Таємниці системного Реєстру Windows NT

Частина перша

Перша частина присвячена розділам Реєстру, які безпосередньо визначають захищеність Windows NT. Отже, далі йде більш-менш повний список "ключів від Вашого комп'ютера".



  1. Потенційні місця розташування троянських програм:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit (REG_SZ)
HKLMSoftwareMicrosoftWindowsCurrentVersionRun… (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonSystem (REG_SZ)

У першому і другому випадку зазначені в ключах додатки запускаються в контексті поточного користувача, в третьому – від імені системи (System). Має сенс регулярно перевіряти ці розділи Реєстру на наявність троянців.



  1. Очищення файлу підкачки при перезавантаженні:
HKLMSYSTEMCurrentControlSetControlSession ManagerMemory ManagementClearPageFileAtShutdown

Файл підкачки, в який потенційно можуть потрапити незашифровані акаунти і паролі, буде очищатися при кожному перезавантаженні, якщо параметру присвоєно значення 1 (REG_DWORD).



  1. Усунення помилки прав доступу в списку системних DLL
HKLMSystemCurrentControlSetControlSession ManagerProtection Mode 

Усувається можливість атаки із застосуванням троянських DLL, і, як наслідок, отримання прав адміністратора. Потрібно встановити параметр у 1 (REG_DWORD).



  1. Заборона перезавантаження і вимикання комп'ютера без локального входу в систему:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShutdownWithoutLogon 

Установка ключа в 0 (REG_SZ) дозволяє заборонити завершення роботи системи (кнопка "Shutdown" у вікні Logon стає недоступною і забарвлюється сірим кольором).



  1. Обмеження доступу на перегляд журналів подій користувачам групи Guest:
HKLMSystemCurrentControlSetServicesEventLogSystemRestrictGuessAccess 
HKLMSystemCurrentControlSetServicesEventLogSecurityRestrictGuessAccess
HKLMSystemCurrentControlSetServicesEventLogApplicationRestrictGuessAccess

Створення ключів зі значенням 1 (REG_DWORD) обмежує доступ до Журналу подій (EventLog).



  1. Зміна місцезнаходження файлів Журналу подій на жорсткому диску:
HKLMSystemCurrentControlSetServicesEventLogSystemFile
HKLMSystemCurrentControlSetServicesEventLogSecurityFile
HKLMSystemCurrentControlSetServicesEventLogApplicationFile

Переклад log-файлів в інший каталог на диску за допомогою ключа File (REG_SZ) може утруднити зломщикові їх навмисну модифікацію.



  1. Додатковий захист локального входу:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDontDisplayLastUserName 

Коли увімкнено в 1 (REG_SZ), знищується інформація про останній зареєстрованого користувача (очищається рядок Login в ділоговом вікні Logon process).



  1. "Приховування" сервера в списках мережевого оточення (Network Neightborhood):
HKLMSystemCurentControlSetServicesLanman ServerParametersHidden 

Присвоєння ключу значення 1 (REG_DWORD) приховує ім'я сервера. Комп'ютер перестає відображатися в списках, які формуються основними оглядачами домену, хоча його ресурси як і раніше доступні всім, хто знає його безпосередній адресу.



  1. Зміна прав на редагування Реєстру:
HKLMSystemCurentControlSetControlSecurePipeServers 

Зміна за допомогою програми regedt32.exe прав доступу до цього розділу дозволяє налаштувати політику безпеки для віддаленого редагування Реєстру. За замовчуванням редагування дозволено тільки членам групи Administrators.



  1. Відключення нульової сесії:
HKLMSystemCurentControlSetControlLsaRestrictAnonymous (REG_DWORD) 

Присвоєння цього ключа значення 1 забороняє з'єднання з ресурсами комп'ютера без обов'язкової реєстрації. Зокрема, це виключає читання списку облікових записів та їх описів (descriptions).



  1. Знищення поділюваних ресурсів адміністратора:
HKLMSystemCurentControlSetServicesLanmanServerParametersAutoShareServer (REG_DWORD)
HKLMSystemCurentControlSetServicesLanmanServerParametersAutoShareWks (REG_DWORD)

Установка цих ключів в 0 (перший, відповідно, для NT Server, другий – для NT Workstation) виключає адміністратору мережевий доступ до ресурсів виду ComputerNameC $, D $, …, ADMIN $. (Надіслав Дмитро Артюхін).


Частина друга

У цій частині мова йтиме про ключі, прямо не впливають на безпеку комп'ютера, проте вельми корисних для системного адміністратора.



  1. Поділ процесів 16-розрядної підсистеми Windows NT
HKLMSystemCurentControlSetControlWOWDefaultSeparateVDM

Присвоєння ключу значення "yes" (REG_SZ) дозволяє запускати 16-розрядні додатки в ізольованих віртуальних машинах, що підвищує відмовостійкість ОС, але забирає багато ресурсів.



  1. Заборона автозапуску компакт-дисків:
HKLMSystemCurentControlSetServicesCdromAutorun 

Установка параметра в 0 (REG_DWORD) забороняє системі аналіз файлу autorun.inf на компакт-дисках.



  1. Змінні оточення для всіх користувачів:
HKLMSystemCurrentControlSetControlSession ManagerEnvironment 

Можна відредагувати встановлюються за замовчуванням змінні оточення, якщо змінити необхідні ключі (REG_SZ) у цьому розділі.



  1. Видача повідомлення при локальній реєстрації в системі:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonLegalNoticeCaption (REG_SZ) 
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonLegalNoticeText (REG_SZ)

Як значення першого ключа вкажіть заголовок, а в якості другого, відповідно, текст повідомлення. Ця інформація може бути прочитана користувачем, реєструються локально.



  1. Автореєстрація в системі:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonAutoAdminLogon (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultUserName (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultPassword (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultDomainName (REG_SZ)

Потрібно привласнити першим ключу значення 1, іншим – відповідно ім'я користувача, пароль і домен. Пам'ятайте, що використання автореєстрації потенційно небезпечно, тому що ці значення зберігаються в Реєстрі у відкритому вигляді і можуть бути викрадені локально або через мережу.



  1. Шлях до файлів дистрибутиву за замовчуванням:
HKLMSoftwareMicrosoftWindows NTCurrentVersionSourcePath 

Цей шлях (REG_SZ) можна змінити, щоб кожен раз при установці компонентів з дистрибутива Windows NT не потрібно набирати його заново.



  1. Редагування параметрів запуску сервісів:
HKLMSYSTEMCurrentControlSetServices[servicename]Start 

Усередині цього розділу Реєстру знаходяться підключи, які відповідають усім встановленим сервісам. Можна змінювати споvсоб їх запуску за допомогою параметра Start (REG_DWORD):



* 0 (Boot) – завантажувач – ядро операційної системи;
* 1 (System) – завантажується при ініціалізації ядра;
* 2 (Automatic) – автоматично запускається менеджером Service Control Manager;
* 3 (Manual) – запускається користувачем вручну;
* 4 (Disabled) – відключений.



  1. Зняття і установка пароля для екранних заставок:
 HKUDefaultControl PanelDesktopScreenSaveIsSecure 

Щоб екранні заставки запитували пароль, встановіть параметр в 1 (REG_SZ). Значення діє на профіль "Default", тобто на всіх користувачів.



  1. Відключення коротких імен 8.3:
HKLMSystemCurrentControlSetControlFileSystemNtfsDisable8dot3NameCreation (REG_DWORD) 

Механізм створення коротких імен для файлів використовується з метою сумісності зі старими 16-бітними додатками. Якщо ви не використовуєте такі додатки, надайте цього ключа значення 1 – це дозволяє підняти продуктивність NTFS.



  1. Управління включенням режиму NumLock:
HKCUControl PanelKeyboardInitialKeyboardIndicators 

Значення 2 (REG_DWORD) включає NumLock на клавіатурі при вході користувача в систему.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*