Windows Vista. Для профессионалов

• Описание – указывает описание подписки.

• Журнал на конечном компьютере – этот раскрывающийся список позволяет указать журнал, в который будут помещаться записи о возникающих событиях, указанных в данной подписке. По умолчанию используется стандартный журнал Пересланные события. Однако вы можете выбрать любой другой несистемный журнал.

• Исходные компьютеры – поле содержит список компьютеров, на которых будет отслеживаться возникновение определенных событий. С помощью кнопки Добавить можно добавить в список новый компьютер. С помощью кнопки Удалить можно удалить определенный компьютер из списка. С помощью кнопки Проверить можно послать запрос WinRM, чтобы проверить корректность работы необходимых служб.

• Выбрать события – этот раскрывающийся список позволяет создать новый фильтр либо воспользоваться уже существующим. Если вы выберете элемент Изменить данного списка, то откроется уже знакомое вам окно создания фильтра. Именно на основе данного фильтра будут определяться записи журналов удаленного компьютера, которые будут отображаться в журнале Пересланные события локального компьютера.

• Дополнительно – после нажатия данной кнопки перед вами отобразится окно Дополнительные параметры подписки. С его помощью можно изменить учетную запись, от имени которой будет выполняться подписка на события, а также порт, по которому будет установлено соединение с удаленным компьютером, и один из режимов оптимизации использования пропускной способности сети.

Существует несколько режимов оптимизации: Настраиваемая, Уменьшенная пропускная способность, Уменьшенная задержка и Обычная. Друг от друга они отличаются значениями четырех параметров реестра , которые расположены соответственно в подразделах Custom, MinBandwidth, MinLatency и Normal ветви HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\ Conf igurationModes. Вот эти параметры реестра.

• DeliveryMode – имеет строковый тип и может принимать значения push (используется режимами оптимизации Уменьшенная пропускная способность и Уменьшенная задержка) или pull (используется режимами оптимизации Настраиваемая и Обычная). Он определяет способ доставки событий (кто именно инициирует процесс доставки сведений о событии).

• HeartBeatlnterval – параметр имеет тип REG_DWORD и определяет интервал проверки возникновения событий. Значение данного параметра равно 3600000, 21600000, 3600000 и 900000, соответственно, для режимов оптимизации Настраиваемая, Уменьшенная пропускная способность, Уменьшенная задержка и Обычная.

• MaxI terns – параметр REG_DWORD-типа. Он определяет максимальное количество событий в коллекции. Для режима оптимизации Обычная значение данного параметра равно 5, а для остальных режимов – 2 0.

• MaxLatencyTime – имеет тип REG_DWORD и определяет максимальное время ожидания возникновения событий. Значение данного параметра равно 900000, 21600000, 30000 и 900000, соответственно, для режимов оптимизации Настраиваемая, Уменьшенная пропускная способность, Уменьшенная задержка и Обычная.

Сведения о созданных подписках хранятся в ветви реестра НКЕ Y_LOC AL_MACH INE \ SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\ Subscriptions. Каждая созданная подписка имеет в этой ветви свой собственный подраздел, название которого соответствует названию подписки. Каждый из этих подразделов хранит одни и те же параметры, большинство из которых изменяются с помощью окна Свойства подписки. Знание этих параметров может пригодиться при автоматическом создании подписок. Кроме того, чтобы создать подписку с помощью окна Свойства подписки, необходимо получить доступ к компьютеру-назначению по сети (если доступ к нему в данный момент отсутствует, то вы не сможете создать подписку). А при создании подписки с помощью реестра не имеет значения, доступен ли удаленный компьютер в данный момент.

• Enabled – этот параметр REG_DWORD-типа определяет, выполняется ли сбор событий на основе подписки в данный момент.

• Conf igurationMode – имеет строковый тип и определяет используемый подпиской режим оптимизации. Он может принимать следующие значения: Normal, Custom, MinBandwidth, MinLatency.

• Query – этот параметр строкового типа указывает запрос. На основе этого запроса определяются события, на которые выполнена данная подписка.

• TransportName – имеет строковый тип и определяет протокол, используемый для транспортировки событий. По умолчанию используется протокол HTTP, однако можно присвоить данному параметру значение HTTPS, чтобы использовался защищенный протокол.

• TransportPort – этот параметр строкового типа определяет порт, используемый для транспортировки событий.

• DeliveryMode, Maxltems, MaxLatencyTime, HeartBeatlnterval – смотрите одноименные параметры подразделов ветви HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\ Conf igurationModes, описанные выше.

• CommonUserName – этот параметр строкового типа определяет имя пользователя, от имени которого выполняется подключение к удаленному компьютеру.

• CredentialType – имеет строковый тип и определяет тип аутентификации пользователя на удаленном компьютере. По умолчанию используется значение Default.

Кроме того, существует несколько параметров реестра , влияющих на работу всех подписок. Они содержатся в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\Globals и имеют ТИП REG_DWORD:

• Retrylnterval – определяет интервал, с которым операционная система будет пытаться получить сведения о возникшем событии, на которое есть подписка;

• RetryCount – указывает максимальное количество повторов на получение сведений о событии.

Работа со стандартными журналами Windows с помощью команды wevtutil.exe

Работать со стандартными журналами Windows можно и с помощью новой программы командой строки операционной системы Windows Vista. Чтобы просмотреть полный перечень возможностей данной команды и их описание, нужно воспользоваться командой wevtutil /?. Мы же на страницах данной книги рассмотрим только основные команды данной программы.

• Wevtutil el – отображает список стандартных журналов операционной системы локального компьютера.

• Wevtutil el /г:<компьютер> /и:<пользователь> /р:<пароль>– выводит список стандартных журналов операционной системы удаленного компьютера, используя для подключения к нему указанное имя пользователя и пароль. Можно также использовать параметр /а: для определения способа аутентификации пользователя на удаленном компьютере. Можно указать следующие значения данного параметра: Default, Negotiate, Kerberos или NTLM.

• Wevtutil gl <имя стандартного журнала> – отображает настройки стандартного журнала локального или удаленного компьютера. Эта команда выводит следующие настройки журналов: имя, включен или отключен в данный момент, тип, имя создателя, права доступа, путь к файлу, максимальный размер файла, выполняется ли его автоматическая архивация и т. д.

• Wevtutil si <имя стандартного журнала> <изменяемый параметр журнала> – позволяет изменить параметры работы определенного журнала. Они изменяются с помощью следующих установок.

– /e: – позволяет включить или отключить запись в данный журнал.

– /i:<определяет способ изоляции> – позволяет изменить способ изоляции, определяющий сессию, с которой данный журнал разделяет работу. Например, значение данного параметра может быть равно system или application.

– /lfn:<новое имя журнала> – изменяет имя выбранного журнала.

– /rt: —если значение данного параметра равно false, то новые события будут переписывать собой старые события журнала. В противном случае старый файл журнала будет сохраняться.

– /ab: – позволяет включить или отключить автоматическую архивацию файла журнала. Если автоматическая архивация должна быть включена, то также должно быть включено значение параметра /rt:.

– /ms: <максимальный размер> – определяет максимальный размер файла журнала в байтах. Минимальное значение данного параметра может быть равно 104 857 6.

– /l: <уровень> – указывает уровень фильтрации содержимого создаваемого файла журнала.

– /к:<ключевые слова> – определяет ключевые слова для фильтрации содержимого журнала.

– /са: – справа доступа> – указывает права доступа на регистрацию событий в журнале (в формате SDDL).

– /с: <путь к файлу XML> – определяет путь к файлу, содержащему новые настройки журнала. Синтаксис данного файла приведен в описании программы, и его можно отобразить, введя команду wevtutil /si /?.

• Wevtutil ер – отображает список провайдеров, которые могут заносить сведения о своей работе в стандартные журналы операционной системы.

• Wevtutil gp <имя провайдера> – выводит основные сведения о данном провайдере. К списку основных сведений относятся: имя и CLSID-номер провайдера, путь к библиотеке провайдера, ссылка на ресурс сайта Microsoft, описывающий назначение данного провайдера, название журнала, в который провайдер записывает свои сведения, идентификатор записей и т. д.

• Wevtutil epl <имя стандартного журнала> <путь к файлу с расширением ELF> – экспортирует содержимое стандартного журнала локального или удаленного компьютера в ELF-файл.

• Wevtutil cl <имя стандартного журнала> – очищает содержимое указанного стандартного журнала.

Расположение: %systemroot%\system32\eventcreate.ехе.

Никуда не исчезла и стандартная программа командной строки eventcreate.ехе, с помощью которой можно создавать в стандартных журналах операционной системы свои записи. Поскольку эта программа не является чем-то новым, мы просто о ней упомянем.

Основной синтаксис этой программы следующий: eventcreate /t <тип события> /id – ^идентификатор события> /1 <название журнала> /d <описание>. Здесь:

• тип события может принимать следующие стандартные значения: ERROR, WARNING, INFORMATION И SUCCESS;

• идентификатор должен быть числом от 1 до 1000;

• название журнала может принимать только следующие значения: Application, System или название любого другого журнала из раздела Applications and Services Logs оснастки Просмотр событий.

CLSID-номер оснастки: {E12BBB5D-D59D-4E61-947A-301D25AE8C23}.

Библиотека: GPOAdmin.dll.

Используется в стандартных консолях: gpmc.msc.

Оснастка может использоваться только на компьютерах, подключенных к домену Active Directory. В этом случае она представляет собой более функциональную оснастку, чем стандартная оснастка Редактор объектов групповой политики.

Оснастка Управление групповой политикой состоит из следующих оснасток и утилит Active Directory: Active Directory Users and Computers, Active Directory Sites and Services и Resultant Set of Policy. С ее помощью удобно управлять групповыми политиками в каждом лесе корпоративной среды. Для каждого леса отображаются следующие подразделы данной оснастки:

• Domains – содержит информацию обо всех доменах, из которых состоит данный лес;

• Sites – хранит информацию обо всех узлах, из которых состоит данный лес;

• Group Policy Modeling – позволяет выполнить моделирование групповой политики для определенного компьютера или пользователя на основе только что измененных групповых политик (которые еще не вступили в силу);

• Group Policy Results – дает возможность выполнить моделирование групповой политики для определенного компьютера или пользователя на основе уже применяющихся политик.

В контексте этой книги мы не будем подробно рассматривать данную оснастку.

CLSID-номер оснастки: {8FC0B734-A0E1-11D1-A7D3-0 0 0 0F87571E3}.

Библиотека: GPEdit.dll.

Используется в стандартных консолях: gpedit.msc.

Эта оснастка представляет собой основной способ редактирования групповых политик, дающих возможность дополнительной настройки операционной системы и ее компонентов с помощью специальных параметров реестра , изменять которые могут только администраторы. Соответственно, запустить данную оснастку можно только с правами администратора.

При загрузке оснастки перед вами отобразится мастер. С его помощью можно определить компьютер, параметры групповой политики которого вы будете изменять. Но это еще не все возможности изменения – если вы нажмете кнопку Обзор, то сможете изменить не только компьютер, но и пользователя, на которого будут распространяться изменяемые вами групповые политики (рис. 5.15). При этом заметьте, что можно выбирать не только конкретного пользователя, но и пользователей группы Администраторы, а также пользователей всех групп, не являющихся административными. Однако учтите, что если вы выберете пользователя, то будут загружены групповые политики, распространяемые на него, но не будут загружены групповые политики, распространяемые на весь компьютер.

Оснастка Редактор объектов групповой политики состоит из множества расширений, которые вы можете по своему желанию оставить или отключить. К ним относятся следующие расширения.

• Административные шаблоны (Компьютеры) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация компьютера → Административные шаблоны.

• Административные шаблоны (Пользователи) – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация пользователя → Административные шаблоны.

• Расширенный вид – в начале этой главы рассказывалось, как с помощью реестра запрещать отображение расширенного вида консоли управления. Однако этого же эффекта можно достичь и с помощью редактирования расширений конкретной оснастки. Для этого достаточно запретить загрузку данного расширения.

• Редактор перенаправления папок (пользователей) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация пользователя → Конфигурация программ → Перенаправление папок. Этот раздел отображается в оснастке только в том случае, если компьютер входит в домен Active Directory.

• Настройка Internet Explorer – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация пользователя → Конфигурация Windows → Настройка Internet Explorer.

• QoS на основе политики – оснастка Редактор объектов групповой политики загружает два таких расширения – одно для пользователя, а другое для всего компьютера. Соответственно, они определяют, будет ли отображаться подраздел PoLicy-based QoS в разделе Конфигурация компьютера → Конфигурация Windows и в разделе Конфигурация пользователя → Конфигурация Windows.

• Расширение помещенных подключений принтеров (компьютеров) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация компьютера → Конфигурация Windows → Развернутые принтеры.

• Расширение помещенных подключений принтеров (пользователей) – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация пользователя → Конфигурация Windows → Развернутые принтеры.

• Сценарии (вход/выход из системы) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация пользователя → Конфигурация Windows → Сценарии (вход/выход из системы).

• Сценарии (запуск/завершение) – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация компьютера → Конфигурация Windows → Сценарии (запуск/завершение).

• Параметры безопасности – запрет на загрузку данного расширения удаляет подраздел Параметры безопасности как из раздела Политика «Локальный компьютер» → Конфигурация компьютера, так и из раздела Политика «Локальный компьютер» → Конфигурация пользователя.

• Установка программ (компьютеры) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация компьютера → Конфигурация программ → Установка программ. Он отображается в оснастке только в том случае, если компьютер входит в домен Active Directory.

• Установка программ (пользователи) – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация пользователя → Конфигурация программ → Установка программ. Он отображается в оснастке только в том случае, если компьютер входит в домен Active Directory.

Мы не будем рассматривать такие разделы данной оснастки, как Конфигурация программ (так как он имеет функциональное назначение только при работе в домене) и Развернутые принтеры (так как он представляет собой отдельную оснастку Управление печатью).

Итак, оснастка Редактор объектов групповой политики состоит из следующих подразделов (рис. 5.16).

• Конфигурация программ – если компьютер подключен к домену, то с помощью этого раздела можно опубликовать или назначить пользователю определенные программы, а также перенаправить содержимое стандартных папок компьютера в другие папки.

• Конфигурация Windows – определяет дополнительные настройки групповых политик, с помощью которых можно повысить безопасность работы компьютера (подраздел Параметры безопасности), определить сценарии, которые будут запускаться при входе (загрузке) или выходе (выключении) пользователя из операционной системы (подраздел Сценарии), а также изменить настройки интерфейса браузера Internet Explorer (подраздел Настройка Internet Explorer).

• Административные шаблоны – указывает административные шаблоны, являющиеся основной частью групповых политик и позволяющие ограничить возможности работы определенных пользователей или всех пользователей компьютера.

Подраздел Конфигурация программ

По сравнению с предыдущими версиями операционной системы Windows, подраздел Конфигурация программ оснастки Редактор объектов групповой политики совершенно не изменился, поэтому мы рассмотрим его лишь поверхностно.

Как и раньше, он содержит разделы Политики учетных записей и Локальные политики, которые, в свою очередь, включают в себя следующие дочерние подразделы.

• Политика паролей – как и раньше, с помощью данного раздела можно настроить такие параметры создания и хранения паролей, как максимальное и минимальное количество дней хранения паролей от учетных записей пользователей, минимальная длина пароля. Можно указать, должен ли пароль обязательно, кроме символов, содержать цифры и несимвольные знаки (восклицательный, подчеркивая и т. д.), должен ли пароль храниться в базе данных SAM с использованием обратного шифрования (понижает безопасность, но может быть необходимо при взаимодействии с некоторыми устаревшими программами и операционными системами) и т. д.

• Политика блокировки учетной записи – с помощью данного раздела можно настроить такие параметры входа в систему, как количество неправильных попыток ввода пароля, после которых учетная запись будет заблокирована, указать, на какое время будет заблокирована учетная запись, а также через какое время счетчик неправильных попыток входа в систему будет сброшен.

• Политика аудита – как и раньше, данный раздел позволяет определить параметры аудита доступа к системе (сведения аудита заносятся в системный журнал Безопасность оснастки Просмотр событий). Можно выбрать следующие значения аудита: Успех (определенное событие прошло успешно) и Отказ (пользователь не имеет права совершать это событие). При этом, как и раньше, можно выполнять аудит следующих событий: вход в систему пользователя или служебных учетных записей, изменение параметров учетных записей пользователей, получение доступа к объектам (папкам, файлам и т. д.), использование административных привилегий и т. д.

• Назначение прав пользователя – позволяет указать учетные записи пользователей, которым будут даны дополнительные привилегии при работе в системе или, наоборот, некоторые стандартные привилегии которых будут запрещены. Этот раздел не является чем-то новым – он присутствовал и в предыдущих версиях операционной системы Windows.

• Параметры безопасности – раздел также не является чем-то новым. Он определяет некоторые настройки безопасности компьютера, которые должен знать и уметь изменять каждый администратор. Поэтому, если вы упустили этот момент администрирования компьютера, обязательно загляните в данный раздел, чтобы просмотреть его возможности. А на страницах книги мы рассмотрим только то содержимое данного раздела, которого не было в операционной системе Windows ХР.

– Управление учетными записями пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором – эта политика позволяет определить, будет ли для администраторов компьютера отображаться окно оповещения о необходимости запуска программы с административными правами, и если будет, то что оно будет содержать: либо просто предупреждение, либо поле для ввода пароля администратора. По умолчанию требуется подтверждение.

Политика влияет на значение параметра REG_DW0RD-типа ConsentPrompt-BehaviorAdmin ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System. Если его значение равно 0, то окно UAC отображаться не будет. Если его значение равно 1, то будет отображаться окно с просьбой ввода пароля. Если же его значение равно 2, то будет отображаться окно UAC с предупреждением.

– Управление учетными записями пользователей: поведение запроса на повышение прав для обычных пользователей – позволяет определить, будет ли для пользователей, не имеющих прав администратора, отображаться окно оповещения о необходимости запуска программы с административными правами, и если будет, то что оно будет содержать: либо просто предупреждение, либо поле для ввода пароля администратора. По умолчанию требуется ввод пароля.

Политика влияет на значение параметра REG_DWORD-типа ConsentPrompt-BehaviorUser ветви системного реестра Windows HKEY_LOCAL_MACHINE\ SOFTWARE\MicrosoftWindows\CurrentVersion\Policies\System. Если его значение равно 0, то окно UAC отображаться не будет. Если значение равно 1, то будет отображаться окно с просьбой ввода пароля. Если же его значение равно 2, то будет отображаться окно UAC с предупреждением.

– Управление учетными записями пользователей: обнаружение установки приложений и запрос на повышение прав – указывает, будет ли UAC отображать свое окно при обнаружении попытки установки программного обеспечения, при которой необходимы административные права. По умолчанию будет отображать.

Политика влияет на значение параметра REG_DWORD-типа Enablelnstal-lerDetection ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion\Policies\System.