Книга: Недокументированные и малоизвестные возможности Windows XP
Локальные политики
Локальные политики
Раздел Локальные политики содержит три политики: Политика аудита, Назначение прав пользователя и Параметры безопасности.
? Политика аудита — позволяет определить события, факты происхождения которых будут записываться в журнал Безопасность оснастки Просмотр событий. Можно указать запись в журнал Безопасность сведений об успешных или неудачных попытках выполнения следующих операций: вход в систему, доступ к объектам, имеющим собственный SACL (например, к принтерам, файлам, папкам), доступ к каталогам Active Directory и других. Для шаблона безопасности Setup security все события аудита, кроме аудита доступа к службе каталога (этот аудит не определен), отключены.
? Назначение прав пользователя — с помощью данной политики можно определить права различных пользователей или групп пользователей на выполнение различных операций с объектами и компонентами операционной системы. Например, с помощью этой политики можно определить пользователей, которым разрешено входить локально в систему, разрешено входить в систему через службу терминалов, разрешено выполнять архивирование файлов и каталогов и т.д.
? Параметры безопасности — с помощью данной политики можно настроить очень многие параметры реестра, относящиеся к безопасности компьютера. Довольно часто в Интернете можно прочитать советы об изменении тех или иных параметров реестра, настраивающих безопасность компьютера. Многие из параметров, указанных в таких советах, можно изменить и с помощью политики Параметры безопасности. Например, к наиболее часто упоминаемым в Интернете способам настройки безопасности с помощью реестра, которые также можно изменить и с помощью политики Параметры безопасности, относятся следующие.
• Очистка файла подкачки pagefile.sys при завершении работы компьютера. Для шаблона Setup security данное правило отключено.
• Сообщение, отображаемое перед входом пользователя в систему. Для шаблона Setup security данное правило не определено.
• Посылать незашифрованный пароль сторонним SMB-серверам. Для шаблона Setup security данное правило отключено.
• Запретить изменение паролей учетных записей пользователей. Для шаблона Setup security данное правило не определено.
• Пути в реестре, доступные через удаленное подключение. Для шаблона Setup security данное правило не определено.
• Разрешить анонимный доступ к общим ресурсам. Для шаблона Setup security данное правило не определено.
• Отключение или переименование учетных записей администратора и гостя. Для шаблона Setup security эти правила не определены (кроме отключения учетной записи гостя, по умолчанию эта запись отключена).
При этом большинство правил списка Параметры безопасности хранятся в реестре (то есть вы и сами можете добавить к данному списку свои правила изменения параметров реестра, чтобы изменять их с помощью шаблона безопасности). Для этого предназначена ветвь реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSeCEditReg Values. Она содержит разделы, названия которых соответствуют пути к изменяемому правилом параметру реестра (данный путь должен начинаться не с корневого раздела ветви, а с класса, в котором хранится объект операционной системы (операционная система Windows XP является объектно-ориентированной), например класс Machine определяет корневой раздел HKEY_LOCAL_MACHINE). Эти разделы хранят следующие параметры.
? DisplayChoices — этот параметр строкового типа определяет описание возможного состояния правила (если для установки правила используется список состояний), а также значение, которое будет присваиваться параметру при установке соответствующего состояния правила.
? DisplayName — параметр строкового типа, определяет название правила, отображаемое в списке политики Параметры безопасности.
? DisplayType — этот параметр DWORD-типа определяет способ указания состояния правила. Параметр может принимать следующие значения:
• 1 — отобразить счетчик для указания состояния правила;
• 2 — поле для ввода значения;
• 3 — раскрывающийся список (для выбора возможного состояния из списка);
• 4 — список для выбора состояния;
• 6 — два флажка, с помощью которых можно включить или отключить правило.
? ValueType — этот параметр DWORD-типа определяет тип изменяемого данным правилом параметра реестра. Возможные значения:
• 1 — строковый тип параметра;
• 3 — тип параметра REG_BINARY;
• 4 — тип параметра REG_DWORD;
• 7 — тип параметра REG_MULTI_SZ.
На рис. 11.11 можно видеть пример описания правила в реестре.
Рис. 11.11. Хранение правил политики Параметры безопасности
- 10.4. Локальные сети
- 12.5. Нелокальные переходы
- Формирование политики по умолчанию
- Политики безопасности для сценариев WSH
- Применение к сценариям WSH политики ограниченного использования программ
- Локальные области хранения потоков
- Редактор объекта групповой политики
- Политики учетных записей
- Уровни политики: машина, пользователь и предприятие
- Основные положения политики обучения и развития торговой сети
- 22.7. Локальные группы пользователей Ruby
- ЛОКАЛЬНЫЕ ПЕРЕМЕННЫЕ