Управление Windows через реестр
Потенциальные места расположения троянских программ:
KLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit (REG_SZ)
KLM\Software\Microsoft\Windows\CurrentVersion\Run\... (REG_SZ)
KLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\System (REG_SZ)
В
первом и втором случае указанные в ключах приложения запускаются в контексте текущего пользователя, в третьем -- от имени системы (System). Имеет смысл регулярно проверять эти разделы Реестра на наличие троянцев.
Очистка файла подкачки при перезагрузке:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown
Файл
подкачки, в который потенциально могут попасть незашифрованные аккаунты
и пароли, будет очищаться при каждой перезагрузке, если параметру
присвоено значение 1 (REG_DWORD).
Устранение ошибки прав доступа в списке системных DLL
HKLM\System\CurrentControlSet\Control\Session Manager\Protection Mode
Устраняется
возможность атаки с применением троянских DLL, и, как следствие,
получения прав администратора. Требуется установить параметр в 1
(REG_DWORD).
Запрет перезагрузки и выключения компьютера без локального входа в систему:
KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ShutdownWithoutLogon
Установка
ключа в 0 (REG_SZ) позволяет запретить завершение работы системы
(кнопка "Shutdown" в окне Logon становится недоступной и окрашивается
серым цветом).
Ограничение доступа на просмотр журналов событий пользователям группы Guest:
HKLM\System\CurrentControlSet\Services\EventLog\System\RestrictGuessAccess
HKLM\System\CurrentControlSet\Services\EventLog\Security\RestrictGuessAccess
HKLM\System\CurrentControlSet\Services\EventLog\Application\RestrictGuessAccess
Создание ключей со значением 1 (REG_DWORD) ограничивает доступ к Журналу событий (EventLog).
Изменение местонахождения файлов Журнала событий на жестком диске:
HKLM\System\CurrentControlSet\Services\EventLog\System\File
HKLM\System\CurrentControlSet\Services\EventLog\Security\File
HKLM\System\CurrentControlSet\Services\EventLog\Application\File
Перевод
log-файлов в другой каталог на диске с помощью ключа File (REG_SZ)
может затруднить взломщику их умышленную модификацию.
Дополнительная защита локального входа:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\DontDisplayLastUserName
Когда
этот ключ установлен в 1 (REG_SZ), уничтожается информация о последнем
зарегистрированном пользователе (очищается строка Login в дилоговом
окне Logon process).
"Сокрытие" сервера в списках сетевого окружения (Network Neightborhood):
HKLM\System\CurentControlSet\Services\Lanman Server\Parameters\Hidden
Присвоение
ключу значения 1 (REG_DWORD) скрывает имя сервера. Компьютер перестает
отображаться в списках, формируемых основными обозревателями домена,
хотя его ресурсы по-прежнему доступны всем, кто знает его
непосредственный адрес.
Изменение прав на редактирование Реестра:
HKLM\System\CurentControlSet\Control\SecurePipeServers
Изменение
при помощи программы regedt32.exe прав доступа к этому разделу
позволяет настроить политику безопасности для удаленного редактирования
Реестра. По умолчанию редактирование разрешено только членам группы
Administrators.
Отключение нулевой сессии:
HKLM\System\CurentControlSet\Control\Lsa\RestrictAnonymous (REG_DWORD)
Присвоение
этому ключу значения 1 запрещает соединение с ресурсами компьютера без
обязательной регистрации. В частности, это исключает чтение списка
учетных записей и их описаний (descriptions).
Уничтожение разделяемых ресурсов администратора:
HKLM\System\CurentControlSet\Services\LanmanServer\Parameters\AutoShareServer (REG_DWORD)
HKLM\System\CurentControlSet\Services\LanmanServer\Parameters\AutoShareWks (REG_DWORD)
Установка
этих ключей в 0 (первый, соответственно, для NT Server, второй -- для
NT Workstation) исключает администратору сетевой доступ к ресурсам вида
\\ComputerName\C$, D$, ..., ADMIN$. (Прислал Дмитрий Артюхин).
Часть вторая
В
этой заметке речь пойдет о ключах, прямо не влияющих на безопасность
компьютера, однако весьма полезных для сетевого администратора.
Разделение процессов 16-разрядной подсистемы Windows NT
HKLM\System\CurentControlSet\Control\WOW\DefaultSeparateVDM
Присвоение
ключу значения "yes" (REG_SZ) позволяет запускать 16-разрядные
приложения в изолированных виртуальных машинах, что повышает
отказоустойчивость ОС, но отнимает много ресурсов.
Запрет автозапуска компакт-дисков:
HKLM\System\CurentControlSet\Services\Cdrom\Autorun
Установка параметра в 0 (REG_DWORD) запрещает системе анализ файла autorun.inf на компакт-дисках.
Переменные окружения для всех пользователей:
HKLM\System\CurrentControlSet\Control\Session Manager\Environment
Можно
отредактировать устанавливаемые по умолчанию переменные окружения, если
изменить необходимые ключи (REG_SZ) в этом разделе.
Выдача сообщения при локальной регистрации в системе:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\LegalNoticeCaption (REG_SZ)
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\LegalNoticeText (REG_SZ)
В
качестве значения первого ключа укажите заголовок, а в качестве
второго, соответственно, текст сообщения. Эта информация может быть
прочитана пользователем, регистрирующимся локально.
Авторегистрация в системе:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\AutoAdminLogon (REG_SZ)
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\DefaultUserName (REG_SZ)
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\DefaultPassword (REG_SZ)
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\DefaultDomainName (REG_SZ)
Требуется
присвоить первому ключу значение 1, остальным -- соответственно имя
пользователя, пароль и домен. Помните, что использование
авторегистрации потенциально опасно, так как эти значения хранятся в
Реестре в открытом виде и могут быть похищены локально или через сеть.
Путь к файлам дистрибутива по умолчанию:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\SourcePath
Этот
путь (REG_SZ) можно изменить, чтобы каждый раз при установке
компонентов из дистрибутива Windows NT не требовалось набирать его
заново.
Редактирование параметров запуска сервисов:
HKLM\SYSTEM\CurrentControlSet\Services\[servicename]\Start
Внутри
этого раздела Реестра находятся подключи, соответствующие всем
установленным сервисам. Можно изменять споvсоб их запуска посредством
параметра Start (REG_DWORD):
* 0 (Boot) - загрузчик - ядро операционной системы;
* 1 (System) - загружается при инициализации ядра;
* 2 (Automatic) - автоматически запускается менеджером Service Control Manager;
* 3 (Manual) - запускается пользователем вручную;
* 4 (Disabled) - отключен.
Снятие и установка пароля для экранных заставок:
HKU\Default\Control Panel\Desktop\ScreenSaveIsSecure
Чтобы
экранные заставки спрашивали пароль, установите параметр в 1 (REG_SZ).
Значение действует на профиль "Default", то есть на всех пользователей.
Отключение коротких имен 8.3:
HKLM\System\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation (REG_DWORD)
Механизм
создания коротких имен для файлов используется в целях совместимости со
старыми 16-битными приложениями. Если вы не используете такие
приложения, присвойте этому ключу значение 1 -- это позволяет поднять
производительность NTFS.
Управление включением режима NumLock:
HKCU\Control Panel\Keyboard\InitialKeyboardIndicators
Источник