Недокументированные и малоизвестные возможности Windows XP

Клименко Роман

Технология Software Installation применяется только в том случае, если в сети развернута Active Directory и данный компьютер входит в домен. Иначе элемент Конфигурация программ всегда будет пуст. Тем не менее, ради интереса, существует возможность регистрации этой оснастки как изолированной. Для этого достаточно создать раздел StandAlone в ветвях реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC\SnapIns\{942A8E4F-A261-11D1-A760-00C04FB9603F} и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC\SnapIns\{BACF5C8A-A3C7-11D1-A760-00C04FB9603F}. После этого в консоль управления Microsoft (mmc.exe) можно будет добавить оснастки Установка программ (пользователи) и Установка программ (компьютеры). В контекстном меню добавленных

оснасток присутствует команда Создать►Пакет, после ее выбора вам предложат указать файл с расширением MSI, который будет назначаться или опубликовываться. После указания данного файла консоль управления Microsoft попытается получить к нему доступ по сети, а затем выведет диалог для выбора способа развертывания программы. И в самом конце консоль управления Microsoft попытается обратиться к Active Directory для развертывания программы.

Конфигурация Windows

Элемент содержит два вложенных раздела — Сценарии и Параметры безопасности.

Раздел Сценарии применяется для назначения программ или сценариев, которые будут автоматически запускаться:

■ при загрузке (Автозагрузка) и выключении компьютера (Завершение работы), в этом случае сценарии описываются в элементе Конфигурация компьютера и запускаются с правами системы;

■ при входе пользователя в систему (Вход в систему) и выходе из нее (Выход из системы), в этом случае сценарии описываются в элементе Конфигурация пользователя и запускаются от имени учетной записи зарегистрированного в системе пользователя.

Для примера попробуем назначить программу для запуска при выходе данного пользователя из системы. Для этого необходимо в контекстном меню раздела Выход из системы (Конфигурация пользователя►Конфигурация Windows►Сценарии) выбрать команду Свойства. После этого перед вами отобразится диалоговое окно, в котором можно будет добавить на исполнение новую программу (кнопка Добавить) либо удалить уже добавленную программу (кнопка Удалить). При добавлении программы необходимо будет указать имя программы, а также параметры ее запуска (если они необходимы). Если вы назначаете на выполнение сценарий, расположенный на локальном компьютере, то желательно, чтобы он находился в одном из следующих каталогов. Сценарий должен исполняться:

■ %systemroot%\System32\GroupPolicy\User\Scripts\Logon — при входе пользователя в систему;

■ %systemroot%\System32\GroupPolicy\User\Scripts\Logoff — при выходе пользователя из системы;

■ %systemroot%\System32\GroupPolicy\Machine\Scripts\Shutdown — при выключении компьютера;

■ %systemroot%\System32\GroupPolicy\Machine\Scripts\Startup — при включении компьютера.

Но что же происходит при назначении автоматического запуска программ? Как и при назначении групповых политик, при назначении программы редактируется как содержимое реестра, так и содержимое специального файла. Изменяемое содержимое реестра довольно сложно как в понимании, так и при ручном создании назначения файла, поэтому рассмотрено оно не будет. А вот синтаксис специальных файлов довольно прост. Существует два файла для автозагрузки. Оба они называются scripts.ini (это скрытые файлы), но первый из них расположен в каталоге %systemroot%\System32\GroupPolicy\User\Scripts, а второй в каталоге %systemroot%\System32\GroupPolicy\Machine\Scripts. Как можно догадаться, первый файл предназначен для хранения программ, запускаемых при входе пользователя в систему и выходе из нее, а второй файл хранит программы, загружаемые при включении компьютера и завершении его работы. Для примера рассмотрим возможное содержимое файла scripts.ini из каталога %systemroot%\System32\GroupPolicy\User\Scripts.

Листинг 11.9. Возможное содержимое файла scripts.ini

[Startup]

0CmdLine=c: \windows\regedit.exe

0Parameters=

1Cmdl_ine=c:\windows\system32\notepad.exe

1Parameters=

[Shutdown]

0CmdLine=D:\recent\Documents and Settings\parad0x\Рабочий

стол\1.vbs

0Parameters=

Содержимое файла очень просто в понимании и легко для редактирования. Файл может состоять из двух разделов — Startup и Shutdown (для файла из каталога %systemroot%\System32\GroupPolicy\User\Scripts это разделы Logon и Logoff). Эти разделы могут хранить записи в следующем формате:

«номер программы, начиная с нуля»CmdLine=«путь к программе»

«номер программы, начиная с нуля»Parameters=«параметры запуска данной программы»

 

Например, в данном случае при включении компьютера будут запускаться программы regedit.exe и notepad.exe (поскольку программы запускаются до входа пользователя, вы не увидите их окон, их запуск в примере приведен для наглядности), а при завершении работы компьютера будет запускаться специальный сценарий. Вы и сами можете вручную отредактировать содержимое файлов scripts.ini, все внесенные вами изменения будут сразу же учтены.

Раздел Параметры безопасности элемента Конфигурация компьютера включает в себя разделы Политики учетных записей, Локальные политики, Политики открытого ключа, Политики ограниченного использования программ и Политики безопасности IP на "Локальный компьютер". Для элемента Конфигурация пользователя раздел Параметры безопасности содержит только один вложенный раздел — Политики открытого ключа, с помощью которого можно импортировать в хранилище сертификатов находящиеся на данном компьютере сертификаты. Разделы Политики учетных записей и Локальные политики являются частью оснастки Шаблоны безопасности, поэтому будут рассмотрены в разделе, описывающем данную оснастку.

Раздел Политики открытого ключа включает в себя подраздел Файловая система EFS, который позволяет создать агент восстановления данных для шифрованной файловой системы EFS. Для этого достаточно в контекстном меню подраздела Файловая система EFS выбрать команду Добавить агента восстановления данных. После этого отобразится диалоговое окно Мастера добавления агента восстановления, который перед созданием агента восстановления попросит вас указать сертификат пользователя, выступающего в роли агента восстановления.

Политика ограниченного использования программ применяется для запрещения запуска на данном компьютере тех или иных программ или для указания программ, которые запускать разрешено. При этом определение разрешенных или запрещенных для исполнения программ или сценариев возможно по четырем условиям.

■ По сертификату, который выдан сценарию или пакету установщика Windows (MSI). Если сценарий имеет корректную подпись сертификата, то его запуск разрешен (или запрещен). При этом следует учитывать, что данный способ нельзя применять к файлам с расширениями EXE и DLL.

Этот способ является наиболее защищенным способом разрешения только запуска определенных сценариев и пакетов установщика Windows, если по умолчанию запуск всех сценариев запрещен.

■ По хэшу, которым подписан файл. Если для определенного файла создан хэш (последовательность байтов, гарантирующая, что данный файл не был изменен, то есть в теории не существует двух одинаковых хэшей), то на основе этого хэша можно определить, разрешено или запрещено запускать данный файл. При использовании хэша можно определять правила запуска для файлов с любым расширением.