← Апрель 2004 → | ||||||
1
|
2
|
3
|
4
|
|||
---|---|---|---|---|---|---|
6
|
7
|
8
|
9
|
10
|
11
|
|
12
|
14
|
15
|
17
|
18
|
||
19
|
21
|
22
|
23
|
24
|
25
|
|
26
|
27
|
28
|
29
|
30
|
За последние 60 дней ни разу не выходила
Сайт рассылки:
http://www.webfile.ru/
Открыта:
28-01-2002
Адрес
автора: comp.paper.bestarticles-owner@subscribe.ru
Статистика
0 за неделю
Лучшие статьи журнала «Компьютеры+Программы»
Информационный Канал Subscribe.Ru |
Здравствуйте, уважаемые читатели!
В этом выпуске рассылки публикуется статья, занявшая по результатам голосования второе место.
Владимир БЕЗМАЛЫЙ,
wladkerch@mail.ru,
www.zahist.narod.ru
Елена БЕЗМАЛАЯ,
ellen@pochta.ws
Установка и настройка Windows XP на рабочей станции
В большинстве организаций в качестве операционных систем для рабочих станций используются системы семейства Windows. При этом все большее распространение получает ОС Windows XP Professional (В этой статье мы не будем рассматривать Windows XP Home Edition в связи с ее домашним предназначением, хотя большинство рассмотренного будет касаться обеих систем)
Установка ОС
Итак, вы решили установить ОС Windows XP. Для корректной установки рекомендуется создать загрузочный диск с предустановленным Service Pack 1 (тогда инсталляция отнимет у вас куда меньше времени). Описывать собственно процесс установки нет особого смысла — вам наверняка не раз приходилось производить эту операцию.
Параметры установки Windows XP
Запустить установку Windows XP можно:
- из-под MS-DOS с помощью файла
winnt.exe
(в каталогеI386
); - из-под Windows — с помощью файла
winnt32.exe
(в каталогеI386
).
Набор параметров командной строки у этих двух программ различен.
Параметры winnt.exe
таковы:
/?
— вызывает справку;/a
— предполагает использование специальных средств для людей с ограниченными возможностями;/e
— задает команду, выполняемую по окончании графической стадии установки ОС;/r
— включает создание в каталоге Windows папки, которая остается после установки ОС;/rx
— включает создание в каталоге Windows временной папки, которая будет удалена по окончании инсталляции;/s
— указывает путь к дистрибутиву Windows (применяется при установке с сервера сети);/t
— задает диск для временных файлов (если этот параметр отсутствует, то используется диск, на котором больше свободного места);/u:файл_ответов
— задает файл ответов для программы установки Windows;/udf:id[,UDF_файл]
— указывает идентификатор ID, с помощью которого программа установки Windows определяет значения в UDF-файле (Uniqueness Database File) для модификации файла ответов каждого компьютера при установке системы на множество ПК. Если UDF-файл не указан, система потребует дискету с файлом при$Unique$.udb
.
Параметры командной строки winnt32.exe
:
/?
— вызывает справку о программе;/checkupgradeonly
— производит проверку возможности обновления текущей версии Windows; по окончании проверки генерируется отчет о возможности установки новой ОС;/cmd:command_line
— задает команду, которая должна быть выполнена во время завершающей стадии установки ОС;/cmdcons
— устанавливает консоль восстановления системы и добавляет ее вызов в загрузочное меню, инсталляция ОС не производится;/copydir:i386\folder_name
— создает дополнительную папку с именем папки в каталоге Windows;/copysource:folder_name
— создает временную папку в каталоге Windows (по окончании инсталляции папка будет удалена);/debug[level]:[filename]
— включает протокол отладки (по умолчаниюC:\systemroot\Winnt32.log
) с заданным уровнем (по умолчанию — 2: 0 — критические ошибки, 1 — обычные ошибки, 2 — предупреждения, 3 — информация, 4 — подробная информация для отладки);/dudisable
— препятствует выполнению динамического обновления (файлы Update Microsoft Windows), инсталляция выполняется только с первоначальными установками;/duprepare:pathname
— выполняет модификацию инсталляционного ресурса таким образом, чтобы использовать динамические файлы модификации с сайта Windows Update;/dushare:pathname
— определяет ресурс, на котором расположены файлы обновлений;/m:folder_name
— во время установки копируются файлы из дополнительной папки, и если таковые присутствуют, они используются вместо файлов из заданной по умолчанию папки;/makelocalsource
— указывает программе установки на необходимость скопировать все файлы на локальный жесткий диск. Используется в том случае, если компакт-диск может быть недоступен в процессе установки;/noreboot
— отключает автоматическую перезагрузку после копирования файлов;/s:sourcepath
— указывает размещение файлов установки Windows XP (обычно на сервере);/syspart:drive_letter
— позволяет скопировать файлы установки на жесткий диск, сделать его активным, перенести на другой компьютер и продолжить установку на этом компьютере. Должен использоваться вместе с ключом/tempdrive
;/tempdrive:drive_letter
— используется вместе с/syspart
для указания основного раздела, предназначенного для размещения файлов и последующей установки Windows XP;/udf:id [,UDB_file]
— задает файл базы данных уникальности, модифицирующий файл ответов;/unattend
— обновляет предыдущую версию Windows в автоматическом режиме. Все пользовательские настройки берутся из предыдущей инсталляции;/unattend[num]:[answer_file]
— указывается при автоматизированной установке; имя файла можно опустить, если используется файлUnattend.txt
(по умолчанию).
Преобразование файловой системы
Чтобы преобразовать диск из FAT (FAT32) в NTFS, воспользуйтесь утилитой Convert
.
Синтаксис команды:
CONVERT том: /FS:NTFS [/V] [/CvtArea:имя_файла] [/NoSecurity] [/X] |
том
— определяет букву диска (с последующим двоеточием), точку подключения или имя тома;/FS:NTFS
— конечная файловая система: NTFS;/V
— включает режим вывода сообщений;/CVTAREA:имя_файла
— указывает непрерывный файл в корневой папке для резервирования места для системных файлов NTFS;/NoSecurity
— параметры безопасности для преобразуемых файлов и папок будут доступны для изменения всем;/X
— принудительное снятие этого тома (если он был подключен). Все открытые дескрипторы этого тома станут недопустимыми.
Если в вашей организации работает большое количество компьютеров, необходимо продумать процесс автоматизации установки ОС.
Существует два возможных варианта автоматизации процесса установки:
Автоматизированная установка. В этом случае используется пакетный файл и сценарий (называемый файлом ответов, который создается с помощью утилиты deploy.cab
; для работы создайте папку, разверните туда архив deploy.cab
; вложенный файл setupmgr.exe
является Менеджером установки (Microsoft Setup Manager Wizard), который используется для создания файлов ответов), благодаря чему отключаются запросы операционной системы, а необходимые данные выбираются из файлов ответов автоматически. Существует пять режимов автоматической установки.
Копирование диска (клонирование). В этом случае запускается утилита подготовки системы к копированию (Sysprep.exe
), которая удаляет идентификатор безопасности (Security Identifier — SID). Затем диск копируется с помощью программы клонирования дисков, например Ghost (Symantec, www.symantec.com/ghost) или Drive Image (Power Quest, www.powerquest.com/driveimage). После копирования будет выполнена «сжатая» процедура установки (5-10 минут). (В больших фирмах с сетями под управлением серверов Windows 2000 Server или Windows 2003 Server развертывание Windows XP может быть выполнено благодаря службам удаленной установки (Remote Installation Services-RIS) и серверу управления системами Microsoft (Systems Management Server — SMS).
Подробнее о RIS можно прочесть на www.microsoft.com/windows/server. SMS позволяет управлять установкой централизованно. Подробнее об этом читайте на странице www.microsoft.com/smsmgmt.)
Операционная система установлена — однако самая тяжелая и продолжительная работа еще впереди.
Установка необходимых обновлений
Несмотря на то, что, согласно документации, установка ОС должна длиться около часа, на самом деле инсталляция, настройка, установка всех критических патчей (обновлений) занимает, по меньшей мере, 4–5 часов (это при условии, что все патчи у вас уже есть на жестком диске или CD-ROM'е и вам не нужно вытягивать их из интернета).
Итак, вы установили операционную систему. Для дальнейшей установки патчей у вас есть два пути:
- Воспользоваться службой автоматического обновления Windows Update. Этот путь достаточно широко описан в литературе и не требует никаких усилий со стороны программиста. Однако предположим, что в вашей организации хотя бы 20 компьютеров. Следовательно, вам придется 20 раз прибегнуть к этой службе. Если учесть, что объем необходимых патчей составляет на сегодня около 40 Мб, получается, что вам придется вытянуть из сети 20x40=800 Мб за один раз — а в дальнейшем нужно будет тянуть патчи еще и на каждый компьютер раздельно. Способ не самый лучший — однако, если у вас быстрый канал и ваше руководство не против выбрасывать деньги именно таким способом, то вам этот путь вполне подходит. Но учтите, что при переустановке ОС вам придется все вытягивать заново. (Для обновлений можно воспользоваться Microsoft Software Update Services (SUS) — подробнее см. www.microsoft.com/windowsserversystem/sus/default.mspx.)
- Для поиска необходимых патчей (обновлений) можно воспользоваться одним из сканеров безопасности. Для примера рассмотрим бесплатный продукт Microsoft Base Security Analyzer. Данный сканер можно бесплатно загрузить с сайта Microsoft из раздела TechNet. (Существует ряд сканеров безопасности третьих фирм — описание этих продуктов дано в приложении 1 к данной статье) До начала тестирования необходимо извлечь
Mssecure.xml
из http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab. Этот файл должен быть помещен в ту же папку, в которой развернут Microsoft Base Security Analyzer.
Результатом сканирования будет перечень необходимых патчей, который вы должны будете установить на вашем компьютере.
Недостатком данного сканера является то, что он не указывает, какие конкретно обновления вам нужны, а рекомендует обратиться к странице Windows Update, что удобно далеко не всегда (особенно если вы уже вытягивали патчи из интернета). В таком случае лучше применять коммерческие сканеры безопасности типа LAN Guard Network Scanner или XSpider.
Рассмотрим более подробно LAN Guard Network Scanner. Этот сканер предназначен для поиска уязвимостей в компьютерных сетях не только на базе Windows. Однако мы легко можем воспользоваться им для поиска брешей на отдельном компьютере. Вам будет рекомендовано посетить конкретные страницы бюллетеня безопасности от Microsoft. В таком случае гораздо проще устанавливать обновления; кроме того, появляется возможность выяснить, для решения какой уязвимости создано данное обновление.
Стоит исследовать эти шаги подробнее.
- Анализ. Посмотрите на текущую среду и потенциальные угрозы. Определите патчи, которые вы должны инсталлировать, чтобы сократить количество угроз вашей среде.
- План. Установите, какие патчи надо инсталлировать, чтобы сдерживать потенциальные угрозы и обнаруженные вами уязвимые места. Определитесь, кто будет осуществлять тестирование и инсталляцию и какие шаги нужно сделать.
- Тестирование. Просмотрите доступные патчи и разделите их на категории для данной среды.
- Инсталляция. Инсталлируйте нужные патчи, чтобы защитить вашу среду.
- Мониторинг. Проверьте все системы после инсталляции патчей, чтобы удостовериться в отсутствии нежелательных побочных эффектов.
- Просмотр. Важной частью всего процесса является тщательный просмотр новых изданных патчей, вашей среды и выяснение того, какие из патчей нужны. Если во время просмотра вы обнаружите, что необходимы новые патчи, начните снова с первого шага.
Примечание: настоятельно рекомендуется сделать резервную копию всей рабочей системы до инсталляции патчей.
Проверка среды на предмет недостающих патчей
Поскольку процесс этот непрерывен, нужно убедиться в том, что патчи соответствуют последним установкам. Рекомендуется постоянно следить за новейшей информацией о патчах. Скажем, выпускается новый патч — и вам необходимо установить его на всех станциях. Либо же в сети появляется новая станция, и на ней нужно установить все необходимые обновления. Вам также следует продолжать проверять все ваши станции, чтобы убедиться, что на них установлены новейшие патчи. Вообще, вопрос установки патчей далеко не так прост, как может показаться на первый взгляд,— впрочем, полное его рассмотрение выходит за пределы нашей статьи.
Следует учесть, что иногда после установки последующего патча необходимо переустановить предыдущий. По крайней мере, в нашей практике такое встречалось неоднократно.
Итак, предположим, что все патчи установлены и не заплатанных дыр нет. Учтите, что такое положение дел не вечно — возможно, завтра вам придется устанавливать новые патчи. Увы — процесс этот беспрерывен.
Следующим шагом в вашей работе будет настройка операционной системы.
Встроенная оптимизация Windows XP
Самое интересное, что оптимизация в Windows XP производится постоянно. По мере того как вы запускаете приложения, Windows XP наблюдает за вашим поведением и записывает динамический файл layout.ini
. Каждые три дня, после того как система сочтет компьютер бездействующим, она изменяет физическое местоположение некоторых программ на жестком диске для оптимизации их времени запуска и выполнения.
Windows XP также ускоряет процесс загрузки системы и оптимизирует запуск программ с помощью предсказаний. Windows XP наблюдает за кодом и программами, которые запускаются сразу после загрузки, и создает список, позволяющий предсказать запрашиваемые данные во время загрузки. Точно так же при запуске отдельных программ Windows XP следит за используемыми программой компонентами и файлами. В следующий запуск приложения Windows XP предсказывает список файлов, которые потребуются программе.
Предсказания используются и в ядре Windows XP, и в планировщике задач. Ядро следит за страницами, к которым обращается данный процесс сразу же после его создания. Далее служба создает ряд инструкций предсказания. Когда процесс будет создан в следующий раз, ядро выполнит инструкции предсказания, ускорив выполнение процесса.
Оптимизация диска и ускорение запуска приложений/загрузки работают в тесном сотрудничестве. Списки, записанные во время запуска приложения и загрузки системы, используются при выполнении оптимизации файловой системы для более быстрого доступа к программам.
Однако для оптимизации процесса загрузки можно использовать и бесплатную утилиту BootVis производства Microsoft (смю также www.microsoft.com/whdc/hwdev/platform/performance/fastboot/bootvis.mspx. Однако в связи с тем, что на момент написания статьи данная утилита более недоступна на сайте Microsoft, рекомендуется скачать ее по адресу www.softodrom.ru/win/p1659.shtml).
Настройка выключения компьютера
Причиной того, что Windows XP выгружается (выключается) слишком долго, в большинстве случаев является неправильное завершение некоторых процессов. В этом случае система ожидает в течение заданного интервала времени. Этот интервал задается параметром реестра WaitToKillServiceTimeout
, который находится в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
. Значение этого ключа задается в миллисекундах. По умолчанию это время равно 20000 мс. Исходя из нашего опыта, его следует установить равным 5000 — то есть пяти секундам. Не следует устанавливать его меньшим, так как в этом случае система будет выгружать программы ранее, чем они смогут сохранить свои данные.
Ускорение графики
Чистый рабочий стол — это самый лучший рабочий стол. Никогда не ставьте обои! Трудно представить себе более странный поступок. И процессору, и системной памяти наверняка найдется лучшее применение, чем играться с красивым фоном и сортировать сотни иконок. Как и в предыдущих версиях Windows XP, обои и чрезмерное количество иконок требуют большого расхода системной памяти. Особенно тяжелым бременем на систему ложится анимированный рабочий стол.
С другой стороны, если ваша система оснащена более чем 256 Мб памяти и нормальным процессором (1000 МГц или быстрее), удар по производительности будет не слишком велик. Но если у вас 64 Мб памяти и Pentium 2, придется серьезно экономить, отключая все, что только возможно.
Память
В опции Memory Usage при установленном размере физической памяти 256 Мб и выше отметьте параметр System Cash — если памяти на компьютере меньше 256 Мб, система будет работать быстрее при установленном значении Programs. Реестр Windows содержит несколько ключей, которые позволят настроить оптимальную работу Windows с памятью. В разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
:
- ключ
ClearPageFileAtShutdown
позволяет стирать файл подкачки при выходе из Windows (доступен из локальной политики безопасности). По умолчанию равен 1, что соответствует безопасным настройкам. Можно поставить равным 0, что обеспечит максимальное быстродействие при перезагрузке, однако снизит безопасность; - ключ
DisablePagingExecutive
— запрещает записывать в файл подкачки код (драйверы и т.д.) и требует оставлять их всегда в физической памяти. По умолчанию равен 0. Если объем памяти больше 256 Мб, рекомендуется присвоить значение 1, что ускорит работу.
Отключаем функцию Prefetch для компьютеров с малым количеством оперативной памяти
На компьютерах с объемом оперативной памяти менее 128 Мб (хотя мы рекомендуем не менее 256 Мб) функция Prefetch может вызвать замедление работы системы, поэтому ее необходимо отключить. (В системах с объемом 256 Мб и более отключать эту функцию нет необходимости, так как увеличение быстродействия будет незначительным, а программы станут грузиться дольше.) Для этого в реестре в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\MemoryManagement\PrefetchParameters
необходимо выбрать параметр EnablePrefetcher
и установить значение, равное 0.
Удаляем файлы prefetch автоматически
Для этого создаем командный файл (*.bat
) следующего содержания:
del c:\Windows\Prefetch\*.* /Q |
В случае если ваша папка находится не на диске С
, смените имя диска. Очистка этой папки ускорит быстродействие системы. (Очистка этой папки перед каждой перезагрузкой может привести к снижению быстродействия системы.)
Уменьшаем время загрузки приложений
Microsoft создала параметр, который позволяет ускорить загрузку приложений. Для этого достаточно добавить в свойствах программы ключ /prefetch:1
. Правой клавишей мыши кликните на ярлыке нужной программы и выберите из меню пункт Свойства. В строке Объект после указания пути к файлу добавьте /prefetch:1
(пробел перед ключом обязателен).
Ядро
Чтобы процесс закрытия зависшего приложения проходил быстрее, необходимо изменить параметр HungAppTimeout
в ветке HKEY_CURRENT_USER\Control Panel\Desktop
. По умолчанию значение ключа составляет 5000 мс, рекомендуемое значение — 2000 мс. Тут же находятся параметры WaitToKillServiceTimeout
и WaitToKillAppTimeout
, определяющие время ожидания до закрытия зависшей службы или приложения (значения по умолчанию составляют 20000 мс; рекомендуемое значение — 5000 мс).
Ключ AutoEndTasks
(по умолчанию — 0) разрешает системе автоматическое закрытие зависших приложений. При этом значение его устанавливаем равным 1.
Следует учесть, что при установке рекомендуемых далее значений можно столкнуться с проблемой в виде не вовремя снятого приложения или службы.
Нажатие на файл .avi
в проводнике вызывает 100% загрузку процессора
Можно столкнуться с проблемой Windows XP при открытии в Проводнике файлов с расширением .avi
. При нажатии на такой файл система пытается прочесть данные из него (размер, ширина, высота и т.д.).
Для решения этой проблемы необходимо в ключе реестра HKEY_CLASSES_ROOT\SystemFileAssociations\.avi\shellex\PropertyHandler
удалить значение по умолчанию: {87D62D94-71B3-4b9a-9489-5FE6850DC73E}
. Теперь в окне не будут показываться свойства файла.
Снизьте количество эффектов
Благодаря новому виду и GNOME-подобной поддержке скинов Windows XP выглядит красивее любой предыдущей версии Windows.
Все эти визуальные утехи могут снижать реакцию интерфейса на пользователя. XP запускает несколько тестов для автоконфигурации своего пользовательского интерфейса, чтобы сохранить как удобство, так и красоту, но вы легко можете все исправить. Если исчезающие меню вам не столько нравятся, сколько досаждают, а тени под окнами диалогов вам безразличны, вы спокойно можете убрать все лишнее.
Некоторые настройки выполняются через закладку Оформление (Appearance) в свойствах монитора, которые вы можете вызвать, нажав правую клавишу мыши на любой свободной части экрана и выбрав Свойства (Properties).
Нажмите клавишу Эффекты (Effects) — и вы сможете настроить переходы в меню, тени и шрифт, включая новую технологию улучшения читаемости шрифта Microsoft ClearType. По нашему мнению, ClearType хорош для ноутбуков и ЖК-мониторов, но на ЭЛТ текст выглядит смазанно и слишком жирно. Учтите, что даже на ЖК-мониторе не всем нравится ClearType, так что выбирайте по своему вкусу.
Вы можете и дальше настраивать производительность графического интерфейса через Свойства системы (System Properties): откройте свойства через Панель управления (Control Panel) или нажмите правой клавишей мыши на значок Мой компьютер (System) и выберите там Свойства (Properties). Далее перейдите к закладке Дополнительно (Advanced) и нажмите Параметры (Settings) в панели Производительность (Performance). Здесь вы можете указать как максимальную производительность, так и максимальную «красивость» — равно как и самостоятельно выбрать необходимые параметры.
Перейдите к закладке Дополнительно (Advanced) в Параметрах быстродействия (Performance Options) и убедитесь, что распределение ресурсов процессора и памяти выставлено на оптимизацию работы программ — вам нужно указывать приоритет фоновых служб и кэша, если только ваш компьютер исполняет роль сервера.
Здесь вы также можете указать размер и расположение файла подкачки. Но Windows XP обычно сама прекрасно выбирает этот размер.
Быстрое переключение между пользователями
Такая возможность доступна в обеих версиях Windows XP, если компьютер не входит в домен. Быстрое переключение позволяет пользователям одного компьютера оперативно переключаться между учетными записями без завершения сеанса. Прекрасная функция, если вашим компьютером пользуются мама, папа, сестры-братья, однако такое переключение требует большого расхода оперативной памяти.
Если в систему вошло более одного пользователя, то настройки каждого, равно как и запущенные программы, сохраняются в памяти при переключении к другому пользователю. Скажем, если у вас запущен Word, Excel и какая-нибудь игра — и в это время придет ваш брат, переключит систему на себя и попытается поиграть в «Red Faction», то он заметит явное падение производительности, вплоть до полной остановки игры.
Windows XP автоматически отключает быстрое переключение между пользователями, если компьютер оснащен 64 Мб памяти или меньше. Для получения максимальной производительности убедитесь, что в одно время в систему заходит только один пользователь. Вы также можете отключить эту функцию — зайдите в Панель управления>Учетные записи пользователей (Control Panel>User Accounts) нажмите кнопку Переключение пользователей и уберите галочку с пункта Использовать быстрое переключение пользователей.
Восстановление системных файлов
Полезная функция, если ваш компьютер не используется исключительно для ресурсоемких задач типа игр. Так что лучше оставить ее включенной. При этом компьютер периодически создает слепки критичных системных файлов (файлы реестра, база данных COM+, профили пользователей и т.д.) и сохраняет их как «точку отката». Если какое-либо приложение «снесет» вашу систему или что-то важное будет испорчено, вы можете вернуть компьютер в предыдущее состояние. Точки отката автоматически создаются службой Восстановления системы (System Restore) при возникновении некоторых ситуаций типа установки нового приложения, обновления Windows, установки неподписанного драйвера и т. д. Вы можете и вручную создавать точки отката через интерфейс Восстановления системы (System Restore), который можно вызвать, пройдя путь: Пуск>Программы>Стандартные>Служебные>Восстановление системы (Start>Programs>Accessories>System Tools>System Restore).
Восстановление системных файлов опирается на фоновую службу, которая минимально сказывается на быстродействии и записывает снимки, отнимающие часть дискового пространства. Вы можете вручную отвести максимальный объем дискового пространства для данной службы; кроме того, есть возможность полностью отключить службу для всех дисков, поставив галочку Отключить службу восстановления. Поскольку служба восстановления системных файлов может влиять на результаты тестовых программ, перед тестированием ее обычно отключают.
Автоматическая очистка диска
Для проведения очистки жесткого диска от ненужных файлов используется программа cleanmgr.exe. Ключи программы:
/d driveletter:
— указывает букву диска, которая будет очищаться;/sageset: n
— эта команда запускает мастер очистки диска и создает ключ в реестре для сохранения параметров. Параметрn
может принимать значения от 0 до 65535;/sagerun: n
— используется для запуска мастера очистки диска с определенными параметрами, которые были заданы заранее с помощью предыдущего ключа.
Для автоматизации этого процесса можно воспользоваться планировщиком заданий.
Регулярно производите дефрагментацию
DOS и не-NT версии Windows мало заботились об оптимизации своих файловых систем. Когда вы устанавливаете и удаляете программы, в различных областях дискового пространства возникают «дыры». В результате свободное место представляет собой не сплошной блок — напротив, оно «разбросано» по всему диску. При заполнении свободного пространства файлы также оказываются разбросанными по нескольким секторам, что сильно снижает производительность — при обращении к файлу диску приходится читать не один последовательный участок, а несколько произвольно разбросанных.
В NT-версиях Windows, использующих файловую систему NTFS, применяются особые меры для сохранения целостности дискового пространства — но фрагментация все равно происходит. Поэтому нужно регулярно дефрагментировать жесткий диск — причем частота повторения этой операции зависит от характера вашей деятельности на компьютере. В случае же использования файловой системы FAT32 дефрагментация еще более необходима!
Если вы часто устанавливаете и удаляете программы или постоянно создаете, перемещаете или удаляете файлы, то дефрагментацию стоит выполнять примерно раз в неделю. Если же в течение долгого времени вы используете одни и те же приложения, при этом не слишком часто перемещая файлы, промежуток между дефрагментациями можно увеличить до одного месяца.
Достаточно часто выполняя дефрагментацию, вы вряд ли заметите ощутимый прирост производительности после каждой процедуры. Это совершенно нормально. Если же прирост явно ощутим — значит, вы слишком долго не выполняли дефрагментацию.
Автоматизируем процесс дефрагментации диска
Создаем bat
-файл, который, к примеру, назовем defrag.bat
следующего содержания:
Rem **This batch file is defragmenting your hard drive.** Rem **To cancel Press Ctrl+C on the keyboard.** Defrag.exe C: -F |
defrag <том> [-a] [-f] [-v] [-?] |
том
— буква диска, или точка подключения (например,c:
илиd:\vol\mpoint
);-a
— только анализ;-f
— дефрагментация даже при ограниченном месте на диске;-v
— подробные результаты;-?
— вывод справки о команде.
Теперь в Планировщике заданий указываем этот файл и ставим его в расписание. Рекомендуется установить запуск каждую неделю (но не меньше, чем раз в месяц). Теперь дефрагментация диска будет автоматически запускаться в Windows XP.
Вы можете установить дефрагментацию в расписание и без создания bat
-файла. Для этого нужно:
- зайти в Панель управления>Назначенные задания>Добавить задание;
- нажать Обзор и выбрать программу
Defrag.exe
(в каталогеC:\Windows\System32
); - во время последнего экрана не забыть поставить галочку напротив пункта Установить дополнительные параметры после нажатия кнопки Готово;
- в строке Выполнить после адреса файла добавить ключ
-f
.
Отключение неиспользуемых служб
Отключите ненужные системные службы (сервисы), ускорив тем самым работу системы. Заодно и памяти немного освободится...
Вот список служб, которые, в принципе, можно безбоязненно отключать:
- Автоматическое обновление (Automatic Updates). Поскольку обновлять систему можно и вручную, имеет смысл отключить эту службу. Особенно в том случае, если нет постоянного соединения с интернетом. Не забудьте только не просто отключить службу, но и отменить Автоматическое обновление в одноименной закладке Свойств системы (System Properties).
- Обозреватель сети (Computer Browser). Занимается обновлением списка компьютеров в сети. При отсутствии сети не нужна.
- Служба шифрования (Cryptographic Service). Служба безопасного обмена ключами и шифрования передаваемых данных в локальной сети. Если локальной сети нет, эту службу можно отключить, если же сеть есть — думайте сами...
- DHCP-клиент (DHCP client). Занимается автоматическим распределением IP-адресов. Если сети нет (ни локальной, ни интернета — даже через модем), эта служба не нужна.
- Служба сообщений (Messenger). Отвечает за прием и отправку сообщений, посланных администратором. При отсутствии сети (и администратора) абсолютно бесполезна.
- Сетевые соединения (Network Connections). Управление всеми сетевыми соединениями. Если нет сети (в том числе и интернета), то и данная служба не нужна.
- Спулер печати (Print Spooler) — не нужен, если нет принтера.
- Portable media serial number. Отвечает за получение серийного номера переносного музыкального устройства, подключаемого к компьютеру.
- Protected Storage. Защита важных данных, в том числе ключей пользователей; запрещает неавторизированный доступ. Если нет сети (и интернета, в частности), эту службу можно отключить (если же безопасность не волнует — можно отключить и при наличии сети).
- Remote Registry Service. Предназначена для удаленного управления реестром (нужна только администраторам сети).
- System Event Notification. Отслеживает системные события. Если все уже настроено и нормально работает, можно отключить.
- SSDP Discovery. Обеспечивает работу подключаемых устройств, поддерживающих UPnP (универсальная система Plug&Play, которая, по задумке, должна связывать компьютер с самой разной бытовой техникой, вроде пылесоса или холодильника).
- Планировщик заданий (Task Scheduler). Запуск приложений в заданное время; если эта возможность не используется, службу можно отключить.
- Telephony. Взаимодействие с модемом. Нет модема — отключаем.
- Telnet. Обеспечивает возможность соединения и удаленной работы по протоколу telnet. Если не знаете (и не хотите знать), что это такое, службу можно отключать.
- Uninterruptible power supply. Управляет работой бесперебойных источников питания (UPS). Не нужна, если нет UPS с обратной связью.
- Terminal Service. Служит для подключения к компьютеру по сети и удаленного управления им. Домашнему пользователю, в общем-то, ни к чему.
- Windows time. Синхронизирует время на локальной машине и сервере; не нужна, если нет time-сервера.
- Wireless zero configuration. Служба автоматической настройки беспроводных сетей стандарта 803.11 и 803.11b.
Подчеркну, что этот список — не окончательный, потому что необходимость в той или иной системной службе определяется задачами, которые выполняются на конкретном компьютере. Поэтому каждый должен решать сам, что можно отключать, а что нет. Главное — не переборщить, памятуя, что последствия необдуманных действий могут быть непредсказуемыми.
И еще о последствиях. Для того чтобы уменьшить риск «запороть» систему, перед началом экспериментов со службами имеет смысл сделать резервную копию той ветви реестра, которая отвечает за запуск системных служб. Для этого открываем regedit
, идем в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services
, выбираем в меню File, а там — пункт Export Registry Key.
Еще один метод, позволяющий ускорить работу системы и несколько освободить занимаемую ею оперативную память, заключается в отключении Dr.Watson'a — отладчика, запускаемого по умолчанию при каждом сбое в работе приложений. Чтобы отключить этого «доктора», нужно будет в реестре найти ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
и изменить в нем значение параметра Auto
на 0.
После такой модификации реестра при возникновении сбоя в работе приложения система будет предлагать либо закрыть его, либо передать отладчику для отладки (если выбрать второе, запустится Dr.Watson и создаст лог-файл).
Следующий этап — оптимизация интерфейса, призванная ускорить его работу. Заходим в System Properties, открываем закладку Advanced, в разделе Performance нажимаем кнопку Settings — и в открывшейся вкладке Visual Effects отмечаем пункт Adjust for best performance, отключая тем самым абсолютно все эффекты. Впрочем, можно отключить их и по отдельности, оставив лишь те, без которых — ну никак...
Теперь примемся за стартовое меню. Изначально оно открывается с некоторой задержкой (по умолчанию — 400 мс), регулировать которую можно, изменяя в реестре значение ключа MenuShowDelay
, находящегося по адресу HKEY_CURRENT_USER\ControlPanel\Desktop
. В случае установки для этого параметра значения 0 меню будет появляться без задержки.
Там же, в реестре, находится еще один параметр, изменение которого приведет к некоторому ускорению работы интерфейса,— MinAnimate
, включающий анимацию при сворачивании и разворачивании окон. Он находится по адресу HKEY_CURRENT_USER\ControlPanel\Desktop\WindowsMetrics
(значение 1 — эффект анимации включен; 0 — выключен). Если этого ключа в реестре нет, создайте его (тип — String
). И не забудьте: для вступления подобных изменений в силу необходимо перезагрузить компьютер.
Открытие на NTFS-разделе папок с большим количеством файлов происходит довольно медленно, потому что Windows каждый раз обновляет метку последнего доступа к файлам — и на это, естественно, тратится какое-то время. Для отключения этой функции нужно запустить regеdit и по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
создать параметр типа DWord
, назвав его NtfsDisableLastAccessUpdate
и присвоив значение 1.
Планировщик пакетов QoS (QoS Packet Scheduler). Этот компонент, устанавливаемый только в Windows XP Pro, включает функцию Quality of Service. Данная функция используется для поддержки протокола IPv6, который на сегодня не слишком распространен. Так что на данный момент эту службу лучше отключать (удаление QoS Packet Scheduler из свойств соединения не освобождает канал от резервирования 20% пропускной способности канала). Отключение производится с помощью Групповой политики (gpedit.msc
). Выберите Group Policy>Local Computer Policy>Administrative Templates>Network>QoS Packet Scheduler. Включите Limit reservable bandwidth и уменьшите Bandwidth limit с 20% до 0%.
В русской версии: Пуск>Выполнить>gpedit.msc>Конфигурация компьютера>Административный шаблоны>Сеть>Диспетчер пакетов>Ограничить резервируемую пропускную способность. В качестве значения параметра указать 0%.
Отключаем службу индексирования
Служба индексирования создает индексы содержимого и свойств документов на локальном жестком диске и на общих сетевых дисках. Имеется возможность контроля за включением сведений в индексы. Служба индексирования работает непрерывно и практически не нуждается в обслуживании.
Нужно помнить о том, что эта служба потребляет большое количество ресурсов процессора. Если вы не пользуетесь активно поиском по контексту файлов, данную службу можно отключить. Для этого:
- заходим в Панель управления>Установка и удаление программ>Установка компонентов Windows;
- в появившемся списке ищем Службу индексирования — и убираем галочку.
Отключаем поиск в zip-архивах
По умолчанию поиск в Windows XP производится и в .zip-архивах. Скорость поиска возрастет, если отключить эту службу, для чего в командной строке необходимо набрать:
regsvr32 c:\winnt\\system32\zipfldr.dll /u |
regsvr32 c:\windows\\system32\zipfldr.dll /u |
regsvr32 c:\winnt\\system32\zipfldr.dll |
regsvr32 c:\windows\\system32\zipfldr.dll |
Как удалить «скрытые» компоненты Windows XP?
В отличие от случая с Windows 9*/NT, в процессе установки Windows XP нет возможности выбирать необходимые компоненты. На наш взгляд, это правильное решение Microsoft — сначала следует установить операционную систему со всеми ее причудами, а уж затем, поработав, решать, что следует оставить, а что нет.
Однако при этом в окне Add/Remove Windows Components, присутствующем в аплете Add or Remove Programs контрольной панели, удалять-то практически нечего — многие из составляющих Windows скрыты от шаловливых ручек не слишком опытных пользователей. Для решения этой проблемы открываем системную папку Inf
(по умолчанию — C:\Windows\Inf
), находим в ней файл sysoc.inf
, открываем его и удаляем во всех строках слово HIDE
. Главное при этом — оставить неизменным формат файла, то есть удалять следует только HIDE
, оставляя запятые до и после этого слова.
Для примера — исходная строка и то, что должно получиться:
msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7 msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,,7 |
sysoc.inf
, открываем Add/Remove Windows Components — и видим значительно список, более длинный, чем вначале. Правда, и в этом случае много удалить не получится.
Кстати, точно так же можно поступить и с Windows 2000...
Настройка жесткого диска
Проверьте настройки жесткого диска, поскольку файл подкачки находится именно там.
Правильная конфигурация диска заметно влияет на скорость работы. В свойствах системы откройте Device Manager (либо свойства любого диска в проводнике — закладка Hardware). Убедитесь, что в закладке Polices отмечено Enable write caching on the disk.
Если диск SCSI, то доступны следующие значения в закладке SCSI Properties: Disable Tagged Queuing и Disable Synchronous Transfers должны быть не отмечены.
Ultra DMA
Убедитесь, что DMA включено для всех IDE-устройств системы (проверить это можно в том же Device Manager>IDE ATA/ATAPI controllers>Primary/Secondary IDE Channel>Advanced Settings).
Параметр Device Type позволяет Windows автоматически определять подключенные устройства. Если канал свободен, установите значение None — это немного ускорит загрузку системы.
Параметр Transfer mode Windows XP ставит, как правило, по умолчанию и позволяет Windows использовать максимальный DMA поддерживаемый устройством либо PIO, убедитесь, что значение установлено DMA if available.
Дополнительные настройки скорости
Откройте My Computer>Properties>Advanced>Performance Settings>Advanced; в параметре Processor scheduling должно быть отмечено значение Programs. В противном случае Windows будет распределять процессорное время равномерно между всеми программами, включая сервисы, что для игр неприемлемо. В опции Memory usage при физической памяти 256 Мб и выше отметьте параметр System cache; если же памяти меньше 256 Мб, система будет работать быстрее при установленном значении Programs (аналогичен параметру реестра LargeSystemCache
— о нем ниже).
Файл BOOT.INI в Windows XP
Специальный текстовый конфигурационный файл boot.ini
, который используется в процессе загрузки,— один из важнейших системных файлов Windows XP. Он выполняет следующие функции:
- управление содержимым меню выбора операционной системы;
- управление процессом загрузки;
- задание некоторых параметров системы.
Редактировать данный файл можно либо вручную, либо с помощью программы Boot.ini Editor (www.dx21.com/SOFTWARE/Dx21/ViewItem.ASP?NTI=2&SI=2&OID=14). Раздел [boot loader]
служит для задания параметров загрузки операционной системы. Параметр timeout=30
(по умолчанию) определяет время (в секундах), в течение которого пользователь может выбирать один из пунктов меню. При timeout=0
загрузочное меню не отображается. При timeout=-1
меню находится на экране неограниченное время.
Параметр default=
определяет путь к загружаемой по умолчанию системе; может указываться в меню Загрузка системы.
В разделе [operation systems]
находятся сведения об установленных операционных системах.
Строение файла BOOT.INI
в простейшем случае (с одной операционной системой на диске ПК Intel х86) выглядит следующим образом:
[boot loader] timeout=5 default=multi(0)disk(0)rdisk(0)partition(1)\WINNT [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINNT=»Windows XP Professional» /fastdetect |
[boot loader] timeout=5 default=C:\ [operating systems] C:\=»Windows Millennium Edition» multi(0)disk(0)rdisk(0)partition(2)\WINNT=»Windows XP Professional» /fastdetect |
Multi(0)
— порядковый номер адаптера, с которого осуществляется загрузка; всегда имеет значение 0;disk(0)
— для большинства BIOS всегда равен 0;rdisk(X)
— определяет порядковый номер жесткого диска, с которого осуществляется загрузка (от 0 до 3);partition(Y)
— порядковый номер раздела жесткого диска, с которого загружается ОС. Нумерация начинается с 1; не нумеруются расширенные разделы MS DOS (тип 5) и разделы типа 0 — не используемые.
Для восстановления файла boot.ini
можно воспользоваться командой bootcfg
. Эта команда доступна из режима командной строки и может быть использована для настройки, извлечения, изменения или удаления параметров командной строки в файле boot.ini
. Формат команды:
BOOTCFG /<операция> [<аргументы>] |
/COPY
— создает копию имеющегося элемента списка загрузки в секции[operating systems]
, для которого можно добавить параметры ОС;/DELETE
— удаляет существующий элемент списка загрузки в секции[operating systems]
файлаBOOT.INI
; нужно указать номер удаляемого элемента;/QUERY
— отображает элементы списка загрузки и их параметры;/RAW
— позволяет указать любой переключаемый параметр, добавляемый для указанного элемента списка загрузки ОС;/TIMEOUT
— задает значение тайм-аута;/DEFAULT
— задает используемый по умолчанию элемент списка загрузки;/EMS
— позволяет задавать переключатель/redirect
без дисплейной работы для указанного элемента списка загрузки;/DEBUG
— дает возможность задавать порт и скорость для удаленной отладки для указанного элемента списка загрузки;/ADDSW
— позволяет добавлять определенные переключатели для указанного элемента списка загрузки;/RMSW
— позволяет удалять определенные переключатели для указанного элемента списка загрузки;/DBG1394
— дает возможность настраивать отладку 1394 порта для указанного элемента списка загрузки;/?
— вывод справки по использованию.
BOOTCFG /COPY /? BOOTCFG /DELETE /? BOOTCFG /QUERY /? BOOTCFG /RAW /? BOOTCFG /TIMEOUT /? BOOTCFG /EMS/? BOOTCFG /DEBUG /? BOOTCFG /ADDSW /? BOOTCFG /RMSW /? BOOTCFG /DBG1394 /? BOOTCFG /DEFAULT /? BOOTCFG /? |
Настройка автоматически выполняемых программ
Одна из типичных проблем, связанных с производительностью, это запуск большого числа программ в процессе загрузки Windows XP. В результате работа операционной системы существенно замедляется.
В процессе установки программа может быть запущена автоматически следующими способами:
- Добавление в папку Автозагрузка для данного пользователя.
- Добавление в папку Автозагрузка для всех пользователей.
- Ключ
Run
(компьютера) — ключ реестраHKLM\Software\Microsoft\Windows\CurrentVersion\Run
. - Ключ
Run
(пользователя) — ключ реестраHKCU\Software\Microsoft\Windows\CurrentVersion\Run
. - Папки Планировщика задач.
Win.ini
— программы, предназначенные для 16-разрядных версий Windows, могут добавить строки типаLoad=
иRun=
этого файла.- Ключи
RunOnce
иRunOnceEx
— группа ключей реестра, содержащая список программ, выполняемых однократно в момент запуска компьютера. Эти ключи могут относиться и к конкретной учетной записи данного компьютераHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
- Групповая политика. Содержит две политики (с именами Запуск программ при входе пользователя в систему) — они находятся в папках Конфигурация компьютера>Конфигурация Windows>Административные шаблоны>Система>Вход в систему (Computer configuration>Administrative Templates>System>Logon) и Конфигурация пользователя>Конфигурация Windows>Административные шаблоны>Система>Вход в систему (User configuration>Administrative Templates>System>Logon).
- Сценарии входа в систему. Настраиваются Групповая политика>Конфигурация компьютера>Конфигурация Windows>Сценарии и Конфигурация пользователя>Конфигурация Windows>Сценарии (входа в систему и выхода из системы).
Для настройки списка автоматически вызываемых программ в состав Windows XP включена утилита Настройка системы (System Configuration Utility) — Msconfig.exe
— которая позволяет вывести список всех автоматически загружаемых программ.
Настройка реестра
Реестр Windows содержит несколько ключей, которые позволят настроить оптимальную работу Windows с памятью.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ControlSessionManager\MemoryManagement]:ClearPageFileAtShutdown
— возможность стирать файл подкачки при выходе из Windows (опция доступна также в разделе локальной безопасности), при включении приведет к большим задержкам перед перезагрузкой, значение желательно оставить как есть — равным нулю.DisablePagingExecutive
— запрещает записывать в файл подкачки код (драйверы, .exe-файлы) и требует оставлять их всегда в физической памяти. Если объем памяти больше 256 Мб, установка значения 1 может существенно ускорить работу системы.LargeSystemCache
— этот параметр мы изменяли в Memory usage (см. выше).SecondLevelDataCache
— для тех, кто использует старый процессор (до Pentium 2), можно установить размер кэша процессора, значение по умолчанию равно 0, что соответствует 256 Кб.- Отключение POSIX. Отключение этой не используемой подсистемы может несколько увеличить скорость работы. Чтобы не возиться с удалением файлов и отключением для этой цели файловой защиты Windows XP, откройте
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ControlSessionManager\SubSystems]
и удалите строкиOptional
иPosix
.
Автоматическая перезагрузка при отказе системы
При отказе системы можно включить автоматическую перезагрузку. Для этого:
- выбираем Мой компьютер и кликаем на нем правой клавишей мыши;
- выбираем вкладку Дополнительно;
- в разделе Загрузка и восстановление нажимаем кнопку Параметры;
- около пункта Выполнить автоматическую перезагрузку в разделе Отказ системы ставим «галочку».
Промежуточный итог
После проведения рекомендуемых операций рост быстродействия компьютера будет явно заметен. Однако мы не затронули вопрос настройки системы безопасности ПК.
Итак, следующий шаг —
Настройка системы безопасности Windows XP
Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. Надеемся, вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы — преобразовать диск в формат NTFS.
После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа «включить-выключить». Такой интерфейс носит по умолчанию название Простой общий доступ (Simple File Sharing).
Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me.
Если вас не устраивает такая конфигурация, можно воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого нужно открыть произвольную папку в Проводнике и выбрать Сервис>Свойства папки (Tools>Folder options). Перейдите на вкладку Вид, найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) — Use File Sharing (recommended) — и снимите его (Чтобы изменить этот параметр вы должны быть членом группы Администраторы).
Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность.
Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List — ACL). При установке и удалении разрешений руководствуйтесь следующими основными принципами.
- Работайте по схеме «сверху-вниз».
- Храните общие файлы данных вместе.
- Работайте с группами везде, где это только возможно.
- Не пользуйтесь особыми разрешениями.
- Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).
Установка разрешения из командной строки
Утилита командной строки cacls.exe
, доступная в Windows XP Professional, позволяет просматривать и изменять разрешения файлов и папок (cacls — сокращение от Control ACLs — управление списками управления доступом).
Ключи командной строки утилиты cacls
приведены в таблице:
Ключ | Действие |
---|---|
/T | смена разрешений доступа к указанным файлам в текущей папке и всех подпапках |
/E | изменение списка управления доступом (а не полная его замена) |
/C | продолжить при возникновении ошибки «отказано в доступе» |
/G | пользователь:разрешение выделение пользователю указанного разрешения (без ключа /E полностью заменяет текущие разрешения) |
/R | пользователь отменяет права доступа для текущего пользователя (используется только с ключом /E ) |
/P | пользователь:разрешение замена указанных разрешений пользователя |
/D | пользователь запрещает пользователю доступ к объекту |
С ключами /G
и /P
нужно использовать одну их перечисленных ниже букв (вместо слова «разрешение»):
F
(полный доступ) — эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность;C
(изменить) — тождественно установке флажка Изменить (Modify);R
(чтение) — эквивалентно установке флажка Разрешить чтение и выполнение (Read&Execute);W
(запись) — равнозначно установке флажка Разрешить запись (Write).
Microsoft Windows XP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System — EFS) шифрует файлы на диске. Однако следует иметь в виду: если пропадет ключ для расшифровки, данные можно считать утерянными. Поэтому, когда вы решите воспользоваться преимуществами EFS, необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления.
Если вы предпочитаете работать с командной строкой, можете воспользоваться программой cipher.exe
. Команда cipher
без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). В следующей таблице приведен список наиболее часто используемых ключей команды cipher
.
Ключ | Описание |
---|---|
/E | шифрование указанных папок |
/D | расшифровка указанных папок |
/S:папка | операция применяется к папке и всем вложенным каталогам (но не файлам) |
/A | операция применяется к указанным файлам и файлам в указанных папках |
/K | создание нового ключа шифрования для пользователя, запустившего программу (если этот ключ задан, все остальные игнорируются) |
/R | создание ключа и сертификата агента восстановления файлов; ключ и сертификат помещаются в файл .CFX , а копия сертификата — в файл .CER |
/U | обновление ключа шифрования пользователя или агента восстановления для всех файлов на всех локальных дисках |
/U /N | вывод списка всех зашифрованных файлов на локальных дисках без каких-либо других действий |
Агент восстановления данных
Обычно агентом восстановления данных (Data Recovery Agent) назначается администратор. Для создания агента восстановления сначала нужно создать сертификат восстановления данных, а затем назначить таким агентом одного из пользователей.
Чтобы создать сертификат нужно произвести следующее:
- Войти в систему под именем Администратор.
- Ввести в командной строке cipher
/R:
имя файла. - Ввести пароль для вновь создаваемых файлов.
Файлы сертификата имеют расширение .PFX
и .CER
и указанное вами имя.
Внимание! Эти файлы позволяют любому пользователю системы стать агентом восстановления. Обязательно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.
Для назначения агента восстановления следует:
- Войти в систему под учетной записью, которая должна стать агентом восстановления данных.
- В консоли Сертификаты перейдите в раздел Текущий пользователь>Личные (Current User>Personal).
- Действие>Все задачи>Импорт (Actions>All Tasks>Import) — для запуска мастера импорта сертификатов.
- Проведите импорт сертификата восстановления.
При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы. Вот несколько рекомендаций по шифрованию.
- Зашифруйте все папки, в которых вы храните документы.
- Зашифруйте папки
%Temp%
и%Tmp%
. Это обеспечит шифрование всех временных файлов. - Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются также все создаваемые впоследствии файлы этой папки, что оказывается важным при работе с программами, создающими собственные копии файлов при редактировании, а затем перезаписывающими эти копии поверх оригинала.
- Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера.
- Экспортируйте личные сертификаты шифрования всех учетных записей.
- Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.
- При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться.
- Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows.
Конструктор шаблонов безопасности
Шаблоны безопасности являются обыкновенными ASCII-файлами, поэтому теоретически их можно создавать с помощью обыкновенного текстового редактора. Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a
, в этой консоли выбрать меню File>Add/Remove. В диалоговом окне Add Standalone Snap-in выбрать Security Templates>Add.
Управление оснасткой
Шаблоны безопасности расположены в папке \%systemroot%\security\templates
. Количество встроенных шаблонов варьируется в зависимости от версии операционной системы и установленных пакетов обновлений.
Раскрыв любую папку в Security Templates, увидим, что в правой панели показываются папки, которые соответствуют контролируемым элементам:
- Account Policies — управление паролями, блокировками и политиками Kerberos;
- Local Policies — управление параметрами аудита, пользовательскими правами и настройками безопасности;
- Event Log — управление параметрами системного журнала;
- Restricted Groups — определение элементов различных локальных групп;
- System Services — включение и отключение служб и присвоение права модификации системных служб;
- Registry — назначение разрешений на изменение и просмотр разделов реестра;
- File System — управление разрешениями NTFS для папок и файлов.
Защита подключения к интернет
Для обеспечения безопасности при подключении к интернету необходимо:
- активировать межсетевой экран подключения к интернету (Internet Connection Firewall) или установить firewall третьих фирм;
- отключить Службу доступа к файлам и принтерам сетей Microsoft.
Активация firewall'а подключения к интернету
- откройте Панель управления>Сетевые подключения;
- щелкните правой кнопкой мыши на соединении, которое вы хотите защитить, и выберите из меню пункт Свойства;
- перейдите на вкладку Дополнительно, поставьте «галочку» на Защитить мое подключение к Интернет.
Заключение
Изложенные выше рекомендации не являются исчерпывающим материалом по настройке операционной системы Windows XP Professional — однако, надеюсь, они окажут вам серьезную помощь вам в этом нелегком процессе.
Приложение 1. Утилиты третьих фирм для управления патчами
Для поддержки управления патчами доступен ряд утилит третьих фирм. Эти программы предлагают некоторые возможности, в настоящее время не предусматриваемые инструментарием Microsoft.
Polaris Group Hotfix/Service Pack Utility
www.polarisgroup.com/solutions
Отличается простотой интерфейса; поддерживает все программные продукты Microsoft.
Shavlik Hfnetchkpro
Построена на технологии Hfnetchk. Эта утилита имеет графический пользовательский интерфейс. Кроме того, позволяет пользователю сохранять историю сканирования, чего не может делать версия командной строки.
Подробнее: http://support.microsoft.com/default.aspx?scid=kb;EN-US;q303215.
Скачать Hfnetchk: www.microsoft.com/downloads/release.asp?releaseid=31154.
Приложение 2. Имена служб Windows XP
Отображаемое имя | Имя службы | Исполняемый файл |
---|---|---|
Оповещатель (Alerter) | Alerter | Svchost.exe |
Служба шлюза уровня приложений (Application Layer Gateway Service) | ALG | Alg.exe |
Управление приложениями (Application Management) | AppMgmt | Svchost.exe |
Автоматическое обновление (Automatic Update) | Wuauserv | Svchost.exe |
Фоновая интеллектуальная служба передачи (Background Intelligent Transfer Service) | BITS | Svchost.exe |
Сервер папки обмена (ClipBook) | ClipSrv | Clipsrv.exe |
Система событий COM+ (COM+ Event System) | EventSystem | Svchost.exe |
Системное приложение COM+ (COM+ System Application) | COMSysApp | Dllhost.exe |
Обозреватель компьютеров (Computer Browser) | Browser | Svchost.exe |
Службы криптографии (Cryptographic Services) | CryptSvc | Svchost.exe |
DHCP-клиент (DHCP Client) | Dhcp | Svchost.exe |
Клиент отслеживания изменившихся связей (Distributed Link Tracking Client) | TrkWks | Svchost.exe |
Координатор распределенных транзакций (Distributed Transaction Coordinator) | MSDTC | Msdtc.exe |
DNS-клиент (DNS Client) | Dnscache | Svchost.exe |
Служба регистрации ошибок (Error Reporting) | ERSvc | Svchost.exe |
Журнал событий (Event Log) | Eventlog | Services.exe |
Совместимость быстрого переключения пользователей (Fast User Switching Compatibility) | FastUserSwitching Compatibility | Svchost.exe |
Факсы (Fax) | Fax | Fxsvc.exe |
Справка и поддержка (Help And Support) | Helpsvc | Svchost.exe |
Доступ к HID-устройствам (HID Input Service) | Hid Svc | Svchost.exe |
Служба COM записи компакт-дисков IMAPI (IMAPI Burning COM Service) | ImapiService | Imapi.exe |
Служба индексирования (Indexing Service) | Cisvc | Cisvc.exe |
Межсетевой экран интернета (ICF) / Общий доступ к интернету (Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)) | SharedAccess | Svchost.exe |
Службы IPSEC (IPSEC Services) | PolicyAgent | Lsass.exe |
Диспетчер логических дисков (Logical Disk Manager) | Dmserver | Svchost.exe |
Служба администрирования диспетчера логических дисков (Logical Disk Manager Administrative Service) | Dmadmin | Dmadmin.exe |
Служба сообщений (Messenger) | Messenger | Svchost.exe |
MS Software Shadow Copy Provider | SwPrv | Dllhost.exe |
Сетевой вход в систему (Net Logon) | NetLogon | Lsass.exe |
NetMeeting Remote Desktop Sharing | Mnmsrvc | Mnmsrvc.exe |
Сетевые подключения (Network Connections) | Netman | Svchost.exe |
Служба сетевого DDE (Network DDE) | Net DDE | Netdde.exe |
Диспетчер сетевого DDE (Network DDE DSDM) | NetDDEdsdm | Netdde.exe |
Служба сетевого расположения (Network Location Awareness (NLA)) | Nla | Svchost.exe |
Поставщик поддержки безопасности NT LM (NT LM Security Support Provider) | NtLmSsp | Lsass.exe |
Журналы производительности и оповещения (Performance Logs And Alerts) | SysmonLog | Smlogsvc.exe |
Plug And Play | PlugPlay | Services.exe |
Серийный номер переносного медиа-устройства (Portable Media Serial Number) | WmdmPmSp | Svchost.exe |
Диспетчер очереди печати (Print Spooler) | Spooler | Spoolsv.exe |
Защищенное хранилище (Protected Storage) | ProtectedStorage | Lsass.exe |
QoS RSVP | RSVP | Rsvp.exe |
Диспетчер автоподключений удаленного доступа (Remote Access Auto Connection Manager) | RasAuto | Svchost.exe |
Диспетчер подключений удаленного доступа (Remote Access Connection Manager) | RasMan | Svchost.exe |
Владимир БЕЗМАЛЫЙ,
wladkerch@mail.ru,
www.zahist.narod.ru
Елена БЕЗМАЛАЯ,
ellen@pochta.ws
Задать вопрос
Прислать свою статью для публикации в журнале
Просто поговорить
До следующего выпуска!
Елена Полонская, редактор "К+П"
www.comizdat.com
Перепечатка материалов этой рассылки разрешается только по согласованию с редакцией журнала "Компьютеры+Программы"
http://subscribe.ru/
E-mail: ask@subscribe.ru |
Отписаться
Убрать рекламу |
В избранное | ||