Недокументированные и малоизвестные возможности Windows XP
Шрифт:
Рис. 11.10. Окно оснастки Шаблоны безопасности
Оснастка Шаблоны безопасности по умолчанию содержит раздел C: \WINDOWS\security\templates. Этот раздел, в свою очередь, включает в себя набор стандартных шаблонов безопасности. Все отображаемые в оснастке шаблоны безопасности находятся в каталоге файловой системы C:\WINDOWS\security\templates. При этом стоит сказать, что каталог, из которого берутся шаблоны безопасности, не статичен. Другими словами, путь к
ПРИМЕЧАНИЕ
Вы можете создать и свой собственный раздел в ветви реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations. Созданный вами раздел будет отображаться в оснастке наряду со стандартным разделом. Чтобы создать новый раздел с помощью механизмов оснастки, нужно выбрать в меню Действие команду Новый путь для поиска шаблонов.
Раздел C:/WINDOWS/security/templates ветви реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations может хранить параметр строкового типа Description, определяющий описание содержимого каталога. Это описание отображается в столбце Описание правой панели оснастки.
Все шаблоны безопасности, отображенные в оснастке, изменяют одни и те же параметры файловой системы и реестра (просто каждый шаблон устанавливает свои собственные значения этих параметров), поэтому сначала будут подробно рассмотрены изменяемые шаблонами параметры, а потом отличия в значениях этих параметров для разных шаблонов безопасности. Для рассмотрения параметров воспользуемся шаблоном безопасности Setup security. Он используется сразу после установки операционной системы Windows XP для настройки доступа к файловой системе компьютера и ветвям реестра по умолчанию.
ПРИМЕЧАНИЕ
Шаблоны безопасности являются обычными файлами с расширением INF, расположенными в каталоге C:/WINDOWS/security/templates (по умолчанию). При этом название INF-файла используется в оснастке Шаблоны безопасности как название шаблона. Другими словами, шаблон Setup security является INF-файлом с именем Setup security.inf.
Содержимое шаблонов безопасности
Все шаблоны безопасности содержат следующие разделы: Политики учетных записей, Локальные политики, Журнал событий, Группы с ограниченным доступом, Системные службы, Реестр и Файловая система. Вкратце рассмотрим каждый из этих разделов.
Политики учетных записей
Раздел Политики учетных записей по умолчанию содержит три политики. Это Политика блокировки учетной записи, Политика паролей и Политика Kerberos.
■ Политика паролей — с ее помощью можно настроить параметры создания паролей для учетных записей пользователей компьютера, а также определить параметры хранения паролей пользователей. Для этого применяются следующие правила.
ПРИМЕЧАНИЕ
Скорее всего, все приведенные ниже правила хранятся в ветви системного реестра HKEY_LOCAL_MACHINE\SECURITY.
• Максимальный срок действия
• Минимальная длина пароля — определяет, из какого количества символов должен состоять (как минимум) создаваемый пароль, чтобы система раз
решила его использование. Для шаблона безопасности Setup security это правило равно 0.
• Минимальный срок действия пароля — указывает количество дней, которое должно истечь, чтобы пользователь смог сменить пароль. Если указанное количество дней не истекло, то пользователю будет запрещено изменять пароль. Значение данной политики должно быть меньше значения политики Максимальный срок действия пароля. Для шаблона безопасности Setup security это правило равно 0.
• Пароль должен отвечать требованиям сложности — если данное правило установлено, то система не разрешит создание паролей, состоящих только из цифр или только из букв. При использовании данного правила все пароли должны содержать не меньше шести символов, находящихся в разных регистрах, а также не принадлежащих к алфавитно-цифровой клавиатуре (например, символы «&», «$», «!»). Для шаблона безопасности Setup security это правило отключено.
• Требовать неповторяемости паролей — значение данного правила определяет количество паролей, которые должны быть добавлены в базу данных SAM (содержит хэши паролей всех учетных записей пользователей), после чего система разрешит в качестве пароля задать уже использовавшийся ранее пароль. Для шаблона безопасности Setup security это правило равно 0 паролей.
• Хранить пароли всех пользователей в домене, используя обратимое шифрование — если данное правило будет включено, то система будет создавать пароли пользователей с возможностью их расшифровки (так называемое обратимое шифрование). Создание паролей с возможностью их расшифровки может потребоваться некоторым приложениям для аутентификации пользователя (например, это необходимо протоколу CHAP). Но перед установкой этого правила следует учесть, что такой способ хранения паролей резко снижает уровень безопасности компьютера. Для шаблона безопасности Setup security это правило отключено.
■ Политика блокировки учетной записи — с помощью данной политики можно определить правила поведения системы в случае нескольких попыток неудачного ввода пароля при аутентификации пользователя.
• Блокировка учетной записи на — определяет количество минут, на которое будет выполняться блокировка учетной записи после нескольких попыток неудачного ввода пароля. Значение может находиться в диапазоне от 1 до 99999 (если значение равно 0, то учетная запись будет заблокирована до тех пор, пока администратор компьютера ее не разблокирует самостоятельно). Для шаблона безопасности Setup security это правило не определено.
• Пороговое значение блокировки — указывает количество попыток неверного ввода пароля, после которых учетная запись будет заблокирована. Возможные значения лежат в пределах от 0 до 999. Для шаблона безопасности Setup security это 0 ошибок.
• Сброс счетчика блокировки через — определяет количество минут, по истечении которых счетчик неверных попыток ввода пароля будет обнулен. Значение может находиться в пределах от 1 до 99999. Для шаблона безопасности Setup security это правило не определено.