Windows Vista. Для профессионалов
Шрифт:
Политика влияет на значение параметра REG_DWORD-типа Authentico-deEnabled ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Miегоsoft\Windows\Safer\CodeIdentifiers.
– Параметры системы: необязательные подсистемы – с помощью этой политики можно изменить значение параметра optional. Он содержит список подсистем операционной системы Windows Vista, которые автоматически будут загружаться в память компьютера процессом winlogon.exe при входе пользователей в систему. Естественно, что все ненужные подсистемы лучше удалить, чтобы их поддержка не понижала скорость работы операционной системы.
Политика влияет на значение параметра REG_MULTI_SZ-типа optional ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems. По умолчанию значение параметра равно POSIX.
– Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам – позволяет запретить анонимный доступ к нулевым каналам и ресурсам общего доступа. Это повышает безопасность компьютера, но при этом некоторые службы предыдущих версий операционной системы Windows не смогут получить сетевой доступ к операционной системе. По умолчанию доступ запрещен.
Политика влияет на значение параметра REG_DWORD-типа Restrict-NullSessAccess
Кроме того, раздел Параметры безопасности содержит и такие стандартные подразделы, как Политики открытого ключа и Политики ограниченного использования программ.
С помощью подраздела Политики открытого ключа можно опубликовать сертификаты определенного типа, не используя рассмотренную нами ранее оснастку Сертификаты. Типы сертификатов, которые можно опубликовать, аналогичны типам сертификатов, отображаемых в оснастке Сертификаты, и были рассмотрены ранее. Кроме того, обратите внимание на вложенный подраздел Файловая система EFS. Именно с помощью команды Добавить агент восстановления данных контекстного меню данного подраздела можно добавить агент восстановления (на основе сертификата пользователя).
С помощью подраздела Политики ограниченного использования программ, как и раньше, определяются правила, на основе которых система будет решать, можно пользователю запустить определенный файл или нет. Если вы решили создать такие правила, то сначала в контекстном меню данного подраздела выберите команду Создать политику ограниченного использования программ, после чего в подразделе Политики ограниченного использования программ будут созданы два дочерних подраздела: Уровни безопасности и Дополнительные правила.
Как и раньше, ограничивать доступ к файлам и каталогам можно на основе четырех правил.
• Создать правило для сертификата – позволяет ограничить доступ к сценарию или пакету установщика Windows (расширение MSI) на основе сертификатов, которые были им выданы. Если сценарий или пакет установщика Windows не имеют указанного в правиле сертификата, то их использование будет запрещено. Это правило является наиболее защищенным, хотя и доступно только для сценариев и MSI-файлов.
• Создать правило для хэша – дает возможность ограничить доступ к файлам на основе хэша, которым они подписаны. Правило создается для определенного файла, при этом также создается хэш файла. Если кто-то попытается модифицировать файл, для которого определен хэш с помощью правила, то такой файл больше не будет разрешено запускать, так как его хэш не будет совпадать с тем, который определен правилом.
Если же создается правило на основе хэша, которое будет запрещать запуск определенного файла, то пользователь сможет его довольно легко обойти – достаточно будет изменить содержимое файла, чтобы изменился и его хэш.
• Создать правило для зоны сети – позволяет ограничить доступ к файлам установщика Windows на основе зоны Интернета, из которой был получен данный файл.
• Создать правило для пути – дает возможность ограничить доступ к файлам на основе каталога, в котором они расположены.
Чтобы создать одно из описанных выше правил, нужно воспользоваться контекстным меню подраздела Дополнительные правила.
Но перед этим необходимо изменить общий уровень доступа к файлам, используемый в системе. Возможные уровни определены в подразделе Уровни безопасности, и, чтобы изменить уровень, достаточно в контекстном меню нужного уровня выбрать команду По умолчанию. Если раньше подраздел Уровни безопасности содержал всего два возможных уровня, то в операционной системе Windows Vista их три.
• Запрещено – если вы установите данный уровень доступа, то по умолчанию доступ к любым файлам компьютера для всех пользователей будет запрещен. Не забудьте только после этого создать несколько дополнительных правил, которые разрешали бы пользователям доступ к определенным каталогам.
• Обычный пользователь – если вы установите данный уровень доступа, то по умолчанию доступ к любым файлам компьютера будет разрешен только с правами пользователя. Доступ с правами администратора или опытного пользователя будет запрещен.
• Неограниченный – используется по умолчанию. При этом пользователям разрешен доступ ко всем файлам компьютера без ограничений (естественно, если только доступ к файлам не запрещен с помощью ACL).
Подраздел Сценарии
Подраздел Сценарии также совершенно не изменился по сравнению с предыдущими версиями операционной системы Windows. С его помощью можно указать путь к VBS или JS-сценарию, ВАТ-файлу или любой программе, которая должна автоматически запускаться либо при входе пользователя в систему или выходе из нее (подраздел Сценарии раздела Конфигурация пользователя), либо при запуске процесса winlogon.ехе или выключении компьютера (подраздел Сценарии раздела Конфигурация компьютера).
Работа со сценариями. Как и раньше, если вы назначаете на выполнение сценарий, расположенный на локальном компьютере, то он должен находиться в одном из следующих каталогов (на самом деле он может находиться где угодно, но ведь не зря же разработчики ввели специальные каталоги файловой системы для хранения сценариев).
• %systemroot%\System32\GroupPolicy\User\Scripts\Logon – сценарий должен исполняться при входе текущего пользователя в систему. Запускается с правами пользователя.
• %systemroot%\System32\GroupPolicy\User\Scripts\Logoff – сценарий должен исполняться при выходе текущего пользователя из системы. Запускается с правами пользователя.
• %systemroot%\System32\GroupPolicy\Machine\Scripts\Shutdown – сценарий должен исполняться при выключении компьютера любым пользователем. Запускается с правами системы.
• %systemroot%\System32\GroupPolicy\Machine\Scripts\Startup – сценарий должен исполняться при загрузке процесса winlogon.exe любым пользователем. Запускается с правами системы.
Как и раньше, сведения об указанных вами сценариях, запускаемых автоматически, записываются как в реестр, так и в специальный файл файловой системы.
Сведения о сценариях, автоматически запускаемых для пользователя, хранятся в файле scripts.ini каталога %systemroot%\System32\GroupPolicy\ User \ Scripts. Сведения о сценариях, автоматически запускаемых для всех пользователей, хранятся в файле scripts.ini каталога %systemroot%\System32\ GroupPolicy\Machine\Scripts. Оба этих
Сведения о запускаемых сценариях хранятся в подразделах ветвей системного реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Group Policy\Scripts и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Group PolicyXScripts.
Групповые политики настройки выполнения сценариев. Операционная система Windows Vista содержит специальные групповые политики для настройки выполнения сценариев. Все они расположены в подразделе Конфигурация компьютера → Административные шаблоны → Система → Сценарии и описаны в файле Scripts. admx. Например, в данном подразделе можно встретить следующие групповые политики (все они влияют на параметры типа REGDWORD, расположенные в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Pol icies\ System).
• Allow-LogonScript-NetbiosDisabled – если значение данного параметра равно 1, то пользовательские сценарии входа будут выполняться даже в том случае, если во время входа в перекрестный лес NetBIOS и WINS отключены и DNS-серверы не настроены.
• MaxGPOScriptWait – значение данного параметра определяет максимальное время (в секундах), которое могут выполняться сценарии входа и выхода, и может принимать значения от 1 до 32 000 секунд. По умолчанию сценарии могут выполняться не более десяти минут.
• RunLogonScriptSync – если значение данного параметра равно 1, то все пользовательские сценарии входа в систему будут выполняться синхронно с самим процессом входа. Иными словами, пока сценарии не будут выполнены, оболочка пользователя отображена не будет. По умолчанию сценарии выполняются асинхронно. Этот параметр находится и в ветви реестра корневого раздела HKEY_CURRENT_USER.
• HideShutdownScripts – при установке значения этого параметра равным С сценарии, которые выполняются при завершении работы операционной системы, будут отображаться на экране. По умолчанию сведения об их выполнении не отображаются. Этот параметр находится и в ветви реестра корневого раздела HKEY_CURRENT_USER.
• RunStartupScriptSync – если значение данного параметра равно 0, то все сценарии входа в систему будут выполняться асинхронно по отношению друг к другу. Иначе говоря, пока не будет выполнен один сценарий, второй выполняться не будет. По умолчанию сценарии выполняются асинхронно.
• HideStartupScripts – при установке значения этого параметра равным С сценарии, которые выполняются при входе в систему синхронно, будут отображаться в окне командной строки. По умолчанию сведения об их выполнении не отображаются. Этот параметр находится и в ветви реестра корневого раздела HKEY_CURRENT_USER.Подраздел Настройка Internet Explorer
Совершенно не изменился и подраздел Настройка Internet Explorer раздела Политика «Локальный компьютер» → Конфигурация пользователя → Конфигурация Windows. Как и раньше, он содержит следующие подразделы.
• Пользовательский интерфейс обозревателя – позволяет настроить такие элементы окна браузера Internet Explorer, как заголовок окна (подраздел Заголовок обозревателя), файлы изображений для фона панели инструментов браузера, а также позволяет добавить собственные кнопки к панели инструментов (подраздел Настройка панели инструментов). Кроме того, с помощью данного подраздела можно изменить файлы изображений для статического и динамического логотипов браузера Internet Explorer (подраздел Эмблема и анимированные рисунки). Следует только понимать, что при использовании нового интерфейса операционной системы вообще не существует такого понятия, как логотип или изображение панели инструментов, поэтому, для того чтобы увидеть изменения, нужно работать в операционной системе Windows Vista с интерфейсом ранних версий операционной системы.
Все параметры, изменяемые с помощью данного подраздела, записываются в текстовый файл install. ins (по умолчанию изменять данный файл могут только администраторы и система), расположенный в каталоге %systemroot%\ system32\GroupPolicy\User\MICROSOFT\IEAK. Сами же измененные параметры записываются в реестр с помощью процесса svchost.ехе, запущенного с правами системы.
• Подключение – дает возможность настроить следующие параметры браузера Internet Explorer:
– строку, добавляемую к строке User-Agent, идентифицирующей обозреватель (подраздел Строка обозревателя);
– используемые для подключения к Интернету адреса и порты прокси-сервера (подраздел Параметры прокси-сервера);
– адрес компьютера, который содержит сценарии (INS-файл для настройки параметров обозревателя и JS-сценарий для настройки прокси) для автоматической настройки обозревателя через определенный промежуток времени (подраздел Автоматическая настройка обозревателя).
С помощью данного подраздела можно также экспортировать настройки, изменяемые с помощью вкладки Подключения окна Свойства: Интернет, в файлы, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\ MICROSOFT\IEAK\BRANDING\cs, чтобы впоследствии содержимое этих файлов автоматически импортировалось в браузер Internet Explorer.
• URL-адреса – позволяет настроить содержимое папок Избранное и Ссылки (подраздел Избранное и ссылки), а также изменить такие стандартные адреса браузера Internet Explorer, как адрес домашней страницы, панели поиска и страницы поддержки (подраздел Важные URL-адреса).
• Безопасность – дает возможность экспортировать настройки зон Интернета и настройки ограничений браузера (Ratings) в INF-файлы, чтобы впоследствии содержимое этих файлов автоматически импортировалось в браузер Internet Explorer (подраздел Зоны безопасности и оценка содержимого). Зоны безопасности экспортируются в файлы seczones. inf и seczrsop. inf, расположенные в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\ IEAK\BRANDING\ZONES, а параметры ограничений браузера экспортируются в INF-файлы ratings, inf и ratrsop.inf каталога %systemroot%\system32\GroupPolicy\User\MICROSOFT\IEAK\BRANDING\RATINGS. С помощью этого подраздела можно также экспортировать параметры настройки сертификатов доверенных издателей и доверенных агентств выдачи сертификатов (подраздел Параметры Authenticode).
• Программы – позволяет выполнить экспортирование параметров из вкладки Программы окна Свойства: Интернет в файл programs. inf, расположенный в каталоге %systemroot%\system32\GroupPolicy\User\MICROSOFT\ IEAK\BRANDING\PROGRAMS, чтобы впоследствии содержимое этого файла автоматически импортировалось в браузер Internet Explorer.