Купить книгу на OZON.ru

Механизм UAC

Главное отличие, которое бросается в глаза пользователю, перешедшему на операционную систему Windows Vista с предыдущих версий Windows, является механизм UAC.

Диалог повышения прав Основным назначением данного механизма является постоянное требование прав администратора при выполнении операций, которые требуют эти права.

Если вы работаете из под пользовательской учетной записи, тогда вам будет постоянно предлагаться ввести пароль администратора, если вы пытаетесь выполнить какую-либо административную задачу. С этой точки зрения механизм UAC действительно полезен.

Если же вы работаете с правами администратора, тогда механизм UAC все равно будет постоянно отображать диалог подтверждения выполнения операции, требующей прав администратора.

Виртуализация Еще одним назначением механизма UAC является виртуализация файлов и ветвей реестра.

Виртуализация используется в том случае, если какая-либо программа пытается записать данные в каталог или ветвь реестра, доступ на запись к которой текущему пользователю запрещен.

В этом случае операционная система перенаправляет программу в каталог вида %userprofile%\AppData\Local\VirtualStore\«путь к каталогу, в который пытается записать данные программа, без буквы диска», либо в ветвь реестра вида HKCU\Software\Classes\VirtualStore\«путь к ветви реестра, в которую пытается записать данные программа». При этом выполняется прозрачное перенаправление. То есть, программа считает, что она записывает данные в тот каталог или ветвь реестра, в которую и хотела.

Виртуализация работает при записи в папки %ProgramFiles%, %Windir%; %Windir%\system32, а также в ветвь реестра HKLM\Software.

Настройка механизма UAC

Настроить работу механизма UAC можно при помощи подраздела КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ЛОКАЛЬНЫЕ ПОЛИТИКИ/ПАРАМЕТРЫ БЕЗОПАСНОСТИ оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ.

Элементы данного подраздела изменяют значения параметров REG_DWORD типа, расположенных в ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

ConsentPromptBehaviorAdmin Значение данного параметра изменяется элементом УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ: ПОВЕДЕНИЕ ЗАПРОСА НА ПОВЫШЕНИЕ ПРАВ ДЛЯ АДМИНИСТРАТОРОВ В РЕЖИМЕ ОДОБРЕНИЯ АДМИНИСТРАТОРОМ.

Данный параметр может принимать следующие значения.

• 0. Выполнять повышение до прав администратора без выдачи запроса на подтверждение.
• 1. Отобразить диалог ввода пароля администратора.
• 2. Отобразить диалог подтверждения использования административных привилегий. Данное значение используется по умолчанию.

ConsentPromptBehaviorUser Значение данного параметра изменяется элементом УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ: ПОВЕДЕНИЕ ЗАПРОСА НА ПОВЫШЕНИЕ ПРАВ ДЛЯ ОБЫЧНЫХ ПОЛЬЗОВАТЕЛЕЙ.

Данный параметр может принимать следующие значения.

• 0. Запрещать доступ к программам и функциям, требующим права администратора.
• 1. Отобразить диалог ввода пароля администратора.

EnableInstallerDetection Значение данного параметра изменяется элементом УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ: ОБНАРУЖЕНИЕ УСТАНОВКИ ПРИЛОЖЕНИЙ И ЗАПРОС НА ПОВЫШЕНИЕ ПРАВ.

EnableLUA Значение данного параметра изменяется элементом УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ: ВСЕ АДМИНИСТРАТОРЫ РАБОТАЮТ В РЕЖИМЕ ОДОБРЕНИЯ АДМИНИСТРАТОРОМ.

По умолчанию режим одобрения включен.

EnableSecureUIAPaths Значение данного параметра изменяется элементом УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ: ПОВЫШАТЬ ПРАВА ДЛЯ UIACCESS-ПРИЛОЖЕНИЙ ТОЛЬКО ПРИ УСТАНОВКЕ В БЕЗОПАСНЫХ МЕСТАХ.

EnableVirtualization Значение данного параметра изменяется элементом УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ: ПРИ СБОЯХ ЗАПИСИ В ФАЙЛ ИЛИ РЕЕСТР ВИРТУАЛИЗАЦИЯ В РАЗМЕЩЕНИЕ ПОЛЬЗОВАТЕЛЯ.

По умолчанию механизм виртуализации включен.

FilterAdministratorToken Значение данного параметра изменяется элементом УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ: РЕЖИМ ОДОБРЕНИЯ АДМИНИСТРАТОРОМ ДЛЯ ВСТРОЕННОЙ УЧЕТНОЙ ЗАПИСИ АДМИНИСТРАТОРА.

По умолчанию данный режим отключен. При включении данного элемента работа от имени встроенной учетной записи администратора будет выполняться без выдачи диалога на подтверждение использования прав администратора.

PromptOnSecureDesktop Значение данного параметра изменяется элементом УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ: ПЕРЕКЛЮЧЕНИЕ К БЕЗОПАСНОМУ РАБОЧЕМУ СТОЛУ ПРИ ВЫПОЛНЕНИИ ЗАПРОСА НА ПОВЫШЕНИЕ ПРАВ.

По умолчанию переключение выполняется.

ValidateAdminCodeSignatures Значение данного параметра изменяется элементом УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ: ПОВЫШЕНИЕ ПРАВ ТОЛЬКО ДЛЯ ПОДПИСАННЫХ И ПРОВЕРЕННЫХ ИСПОЛНЯЕМЫХ ФАЙЛОВ.

По умолчанию данный элемент отключен.

Возможности настройки ввода пароля можно изменить при помощи параметров REG_DWORD типа, расположенных в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI.

EnableSecureCredentialPrompting. Если значение данного параметра равно 1, тогда ввод учетных данных пользователя будет выполняться на защищенном рабочем столе, а не на рабочем столе пользователя. Благодаря этому снижается риск перехвата программами данных, вводимых пользователем.

EnumerateAdministrators. Если значение данного параметра равно 1, тогда при запуске пользователем программы от имени администратора вместо предложения ввести логин административной учетной записи будет отображаться список всех учетных записей администраторов.

Служба Сведения о приложении

Тип запуска: вручную.
Учетная запись: система.
Дополнительные привилегии: SEASSIGNPRIMARYTOKENPRIVILEGE, SEINCREASEQUOTAPRIVILEGE,
 SETCBPRIVILEGE, SEBACKUPPRIVILEGE, SERESTOREPRIVILEGE, SEDEBUGPRIVILEGE,
 SEAUDITPRIVILEGE, SECHANGENOTIFYPRIVILEGE, SEIMPERSONATEPRIVILEGE.
Файлы службы: appinfo.dll.
Исполняемый файл: svchost.exe -k netsvcs.
Подраздел реестра: Appinfo.
Службы, необходимые для работы данной: УДАЛЕННЫЙ ВЫЗОВ ПРОЦЕДУР (RPC) (RpcSs),
 СЛУЖБА ПРОФИЛЕЙ ПОЛЬЗОВАТЕЛЕЙ (ProfSvc).

Работа механизма UAC основана на данной службе. Именно с ее помощью при запуске программ, требующих прав администратора, отображается диалог для ввода пароля администратора или подтверждения запуска программы от имени администратора.

При отключении данной службы диалог подтверждения прав администратора отображаться не будет. Однако также не будет и выполняться требующее административных прав приложение или функция Windows.

Центр обеспечения безопасности

Центр обеспечения безопасности впервые появился в Windows XP. Он выполняет слежение за настройками безопасности компьютера (настройки браузера, операционной системы, проверка работы антивирусных программ и брандмауэра).

Основным мастером для настройки центра безопасности является мастер ЦЕНТР ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ, доступ к которому можно получить при помощи одноименного значка папки ПАНЕЛЬ УПРАВЛЕНИЯ.

Чтобы центр обеспечения безопасности был доступен на компьютерах, входящих в состав домена Active Directory (по умолчанию он недоступен), параметру REG_DWORD типа SecurityCenterInDomain, расположенному в ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Security Center, нужно присвоить значение 1.

Настройка центра обеспечения безопасности

Настройки центра обеспечения безопасности находятся в параметрах REG_DWORD типа ветви реестра HKLM\Software\Microsoft\Security Center\Svc.

• AntiSpywareOverride. Если значение данного параметра равно 1, тогда центр обеспечения безопасности не будет выполнять мониторинг состояния программы, предназначенной для поиска и удаления вредоносных компонентов и программ. То есть, при обнаружении каких-либо изменений в работе данной программы (понижающих безопасность компьютера), центр обеспечения безопасности не будет выдавать предупреждение в области уведомления.
• AntiVirusOverride. Если значение данного параметра равно 1, тогда центр обеспечения безопасности не будет выполнять мониторинг состояния антивирусной программы.
• FirewallOverride. Если значение данного параметра равно 1, тогда центр обеспечения безопасности не будет выполнять мониторинг состояния брандмауэра операционной системы.

Также некоторые параметры могут находиться в подразделах данной ветви реестра, названных в честь SID учетной записи пользователя, к которому они относятся.

• EnableNotifications. Если значение данного параметра равно 0, тогда центр обеспечения безопасности не будет отображать уведомления при обнаружении настроек, снижающих безопасность работы компьютера.

Служба Центр обеспечения безопасности

Тип запуска: автоматически с использованием механизма задержки запуска службы.
Учетная запись: система.
Дополнительные привилегии: SECHANGENOTIFYPRIVILEGE и SEIMPERSONATEPRIVILEGE.
Файлы службы: wscsvc.dll.
Исполняемый файл: svchost.exe -k LocalServiceNetworkRestricted.
Подраздел реестра: wscsvc.
Службы, необходимые для работы данной: УДАЛЕННЫЙ ВЫЗОВ ПРОЦЕДУР (RPC) (RpcSs),
 ИНСТРУМЕНТАРИЙ УПРАВЛЕНИЯ WINDOWS (WinMgmt).

Работа центра обеспечения безопасности основана на службе ЦЕНТР ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.

Обновления операционной системы

Стандартным компонентом операционной системы является средство для автоматического поиска, загрузки и установки обновлений для операционной системы.

Несмотря на то, что в Windows Vista используется новый способ установки обновлений (новая программа), настройки механизма автоматического обновления не изменились.

Запретить конкретному пользователю взаимодействие со службой обновления и центром обновления Microsoft можно при помощи параметра REG_DWORD типа DisableWindowsUpdateAccess. Данному параметру, расположенному в ветви реестра Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate, нужно присвоить значение 1.

Основным способом работы с автоматическим обновлением является мастер ЦЕНТР ОБНОВЛЕНИЯ WINDOWS, доступ к которому можно получить при помощи одноименного значка папки ПАНЕЛЬ УПРАВЛЕНИЯ.

С помощью данного мастера можно не только изменить настройки автоматического обновления.

Также с его помощью можно выполнить такие действия, как поиск новых обновлений и программ Windows Ultimate Extras (после проверки легальности вашей операционной системы и выполнения поиска перед вами будет отображен список всех обновлений, которые желательно загрузить и установить), а также просмотр сведений об обновлениях, которые вы установили ранее.

Как было сказано выше, при помощи автоматического обновления можно скачивать не только обновления операционной системы, но и программы Windows Ultimate Extras. Windows Ultimate Extras это специальный механизм, который позволяет операционным системам Windows Vista Ultimate получать доступ к различным программам, расширяющим возможности операционной системы.

Настройка автоматического обновления

Основным способом настройки автоматического обновления является шаг ИЗМЕНИТЬ ПАРАМЕТРЫ мастера ЦЕНТР ОБНОВЛЕНИЯ WINDOWS (отображается после выбора ссылки ИЗМЕНИТЬ ПАРАМЕТРЫ).

Настройки центра обновления Windows можно изменить при помощи параметров REG_DWORD типа, расположенных в ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

WUServer. Данный параметр имеет строковый тип. Он содержит имя сервера, к которому служба обновления должна обращаться при поиске новых обновлений.

WUStatusServer. Данный параметр имеет строковый тип. Он содержит имя сервера, используемого для хранения статистики обновлений.

TargetGroupEnabled. Если значение данного параметра равно 1, тогда возможность указания целевого имени группы будет использоваться службой обновления Windows.

TargetGroup. Данный параметр имеет строковый тип. Он позволяет определить целевое имя группы. Данное имя будет использоваться для поиска новых обновлений на сервере сети и определения того, нужно ли данному компьютеру устанавливать эти обновления.

Остальные же настройки центра обновления Windows можно изменить при помощи параметров REG_DWORD типа, расположенных в ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU.

UseWUServer. Если значение данного параметра равно 1, тогда служба обновления Windows для поиска новых обновлений будет обращаться на указанный в параметре WUServer сервер. Кроме того, служба обновлений будет определять адрес сервера, используемого для хранения статистической информации о выполнении обновлений, на основе значения параметра WUStatusServer.

RescheduleWaitTimeEnabled. Если значение данного параметра равно 1, тогда стандартный интервал ожидания перед выполнением пропущенных обновлений будет изменен при помощи значения параметра RescheduleWaitTime. Данный параметр используется лишь в том случае, если значение параметра AUOptions равно 4.

RescheduleWaitTime. Значение данного параметра определяет интервал (в минутах) ожидания, по истечении которого служба обновления начнет выполнение ранее пропущенных запланированных обновлений. Значение данного параметра используется только в том случае, если параметр RescheduleWaitTimeEnabled равен 1. По умолчанию пропущенное запланированное обновление будет выполняться через минуту после запуска компьютера.

RebootRelaunchTimeoutEnabled. Если значение данного параметра равно 1, тогда стандартный интервал ожидания перед выводом повторного приглашения на перезагрузку (для установки запланированного обновления) будет изменен при помощи значения параметра RebootRelaunchTimeout. Данный параметр используется лишь в том случае, если значение параметра AUOptions равно 4.

RebootRelaunchTimeout. Значение данного параметра определяет интервал (в минутах) ожидания, по истечении которого будет отображено повторное приглашение на перезагрузку компьютера. Значение данного параметра используется только в том случае, если параметр RebootRelaunchTimeoutEnabled равен 1. По умолчанию используется интервал ожидания в 10 минут.

RebootWarningTimeoutEnabled. Если значение данного параметра равно 1, тогда стандартный интервал ожидания перед выводом первого приглашения на перезагрузку (для установки запланированного обновления) будет изменен при помощи значения параметра RebootWarningTimeout. Данный параметр используется лишь в том случае, если значение параметра AUOptions равно 4.

RebootWarningTimeout. Значение данного параметра определяет интервал (в минутах) ожидания, по истечении которого будет отображено первое приглашение на перезагрузку компьютера. Значение данного параметра используется только в том случае, если параметр RebootWarningTimeoutEnabled равен 1. По умолчанию используется интервал ожидания в 5 минут.

NoAutoRebootWithLoggedOnUsers. Если значение данного параметра равно 1, тогда вместо выполнения автоматической перезагрузки после запланированной установки обновления, пользователю будет выведен запрос с предложением перезагрузки.

AUPowerManagement. Если значение данного параметра равно 1, тогда пробуждение компьютера из состояния сна (если необходимо установить новое обновление) будет разрешено.

NoAUShutdownOption. Если значение данного параметра равно 1, тогда в диалоге Завершение работы Windows, после загрузки нового обновления, не будет отображаться команда Установить обновления и завершить работу. Также данный параметр доступен в корневом разделе HKCU.

NoAUAsDefaultShutdownOption. Если значение данного параметра равно 1, тогда команда Установить обновления и завершить работу, отображаемая в диалоге Завершение работы Windows после загрузки нового обновления, не будет устанавливаться как действие по умолчанию. Также данный параметр доступен в корневом разделе HKCU.

NoAutoUpdate. Если значение данного параметра равно 1, тогда возможность автоматического обновления будет запрещена.

DetectionFrequencyEnabled. Если значение данного параметра равно 1, тогда стандартная частота поиска новых обновлений будет заменена значением, указанным в параметре DetectionFrequency. При этом частота поиска обновлений будет изменена только в том случае, если значение параметра UseWUServer равно 1.

DetectionFrequency. Значение данного параметра определяет частоту (в часах), с которой служба обновления будет выполнять поиск новых обновлений. По умолчанию используется интервал в 22 часа.

ElevateNonAdmins. Если значение данного параметра равно 1, тогда уведомления об установке обновлений будут отображаться не только администраторам компьютера, но и обычным пользователям.

AutoInstallMinorUpdates. Если значение данного параметра равно 1, тогда обновления, не требующие перезагрузки компьютера после своей установки, будут устанавливаться сразу после загрузки.

С его помощью можно изменить значения следующих параметров REG_DWORD типа, расположенных в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update.

AUOptions Если значение данного параметра равно 2, тогда операционная система будет уведомлять пользователя перед загрузкой и перед установкой обновлений (в области уведомлений будет появляться сообщение о том, что обновления готовы к загрузке или установке). Если значение данного параметра равно 3, тогда операционная система будет уведомлять пользователя только при установке уже загруженных обновлений. А если значение данного параметра равно 4, тогда загрузка и установка обновлений будут выполняться согласно установленному расписанию без уведомления пользователя.

Расписание обновлений определяется в параметрах ScheduledInstallDay и ScheduledInstallTime.

ScheduledInstallDay Значение данного параметра определяет день, на который будет назначен поиск новых обновлений.

ScheduledInstallTime Значение данного параметра определяет час, на который будет назначен поиск новых обновлений.

IncludeRecommendedUpdates Если значение данного параметра равно 1, тогда служба обновления Windows будет загружать с сайта обновлений как все важные, так и рекомендуемые обновления.

Приведенные выше четыре параметра также можно изменить при помощи ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU.

Центр обновления Windows

Тип запуска: автоматически.
Учетная запись: система.
Дополнительные привилегии: SEAUDITPRIVILEGE, SECREATEGLOBALPRIVILEGE,
 SECREATEPAGEFILEPRIVILEGE, SETCBPRIVILEGE, SEASSIGNPRIMARYTOKENPRIVILEGE,
 SEIMPERSONATEPRIVILEGE, SEINCREASEQUOTAPRIVILEGE.
Файлы службы: wuaueng.dll.
Исполняемый файл: svchost.exe -k netsvcs.
Подраздел реестра: wuauserv.
Службы, необходимые для работы данной: УДАЛЕННЫЙ ВЫЗОВ ПРОЦЕДУР (RPC) (RpcSs).

Именно эта служба управления автоматическим поиском, загрузкой и установкой новых обновлений операционной системы.

Служба Установщик модулей Windows

Тип запуска: вручную.
Учетная запись: система.
Дополнительные привилегии: нет.
Файлы службы: нет.
Исполняемый файл: %SystemRoot%\servicing\TrustedInstaller.exe.
Подраздел реестра: TrustedInstaller.
Службы, необходимые для работы данной: PLUG AND PLAY (PlugPlay).

Данная служба предназначена для установки и удаления обновлений операционной системы.

После отключения данной службы установка обновлений будет невозможна.

Продолжение следует