Как настроить права на доступ пользователей к реестру в Windows

Описание

В некоторых ситуациях может быть очень полезно задать различные разрешения на доступ к отдельным разделам реестра (и всем подразделам) для различных пользователей, например, чтобы запретить определенному пользователю доступ к определенному разделу. Делается это через стандартный редактор реестра — regedit.

Настраиваем права доступа к реестру

Для примера мы возьмем стандартный раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run , именно сюда можно вносить программы, которые будут запускаться при входе текущего пользователя в ОС Windows. Предположим, что мы хотим запретить текущему пользователю вносить новые записи в данный раздел.

Запускаем редактор реестра regedit и открываем в нем указанный раздел.

После этого нажимаем на пункт «Правка» и «Разрешения. »

Откроется окно с текущими группами и пользователями, имеющими доступ к данному разделу и с настройками ограничений для данного раздела, выглядит оно как на скриншоте ниже:

В данном примере мы вошли в систему под пользователем Admin, поэтому именно для него мы и будем ограничивать доступ к данному разделу. Для этого, мы выделяем мышкой нашего пользователя Admin и нажимаем на кнопку «Дополнительно«.

После чего откроется меню с текущими разрешениями для пользователей и возможностью их изменения. Там мы выделяем нашего пользователя «Admin» и нажимаем на кнопку «Изменить. «

И выставляем галочку в колонке «Запретить» у пункта «Задание значения«, после чего жмем на кнопку «ОК«.

Теперь, мы видим что в дополнительных параметрах безопасности для раздела Run появилось новое значение запретить для пользователя Admin. Чтобы новые настройки доступа применились, необходимо нажать на кнопку «ОК«

Будет выведено информационное сообщение, объясняющее, что у элемента разрешений «Запретить» приоритет выше, чем у других, жмем на кнопку «Да«.

После этого наш пользователь Admin больше не имеет прав на задание значений для данного раздела (и всех его подразделов).

Теперь проверяем, что все работает как должно. Для этого попытаемся задать новый параметр через regedit:

Ограничение учетной записи в windows

Добрый день, Друзья! Приветствую Вас На нашем обучающем Интернет портале “С Компьютером на “ТЫ”. Сегодня мы продолжим говорить на тему компьютерной безопасности. И еще один шаг в этом направлении – ограничение учетной записи пользователя.

При установке операционной системы Windows пользователю предоставляются права администратора. Другими словами он имеет абсолютную свободу действий на ПК. Но и вредоносное программное обеспечение, получив доступ к компьютеру, наделяется такими же правами. А это уже серьезная уязвимость в нашей системе безопасности. Пора латать дыры.

В данной статье мы разберем алгоритм перехода с администратора на более безопасную учетную запись, сохранив при этом все настройки.

зачем необходимо ограничение учетной записи?

1. Все программные продукты, запущенные с правами администратора, получают полную свободу действий на ПК, чем непременно воспользуются разработчики вредоносного кода (вирусов и опасных скриптов).

Например, для того, чтобы вирус смог “прописаться” в Вашей операционной системе, ему необходимо внести изменения в записи реестра. Пользователь, с ограниченными правами, не сможет сделать изменения в настройках ОС. А следовательно и зловредный вирус, запустившись с такими же ограниченными правами, не сможет пробить защиту системных настроек и оставить “след” в вашем реестре.

При выходе в Интернет с правами Администратора, Вы помогаете злоумышленнику в кражи Ваших паролей, учетных данных, хранимых в системных файлах ОС. Опасный скрипт, имея права администратора, считает все Ваши секреты и передаст своему хозяину.

Создав ограничение учетной записи пользователя, Вы не только решите эти проблемы, но и не позволите проникнуть на Ваш компьютер распространённому вирусу WinLock (порно баннер, блокирующий работу компьютера).

2. Имея права администратора, неопытные пользователи могут случайно внести критические изменения в системные файлы Windows, приведя ОС в неработоспособное состояние. Защитите свою систему от случайных ошибок – понизьте права пользователя.

Смена прав учетной записи пользователя

Так как операционная система у нас уже установлена и функционирует нормально, то мы пойдем по следующему пути: мы изменим тип ранее созданной учетной записи (понизив ее права) и добавим нового пользователя с правами Администратора (от имени которого и будем уносить изменения в системные файлы ОС и реестр).

1. Первым делом необходимо навести порядок с имеющимися учетными записями. Для этого зайдем в Центр управления учетными записями (правой кнопкой кликаем по значку “Мой компьютер” –> “Управление” –> “Локальные пользователи и группы” –> “Пользователи”).

Удалите все записи, кроме существующей и гость (которая должна быть в режиме отключена).

2. Понизить права действующей учетной записи до уровня обычного пользователя не получится ввиду того, что у системы обязательно должен быть пользователь с правами администратора. Поэтому мы сначала создадим еще одного администратора, а уже потом понизим права действующего пользователя.

Для этого кликните правой кнопкой мыши по пункту “Пользователи” –> выберите “Новый пользователь…”. В открывшемся окошке укажите имя нового администратора, его пароль, отметьте пункт “Срок действия пароля не ограничен” и нажмите кнопку “Создать”.

Созданная нами учетная запись будет обладать правами обычного пользователя. Чтобы придать ей статус настоящего администратора, необходимо его добавить в соответствующую группу пользователей. Для этого делаем двойной клик по новой учетной записи, переходим во вкладку “Членство в группах” –> жмем кнопку “Добавить”.

В блоке “Введите имя объекта” пишем “Администраторы” и кликаем по кнопке “ОК” –> “Применить”.

3. Теперь пришло время заняться понижением прав текущего пользователя. Для этого выбираем в списке текущего пользователя и проделываем все те же операции, что я описал выше. Только теперь необходимо добавить запись “Пользователи”, а запись “Администраторы” удалить.

4. После всего проделанного выйдите из системы и перезагрузите компьютер.

Итак, вы сохранили все свои настройки, но понизили статус пользователя, ограничив его права. Теперь чтобы внести какие-либо изменения в системе, вам придется обращаться к учетной записи вновь созданного администратора.

Как это работает?

Вы работаете в системе как обычно, запуская привычные программы. Если вдруг у вас появится необходимость внести изменения в системные файлы, получить доступ к реестру или установить новую программу, то можно будет поступить двумя способами: либо завершить текущий сеанс и зайти под учетной записью Администратора, использовать «власть” администратора не выходя из текущей учетной записи.

Для этого кликните правой кнопкой мыши по запускаемой программе и выберите пункт “Запуск от имени…” –> в появившемся окошке укажите учетную запись Администратора и введите пароль администратора –> нажмите “ОК”. Таким образом, можно не покидая текущей учетной записи, запустить любое приложение с правами Администратора.

Советы:

• Подойдите серьезно к вопросу выбора пароля для администратора. Чем сложнее и длиннее будет пароль, тем сложнее злоумышленнику будет его взломать.
• Так как новой учетной записью Администратора вы будете пользоваться редко, запишите придуманный пароль в надежном месте.
• Дополнительной мерой безопасности будет переименовать созданного Администратора (например, вместо “Администратор” –> “Сергей). Таким образом создав дополнительную преграду для злоумышленника.

8 комментариев

Я благодарна Вам за все советы, которые Вы даёте. Это очень хорошая помощь. Всё знать невозможно и Ваши советы во время. Но у меня проблема с учётной записью. Купила новый комп. с Win 8.Сдуру создала учётную запись администратора и теперь все новые программы только с разрешения администратора. Всегда требует пароль. Даже при входе. Пыталась удалить эту уч. запись-не получается. На могла удалить пароль, чтобы мне было проще входить в комп. И Win8 не устраивает.Нет программ MS. Мне нужен Word. Но его как и все остальные приложения надо покупать. Полная ерунда.

Для какой оси эта инструкция? У меня 7-ка и в управлении компьютером есть все те же пункты, кроме “Локальные пользователи и группы”. Почему? А через панель управления что-то не получается или дайте, пожалуйста, инструкцию и для этого способа.

Вообще-то это для 7-ки. Если вы не видите этой настройки, то скорее всего у вас просто ограниченные права. Политикой безопасности вам запрещено править это пункт настроек.

Почему нельзя произвести изменения в учетных записях через панель управления > учетные записи пользователей? Это намного проще и короче.

Спасибо за добавление. Так тоже можно сделать. Описал алгоритм, которым сам всегда пользуюсь. Еще раз спасибо! Успехов Вам.

Спасибо, есть чему поучиться. Безопасность прежде всего.

Спасибо большое за оценку статьи. Успехов Вам и всего наилучшего!

Как закрыть доступ пользователей к реестру Windows 10

В Windows 10 реестр является критически важной базой данных, в которой хранятся параметры низкого уровня, необходимые для ОС и многих приложений. Хотя вы можете использовать его для изменения многочисленных настроек на вашем компьютере (например, запрета пользователям менять обои на рабочем столе), редактировать эту базу данных не имеет смысла, если вы точно не знаете, что делаете, потому что маленькая ошибка может привести ко многим проблемам.

Хотя большинство технически подкованных пользователей знают о рисках, связанных с использованием реестра, для нетехнических пользователей это может быть не столь очевидно. Например, вы можете поделиться своим устройством с другими пользователями. Если они захотят изменить определенные настройки, инструкции, которые они найдут, могут включать редактирование реестра, что может привести к ошибкам и другим проблемам на вашем ПК.

Если вы не хотите, чтобы другие изменяли настройки на вашем устройстве с Windows 10, можно запретить пользователям открывать и редактировать реестр, по крайней мере, двумя различными способами.

В этом руководстве по Windows 10 мы расскажем вам, как запретить пользователям открывать и редактировать реестр с помощью групповой политики и (как ни странно) самого реестра.

Как запретить доступ к реестру с помощью групповой политики

Самый простой способ запретить пользователям открывать и редактировать реестр в Windows 10 – использовать редактор локальной групповой политики. Однако, вы можете использовать эту опцию, только если у вас установлена Windows 10 Pro, Enterprise или Education.

Чтобы пользователи не могли запускать и редактировать реестр, выполните следующие действия:

1. Используйте сочетание клавиш Win + R , чтобы открыть командное окно «Выполнить».
2. Введите gpedit.msc и нажмите кнопку ОК , чтобы открыть редактор локальной групповой политики.
3. Найдите следующий путь:

На правой стороне дважды щелкните политику Запретить доступ к средствам редактирования реестра.

Выберите опцию «Включено».

В разделе Параметры: выберите Да в раскрывающемся меню, если вы не хотите, чтобы пользователи использовали реестр, но при этом могли изменять параметры без вывода сообщений с помощью переключателя regedit /s. Или выберите Нет , чтобы вообще запретить запуск редактора.

Используя редактор локальной групповой политики, вам нужно только включить опцию для одной учетной записи, чтобы применить изменения ко всем пользователям. После того, как вы выполните эти шаги, любой, кто войдет в систему, не сможет использовать редактор реестра.

Если вам больше не нужен этот параметр, вы можете выполнить те же действия, но на шаге 5 выберите параметр «Не задано» . Эти измененные параметры через редактор локальной групповой политики должны вступить в силу немедленно, и вам не нужно перезагружать компьютер.

Как запретить доступ к реестру с помощью реестра

Если вы используете Windows 10 Home, у вас не будет доступа к редактору локальной групповой политики, но вы все равно можете запретить пользователям использовать редактор, изменив. реестр.

Важно: несмотря на то, что это может быть избыточно, следует отметить, что редактирование реестра рискованно и может привести к необратимому повреждению вашей установки, если вы не сделаете это правильно. Мы рекомендуем сделать полную резервную копию вашего компьютера, прежде чем продолжить.

В отличие от использования групповой политики, которая блокирует реестр для всех пользователей сразу во всех учетных записях, если вы используете реестр, вам придется выполнять эту задачу для каждой учетной записи, в которой вы не хотите, чтобы пользователи использовали редактор.

Отключить реестр

Чтобы запретить пользователям доступ к редактору с помощью реестра, выполните следующие действия:

Откройте редактор от имени администратора через системный поиск (regedit).

Если вы работаете со стандартной учетной записью, вы должны ввести учетные данные, чтобы перейти на учетную запись администратора. В противном случае вы не сможете внести изменения, если временно не измените тип учетной записи на Администратора.

Найдите следующий путь:

Щелкните правой кнопкой мыши ключ Policies, выберите Создать → Раздел.

Назовите ключ System и нажмите Enter .

Щелкните правой кнопкой мыши справа в правом поле (при выделенном «System»), выберите Создать → Параметр DWORD (32 бит) .

Назовите ключ DisableRegistryTools и нажмите Enter .

Дважды щелкните по вновь созданному DWORD и измените его значение с 0 на 1 .

Параметры значения DisableRegistryTools:

• 0 – редактор реестра работает нормально.
• 1 – редактор реестра не открывается, но его можно запустить в режиме без вывода сообщений с помощью ключа /s при использовании команд.
• 2 – редактор реестра не может быть запущен в обычном режиме или в режиме без вывода сообщений.

Нажмите ОК .

Если у вас нет доступа к групповой политике, не рекомендуется использовать значение 2, потому что будет крайне сложно отменить изменения.

После выполнения этих шагов вы не сможете открыть и изменить реестр в учетной записи, к которой вы применили ограничение.

Повторите шаги, описанные выше, для каждой учетной записи, в которой вы не хотите, чтобы пользователи связывались с реестром.

Хотя этот параметр предназначен для тех, кто не может получить доступ к групповой политике, вы также можете использовать этот параметр, если хотите заблокировать редактор для других пользователей, одновременно предоставив себе постоянный доступ к реестру.

Включить реестр

Если вам нужно отменить изменения, вам нужно будет использовать альтернативные шаги, потому что по понятным причинам вы не сможете открыть реестр:

1. Откройте Блокнот.
2. Скопируйте и вставьте следующий код в текстовый файл:
3. Откройте меню «Файл» и выберите Сохранить как.
4. Сохраните файл в месте, которое легко найти с описательным именем и с расширения .reg (например, enableReg.reg).
5. Запустите командную строку от имени администратора.
6. Введите следующую команду, чтобы перейти к REG-файлу, который вы создали, и нажмите Enter :
   • В команде измените C:\Users\Users\, указав путь к файлу enableReg.reg
7. Введите следующую команду, чтобы включить реестр, и нажмите Enter :
8. Закройте командную строку.

Эти шаги изменят значение DWORD DisableRegistryTools с 1 обратно на 0. Если вы не получили никаких ошибок, теперь вы сможете немедленно восстановить доступ к реестру.

Это руководство ориентировано на Windows 10, но вы можете использовать те же шаги в Windows 8.1 и Windows 7.