Windows Vista. Для профессионалов
Шрифт:
• TransportPort – этот параметр строкового типа определяет порт, используемый для транспортировки событий.
• DeliveryMode, Maxltems, MaxLatencyTime, HeartBeatlnterval – смотрите одноименные параметры подразделов ветви HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\ Conf igurationModes, описанные выше.
• CommonUserName – этот параметр строкового типа определяет имя пользователя, от имени которого выполняется подключение к удаленному компьютеру.
• CredentialType – имеет строковый тип и определяет тип аутентификации пользователя на удаленном компьютере. По умолчанию используется значение Default.
Кроме того, существует несколько параметров реестра , влияющих на работу всех подписок. Они содержатся в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\Globals и имеют ТИП REG_DWORD:
• Retrylnterval – определяет интервал, с которым операционная система будет пытаться получить сведения о возникшем событии, на которое есть подписка;
• RetryCount – указывает максимальное количество повторов на получение сведений о событии.
Работа со стандартными журналами Windows с помощью команды wevtutil.exe
Работать со стандартными журналами Windows можно и с помощью новой программы командой строки операционной системы Windows Vista. Чтобы просмотреть полный перечень возможностей данной команды и их описание, нужно воспользоваться командой wevtutil /?. Мы же на страницах данной книги рассмотрим только основные команды данной программы.
• Wevtutil el – отображает список стандартных журналов операционной системы локального компьютера.
• Wevtutil el /г:<компьютер> /и:<пользователь> /р:<пароль>– выводит список стандартных журналов операционной системы удаленного компьютера, используя для подключения к нему указанное имя пользователя и пароль. Можно также использовать параметр /а: для определения способа аутентификации пользователя на удаленном компьютере. Можно указать следующие значения данного параметра: Default, Negotiate, Kerberos
• Wevtutil gl <имя стандартного журнала> – отображает настройки стандартного журнала локального или удаленного компьютера. Эта команда выводит следующие настройки журналов: имя, включен или отключен в данный момент, тип, имя создателя, права доступа, путь к файлу, максимальный размер файла, выполняется ли его автоматическая архивация и т. д.
• Wevtutil si <имя стандартного журнала> <изменяемый параметр журнала> – позволяет изменить параметры работы определенного журнала. Они изменяются с помощью следующих установок.
– /e:<true или false> – позволяет включить или отключить запись в данный журнал.
– /i:<определяет способ изоляции> – позволяет изменить способ изоляции, определяющий сессию, с которой данный журнал разделяет работу. Например, значение данного параметра может быть равно system или application.
– /lfn:<новое имя журнала> – изменяет имя выбранного журнала.
– /rt:<true или false> —если значение данного параметра равно false, то новые события будут переписывать собой старые события журнала. В противном случае старый файл журнала будет сохраняться.
– /ab:<true или false> – позволяет включить или отключить автоматическую архивацию файла журнала. Если автоматическая архивация должна быть включена, то также должно быть включено значение параметра /rt:.
– /ms: <максимальный размер> – определяет максимальный размер файла журнала в байтах. Минимальное значение данного параметра может быть равно 104 857 6.
– /l: <уровень> – указывает уровень фильтрации содержимого создаваемого файла журнала.
– /к:<ключевые слова> – определяет ключевые слова для фильтрации содержимого журнала.
– /са: – справа доступа> – указывает права доступа на регистрацию событий в журнале (в формате SDDL).
– /с: <путь к файлу XML> – определяет путь к файлу, содержащему новые настройки журнала. Синтаксис данного файла приведен в описании программы, и его можно отобразить, введя команду wevtutil /si /?.
• Wevtutil ер – отображает список провайдеров, которые могут заносить сведения о своей работе в стандартные журналы операционной системы.
• Wevtutil gp <имя провайдера> – выводит основные сведения о данном провайдере. К списку основных сведений относятся: имя и CLSID-номер провайдера, путь к библиотеке провайдера, ссылка на ресурс сайта Microsoft, описывающий назначение данного провайдера, название журнала, в который провайдер записывает свои сведения, идентификатор записей и т. д.
• Wevtutil epl <имя стандартного журнала> <путь к файлу с расширением ELF> – экспортирует содержимое стандартного журнала локального или удаленного компьютера в ELF-файл.
• Wevtutil cl <имя стандартного журнала> – очищает содержимое указанного стандартного журнала.
Программа eventcreate.exeРасположение: %systemroot%\system32\eventcreate.ехе.
Никуда не исчезла и стандартная программа командной строки eventcreate.ехе, с помощью которой можно создавать в стандартных журналах операционной системы свои записи. Поскольку эта программа не является чем-то новым, мы просто о ней упомянем.
Основной синтаксис этой программы следующий: eventcreate /t <тип события> /id – ^идентификатор события> /1 <название журнала> /d <описание>. Здесь:
• тип события может принимать следующие стандартные значения: ERROR, WARNING, INFORMATION И SUCCESS;
• идентификатор должен быть числом от 1 до 1000;
• название журнала может принимать только следующие значения: Application, System или название любого другого журнала из раздела Applications and Services Logs оснастки Просмотр событий.
Управление групповой политикойCLSID-номер оснастки: {E12BBB5D-D59D-4E61-947A-301D25AE8C23}.
Библиотека: GPOAdmin.dll.
Используется в стандартных консолях: gpmc.msc.
Оснастка может использоваться только на компьютерах, подключенных к домену Active Directory. В этом случае она представляет собой более функциональную оснастку, чем стандартная оснастка Редактор объектов групповой политики.
Оснастка Управление групповой политикой состоит из следующих оснасток и утилит Active Directory: Active Directory Users and Computers, Active Directory Sites and Services и Resultant Set of Policy. С ее помощью удобно управлять групповыми политиками в каждом лесе корпоративной среды. Для каждого леса отображаются следующие подразделы данной оснастки:
• Domains – содержит информацию обо всех доменах, из которых состоит данный лес;
• Sites – хранит информацию обо всех узлах, из которых состоит данный лес;
• Group Policy Modeling – позволяет выполнить моделирование групповой политики для определенного компьютера или пользователя на основе только что измененных групповых политик (которые еще не вступили в силу);
• Group Policy Results – дает возможность выполнить моделирование групповой политики для определенного компьютера или пользователя на основе уже применяющихся политик.
В контексте этой книги мы не будем подробно рассматривать данную оснастку.
Редактор объектов групповой политикиCLSID-номер оснастки: {8FC0B734-A0E1-11D1-A7D3-0 0 0 0F87571E3}.
Библиотека: GPEdit.dll.
Используется в стандартных консолях: gpedit.msc.
Эта оснастка представляет собой основной способ редактирования групповых политик, дающих возможность дополнительной настройки операционной системы и ее компонентов с помощью специальных параметров реестра , изменять которые могут только администраторы. Соответственно, запустить данную оснастку можно только с правами администратора.
При загрузке оснастки перед вами отобразится мастер. С его помощью можно определить компьютер, параметры групповой политики которого вы будете изменять. Но это еще не все возможности изменения – если вы нажмете кнопку Обзор, то сможете изменить не только компьютер, но и пользователя, на которого будут распространяться изменяемые вами групповые политики (рис. 5.15). При этом заметьте, что можно выбирать не только конкретного пользователя, но и пользователей группы Администраторы, а также пользователей всех групп, не являющихся административными. Однако учтите, что если вы выберете пользователя, то будут загружены групповые политики, распространяемые на него, но не будут загружены групповые политики, распространяемые на весь компьютер.
Оснастка Редактор объектов групповой политики состоит из множества расширений, которые вы можете по своему желанию оставить или отключить. К ним относятся следующие расширения.
• Административные шаблоны (Компьютеры) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация компьютера → Административные шаблоны.
• Административные шаблоны (Пользователи) – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация пользователя → Административные шаблоны.
• Расширенный вид – в начале этой главы рассказывалось, как с помощью реестра запрещать отображение расширенного вида консоли управления. Однако этого же эффекта можно достичь и с помощью редактирования расширений конкретной оснастки. Для этого достаточно запретить загрузку данного расширения.
• Редактор перенаправления папок (пользователей) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация пользователя → Конфигурация программ → Перенаправление папок. Этот раздел отображается в оснастке только в том случае, если компьютер входит в домен Active Directory.
• Настройка Internet Explorer – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация пользователя → Конфигурация Windows → Настройка Internet Explorer.
• QoS на основе политики – оснастка Редактор объектов групповой политики загружает два таких расширения – одно для пользователя, а другое для всего компьютера. Соответственно, они определяют, будет ли отображаться подраздел PoLicy-based QoS в разделе Конфигурация компьютера → Конфигурация Windows и в разделе Конфигурация пользователя → Конфигурация Windows.
• Расширение помещенных подключений принтеров (компьютеров) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация компьютера → Конфигурация Windows → Развернутые принтеры.
• Расширение помещенных подключений принтеров (пользователей) – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация пользователя → Конфигурация Windows → Развернутые принтеры.
• Сценарии (вход/выход из системы) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация пользователя → Конфигурация Windows → Сценарии (вход/выход из системы).
• Сценарии (запуск/завершение) – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация компьютера → Конфигурация Windows → Сценарии (запуск/завершение).
• Параметры безопасности – запрет на загрузку данного расширения удаляет подраздел Параметры безопасности как из раздела Политика «Локальный компьютер» → Конфигурация компьютера, так и из раздела Политика «Локальный компьютер» → Конфигурация пользователя.
• Установка программ (компьютеры) – определяет, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация компьютера → Конфигурация программ → Установка программ. Он отображается в оснастке
• Установка программ (пользователи) – указывает, будет ли отображаться раздел оснастки Политика «Локальный компьютер» → Конфигурация пользователя → Конфигурация программ → Установка программ. Он отображается в оснастке только в том случае, если компьютер входит в домен Active Directory.
Мы не будем рассматривать такие разделы данной оснастки, как Конфигурация программ (так как он имеет функциональное назначение только при работе в домене) и Развернутые принтеры (так как он представляет собой отдельную оснастку Управление печатью).
Итак, оснастка Редактор объектов групповой политики состоит из следующих подразделов (рис. 5.16).
• Конфигурация программ – если компьютер подключен к домену, то с помощью этого раздела можно опубликовать или назначить пользователю определенные программы, а также перенаправить содержимое стандартных папок компьютера в другие папки.
• Конфигурация Windows – определяет дополнительные настройки групповых политик, с помощью которых можно повысить безопасность работы компьютера (подраздел Параметры безопасности), определить сценарии, которые будут запускаться при входе (загрузке) или выходе (выключении) пользователя из операционной системы (подраздел Сценарии), а также изменить настройки интерфейса браузера Internet Explorer (подраздел Настройка Internet Explorer).
• Административные шаблоны – указывает административные шаблоны, являющиеся основной частью групповых политик и позволяющие ограничить возможности работы определенных пользователей или всех пользователей компьютера.
Далее мы подробнее рассмотрим эти подразделы.Подраздел Конфигурация программ
По сравнению с предыдущими версиями операционной системы Windows, подраздел Конфигурация программ оснастки Редактор объектов групповой политики совершенно не изменился, поэтому мы рассмотрим его лишь поверхностно.
Как и раньше, он содержит разделы Политики учетных записей и Локальные политики, которые, в свою очередь, включают в себя следующие дочерние подразделы.
• Политика паролей – как и раньше, с помощью данного раздела можно настроить такие параметры создания и хранения паролей, как максимальное и минимальное количество дней хранения паролей от учетных записей пользователей, минимальная длина пароля. Можно указать, должен ли пароль обязательно, кроме символов, содержать цифры и несимвольные знаки (восклицательный, подчеркивая и т. д.), должен ли пароль храниться в базе данных SAM с использованием обратного шифрования (понижает безопасность, но может быть необходимо при взаимодействии с некоторыми устаревшими программами и операционными системами) и т. д.
• Политика блокировки учетной записи – с помощью данного раздела можно настроить такие параметры входа в систему, как количество неправильных попыток ввода пароля, после которых учетная запись будет заблокирована, указать, на какое время будет заблокирована учетная запись, а также через какое время счетчик неправильных попыток входа в систему будет сброшен.
• Политика аудита – как и раньше, данный раздел позволяет определить параметры аудита доступа к системе (сведения аудита заносятся в системный журнал Безопасность оснастки Просмотр событий). Можно выбрать следующие значения аудита: Успех (определенное событие прошло успешно) и Отказ (пользователь не имеет права совершать это событие). При этом, как и раньше, можно выполнять аудит следующих событий: вход в систему пользователя или служебных учетных записей, изменение параметров учетных записей пользователей, получение доступа к объектам (папкам, файлам и т. д.), использование административных привилегий и т. д.
• Назначение прав пользователя – позволяет указать учетные записи пользователей, которым будут даны дополнительные привилегии при работе в системе или, наоборот, некоторые стандартные привилегии которых будут запрещены. Этот раздел не является чем-то новым – он присутствовал и в предыдущих версиях операционной системы Windows.
• Параметры безопасности – раздел также не является чем-то новым. Он определяет некоторые настройки безопасности компьютера, которые должен знать и уметь изменять каждый администратор. Поэтому, если вы упустили этот момент администрирования компьютера, обязательно загляните в данный раздел, чтобы просмотреть его возможности. А на страницах книги мы рассмотрим только то содержимое данного раздела, которого не было в операционной системе Windows ХР.
– Управление учетными записями пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором – эта политика позволяет определить, будет ли для администраторов компьютера отображаться окно оповещения о необходимости запуска программы с административными правами, и если будет, то что оно будет содержать: либо просто предупреждение, либо поле для ввода пароля администратора. По умолчанию требуется подтверждение.
Политика влияет на значение параметра REG_DW0RD-типа ConsentPrompt-BehaviorAdmin ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System. Если его значение равно 0, то окно UAC отображаться не будет. Если его значение равно 1, то будет отображаться окно с просьбой ввода пароля. Если же его значение равно 2, то будет отображаться окно UAC с предупреждением.
– Управление учетными записями пользователей: поведение запроса на повышение прав для обычных пользователей – позволяет определить, будет ли для пользователей, не имеющих прав администратора, отображаться окно оповещения о необходимости запуска программы с административными правами, и если будет, то что оно будет содержать: либо просто предупреждение, либо поле для ввода пароля администратора. По умолчанию требуется ввод пароля.
Политика влияет на значение параметра REG_DWORD-типа ConsentPrompt-BehaviorUser ветви системного реестра Windows HKEY_LOCAL_MACHINE\ SOFTWARE\MicrosoftWindows\CurrentVersion\Policies\System. Если его значение равно 0, то окно UAC отображаться не будет. Если значение равно 1, то будет отображаться окно с просьбой ввода пароля. Если же его значение равно 2, то будет отображаться окно UAC с предупреждением.
– Управление учетными записями пользователей: обнаружение установки приложений и запрос на повышение прав – указывает, будет ли UAC отображать свое окно при обнаружении попытки установки программного обеспечения, при которой необходимы административные права. По умолчанию будет отображать.
Политика влияет на значение параметра REG_DWORD-типа Enablelnstal-lerDetection ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion\Policies\System.
– Управление учетными записями пользователей: все администраторы работают в режиме одобрения администратором – определяет, будут ли все администраторы локального компьютера работать в режиме LUA По умолчанию администраторы не работают в этом режиме.Примечание
Сведения о работе механизма UAC заносятся в журнал Журналы приложений и служб → Microsoft → Windows → UAC.
Политика влияет на значение параметра REG_DWORD-типа EnableLUA ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\System.
– Управление учетными записями пользователей: при сбоях записи в файл или реестр виртуализация в размещение пользователя – указывает, будет ли применяться механизм виртуализации каталогов и ветвей реестра , в которые пытается записать значения определенная программа, но при этом у пользователя нет доступа к этим каталогам и ветвям. По умолчанию применяется.
Примечание
Сведения о работе с виртуальными папками заносятся в журнал Журналы приложений и служб → Microsoft → Windows → UAC-FileVirtualization.
Политика влияет на значение параметра REG_DWORD-типа EnableVirtualization ветви системного реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.
– Управление учетными записями пользователей: режим одобрения администратором для встроенной учетной записи администратора – определяет, будет ли работать пользователь Администратор в режиме LUA.
Политика влияет на значение параметра REG_DWORD-типа FilterAdministratorToken ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.
– Управление учетными записями пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав – указывает, будет ли запрещен доступ ко всем открытым окнам и Рабочему столу при отображении окна UAC. По умолчанию доступ запрещен.
Политика влияет на значение параметра REG_DWORD-типа PromptOnSe-cureDes ktop ветви системного реестра HKEY_LOCAL_MACHINE \ SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.
– Управление учетными записями пользователей: повышение прав только для подписанных и проверенных исполняемых файлов – определяет, будет ли разрешено запускать с административными правами программы, не имеющие достоверной подписи. По умолчанию разрешено.
Политика влияет на значение параметра REG_DWORD-типа ValidateAd-minCodeSignatures ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System.
– Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере – позволяет определить, будет ли применяться усиленная защита хранилища пользовательских ключей.
Политика влияет на значение параметра REG_DWORD-типа ForceKey-Protection ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsof t\Cryptography. Если значение данного параметра равно О, то добавление нового пользовательского ключа в хранилище не требует подтверждения. Если значение равно 1, то добавление нового пользовательского ключа в хранилище требует подтверждения. Если же значение равно 2, то добавление нового пользовательского ключа в хранилище требует ввода пароля.
– Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ – позволяет указать, будет ли разрешено изменять параметры запуска файлов на данном компьютере на основе сертификатов файлов (по умолчанию запускаются все файлы, но можно разрешить запуск только сертифицированных файлов или файлов из определенного каталога).