- •Лабораторная работа 1 обзорная информация о реестре windows 2000
- •Теоретическое обоснование
- •1. Историческая справка по реестру
- •1.1. Неудобства работы с ini-файлами
- •1.2. Назначение реестра
- •2. Создание нового аппаратного профиля
- •3. Установка нового устройства
- •Лабораторная работа 2 структура реестра windows 2000
- •Теоретическое обоснование
- •1. Структура реестра
- •2. Хранение данных реестра
- •3. Процесс внесения изменения в параметры реестра
- •3.1. Атомарность и восстановление ульев реестра
- •3.2. Сброс данных (flushing data)
- •4. Ограничение по размеру реестра
- •Лабораторная работа 3 использование редактора реестра
- •1. Назначение и способы запуска редактора реестра
- •1.1. Использование программы Regedit
- •1.2. Запуск Regedit
- •2. Пользовательский интерфейс и возможности программы
- •2.1. Исследование интерфейса Regedit
- •2.2. Команды меню Registry
- •2.2.1. Экспорт ветви реестра
- •2.3. Команды меню Edit
- •2.4. Команды меню View
- •2.5. Меню Favorites
- •Лабораторная работа 4
- •1. Резервное копирование и восстановление реестра в Windows 2000 с помощью утилиты BackUp
- •1.1. Резервное копирование и восстановление системных файлов конфигурации
- •1.1.1. Резервное копирование системных конфигурационных файлов
- •1.1.2. Восстановление системных конфигурационных данных
- •2. Диск аварийного восстановления
- •2.1. Процедура изготовления erd для Windows 2000
- •3. Консоль восстановления Windows 2000
- •3.1. Способы запуска Recovery Console
- •3.1.1. Запуск Recovery Console из программы Windows 2000 Setup
- •3.1.2. Установка Recovery Console через файл Boot.Ini
- •3.1.3. Удаление Recovery Console
- •3.2. Использование Recovery Console
- •4. Аварийное восстановление реестра Windows 2000
- •4.1. Аварийное восстановление системы с помощью erd
- •Ручное резервное копирование и восстановление реестра
- •4.3. Экспорт и импорт файлов реестра
- •4.4. Резервное копирование с помощью утилит Resource Kit
- •4.4.1. Утилита reg из Windows 2000 Resource Kit
- •Лабораторная работа 5 исследование надежности ос
- •Теоретическое обоснование
- •1.1. Простейший способ редактирования файла Boot.Ini
- •1.2. Ручное редактирование файла Boot.Ini
- •1.3. Формат файла Boot.Ini
- •1.3.1. Раздел [boot loader]
- •1.3.2. Раздел [operating systems]
- •2. Индивидуальная настройка регистрации в системе для
- •2.1. Изменение графического файла, отображаемого при регистрации в системе
- •2.2. Добавление сообщения, отображаемого при регистрации пользователей в системе
- •2.3. Добавление информационного сообщения путем непосредственного редактирования реестра
- •3. Методы индивидуальной настройки ос Windows 2000
- •3.1. Автоматизация процесса регистрации в системе
- •3.2. Маскирование имени последнего регистрировавшегося пользователя в окне регистрации
- •3.3. Конфигурирование системных папок
- •3.4. Другие популярные методы индивидуальной настройки
- •3.4.1. Отключение функции AutoRun для компакт-дисков
- •3.4.2. Переименование мусорной корзины
- •3.4.3. Изменение значка мусорной корзины
- •3.4.4. Удаление стрелок с ярлыков
- •Лабораторная работа 7 исследование алгоритмов планирования потоков с приоритетами
- •Теоретическое обоснование
- •Лабораторная работа 8 исследование методов защиты реестра
- •Теоретическое обоснование
- •1. Требования к операционной системе, защищенной по классу с2
- •2. Мероприятия по защите реестра от несанкционированного изменения
- •2.1. Простейшие меры ограничения доступа к реестру
- •2.2. Дополнительные меры защиты Windows 2000
- •2.3. Редактирование прав доступа к ключам реестра
- •2.3.1. Обзор стандартных прав доступа в Windows 2000
- •2.3.2. Права доступа по умолчанию к объектам файловой системы и реестра Windows 2000
- •2.3.3. Наиболее важные ключи реестра Windows nt/2000, нуждающиеся в защите
- •2.4. Защита реестра от несанкционированного удаленного доступа
- •2.5. Защита ульев sam и Security
- •2.5.1. Как защитить улей sam
- •2.6. Ограничение анонимного доступа к компьютеру
- •2.6.1. Использование оснастки ммс Local Security Policy
- •2.7. Системный планировщик как еще одна потенциальная угроза безопасности
- •Вопросы для защиты работы
- •Лабораторная работа 9
- •Теоретическое обоснование
- •1. Возможности ос Windows 2000 по управлению рабочими средами пользователей
- •2. Назначение и возможности пользовательских профилей
- •2.1. Базовая информация о пользовательских профилях
- •2.2. Параметры, хранящиеся в пользовательском профиле
- •2.3. Структура пользовательского профиля
- •2.3.1. Файл Ntuser.Dat
- •2.3.2. Блуждающие профили
- •3. Назначение и возможности системной политики
- •3.1. Обзорные сведения о системной политике
- •3.2. Административные шаблоны
- •3.2.1. Параметры безопасности
- •3.3. Инкрементные шаблоны безопасности
- •3.4. Шаблон групповой политики
- •3.4.1. Файл Gpt.Ini
- •3.5. Локальные объекты групповой политики
- •3.5.1. Папки шаблона групповой политики
- •3.5.2. Файлы Registry.Pol
- •Список рекомендуемой литературы
- •090105 «Комплексное обеспечение информационной безопасности автоматизированных систем»
- •3 55029, Г. Ставрополь, пр. Кулакова, 2
2.3.2. Права доступа по умолчанию к объектам файловой системы и реестра Windows 2000
Как уже говорилось, пользователи из группы Administrators имеют неограниченный доступ ко всем объектам файловой системы и реестра. Что касается пользователей, принадлежащих к группам Users и Power Users, то они имеют более ограниченный набор прав доступа к объектам файловой системы и реестра. В табл. 8.1 перечислены права доступа к объектам файловой системы, присваиваемые по умолчанию группам Power Users и Users.
Принятые обозначения: %SystemDir% — каталог %SystemRoot%\System32, RX — Read and Execute (право чтения и запуска на исполнение), *.* — файлы, содержащиеся в каталоге (но не другие вложенные каталоги).
Таблица 8.1 – Права доступа по умолчанию, назначаемые объектам файловой системы Windows 2000
Объект файловой системы |
Права доступа по умолчанию для группы Power Users |
Права доступа по умолчанию для группы Users |
c:\boot.ini |
RX |
Отсутствуют |
c:\ntdetect.com |
RX |
Отсутствуют |
c:\ntldr |
RX |
Отсутствуют |
c:\ntbootdd.sys |
RX |
Отсутствуют |
c:\autoexec.bat |
Modify |
RX |
c:\config.sys |
Modify |
RX |
\ProgramFiles |
Modify |
RX |
Устанавливаются также права доступа к объектам реестра Windows 2000, присваиваемые по умолчанию пользователям из групп Users и Power Users. При этом права доступа к конкретному объекту реестра, как правило, наследуются также всеми дочерними объектами этого объекта.
2.3.3. Наиболее важные ключи реестра Windows nt/2000, нуждающиеся в защите
Microsoft официально рекомендует администраторам ограничивать доступ пользователей к целому ряду вложенных ключей, входящих в состав ключа HKEY_LOCAL_MACHINE\SOFTWARE. Основная цель этой операции заключается в предотвращении доступа неквалифицированных пользователей к параметрам настройки установленного в системе программного обеспечения.
Microsoft официально рекомендует администраторам ограничить права доступа пользователей к следующим ключам реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion.
Для группы Everyone вполне достаточно иметь права доступа Query Value, Enumerate Subkeys, Notify и Read Control к ключу реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion и следующим вложенным подключам, имеющимся в его составе: AeDebug, Compatibility, Drivers, Embedding, Font Drivers, FontCache, FontMapper, Fonts, FontSubstitutes, GRE_ Initialize, MCI, MCI Extensions, Ports (и всем вложенным ключам в составе ключа Ports), Type I Installer, Windows 3.1 MigrationStatus (и всем вложенным ключам в составе этого ключа), WOW (и всем вложенным ключам в составе ключа WOW).
Точно такой же набор прав доступа (Query Value, Enumerate Subkeys, Notify и Read Control) следует предоставить группе Everyone к ключам Uninstall, Run, и RunOnce в составе ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion.
Помимо этого, Microsoft также рекомендует ограничить доступ пользователей к ключу реестра, управлющему данными о производительности системы – это ключ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Perflib.
В Windows NT 4.0 группа Everyone по умолчанию имеет к этому ключу доступ с правом чтения. Просмотрите список контроля доступа для этого ключа, и если группа Everyone имеет к ключу Perflib доступ с правом чтения, то ее рекомендуется удалить из списка контроля доступа. Доступ к этому ключу должны иметь только операционная система (System), создатель ключа (Creator owner), члены группы администраторов (Administrators) и пользователи, зарегистрировавшиеся в системе интерактивно (Interactive).
Группа Everyone должна иметь ограниченные права доступа (только права типа Query Value, Enumerate Subkeys, Notify и Read Control) и к некоторым другим ключам реестра. В первую очередь такую защиту необходимо обеспечить для улья HKEY_CLASSES_ROOT и всех его вложенных ключей, а также для ключа HKEY_USERS\.DEFAULT. Защищая эти ключи, вы защищаете систему от изменения ряда системных параметров и параметров настройки рабочего стола (в частности, это помешает пользователям произвольно изменять типы приложений, с помощью которых раскрываются файлы с конкретными расширениями, а также не позволит им изменять установленные вами параметры безопасности Internet Explorer).
Кроме того, следует ограничить права группы Everyone на доступ к ключам HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lariman
Server\Shares и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPS только правами типа Query Value, Enumerate Subkeys, Notify и Read Control. Установка этих ограничений помешает несанкционированному использованию разделяемых ресурсов системы и применению параметра ImagePath в составе ключа UPS для запуска нежелательного программного обеспечения. Доступ типа Full Control к этим ключам должны иметь только операционная система (System) и члены группы Administrators.
Наконец, обратите внимание на такие ключи реестра, как Run, RunOnce и RunOnceEx в составе ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion. В частности, система выполняет все программы, перечисленные параметрами в составе ключа RunOnceEx, а затем удаляет параметры, задающие запуск этих программ, что позволяет пользователям исполнять на компьютере любые нежелательные программы. Права группы уровня Full Control на эти ключи должны иметь только операционная система (System) и члены группы Administrators.
Следует упомянуть еще один ключ реестра, весьма важный для обеспечения безопасности. При работе с сервисом удаленного доступа система выводит диалоговые окна, в которых пользователи должны ввести регистрационную информацию — входное имя и пароль. В этих диалоговых окнах имеются флажки, установка которых позволяет запомнить пароль (Save This Password или Remember This Password). Хотя сохранение паролей очень удобно для конечного пользователя, эта практика представляет собой потенциальный риск, поскольку пароли хранятся так, чтобы система могла быстро их извлечь. Таким образом, извлечь этот пароль несложно и взломщику. Это особенно актуально для владельцев портативных компьютеров, поскольку в случае утраты такого компьютера тот, в чьи руки он попал, получит также и беспрепятственный доступ к вашим сетям.
Простейший способ застраховать себя от этой опасности заключается в блокировке функциональной возможности сохранения паролей RAS на компьютере, являющемся клиентом RAS. Для этого раскройте ключ реестра HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\
Parameters и добавьте в него параметр DisableSavePassword с типом данных REGDWORD. Теперь система никогда не будет предлагать пользователю сохранить введенный пароль для доступа к серверу RAS.