12. Управление безопасностью

 

Управление безопасностью

Редактор Regedt32, в отличие от Regedit, позволяет обеспечить безопасность реестра. Функции защиты реестра и установки аудита на доступ к реестру устанавливаются при помощи функций меню Безопасность (Security) редактор Regedt32.

Установка прав доступа к разделам реестра. Команда Разрешения (Permissions) из меню Безопасность используется для просмотра и установления

прав доступа к разделам реестра. Права доступа к разделам реестра можно назначать вне зависимости от типа файловой системы на разделе, где содержатся файлы Windows NT/2000.

Предупреждение

Изменение прав доступа к разделу реестра может иметь серьезные последствия. Например, если вы установите права доступа типа запретить полный доступ или запретить чтение (No Access) на раздел, необходимый для конфигурирования сети с помощью опции Сеть и удаленный доступ к сети из панели управления, то эта опция работать не будет. Права полного доступа (Full Access) к разделам реестра должны иметь, как минимум, члены группы Администраторы и сама операционная система (System). Такая установка прав доступа позволяет гарантировать возможность восстановления раздела реестра администратором при запуске системы.

Поскольку установка ограничений по правам доступа к разделам реестра может иметь серьезные последствия, зарезервируйте эту меру для разделов, добавляемых вами с целью настройки отдельных индивидуально разработанных приложений или иных видов индивидуальной настройки. Изменив права доступа к разделам реестра, обязательно установите в системе аудит, а затем проведите наблюдения за различными видами системной активности, регистрируясь в системе с использованием различных пользовательских и административных учетных записей.

Примечание

Для того чтобы получить возможность выполнить эти действия, необходимо зарегистрироваться в системе от имени пользователя, имеющего административные права.

В Regedt32 команды из меню Безопасность по назначению разделам реестра прав владельца и прав доступа работают по такому же принципу, как и аналогичные команды Проводника по установке прав доступа к файлам и каталогам на разделах NTFS (используется обычный редактор списков управления доступом, ACL). Чтобы установить права доступа к конкретному разделу реестра проделайте следующее:

1. Перед внесением изменений выполните резервное копирование тех разделов реестра, на которые будут устанавливаться права доступа.
2. Выделите раздел, на который собираетесь установить права доступа. После этого выберите команду Разрешения меню Безопасность.
3. В открывшемся диалоговом окне Разрешения для (Permissions for) (рис. 14.7) установите нужные права доступа, выбрав флажки в поле Разрешения (Permissions). Права доступа, которые можно установить, перечислены в табл. 14.5.

Таблица 14.5. Права Доступа к разделам реестра

Тип доступа

Описание

Чтение (Read)

Позволяет пользователям, внесенным в список, просматривать содержимое раздела реестра, не позволяя сохранять изменения

Полный доступ (Full Control)

Позволяет пользователям, внесенным в список, получать доступ к разделу, редактировать его содержимое и изменять к нему уровень прав доступа

 

Рис. 14.7. Диалоговое окно Разрешения для (Permissions for)

Можно также установить аудит на доступ к реестру.

При нажатии кнопки Дополнительно (Advanced) раскрывается диалоговое окно Параметры управления доступом (Access Control Settings), в котором можно установить более "тонкие" разрешения для отдельных пользователей или групп, включить аудит и сменить владельца выбранного раздела реестра.

Чтобы выбрать особые разрешения для некоторого пользователя или группы, нужно в окне Параметры управления доступом выделить нужную строку в списке Элементы разрешении (Permissions Entry) и нажать кнопку Показать/Изменить (View/Edit). Появится окно, где можно выбрать требуемые разрешения, устанавливая или сбрасывая соответствующие флажки (рис. 14.8).

Окно Элемент разрешения для содержит десять различных флажков, позволяющих устанавливать различные права доступа к разделам реестра. Краткое

описание этих флажков и устанавливаемых с их помощью прав приведены в табл. 14.6.

Рис. 14.8. Диалоговое окно Эл емент разрешения для (Permission Entry for) позволяет установить индивидуальный набор прав доступа к разделу реестра, назначаемых конкретному пользователю или группе

Таблица 14.6. Флажки диалогового окна Элемент разрешения для

Флажок

Назначаемые права

Запрос значения

(Query Value)

Дает право чтения значимых элементов из раздела реестра

Задание значения

(Set Value)

Дает право модифицировать значимый элемент в разделе реестра

Создание подраздела (Create Subkey)

Дает право создавать подразделы в выбранном разделе реестра

Перечисление подразделов (Enumerate Subkey)

Дает право идентифицировать подразделы выбранного раздела реестра

Уведомление (Notify)

Дает право установить аудит на разделы реестра

Создание связи

(Create Link)

Дает право создавать символические ссылки в конкретном подразделе реестра

Удаление (Delete)

Дает право удаления выделенного раздела

Запись DAC

(Write DAC)

Дает право получать доступ к разделу и создавать/модифицировать для него Список управления доступом (Access Control List, ACL)

Смена владельца

(Write Owner)

Дает право присвоения прав владельца данного раздела

Чтение разрешений

(Read Control)

Дает право просматривать параметры безопасности, установленные для данного раздела

Как системный администратор, вы можете присвоить себе права владельца на раздел реестра и ограничить доступ, к этому разделу. Чтобы присвоить себе права владельца на раздел реестра, выберите в окне Параметры управления доступом вкладку Владелец (Owner), в поле Изменить владельца на (Change owner to) укажите нужного пользователя или группу и нажмите кнопку Применить (Apply).

Пользователь, зарегистрировавшийся на компьютере с правами администратора, может присвоить себе права владельца на любой раздел реестра. Однако если администратор будет иметь права владельца на раздел без прав полного доступа, то раздел не может быть возвращен первоначальному владельцу, а в журнале аудита появится соответствующее сообщение.

Аудит действий в отношении реестра. Чтобы установить аудит на действия в отношении реестра, необходимо выполнить следующие действия:

С помощью оснастки Групповая политика (Group Policy) активизировать в системе политику аудита — аудит доступа к объектам.
Указать пользователей и группы, за действиями которых в отношении выбранных разделов реестра требуется установить аудит. Воспользуйтесь для этого вкладкой Аудит (Auditing) в окне Параметры управления доступом редактора реестра Regedt32.
Результаты аудита просматривайте в Журнале безопасности (Security log) с помощью оснастки Просмотр событий (Event Viewer).

Чтобы иметь возможность выполнить любое из указанных выше действий, необходимо зарегистрироваться на компьютере с использованием учетной записи из группы Администраторы. Политика аудита может устанавливаться локально или с помощью групповых политик домена.

Примечание

Если при установке аудита выбрать опцию Успех (Success) для событий доступа к объектам, то в системном журнале может появляться большое количество записей, не имеющих большой практической значимости. Поэтому нужно либо выбрать опцию Отказ (Failure), либо регистрировать успешные попытки выполнения отдельных критических операций типа изменения значения параметра, удаления/добавления разделов и т. п.

 

14.4.gif

Изображение: 

14.5.gif

Изображение: