1. Главная
  2. Книги
  3. лаборатория» Журнал «Домашняя
  4. Интернет-журнал "Домашняя лаборатория", 2008 №2
  5. Страница 372
Выбрать главу

1. Откройте редактор реестра regedt32.exe (не используйте regedit.exe).

2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. Дважды щёлкните мышью на "Notification Packages".

4. Введите PASSFILT в новой строке (если там находится FPNWCLNT, добавьте после него). Нажмите "ОК".

5. Закройте редактор реестра.

6. Перезагрузитесь.

Ограничение удалённого доступа к реестру

Доступ к удалённому редактированию реестра контролируется ACL-ключом winreg реестра.

1. Откройте редактор реестра regedt32.

2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers

3. Найдите подраздел с именем winreg. Если его нет, создайте (Edit — Add Key).

4. Выделите подраздел winreg (нажмите на нём).

5. В меню "Security" выберите "Permissions".

6. Нажмите "Add" и дайте пользователю, которого хотите ограничить, доступ "read" (чтение).

7. После добавления нажмите на пользователе и выберите "Special Access".

8. Дважды щёлкнув мышью на пользователе, можно ещё выбрать, какие действия он сможет выполнять.

9. Нажмите "ОК".

Можно установить, чтобы некоторые разделы были доступны для пользователя, даже если ему не дали прав на редактирование:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg \AllowedPaths\Machine

С помощью regedt32 добавьте необходимые пути в список.

Проведение аудита изменений реестра

Используя regedt32.ехе можно установить аудит изменений отдельных частей реестра. Ведение аудита — очень чувствительная мера, позволяющая выводить предупреждающие сообщения людям, нарушающим установленные Вами правила редактирования реестра.

1. Откройте редактор реестра regedt32.

2. Выберите раздел, на который хотите назначить аудит (например, HKEY_LOCAL_MACHINE\Software).

3. Из меню "Security" (Безопасность) выберите "Auditing" (Аудит).

4. Пометьте "Audit Permission on Existing Subkeys" (Разрешение аудита для существующих разделов), если Вы хотите проводить аудит и подразделов.

5. Нажмите "Add" (Добавить) и выберите пользователей, которые будут подвержены аудиту, нажмите "Add" и "ОК".

6. В разделе "Names" можно выбрать, аудит каких событий будет проводиться.

7. После заполнения всей информации нажмите "ОК".

Убедитесь, что у Вас включен "Auditing for File and Object" (воспользуйтесь User Manager — Polices — Audit).

Для просмотра результатов аудита, воспользуйтесь Event Viewer (Просмотр событий), раздел Security.

Добавление команды шифрации/дешифрации в контекстное меню файлов и папок

В операционной системе MS Windows 2000 любой файл или папка, расположенная на логическом диске с файловой системой NTFS, может быть зашифрована. Эта процедура описана в разделе "Шифрование файла или папки" справочной системы MS Windows 2000 Professional. При необходимости, команду "Зашифровать" (Encrypt)/"Расшифровать" (Decrypt) можно встроить в контекстное меню для файлов и папок. В случае если файл или папка не зашифрованы, будет доступна команда "Зашифровать". В обратном случае — команда "Расшифровать". Для этого:

1. Запустите редактор реестра regedt32.

2. Откройте раздел:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

3. Создайте параметр типа REG_DWORD с именем "EncryptionContextMenu" и значением 1.

4. Закройте редактор реестра и перезагрузите компьютер.

Ключ шифрования

Ключ, с помощью которого шифруются данные в Windows 2000/ХР, имеет длину до 128 бит и уникален для каждого пользователя в каждой инсталляции системы.

Ключ хранится в профиле пользователя, поэтому после переустановки системы или удалении пользователя он теряется. Расшифровать файлы, зашифрованные этим пользователем, становится невозможно. Пытаться создавать для этого другого пользователя с таким же именем и паролем для входа в систему абсолютно бесполезно. Одно из возможных решений — это создание диска аварийного восстановления (Emergency Repair Disk). Вся необходимая информация по существующим пользователям будет сохранена на ERD-диске, и после переинсталляции системы надо будет только восстановиться с него. Кроме этого, можно заранее сохранить необходимые сертификаты и ключи или заблаговременно создать агента по восстановлению (Encrypted Data Recovery Agent).

Включение/выключение системы шифрования

Систему шифрования EFS (Encrypted File System) можно выключать/включать на Windows 2000 и Windows ХР Pro. Для этого достаточно в разделе реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\EFS key создать или отредактировать уже существующий dword-параметр "EfsConfiguration". Присвоив этому параметру значение 1, вы выключите EFS, а присвоив 0, включите обратно. Для того чтобы изменения вошли в силу, необходимо перезагрузить компьютер. Очевидно, что, отключив EFS, вы потеряете возможность не только шифровать файлы, но и расшифровывать ранее зашифрованные. Как очевидно и то, что включение/отключение EFS влияет сразу на всех пользователей. Но на ключи пользователей (как открытые, так и личные) это действие не окажет абсолютно никакого влияния, поэтому после того как EFS будет включена вновь, никаких проблем с доступом к своим файлам пользователи не испытают.

~ 372 ~