Текст книги "Тонкости реестра Windows Vista. Трюки и эффекты"

3.7. Механизмы безопасности

В Windows Vista многие механизмы безопасности операционной системы были существенным образом доработаны. Кроме того, также появились совершенно новые механизмы безопасности, работу которых можно настроить.

О них, а также и о стандартных механизмах безопасности и пойдет речь в этом разделе.

Существует несколько возможностей настройки работы механизма UAC операционной системы Windows Vista. Все они основаны на использовании параметров REG_DWORD-типа ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.

• ConsentPromptBehaviorAdmin – позволяет определить режим использования механизма UAC для пользователей, имеющих права администратора. Он может принимать следующие значения:

– 0 – отключить механизм UAC;

– 1 – для выполнения административных задач необходимо вводить пароль администратора;

– 2 – для выполнения административных задач необходимо подтверждение.

По умолчанию используется значение 2.

• ConsentPromptBehaviorUser – дает возможность задать режим использования механизма UAC для пользователей, не имеющих прав администратора. Он может принимать следующие значения:

– 0 – запрещать доступ к функциям, требующим административных привилегий;

– 1 – для выполнения административных задач необходимо вводить пароль администратора.

По умолчанию используется значение 1.

• EnableInstallerDetection – если значение данного параметра равно 1, то при установке приложений, требующих прав администратора, будет автоматически отображаться окно UAC.

• EnableLUA – при установке значения этого параметра равным 1 все администраторы будут работать в режиме одобрения администратором (отключение механизма UAC только для администраторов).

• EnableSecureUIAPaths – если значение данного параметра равно 1, то повышение прав для запуска пользовательских приложений будет разрешено, если приложения установлены в безопасных местах.

• EnableVirtualization – при установке значения этого параметра равным 0 будет запрещен механизм виртуальных файлов и реестра.

• FilterAdministratorToken – если значение данного параметра равно 0, то встроенная учетная запись администратора не будет работать в режиме одобрения администратором. По умолчанию механизм UAC для встроенной учетной записи администратора отключен.

• PromptOnSecureDesktop – если установить значение этого параметра равным 0, то при отображении окна UAC операционная система не будет переходить на использование безопасного Рабочего стола.

• ValidateAdminCodeSignatures – если значение данного параметра равно 1, то возможность повышения прав запускаемой программы будет применяться только для подписанных и проверенных программ.

Существует возможность ограничения работы стандартного брандмауэра операционной системы. В зависимости от профиля брандмауэра для этого используются параметры ветви реестра вида HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall «профиль брандмауэра», где профиль брандмауэра может быть равен следующим названиям подразделов: DomainProfile и StandardProfile.

Основные настройки

Основные настройки профиля брандмауэра хранятся в следующих параметрах REG_DWORD-типа ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall «профиль брандмауэра»:

• EnableFirewall – если значение данного параметра равно 0, то стандартный брандмауэр будет отключен для данного профиля;

• DoNotAllowExceptions – при установке значения этого параметра равным 1 исключения не будут учитываться при работе брандмауэра для данного профиля;

• DisableNotification – если значение данного параметра равно 1, то для данного профиля не будут отображаться уведомления о новых блокируемых программах;

• DisableUnicastResponsesToMulticastBroadcast – при установке значения этого параметра равным 1 брандмауэр будет блокировать одноадресные ответы на многоадресные запросы, посланные вашим компьютером.

Ведение файлов журналов

Кроме того, можно настроить параметры ведения файла журнала по работе брандмауэра. Для этого применяются следующие параметры ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall «профиль брандмауэра»Logging:

• LogFilePath – этот параметр строкового типа позволяет определить путь к файлу журнала брандмауэра;

• LogDroppedPackets – если значение данного параметра REG_DWORD-типа равно 1, то в файл журнала брандмауэра будет заноситься информация об отброшенных пакетах;

• LogSuccessfulConnections – если значение данного параметра REG_DWORD-типа равно 0, то информация об успешных подключениях не будет заноситься в файл журнала брандмауэра;

• LogFileSize – значение данного параметра REG_DWORD-типа определяет максимальный возможный размер файла журнала (в килобайтах).

Работа с ICMP

Можно также определить пакеты протокола ICMP, которые брандмауэру будет разрешено принимать. Для этого применяются следующие параметры REG_DWORD-типа ветви HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall «профиль брандмауэра»IcmpSettings:

• AllowInboundEchoRequest – если значение данного параметра равно 0, то будут запрещены входящие эхо-запросы;

• AllowInboundMaskRequest – при установке значения этого параметра равным 0 будут запрещены входящие запросы маски;

• AllowInboundRouterRequest – если значение данного параметра равно 0, то будут запрещены входящие запросы маршрутизатора;

• AllowInboundTimestampRequest – при установке значения этого параметра равным 0 будут запрещены входящие запросы штампа времени;

• AllowOutboundDestinationUnreachable – если значение данного параметра равно 0, то будут запрещены ответы о недостижимости узла назначения;

• AllowOutboundPacketTooBig – при установке значения этого параметра равным 0 будут запрещены слишком большие исходящие пакеты.

• AllowOutboundParameterProblem – если значение данного параметра равно 0, то будут запрещены исходящие пакеты параметров проблем;

• AllowOutboundSourceQuench – при установке значения этого параметра равным 0 будут запрещены исходящие пакеты гашения источника.

• AllowOutboundTimeExceeded – если значение данного параметра равно 0, то будут запрещены исходящие пакеты истечения времени;

• AllowRedirect – при установке значения этого параметра равным 0 будут запрещены пакеты перенаправления.

Настройка программ-исключений

Последний набор параметров позволяет определить программы и порты исключения, работа через которые не будет блокироваться стандартным брандмауэром.

Например, можно определить, будут ли использоваться локальные списки программ и портов-исключений, после чего указать списки исключений, которые будут учитываться всегда.

Программы. исключения. Чтобы запретить использование локальных программ-исключений, достаточно параметру REG_DWORD-типа AllowUserPrefMerge присвоить значение 0. Данный параметр расположен в ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall «профиль брандмауэра»AuthorizedApplications.

После этого можно указать список программ-исключений, которые всегда будут учитываться брандмауэром Windows. Для этого достаточно воспользоваться параметрами строкового типа ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall «профиль брандмауэра»AuthorizedApplicationsList.

Порты. исключения. Чтобы запретить использование локальных портов-исключений, достаточно параметру REG_DWORD-типа AllowUserPrefMerge присвоить значение 0. Параметр расположен в ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall «профиль брандмауэра»GloballyOpenPorts.

После этого можно указать список портов-исключений, которые всегда будут учитываться брандмауэром Windows. Для этого достаточно воспользоваться параметрами строкового типа ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall «профиль брандмауэра»GloballyOpenPortsList.

Службы. исключения. Существует возможность запретить или разрешить работу в сети некоторых стандартных служб операционной системы. Для этого воспользуйтесь параметром REG_DWORD-типа Enabled. Если значение данного параметра равно 1, то работа соответствующей службы в сети будет разрешена.

Данный параметр может находиться в следующих ветвях реестра:

• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall «профиль брандмауэра»ServicesFileAndPrint – определяет разрешения входящего доступа для службы файлов и принтеров (порты UDP 137 и 138, и порты TCP 139 и 445);

• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall «профиль брандмауэра»RemoteAdminSettings – задает разрешения входящего доступа для службы удаленного администрирования данного компьютера с помощью WMI (порты TCP 135 и 445);

• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall «профиль брандмауэра»ServicesUPnPFramework – определяет разрешения входящего доступа для протокола UPnP (порты TCP 2869 и UDP 1900);

• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall «профиль брандмауэра»ServicesRemoteDesktop – задает разрешения входящего доступа для службы удаленного управления Рабочим столом данного компьютера (порты TCP 3389).

Во всех описанных выше ветвях реестра может находиться параметр строкового типа RemoteAddresses. Он позволяет указать конкретные IP-адреса компьютеров (через запятую), которым разрешено взаимодействовать с соответствующей службой.

Если вы уже заглядывали в окно Дополнительные атрибуты для какого-либо файла (отображается после нажатия кнопки Другие, расположенной на вкладке Общие окна Свойства файла или папки), то, наверное, уже заметили флажок Шифровать содержимое для защиты данных. С помощью данного флажка можно зашифровать файл или целую папку на основе шифрующей файловой системы EFS.

Существует возможность блокирования флажка Шифровать содержимое для защиты данных для определенного пользователя (рис. 3.5). Для этого достаточно присвоить параметру REG_DWORD-типа NoEncryption значение 1. Параметр расположен в ветви реестра HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer.

Рис. 3.5. Блокирование флажка Шифровать содержимое для защиты данных

Соответствующий REG-файл представлен ниже (расположение на компакт-диске – Файлы реестраИнтерфейсInterNoEncrypt.reg).

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]

"NoEncryption"=dword:00000001

Можно также полностью отключить шифрованную файловую систему EFS. Для этого нужно параметру REG_DWORD-типа NtfsDisableEncryption присвоить значение 1. Он расположен в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem.

Если вы пытаетесь переместить незашифрованный файл или папку в зашифрованную папку, то операционная система автоматически начнет шифрование незашифрованных данных. Существует возможность отключить такое поведение операционной системы (в этом случае перемещаемые в зашифрованную папку данные автоматически шифроваться не будут). Для этого нужно присвоить значение 1 параметру REG_DWORD-типа NoEncryptOnMove. Он расположен в ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer.

Как только вы зашифровали файл или папку, название зашифрованного объекта изменит свой цвет – по умолчанию название зашифрованных файлов и папок становится зеленым (а название сжатых файлов и папок – синим).

Можно изменить цвет названия для зашифрованных и сжатых файлов. Для этого нужно воспользоваться параметрами REG_BINARY-типа, расположенными в ветви HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer. Они имеют следующий формат: 0хR 0хG 0хB 00, где 0хR представляет красную компоненту, 0хG – зеленую, а 0хB – синюю:

• AltColor – определяет цвет названия сжатых файлов;

• AltEncryptionColor – задает цвет названия зашифрованных файлов.

Ниже приведен текст REG-файла (расположение на компакт-диске – Файлы реестраИнтерфейсColorEncryptCompres.reg), который изменяет цвет сжатых файлов на красный, а цвет шифрованных файлов на оранжевый.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer]

"AltColor"=hex: ff,00,00,00

"AltEncryptionColor"=hex:90,90,00,00

Есть еще одна возможность, связанная с шифрованной файловой системой EFS. Это возможность шифрования содержимого файла подкачки при выключении компьютера. Для этого нужно присвоить значение 1 параметру REG_DWORD-типа NtfsEncryptPagingFile. Он расположен в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem.

Диспетчер задач

При нажатии сочетания клавиш Ctrl+Shift+Esc на экран выводится окно Диспетчер задач Windows. Иногда бывает полезно запретить пользователям работу в данном окне, например чтобы исключить неквалифицированное вмешательство. Для этого в разделе реестра HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem следует создать REG_DWORD-параметр DisableTaskMgr и присвоить ему значение 1 (если подраздел System отсутствует по указанному пути, то его следует создать самостоятельно). Соответствующий REG-файл будет выглядеть следующим образом (расположение на компакт-диске – Файлы реестраРежимыDisableTaskMgr.reg):

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableTaskMgr"=dword:00000001

Теперь при нажатии сочетания клавиш Ctrl+Shift+Esc ничего происходить не будет.

После удаления параметра DisableTaskMgr из реестра либо присвоения ему значения 0 доступ к окну Диспетчер задач вновь будет открыт. Все изменения вступают в силу без перезагрузки компьютера.

Запрет редактирования реестра

При необходимости можно запретить пользователям работу в Редакторе реестра. Для этого в разделе HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem следует создать REG_DWORD-параметр DisableRegistryTools и присвоить ему значение 1. Соответствующий REG-файл будет выглядеть следующим образом (расположение на компакт-диске – Файлы реестраРежимыDisableRegistryTools.reg):

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableRegistryTools"=dword:00000001

После внесения указанных изменений и последующей перезагрузки компьютера запустить Редактор реестра будет нельзя. Будет также блокирована возможность запускать REG-файлы, так как они являются частью программы Редактор реестра. Однако будет разрешено использование сервера сценариев Windows, INF-файлов либо специально разработанных утилит для изменения параметров реестра.

Чтобы вновь открыть доступ к Редактору реестра, необходимо удалить параметр DisableRegistryTools из реестра либо присвоить ему значение 0, после чего перезагрузить компьютер.

Запрет отображения суперскрытых файлов

Суперскрытыми называются файлы, для которых одновременно установлены атрибуты Скрытый и Системный. По умолчанию они не отображаются, однако вы можете отобразить их с помощью флажка Скрывать защищенные системные файлы списка Дополнительные параметры, расположенного на вкладке Вид окна Свойства папки.

Можно запретить отображение суперскрытых файлов и удалить флажок Скрывать защищенные системные файлы. Для этого нужно параметру REG_DWORD-типа DontShowSuperHidden присвоить значение 1. Он расположен в ветви реестра HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer.

3.8. Системные механизмы

Теперь уделим несколько часов изучению настроек системных механизмов операционной системы.

Механизм предвыборки позволяет ускорить загрузку часто используемых при работе пользователя в операционной системе программ. Это достигается предварительным помещением в оперативную память данных таких программ. При этом механизм предвыборки основан не только на определении часто используемых программ, но и на определении графика запуска этих программ (день и время запуска). Другими словами, он позволяет подгружать в оперативную память те или иные данные в зависимости от текущего дня недели и времени.

Основные настройки механизма предвыборки находятся в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory ManagementPrefetchParameters.

• EnablePrefetcher – значение данного параметра REG_DWORD-типа позволяет определить, будет ли использоваться механизм предвыборки WindowsXP.

– 0 – механизм предвыборки WindowsXP отключен.

– 1 – включен во время работы операционной системы. При этом механизм предвыборки выполняет мониторинг обращений программы к файлу метаданных MFT в течение десяти секунд с момента запуска программы и сохраняет полученную информацию в файлы вида «программа»-«хэш строки пути к файлу». pf каталога %systemroot%Prefetch.

– 2 – включен во время запуска операционной системы. При этом механизм предвыборки выполняет мониторинг обращений к файлу метаданных MFT либо в течение 30 секунд после запуска оболочки, либо в течение 60 секунд после инициализации всех служб, либо через 120 секунд после входа пользователя в систему (в зависимости от того, какой из этих трех интервалов истечет первым). Все полученные данные механизм предвыборки заносит в файл NTOSBOOT-B00DFAAD.pf каталога %systemroot%Prefetch.

– 3 – включен и во время работы операционной системы, и во время ее запуска.

• EnableSuperfetch – если значение данного параметра REG_DWORD-типа равно 1, то также будет включен новый механизм предвыборки Windows Vista.

• HostingAppList – этот параметр строкового типа определяет список программ, которые считаются хостами для других процессов. Имя файла хоста в каталоге %systemroot%Prefetch формируется способом, отличным от способа создания имени файла для обычных программ («программа»-«хэш строки пути к файлу». pf). При формировании имени файла хоста к нему также добавляется хэш параметров запуска хоста.

Гибридный жесткий диск представляет собой обычный жесткий диск, который также содержит определенный объем флэш-памяти. Флэш-память предназначена для временного хранения часто используемых данных.

Если вы обладатель гибридного жесткого диска, то сможете более тонко настроить возможности его работы с помощью параметров REG_DWORD-типа, которые расположены в ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNvCache.

• OptimizeBootAndResume – позволяет запретить использование флэш-памяти гибридного жесткого диска для ускорения загрузки компьютера и выхода из спящего режима. Для этого данному параметру нужно присвоить значение 0.

• EnablePowerModeState – дает возможность запретить использование флэш-памяти гибридного жесткого диска для хранения используемых данных (вместо жесткого диска) при переходе в спящий режим или режим сна. Для этого данному параметру нужно присвоить значение 0.

• EnableNvCache – позволяет полностью запретить использование флэш-памяти гибридного жесткого диска. Для этого данному параметру нужно присвоить значение 0.

• EnableSolidStateMode – дает возможность запретить использование флэш-памяти гибридного жесткого диска для хранения часто применяемых при работе операционной системы данных (например, метаданных файловой системы и реестра). Для этого данному параметру нужно присвоить значение 0.

Как и предыдущие операционные системы семейства Windows, Windows Vista поддерживает механизм создания и восстановления точек отката. Основным способом работы с ним является вкладка Защита системы окна Свойства системы.

Существует возможность скрытия данной вкладки. Для этого достаточно присвоить значение 1 параметру REG_DWORD-типа DisableConfig (или параметру DisableSR). Эти параметры находятся в ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestore.

Можно также настроить некоторые параметры работы механизма восстановления системы. Для этого применяются параметры REG_DWORD-типа ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRestore.

• RPGlobalInterval – определяет интервал (в секундах) создания точек восстановления. По умолчанию интервал равен 24 часам.

• RPLifeInterval – задает время хранения (в секундах) созданных точек восстановления.

• DiskPercent – находится в подразделе cfg ветви реестра. Параметр определяет процент места на разделах диска, используемый механизмом восстановления системы.