Тонкости реестра Windows Vista. Трюки и эффекты
Шрифт:
• Если же вы хотите создать список устройств, установка которых будет запрещена, то необходимо присвоить параметру DenyDeviceIDs значение 1. После этого нужно создать ветвь реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DriverInstall\Restrictions\DenyDeviceIDs, а уже в ней – параметр REG_DWORD-типа, названный в честь идентификатора оборудования, после чего присвоить этому параметру значение 1.
Некоторые параметры находятся и в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DriverInstall\Restrictions\DeniedPolicy.
Ниже представлен REG-файл (расположение на компакт-диске – Файлы реестра\Режимы\InstDriverNoMessage.reg), изменяющий сообщение.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DriverInstall\Restrictions\DeniedPolicy]
"SimpleText"="Запрет установки"
"DetailText"="Данный тип оборудования запрещено устанавливать пользователям, не имеющим прав администратора"
Кроме запрета на установку драйверов оборудования операционная система Windows Vista поддерживает запрет на подключение съемных устройств, для которых драйверы уже установлены.
Например, запретить доступ пользователей к любому типу съемных устройств можно с помощью параметров REG_DWORD-типа Deny_All и AllowRemoteDASD, расположенных в ветви реестра HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\RemovableStorageDevices. Для этого параметру Deny_All достаточно присвоить значение 1, а параметру AllowRemoteDASD – значение 0. Первый параметр запрещает доступ к съемным устройствам для локальных пользователей, а второй – для удаленных.
Если же необходимо запретить доступ к определенному типу съемных устройств, то следует воспользоваться одним из следующих подразделов ветви реестра HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\RemovableStorageDevices:
• {53f56308-b6bf-11d0-94f2-00a0c91efb8b} – определяет съемные оптические приводы;
• {53f56311-b6bf-11d0-94f2-00a0c91efb8b} – задает дисководы гибких дисков;
• {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} – определяет съемные запоминающие устройства;
• {53f5630b-b6bf-11d0-94f2-00a0c91efb8b} – задает ленточные накопители;
• {6AC27878-A6FA-4155-BA85-F98F491D4F33} – определяет WPD-устройства;
• {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} – задает WPD-устройства.
В этих подразделах могут присутствовать два параметра REG_DWORD-типа: Deny_Read и Deny_Write. Если значение параметра Deny_Read равно 1, то чтение с соответствующего типа съемного носителя будет запрещено. Если же значение параметра Deny_Write равно 1, то будет запрещена запись на соответствующий тип съемного носителя.
3.7. Механизмы безопасности
В Windows Vista многие механизмы безопасности операционной системы были существенным образом доработаны. Кроме того, также появились совершенно новые механизмы безопасности, работу которых можно настроить.
О них, а также и о стандартных механизмах безопасности и пойдет речь в этом разделе.
Механизм UAC
Существует несколько возможностей настройки работы механизма UAC операционной системы Windows Vista. Все они основаны на использовании параметров REG_DWORD-типа ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
• ConsentPromptBehaviorAdmin – позволяет определить режим использования механизма UAC для пользователей, имеющих права администратора. Он может принимать следующие значения:
– 0 – отключить механизм UAC;
– 1 – для выполнения административных задач необходимо вводить пароль администратора;
– 2 – для выполнения административных задач необходимо подтверждение.
По умолчанию используется значение 2.
• ConsentPromptBehaviorUser – дает возможность задать режим использования механизма UAC для пользователей, не имеющих прав администратора. Он может принимать следующие значения:
– 0 – запрещать доступ к функциям, требующим административных привилегий;
– 1 – для выполнения административных задач необходимо вводить пароль администратора.
По умолчанию используется значение 1.
• EnableInstallerDetection – если значение данного параметра равно 1, то при установке приложений, требующих прав администратора, будет автоматически отображаться окно UAC.
• EnableLUA – при установке значения этого параметра равным 1 все администраторы будут работать в режиме одобрения администратором (отключение механизма UAC только для администраторов).
• EnableSecureUIAPaths – если значение данного параметра равно 1, то повышение прав для запуска пользовательских приложений будет разрешено, если приложения установлены в безопасных местах.
• EnableVirtualization – при установке значения этого параметра равным 0 будет запрещен механизм виртуальных файлов и реестра.
• FilterAdministratorToken – если значение данного параметра равно 0, то встроенная учетная запись администратора не будет работать в режиме одобрения администратором. По умолчанию механизм UAC для встроенной учетной записи администратора отключен.
• PromptOnSecureDesktop – если установить значение этого параметра равным 0, то при отображении окна UAC операционная система не будет переходить на использование безопасного Рабочего стола.
• ValidateAdminCodeSignatures – если значение данного параметра равно 1, то возможность повышения прав запускаемой программы будет применяться только для подписанных и проверенных программ.
Брандмауэр Windows
Существует возможность ограничения работы стандартного брандмауэра операционной системы. В зависимости от профиля брандмауэра для этого используются параметры ветви реестра вида HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра», где профиль брандмауэра может быть равен следующим названиям подразделов: DomainProfile и StandardProfile.