Этот раздел не содержит в себе групповые политики. Скорее, его можно сравнить со своеобразным диалогом, похожим на стандартные диалоги, содержимое которых берется из реестра, описанные в первой главе данной книги.

Формирование содержимого раздела Параметры безопасности

В разделе ПАРАМЕТРЫ БЕЗОПАСНОСТИ представлен набор правил, которые изменяют различные параметры реестра, влияющие на безопасность компьютера. Содержимое данного раздела строится на основе подразделов ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values.

Названия подразделов данной ветви начинаются со слова Machine, которое говорит о том, что параметр, изменяемый правилом, описанным в данном подразделе, хранится в ветви корневого раздела HKLM. После слова Machine в подразделе указывается остальной путь к изменяемому параметру, а также сам параметр. При этом в качестве разделителя подразделов ветви реестра используются не символы \, а символы /. Например, в данной ветви реестра по умолчанию присутствует подраздел MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/ScRemoveOption. Из названия видно, что правило, определяемое данным подразделом, изменяет значение параметра ScRemoveOption, расположенного в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

В таблице 7.10 представлены параметры, которые могут находиться в дочерних подразделах ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values. Эти параметры определяют настройки соответствующего правила и значения, присваиваемые изменяемому правилом параметру реестра. Как правило, эти параметры имеют тип MULTI_SZ.

Таблица 7.10. Ветвь HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\«подраздел»

• *DisplayName. Название элемента раздела Параметры безопасности.
• DisplayChoices. Описание возможных состояний данного элемента, а также значений, которые будут присваиваться параметру при установке соответствующего состояния. Формат параметра следующий: «значение»|«состояние».
• *DisplayUnit. Единицы, отображаемые напротив счетчика, если параметр DisplayType равен 1.
• DisplayFlags. Флажки и значения, которые будут присвоены параметру при их установке, если значение параметра DisplayType равно 5. Формат параметра: «значение»|«описание флажка».
• **DisplayType. Тип соответствующего элемента. Значения: 1 (счетчик), 2 (поле ввода значения), 3 (раскрывающийся список, значения которого указаны в параметре DisplayChoices), 4 (список, значения которого указаны в параметре DisplayChoices), 5 (список флажков, определенных в параметре DisplayFlags), 6 или 0 (переключатели состояния элемента).
• **ValueType. Тип параметра реестра, изменяемого элементом. Значения: 1 (REG_SZ), 3 (REG_BINARY), 4 (REG_DWORD), 7 (REG_MULTI_SZ).

*имеет строковый тип.

**имеет тип DWORD.

Создаем свое правило

При описании шаблонов безопасности Windows мы с вами еще вернемся к возможности создания своих правил раздела ПАРАМЕТРЫ БЕЗОПАСНОСТИ. А пока, в качестве примера, давайте попробуем создать свое правило, хранящееся в разделе ПАРАМЕТРЫ БЕЗОПАСНОСТИ. Для этого достаточно импортировать REG-файл, представленный на листинге 8.01, в реестр. После этого, при помощи раздела ПАРАМЕТРЫ БЕЗОПАСНОСТИ, вы сможете изменять время в миллисекундах, в течение которого операционная система ожидает завершения работы служб перед тем, как завершить свою работу.

Листинг 8.01. Создает свое правило в подразделе Параметры безопасности

Стандартные правила раздела Параметры безопасности

А теперь давайте рассмотрим стандартные правила, доступные при помощи раздела ПАРАМЕТРЫ БЕЗОПАСНОСТИ. Если вы обращаете внимание на описания параметров реестра операционной системы Windows, тогда, возможно, вас удивит то количество статей в Интернете, которые описывают параметры реестра, изменяемые при помощи раздела ПАРАМЕТРЫ БЕЗОПАСНОСТИ, утверждая, что это уникальные параметры, которые стандартными способами никак изменить нельзя. Оказывается, что авторы этих статей ошибаются.

Таблица 7.11. Ветвь HKLM\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole

• SecurityLevel. Консоль восстановления: разрешить автоматический вход администратора. Отключает необходимость ввода пароля администратора при загрузке консоли восстановления.
• SetCommand. Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам. Разрешает использование команды set для установки переменных AllowWildCards, AllowAllPaths, AllowRemovableMedia, NoCopyPrompt.

Таблица 7.12. Ветвь HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

• *AllocateCDRoms. Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям.
• *AllocateDASD. Устройства: разрешить форматирование и извлечение съемных носителей.
• *AllocateFloppies. Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям.
• *CachedLogonsCount. Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена).
• ForceUnlockLogon. Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера.
• PasswordExpiryWarning. Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее.
• *ScRemoveOption. Интерактивный вход в систему: поведение при извлечении смарт-карты. Используется только в том случае, если пользователь вошел в операционную систему при помощи сертификата пользователя, расположенного на смарт-карте. В этом случае параметр определяет, будет ли выполняться блокирование компьютера при извлечении смарт-карты, содержащей сертификат вошедшего пользователя.

*данный параметр имеет строковый тип

Таблица 7.13. Ветвь HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

• ConsentPromptBehaviorAdmin. Управление учетными записями пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором.
• ConsentPromptBehaviorUser. Управление учетными записями пользователей: поведение запроса на повышение прав для обычных пользователей.
• DisableCAD. Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL.
• DontDisplayLastUserName. Интерактивный вход в систему: не отображать последнее имя пользователя.
• EnableInstallerDetection. Управление учетными записями пользователей: обнаружение установки приложений и запрос на повышение прав.
• EnableLUA. Управление учетными записями пользователей: все администраторы работают в режиме одобрения администратором.
• EnableSecureUIAPaths. Управление учетными записями пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах.
• EnableVirtualization. Управление учетными записями пользователей: при сбоях записи в файл или реестр виртуализация в размещение пользователя.
• FilterAdministratorToken. Управление учетными записями пользователей: режим одобрения администратором для встроенной учетной записи администратора.
• *LegalNoticeCaption. Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему.
• *LegalNoticeText. Интерактивный вход в систему: текст сообщения для пользователей при входе в систему.
• PromptOnSecureDesktop. Управление учетными записями пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав.
• ScForceOption. Интерактивный вход в систему: требовать смарт-карту.
• ShutdownWithoutLogon. Завершение работы: разрешить завершение работы системы без выполнения входа в систему.
• UndockWithoutLogon. Устройства: разрешать отстыковку без входа в систему.
• ValidateAdminCodeSignatures. Управление учетными записями пользователей: повышение прав только для подписанных и проверенных исполняемых файлов.

*данный параметр имеет строковый тип

Таблица 7.14. Ветвь HKLM\Software\Policies\Microsoft\Cryptography

• ForceKeyProtection. Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере. Эта политика была рассмотрена нами в разделе данной главы книги, посвященном EFS.

Таблица 7.15. Ветвь HKLM\Software\Policies\Microsoft\Windows NT\DCOM

• *MachineAccessRestriction. DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language). Позволяет определить пользователей, которым будет разрешено подключаться к удаленным или локальным приложениям DCOM.
• *MachineLaunchRestriction. DCOM: Ограничения компьютера на запуск в синтаксисе SDDL (Security Descriptor Definition Language). Позволяет определить пользователей, которым будет разрешено удаленно или локально активировать приложения DCOM.

*данный параметр имеет строковый тип

Таблица 7.16. Ветвь HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers

• AuthenticodeEnabled. Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ. Этот параметр будет рассмотрен позже, при описании раздела Политики ограниченного использования программ.

Таблица 7.17. Ветвь HKLM\System\CurrentControlSet\Control\Lsa

• AuditBaseObjects. Аудит: аудит доступа глобальных системных объектов. К глобальным объектам относятся мьютексы, события, семафоры т.д.
• CrashOnAuditFail. Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности.
• DisableDomainCreds. Сетевой доступ: не разрешать сохранение учетных данных или цифровых паспортов .NET для сетевой проверки подлинности пользователя.
• EveryoneIncludesAnonymous. Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям.
• Enabled подраздела FIPSAlgorithmPolicy. Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания.
• ForceGuest. Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей.
• FullPrivilegeAuditing. Аудит: аудит прав на архивацию и восстановление.
• LimitBlankPasswordUse. Учетные записи: разрешить использование пустых паролей только при консольном входе. По умолчанию политика включена, то есть пользователи не смогут выполнить сетевой вход в систему на основе учетной записи, не имеющей пароля.
• LmCompatibilityLevel. Сетевая безопасность: уровень проверки подлинности LAN Manager. По умолчанию используется только отправка пакетов NTLMv2, то есть, Windows XP и более ранние версии Windows подключиться к Windows Vista не смогут.
• NoLMHash. Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля. По умолчанию политика включена, то есть пользователи Windows 9x подключиться к Windows Vista не смогут.
• RestrictAnonymous. Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями.
• RestrictAnonymousSAM. Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями.
• SCENoApplyLegacyAuditPolicy. Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии).
• SubmitControl. Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию.

Таблица 7.18. Ветвь HKLM\System\CurrentControlSet\Control\Lsa\MSV1_0

• NTLMMinClientSec. Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC).
• NTLMMinServerSec. Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC).

Таблица 7.19. Ветвь HKLM\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers

• AddPrinterDrivers. Устройства: запретить пользователям установку драйверов принтера.

Таблица 7.20. Ветвь HKLM\System\CurrentControlSet\Control\SecurePipeServers\Winreg

• *Machine подраздела AllowedExactPaths. Сетевой доступ: удаленно доступные пути реестра. Параметр описывался в главе, посвященной службам.
• *Machine подраздела AllowedPaths. Сетевой доступ: удаленно доступные пути и вложенные пути реестра. Параметр описывался в главе, посвященной службам.

*данный параметр имеет тип MULTI_SZ

Таблица 7.21. Ветвь HKLM\System\CurrentControlSet\Control\Session Manager\Kernel

• ObCaseInsensitive. Системные объекты: учитывать регистр для подсистем, отличных от Windows.

Таблица 7.22. Ветвь HKLM\System\CurrentControlSet\Control\Session Manager\Memory Management

• ClearPageFileAtShutdown. Завершение работы: очистка файла подкачки виртуальной памяти.

Таблица 7.23. Ветвь HKLM\System\CurrentControlSet\Control\Session Manager

• ProtectionMode. Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок).

Таблица 7.24. Ветвь HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems

• *optional. Параметры системы: необязательные подсистемы. Определяет список подсистем, которые можно будет запускать при необходимости.

*данный параметр имеет тип MULTI_SZ

Таблица 7.25. Ветвь HKLM\System\CurrentControlSet\Services\LanManServer\Parameters

• AutoDisconnect. Сервер сети Microsoft: время бездействия до приостановки сеанса.
• EnableForcedLogOff. Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа.
• EnableSecuritySignature. Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента).
• *NullSessionPipes. Сетевой доступ: разрешать анонимный доступ к именованным каналам.
• *NullSessionShares. Сетевой доступ: разрешать анонимный доступ к общим ресурсам.
• RequireSecuritySignature. Сервер сети Microsoft: использовать цифровую подпись (всегда).
• RestrictNullSessAccess. Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам.

*данный параметр имеет тип MULTI_SZ

Таблица 7.26. Ветвь HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters

• EnablePlainTextPassword. Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам.
• EnableSecuritySignature. Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера).
• RequireSecuritySignature. Клиент сети Microsoft: использовать цифровую подпись (всегда).

Таблица 7.27. Ветвь HKLM\System\CurrentControlSet\Services\LDAP

• LDAPClientIntegrity. Сетевая безопасность: требование цифровой подписи для LDAP-клиента.

Таблица 7.28. Ветвь HKLM\System\CurrentControlSet\Services\Netlogon\Parameters

• DisablePasswordChange. Член домена: отключить изменение пароля учетных записей компьютера.
• MaximumPasswordAge. Член домена: максимальный срок действия пароля учетных записей компьютера.
• RefusePasswordChange. Контроллер домена: запретить изменение пароля учетных записей компьютера.
• RequireSignOrSeal. Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала.
• RequireStrongKey. Член домена: требовать стойкий ключ сеанса (Windows 2000 или выше).
• SealSecureChannel. Член домена: шифрование данных безопасного канала, когда это возможно.
• SignSecureChannel. Член домена: цифровая подпись данных безопасного канала, когда это возможно.

Таблица 7.29. Ветвь HKLM\System\CurrentControlSet\Services\NTDS\Parameters

• LDAPServerIntegrity. Контроллер домена: требование цифровой подписи для LDAP-сервера.

Продолжение следует