также для хранения личных данным. После скачивания и установки вы сможете устанавливать свои обои во время блокировки. Возможности программы: настройка режимов блокировки; возможность установки пароля; блокировка.
Blok - бесплатная и не большая программа, которая позволит вам блокировать клавиатуру и мышь в несколько кликов. Как правило данную программу используют для защиты компьютера от делей, либо для чистки. После скачивания программы Blok вы сможете произвести блокировку периферии и даже отключить монитор. Также имеется возможность автоматически выключить компьютер по таймеру или перевести.
KinderGate Родительский Контроль - современная и уникальная программа, которая предназначена для родительского контроля , а также для ограничения доступа к сети Интернет детям. В данной программе было реализовано множество полезных опций и инструментов. После скачивания KinderGate вы сможете как в ручном, так и в автоматическом режиме блокировать доступ к сайтам, интернету, программам.
КиберМама - бесплатная и полезная для родителей программа, которая предназначена для ограничения время провождения ребенка за компьютером. Вы сможете полностью контролировать и даже ограничивать работу за компьютером. После скачивания программы КиберМама вы сможете создавать расписание работы компьютера и в автоматическом режиме завершать его работу, блокировать доступ в Интернет и.
LockWin - бесплатная программа для контроля за использованием вашего компьютера другими людьми. Запускается программа в автоматическом режиме во время запуска Windows и помещает свой значок в панель задач Windows. После ввода пароля у вас появится возможность устанавливать параметры и настройки для доступа пользователей к компьютеру. Самым главное достоинством программы считается.
Ускоряет систему, реестр и доступ в Интернет. Оптимизирует, чистит и исправляет все проблемы с ПК в 1 клик. Выявляет и удаляет шпионские и рекламные модули.
Программа - победитель многих конкурсов. Подробнее
HomeGuard - инструмент для мониторинга активности пользователей при работе в Интернете и в автономном режиме. Позволяет выбрать конкретного пользователя и время мониторинга.
get_app3 123 | Демо версия |
KeyLock - программа, которая позволит заблокировать Ваш компьютер с помощью USB-флешки.
get_app2 637 | Бесплатная |
WinLock - программа для ограничения времени работы с Windows. Автоматически загружается при включении компьютера и проверяет время работы. После истечения установленного периода времени WinLock выключает систему.
get_app67 546 | Условно-бесплатная |
Удобное приложение, которое позволит отслеживать, что делают ваши дети или сотрудники на своём компьютере. Доступны такие функции как запись нажатий клавиш, съёмка скриншотов, отслеживание действий в интернете, контроль приложений, буфера обмена и чатов.
get_app4 627 | Бесплатная |
SecretFolder - простая, но достаточно полезная программа для защиты папок на компьютере с важными данными от несанкционированного доступа.
get_app4 626 | Бесплатная |
Бесплатная и простая утилита, которая позволит вам надежно защищать систему от несанкционированного доступа с помощью так называемого "pattern lock" (нужно соединять точки непрерывной линией). Можно задавать сложность графического ключа (3х3, 4x4 или 5x5).
get_app613 | Бесплатная |
USB Secure - небольшая и простая программа для установки пароля доступа к Вашей USB-флешке, SSD-диску, внешнему накопителю да и вообще любой карте памяти.
get_app1 920 | Условно-бесплатная |
Небольшая утилита, с помощью которой можно быстро и легко настроить службы фильтрации Windows (WFP). Можно просматривать логи, пользоваться встроенным списком блокировок вредоносного ПО и телеметрии, имеется поддержка IPv4/IPv6 и работа через прокси.
get_app2 706 | Бесплатная |
Rohos Logon Key - Программа позволяет вам использовать свой USB флэш драйв как ключ для входа в windows. Теперь вам не надо помнить и постоянно набирать свой пароль. При изьятии USB флеш драйва система автоматически заблокируется. Вставили USB ключ - сист.
get_app5 279 | Условно-бесплатная |
Удобное и простое в использовании приложение, которое фильтрует нежелательное веб-содержимое, позволяет контролировать время, проведенное в сети Интернет. Имеется возможность следить за использованием программ и доступом в Интернет с помощью диаграмм.
get_app51 | Бесплатная |
AskAdmin - отличное и простое решение для ограничения доступа к тем или иным приложениям на компьютере.
get_app3 358 | Бесплатная |
Time Boss - программа для контроля доступа к компьютеру (родительского контроля), Множество полезных, выверенных годами функций, использует неодолимую защиту паролем, ведет журнал компьютерных событий и полную статистику использования.
get_app11 871 | Условно-бесплатная |
Edge Blocker - небольшой портативный инструмент для блокировки запуска браузера Microsoft Edge в операционке Windows 10.
get_app3 893 | Бесплатная |
WebCam On-Off - небольшая бесплатная программа для быстрого включения и отключения веб-камеры на компьютере. Предотвращает доступ к веб-камере через внешнее подключение, и как дополнительный инструмент родительского контроля.
get_app10 427 | Бесплатная |
Kaspersky Safe Kids - программа для защиты детей от всевозможных рисков в интернете, которые подстерегают юных пользователей на каждом шагу.
Что может быть проще, чем разграничить права на папку в NTFS? Но эта простая задача может превратиться в настоящий кошмар, когда подобных папок сотни, если не тысячи, а изменение прав к одной папке «ломает» права на другие. Чтобы эффективно работать в подобных условиях, требуется определенная договоренность, или стандарт, который бы описывал, как решать подобные задачи. В данной статье мы как раз и рассмотрим один из вариантов подобного стандарта.
Стандарт управления правами доступа к корпоративным файловым информационным ресурсам (далее – Стандарт) регламентирует процессы предоставления доступа к файловым информационным ресурсам, размещенным на компьютерах, работающих под управлением операционных систем семейства Microsoft Windows. Стандарт распространяется на случаи, когда в качестве файловой системы используется NTFS, а в качестве сетевого протокола для совместного доступа к файлам SMB/CIFS.
Информационный ресурс – поименованная совокупность данных, к которой применяются методы и средства обеспечения информационной безопасности (например, разграничение доступа).
Файловый информационный ресурс – совокупность файлов и папок, хранящихся в каталоге файловой системы (который называется корневым каталогом файлового информационного ресурса), доступ к которой разграничивается.
Составной файловый информационный ресурс – это файловый информационный ресурс, содержащий в себе один или несколько вложенных файловых информационных ресурсов, отличающихся от данного ресурса правами доступа.
Вложенный файловый информационный ресурс – это файловый информационный ресурс, входящий в составной информационный ресурс.
Точка входа в файловый информационный ресурс – каталог файловой системы, к которому предоставляется сетевой доступ (shared folder) и который используется для обеспечения доступа к файловому информационному ресурсу. Данный каталог обычно совпадает с корневым каталогом файлового информационного ресурса, но может быть и вышестоящим.
Промежуточный каталог – каталог файловой системы, находящийся на пути от точки входа в файловый информационной ресурс к корневому каталогу файлового информационного ресурса. Если точка входа в файловый информационный ресурс является вышестоящим каталогом по отношению к корневому каталогу файлового информационного ресурса, то она также будет являться промежуточным каталогом.
Группа доступа пользователей – локальная или доменная группа безопасности, содержащая в конечном счете учетные записи пользователей, наделенные одним из вариантов полномочий доступа к файловому информационному ресурсу.
- Доступ разграничивается только на уровне каталогов. Ограничение доступа к отдельным файлам не проводится.
- Назначение прав доступа выполняется на базе групп безопасности. Назначение прав доступа на отдельные учетные записи пользователей не проводится.
- Явно запрещающие полномочия доступа (deny permissions) не применяются.
- Разграничение прав доступа проводится только на уровне файловой системы. На уровне сетевых протоколов SMB/CIFS права не разграничиваются (Группа «Все» – полномочия «Чтение/Запись» / Everyone – Change).
- При настройке сетевого доступа к файловому информационному ресурсу в настройках SMB/CIFS устанавливается опция «Перечисление на основе доступа (Access based enumeration)».
- Создание файловых информационных ресурсов на рабочих станциях пользователей недопустимо.
- Не рекомендуется размещать файловые информационные ресурсы на системных разделах серверов.
- Не рекомендуется создавать несколько точек входа в файловый информационный ресурс.
- Следует по возможности избегать создание вложенных файловых информационных ресурсов, а в случаях, когда имена файлов или каталогов содержат конфиденциальную информацию, это вовсе недопустимо
Доступ пользователей к файловому информационному ресурсу предоставляется путем наделения их одним из вариантов полномочий:
- Доступ «Только на чтение (Read Only)».
- Доступ «Чтение и запись (Read & Write)».
Имена групп доступа пользователей формируются по шаблону:
FILE-Имя файлового информационного ресурса–аббревиатура полномочий
Имя файлового информационного ресурса
должно совпадать с UNC именем ресурса или состоять из имени сервера и локального пути (если сетевой доступ к ресурсу не предоставляется). При необходимости в данном поле допускаются сокращения. Символы «\\» опускаются, а «\» и «:» заменяются на «-».
Аббревиатуры полномочий:
- RO — для варианта доступа «Только на чтение (Read Only)»
- RW — для варианта доступа «Чтение и запись (Read & Write)».
Пример 2
Имя группы доступа пользователей, имеющих полномочия «Чтение и запись» для файлового информационного ресурса, размещенного на сервере TERMSRV по пути D:\UsersData, будет:
FILE-TERMSRV-D-UsersData-RW
Таблица 1 – Шаблон NTFS-прав доступа для корневого каталога файлового информационного ресурса.
| Субъекты | Права | Режим наследования |
| Наследование прав доступа от вышестоящих каталогов отключено | ||
| А) Обязательные права | ||
| Специальная учетная запись: «СИСТЕМА (SYSTEM)» | Полный доступ (Full access) | Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
| Локальная группа безопасности: «Администраторы (Administrators)» | Полный доступ (Full access) | Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
| Б.1) Полномочия «Только чтение (Read Only)» | ||
| Группа доступа пользователей: «FILE-Имя ресурса-RO» | Базовые права: а) чтение и выполнение (read & execute); б) список содержимого папки (list folder contents); в) чтение (read); | Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
| Б.2) Полномочия «Чтение и запись (Read & Write)» | ||
| Группа доступа пользователей: «FILE-Имя ресурса-RW» | Базовые права: а) изменение (modify); б) чтение и выполнение (read & execute); в) список содержимого папки (list folder contents); г) чтение (read); д) запись (write); | Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
| Б.3) Другие полномочия при их наличии | ||
| Группа доступа пользователей: «FILE-Имя ресурса-аббревиатура полномочий» | Согласно полномочиям | Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
Табилца 2 – Шаблон NTFS-прав доступа для промежуточных каталогов файлового информационного ресурса.
| Субъекты | Права | Режим наследования |
| Наследование прав доступа от вышестоящих каталогов включено, но если данный каталог является вышестоящим по отношению к файловым информационным ресурсам и не входит ни в один другой файловый информационный ресурс, то наследование отключено | ||
| А) Обязательные права | ||
| Специальная учетная запись: «СИСТЕМА (SYSTEM)» | Полный доступ (Full access) | Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
| Локальная группа безопасности: «Администраторы» | Полный доступ (Full access) | Для этой папки, ее подпапок и файлов (This folder, subfolders and files) |
| Б.1) Полномочия «Проход через каталог (TRAVERSE)» | ||
| Группы доступа пользователей информационных ресурсов, для которых этот каталог является промежуточным | Дополнительные параметры безопасности: а) траверс папок / выполнение файлов (travers folder / execute files); б) содержимое папки / чтение данных (list folder / read data); в) чтение атрибутов (read attributes); в) чтение дополнительных атрибутов (read extended attributes); г) чтение разрешений (read permissions); | Только для этой папки (This folder only) |
- Создаются группы доступа пользователей. Если сервер, на котором размещен файловый информационный ресурс, является членом домена, то создаются доменные группы. Если нет, то группы создаются локально на сервере.
- На корневой каталог и промежуточные каталоги файлового информационного ресурса назначаются права доступа согласно шаблонам прав доступа.
- В группы доступа пользователей добавляются учетные записи пользователей в соответствии с их полномочиями.
- При необходимости для файлового информационного ресурса создается сетевая папка (shared folder).
В. Изменение доступа пользователя к файловому информационному ресурсу
Учетная запись пользователя перемещается в другую группу доступа пользователей в зависимости от указанных полномочий.
Г. Блокирование доступа пользователя к файловому информационному ресурсу
Учетная запись пользователя удаляется из групп доступа пользователей файлового информационного ресурса. Если работник увольняется, то членство в группах не меняется, а блокируется учетная запись целиком.
- Регистрируется вложенный файловый информационный ресурс (согласно процессу А)
- В группы доступа пользователей вложенного файлового информационного ресурса добавляются группы доступа пользователей вышестоящего составного файлового информационного ресурса.
- Регистрируется вложенный файловый информационный ресурс (согласно процессу А)
- В группы доступа пользователей создаваемого информационного ресурса помещаются те учетные записи пользователей, которым требуется предоставить доступ.
- Организационными (или техническими, но не связанными с изменением прав доступа к каталогам файловой системы) мерами блокируется доступ пользователей к данному и всем вложенным файловым информационным ресурсам.
- К корневому каталогу файлового информационного ресурса назначаются новые права доступа, при этом заменяются права доступа для всех дочерних объектов (активируется наследие).
- Перенастраиваются права доступа для всех вложенных информационных ресурсов.
- Настраиваются промежуточные каталоги для данного и вложенных информационных ресурсов.
Рассмотрим применение данного стандарта на примере гипотетической организации ООО «ИнфоКриптоСервис», где для централизованного хранения файловых информационных ресурсов выделен сервер с именем «FILESRV». Сервер работает под управлением операционной системы Microsoft Windows Server 2008 R2 и является членом домена Active Directory с FQDN именем «domain.ics» и NetBIOS именем «ICS».
Подготовка файлового сервера
На диске «D:» сервера «FILESRV» создаем каталог «D:\SHARE\». Этот каталог будет единой точкой входа во все файловые информационные ресурсы, размещенные на данном сервере. Организуем сетевой доступ к данной папке (используем апплет «Share and Storage Management»):
 |  |
Создание файлового информационного ресурса
Постановка задачи.
Пусть в составе организации ООО «ИнфоКриптоСервис» имеется Отдел разработки информационных систем в составе: начальника отдела Иванова Сергея Леонидовича ([email protected]), специалиста Маркина Льва Борисовича ([email protected]), и для них нужно организовать файловый информационный ресурс для хранения данных подразделения. Обоим работникам требуется доступ на чтение и запись к данному ресурсу.
- «FILE-FILESRV-SHARE-Отд. разр. ИС-RO»
- «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»
Предоставление доступа пользователю к файловому информационному ресурсу
Постановка задачи.
Предположим, в отдел разработки приняли еще одного работника – специалиста Егорова Михаила Владимировича ([email protected]), и ему, как и остальным работникам отдела, требуется доступ на чтение и запись к файловому информационному ресурсу отдела.
Решение.
Учетную запись работника необходимо добавить в группу «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»
Создание вложенного информационного ресурса. Расширение доступа
Постановка задачи.
Предположим, Отдел разработки информационных систем решил улучшить качество взаимодействия с Отделом маркетинга и предоставить руководителю последнего — Кругликовой Наталье Евгеньевне ([email protected]) — доступ на чтение к актуальной документации на продукты, хранящейся в папке «Документация» файлового информационного ресурса Отдела разработки информационных систем.
Решение.
Для решения данной задачи необходимо сделать вложенный ресурс «\\FILESRV\share\Отдел разработки информационных систем\Документация», доступ к которому на чтение и запись должен быть (остаться) у всех пользователей, имевших доступ к «\\FILESRV\share\Отдел разработки информационных систем\ и добавиться доступ на чтение для пользователя Кругликовой Натальи Евгеньевне ([email protected])
- «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO»
- «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW»
Теперь, если Кругликова Наталья Евгеньевна ([email protected]) обратится по ссылке «\\FILESRV\share\Отдел разработки информационных систем\Документация», то она сможет попасть в интересующую ее папку, но обращаться по полному пути не всегда удобно, поэтому настроим сквозной проход к данной паке от точки входа «\\FILESRV\share\» («D:\SHARE\»). Для этого настроим права доступа на промежуточные каталоги «D:\SHARE\» и «D:\SHARE\Отдел разработки информационных систем\».
Проведем настройку «D:\SHARE\»:
Дамп NTFS разрешений, полученных командой cacls:
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:R
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Administrators:(OI)(CI)F
и «D:\SHARE\Отдел разработки информационных систем»:
Дамп NTFS разрешений, полученных командой cacls:
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:(OI)(CI)C
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Administrators:(OI)(CI)F
Создание вложенного информационного ресурса. Сужение доступа
Постановка задачи
В целях организации резервного копирования наработок Отдела разработки информационных систем начальнику отдела Иванову Сергею Леонидовичу ([email protected]), в рамках файлового информационного ресурса отдела, понадобилась сетевая папка «Архив», доступ к которой был бы только у него.
Решение.
Для решения данной задачи в файловом информационном ресурсе отдела требуется сделать вложенный ресурс «Архив» («\\FILESRV\share\Отдел разработки информационных систем\Архив»), доступ к которому предоставить только начальнику отдела.
Есть масса ситуаций, когда хотелось бы ограничить доступ к контенту даже на собственном компьютере. Например, для ребенка, которому не обязательно видеть все ваши фотографии и видео. К счастью, это делается довольно просто. Главное — зайти в систему под учеткой с администраторскими правами. Соответственно, пользователи, которым вы запрещаете доступ, таких прав иметь не должны.
«Запаролить» можно как отдельные файлы, так и папки или содержимое диска. Для этого есть встроенные возможности в Windows и сторонние программы.
Способ первый: права доступа в Windows
Этим способом можно ограничить доступ к папке, любому файлу и даже целому разделу диска. Если у вас на компьютере несколько учетных записей пользователей, и вы являетесь администратором компьютера, вы можете закрыть доступ к нужной информации для всех, кроме себя. Делается это так:
- Нажмите на файл, папку или диск правой кнопкой мыши и выберите Свойства.
- Перейдите на вкладку Безопасность.
- В списке учетных записей, имеющих доступ к файлу, поочередно выберите те, которым не нужно открывать этот файл или папку, и в столбце Запретить установите все галочки.
После этого файл, папка или раздел диска станут недоступны для всех пользователей, которым вы запретите доступ. Они не смогут его открыть — для этого нужно будет ввести пароль от учетной записи администратора, то есть вашей. Не забудьте только дать файлу или папке неприметное имя, так как имена файлов по-прежнему будут видны всем.
Способ второй: используем архиватор
Этот способ позволяет поставить пароль на папку или файл. Наверняка у вас на компьютере стоит как минимум один архиватор, например, WinRAR. Тогда вы можете спрятать секретный файл или папку в архив и установить на него пароль. Для этого сделайте следующее:
- Нажмите правой кнопкой мыши по файлу или папке и выберите Добавить в архив (Add to archive).
- В отобразившемся окне в поле Метод сжатия (Compression method) выберите Без сжатия (Store). Так вам не придется тратить время на распаковку файла при открытии архива.
- Затем нажмите на кнопку Установить пароль (Set password).
- В отобразившемся окошке введите пароль и подтверждение и нажмите ОК.
- Нажмите ОК в основном окне. Будет создан архив с файлом или папкой.
- Удалите оригинальный файл или папку.
Теперь, чтобы получить доступ к файлу или папке, нужно сначала открыть архив. А при открытии архива — ввести пароль, который вы задали. Не забывайте про неприметные имена. Таким же образом можно поставить пароль на любой новый архив в Windows.
Способ 3: BitLocker
Этот способ — для дисков. Он доступен, если у вас Windows 7 Ultimate или Enterprise, Windows 8/8.1 или Windows 10. Подробнее об использовании BitLocker можно прочитать в нашей статье о шифровании жесткого диска в Windows 10. А для того, чтобы зашифровать дисковый раздел или флешку, сделайте следующее:
- Нажмите правой кнопкой мыши по диску и выберите Включить BitLocker.
- В окне установите галочку Использовать пароль для снятия блокировки диска. Введите пароль и подтверждение и нажмите Далее.
- В следующем окне установите переключатель Шифровать весь диск.
- Нажмите Начать шифрование и дождитесь его окончания.
Теперь при попытке доступа к диску система будет требовать ввести пароль.
Это способы, позволяющие запретить доступ к вашим данным без использования каких-либо специфических программ.
Читайте также: