Недокументированные и малоизвестные возможности Windows XP
Шрифт:
■ PolicyScope — если значение данного параметра DWORD типа равно 1, то политики ограничений запуска не будут относиться к администраторам локального компьютера. Если же значение данного параметра равно 0, то политики ограничений будут накладываться на все учетные записи данного компьютера.
■ TransparentEnabled — если значение данного параметра DWORD типа равно 2, то политики ограничений запуска будут относиться не только к программам, но и к библиотекам DLL, которые используются этими программами. Если же значение равно 1, то ограничения не будут накладываться на библиотеки, используемые запрещенными программами.
Сами же настройки политик ограничения располагаются в одном из разделов ветви системного реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{GUID-номер
■ Hashes — содержит политики ограничения доступа к файлам по их хэшу. Для каждой политики по ограничению файла в этом подразделе находится еще два подраздела. Первый из подразделов определяет хэш файла MD 5, а второй — хэш файла по алгоритму SHA-1.
■ Paths — хранит политики ограничения доступа к файлам по каталогу, в котором они хранятся.
■ UrlZones — содержит политики ограничения доступа к пакетам установщика Windows взятым из определенной зоны Интернета.
Политика безопасности IP позволяет настроить протокол IPSec для защиты пакетов, передаваемых между компьютерами, на тот или иной уровень безопасности. При этом стоит учитывать, что для работы протокола IPSec необходима служба Службы IPSEC и если эта служба остановлена, то вы не сможете воспользоваться возможностью защиты передаваемых данных с помощью протокола IPSec. По умолчанию доступны только три политики безопасности IP — Клиент (Ответ только), Сервер (Запрос безопасности) и Сервер безопасности (Требуется безопасность). Все эти политики для обеспечения подлинности используют протокол Kerberos, то есть их нельзя применять для компьютеров, не входящих в домен Active Directory (хотя с помощью диалога Свойства метод проверки подлинности можно изменить). Вместо изменения стандартных политик рекомендуется создать свои собственные. Для этого достаточно в контекстном меню раздела Политика безопасности IP на "Локальный компьютер" выбрать команду Создать политику безопасности IP. После этого отобразится окно Мастера политики IP-безопасности, который предложит вам задать имя политики, ее описание, а также указать, будет ли данная политика использоваться по умолчанию для установки соединений с другими компьютерами. Если данная политика не будет использоваться по умолчанию, то мастер закончит свою работу и выведет диалог Свойства созданной вами политики, чтобы вы могли ее настроить. Если же политика будет использоваться по умолчанию, то мастер попросит вас также указать метод проверки подлинности, используемый по умолчанию для установки соединения. Возможны три метода: метод c использованием протокола Kerberos, метод с использованием сертификатов и метод с использованием пароля (общий секрет). После того как вы укажете метод проверки подлинности при установке соединения, мастер закончит свою работу и выведет диалог Свойства созданной вами политики.
В контексте данной книги диалог Свойства политик безопасности IP рассмотрен не будет, так как для полного и понятного описания настроек этих политик может понадобиться отдельная книга.
С помощью раздела Настройка Internet Explorer можно настроить интерфейс браузера Internet Explorer, а также параметров его подключения к Интернету. Этот раздел консоли Групповая политика содержит следующие вложенные разделы: Пользовательский интерфейс обозревателя, Подключение, URL-адреса, Безопасность и Программы. Вкратце рассмотрим возможности, которые предоставляют эти разделы.
Раздел Пользовательский интерфейс обозревателя позволяет настроить такие элементы окна браузера Internet Explorer,
Можно также добавить собственные кнопки к панели инструментов. Раньше уже были описаны возможности изменения всех этих элементов интерфейса с помощью реестра — эти же параметры реестра применяются и консолью управления Microsoft, хотя при их изменении с ее помощью есть и некоторые очень интересные особенности, которые будут описаны ниже.
Раздел Подключение позволяет настроить такие параметры браузера, как строка, добавляемая к строке обозревателя (Строка обозревателя), используемые для подключения к прокси-серверу адреса и порты (для каждого протокола) (Параметры прокси-сервера), а также адрес компьютера, содержащего сценарий для автоматической настройки обозревателя (Автоматическая настройка обозревателя). С помощью данного раздела можно также импортировать настройки, расположенные на вкладке Подключения диалога Свойства обозревателя, в файлы, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\ BRANDING\cs.
Раздел URL-адреса позволяет настроить содержимое папок Избранное и Ссылки (Избранное и ссылки), а также задать стандартные адреса Интернета (Важные URL-адреса). Под стандартными адресами понимаются следующие: адрес домашней страницы, адрес панели поиска и адрес страницы поддержки.
Раздел Безопасность позволяет импортировать настройки зон Интернета и настройки ограничений браузера в INF-файлы (Зоны безопасности и оценка содержимого). Зоны безопасности импортируются в файлы seczones.inf и seczrsop.inf каталога %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\ZONES, а параметры оценки содержимого (Rating) импортируются в INF-файлы ratings.inf и ratrsop.inf, которые расположены в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\RATINGS. С помощью этого раздела можно импортировать параметры настройки Authenticode (сертификаты доверенных издателей, а также сертификаты доверенных агентств выдачи сертификатов). Для этого предназначен элемент Параметры Authenticode.
Раздел Программы позволяет импортировать настройки вкладки Программы, расположенной в диалоговом окне Свойства обозревателя, в файл programs.inf. Этот файл находится в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\PROGRAMS.
Теперь поговорим о том, как выполняется запись в реестр всех настроек, расположенных в разделе Настройка Internet Explorer. По умолчанию все настройки из этого раздела заносятся в файл install.ins, расположенный в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK. По умолчанию только администраторы могут выполнять запись данных в этот каталог, хотя модифицировать файл install.ins можно от имени любого пользователя. Это обычный текстовый файл с расширением INS, хранящий настройки, которые можно изменить с помощью раздела Настройка Internet Explorer. Данный файл довольно прост в понимании, поэтому не будем останавливаться на описании каждого его раздела, а просто приведем листинг содержимого этого файла (где это было возможно, адреса и названия создаваемых элементов описывают сами создаваемые элементы).