Книга "Недокументированные возможности Windows XP. Библиотека пользователя", Глава 3. Консоль управления Microsoft. Часть 7. Оснастки Windows XP: Редактор объекта групповой политики, начало

Данная оснастка поставляется только с операционной системой Windows XP и входит в стандартную консоль gpedit.msc и имеет GUID-номер {8FC0B734-A0E1-11D1-A7D3-0000F87571E3}. Доступ к данной оснастке имеют только администраторы. С помощью данной оснастки можно запретить те или иные компоненты операционной системы Windows XP. Причем, принцип ее работы довольно интересен, так как все ограничения на компоненты Windows XP, заносятся не только в реестр, но и в два специальных файла. Это файлы с именем Registry.pol, расположенные в каталогах %systemroot%\system32\GroupPolicy\Machine и %systemroot%\system32\GroupPolicy\User (запись в данные каталоги разрешен только администраторам). После этого через определенные промежутки времени настройки из этих файлов заносятся в реестр (также можно воспользоваться командой gpupdate.exe, после выполнения которой настройки из файлов будут вручную внесены в реестр). То есть, если вы настроите ограничения с помощью групповых политик, а потом удалите из реестра параметры ограничений, то через некоторое время они опять будут записаны в реестр. Поэтому для снятия ограничений нужно либо пользоваться оснасткой РЕДАКТОР ОБЪЕКТА ГРУППОВОЙ ПОЛИТИКИ либо также удалять и файлы Registry.pol.

Если компьютер находится в домене, тогда на него действуют не только локальные групповые политики, но и групповые политики на уровне домена и организационной единицы. При этом, политики на уровне доена будут замещать собой политики локального компьютера (если изменяемые параметры реестра в этих политиках будут совпадать), а групповые политики на уровне организационной единицы будут замещать собой политики на уровне домена.

На страницах данной книги будет рассказано лишь о локальном применении групповых политик.

После запуска консоли gpedit.msc, перед вами отобразится окно, изображенное на рисунке 3.24.

Рисунок 1 Рис. 3.24. Окно консоли Групповая политика

С помощью добавления данной оснастки в консоль управления Microsoft можно просмотреть журналы событий другого компьютера.

Дерево консоли этого окна содержит в себе два элемента — КОНФИГУРАЦИЯ КОМПЬЮТЕРА и КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ. Как правило, эти элементы содержат в себе одни и те же вложенные элементы: КОНФИГУРАЦИЯ ПРОГРАММ, КОНФИГУРАЦИЯ WINDOWS и АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ. При этом, если вы воспользуетесь содержимым элемента КОНФИГУРАЦИЯ КОМПЬЮТЕРА, тогда все изменения, вносимые вами, будут заноситься в корневой раздел реестра HKEY_LOCAL_MACHINE. Если же вы воспользуетесь содержимым элемента КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ, тогда все изменения будут заноситься в корневой раздел HKEY_CURRENT_USER.

Давайте вкратце рассмотрим содержимое элементов КОНФИГУРАЦИЯ КОМПЬЮТЕРА и КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ.

Конфигурация программ Данный подраздел предназначен для хранения назначенных или опубликованных администратором программ (так называемая, технология Software Installation). Если программа назначена, тогда всегда при запуске компьютера ее ярлык будет создаваться на рабочем столе и если пользователю понадобится эта программа, ему будет достаточно запустить этот ярлык или открыть файл с расширением, ассоциированным с данной программой, после чего начнется установка назначенной программы. Если же программа опубликована, ссылка на нее будет помещена на вкладке УСТАНОВКА ПРОГРАММ диалога УСТАНОВКА/УДАЛЕНИЕ ПРОГРАММ. И именно с помощью этой вкладки пользователь сможет установить необходимую себе программу.

Технология Software Installation применяется только в том случае, если в сети развернута Active Directory и данный компьютер входит в домен. Иначе элемент КОНФИГУРАЦИЯ ПРОГРАММ всегда будет пуст. Тем не менее, ради интереса, существует возможность регистрации этой оснастки как изолированной. Для этого достаточно создать подраздел STANDALONE в ветвях реестра HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MMC\SNAPINS\{942A8E4F-A261-11D1-A760-00C04FB9603F} и HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MMC\SNAPINS\{BACF5C8A-A3C7-11D1-A760-00C04FB9603F}. После этого в консоль управления Microsoft (mmc.exe) можно будет добавить оснастки УСТАНОВКА ПРОГРАММ (ПОЛЬЗОВАТЕЛИ) и УСТАНОВКА ПРОГРАММ (КОМПЬЮТЕРЫ). В контекстном меню добавленных оснасток присутствует команда СОЗДАТЬ?ПАКЕТ, после выбора которой вам предложат указать файл с расширением .msi, который будет назначаться или опубликовываться. После указания данного файла консоль управления Microsoft попытается получить к нему доступ по сети, а после этого выведет диалог для выбора способа развертывания программы. И в самом конце консоль управления Microsoft попытается обратиться к Active Directory для развертывания программы.

Конфигурация Windows Данный элемент содержит в себе два вложенных подраздела — СЦЕНАРИИ и ПАРАМЕТРЫ БЕЗОПАСНОСТИ.

Подраздел Сценарии Подраздел СЦЕНАРИИ предназначен для назначения программ или сценариев, которые будут автоматически запускаться либо при загрузке (АВТОЗАГРУЗКА) и выключении компьютера (ЗАВЕРШЕНИЕ РАБОТЫ), в этом случает данные сценарии описываются в элементе КОНФИГУРАЦИЯ КОМПЬЮТЕРА и запускаются с правами системы. Либо при входе пользователя в систему (ВХОД В СИСТЕМУ) и выходе пользователя из системы (ВЫХОД ИЗ СИСТЕМЫ), в этом случае они описываются в элементе КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ и запускаются от имени учетной записи зарегистрированного в системе пользователя. Давайте для примера попробуем назначить программу для запуска при выходе данного пользователя из системы. Для этого необходимо в контекстном меню элемента ВЫХОД ИЗ СИСТЕМЫ (КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ? КОНФИГУРАЦИЯ WINDOWS? СЦЕНАРИИ) выбрать команду СВОЙСТВА. После этого перед вами отобразится диалоговое окно, в котором можно будет добавить на исполнение новую программу (кнопка ДОБАВИТЬ) либо удалить уже добавленную программу (кнопка УДАЛИТЬ). При добавлении программы необходимо будет указать имя программы, а также параметры запуска этой программы (если они необходимы).

Если вы назначаете на выполнение сценарий, расположенный на локальном компьютере, тогда желательно, чтобы он находился в одном из следующих каталогов.

• %systemroot%\System32\GroupPolicy\User\Scripts\Logon — сценарий должен исполняться при входе пользователя в систему.
• %systemroot%\System32\GroupPolicy\User\Scripts\Logoff — сценарий должен исполняться при выходе пользователя из системы.
• %systemroot%\System32\GroupPolicy\Machine\Scripts\Shutdown — сценарий должен исполняться при выключении компьютера.
• %systemroot%\System32\GroupPolicy\Machine\Scripts\Startup — сценарий должен исполняться при включении компьютера.

Но что же происходит при назначении автоматического запуска программ? Как и при назначении групповых политик, при назначении программы редактируется как содержимое реестра, так и содержимое специального файла. Изменяемое содержимое реестра довольно сложно как в понимании, так и при ручном создании назначения файла, поэтому его рассматривать мы не будем. А вот синтаксис специальных файлов довольно прост. Существует два файла для автозагрузки. Оба они называются scripts.ini (это скрытые файлы), но первый из них расположен в каталоге %systemroot%\System32\GroupPolicy\User\Scripts, а второй расположен в каталоге %systemroot%\System32\GroupPolicy\Machine\Scripts. Как можно догадаться, первый файл предназначен для хранения программ, запускаемых при входе и выходе пользователя из системы, а второй файл содержит программы, загружаемые при включении и завершении работы компьютера. Давайте для примера рассмотрим возможное содержимое файла scripts.ini из каталога %systemroot%\System32\GroupPolicy\User\Scripts (листинг 1).

Листинг 1. Возможное содержимое файла scripts.ini
[Startup]
0CmdLine=c:\windows\regedit.exe
0Parameters=
1CmdLine=c:\windows\system32\notepad.exe
1Parameters=
[Shutdown]
0CmdLine=D:\recent\Documents and Settings\parad0x\Рабочий стол\1.vbs
0Parameters=

Содержимое файла очень просто в понимании и легко для редактирования. Файл может состоять из двух подразделов — Startup и Shutdown (для файла из каталога %systemroot%\System32\GroupPolicy\User\Scripts это подразделы Logon и Logoff). Эти подразделы могут содержать записи в следующем формате:

«номер программы, начиная с нуля»CmdLine=«путь к программе»
«номер программы, начиная с нуля»Parameters=«параметры запуска данной программы»

Например, в нашем случае при включении компьютера будут запускаться программы regedit.exe и notepad.exe (поскольку программы запускаются до входа пользователя, мы не увидим их окон, их запуск в примере приведен для наглядности), а при завершении работы компьютера будет запускаться специальный скрипт. Вы и сами можете вручную отредактировать содержимое файлов scripts.ini, все внесенные вами изменения будут сразу же учтены.

Подраздел Параметры безопасности Данный подраздел для элемента КОНФИГУРАЦИЯ КОМПЬЮТЕРА содержит в себе вложенные подразделы ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ, ЛОКАЛЬНЫЕ ПОЛИТИКИ, ПОЛИТИКИ ОТКРЫТОГО КЛЮЧА, ПОЛИТИКИ ОГРАНИЧЕННОГО ИСПОЛЬЗОВАНИЯ ПРОГРАММ и ПОЛИТИКИ БЕЗОПАСНОСТИ IP НА ЛОКАЛЬНОМ КОМПЬЮТЕРЕ. Для элемента КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ данный подраздел содержит только один вложенный подраздел — ПОЛИТИКИ ОТКРЫТОГО КЛЮЧА, с помощью которого можно импортировать в хранилище сертификатов содержащиеся на данном компьютере сертификаты. Подразделы ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ и ЛОКАЛЬНЫЕ ПОЛИТИКИ являются частью оснастки ШАБЛОНЫ БЕЗОПАСНОСТИ, поэтому их мы рассмотрим в разделе данной книги, описывающем данную оснастку.

Политика открытого ключа содержит в себе элемент ФАЙЛОВАЯ СИСТЕМА EFS, который позволяет создать агента восстановления данных для шифрованной файловой системы EFS. Для этого достаточно в контекстном меню элемента ФАЙЛОВАЯ СИСТЕМА EFS выбрать команду ДОБАВИТЬ АГЕНТА ВОССТАНОВЛЕНИЯ ДАННЫХ. После этого отобразится диалоговое окно мастера создания агента восстановления, который перед созданием агента восстановления попросит вас указать сертификат пользователя, который должен выступать в роли агента восстановления.

Политика ограниченного использования программ применяется для запрещения запуска на данном компьютере тех или иных программ, или для указания программ, которые запускать разрешено. При этом определение разрешенных или запрещенных для исполнения программ или сценариев возможно по четырем условиям:

• по сертификату, который выдан сценарию или пакету установщика Windows (.msi). Если данный сценарий имеет корректную подпись сертификата, тогда запуск данного сценария разрешен (или запрещен). При этом следует учитывать, что данный способ нельзя применять к файлам с расширениями .exe и .dll.

  Данный способ является наиболее защищенным способом разрешения только запуска определенных сценариев и пакетов установщика Windows, если по умолчанию запуск всех сценариев запрещен.

• По хешу, которым подписан файл. Если для определенного файла создан хеш (последовательность байтов, гарантирующая, что данный файл не был изменен, то есть, в теории не существует двух одинаковых хешей), тогда на основе этого хеша можно определить, разрешено или запрещено запускать данный файл. При использовании хеша можно определять правила запуска для файлов с любым расширением.

  При определении хеша для разрешения запуска программы, этот способ является хорошей альтернативой (или дополнением) способу определения разрешения запуска файла на основе подписи сертификата. Если же вы будете использовать хеш для запрещения запуска какой-либо программы, тогда следует учитывать, что при изменении содержимого программы, меняется и ее хеш. То есть, если пользователь с помощью любого компилятора изменит хотя бы один символ в файле программы, тогда программа будет иметь совершенно другой хеш, поэтому ее запуск будет разрешен.

• По зоне Интернет, из которой был взят пакет установщика Windows (данный способ ограничения может быть применен только к пакетам установщика Windows). По умолчанию операционная система Windows XP разделяет все пространство сети на четыре зоны: ИНТЕРНЕТ, МОЙ КОМПЬЮТЕР, МЕСТНАЯ ИНТРАСЕТЬ, ОГРАНИЧЕННЫЕ УЗЛЫ и НАДЕЖНЫЕ УЗЛЫ (вспомните раздел о параметрах реестра для настройки браузера Internet Explorer). На основе того, из какой зоны был взят данный пакет установщика Windows, можно определить, разрешено ли его запускать.

  Если пользователям в сети разрешено запускать не только пакеты установщика Windows, одобренные администратором (способ определения разрешения на запуск по сертификату пакета установщика Windows), тогда рекомендуется хотя бы настроить ограничения установки пакетов из различных зон Интернет.

• По каталогу, в котором находится файл. Можно определить каталоги, файлы из которых запрещено или, наоборот, разрешено запускать.

  Данный способ является наименее защищенным, так как его довольно легко обойти, просто переместив файл из запрещенного каталога в разрешенный. Хотя вместе с другими способами он позволяет более тонко настроить политику ограниченного использования программ.

Итак, как же все теоретические основы, описанные выше, реализуются в консоли ГРУППОВАЯ ПОЛИТИКА? Если сказать честно, то их реализация немного запутана. Элемент ПОЛИТИКА ОГРАНИЧЕННОГО ИСПОЛЬЗОВАНИЯ ПРОГРАММ содержит в себе два вложенных подраздела (УРОВНИ БЕЗОПАСНОСТИ и ДОПОЛНИТЕЛЬНЫЕ ПРАВИЛА), а также три правила: ПРИНУДИТЕЛЬНЫЙ, НАЗНАЧЕННЫЕ ТИПЫ и ДОВЕРЕННЫЕ ИЗДАТЕЛИ.

• Элемент УРОВНИ БЕЗОПАСНОСТИ позволяет определить основной уровень разрешения запуска программ, на котором будет работать операционная система (то есть, данный уровень определяет, разрешено ли запускать файл, если его запуск не был ограничен (или разрешен) никакими политиками ограничения запуска). Основных уровней всего два — разрешать запуск всех файлов, а также запрещать запуск всех файлов. По умолчанию используется уровень разрешения запуска всех файлов, но если необходимо ограничить доступ к файлам, тогда рекомендуется установить основной уровень запрещения запуска всех файлов.

  Для смены основного уровня безопасности, необходимо в его контекстном меню выбрать команду ПО УМОЛЧАНИЮ.

• Элемент ДОПОЛНИТЕЛЬНЫЕ ПРАВИЛА. Именно этот элемент и определяет политики на запуск файлов. По умолчанию используются политики разрешения запуска файлов, расположенных в каталогах %systemroot%, %systemroot%\system32 и %programfiles% (способ разрешения запуска файлов по каталогу, в котором они находятся). Это необходимо для того, чтобы операционная система смогла корректно загрузиться, поэтому не рекомендуется запрещать доступ к содержимому этих каталогов.

  Чтобы создать свою политику запуска файлов, необходимо воспользоваться контекстным меню элемента ДОПОЛНИТЕЛЬНЫЕ ПРАВИЛА. Данное меню содержит следующие уже знакомые нам команды: СОЗДАТЬ ПРАВИЛО ДЛЯ СЕРТИФИКАТА…, СОЗДАТЬ ПРАВИЛО ДЛЯ ХЕША…, СОЗДАТЬ ПРАВИЛО ДЛЯ ЗОНЫ ИНТЕРНЕТА... и СОЗДАТЬ ПРАВИЛО ДЛЯ ПУТИ…. При использовании создания правила для сертификата, консоль управления Microsoft попросит вас указать, разрешено или запрещено запускать файлы, описанные в сертификате, а также файл сертификата, на основе которого определяется возможность доступа к файлу. При использовании создания правила для хеша, консоль управления Microsoft попросит вас указать, разрешено или запрещено запускать файл, а также путь к фалу, для которого назначается политика. При использовании создания правила для зоны Интернета, консоль управления Microsoft попросит вас указать, разрешено или запрещено запускать пакеты установщика Windows из зоны, а также определить зону, для которой создается данная политика. При использовании создания правила для пути, консоль управления Microsoft попросит вас указать, разрешено или запрещено запускать файлы из каталога, а также определить сам путь к каталогу.

• Правило ПРИНУДИТЕЛЬНЫЙ позволяет определить, относятся ли к запрещенным к исполнению файлам файлы библиотек программ (.dll), которые по умолчанию к таким фалам не относятся, а также определить, будут ли создаваемые политики ограничения доступа влиять на администраторов компьютера (по умолчанию влияют на все типы учтенных записей).
• Правило НАЗНАЧЕННЫЕ ТИПЫ ФАЙЛОВ позволяет просмотреть список всех расширений файлов, на которые распространяются политики запуска, а также добавить или удалить из данного списка определенные расширения файлов.
• Правило ДОВЕРЕННЫЕ ИЗДАТЕЛИ позволяет определить, разрешено ли обычным пользователям выбирать доверенных издателей или это разрешено только администраторам (по умолчанию это разрешено и обычным пользователям), а также позволяет определить, будет ли определяться отзыв данного сертификата по имени издателя и штампу времени (по умолчанию эти возможности отключены).

Чтобы отредактировать правило, нужно в его контекстном меню выбрать команду Свойства.

А теперь давайте рассмотрим ветви реестра, на которые влияют политики ограничения запуска программ. Все настройки политик ограничения запуска программ содержатся в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS. Данная ветвь содержит в себе следующие параметры.

Для хранения параметров политик ограничения доступа также используются подразделы из ветви реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{GUID-номер объекта групповой политики}Machine\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS. При этом, подразделы из этой ветви имеют больший приоритет, поэтому желательно редактировать именно их.

• EXECUTABLETYPES — данный параметр типа REG_MULTI_SZ содержит в себе список всех расширений файлов, на которые будут действовать политики ограничений запуска программ.
• LOGFILENAME — значение данного параметра строкового типа содержит в себе путь к текстовому файлу (и его название), в который будут заноситься сведения обо всех попытках запуска запрещенных и разрешенных программ.
• TRANSPARENTENABLED — если значение данного параметра DWORD-типа равно 2, тогда политики ограничений запуска будут относиться не только к программам, но и к библиотекам .dll, которые используются этими программами. Если же значение данного параметра равно 1, тогда ограничения не будут налаживаться на библиотеки, используемые запрещенными программами.
• POLICYSCOPE — если значение данного параметра DWORD-типа равно 1, тогда политики ограничений запуска не будут относиться к администраторам локального компьютера. Если же значение данного параметра равно 0, тогда политики ограничений будут налаживаться на все учетные записи данного компьютера.
• DEFAULTLEVEL — значение данного параметра DWORD-типа определяет основной режим безопасности компьютера. По умолчанию значение данного параметра равно 0х00040000, что говорит о том, что по умолчанию разрешен запуск любых файлов. Если же значение данного параметра равно 0, тогда по умолчанию запуск файлов будет запрещен.

Сами же настройки политик ограничения располагаются в одном из подразделов ветви реестра HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\GROUP POLICY OBJECTS\{GUID-НОМЕР ОБЪЕКТА ГРУППОВОЙ ПОЛИТИКИ}MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SAFER\CODEIDENTIFIERS. Данная ветвь реестра содержит в себе два подраздела: 0 и 262144. Подраздел 0 содержит в себе стандартные политики по ограничению доступа (точнее, по разрешению) к файлам в каталогах %systemroot%, %systemroot%\system32 и %programfiles%. Тогда как подраздел 262144 содержит в себе пользовательские политики ограничения запуска файлов. Оба этих подраздела могут содержать следующие вложенные подразделы.

• HASHES — содержит в себе политики ограничения доступа к файлам по их хешу. Для каждой политики по ограничению файла в этом подразделе содержится два подраздела. Первый из подразделов определяет хеш файла MD-5, а второй подраздел определяет хеш файла по алгоритму SHA-1.
• PATHS — содержит в себе политики ограничения доступа к файлам по каталогу, в котором они хранятся.
• URLZONES — содержит в себе политики ограничения доступа к пакетам установщика Windows взятым из определенной зоны Интернета.

Политика безопасности IP позволяет настроить протокол IPSec для защиты пакетов, передаваемых между компьютерами на тот или иной уровень безопасности. При этом стоит учитывать, что для работы протокола IPSec необходима служба СЛУЖБЫ IPSEC и если эта служба остановлена, тогда вы не сможете воспользоваться возможностью защиты передаваемых данных с помощью протокола IPSec. По умолчанию доступны только три политики безопасности IP — КЛИЕНТ (ОТВЕТ ТОЛЬКО), СЕРВЕР (ЗАПРОС БЕЗОПАСНОСТИ) и СЕРВЕР БЕЗОПАСНОСТИ (ТРЕБУЕТСЯ БЕЗОПАСНОСТЬ). Все эти политики для обеспечения подлинности используют протокол Kerberos, То есть, их нельзя применять для компьютеров, не входящих в домен Active Directory (хотя с помощью диалога СВОЙСТВА, метод проверки подлинности можно изменить). Но вместо изменения стандартных политик, рекомендуется создать свои собственные. Для этого достаточно в контекстном меню элемента ПОЛИТИКА БЕЗОПАСНОСТИ IP выбрать команду СОЗДАТЬ ПОЛИТИКУ БЕЗОПАСНОСТИ IP. После этого перед вами отобразится окно мастера по созданию политики, который предложит вам задать имя политики, ее описание, а также указать, будет ли данная политика использоваться по умолчанию для установки соединений с другими компьютерами. Если данная политика не будет использоваться по умолчанию, тогда мастер закончит свою работу и выведет диалог СВОЙСТВА созданной вами политики, чтобы вы могли ее настроить. Если же политика будет использоваться по умолчанию, тогда мастер попросит вас также указать метод проверки подлинности, используемый по умолчанию для установки соединения. Возможны три метода: метод c использованием протокола Kerberos, метод с использованием Сертификатов и метод с использованием пароля (общий секрет). После того, как вы укажите метод проверки подлинности при установлении соединения, мастер закончит свою работу и также выведет диалог СВОЙСТВА созданной вами политики.

В контексте данной книги мы не будем рассматривать диалог СВОЙСТВА политик безопасности IP, так как для полного и понятного описания настроек этих политик может понадобиться отдельная книга.

Настройка Internet Explorer С помощью данного элемента можно выполнить настройку интерфейса браузера Internet Explorer, а также параметров его подключения к Интернет. Данный элемент консоли ГРУППОВАЯ ПОЛИТИКА содержит в себе следующие вложенные подразделы: ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС ОБОЗРЕВАТЕЛЯ, ПОДКЛЮЧЕНИЕ, URL-АДРЕСА, БЕЗОПАСНОСТЬ и ПРОГРАММЫ. Давайте вкратце рассмотрим возможности, которые предоставляют данные подразделы.

Подраздел ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС ОБОЗРЕВАТЕЛЯ позволяет настроить такие элементы окна браузера Internet Explorer, как заголовок окна (ЗАГОЛОВОК ОБОЗРЕВАТЕЛЯ), изображения для фона панели инструментов (НАСТРОЙКА ПАНЕЛИ ИНСТРУМЕНТОВ), а также логотипы для браузера Internet Explorer (можно настраивать как статический логотип, так и gif-файл для отображения динамического логотипа при подключении к сайту) (ЭМБЛЕМЫ). Также можно добавить собственные кнопки к панели инструментов. Раньше мы уже описывали возможности изменения всех этих элементов интерфейса с помощью реестра — эти же параметры реестра применяются и консолью управления Microsoft, хотя при изменении этих параметров с помощью консоли управления Microsoft есть и некоторые очень интересные различия, которые будут описаны ниже.

Подраздел ПОДКЛЮЧЕНИЕ позволяет настроить такие параметры браузера, как строка, добавляемая к строке обозревателя (СТРОКА ОБОЗРЕВАТЕЛЯ), используемые для подключения к прокси-серверу адреса и порты (для каждого протокола) (ПАРАМЕТРЫ ПРОКСИ-СЕРВЕРА), а также адрес компьютера, содержащего скрипт для автоматической настройки обозревателя (АВТОМАТИЧЕСКАЯ НАСТРОЙКА ОБОЗРЕВАТЕЛЯ). Также с помощью данного подраздела можно импортировать настройки, расположенные на вкладке ПОДКЛЮЧЕНИЯ диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ, в файлы, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\cs.

Подраздел URL-АДРЕСА позволяет настроить содержимое папок ИЗБРАННОЕ и ССЫЛКИ (ИЗБРАННОЕ И ССЫЛКИ), а также задать стандартные адреса Интернет (ВАЖНЫЕ URL-АДРЕСА). Под стандартными адресами понимаются следующие адреса: адрес домашней страницы, адрес панели поиска и адрес страницы поддержки.

Подраздел БЕЗОПАСНОСТЬ позволяет импортировать настройки зон Интернета и настройки ограничений браузера в inf-файлы (ЗОНЫ БЕЗОПАСНОСТИ И ОЦЕНКА СОДЕРЖИМОГО). Зоны безопасности импортируются в файлы seczones.inf и seczrsop.inf каталога %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\ZONES, а параметры оценки содержимого (Rating) импортируются в inf-файлы ratings.inf и ratrsop.inf, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\RATINGS. Также с помощью этого подраздела можно импортировать параметры настройки Authenticode (сертификаты доверенных издателей, а также сертификаты доверенных агентств выдачи сертификатов). Для этого предназначен элемент ПАРАМЕТРЫ AUTHENTICODE.

Подраздел ПРОГРАММЫ позволяет выполнить импортирование настроек вкладки ПРОГРАММЫ диалога СВОЙСТВА ОБОЗРЕВАТЕЛЯ в файл programs.inf. Данный файл расположен в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\PROGRAMS.

А теперь давайте поговорим о том, как выполняется запись в реестр всех настроек, расположенных в подразделе НАСТРОЙКА INTERNET EXPLORER. По умолчанию все настройки из подраздела НАСТРОЙКА INTERNET EXPLORER заносятся в файл install.ins, расположенный в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK. По умолчанию только администраторы могут выполнять запись данных в этот каталог, хотя модифицировать файл install.ins можно от имени любого пользователя. Это обычный текстовый файл с расширением .ins содержащий в себе настройки, которые мы изменяем с помощью подраздела НАСТРОЙКА INTERNET EXPLORER. Данный файл довольно прост в понимании, поэтому мы не будем останавливаться на описании каждого его подраздела, а просто приведем листинг 2 содержимого этого файла (где это было возможно, адреса и названия создаваемых элементов описывают сами создаваемые элементы).

Листинг 2. Содержимое файла install.ins
[Branding]
GPVersion=6.00.2900.2180
NoFavorites=1
NoLinks=1
Window_Title_CN=Это заголовок
Window_Title=Microsoft Internet Explorer предоставлен: Это заголовок
Toolbar Bitmap=E:\images\fotoo\Art_galery\рисунок_для_фона_панели_инструментов.bmp
User Agent=строка, добавляемая к строке обозревателя
[Small_Logo]
Name=логотип_22х22.BMP
Path=D:\my_books\логотип_22х22.BMP
[Big_Logo]
Name=логотип_38х38.BMP
Path=D:\my_books\логотип_38х38.BMP
[Animation]
Small_Name=анимированный_логотип_22х22.BMP
Small_Path=D:\my_books\анимированный_логотип_22х22.BMP
Big_Name=анимированный_логотип_38х38.BMP
Big_Path=D:\my_books\анимированный_логотип_38х38.BMP
DoAnimation=1
[URL]
Search_Page=http://www.адрес_панели_поиска.com
AutoConfigTime=5
AutoDetect=1
AutoConfig=1
AutoConfigURL=http://www.адрес_автонастройки_для_INS_файла.ru
AutoConfigJSURL=http://www.адрес_автонастройки_для_JS_файла_и_других.ru
Home_Page=http://www.адрес_домашней_страницы.com
Help_Page=http://www.адрес_страницы_поддержки.com
[ExtRegInf]
SecZones=*,seczones.inf,DefaultInstall
Ratings=*,ratings.inf,DefaultInstall
Programs=*,programs.inf,DefaultInstall
connset=connect.inf,DefaultInstall
[ExtRegInf.Hkcu]
connset=connect.inf,IeakInstall.Hkcu
SecZones=seczones.inf,IeakInstall.Hkcu
Programs=*,programs.inf,IEAKInstall.HKCU
[Proxy]
HTTP_Proxy_Server=666.66.66.66:80
FTP_Proxy_Server=666.66.66.66:80
Gopher_Proxy_Server=666.66.66.66:80
Secure_Proxy_Server=666.66.66.66:80
Socks_Proxy_Server=666.66.66.66:80
Proxy_Override=<local>
Use_Same_Proxy=0
Proxy_Enable=1
[Security Imports]
TrustedPublisherLock=0
ImportSecZones=1
ImportRatings=1
[ExtRegInf.Hklm]
SecZones=seczones.inf,IeakInstall.Hklm
Ratings=ratings.inf,IEAKInstall.HKLM
Programs=*,programs.inf,IEAKInstall.HKLM
[BrowserToolbars]
Caption0=это создаваемая кнопка на панели инструментов
Action0=D:\Program files\Filemon.exe
Icon0=E:\images\samplies.ico
HotIcon0=E:\images\samplies.ico
Show0=1
[ConnectionSettings]
ConnectName0=Nokia 7270 USB (OTA)
ConnectSize0=2884
ConnectName1=Nokia 7270 USB (OTA)
ConnectSize1=2884
Option=1
EnableAutodial=1
NoNetAutodial=1

Данный файл содержит большое количество настроек, а также ссылок на другие inf-файлы, импортированные с помощью подраздела НАСТРОЙКА INTERNET EXPLORER. Все импортируемые файлы, на которые в этом файле содержатся ссылки, экспортируются в реестр при открытии любого элемента подраздела НАСТРОЙКА INTERNET EXPLORER. Также при открытии любого элемента подраздела НАСТРОЙКА INTERNET EXPLORER в реестр заносятся все настройки из файла install.ins. Причем, самое главное состоит в том, что эти настройки заносятся не консолью управления Microsoft, как можно было бы подумать, а процессом winlogon, запущенным от имени системы. То есть, даже если пользователь не обладает правами на изменения указанных в файле install.ins ветвей реестра, они все равно будут изменены.

Довольно странное решение Microsoft. В конце книги я попытаюсь высказать свои суждения по поводу использования запущенных от имени системы процессов в общем, и о данном способе записи содержимого файла в реестр в частности.

Продолжение следует