Windows Vista. Трюки и эффекты Зозуля Юрий

9.3. Защита секретных данных с помощью шифрования

Шифрование отдельных файлов и папок

В версиях Windows Vista Business, Enterprise и Ultimate вы можете применять шифрование конфиденциальных данных, основанное на возможностях файловой системы NTFS. В версиях Home Basic и Ноте Premium можно лишь расшифровывать файлы при наличии ключа или сертификата шифрования.

Внимание!

Шифрование обеспечивает на порядок лучшую защиту данных, чем разрешения NTFS, однако при потере пароля к вашей учетной записи или после переустановки системы вы можете навсегда лишиться зашифрованных файлов, если заранее не примете специальные меры.

Команда для шифрования в контекстном меню

Для управления шифрованием объектов можно изменять состояние атрибута шифрования (см. разд. 4.6), но с помощью несложного трюка можно добавить команду шифрования в контекстное меню. Для этого действуйте так.

1. Запустите Редактор реестра с помощью команды regedit.

2. Откройте раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced.

3. Создайте новый параметр типа DWORD с именем EncryptionContextMenu и присвойте ему значение 1.

Теперь для всех файлов и папок в контекстном меню появиться команда Зашифровать, а для уже зашифрованных объектов будет присутствовать команда Расшифровать.

Создание копии сертификата шифрования

При первом обращении к функции шифрования вам будет предложено создать архивную копию ключа и сертификата шифрования. Это нужно сделать обязательно, иначе вы можете навсегда потерять доступ к вашим файлам, например после удаления учетной записи или переустановки операционной системы.

Для этого выполните следующие действия.

1. Щелкните на сообщении в области уведомлений и в появившемся окне выберите вариант Архивировать сейчас.

2. Нажмите кнопку Далее в первом окне Мастера экспорта сертификатов.

3. В следующем окне мастера (Формат экспортируемого файла) можно оставить все настройки по умолчанию и снова нажать Далее.

4. Укажите пароль для защиты сертификата и имя файла, в котором он будет сохранен. После щелчка на кнопке Готово вы получите сообщение об успешном экспорте сертификата.

Если вы не выполнили экспорт сертификата при первом обращении к функции шифрования, тогда следует выполнить экспорт сертификата следующим образом.

1. Для запуска оснастки Сертификаты введите в строку поиска меню Пуск введите команду certmgr.msc и подтвердите свои действия в окне UAC.

2. В дереве папок консоли откройте папку Личное Сертификаты.

3. В списке содержимого папки выделите сертификат для файловой системы EFS, выполните команду Действие Все задачи Экспорт и следуйте указаниям мастера экспорта сертификатов.

Расшифровка файлов с использованием сертификата

Созданный сертификат позволит расшифровать ваши файлы с использованием другой учетной записи или другого компьютера. Им может воспользоваться и злоумышленник, поэтому копию сертификата следует хранить в надежном месте и защищать паролем, который трудно подобрать. Чтобы воспользоваться сохраненным сертификатом для расшифровки данных, сделайте следующее.

1. Откройте с помощью Проводника папку, в которой находится сертификат, щелкните на его значке правой кнопкой мыши и выберите в контекстном меню пункт Установить PFX.

2. Следуйте указаниям Мастера импорта сертификатов. Обычно в окнах мастера не нужно вводить дополнительные параметры, требуется лишь указать пароль, с использованием которого был зашифрован сертификат.

3. После успешного импорта вы сможете открыть зашифрованные файлы обычным способом или отключить для них атрибут шифрования.

4. Если при наличии сертификата вы не можете открыть зашифрованный файл, то, возможно, у вас нет прав доступа к этому файлу на уровне разрешений NTFS. В таком случае следует установить необходимые разрешения с помощью вкладки Безопасность окна свойств данного файла.

Настройка шифрование диска BitLocker

В версиях Windows Vista Enterprise и Ultimate в дополнение к шифрованию файлов вы можете зашифровать целый раздел диска с помощью новой технологии шифрования, которая называется BitLocker. В этом случае зашифрованными окажутся все файлы операционной системы и приложений, файл подкачки и даже свободные секторы на диске, что гарантирует более высокий уровень безопасности, чем простое шифрование файлов.

Для использования всех возможностей BitLocker в вашем компьютере должен быть установлен доверенный платформенный модуль (Trusted Platform Module, ТРМ) – специальный микрочип, обеспечивающий дополнительные функции безопасности системы. На момент выхода Windows Vista системы с ТРМ еще являлись редкостью, но использовать шифрование BitLocker можно и без ТРМ, нужно лишь, чтобы BIOS поддерживала flash-диски USB при старте системы.

Для использования шифрования BitLocker нужно, чтобы жесткий диск был разбит как минимум на два раздела, отформатированных в файловой системе NTFS. Первый раздел должен иметь размер не менее 1,5 Гбайт и являться активным. Операционная система должна быть установлена на второй раздел, который и будет шифроваться с помощью BitLocker. Поэтому лучше выполнить конфигурирование жесткого диска до установки Windows Vista.

Если на вашей системной плате отсутствует ТРМ, необходимо включить возможность сохранения ключей на flash-диске с помощью групповой политики. Для этого выполните следующие действия.

1. В строке поиска меню Пуск введите команду gpedit.msc, нажмите Enter и подтвердите действия в окне UAC.

2. В дереве консоли откройте следующий раздел: Конфигурация компьютера Административные шаблоны Компоненты Windows Шифрование диска BitLocker.

3. Дважды щелкните на параметре Установка панели управления: включить дополнительные параметры запуска и в появившемся окне установите переключатель в положение Включен.

4. Убедитесь, что флажок Разрешить использование BitLocker без совместимого ТРМ установлен и нажмите ОК. После этого закройте окно групповой политики.

Для шифрования диска выполните следующие действия.

1. Откройте окно настройки BitLocker с помощью команды Пуск Панель управления Безопасность Шифрование диска BitLocker (рис. 9.23).

Рис. 9.23. Окно настройки BitLocker

2. Щелкните на ссылке Включить BitLocker. Если данная ссылка отсутствует, возможно, конфигурация диска не соответствует требованиям BitLocker или же в системе отсутствует ТРМ и вы не задействовали сохранение ключа на flash-диск.

3. В открывшемся окне (рис. 9.24) выберите способ запуска компьютера с BitLocker. При отсутствии ТРМ единственно возможным вариантом будет Запрашивать USB-ключ запуска при запуске.

4. В следующем окне сохраните ключ запуска на flash-диск, который следует предварительно подсоединить к компьютеру.

5. Далее вам обязательно нужно сохранить пароль восстановления, который служит для получения доступа к компьютеру при утере или порче ключа на flash-диске (рис.9.25). Помните, что без пароля восстановления вы рискуете навсегда лишиться информации на зашифрованном диске.

6. В следующем окне будет предложено проверить систему BitLocker перед началом шифрования. Согласитесь с этим, нажав кнопку Продолжить.

7. После этого вам необходимо перезагрузить компьютер. Если при перезагрузке ключ шифрования будет считан успешно, после входа в систему начнется шифрование диска в фоновом режиме.

Глава 10 Администрирование системы

• Ограничения доступа к файлам и борьба с ними

• Управление жесткими дисками

• Средства диагностики системы

• Новые возможности администрирования с помощью групповой политики

• Автоматизация выполнения заданий с помощью планировщика

В этой главе будут рассмотрены эффективные методы и средства для выполнения некоторых административных задач. Вы узнаете, как ограничивать доступ к файлам и как обходить эти ограничения, научитесь управлять жесткими дисками, познакомитесь с новыми возможностями групповой политики Windows Vista и утилитами для диагностики системы.

10.1. Ограничения доступа к файлам и борьба с ними

Разрешения NTFS

В Windows Vista можно управлять правами доступа к файлам и папкам для различных пользователей. Эта возможность реализована в самой файловой системе NTFS в виде разрешений, которые хранятся для каждого файла или папки вместе с именем, размером, датой и другими атрибутами. При выполнении каких-либо операций с файлом или папкой сначала проверяется список имеющихся для него (нее) разрешений, и если для текущего пользователя разрешение на осуществление конкретного действия отсутствует, то пользователю будет отказано в выполнении данного действия.

Внимание!

Механизм разрешений используется только на разделах с файловой системой NTFS. На разделах с файловой системой FAT/FAT32 любой пользователь имеет полный доступ ко всем файлам.

В операционной системе Windows ХР по умолчанию применялся так называемый простой общий доступ к файлам, а средства управления разрешениями были скрыты. В Windows Vista режим простого общего доступа не используется, и все пользователи с соответствующими правами могут управлять разрешениями. Однако необходимость в правке разрешений вручную возникает не очень часто, поскольку система автоматически устанавливает оптимальный набор разрешений для различных объектов, по аналогии с простым общим доступом в Windows ХР. Рассмотрим основные особенности разрешений по умолчанию.

• Любой пользователь имеет полный доступ к папкам своего профиля и может управлять правами доступа к ним.

• При использовании учетной записи с правами обычного пользователя нельзя получить доступ к папкам других пользователей.

• Все пользователи могут создавать и изменять свои файлы в папке Общие или одной из ее подпапок. Файлы других пользователей можно только просматривать.

• Чтобы получить доступ к папкам другого пользователя без его разрешения, нужно обладать правами администратора и подтвердить действия в окне UAC. При этом пользователь автоматически будет добавлен в список разрешений для данного объекта.

• Пользователям запрещено изменение системных папок, например Windows или Program Files. Для выполнения этих операций нужно подтвердить ваши права в окне UAC. В целях безопасности некоторые действия запрещены даже для администраторов, но изменить системный файл можно, став его владельцем (см. далее).

Почти все папки имеют в списке доступа группу Администраторы, но поведение системы при попытке получить доступ к такой папке будет отличаться, в зависимости от того включен ли контроль учетных записей. При включенном UAC появится окно с просьбой подтвердить действия или ввести пароль учетной записи с правами администратора. При отключенном UAC для учетной записи с правами администратора доступ будет предоставлен автоматически, а для обычных пользователей доступ будет запрещен.

Изменение разрешений для отдельных папок и файлов

Для большинства пользователей будет вполне достаточным работать с разрешениями по умолчанию, но при наличии особых требований к разграничению доступа вам может понадобиться настройка разрешений вручную. Возможно, вам будет необходимо ограничить доступ к папкам, находящимся вне профиля пользователя или вообще на другом разделе. Другой распространенной задачей является разграничение доступа к файлу для нескольких пользователей, например, первому пользователю нужно открыть полный доступ, второму – только для чтения, а третьему – вообще запретить. Однако следует заметить, что система разрешений является достаточно сложной, поэтому рассмотрим лишь наиболее важные сведения, достаточные для решения основных задач администрирования.

Чтобы просмотреть список текущих разрешений для файла или папки, щелкните на нем правой кнопкой мыши, выберите пункт Свойства и перейдите на вкладку Безопасность (рис. 10.1).

Рис. 10.1. Вкладка Безопасность окна свойств папки

В верхней части вкладки Безопасность содержится список пользователей и групп, для которых установлены разрешения или запреты. Выбрав в этом списке любое имя пользователя или группы, вы сможете увидеть его разрешения. В табл. 10.1 приведены значения имеющихся разрешений.

Для редактирования разрешений следует нажать кнопку Изменить и подтвердить действия в окне UAC, если вы не являетесь владельцем файла. После этого вы сможете изменять разрешения для имеющихся пользователей или групп, удалять их и добавлять новые. При редактировании разрешений обратите внимание на следующие моменты.

• При задании разрешения с более высоким приоритетом автоматически устанавливаются флажки зависимых разрешений.

• Установка флажка Запретить всегда имеет более высокий приоритет, чем Разрешить.

• Если вы измените разрешения для папки, то по умолчанию будут изменены разрешения всех вложенных объектов.

• Если определенные флажки недоступны, значит, данное разрешение наследуется от родительской папки. При отсутствии у текущего пользователя прав на изменение разрешений недоступными будут все флажки.

Внимание!

Устанавливая разрешения, будьте предельно осторожны. Не изменяйте за один сеанс сразу несколько разрешений, обязательно проверяйте работоспособность системы после внесения изменений. Не изменяйте разрешения для учетных записей SYSTEM и Trustedlnstaller, это может нарушить работу операционной системы.

Получение полного доступа к системным файлам

В Windows Vista используется новый механизм защиты системных ресурсов WRP (Windows Resource Protection), благодаря которому значительно усложняется несанкционированное изменение системных файлов и параметров реестра. Механизм WRP повышает устойчивость системы к различным вредоносным программам, но для выполнения некоторых трюков может понадобиться модификация одного или нескольких системных файлов.

Например, для изменения рисунка экрана приветствия нужно модифицировать файл C:\Windows\System32\ires.dll. Вы можете скопировать данный файл во временную папку, выполнить с ним необходимые изменения, но скопировать измененный файл на прежнее место у вас не получится даже при наличии прав администратора и отключенном UAC.

Проанализировав установленные разрешения для любого системного файла, мы увидим, что полный доступ к файлу предоставлен только учетной записи Trustedlnstaller, а всем остальным доступ разрешен только для чтения. Учетная запись Trustedlnstaller соответствует системной службе Установщик модулей Windows, которая может изменить системный файл в случае установки обновлений операционной системы.

Если вы попытаетесь изменить установленные разрешения, то потерпите неудачу, поскольку учетная запись Trustedlnstaller также является владельцем всех системных файлов. Для получения доступа нужно сначала изменить владельца файла, а затем уже назначить нужные права доступа. Последовательность действий может быть такой.

1. Щелкните правой кнопкой мыши на нужном файле или папке, выберите пункт Свойства и перейдите на вкладку Безопасность.

2. На вкладке Безопасность нажмите кнопку Дополнительно и в появившемся окне перейдите на вкладку Владелец (рис. 10.2).

3. Нажмите кнопку Изменить и подтвердите действия в окне UAC.

4. В списке доступных владельцев выберите имя своей учетной записи. Если вы меняете владельца для папки также установите флажок Заменить владельца подконтейнеров и объектов. После этого закройте все открытые окна с помощью кнопки ОК.

Рис. 10.2. Вкладка Владелец окна дополнительных параметров безопасности

5. После смены владельца вы можете изменять список разрешений. Для этого снова перейдите на вкладку Безопасность и нажмите кнопку Изменить. Для получения полного доступа установите разрешающий флажок Полный доступ для своей учетной записи закройте все окна с помощью кнопки 0К и проверьте действия разрешений.

Совет

Аналогичные действия вы можете предпринять для получения доступа к защищенным, которые принадлежат другим пользователям.

Пакетный файл для получения полного доступа

Для смены владельца файла можно использовать утилиту командной строки takeown, а для смены разрешений – утилиту icacls. Подробнее о назначении этих утилит можно узнать, если запустить окно командной строки и выполнить указанные команды с ключом /? например takeown /?. Чтобы не набирать эти команды каждый раз, можно создать пакетный файл, в котором кроме самих команд записать все необходимые параметры. Текст файла может быть таким:

takeown /f «%1»

icacls «%1» /grant %USERNAME%:F

Для создания пакетного файла запустите программу Блокнот от имени администратора, введите приведенный текст и сохраните его в папку C:\Windows с именем TakeFile.cmd, указав в окне сохранения файла тип файла Все файлы. После этого вы сможете получать полный доступ к файлам, запустив окно командной строки в режиме администратора и выполнив команду TakeFile имя_нужного_файла. Пример выполнения команды показан на рис. 10.3.

Рис. 10.3. Пример выполнения пакетного файла

Вы можете получить доступ ко всем файлам из текущей папки с помощью команды TakeFile *. *, но для подобных случаев лучше создать еще один файл следующего содержания:

takeown /f «%1» /r /d y

icacls «%1» /grant %USERNAME%:F /t

Сохраните этот файл в папке C:\Windows с именем TakeDir.cmd, не забыв указать тип файла Все файлы. После этого для получения полного доступа к папке запустите окно командной строки в режиме администратора и выполните команду TakeDir Путь_к_папке.

Примечание

Рассмотренные командные файлы вы найдете в папке Файлы к книге на прилагаемом компакт-диске.

10.2. Управление жесткими дисками

Оснастка Управление дисками

Для создания, удаления и форматирования разделов жесткого диска служит средство Управление дисками, которое является одной из оснасток консоли Управление компьютером. Для открытия консоли щелкните правой кнопкой мыши на значке Компьютер и выберите в контекстном меню пункт Управление. Выделив в дереве консоли оснастку Управление дисками, вы увидите информацию об имеющихся разделах (рис. 10.4).

Для выполнения действий с разделами обычно используются команды контекстного меню. Далее мы рассмотрим несколько типичных примеров работы с оснасткой Управление дисками.

Рис. 10.4. Оснастка Управление дисками

Внимание!

Большинство команд для управления дисками являются потенциально опасными для обычных пользователей, поскольку могут повлечь уничтожение всей информации на разделе или сделать невозможной следующую загрузку системы.

Подключение к компьютеру нового жесткого диска

Многие пользователи решают проблему нехватки места на жестком диске покупкой второго накопителя большей емкости. Операционную систему в этом случае можно оставить на старом диске, а новый использовать для хранения данных и архивов.

Последовательность действий при установке нового жесткого диска может быть такой.

1. Отключите компьютер от сети и установите накопитель в системный блок. Диски с интерфейсом IDE (ATA) нуждаются в дополнительном конфигурировании с помощью перемычек и со стороны BIOS, поэтому при отсутствии опыта эту операцию лучше доверить специалистам. Накопители Serial ATA (SATA), как правило, не нуждаются в дополнительной настройке.

2. Включите компьютер. После загрузки операционной системы в области уведомлений должны появиться сообщения об обнаружении нового устройства и установке драйверов для него.

3. Откройте оснастку Управление дисками, после чего должно автоматически появиться окно инициализации дисков (рис. 10.5). В этом окне оставьте все параметры по умолчанию и нажмите ОК.

Рис. 10.5. Окно инициализации жесткого диска

4. Найдите на карте разделов только что подключенный накопитель, состояние которого должно быть обозначено как Не распределен. Щелкните на нем правой кнопкой мыши и выберите в контекстном меню команду Создать простой том.

5. В первом окне Мастера создания простых томов нажмите кнопку Далее.

6. В следующем окне укажите размер раздела (рис. 10.6). По умолчанию предлагается максимально возможный размер, но вы можете уменьшить его, если планируете разбить диск на несколько разделов.

7. В окне назначения буквы диска можно оставить все параметры по умолчанию.

8. В окне параметров форматирования (рис. 10.7) введите метку тома, а остальные параметры также можно оставить по умолчанию.

9. После нажатия кнопки Готово начнется форматирование раздела в фоновом режиме, и после его завершения вы сможете работать с разделом с помощью Проводника Windows.

Изменение размера разделов

Оснастка Управление дисками позволяет изменять размеры разделов без потери данных на них. Например, чтобы увеличить размер одного раздела за счет другого или разделить раздел на два, выполните следующие действия.

1. Щелкните правой кнопкой мыши на разделе, который нужно уменьшить, и выберите в контекстном меню команду Сжать том.

2. В появившемся окне (рис. 10.8) укажите размер сжимаемого пространства и нажмите кнопку Сжать.

3. После завершения сжатия на карте диска появится нераспределенное место. Если нужно в этом месте создать новый раздел, щелкните правой кнопкой мыши, выберите пункт Создать простой том и следуйте указаниям мастера (см. выше).

4. Чтобы добавить нераспределенное место к соседнему разделу, щелкните на нем правой кнопкой мыши, выберите команду Расширить том и следуйте указаниям Мастера расширения тома.

Изменение назначенных для разделов букв

Иногда может понадобиться изменить используемые системой буквы разделов. Этого ни в коем случае нельзя делать для системного раздела или раздела с установленными программами, поскольку после смены буквы система не сможет найти файлы приложений, но для разделов с данными или приводов компакт-дисков буквы при необходимости можно сменить.

Чтобы изменить букву диска, щелкните правой кнопкой мыши на нужном разделе и выберите команду Изменить букву диска или путь к диску. В появившемся окне щелкните на букве диска и нажмите кнопку Изменить (рис. 10.9). Выберите новую букву из списка и закройте окна с помощью кнопки ОК.

Чтобы обменять назначенные буквы для двух разделов, удалите сначала букву для первого раздела, затем второму разделу назначьте букву первого и лишь после этого присвойте первому разделу букву, ранее принадлежавшую второму.

10.3. Средства диагностики системы

Монитор надежности и производительности

В Windows Vista имеется новое средство наблюдения за работой системы – Монитор надежности и производительности (рис. 10.10). Для его запуска введите в строке поиска меню Пуск команду perfmon.msc, нажмите клавишу Enter и подтвердите действия в окне UAC.

Рис. 10.10. Монитор надежности и производительности

Монитор надежности и производительности состоит из нескольких компонентов, которые мы рассмотрим далее.

Монитор ресурсов

С помощью Монитора ресурсов (см. рис. 10.10) вы можете наблюдать за работой четырех основных компонентов системы.

• ЦП (процессор). На графике или индикаторах можно наблюдать за использованием процессора и изменением его тактовой частоты. Щелчок на графике процессора позволяет развернуть список текущих процессов.

• Диск. График показывает текущую скорость обмена данными с жестким диском. После щелчка на графике вы увидите список всех дисковых операций на текущий момент.

• Сеть. На этом графике отображается скорость обмена данными по сети. В списке Сеть вы увидите все процессы, выполняющие обмен данными по сети, что позволяет выявить процесс, который интенсивно обменивается информацией по сети или загружает данные из Интернета.

• Память. На графике отображается процент использования оперативной памяти и количество ошибок при обращении к страницам памяти. Ошибки совсем не означают неисправность модулей памяти, а свидетельствуют лишь о том, что нужная информация не обнаружена в оперативной памяти и прочитана из файла подкачки. Большое количество ошибок означает лишь недостаточный объем оперативной памяти для выполнения текущих задач.

Системный монитор

Системный монитор позволяет наблюдать за множеством параметров работы компьютера, отображая их числовые значения, различные графики и диаграммы. Чтобы его открыть, выберите в окне Монитор надежности и производительности категорию Системный монитор (рис. 10.11).

По умолчанию системный монитор отслеживает только загрузку процессора, но вы можете добавить для наблюдения множество различных параметров. Для этого нажмите на панели инструментов кнопку Добавить

в появившемся окне (рис. 10.12) раскройте в списке нужную группу, выберите счетчик и щелкните на кнопке Добавить. Вы можете добавить несколько различных счетчиков, после чего следует нажать ОК.

Совет

Чтобы узнать назначение каждого счетчика, установите флажок Отображать описание в левом нижнем углу окна выбора счетчиков.

Монитор стабильности системы

Этот монитор (рис. 10.13) автоматически отслеживает параметры стабильности системы и фиксирует различные события, влияющие на стабильность. На основе собранных данных рассчитывается индекс стабильности системы, который отображается на графике. Выбрав на графике любую дату, в нижней части окна вы сможете просмотреть список всех зафиксированных в этот день событий.

Анализируя приведенную информацию, можно определить причины нестабильности системы и найти пути исправления ситуации. Например, можно узнать, какие программы были установлены незадолго до увеличения количества ошибок, а также определить неисправности оборудования и другие неполадки.

Рис. 10.13. Монитор стабильности системы

Анализ журналов системных событий

Windows Vista автоматически фиксирует наиболее важные события в работе системы, записывая их в специальные системные журналы. Просматривая эти журналы, можно получить много ценной информации о работе компьютера, например определить неправильно работающее приложение или службу, узнать о попытках использования компьютера в ваше отсутствие и выявить многие другие проблемы. Журналы событий предназначены в основном для специалистов, но могут использоваться и обычными пользователями.

Чтобы открыть окно просмотра событий (рис. 10.14), выполните команду Пуск Панель управления Система и ее обслуживание Администрирование Просмотр событий и подтвердите действия в окне UAC. В левой части окна вы можете выбрать один из доступных системных журналов, в центральной части – просмотреть его содержимое, а в правой – указать команды для работы с выбранным журналом или событием.

Рис. 10.14. Просмотр событий

В дереве оснастки Просмотр событий имеются следующие категории.

• Настраиваемые представления. В эту категорию будут помещены сохраненные пользователем фильтры, выполняющие отбор событий по определенным критериям.

По умолчанию в этой категории имеется фильтр События управления, отбирающий ошибки и предупреждения из всех административных журналов. Чтобы создать новый фильтр, выберите на панели Действия команду Создать настраиваемое представление, укажите в появившемся окне требуемые условия отбора и нажмите кнопку ОК. В следующем окне введите имя фильтра и еще раз нажмите ОК.

• Журналы Windows. В этой категории содержатся основные системные журналы:

– Приложение – фиксирует события, возникающие в процессе работы приложений, которыми могут быть как компоненты операционной системы, так и любые другие программы;

– Безопасность – в журнале безопасности регистрируются события, когда система разрешает выполнить определенное действие или отказывает в этом;

– Настройка – в данный журнал заносятся события, связанные с установкой приложений;

– Система – здесь регистрируются события, относящиеся к работе системы и таких ее компонентов, как драйверы и службы;

– Пересланные события – сюда помещаются события, полученные с удаленных компьютеров.