Роман Клименко - Windows Vista. Для профессионалов

Политика влияет на значение параметра REG_DWORD-типа ForceKey-Protection ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsof t\Cryptography. Если значение данного параметра равно О, то добавление нового пользовательского ключа в хранилище не требует подтверждения. Если значение равно 1, то добавление нового пользовательского ключа в хранилище требует подтверждения. Если же значение равно 2, то добавление нового пользовательского ключа в хранилище требует ввода пароля.

– Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ – позволяет указать, будет ли разрешено изменять параметры запуска файлов на данном компьютере на основе сертификатов файлов (по умолчанию запускаются все файлы, но можно разрешить запуск только сертифицированных файлов или файлов из определенного каталога).

Политика влияет на значение параметра REG_DWORD-типа Authentico-deEnabled ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Miегоsoft\Windows\Safer\CodeIdentifiers.

– Параметры системы: необязательные подсистемы – с помощью этой политики можно изменить значение параметра optional. Он содержит список подсистем операционной системы Windows Vista, которые автоматически будут загружаться в память компьютера процессом winlogon.exe при входе пользователей в систему. Естественно, что все ненужные подсистемы лучше удалить, чтобы их поддержка не понижала скорость работы операционной системы.

Политика влияет на значение параметра REG_MULTI_SZ-типа optional ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems. По умолчанию значение параметра равно POSIX.

– Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам – позволяет запретить анонимный доступ к нулевым каналам и ресурсам общего доступа. Это повышает безопасность компьютера, но при этом некоторые службы предыдущих версий операционной системы Windows не смогут получить сетевой доступ к операционной системе. По умолчанию доступ запрещен.

Политика влияет на значение параметра REG_DWORD-типа Restrict-NullSessAccess ветви системного реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\LanManServer\Parameters.

Кроме того, раздел Параметры безопасности содержит и такие стандартные подразделы, как Политики открытого ключа и Политики ограниченного использования программ.

С помощью подраздела Политики открытого ключа можно опубликовать сертификаты определенного типа, не используя рассмотренную нами ранее оснастку Сертификаты. Типы сертификатов, которые можно опубликовать, аналогичны типам сертификатов, отображаемых в оснастке Сертификаты, и были рассмотрены ранее. Кроме того, обратите внимание на вложенный подраздел Файловая система EFS. Именно с помощью команды Добавить агент восстановления данных контекстного меню данного подраздела можно добавить агент восстановления (на основе сертификата пользователя).

С помощью подраздела Политики ограниченного использования программ, как и раньше, определяются правила, на основе которых система будет решать, можно пользователю запустить определенный файл или нет. Если вы решили создать такие правила, то сначала в контекстном меню данного подраздела выберите команду Создать политику ограниченного использования программ, после чего в подразделе Политики ограниченного использования программ будут созданы два дочерних подраздела: Уровни безопасности и Дополнительные правила.

Как и раньше, ограничивать доступ к файлам и каталогам можно на основе четырех правил.

• Создать правило для сертификата – позволяет ограничить доступ к сценарию или пакету установщика Windows (расширение MSI) на основе сертификатов, которые были им выданы. Если сценарий или пакет установщика Windows не имеют указанного в правиле сертификата, то их использование будет запрещено. Это правило является наиболее защищенным, хотя и доступно только для сценариев и MSI-файлов.

• Создать правило для хэша – дает возможность ограничить доступ к файлам на основе хэша, которым они подписаны. Правило создается для определенного файла, при этом также создается хэш файла. Если кто-то попытается модифицировать файл, для которого определен хэш с помощью правила, то такой файл больше не будет разрешено запускать, так как его хэш не будет совпадать с тем, который определен правилом.

Если же создается правило на основе хэша, которое будет запрещать запуск определенного файла, то пользователь сможет его довольно легко обойти – достаточно будет изменить содержимое файла, чтобы изменился и его хэш.