Тайны Системного Реестра, часть перваяПервая часть посвящена разделам Реестра, которые непосредственно определяют защищенность Windows NT. Итак, далее следует более-менее полный список "ключей от Вашего компьютера".
HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\Userinit (REG_SZ) HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\... (REG_SZ) HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\System (REG_SZ)В первом и втором случае указанные в ключах приложения запускаются в контексте текущего пользователя, в третьем -- от имени системы (System). Имеет смысл регулярно проверять эти разделы Реестра на наличие троянцев. HKLM\SYSTEM\CurrentControlSet\ Control\Session Manager\ Memory Management\ClearPageFileAtShutdownФайл подкачки, в который потенциально могут попасть незашифрованные аккаунты и пароли, будет очищаться при каждой перезагрузке, если параметру присвоено значение 1 (REG_DWORD). HKLM\System\CurrentControlSet\Control\ Session Manager\Protection ModeУстраняется возможность атаки с применением троянских DLL, и, как следствие, получения прав администратора. Требуется установить параметр в 1 (REG_DWORD). HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon\ShutdownWithoutLogonУстановка ключа в 0 (REG_SZ) позволяет запретить завершение работы системы (кнопка "Shutdown" в окне Logon становится недоступной и окрашивается серым цветом). HKLM\System\CurrentControlSet\Services\ EventLog\System\RestrictGuessAccess HKLM\System\CurrentControlSet\Services\ EventLog\Security\RestrictGuessAccess HKLM\System\CurrentControlSet\Services\ EventLog\Application\RestrictGuessAccessСоздание ключей со значением 1 (REG_DWORD) ограничивает доступ к Журналу событий (EventLog). HKLM\System\CurrentControlSet\Services\ EventLog\System\File HKLM\System\CurrentControlSet\Services\ EventLog\Security\File HKLM\System\CurrentControlSet\Services\ EventLog\Application\FileПеревод log-файлов в другой каталог на диске с помощью ключа File (REG_SZ) может затруднить взломщику их умышленную модификацию. HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\WinLogon\DontDisplayLastUserNameКогда этот ключ установлен в 1 (REG_SZ), уничтожается информация о последнем зарегистрированном пользователе (очищается строка Login в дилоговом окне Logon process). HKLM\System\CurentControlSet\Services\ Lanman Server\Parameters\HiddenПрисвоение ключу значения 1 (REG_DWORD) скрывает имя сервера. Компьютер перестает отображаться в списках, формируемых основными обозревателями домена, хотя его ресурсы по-прежнему доступны всем, кто знает его непосредственный адрес. HKLM\System\CurentControlSet\ Control\SecurePipeServersИзменение при помощи программы regedt32.exe прав доступа к этому разделу позволяет настроить политику безопасности для удаленного редактирования Реестра. По умолчанию редактирование разрешено только членам группы Administrators. HKLM\System\CurentControlSet\ Control\Lsa\RestrictAnonymous (REG_DWORD)Присвоение этому ключу значения 1 запрещает соединение с ресурсами компьютера без обязательной регистрации. В частности, это исключает чтение списка учетных записей и их описаний (descriptions). HKLM\System\CurentControlSet\ Services\LanmanServer\ Parameters\AutoShareServer (REG_DWORD) HKLM\System\CurentControlSet\ Services\LanmanServer\ Parameters\AutoShareWks (REG_DWORD)Установка этих ключей в 0 (первый, соответственно, для NT Server, второй -- для NT Workstation) исключает администратору сетевой доступ к ресурсам вида \\ComputerName\C$, D$, ..., ADMIN$. (Прислал Дмитрий Артюхин). |