Windows Vista. Для профессионалов Клименко Роман

Примечание

Сведения о работе механизма UAC заносятся в журнал Журналы приложений и служб Microsoft Windows UAC.

Политика влияет на значение параметра REG_DWORD-типа EnableLUA ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\System.

– Управление учетными записями пользователей: при сбоях записи в файл или реестр виртуализация в размещение пользователя – указывает, будет ли применяться механизм виртуализации каталогов и ветвей реестра , в которые пытается записать значения определенная программа, но при этом у пользователя нет доступа к этим каталогам и ветвям. По умолчанию применяется.

Примечание

Сведения о работе с виртуальными папками заносятся в журнал Журналы приложений и служб Microsoft Windows UAC-FileVirtualization.

Политика влияет на значение параметра REG_DWORD-типа EnableVirtualization ветви системного реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.

– Управление учетными записями пользователей: режим одобрения администратором для встроенной учетной записи администратора – определяет, будет ли работать пользователь Администратор в режиме LUA.

Политика влияет на значение параметра REG_DWORD-типа FilterAdministratorToken ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.

– Управление учетными записями пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав – указывает, будет ли запрещен доступ ко всем открытым окнам и Рабочему столу при отображении окна UAC. По умолчанию доступ запрещен.

Политика влияет на значение параметра REG_DWORD-типа PromptOnSe-cureDes ktop ветви системного реестра HKEY_LOCAL_MACHINE \ SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.

– Управление учетными записями пользователей: повышение прав только для подписанных и проверенных исполняемых файлов – определяет, будет ли разрешено запускать с административными правами программы, не имеющие достоверной подписи. По умолчанию разрешено.

Политика влияет на значение параметра REG_DWORD-типа ValidateAd-minCodeSignatures ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.

– Системная криптография: обязтельное применение сильной защиты ключей пользователей, хранящихся на компьютере – позволяет определить, будет ли применяться усиленная защита хранилища пользовательских ключей.

Политика влияет на значение параметра REG_DWORD-типа ForceKey-Protection ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsof t\Cryptography. Если значение данного параметра равно О, то добавление нового пользовательского ключа в хранилище не требует подтверждения. Если значение равно 1, то добавление нового пользовательского ключа в хранилище требует подтверждения. Если же значение равно 2, то добавление нового пользовательского ключа в хранилище требует ввода пароля.

– Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ – позволяет указать, будет ли разрешено изменять параметры запуска файлов на данном компьютере на основе сертификатов файлов (по умолчанию запускаются все файлы, но можно разрешить запуск только сертифицированных файлов или файлов из определенного каталога).

Политика влияет на значение параметра REG_DWORD-типа Authentico-deEnabled ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Miегоsoft\Windows\Safer\CodeIdentifiers.

– Параметры системы: необязательные подсистемы – с помощью этой политики можно изменить значение параметра optional. Он содержит список подсистем операционной системы Windows Vista, которые автоматически будут загружаться в память компьютера процессом winlogon.exe при входе пользователей в систему. Естественно, что все ненужные подсистемы лучше удалить, чтобы их поддержка не понижала скорость работы операционной системы.

Политика влияет на значение параметра REG_MULTI_SZ-типа optional ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems. По умолчанию значение параметра равно POSIX.

– Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам – позволяет запретить анонимный доступ к нулевым каналам и ресурсам общего доступа. Это повышает безопасность компьютера, но при этом некоторые службы предыдущих версий операционной системы Windows не смогут получить сетевой доступ к операционной системе. По умолчанию доступ запрещен.

Политика влияет на значение параметра REG_DWORD-типа Restrict-NullSessAccess ветви системного реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\LanManServer\Parameters.

Кроме того, раздел Параметры безопасности содержит и такие стандартные подразделы, как Политики открытого ключа и Политики ограниченного использования программ.

С помощью подраздела Политики открытого ключа можно опубликовать сертификаты определенного типа, не используя рассмотренную нами ранее оснастку Сертификаты. Типы сертификатов, которые можно опубликовать, аналогичны типам сертификатов, отображаемых в оснастке Сертификаты, и были рассмотрены ранее. Кроме того, обратите внимание на вложенный подраздел Файловая система EFS. Именно с помощью команды Добавить агент восстановления данных контекстного меню данного подраздела можно добавить агент восстановления (на основе сертификата пользователя).

С помощью подраздела Политики ограниченного использования программ, как и раньше, определяются правила, на основе которых система будет решать, можно пользователю запустить определенный файл или нет. Если вы решили создать такие правила, то сначала в контекстном меню данного подраздела выберите команду Создать политику ограниченного использования программ, после чего в подразделе Политики ограниченного использования программ будут созданы два дочерних подраздела: Уровни безопасности и Дополнительные правила.

Как и раньше, ограничивать доступ к файлам и каталогам можно на основе четырех правил.

• Создать правило для сертификата – позволяет ограничить доступ к сценарию или пакету установщика Windows (расширение MSI) на основе сертификатов, которые были им выданы. Если сценарий или пакет установщика Windows не имеют указанного в правиле сертификата, то их использование будет запрещено. Это правило является наиболее защищенным, хотя и доступно только для сценариев и MSI-файлов.

• Создать правило для хэша – дает возможность ограничить доступ к файлам на основе хэша, которым они подписаны. Правило создается для определенного файла, при этом также создается хэш файла. Если кто-то попытается модифицировать файл, для которого определен хэш с помощью правила, то такой файл больше не будет разрешено запускать, так как его хэш не будет совпадать с тем, который определен правилом.

Если же создается правило на основе хэша, которое будет запрещать запуск определенного файла, то пользователь сможет его довольно легко обойти – достаточно будет изменить содержимое файла, чтобы изменился и его хэш.

• Создать правило для зоны сети – позволяет ограничить доступ к файлам установщика Windows на основе зоны Интернета, из которой был получен данный файл.

• Создать правило для пути – дает возможность ограничить доступ к файлам на основе каталога, в котором они расположены.

Чтобы создать одно из описанных выше правил, нужно воспользоваться контекстным меню подраздела Дополнительные правила.

Но перед этим необходимо изменить общий уровень доступа к файлам, используемый в системе. Возможные уровни определены в подразделе Уровни безопасности, и, чтобы изменить уровень, достаточно в контекстном меню нужного уровня выбрать команду По умолчанию. Если раньше подраздел Уровни безопасности содержал всего два возможных уровня, то в операционной системе Windows Vista их три.

• Запрещено – если вы установите данный уровень доступа, то по умолчанию доступ к любым файлам компьютера для всех пользователей будет запрещен. Не забудьте только после этого создать несколько дополнительных правил, которые разрешали бы пользователям доступ к определенным каталогам.

• Обычный пользователь – если вы установите данный уровень доступа, то по умолчанию доступ к любым файлам компьютера будет разрешен только с правами пользователя. Доступ с правами администратора или опытного пользователя будет запрещен.

• Неограниченный – используется по умолчанию. При этом пользователям разрешен доступ ко всем файлам компьютера без ограничений (естественно, если только доступ к файлам не запрещен с помощью ACL).

Подраздел Сценарии

Подраздел Сценарии также совершенно не изменился по сравнению с предыдущими версиями операционной системы Windows. С его помощью можно указать путь к VBS или JS-сценарию, ВАТ-файлу или любой программе, которая должна автоматически запускаться либо при входе пользователя в систему или выходе из нее (подраздел Сценарии раздела Конфигурация пользователя), либо при запуске процесса winlogon.ехе или выключении компьютера (подраздел Сценарии раздела Конфигурация компьютера).

Работа со сценариями. Как и раньше, если вы назначаете на выполнение сценарий, расположенный на локальном компьютере, то он должен находиться в одном из следующих каталогов (на самом деле он может находиться где угодно, но ведь не зря же разработчики ввели специальные каталоги файловой системы для хранения сценариев).

• %systemroot%\System32\GroupPolicy\User\Scripts\Logon – сценарий должен исполняться при входе текущего пользователя в систему. Запускается с правами пользователя.

• %systemroot%\System32\GroupPolicy\User\Scripts\Logoff – сценарий должен исполняться при выходе текущего пользователя из системы. Запускается с правами пользователя.

• %systemroot%\System32\GroupPolicy\Machine\Scripts\Shutdown – сценарий должен исполняться при выключении компьютера любым пользователем. Запускается с правами системы.

• %systemroot%\System32\GroupPolicy\Machine\Scripts\Startup – сценарий должен исполняться при загрузке процесса winlogon.exe любым пользователем. Запускается с правами системы.

Как и раньше, сведения об указанных вами сценариях, запускаемых автоматически, записываются как в реестр, так и в специальный файл файловой системы.

Сведения о сценариях, автоматически запускаемых для пользователя, хранятся в файле scripts.ini каталога %systemroot%\System32\GroupPolicy\ User \ Scripts. Сведения о сценариях, автоматически запускаемых для всех пользователей, хранятся в файле scripts.ini каталога %systemroot%\System32\ GroupPolicy\Machine\Scripts. Оба этих файла очень просты в понимании и позволяют редактировать свое содержимое вручную, без использования оснастки Редактор объектов групповой политики.

Сведения о запускаемых сценариях хранятся в подразделах ветвей системного реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Group Policy\Scripts и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Group PolicyXScripts.

Групповые политики настройки выполнения сценариев. Операционная система Windows Vista содержит специальные групповые политики для настройки выполнения сценариев. Все они расположены в подразделе Конфигурация компьютера Административные шаблоны Система Сценарии и описаны в файле Scripts. admx. Например, в данном подразделе можно встретить следующие групповые политики (все они влияют на параметры типа REGDWORD, расположенные в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Pol icies\ System).

• Allow-LogonScript-NetbiosDisabled – если значение данного параметра равно 1, то пользовательские сценарии входа будут выполняться даже в том случае, если во время входа в перекрестный лес NetBIOS и WINS отключены и DNS-серверы не настроены.

• MaxGPOScriptWait – значение данного параметра определяет максимальное время (в секундах), которое могут выполняться сценарии входа и выхода, и может принимать значения от 1 до 32 000 секунд. По умолчанию сценарии могут выполняться не более десяти минут.

• RunLogonScriptSync – если значение данного параметра равно 1, то все пользовательские сценарии входа в систему будут выполняться синхронно с самим процессом входа. Иными словами, пока сценарии не будут выполнены, оболочка пользователя отображена не будет. По умолчанию сценарии выполняются асинхронно. Этот параметр находится и в ветви реестра корневого раздела HKEY_CURRENT_USER.

• HideShutdownScripts – при установке значения этого параметра равным С сценарии, которые выполняются при завершении работы операционной системы, будут отображаться на экране. По умолчанию сведения об их выполнении не отображаются. Этот параметр находится и в ветви реестра корневого раздела HKEY_CURRENT_USER.

• RunStartupScriptSync – если значение данного параметра равно 0, то все сценарии входа в систему будут выполняться асинхронно по отношению друг к другу. Иначе говоря, пока не будет выполнен один сценарий, второй выполняться не будет. По умолчанию сценарии выполняются асинхронно.

Подраздел Настройка Internet Explorer

Совершенно не изменился и подраздел Настройка Internet Explorer раздела Политика «Локальный компьютер» Конфигурация пользователя Конфигурация Windows. Как и раньше, он содержит следующие подразделы.

• Пользовательский интерфейс обозревателя – позволяет настроить такие элементы окна браузера Internet Explorer, как заголовок окна (подраздел Заголовок обозревателя), файлы изображений для фона панели инструментов браузера, а также позволяет добавить собственные кнопки к панели инструментов (подраздел Настройка панели инструментов). Кроме того, с помощью данного подраздела можно изменить файлы изображений для статического и динамического логотипов браузера Internet Explorer (подраздел Эмблема и анимированные рисунки). Следует только понимать, что при использовании нового интерфейса операционной системы вообще не существует такого понятия, как логотип или изображение панели инструментов, поэтому, для того чтобы увидеть изменения, нужно работать в операционной системе Windows Vista с интерфейсом ранних версий операционной системы.

Все параметры, изменяемые с помощью данного подраздела, записываются в текстовый файл install. ins (по умолчанию изменять данный файл могут только администраторы и система), расположенный в каталоге %systemroot%\ system32\GroupPolicy\User\MICROSOFT\IEAK. Сами же измененные параметры записываются в реестр с помощью процесса svchost.ехе, запущенного с правами системы.

• Подключение – дает возможность настроить следующие параметры браузера Internet Explorer:

– строку, добавляемую к строке User-Agent, идентифицирующей обозреватель (подраздел Строка обозревателя);

– используемые для подключения к Интернету адреса и порты прокси-сервера (подраздел Параметры прокси-сервера);

– адрес компьютера, который содержит сценарии (INS-файл для настройки параметров обозревателя и JS-сценарий для настройки прокси) для автоматической настройки обозревателя через определенный промежуток времени (подраздел Автоматическая настройка обозревателя).

С помощью данного подраздела можно также экспортировать настройки, изменяемые с помощью вкладки Подключения окна Свойства: Интернет, в файлы, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\ MICROSOFT\IEAK\BRANDING\cs, чтобы впоследствии содержимое этих файлов автоматически импортировалось в браузер Internet Explorer.

• URL-адреса – позволяет настроить содержимое папок Избранное и Ссылки (подраздел Избранное и ссылки), а также изменить такие стандартные адреса браузера Internet Explorer, как адрес домашней страницы, панели поиска и страницы поддержки (подраздел Важные URL-адреса).

• Безопасность – дает возможность экспортировать настройки зон Интернета и настройки ограничений браузера (Ratings) в INF-файлы, чтобы впоследствии содержимое этих файлов автоматически импортировалось в браузер Internet Explorer (подраздел Зоны безопасности и оценка содержимого). Зоны безопасности экспортируются в файлы seczones. inf и seczrsop. inf, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\ IEAK\BRANDING\ZONES, а параметры ограничений браузера экспортируются в INF-файлы ratings, inf и ratrsop.inf каталога %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\RATINGS. С помощью этого подраздела можно также экспортировать параметры настройки сертификатов доверенных издателей и доверенных агентств выдачи сертификатов (подраздел Параметры Authenticode).

Раздел Административные шаблоны

Административные шаблоны – это единственное, что существенно изменилось в операционной системе Windows Vista. Точнее, изменились не сами административные шаблоны, а способы их создания. Если раньше все групповые политики хранились в пяти файлах с расширением ADM, то теперь для их хранения используется множество файлов с расширениями ADMX и ADML, которые представляют собой XML-файлы (то есть также изменился и синтаксис создания данных файлов).

Примечание

Сведения о применении групповых политик заносятся в журнал Журналы приложений и служб Microsoft Windows GroupPolicy.

Согласитесь, что было бы глупо изменять формат файлов, содержащих групповые политики, и полностью отказываться от всех написанных ранее административных файлов с расширением ADM. Именно поэтому групповые политики Windows Vista поддерживают как новый формат файлов административных шаблонов, так и старый. Теперь все файлы с расширением ADM заносятся в подраздел групповых политик Административные шаблоны Классические административные шаблоны (ADM). При этом операционная система Windows Vista по умолчанию содержит один ADM-файл, который расположен в каталоге %systemroot%\inf и управляет настройкой ограничений на передачу отчетов об ошибках в работе операционной системы и программ корпорации Microsoft.

Хранение групповых политик. Все групповые политики, которые вы применили с помощью оснастки Редактор объектов групповой политики, заносятся не только в реестр, но и в два специальных файла с именем registry.pol. Они расположены в каталогах %systemroot%\system32\GroupPolicy\Machine и %systemroot%\system32\GroupPolicy\User. Параметры из этих файлов через определенные промежутки времени заносятся в реестр (как и в предыдущих операционных системах, можно воспользоваться командой gpupdate.ехе, чтобы вручную внести в реестр содержимое файлов registry.pol).

Именно из-за этих файлов удаление параметров групповых политик непосредственно с помощью реестра не приведет ни к каким результатам – они будут заново созданы при следующем помещении содержимого файлов registry.pol в реестр. Поэтому если вы установили какие-либо ограничения с помощью групповых политик, то и удалить их вы сможете только с помощью групповых политик.

Если компьютер находится в домене, то для него применяются не только локальные групповые политики, но и групповые политики на уровне домена и организационной единицы. Как и раньше, политики на уровне домена будут замещать собой политики локального компьютера, а групповые политики на уровне организационной единицы будут замещать собой политики на уровне домена.

Работа с групповыми политиками с помощью дополнительных программ

Теперь рассмотрим несколько программ командной строки, которые предназначены для работы с групповыми политиками. Первая из них является нововведением операционной системы Windoiws Vista. Вторая же присутствовала и в предыдущих версиях Windows.

• Migration Table. Расположение: %systemroot%\system32\mtedit.ехе.

Эту программу можно использовать при копировании групповых политик из одного домена в другой, для определения и изменения специфических для домена данных. При копировании групповых политик из одного домена в другой политики старого домена не всегда смогут работать на новом домене. Например, если политики основаны на SID учетных записей пользователей, которые никак не могут совпадать у двух доменов, данные политики работать не будут. В этом случае вам может понадобиться программа Migration Table, которая позволяет указать данные старого домена, например SID учетных записей и данные, на которые они будут автоматически заменены при копировании в новый домен.

С помощью программы Migration Table можно указать изменение следующих данных: SID групп и учетных записей пользователей, имена компьютеров, а также пути UNC. Эти данные могут встречаться как непосредственно в групповых политиках, так и в ACL для групповых политик или дополнительных файлов.

После работы Migration Table создается текстовый файл в формате XML с расширением MIGTABLE. Конечно, вы можете редактировать или даже самостоятельно создавать данный файл, не используя программы Migration Table, однако с ее помощью создание файла миграции существенно облегчается.

Для запуска программы Migration Table лучше всего воспользоваться оснасткой Управление групповой политикой. Для этого достаточно в контекстном меню домена или объекта групповой политики выбрать команду Открыть редактор таблиц миграции, после чего отобразится окно программы.

Чтобы просмотреть дополнительную информацию о данной программе, достаточно воспользоваться меню Справка для вывода справки по работе с ней.

• Group Policy Update Utility v6.0. Расположение: %systemroot%\system32\ Gpupdate.exe.

Эта программа командной строки также присутствовала в предыдущих версиях операционной системы Windows, поэтому мы не будем рассматривать ее подробно. С ее помощью можно выполнить немедленное обновление групповых политик компьютера на основе локальных и групповых политик домена. Для этого достаточно воспользоваться данной программой без параметров. При обновлении можно также указать следующие основные параметры.

– /target: – может принимать значения computer и user. Определяет тип политик, которые будут обновлены (по умолчанию обновляются оба типа политик).

– /Logoff – при завершении обновления политики выйти из системы.

– /boot – при завершении обновления политики перезагрузить компьютер.

Настройка групповых политик

Как ни странно звучит название этого подраздела книги, но операционная система Windows Vista содержит специальные групповые политики для настройки работы механизма групповых политик и RSoP (о RSoP будет рассказано при описании оснастки Результирующая политика). Все они расположены в подразделе Административные шаблоны Система Групповая политика разделов Конфигурация компьютера и Конфигурация пользователя. Они описаны в файле GroupPolicy.admx.

CLSID-номер оснастки: {5D617 9C8-17EC-11D1-9AA9-00C04FD8FE93}.

Библиотека: localsec.dll.

Используется в стандартных консолях: compmgmt.msc, lusrmgr.msc.

Работа с данной оснасткой, как и ее интерфейс, также совершенно не изменились. При добавлении оснастки вы можете выбрать компьютер, информацию которого она должна отображать. После этого оснастка будет добавлена.

Примечание

Параметры учетных записей компьютера можно просмотреть с помощью экземпляров класса Win32_UserAccount, принадлежащего пространству имен \\root\cimv2. Например, данный класс поддерживает следующие свойства: AccountType (определяет свойства учетной записи), Disabled (указывает, отключена ли данная учетная запись), Domain (ключевое свойство, определяющее домен, в котором зарегистрирована учетная запись), LocalAccount (указывает, является ли данная учетная запись локальной), Lockout (определяет, заблокирована ли данная учетная запись), Name (ключевое свойство, определяющее название учетной записи), PasswordChangeable (указывает, можно ли изменить пароль для данной учетной записи), PasswordExpires (определяет, имеет ли пароль для данной учетной записи срок действия), PasswordRe-quired (указывает, установлен ли пароль для данной учетной записи), SID (определяет SID учетной записи).

Группы пользователей

По умолчанию в Windows Vista созданы следующие группы пользователей.

• IIS_IUSRS – пользователи данной группы могут работать с веб-сервером IIS локального компьютера. По умолчанию в данную группу входит пользователь NT AUTHORITY\IUSR.

• Администраторы – пользователям данной группы предоставлены максимальные привилегии на локальном компьютере. По умолчанию в данную группу входит пользователь Адмнистратор, а также первый пользователь, которого вы создавали при инсталляции операционной системы.

• Гости – пользователи данной группы обладают минимальными правами в операционной системе. По умолчанию в данную группу входит пользователь Гость.

• Криптографические операторы – пользователи этой группы могут выполнять шифрование и расшифровку данных. В остальном их права соответствуют правам участников группы Пользователи.

• Операторы архива – пользователи данной группы могут выполнять архивирование и восстановление системы с помощью стандартного мастера Windows. В остальном их права соответствуют правам пользователей группы Пользователи.

• Операторы настройки сети – пользователям этой группы разрешено выполнять настройку сетевых интерфейсов локального компьютера. В остальном их права соответствуют правам пользователей группы Пользователи.

• Опытные пользователи – им разрешено создавать других пользователей и другие группы (но не обладающих никакими административными правами), разрешен доступ к каталогу %programfUes% и многим дополнительным ветвям реестра , а также разрешено запускать или останавливать службы. В остальном их права соответствуют правам участников группы Пользователи.

• Пользователи – обладают основными правами по работе в системе, но не обладают никакими административными правами. По умолчанию в данную группу входят пользователи NT AUTHORITY\Authenticated Users и NT AUTHORITY\INTERACTIVE.

• Пользователи DCOM – пользователи данной группы могут выполнять любые операции с DCOM-объектами, зарегистрированными на локальном компьютере. В остальном их права соответствуют правам участников группы Пользователи.

• Пользователи журналов производительности – пользователям данной группы разрешено пользоваться журналами производительности локального компьютера. В остальном их права соответствуют правам участников группы Пользователи.

• Пользователи системного монитора – пользователям этой группы разрешено удаленно просматривать журналы производительности локального компьютера. В остальном их права соответствуют правам участников группы Пользователи.

• Пользователи удаленного рабочего стола – пользователям данной группы разрешен доступ к удаленному Рабочему столу операционной системы.

• Репликатор – пользователь данной группы может зарегистрироваться в службе репликации контроллера домена.

• Читатели журнала событий – пользователи этой группы обладают правом чтения стандартных журналов операционной системы.

Хранение сведений в реестре

Сведения о пользователях и группах, зарегистрированных в операционной системе Windows Vista, содержатся в базе данных SAM. Она проецируется на две ветви реестра: HKEY_LOCAL_MACHINE\SAMHHKEY_LOCAL_MACHINE\SECURITY. По умолчанию администратор не может получить доступ к ветви HKEY_LOCAL_MACHINE\ SECURITY, однако если вы отредактируете права доступа к данной ветви, то сможете просмотреть ее содержимое. Хотя это даст не многое: как ветвь реестра HKEY_LOCAL_MACHINE\SECURITY, так И HKEY_LOCAL_MACHINE\SAM хранит данные в зашифрованном виде.

Список всех стандартных групп пользователей содержится в ветви системного реестра HKEY_LOCAL_MACHINE\SAM\SAM\Domains\BuiItin\Aliases\Names (в виде подразделов данной ветви). В данной ветви хранятся только названия групп, остальные же сведения о них хранятся в параметре REG BINARY-типа С ветви HKEY_L0CAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\<номер группы>. Например, в данном параметре находится описание группы.

Если же вы создаете свою группу, то сведения о ней заносятся в параметр типа REG_BINARY С ветви системного реестра HKEY_LOCAL_MACHINE\SAM\SAM\ Domains\Account\Aliases\<номер группы>, а ее название заносится как дочерний подраздел в ветвь реестра HKEY_LOCAL_MACHINE\SAM\SAM\Domains\ Account\Aliases\Names.

Названия всех учетных записей пользователей хранятся как дочерние подразделы ветви реестра HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ Names. Остальная же информация об учетных записях пользователей находится в параметрах REG_BINARY-типа ветви реестра HKEY_LOCAL_MACHINE\SAM\ SAM\Domains\Account\Users\<номер пользователях Например, параметр V хранит сведения о полном имени учетной записи и ее описании. Параметр UserPasswordHint содержит подсказку пользователя (при вводе пароля во время создания учетной записи пользователя можно было ввести подсказку, которая будет отображаться, если вы ввели пароль неправильно). А в параметре UserTile хранится путь к изображению, которое ассоциируется с учетной записью пользователя и отображается в меню Пуск.

Список пользователей, профили которых созданы в операционной системе (как обычных пользователей, так и таких стандартных учетных записей как, например, LOCAL SYSTEM, LOCAL SERVICE и NETWORK SERVICE), также находится в ветви реестра

Примечание

С помощью команды rundll32.exe sysdm.cpl, EditUserProfiles можно отобразить окно Профили пользователей, которое позволяет изменить тип профиля пользователя (локальный или перемещаемый), удалить профиль пользователя или переместить его в другой каталог.

Особенностью ветви HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\ProfileList является то, что в ней также определяются сведения о стандартных профилях операционной системы. Эта ветвь включает в себя следующие параметры строкового типа.

• Default – хранит путь к профилю, который будет использоваться как основа при создании нового профиля пользователя (при первом входе в операционную систему пользователя, учетная запись которого была недавно создана).

• Prof ilesDirectory – содержит путь к каталогу, хранящему профили пользователей операционной системы.

• ProgramData – хранит путь к каталогу, используемому установленными в операционной системе программами для хранения своих данных.

• Public – содержит путь к каталогу профиля Общие.

Результирующая политика

CLSID-номер оснастки: { 6DC3804B-7212-458D-ADB0-9A07E2AE1FA2 }.

Библиотека: GPEdit.dll.

Используется в стандартных консолях: rsop.msc.

Впервые оснастка Результирующая политика появилась в операционной системе Windows ХР. Она предоставляет простой способ просмотра групповых политик, которые действуют на того или иного пользователя.

Если в оснастке Редактор объектов групповой политики отображаются все групповые политики, доступные для данной операционной системы, то в оснастке Результирующая политика отображаются только те групповые политики, которые были установлены. Кроме того, особенностью данной оснастки является то, что она отображает групповые политики, учитывая их состояние, определенное как групповыми политиками локального компьютера, так и групповыми политиками, установленными на уровне домена и организационной единицы. При этом оснастка позволяет определить групповые политики, состояние которых конфликтует на уровне локального компьютера, домена или организационной единицы.

После открытия оснастки Результирующая политика ее основное окно будет пустым. Чтобы отобразить итоги работы результирующей политики, сначала нужно определить компьютер и пользователя, для которого будет генерироваться результирующая политика. Для этого в контекстном меню подраздела оснастки нужно выбрать команду Создать данные RSoP. После этого отобразится соответствующий мастер, позволяющий выбрать компьютер и пользователя данного компьютера.

После генерации результирующей политики в подразделе оснастки будет создано два дочерних подраздела, уже знакомых вам по оснастке Редактор объектов групповой политики: Конфигурация компьютера и Конфигурация пользователя. Как и раньше, они будут содержать дочерние подразделы Конфигурация программ, Конфигурация Windows и Административные шаблоны (если была определена хотя бы одна политика данного подраздела).

Подраздел Административные шаблоны будет содержать только те политики, которые были установлены для выбранного пользователя. При этом в свойствах установленной политики, помимо стандартных вкладок Параметр (обратите внимание, что с помощью данной вкладки можно просмотреть состояние групповой политики, но нельзя его изменить) и Объяснение, появится еще одна вкладка – Приоритет. С помощью этой вкладки можно определить, на каком уровне была назначена соответствующая политика: на уровне локального компьютера, домена или организационной единицы.

Подраздел Конфигурация Windows всегда будет включать в себя как минимум один подраздел – Параметры безопасности. Его содержимое отображается независимо от того, изменяли вы его или нет. При этом содержимое данного подраздела немного изменится. В нем будут отображаться как стандартные подразделы Политики учетных записей, Локальные политики, Политики открытого ключа, Политики ограниченного использования программ и Политики IP-безопасности, так и несколько дополнительных подразделов, параметры которых редактируются с помощью оснастки Шаблоны безопасности.

• Журнал событий – отображает параметры ведения стандартных журналов оснастки Просмотр событий.

• Группы с ограниченным доступом – выводит список пользователей, права которых были временно повышены до определенной группы.

• Системные службы – отображает состояние службы компьютера, которое было назначено ей с помощью групповой политики.

• Реестр – выводит ветви реестра , разрешения доступа к которым были изменены.

• Файловая система – отображает каталоги файловой системы, разрешения доступа к которым были изменены.

• Политики проводной сети (IEEE 802.3) – выводит параметры настройки сетей IEEE 802.3.

• Политики беспроводной сети (IEEE 802.11) – отображает параметры настройки беспроводных сетей IEEE 802.11.

Как и в предыдущих версиях операционной системы, в Windows Vista присутствует программа командной строки gpresult.ехе (Расположение: %systemroot%\ system32\gpresult.ехе), с помощью которой также можно получить сведения о результирующих политиках. После запуска данной программы без параметров перед вами отобразятся следующие сведения: тип и версия операционной системы, домен, список доступных на компьютере групп, а также логин текущего пользователя, дата последнего применения групповых политик. Также будет указано, было ли выполнено подключение к компьютеру с использованием медленной линии (а также порог скорости, при котором линия считается медленной). Конечно, отобразятся и сами примененные групповые политики.

Если же вы хотите отобразить результирующие политики конкретного пользователя, то нужно воспользоваться параметром /user. А с помощью параметра /scope, значениями которого могут быть слова user или computer, можно указать тип групповых политик, которые нужно отобразить.

Если же нужно подключиться к удаленному компьютеру, то достаточно воспользоваться параметрами/s <компьютер>, /и <пользователь>и/р <пароль>.

Анализ и настройка безопасности

CLSID-номер оснастки: {011BE22D-E453-11D1-945A-00C04FB984F9}.

Библиотека: wsecedit.dll.

Используется в стандартных консолях: нет.

Оснастка не является нововведением операционной системы Windows Vista. Однако мы рассмотрим ее (хоть и не подробно), так как работа с ней немного запутанна, хотя и не представляет особой сложности.

Работа с оснасткой

Оснастка Анализ и настройка безопасности предназначена для просмотра текущей конфигурации параметров компьютера, назначаемых с помощью шаблонов другой оснастки – Шаблоны безопасности, которую мы рассмотрим немного позже. При этом вы не только можете проанализировать состояние параметров компьютера, но и указать те из параметров, значения которых будут изменены согласно параметрам выбранного шаблона.

После того как вы загрузите нужный шаблон в оснастку Анализ и настройка безопасности, в ее контекстном меню станет активна команда Анализ компьютера. Как только вы ее выберете, начнется анализ конфигурации параметров компьютера, которые изменяются с помощью выбранного шаблона. Результаты анализа будут отображены в виде подразделов оснастки Анализ и настройка безопасности. Эти подразделы аналогичны подразделам выбранного вами шаблона безопасности.

Итак, теперь вы можете просмотреть, соответствуют ли текущие параметры настройки компьютера параметрам выбранного шаблона. Но что же делать, если значение какого-то параметра не соответствует значению, указанному в шаблоне (заметьте, что в этом случае напротив соответствующего параметра отображается перечеркнутый крестик)? В этом случае в контекстном меню соответствующего параметра нужно выбрать команду Свойства. После этого откроется окно, которое отображает текущее значение параметра и имеет флажок Определить следующую политику в базе данных. Если вы установите данный флажок, то в поле под ним отобразится значение данного параметра, указанное в шаблоне безопасности (рис. 5.17). С помощью этого же поля вы можете ввести свое значение данного параметра, отличное от того, которое указано в шаблоне безопасности. После того как вы нажмете кнопку ОК, значение шаблона безопасности заменит собой текущее значение компьютера. Но только в окне оснастки! Чтобы значения измененных вами параметров действительно были записаны в реестр компьютера, нужно в контекстном меню данной оснастки выбрать команду Настроить компьютер. После этого измененные вами значения параметров будут помещены в реестр компьютера.

Рис. 5.17. Установка значения параметров шаблона безопасности

Использование программы secedit.exe

Для анализа параметров безопасности компьютера можно использовать программу командной строки secedit.ехе. Возможности данной программы полностью совпадают с возможностями оснастки Анализ и настройка безопасности. Она поддерживает следующие параметры: /configure, /analyze, /import, /export, /validate и /generaterollback. Для просмотра описания использования определенной команды достаточно ввести команду secedit.ехе <команда>.

CLSID-номер оснастки: {5ADF5BF6-E452-11D1-945A-00C04FB984F9}.

Библиотека: wsecedit.dll.

Используется в стандартных консолях: нет.

Эта оснастка, как и предыдущая, не является нововведением операционной системы Windows Vista. С ее помощью можно создать новые или отредактировать поставляемые с операционной системой стандартные шаблоны безопасности. Если у вас нет стандартных шаблонов безопасности, то можно создать свой собственный шаблон или скопировать стандартные шаблоны безопасности операционной системы Windows ХР в каталог %systemroot%\security\templates. Вы также можете взять несколько шаблонов безопасности из каталога %systemroot%\inf операционной системы Windows Vista и перенести их в каталог %userprof ile%\ Documents\security\Templates. В нем находятся следующие шаблоны безопасности: defltbase.inf, defltwk.inf, sceregvl.inf, secrecs.inf.

Для примера создадим свой собственный шаблон безопасности. Для этого в контекстном меню оснастки достаточно выбрать команду Создать шаблон. После этого достаточно указать имя шаблона и его описание, после чего он будет создан. Если у вас уже есть шаблоны, то вы можете редактировать их или создать новый шаблон на основе значений параметров существующего. Для этого в контекстном меню шаблона нужно выбрать команду Сохранить как.

Каждый шаблон состоит из следующих подразделов.

• Политики учетных записей – этот подраздел знаком вам по оснастке Групповая политика. Однако, кроме вложенных подразделов Политика паролей и Политика блокировки учетных записей, доступных в оснастке Групповая политика, он содержит еще один дочерний подраздел: Политика Kerberos. Он определяет параметры работы протокола Kerberos, используемого в домене Active Directory.

• Локальные политики – также знаком вам по оснастке Групповая политика. Как и там, этот подраздел включает в себя такие вложенные подразделы, как Политика аудита, Назначение прав пользователя, Параметры безопасности.

• Журнал событий – содержит такие параметры настройки ведения стандартных журналов Windows, как максимальные размеры журналов, указания, будет ли разрешено просматривать журналы пользователям группы Гости, какой интервал очистки журналов будет использоваться и т. д.

• Группы с ограниченным доступом – позволяет добавить в определенную группу временного пользователя (для повышения его прав на некоторое время). Для добавления ограниченного пользователя в группу нужно создать саму группу, в которую будет добавляться пользователь. Для этого нужно в контекстном меню подраздела Группы с ограниченным доступом выбрать команду Добавить группу. После этого система предложит вам указать нужную группу, а затем предложит добавить в нее новых пользователей.