Роман Клименко - Тонкости реестра Windows Vista. Трюки и эффекты

Отключить LM-хэш можно и с помощью стандартных возможностей Windows Vista. Для этого достаточно воспользоваться политикой Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля, расположенной в разделе Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Параметры безопасности оснастки Редактор объектов групповой политики (консоль gpedit.msc).

Собственно, в операционной системе Windows Vista хэш LM не создается по умолчанию, поэтому в данной настройке программы Vispa также нет никакой необходимости.

• Disable Windows Script Host – позволяет полностью отключить возможность выполнения сценариев WSH (Windows Scripting Host).

Установка этой настройки влияет на следующие параметры REG_DWORD-типа ветви HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings.

–Enabled – этому параметру присваивается значение 0. После этого при попытке выполнения любого сценария будет выдаваться сообщение о невозможности данной операции с просьбой обратиться к системному администратору для решения возникшей проблемы.

–Remote – параметру присваивается значение 0 (установлено по умолчанию). Если значение данного параметра равно 1, то выполнение сценариев, расположенных на данном компьютере, будет возможно удаленно (с помощью объекта WshController).

• Disable Remote Assistance – позволяет отключить возможность использования удаленного помощника (мастер Удаленный помощник Windows, отображаемый с помощью программы msra.exe).

Установка этой настройки влияет на следующие параметры REG_DWORD-типа ветви HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server.

–AllowRemoteRPC – параметру присваивается значение 0. Благодаря этому запрещается возможность удаленных подключений к инфраструктуре PnP с помощью протокола RPC.

–fDenyTSConnections – этому параметру присваивается значение 1. Именно изменение этого параметра запрещает запуск удаленного помощника (программа mstsc.exe).

• Disable Null Session Connections – установка данной настройки присваивает значение 1 параметрам REG_DWORD-типа restrictanonymous и restrictanonymoussam, расположенным в ветви HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

Изменение параметра restrictanonymous запрещает перечисление учетных записей SAM и общих ресурсов пользователями, входящими в группу анонимных (по умолчанию разрешено). Данный параметр можно изменить и с помощью стандартных возможностей Windows Vista. Для этого достаточно воспользоваться политикой Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями, расположенной в разделе Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Параметры безопасности.

Изменение параметра restrictanonymoussam запрещает перечисление учетных записей SAM пользователями, входящими в группу анонимных (то есть в группу Все). Данный параметр можно изменить и с помощью стандартных возможностей Windows Vista. Для этого нужно воспользоваться политикой Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями, расположенной в разделе Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Параметры безопасности.

По умолчанию значение параметра restrictanonymoussam равно 1.

• Disable File Association Web Service – с помощью данной настройки можно отключить возможность ассоциации расширений файлов с приложениями из Интернета (параметру REG_DWORD-типа InternetOpenWith, расположенному в ветви HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer, будет присвоено значение 0).

После установки данной настройки при попытке открыть файл, расширение которого не ассоциировано ни с одной программой, перед вами вместо окна с предложением поиска соответствия в Интернете (рис. 5.2) будет сразу же открыто окно Выбор программы.

Рис. 5.2. Окно с предложением поиска программы, соответствующей расширению файла, в Интернете

• Disable Net Crawling – данная настройка позволяет запретить автоматический поиск сетевых папок и принтеров при открытии Проводника. Для этого значение 1 присваивается параметру REG_DWORD-типа NoNetCrawling, расположенному в ветви реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced.

• Disable Media Sensing for TCP/IP – позволяет отключить возможность автоматического определения событий подключения/отключения устройств от сети (необходима перезагрузка компьютера). Для этого параметру REG_DWORD-типа DisableDHCPMediaSense, расположенному в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, присваивается значение 1.