Windows Vista. Для профессионалов

Политика влияет на значение параметра REG_DWORD-типа EnableVirtualization ветви системного реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.

– Управление учетными записями пользователей: режим одобрения администратором для встроенной учетной записи администратора – определяет, будет ли работать пользователь Администратор в режиме LUA.

Политика влияет на значение параметра REG_DWORD-типа FilterAdministratorToken ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.

– Управление учетными записями пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав – указывает, будет ли запрещен доступ ко всем открытым окнам и Рабочему столу при отображении окна UAC. По умолчанию доступ запрещен.

Политика влияет на значение параметра REG_DWORD-типа PromptOnSe-cureDes ktop ветви системного реестра HKEY_LOCAL_MACHINE \ SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.

– Управление учетными записями пользователей: повышение прав только для подписанных и проверенных исполняемых файлов – определяет, будет ли разрешено запускать с административными правами программы, не имеющие достоверной подписи. По умолчанию разрешено.

Политика влияет на значение параметра REG_DWORD-типа ValidateAd-minCodeSignatures ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.

– Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере – позволяет определить, будет ли применяться усиленная защита хранилища пользовательских ключей.

Политика влияет на значение параметра REG_DWORD-типа ForceKey-Protection ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsof t\Cryptography. Если значение данного параметра равно О, то добавление нового пользовательского ключа в хранилище не требует подтверждения. Если значение равно 1, то добавление нового пользовательского ключа в хранилище требует подтверждения. Если же значение равно 2, то добавление нового пользовательского ключа в хранилище требует ввода пароля.

– Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ – позволяет указать, будет ли разрешено изменять параметры запуска файлов на данном компьютере на основе сертификатов файлов (по умолчанию запускаются все файлы, но можно разрешить запуск только сертифицированных файлов или файлов из определенного каталога).

Политика влияет на значение параметра REG_DWORD-типа Authentico-deEnabled ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Miегоsoft\Windows\Safer\CodeIdentifiers.

– Параметры системы: необязательные подсистемы – с помощью этой политики можно изменить значение параметра optional. Он содержит список подсистем операционной системы Windows Vista, которые автоматически будут загружаться в память компьютера процессом winlogon.exe при входе пользователей в систему. Естественно, что все ненужные подсистемы лучше удалить, чтобы их поддержка не понижала скорость работы операционной системы.

Политика влияет на значение параметра REG_MULTI_SZ-типа optional ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems. По умолчанию значение параметра равно POSIX.

– Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам – позволяет запретить анонимный доступ к нулевым каналам и ресурсам общего доступа. Это повышает безопасность компьютера, но при этом некоторые службы предыдущих версий операционной системы Windows не смогут получить сетевой доступ к операционной системе. По умолчанию доступ запрещен.

Политика влияет на значение параметра REG_DWORD-типа Restrict-NullSessAccess ветви системного реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\LanManServer\Parameters.

Кроме того, раздел Параметры безопасности содержит и такие стандартные подразделы, как Политики открытого ключа и Политики ограниченного использования программ.

С помощью подраздела Политики открытого ключа можно опубликовать сертификаты определенного типа, не используя рассмотренную нами ранее оснастку Сертификаты. Типы сертификатов, которые можно опубликовать, аналогичны типам сертификатов, отображаемых в оснастке Сертификаты, и были рассмотрены ранее. Кроме того, обратите внимание на вложенный подраздел Файловая система EFS. Именно с помощью команды Добавить агент восстановления данных контекстного меню данного подраздела можно добавить агент восстановления (на основе сертификата пользователя).

С помощью подраздела Политики ограниченного использования программ, как и раньше, определяются правила, на основе которых система будет решать, можно пользователю запустить определенный файл или нет. Если вы решили создать такие правила, то сначала в контекстном меню данного подраздела выберите команду Создать политику ограниченного использования программ, после чего в подразделе Политики ограниченного использования программ будут созданы два дочерних подраздела: Уровни безопасности и Дополнительные правила.

Как и раньше, ограничивать доступ к файлам и каталогам можно на основе четырех правил.

• Создать правило для сертификата – позволяет ограничить доступ к сценарию или пакету установщика Windows (расширение MSI) на основе сертификатов, которые были им выданы. Если сценарий или пакет установщика Windows не имеют указанного в правиле сертификата, то их использование будет запрещено. Это правило является наиболее защищенным, хотя и доступно только для сценариев и MSI-файлов.

• Создать правило для хэша – дает возможность ограничить доступ к файлам на основе хэша, которым они подписаны. Правило создается для определенного файла, при этом также создается хэш файла. Если кто-то попытается модифицировать файл, для которого определен хэш с помощью правила, то такой файл больше не будет разрешено запускать, так как его хэш не будет совпадать с тем, который определен правилом.

Если же создается правило на основе хэша, которое будет запрещать запуск определенного файла, то пользователь сможет его довольно легко обойти – достаточно будет изменить содержимое файла, чтобы изменился и его хэш.

• Создать правило для зоны сети – позволяет ограничить доступ к файлам установщика Windows на основе зоны Интернета, из которой был получен данный файл.

• Создать правило для пути – дает возможность ограничить доступ к файлам на основе каталога, в котором они расположены.

Чтобы создать одно из описанных выше правил, нужно воспользоваться контекстным меню подраздела Дополнительные правила.

Но перед этим необходимо изменить общий уровень доступа к файлам, используемый в системе. Возможные уровни определены в подразделе Уровни безопасности, и, чтобы изменить уровень, достаточно в контекстном меню нужного уровня выбрать команду По умолчанию. Если раньше подраздел Уровни безопасности содержал всего два возможных уровня, то в операционной системе Windows Vista их три.