5. Установка параметров безопасности для реестра

В некоторых случаях доступ к редактированию реестра могут получить не только администратор или непосредственный владелец компьютера, но и простые пользователи. Подобные ситуации потенциально опасны тем, что лица, не обладающие достаточным опытом, при изменении каких-либо настроек случайно выведут реестр из строя, что отрицательно скажется на работоспособности системы. Именно по этой причине в Microsoft Windows XP имеется возможность ограничить доступ к отдельным разделам и подразделам реестра для отдельных пользователей и групп пользователей.

Особого внимания заслуживает команда Permissions (Разрешения), которая позволяет управлять правами доступа к ключам реестра и осуществлять аудит действий в отношении ключей реестра. Здесь необходимо упомянуть, что в Windows NT/2000 эти возможности были доступны только в Regedt32.exe, где для их установки требовалось использовать опции меню Security. В Windows XP и Windows Server 2003 все эти функциональные возможности были интегрированы в состав редактора реестра Regedit.exe. Права доступа к ключам реестра можно назначать вне зависимости от типа файловой системы на разделе, где содержатся файлы операционной системы.

В Regedit.exe команды из меню Permissions по назначению ключам реестра прав владельца и прав доступа работают по такому же принципу, как и аналогичные команды Windows Explorer по установке прав доступа к файлам и каталогам на разделах NTFS. Чтобы установить права доступа к конкретному ключу реестра, проделайте следующее:

1. Перед внесением изменений выполните резервное копирование тех ключей реестра, на которые будут устанавливаться права доступа.

2. Выделите ключ, на который собираетесь установить права доступа. После этого выберите команду Permissions меню Edit.

3. В открывшемся диалоговом окне (Рисунок 55) выберите имя нужного пользователя или группы в поле Group or user names (Группы или пользователи) и установите для них нужный тип прав доступа в поле Permissions for <group or user name>. Типы прав доступа, которые вы сможете установить, перечислены в Таблица 11 Типы прав доступа к ключам реестра.

Рисунок 55 Диалоговое окно, позволяющее задать права доступа к ключам реестра

Таблица 11 Типы прав доступа к ключам реестра

Тип доступа	Описание
Read	Позволяет пользователям, внесенным в список Permissions, просматривать содержимое ключа реестра, не позволяя сохранять изменения
Full Control	Позволяет пользователям, внесенным в список Permissions, получать доступ к ключу, редактировать его содержимое и изменять к нему уровень прав доступа
Special Permissions	Предоставляет пользователям, внесенным в список Permissions, индивидуально назначаемые комбинации прав доступа и редактирования к избранному ключу. Подробное описание типов и комбинаций Special Permissions можно найти далее в этой главе

4. Чтобы установить аудит на доступ к реестру и задать комбинацию прав доступа типа Special Permissions, нажмите кнопку Advanced (Дополнительно). Раскроется диалоговое окно Advanced Security Settings for <Registry Key Name>, где <Registry Key Name> — имя ключа, для которого требуется задать расширенные права доступа (Рисунок 56). Выберите имя пользователя или группы из списка Permission entries и нажмите кнопку Edit. Раскроется следующее окно (Рисунок 57), в котором вам будут предоставлены опции по расширенному редактированию прав доступа к ключам реестра. Типы прав доступа, которые вы сможете установить в этом окне, перечислены в Таблица 12.

Рисунок 56 Окно Advanced Security Settings for Skype

Как системный администратор, вы можете присвоить себе права владельца на ключ реестра и ограничить доступ к этому ключу. Заменить права владельца можно на вкладке Owner, а установить аудит — на вкладке Auditing. Пользователь, зарегистрировавшийся на компьютере с правами администратора, может присвоить себе права владельца на любой ключ реестра. Однако, если администратор будет иметь права владельца на ключ без прав доступа типа Full Control, то ключ не может быть возвращен первоначальному владельцу, а в журнале аудита появится соответствующее сообщение. Чтобы установить аудит на действия в отношении реестра, необходимо выполнить следующие действия:

1. Активизировать в системе аудит и задать политику аудита на все события, которые, с вашей точки зрения, подлежат аудиту.

2. Указать пользователей и группы, за действиями которых в отношении выбранных ключей реестра требуется установить аудит. Воспользуйтесь для этого вкладкой Auditing (Аудит).

3. Результаты аудита можно просматривать в системном журнале Security с помощью оснастки Event Viewer.

Чтобы иметь возможность выполнить любое из указанных выше действий, необходимо зарегистрироваться на компьютере с использованием учетной записи из группы Administrators. Политика аудита задается для каждого компьютера индивидуально. Прежде чем задавать политику аудита в отношении избранных ключей реестра, необходимо активизировать на компьютере аудит событий, имеющих отношение к системе безопасности.

Рисунок 57 Окно, предоставляющее расширенные опции по редактированию прав доступа к ключам реестра

Таблица 12 Флажки диалогового окна Permission entry for

Флажок	Назначаемые права
Query Value	Дает право чтения значимых элементов из ключа реестра
Set Value	Дает право установить значимый элемент в ключе реестра
Create Subkey	Дает право создавать подключи в выбранном ключе реестра
Enumerate Subkey	Дает право идентифицировать подключи выбранного ключа реестра
Notify	Дает право установить аудит на ключи реестра
Create Link	Дает право создавать символические ссылки в конкретном подключе реестра
Delete	Дает право удаления выделенного ключа
Write DAC	Дает право получать доступ к ключу и создавать/модифицировать для него список контроля доступа (Access Control List, ACL)
Write Owner	Дает право присвоения прав владельца данного ключа
Read Control	Дает право просматривать параметры безопасности, установленные для данного ключа