Керування Windows через реєстр



Потенційні місця розташування троянських програм:
KLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit (REG_SZ)
KLMSoftwareMicrosoftWindowsCurrentVersionRun... (REG_SZ)
KLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonSystem (REG_SZ)
У
першому і другому випадку зазначені в ключах додатки запускаються в контексті поточного користувача, в третьому - від імені системи (System). Має сенс регулярно перевіряти ці розділи Реєстру на наявність троянців.
Очищення файлу підкачки при перезавантаженні:
HKLMSYSTEMCurrentControlSetControlSession ManagerMemory ManagementClearPageFileAtShutdown
Файл
підкачки, в який потенційно можуть потрапити незашифровані акаунти
і паролі, буде очищатися при кожному перезавантаженні, якщо параметру
присвоєно значення 1 (REG_DWORD).
Усунення помилки прав доступу в списку системних DLL
HKLMSystemCurrentControlSetControlSession ManagerProtection Mode
Усувається
можливість атаки із застосуванням троянських DLL, і, як наслідок,
отримання прав адміністратора. Потрібно встановити параметр в 1
(REG_DWORD).
Заборона перезавантаження і вимикання комп'ютера без локального входу в систему:
KLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShutdownWithoutLogon
Установка
ключа в 0 (REG_SZ) дозволяє заборонити завершення роботи системи
(Кнопка "Shutdown" у вікні Logon стає недоступною і забарвлюється
сірим кольором).
Обмеження доступу на перегляд журналів подій користувачам групи Guest:
HKLMSystemCurrentControlSetServicesEventLogSystemRestrictGuessAccess
HKLMSystemCurrentControlSetServicesEventLogSecurityRestrictGuessAccess
HKLMSystemCurrentControlSetServicesEventLogApplicationRestrictGuessAccess
Створення ключів зі значенням 1 (REG_DWORD) обмежує доступ до Журналу подій (EventLog).
Зміна місцезнаходження файлів Журналу подій на жорсткому диску:
HKLMSystemCurrentControlSetServicesEventLogSystemFile
HKLMSystemCurrentControlSetServicesEventLogSecurityFile
HKLMSystemCurrentControlSetServicesEventLogApplicationFile
Переклад
log-файлів в інший каталог на диску за допомогою ключа File (REG_SZ)
може утруднити зломщикові їх навмисну ​​модифікацію.
Додатковий захист локального входу:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDontDisplayLastUserName
Коли
увімкнено в 1 (REG_SZ), знищується інформація про останній
зареєстрованого користувача (очищається рядок Login в ділоговом
вікні Logon process).
"Приховування" сервера в списках мережевого оточення (Network Neightborhood):
HKLMSystemCurentControlSetServicesLanman ServerParametersHidden
Присвоєння
ключу значення 1 (REG_DWORD) приховує ім'я сервера. Комп'ютер перестає
відображатися в списках, які формуються основними оглядачами домену,
хоча його ресурси як і раніше доступні всім, хто знає його
безпосередній адресу.
Зміна прав на редагування Реєстру:
HKLMSystemCurentControlSetControlSecurePipeServers
Зміна
за допомогою програми regedt32.exe прав доступу до цього розділу
дозволяє настроїти політику безпеки для віддаленого редагування
Реєстру. За замовчуванням редагування дозволено тільки членам групи
Administrators.
Відключення нульової сесії:
HKLMSystemCurentControlSetControlLsaRestrictAnonymous (REG_DWORD)
Присвоєння
цього ключа значення 1 забороняє з'єднання з ресурсами комп'ютера без
обов'язковій реєстрації. Зокрема, це виключає читання списку
облікових записів та їх описів (descriptions).
Знищення поділюваних ресурсів адміністратора:
HKLMSystemCurentControlSetServicesLanmanServerParametersAutoShareServer (REG_DWORD)
HKLMSystemCurentControlSetServicesLanmanServerParametersAutoShareWks (REG_DWORD)
Установка
цих ключів в 0 (перший, відповідно, для NT Server, другий - для
NT Workstation) виключає адміністратору мережевий доступ до ресурсів виду
ComputerNameC $, D $,..., ADMIN $. (Надіслав Дмитро Артюхін).
Частина друга
У
цій замітці мова піде про ключі, прямо не впливають на безпеку
комп'ютера, проте вельми корисних для системного адміністратора.
Поділ процесів 16-розрядної підсистеми Windows NT
HKLMSystemCurentControlSetControlWOWDefaultSeparateVDM
Присвоєння
ключу значення "yes" (REG_SZ) дозволяє запускати 16-розрядні
додатки в ізольованих віртуальних машинах, що підвищує
відмовостійкість ОС, але забирає багато ресурсів.
Заборона автозапуску компакт-дисків:
HKLMSystemCurentControlSetServicesCdromAutorun
Установка параметра в 0 (REG_DWORD) забороняє системі аналіз файлу autorun.inf на компакт-дисках.
Змінні оточення для всіх користувачів:
HKLMSystemCurrentControlSetControlSession ManagerEnvironment
Можна
відредагувати встановлюються за замовчуванням змінні оточення, якщо
змінити необхідні ключі (REG_SZ) у цьому розділі.
Видача повідомлення при локальній реєстрації в системі:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonLegalNoticeCaption (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonLegalNoticeText (REG_SZ)
У
Як значення першого ключа вкажіть заголовок, а в якості
другого, відповідно, текст повідомлення. Ця інформація може бути
прочитана користувачем, реєструються локально.
Автореєстрація в системі:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonAutoAdminLogon (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultUserName (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultPassword (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultDomainName (REG_SZ)
Потрібно
присвоїти перший ключу значення 1, іншим - відповідно ім'я
користувача, пароль і домен. Пам'ятайте, що використання
автореєстрації потенційно небезпечно, тому що ці значення зберігаються в
Реєстрі у відкритому вигляді і можуть бути викрадені локально або через мережу.
Шлях до файлів дистрибутиву за замовчуванням:
HKLMSoftwareMicrosoftWindows NTCurrentVersionSourcePath
Цей
шлях (REG_SZ) можна змінити, щоб кожен раз при установці
компонентів з дистрибутива Windows NT не потрібно набирати його
заново.
Редагування параметрів запуску сервісів:
HKLMSYSTEMCurrentControlSetServices[servicename]Start
Всередині
цього розділу Реєстру знаходяться підключи, які відповідають усім
встановленим сервісів. Можна змінювати споvсоб їх запуску за допомогою
параметра Start (REG_DWORD):
* 0 (Boot) - завантажувач - ядро ​​операційної системи;
* 1 (System) - завантажується при ініціалізації ядра;
* 2 (Automatic) - автоматично запускається менеджером Service Control Manager;
* 3 (Manual) - запускається користувачем вручну;
* 4 (Disabled) - відключений.
Зняття і установка пароля для екранних заставок:
HKUDefaultControl PanelDesktopScreenSaveIsSecure
Щоб
екранні заставки запитували пароль, встановіть параметр в 1 (REG_SZ).
Значення діє на профіль "Default", тобто на всіх користувачів.
Відключення коротких імен 8.3:
HKLMSystemCurrentControlSetControlFileSystemNtfsDisable8dot3NameCreation (REG_DWORD)
Механізм
створення коротких імен для файлів використовується з метою сумісності з
старими 16-бітними додатками. Якщо ви не використовуєте такі
додатки, надайте цього ключа значення 1 - це дозволяє підняти
продуктивність NTFS.
Управління включенням режиму NumLock:
HKCUControl PanelKeyboardInitialKeyboardIndicators



  • Еволюція Windows
  • Порівняння редакцій Microsoft Windows 7
  • Налаштування eMule