|
div.main {margin-left: 20pt; margin-right: 20pt}
Тайны системного Реестра Windows NT
Часть первая
Первая часть посвящена разделам Реестра, которые
непосредственно определяют защищенность Windows NT.
Итак, далее
следует более-менее полный список "ключей от Вашего компьютера".
Потенциальные места расположения троянских программ: KLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit (REG_SZ)
KLMSoftwareMicrosoftWindowsCurrentVersionRun... (REG_SZ)
KLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonSystem (REG_SZ)
В первом и втором случае указанные в ключах приложения запускаются в
контексте текущего пользователя, в третьем -- от имени системы (System). Имеет
смысл регулярно проверять эти разделы Реестра на наличие троянцев.
Очистка файла подкачки при перезагрузке: HKLMSYSTEMCurrentControlSetControlSession ManagerMemory ManagementClearPageFileAtShutdown
Файл подкачки, в который потенциально могут попасть незашифрованные аккаунты
и пароли, будет очищаться при каждой перезагрузке, если параметру присвоено
значение 1 (REG_DWORD).
Устранение ошибки прав доступа в списке системных DLL HKLMSystemCurrentControlSetControlSession ManagerProtection Mode
Устраняется возможность атаки с применением троянских DLL, и, как следствие,
получения прав администратора. Требуется установить параметр в 1
(REG_DWORD).
Запрет перезагрузки и выключения компьютера без локального входа в
систему: KLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShutdownWithoutLogon
Установка ключа в 0 (REG_SZ) позволяет запретить завершение работы системы
(кнопка "Shutdown" в окне Logon становится недоступной и окрашивается серым
цветом).
Ограничение доступа на просмотр журналов событий пользователям группы
Guest: HKLMSystemCurrentControlSetServicesEventLogSystemRestrictGuessAccess
HKLMSystemCurrentControlSetServicesEventLogSecurityRestrictGuessAccess
HKLMSystemCurrentControlSetServicesEventLogApplicationRestrictGuessAccess
Создание ключей со значением 1 (REG_DWORD) ограничивает доступ к Журналу
событий (EventLog).
Изменение местонахождения файлов Журнала событий на жестком диске:
HKLMSystemCurrentControlSetServicesEventLogSystemFile
HKLMSystemCurrentControlSetServicesEventLogSecurityFile
HKLMSystemCurrentControlSetServicesEventLogApplicationFile
Перевод log-файлов в другой каталог на диске с помощью ключа File (REG_SZ)
может затруднить взломщику их умышленную модификацию.
Дополнительная защита локального входа: HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDontDisplayLastUserName
Когда этот ключ установлен в 1 (REG_SZ), уничтожается информация о последнем
зарегистрированном пользователе (очищается строка Login в дилоговом окне Logon
process).
"Сокрытие" сервера в списках сетевого окружения (Network Neightborhood):
HKLMSystemCurentControlSetServicesLanman ServerParametersHidden
Присвоение ключу значения 1 (REG_DWORD) скрывает имя сервера. Компьютер
перестает отображаться в списках, формируемых основными обозревателями домена,
хотя его ресурсы по-прежнему доступны всем, кто знает его непосредственный
адрес.
Изменение прав на редактирование Реестра: HKLMSystemCurentControlSetControlSecurePipeServers
Изменение при помощи программы regedt32.exe прав доступа к этому разделу
позволяет настроить политику безопасности для удаленного редактирования Реестра.
По умолчанию редактирование разрешено только членам группы Administrators.
Отключение нулевой сессии: HKLMSystemCurentControlSetControlLsaRestrictAnonymous (REG_DWORD)
Присвоение этому ключу значения 1 запрещает соединение с ресурсами компьютера
без обязательной регистрации. В частности, это исключает чтение списка учетных
записей и их описаний (descriptions).
Уничтожение разделяемых ресурсов администратора: HKLMSystemCurentControlSetServicesLanmanServerParametersAutoShareServer (REG_DWORD)
HKLMSystemCurentControlSetServicesLanmanServerParametersAutoShareWks (REG_DWORD)
Установка этих ключей в 0 (первый, соответственно, для NT Server, второй --
для NT Workstation) исключает администратору сетевой доступ к ресурсам вида
\ComputerNameC$, D$, ..., ADMIN$. (Прислал Дмитрий Артюхин).
Часть вторая
В этой заметке речь пойдет о ключах, прямо не влияющих на
безопасность компьютера, однако весьма полезных для сетевого администратора.
Разделение процессов 16-разрядной подсистемы Windows NT HKLMSystemCurentControlSetControlWOWDefaultSeparateVDM
Присвоение ключу значения "yes" (REG_SZ) позволяет запускать 16-разрядные
приложения в изолированных виртуальных машинах, что повышает отказоустойчивость
ОС, но отнимает много ресурсов.
Запрет автозапуска компакт-дисков: HKLMSystemCurentControlSetServicesCdromAutorun
Установка параметра в 0 (REG_DWORD) запрещает системе анализ файла
autorun.inf на компакт-дисках.
Переменные окружения для всех пользователей: HKLMSystemCurrentControlSetControlSession ManagerEnvironment
Можно отредактировать устанавливаемые по умолчанию переменные окружения, если
изменить необходимые ключи (REG_SZ) в этом разделе.
Выдача сообщения при локальной регистрации в системе: HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonLegalNoticeCaption (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonLegalNoticeText (REG_SZ)
В качестве значения первого ключа укажите заголовок, а в качестве второго,
соответственно, текст сообщения. Эта информация может быть прочитана
пользователем, регистрирующимся локально.
Авторегистрация в системе: HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonAutoAdminLogon (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultUserName (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultPassword (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultDomainName (REG_SZ)
Требуется присвоить первому ключу значение 1, остальным -- соответственно имя
пользователя, пароль и домен. Помните, что использование авторегистрации
потенциально опасно, так как эти значения хранятся в Реестре в открытом виде и
могут быть похищены локально или через сеть.
Путь к файлам дистрибутива по умолчанию: HKLMSoftwareMicrosoftWindows NTCurrentVersionSourcePath
Этот путь (REG_SZ) можно изменить, чтобы каждый раз при установке компонентов
из дистрибутива Windows NT не требовалось набирать его заново.
Редактирование параметров запуска сервисов: HKLMSYSTEMCurrentControlSetServices[servicename]Start
Внутри этого раздела Реестра находятся подключи, соответствующие всем
установленным сервисам. Можно изменять споvсоб их запуска посредством параметра
Start (REG_DWORD):
* 0 (Boot) - загрузчик - ядро операционной системы;
* 1 (System) -
загружается при инициализации ядра;
* 2 (Automatic) - автоматически
запускается менеджером Service Control Manager;
* 3 (Manual) - запускается
пользователем вручную;
* 4 (Disabled) - отключен.
Снятие и установка пароля для экранных заставок: HKUDefaultControl PanelDesktopScreenSaveIsSecure
Чтобы экранные заставки спрашивали пароль, установите параметр в 1 (REG_SZ).
Значение действует на профиль "Default", то есть на всех пользователей.
Отключение коротких имен 8.3: HKLMSystemCurrentControlSetControlFileSystemNtfsDisable8dot3NameCreation (REG_DWORD)
Механизм создания коротких имен для файлов используется в целях совместимости
со старыми 16-битными приложениями. Если вы не используете такие приложения,
присвойте этому ключу значение 1 -- это позволяет поднять производительность
NTFS.
Управление включением режима NumLock: HKCUControl PanelKeyboardInitialKeyboardIndicators
Значение 2 (REG_DWORD) включает NumLock на клавиатуре при входе пользователя
в систему.
| 
