Таємниці системного Реєстру Windows NT
Частина перша
Перша частина присвячена розділам Реєстру, які безпосередньо визначають захищеність Windows NT. Отже, далі йде більш-менш повний список "ключів від Вашого комп'ютера".
- Потенційні місця розташування троянських програм:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit (REG_SZ)
HKLMSoftwareMicrosoftWindowsCurrentVersionRun… (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonSystem (REG_SZ)
У першому і другому випадку зазначені в ключах додатки запускаються в контексті поточного користувача, в третьому – від імені системи (System). Має сенс регулярно перевіряти ці розділи Реєстру на наявність троянців.
- Очищення файлу підкачки при перезавантаженні:
HKLMSYSTEMCurrentControlSetControlSession ManagerMemory ManagementClearPageFileAtShutdown
Файл підкачки, в який потенційно можуть потрапити незашифровані акаунти і паролі, буде очищатися при кожному перезавантаженні, якщо параметру присвоєно значення 1 (REG_DWORD).
- Усунення помилки прав доступу в списку системних DLL
HKLMSystemCurrentControlSetControlSession ManagerProtection Mode
Усувається можливість атаки із застосуванням троянських DLL, і, як наслідок, отримання прав адміністратора. Потрібно встановити параметр у 1 (REG_DWORD).
- Заборона перезавантаження і вимикання комп'ютера без локального входу в систему:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShutdownWithoutLogon
Установка ключа в 0 (REG_SZ) дозволяє заборонити завершення роботи системи (кнопка "Shutdown" у вікні Logon стає недоступною і забарвлюється сірим кольором).
- Обмеження доступу на перегляд журналів подій користувачам групи Guest:
HKLMSystemCurrentControlSetServicesEventLogSystemRestrictGuessAccess
HKLMSystemCurrentControlSetServicesEventLogSecurityRestrictGuessAccess
HKLMSystemCurrentControlSetServicesEventLogApplicationRestrictGuessAccess
Створення ключів зі значенням 1 (REG_DWORD) обмежує доступ до Журналу подій (EventLog).
- Зміна місцезнаходження файлів Журналу подій на жорсткому диску:
HKLMSystemCurrentControlSetServicesEventLogSystemFile
HKLMSystemCurrentControlSetServicesEventLogSecurityFile
HKLMSystemCurrentControlSetServicesEventLogApplicationFile
Переклад log-файлів в інший каталог на диску за допомогою ключа File (REG_SZ) може утруднити зломщикові їх навмисну модифікацію.
- Додатковий захист локального входу:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDontDisplayLastUserName
Коли увімкнено в 1 (REG_SZ), знищується інформація про останній зареєстрованого користувача (очищається рядок Login в ділоговом вікні Logon process).
- "Приховування" сервера в списках мережевого оточення (Network Neightborhood):
HKLMSystemCurentControlSetServicesLanman ServerParametersHidden
Присвоєння ключу значення 1 (REG_DWORD) приховує ім'я сервера. Комп'ютер перестає відображатися в списках, які формуються основними оглядачами домену, хоча його ресурси як і раніше доступні всім, хто знає його безпосередній адресу.
- Зміна прав на редагування Реєстру:
HKLMSystemCurentControlSetControlSecurePipeServers
Зміна за допомогою програми regedt32.exe прав доступу до цього розділу дозволяє налаштувати політику безпеки для віддаленого редагування Реєстру. За замовчуванням редагування дозволено тільки членам групи Administrators.
- Відключення нульової сесії:
HKLMSystemCurentControlSetControlLsaRestrictAnonymous (REG_DWORD)
Присвоєння цього ключа значення 1 забороняє з'єднання з ресурсами комп'ютера без обов'язкової реєстрації. Зокрема, це виключає читання списку облікових записів та їх описів (descriptions).
- Знищення поділюваних ресурсів адміністратора:
HKLMSystemCurentControlSetServicesLanmanServerParametersAutoShareServer (REG_DWORD)
HKLMSystemCurentControlSetServicesLanmanServerParametersAutoShareWks (REG_DWORD)
Установка цих ключів в 0 (перший, відповідно, для NT Server, другий – для NT Workstation) виключає адміністратору мережевий доступ до ресурсів виду ComputerNameC $, D $, …, ADMIN $. (Надіслав Дмитро Артюхін).
Частина друга
У цій частині мова йтиме про ключі, прямо не впливають на безпеку комп'ютера, проте вельми корисних для системного адміністратора.
- Поділ процесів 16-розрядної підсистеми Windows NT
HKLMSystemCurentControlSetControlWOWDefaultSeparateVDM
Присвоєння ключу значення "yes" (REG_SZ) дозволяє запускати 16-розрядні додатки в ізольованих віртуальних машинах, що підвищує відмовостійкість ОС, але забирає багато ресурсів.
- Заборона автозапуску компакт-дисків:
HKLMSystemCurentControlSetServicesCdromAutorun
Установка параметра в 0 (REG_DWORD) забороняє системі аналіз файлу autorun.inf на компакт-дисках.
- Змінні оточення для всіх користувачів:
HKLMSystemCurrentControlSetControlSession ManagerEnvironment
Можна відредагувати встановлюються за замовчуванням змінні оточення, якщо змінити необхідні ключі (REG_SZ) у цьому розділі.
- Видача повідомлення при локальній реєстрації в системі:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonLegalNoticeCaption (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonLegalNoticeText (REG_SZ)
Як значення першого ключа вкажіть заголовок, а в якості другого, відповідно, текст повідомлення. Ця інформація може бути прочитана користувачем, реєструються локально.
- Автореєстрація в системі:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonAutoAdminLogon (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultUserName (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultPassword (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultDomainName (REG_SZ)
Потрібно привласнити першим ключу значення 1, іншим – відповідно ім'я користувача, пароль і домен. Пам'ятайте, що використання автореєстрації потенційно небезпечно, тому що ці значення зберігаються в Реєстрі у відкритому вигляді і можуть бути викрадені локально або через мережу.
- Шлях до файлів дистрибутиву за замовчуванням:
HKLMSoftwareMicrosoftWindows NTCurrentVersionSourcePath
Цей шлях (REG_SZ) можна змінити, щоб кожен раз при установці компонентів з дистрибутива Windows NT не потрібно набирати його заново.
- Редагування параметрів запуску сервісів:
HKLMSYSTEMCurrentControlSetServices[servicename]Start
Усередині цього розділу Реєстру знаходяться підключи, які відповідають усім встановленим сервісам. Можна змінювати споvсоб їх запуску за допомогою параметра Start (REG_DWORD):
* 0 (Boot) – завантажувач – ядро операційної системи;
* 1 (System) – завантажується при ініціалізації ядра;
* 2 (Automatic) – автоматично запускається менеджером Service Control Manager;
* 3 (Manual) – запускається користувачем вручну;
* 4 (Disabled) – відключений.
- Зняття і установка пароля для екранних заставок:
HKUDefaultControl PanelDesktopScreenSaveIsSecure
Щоб екранні заставки запитували пароль, встановіть параметр в 1 (REG_SZ). Значення діє на профіль "Default", тобто на всіх користувачів.
- Відключення коротких імен 8.3:
HKLMSystemCurrentControlSetControlFileSystemNtfsDisable8dot3NameCreation (REG_DWORD)
Механізм створення коротких імен для файлів використовується з метою сумісності зі старими 16-бітними додатками. Якщо ви не використовуєте такі додатки, надайте цього ключа значення 1 – це дозволяє підняти продуктивність NTFS.
- Управління включенням режиму NumLock:
HKCUControl PanelKeyboardInitialKeyboardIndicators
Значення 2 (REG_DWORD) включає NumLock на клавіатурі при вході користувача в систему.
Схожі статті:
- Пошукові форми (0)
- JavaScript (0)
- PHP помилки безпеки (0)
- Трохи про PHP. (0)
- Випадають меню за допомогою CSS (0)
- Зовнішні критерії релевантності (0)
- Про техніку інтернет-реклами (0)
Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.
Коментарів поки що немає.
Ваш отзыв
Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>