Тайны Системного Реестра, часть первая


Первая часть посвящена разделам Реестра, которые непосредственно определяют защищенность Windows NT. Итак, далее следует более-менее полный список "ключей от Вашего компьютера".

  1. Потенциальные места расположения троянских программ:
    HKLM\Software\Microsoft\WindowsNT\
    CurrentVersion\Winlogon\Userinit (REG_SZ)
    
    HKLM\Software\Microsoft\Windows\
    CurrentVersion\Run\... (REG_SZ)
    
    HKLM\Software\Microsoft\WindowsNT\
    CurrentVersion\Winlogon\System (REG_SZ)
    
    В первом и втором случае указанные в ключах приложения запускаются в контексте текущего пользователя, в третьем -- от имени системы (System). Имеет смысл регулярно проверять эти разделы Реестра на наличие троянцев.
     
  2. Очистка файла подкачки при перезагрузке:
    HKLM\SYSTEM\CurrentControlSet\
    Control\Session Manager\
    Memory Management\ClearPageFileAtShutdown
    
    Файл подкачки, в который потенциально могут попасть незашифрованные аккаунты и пароли, будет очищаться при каждой перезагрузке, если параметру присвоено значение 1 (REG_DWORD).
     
  3. Устранение ошибки прав доступа в списке системных DLL
    HKLM\System\CurrentControlSet\Control\
    Session Manager\Protection Mode
    
    Устраняется возможность атаки с применением троянских DLL, и, как следствие, получения прав администратора. Требуется установить параметр в 1 (REG_DWORD).
     
  4. Запрет перезагрузки и выключения компьютера без локального входа в систему:
    HKLM\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\Winlogon\ShutdownWithoutLogon
    
    Установка ключа в 0 (REG_SZ) позволяет запретить завершение работы системы (кнопка "Shutdown" в окне Logon становится недоступной и окрашивается серым цветом).
     
  5. Ограничение доступа на просмотр журналов событий пользователям группы Guest:
    HKLM\System\CurrentControlSet\Services\
    EventLog\System\RestrictGuessAccess
    
    HKLM\System\CurrentControlSet\Services\
    EventLog\Security\RestrictGuessAccess
    
    HKLM\System\CurrentControlSet\Services\
    EventLog\Application\RestrictGuessAccess
    
    Создание ключей со значением 1 (REG_DWORD) ограничивает доступ к Журналу событий (EventLog).
     
  6. Изменение местонахождения файлов Журнала событий на жестком диске:
    HKLM\System\CurrentControlSet\Services\
    EventLog\System\File
    
    HKLM\System\CurrentControlSet\Services\
    EventLog\Security\File
    
    HKLM\System\CurrentControlSet\Services\
    EventLog\Application\File
    
    Перевод log-файлов в другой каталог на диске с помощью ключа File (REG_SZ) может затруднить взломщику их умышленную модификацию.
     
  7. Дополнительная защита локального входа:
    HKLM\Software\Microsoft\WindowsNT\
    CurrentVersion\WinLogon\DontDisplayLastUserName
    
    Когда этот ключ установлен в 1 (REG_SZ), уничтожается информация о последнем зарегистрированном пользователе (очищается строка Login в дилоговом окне Logon process).
     
  8. "Сокрытие" сервера в списках сетевого окружения (Network Neightborhood):
    HKLM\System\CurentControlSet\Services\
    Lanman Server\Parameters\Hidden
    
    Присвоение ключу значения 1 (REG_DWORD) скрывает имя сервера. Компьютер перестает отображаться в списках, формируемых основными обозревателями домена, хотя его ресурсы по-прежнему доступны всем, кто знает его непосредственный адрес.
     
  9. Изменение прав на редактирование Реестра:
    HKLM\System\CurentControlSet\
    Control\SecurePipeServers
    
    Изменение при помощи программы regedt32.exe прав доступа к этому разделу позволяет настроить политику безопасности для удаленного редактирования Реестра. По умолчанию редактирование разрешено только членам группы Administrators.
     
  10. Отключение нулевой сессии:
    HKLM\System\CurentControlSet\
    Control\Lsa\RestrictAnonymous (REG_DWORD)
    
    Присвоение этому ключу значения 1 запрещает соединение с ресурсами компьютера без обязательной регистрации. В частности, это исключает чтение списка учетных записей и их описаний (descriptions).
     
  11. Уничтожение разделяемых ресурсов администратора:
    HKLM\System\CurentControlSet\
    Services\LanmanServer\
    Parameters\AutoShareServer (REG_DWORD)
    
    HKLM\System\CurentControlSet\
    Services\LanmanServer\
    Parameters\AutoShareWks (REG_DWORD)
    
    Установка этих ключей в 0 (первый, соответственно, для NT Server, второй -- для NT Workstation) исключает администратору сетевой доступ к ресурсам вида \\ComputerName\C$, D$, ..., ADMIN$. (Прислал Дмитрий Артюхин).