Напоследок давайте рассмотрим другие возможности по работе с операционной системой, относящиеся к безопасности.

Сохранение сетевых паролей

В состав операционной системы Windows Vista входит функция сохранения сетевых паролей, которая позволяет автоматизировать вход на удаленные компьютеры, пароли которых были сохранены в специальной базе.

Управлять базой сохраненных сетевых паролей можно как при помощи графических средств, так и при помощи программ командной строки.

Диалог Сохранение имен пользователей и паролей

К графическим средствам относится диалог Сохранение имен пользователей и паролей. С его помощью можно добавить, удалить либо изменить уже добавленный сетевой пароль. При добавлении сетевого пароля указывается удаленный компьютер, имя пользователя для подключения, пароль, а также определяется, относятся ли введенные данные к подключению к удаленному компьютеру, либо к подключению к определенному веб-узлу.

Диалог Сохранение имен пользователей и паролей можно отобразить при помощи ссылки Управлять сетевыми паролями мастера Учетные записи пользователей.

Программа cmdkey.exe

Вторым способом управления сетевыми паролями является использование программы командной строки cmdkey.exe. Основные варианты использования данной программы представлены ниже.

• Cmdkey /list. Отобразить список всех сетевых паролей пользователя, хранящихся в базе.
• Cmdkey /add:|/generic «компьютера» /user:«логин» /pass:«пароль». Добавить сетевой пароль пользователя в базу. От используемой опции (/add: или /generic) зависит тип создаваемого сетевого пароля — используется ли он для подключения к компьютеру, или к веб-странице.
• Cmdkey /add:|/generic«компьютера» /smartcard. Добавить в базу данные для подключения к компьютеру, хранящиеся на смарт-карте.
• Cmdkey /delete:«компьютер». Удалить сетевой пароль к компьютеру.
• Cmdkey /delete /ras. Удалить сетевые пароли для удаленного подключения к сети.

Механизм UAC

Механизм UAC является нововведением операционной системы Windows Vista, поэтому еще не все умеют им пользоваться. Данный диалог предназначен для автоматизации повышения прав пользователя при выполнении административных задач, а также для реализации механизма виртуализации.

Работа механизма UAC основана на драйвере UAC File Virtualization, атрибуты которого представлены ниже.

Драйвер: luafv

Тип запуска автоматически
Исполняемый файл luafv.sys
Группа FSFilter Virtualization
От чего зависит Служба FltMgr
Ошибка запуска предупредить пользователя
Тип Драйвер файловой системы
Безопасный режим нет/нет

Справка и поддержка: Основные сведения о механизме UAC можно получить из следующих разделов справки

• 1c3e6b36-b65a-42ed-8bb0-0868ef13c075. Как разрешить однократный запуск приложения с маркером полного доступа администратора в контроле учетных записей?
• 1cc0e3a8-2cc0-43dc-b063-fa26fe5962c0. Как изменить параметры появления сообщения контроля учетных записей?
• 23ed0a73-d3f1-4f42-bd80-82c2534e97de. Почему контроль учетных записей запускается по умолчанию?
• 4502ad89-a865-4bfe-a1e4-5b8d664223f9. Дополнительные сведения о контроле учетных записей
• 58b3b879-924d-4e08-9358-c316055d3eae. Включение и выключение контроля учетных записей
• 9812d370-e66a-451a-80c9-f028d402d428. Общие сведения о контроле учетных записей

Диалог подтверждения прав

По умолчанию, если администратор либо обычный пользователь пытается выполнить действие, требующее административных прав, перед ним отображается диалог подтверждения выполнения данного действия. Администраторам достаточно просто нажать на кнопку подтверждения, а вот пользователям нужно будет ввести пароль от административной учетной записи.

Стоит заметить, что операционная система поддерживает большое количество настроек работы механизма UAC, поэтому в случае надобности вы всегда сможете подстроить его работу под себя. Выполняется это при помощи раздела Конфигурация компьютера/Параметры безопасности/Локальные политики/Параметры безопасности оснастки Редактор объектов групповой политики. Ранее в этой главе мы уже рассматривали содержимое данного раздела.

Механизм виртуализации

Механизм виртуализации используется в том случае, если программа пытается записать данные в один из каталогов %ProgramFiles%, %Windir%; %Windir%\system32, либо в подразделы ветви реестра HKLM\Software, запись в которые для текущего пользователя запрещена.

В этом случае механизм виртуализации выполняет перенаправление записи программы в каталог вида %userprofile%\AppData\Local\VirtualStore\«путь к каталогу, в который программа записывает данные», либо в ветвь реестра вида HKCU\Software\Classes\VirtualStore\«путь к ветви реестра, в которую программа записывает данные».

Данная возможность является уникальной возможностью программы reg.exe. С ее помощью можно изменить или просмотреть состояние дополнительных флагов определенной ветви реестра. Заметьте, что флаги поддерживают только дочерние подразделы ветви реестра HKLM\Software.

Команда reg flags

Следует заметить, что администратор может указать конкретные подразделы ветви реестра HKLM\Software, механизм виртуализации для которых работать не будет. Для этого достаточно воспользоваться одним из синтаксисов команды reg flags.

• reg flags «ветвь реестра» query. Отображает состояние флагов для данной ветви реестра.
• reg flags «ветвь реестра» set флаги. Устанавливает флаги, перечисленные через пробел. Можно установить следующие флаги: DONT_VIRTUALIZE, DONT_SILENT_FAIL, RECURSE_FLAG. Чтобы отключить механизм виртуализации, нужно воспользоваться флагом DONT_VIRTUALIZE.
• reg flags «ветвь реестра» set. Сбрасывает состояние всех флагов.

Механизм SFC

Как и в предыдущих версиях Windows, в Windows Vista можно использовать программу командной строки sfc.exe для проверки системных файлов Windows на несанкционированную замену или повреждение. Однако работа данной программы в Windows Vista отличается от предыдущих версий Windows. Главным образом это связано с тем, что расположение каталога, содержащего в себе архивные системные файлы Windows, используемые для восстановления, изменилось. Теперь для хранения этих файлов используется каталог %systemroot%\winsxs.

Для работы программы sfc.exe необходимы привилегии SeBackupPrivilege SeRestorePrivilege.

Основные варианты синтаксиса данной программы представлены ниже.

Для выполнения этой операции предназначена программа командной строки sfc.exe. Она поддерживает следующие возможности.

• sfc.exe /VERIFYONLY|/VERIFYFILE=«файл». Выполнить проверку всех системных файлов либо только указанного. Если будет обнаружен поврежденный файл, не выполнять его автоматическое восстановление.
• sfc.exe /SCANNOW|/SCANFILE=«файл». Выполнить проверку всех системных файлов либо только указанного. При обнаружении поврежденного файла выполнить его автоматическое восстановление.

Сведения о результатах процесса сканирования заносятся в файл CBS.log, расположенный в каталоге %systemroot%\Logs\CBS.

Механизм активации

Активация Windows Vista основана на механизме Software Protection Platform (SPP). По умолчанию срок работы с Windows Vista без активации составляет 30 дней. Если пользователь не активирует операционную систему в течение этого времени, вход в систему будет возможен только в ограниченном режиме — запуск оболочки explorer.exe будет запрещен, а по умолчанию будет запускаться браузер Internet Explorer (для выполнения активации). Следует заметить, что если в строке браузера Internet Explorer вы укажете букву вашего диска или путь к каталогу, тогда будет отображен проводник Windows. То есть, в принципе, работа с операционной системой будет возможна.

Ранее в этой книге описывался сценарий slmgr.vbs, который позволял управлять механизмом активации.

Настройки механизма активации хранятся в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL. Параметры данной ветви имеют тип DWORD и представлены в таблице ниже.

Таблица 7.72. Ветвь HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL

• SkipRearm. Определяет, разрешено ли сбрасывать счетчик активации при помощи команды slmgr.vbs –rearm после 4сбросов.
• *NotificationDisabled. Если равно 1, уведомление об активации отображаться не будет.
• *ActivationInterval. Интервал отображения уведомления об активации.
• Manual. Определяет, будет ли выполняться ручная активация Windows.

*находится в подразделе Activation данной ветви реестра.

Справка и поддержка: Основные сведения о процессе активации можно получить из следующих разделов справки

4c0a49ef-9ac8-4acc-93b0-080dacda8ea1 Что такое активация?
5014f7f1-6504-477f-81fd-dc0df2f6452a Что такое сертификат подлинности Windows?
57cc0e65-f70c-49fd-bdaa-6da83d6a35af Устранение проблем активации
580d6f95-ecc8-4947-a965-e3898897cb78 Прочтите условия лицензионного соглашения
 на использование программного обеспечения корпорации Майкрософт
62088be6-3538-46a6-99fb-05e74aeb48b5 Активация Windows: вопросы и ответы
6f58b1c8-e296-4498-8454-99558fde70bf Лицензионная копия Windows.
9c65a629-f21c-4dd2-b370-6c1ae9616566 Получение нового ключа продукта Windows

Защитник Windows

Как вы, наверное, уже знаете, в операционной системе Windows Vista присутствует программа Защитник Windows, с помощью которой можно выполнить поиск вредоносных программ, установленных на вашем компьютере. Запустить ее можно при помощи программы MSASCui.exe, расположенной в каталоге %programfiles%\Windows Defender, однако сейчас мы поговорим не об этой программе.

Также в каталоге %programfiles%\Windows Defender присутствует программа командной строки MpCmdRun.exe, которая является аналогом графической программы Защитник Windows. В таблице 7.73 описаны опции данной программы.

Таблица 7.73. Опции программы MpCmdRun.exe

• -Scan 0|1|2. Выполнить сканирование компьютера. Возможные значения: 0 (по умолчанию), 1 (быстрое сканирование), 2 (полное сканирование).
• -SignatureUpdate. Выполнить поиск обновлений базы вредоносных программ.
• -RemoveDefinitions [-All]. Восстановить последние определения вредоносных программ.
• -GetSWE. Экспортирует информацию об установленных на компьютере программах в файл MPSWE.txt.
• -GetFiles. Собрать все лог-файлы программы и заархивировать их.
• -Trace [-Grouping] [-Level]. Провести диагностику работы компонентов программы Защитник Windows и собрать все сведения, занесенные программой в стандартные журналы Windows.

Диспетчер вложений

В состав операционных систем семейства Windows входит механизм, который позволяет определить, файлы с каким расширением, полученные в качестве вложений к электронным письмам, разрешено открывать. Настроить эту возможность Windows можно при помощи групповых политик, расположенных в разделе КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ/КОМПОНЕНТЫ WINDOWS/ДИСПЕТЧЕР ВЛОЖЕНИЙ. Эти политики изменяют значения параметров DWORD-типа и представлены в таблицах ниже.

Групповая политика ЛОГИКА ДОВЕРИЯ ДЛЯ ВЛОЖЕНИЙ позволяет выбрать тип логики, который будет применяться операционной системой для определения вредоносности файла. Существуют следующие типы логики.

• ПРИОРИТЕТ ОБРАБОТЧИКА ФАЙЛОВ. Данная логика говорит операционной системе о том, что она должна доверять не расширениям полученных файлов, а программам, которые с этим расширением ассоциированы. При использовании данной логики операционная система не будет обращать внимания на расширение файла — его вредоносность будет определяться программой, с которой файл ассоциирован. Например, текстовые файлы с расширением .txt ассоциированы с программой notepad.exe. Данная логика используется по умолчанию.
• ПРИОРИТЕТ ТИПА ФАЙЛОВ. Данная логика противоположна логике ПРИОРИТЕТ ОБРАБОТЧИКА ФАЙЛОВ. Она говорит о том, что Windows должна доверять расширениям полученных файлов, а не их обработчикам.
• УЧЕТ ОБРАБОТЧИКА ФАЙЛОВ И ИХ ТИПА. При использовании данной логики внимание будет уделяться как типу файла, так и программе, с которой он ассоциирован.

Групповая политика УДАЛЕНИЕ СВЕДЕНИЙ О ЗОНЕ ПРОИСХОЖДЕНИЯ ВЛОЖЕНИЙ позволяет запретить добавление к вложениям сведений о той зоне интернет, из которой они были получены. На основе данных сведений при попытке открытия вложения отображается предупреждающее сообщение.

Групповая политика РИСК ПО УМОЛЧАНИЮ ДЛЯ ВЛОЖЕНИЙ позволяет выбрать степень опасности вложений, на которую будет настроена работа операционной системы. Существуют следующие типы рисков.

• ВЫСОКИЙ. При этой степени опасности Windows будет блокировать запуск вложений, которые, с ее точки зрения, имеют высокий степень риска, и были получены из ограниченной зоны. Если же файл был получен из зоны Интернет, система выдаст предупреждающее сообщение.
• СРЕДНИЙ. Если файл был получен из ограниченной зоны или зоны Интернет, система выдаст предупреждающее сообщение.
• НИЗКИЙ. При этой степени опасности Windows не будет каким-либо образом реагировать на запуск файлов, имеющих низкую степень риска, независимо от того, из какой зоны они были получены.

Таблица 7.74. Ветвь HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments

ScanWithAntiVirus Уведомлять антивирусную программу при открытии вложений
UseTrustedHandlers Логика доверия для вложений
SaveZoneInformation Удаление сведений о зоне происхождения вложений
HideZoneInfoOnProperties Скрытие средств для удаления сведений о зоне

Таблица 7.75. Ветвь HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations

DefaultFileTypeRisk Риск по умолчанию для вложений
*HighRiskFileTypes Список исключений для типов файлов с высоким риском
*LowRiskFileTypes Список исключений для типов файлов с низким риском
*ModRiskFileTypes Список исключений для типов файлов со средним риском

*данный параметр имеет строковый тип

7.7. Заключение

Вот и прочитана последняя страница книги. Надеюсь, вы нашли в прочитанной книге то, что искали. Я попытался охватить все малоизвестные или недокументированные возможности, которые можно применить в Windows Vista, хотя, конечно, это было трудной задачей.

Прежде всего, пришлось пренебречь описанием таких функций операционной системы Windows Vista, как сервер сценариев WSH и инструментарий управления WMI. И что самое обидное, это пришлось сделать не потому, что в этих возможностях нет ничего интересного — наоборот, они предоставляют столько уникальных функций, что описать их представляется возможным только в отдельной книге, посвященной только им.

Также пришлось пренебречь описанием возможностей работы с сетевыми компонентами Windows. Конечно, описание некоторых возможностей вы в этой книге встречали, но это лишь крупица того, о чем должен знать пользователь для того, чтобы чувствовать себя в операционной системе Windows Vista комфортно.

Не забудьте также заглянуть на компакт-диск, распространяемый вместе с книгой. Там вы найдете не только различные сторонние программы для настройки операционной системы, но и базы данных, содержащие в себе структурированные сведения, разбросанные по этой книге. Впрочем, об этом вы узнаете из приложения.

Продолжение следует