Тайны системного Реестра Windows NT

Тайны системного Реестра Windows NT

Часть первая

Первая часть посвящена разделам Реестра, которые непосредственно определяют защищенность Windows NT.
Итак, далее следует более-менее полный список "ключей от Вашего компьютера".

1. Потенциальные места расположения троянских программ:

KLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit (REG_SZ)
KLM\Software\Microsoft\Windows\CurrentVersion\Run\... (REG_SZ)
KLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\System (REG_SZ)

В первом и втором случае указанные в ключах приложения запускаются в контексте текущего пользователя, в третьем -- от имени системы (System). Имеет смысл регулярно проверять эти разделы Реестра на наличие троянцев.

2. Очистка файла подкачки при перезагрузке:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown 

Файл подкачки, в который потенциально могут попасть незашифрованные аккаунты и пароли, будет очищаться при каждой перезагрузке, если параметру присвоено значение 1 (REG_DWORD).

3. Устранение ошибки прав доступа в списке системных DLL

HKLM\System\CurrentControlSet\Control\Session Manager\Protection Mode 

Устраняется возможность атаки с применением троянских DLL, и, как следствие, получения прав администратора. Требуется установить параметр в 1 (REG_DWORD).

4. Запрет перезагрузки и выключения компьютера без локального входа в систему:

KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ShutdownWithoutLogon  

Установка ключа в 0 (REG_SZ) позволяет запретить завершение работы системы (кнопка "Shutdown" в окне Logon становится недоступной и окрашивается серым цветом).

5. Ограничение доступа на просмотр журналов событий пользователям группы Guest:

HKLM\System\CurrentControlSet\Services\EventLog\System\RestrictGuessAccess 
HKLM\System\CurrentControlSet\Services\EventLog\Security\RestrictGuessAccess    
HKLM\System\CurrentControlSet\Services\EventLog\Application\RestrictGuessAccess

Создание ключей со значением 1 (REG_DWORD) ограничивает доступ к Журналу событий (EventLog).

6. Изменение местонахождения файлов Журнала событий на жестком диске:

HKLM\System\CurrentControlSet\Services\EventLog\System\File
   HKLM\System\CurrentControlSet\Services\EventLog\Security\File
   HKLM\System\CurrentControlSet\Services\EventLog\Application\File 

Перевод log-файлов в другой каталог на диске с помощью ключа File (REG_SZ) может затруднить взломщику их умышленную модификацию.

7. Дополнительная защита локального входа:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\DontDisplayLastUserName  

Когда этот ключ установлен в 1 (REG_SZ), уничтожается информация о последнем зарегистрированном пользователе (очищается строка Login в дилоговом окне Logon process).

8. "Сокрытие" сервера в списках сетевого окружения (Network Neightborhood):

HKLM\System\CurentControlSet\Services\Lanman Server\Parameters\Hidden 

Присвоение ключу значения 1 (REG_DWORD) скрывает имя сервера. Компьютер перестает отображаться в списках, формируемых основными обозревателями домена, хотя его ресурсы по-прежнему доступны всем, кто знает его непосредственный адрес.

9. Изменение прав на редактирование Реестра:

HKLM\System\CurentControlSet\Control\SecurePipeServers 

Изменение при помощи программы regedt32.exe прав доступа к этому разделу позволяет настроить политику безопасности для удаленного редактирования Реестра. По умолчанию редактирование разрешено только членам группы Administrators.

10. Отключение нулевой сессии:

HKLM\System\CurentControlSet\Control\Lsa\RestrictAnonymous (REG_DWORD) 

Присвоение этому ключу значения 1 запрещает соединение с ресурсами компьютера без обязательной регистрации. В частности, это исключает чтение списка учетных записей и их описаний (descriptions).

11. Уничтожение разделяемых ресурсов администратора:

HKLM\System\CurentControlSet\Services\LanmanServer\Parameters\AutoShareServer    (REG_DWORD)
   HKLM\System\CurentControlSet\Services\LanmanServer\Parameters\AutoShareWks (REG_DWORD)  

Установка этих ключей в 0 (первый, соответственно, для NT Server, второй -- для NT Workstation) исключает администратору сетевой доступ к ресурсам вида \\ComputerName\C$, D$, ..., ADMIN$. (Прислал Дмитрий Артюхин).

Часть вторая

В этой заметке речь пойдет о ключах, прямо не влияющих на безопасность компьютера, однако весьма полезных для сетевого администратора.

1. Разделение процессов 16-разрядной подсистемы Windows NT

HKLM\System\CurentControlSet\Control\WOW\DefaultSeparateVDM

Присвоение ключу значения "yes" (REG_SZ) позволяет запускать 16-разрядные приложения в изолированных виртуальных машинах, что повышает отказоустойчивость ОС, но отнимает много ресурсов.

2. Запрет автозапуска компакт-дисков:

HKLM\System\CurentControlSet\Services\Cdrom\Autorun 

Установка параметра в 0 (REG_DWORD) запрещает системе анализ файла autorun.inf на компакт-дисках.

3. Переменные окружения для всех пользователей:

HKLM\System\CurrentControlSet\Control\Session Manager\Environment 

Можно отредактировать устанавливаемые по умолчанию переменные окружения, если изменить необходимые ключи (REG_SZ) в этом разделе.

4. Выдача сообщения при локальной регистрации в системе:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\LegalNoticeCaption    (REG_SZ) 
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\LegalNoticeText    (REG_SZ) 

В качестве значения первого ключа укажите заголовок, а в качестве второго, соответственно, текст сообщения. Эта информация может быть прочитана пользователем, регистрирующимся локально.

5. Авторегистрация в системе:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\AutoAdminLogon (REG_SZ)
   HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\DefaultUserName (REG_SZ)
   HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\DefaultPassword (REG_SZ)
   HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\DefaultDomainName    (REG_SZ) 

Требуется присвоить первому ключу значение 1, остальным -- соответственно имя пользователя, пароль и домен. Помните, что использование авторегистрации потенциально опасно, так как эти значения хранятся в Реестре в открытом виде и могут быть похищены локально или через сеть.

6. Путь к файлам дистрибутива по умолчанию:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\SourcePath 

Этот путь (REG_SZ) можно изменить, чтобы каждый раз при установке компонентов из дистрибутива Windows NT не требовалось набирать его заново.

7. Редактирование параметров запуска сервисов:

HKLM\SYSTEM\CurrentControlSet\Services\[servicename]\Start 

Внутри этого раздела Реестра находятся подключи, соответствующие всем установленным сервисам. Можно изменять споvсоб их запуска посредством параметра Start (REG_DWORD):

* 0 (Boot) - загрузчик - ядро операционной системы;
* 1 (System) - загружается при инициализации ядра;
* 2 (Automatic) - автоматически запускается менеджером Service Control Manager;
* 3 (Manual) - запускается пользователем вручную;
* 4 (Disabled) - отключен.

8. Снятие и установка пароля для экранных заставок:

 HKU\Default\Control Panel\Desktop\ScreenSaveIsSecure 

Чтобы экранные заставки спрашивали пароль, установите параметр в 1 (REG_SZ). Значение действует на профиль "Default", то есть на всех пользователей.

9. Отключение коротких имен 8.3:

HKLM\System\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation    (REG_DWORD) 

Механизм создания коротких имен для файлов используется в целях совместимости со старыми 16-битными приложениями. Если вы не используете такие приложения, присвойте этому ключу значение 1 -- это позволяет поднять производительность NTFS.

10. Управление включением режима NumLock:

HKCU\Control Panel\Keyboard\InitialKeyboardIndicators 

Значение 2 (REG_DWORD) включает NumLock на клавиатуре при входе пользователя в систему.