Управління через реєстр Windows

Потенційні місця розташування троянських програм:
KLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit (REG_SZ)
KLMSoftwareMicrosoftWindowsCurrentVersionRun… (REG_SZ)
KLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonSystem (REG_SZ)
В
першому і другому випадку зазначені в ключах додатки запускаються в контексті поточного користувача, в третьому — від імені системи (System). Має сенс регулярно перевіряти ці розділи Реєстру на наявність троянців.
Очищення файлу підкачки при перезавантаженні:
HKLMSYSTEMCurrentControlSetControlSession ManagerMemory ManagementClearPageFileAtShutdown
Файл
довантаження, в який потенційно можуть потрапити незашифровані акаунти
і паролі, буде очищатися при кожному перезавантаженні, якщо параметру
присвоєно значення 1 (REG_DWORD).
Усунення помилки прав доступу у списку системних DLL
HKLMSystemCurrentControlSetControlSession ManagerProtection Mode
Усувається
можливість атаки із застосуванням троянських DLL, і, як наслідок,
отримання прав адміністратора. Потрібно встановити параметр 1
(REG_DWORD).
Заборона перезавантаження і вимикання комп’ютера без локального входу в систему:
KLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShutdownWithoutLogon
Установка
ключа 0 (REG_SZ) дозволяє заборонити завершення роботи системи
(кнопка “Shutdown” у вікні Logon стає недоступною і забарвлюється
сірим кольором).
Обмеження доступу на перегляд журналів подій користувачам групи Guest:
HKLMSystemCurrentControlSetServicesEventLogSystemRestrictGuessAccess
HKLMSystemCurrentControlSetServicesEventLogSecurityRestrictGuessAccess
HKLMSystemCurrentControlSetServicesEventLogApplicationRestrictGuessAccess
Створення ключів із значенням 1 (REG_DWORD) обмежує доступ до Журналу подій (EventLog).
Зміна місцезнаходження файлів Журналу подій на жорсткому диску:
HKLMSystemCurrentControlSetServicesEventLogSystemFile
HKLMSystemCurrentControlSetServicesEventLogSecurityFile
HKLMSystemCurrentControlSetServicesEventLogApplicationFile
Переклад
log-файлів в інший каталог на диску з допомогою ключа File (REG_SZ)
може утруднити зломщикові їх навмисну модифікацію.
Додатковий захист локального входу:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDontDisplayLastUserName
Коли
цей ключ встановлений в 1 (REG_SZ), знищується інформація про останньому
зареєстрованого користувача (очищається рядок Login в дилоговом
вікно Logon process).
“Приховування” сервера в списках мережевого оточення (Network Neightborhood):
HKLMSystemCurentControlSetServicesLanman ServerParametersHidden
Присвоєння
ключу значення 1 (REG_DWORD) приховує ім’я сервера. Комп’ютер перестає
відображатися у списках, що формуються основними браузерами домену,
хоча його ресурси і раніше доступні всім, хто його знає
безпосередній адресу.
Зміна прав на редагування Реєстру:
HKLMSystemCurentControlSetControlSecurePipeServers
Зміна
за допомогою програми regedt32.exe права доступу до цього розділу
дозволяє налаштувати політику безпеки для віддаленого редагування
Реєстру. За замовчуванням редагування дозволено лише членам групи
Administrators.
Відключення нульовою сесії:
HKLMSystemCurentControlSetControlLsaRestrictAnonymous (REG_DWORD)
Присвоєння
цьому ключу значення 1 забороняє з’єднання з ресурсами комп’ютера без
обов’язковій реєстрації. Зокрема, це виключає читання списку
облікових записів і їх описів (description).
Знищення поділюваних ресурсів адміністратора:
HKLMSystemCurentControlSetServicesLanmanServerParametersAutoShareServer (REG_DWORD)
HKLMSystemCurentControlSetServicesLanmanServerParametersAutoShareWks (REG_DWORD)
Установка
цих ключів 0 (перший, відповідно, для NT Server, другий — для
NT Workstation) виключає адміністратору мережевий доступ до ресурсів виду
\Ім’я комп’ютераC$, D$, …, ADMIN$. (Надіслав Дмитро Артюхін).
Частина друга
В
цій замітці мова піде про ключах, прямо не впливають на безпеку
комп’ютера, проте вельми корисних для мережевого адміністратора.
Поділ процесів 16-розрядної підсистеми Windows NT
HKLMSystemCurentControlSetControlWOWDefaultSeparateVDM
Присвоєння
ключу значення “yes” (REG_SZ) дозволяє запускати 16-розрядні
додатки в ізольованих віртуальних машинах, що підвищує
відмовостійкість ОС, але забирає багато ресурсів.
Заборона автозапуску компакт-дисків:
HKLMSystemCurentControlSetServicesCdromAutorun
Установка параметра 0 (REG_DWORD) забороняє системі аналіз файл autorun.inf на компакт-дисках.
Змінні оточення для всіх користувачів:
HKLMSystemCurrentControlSetControlSession ManagerEnvironment
Можна
відредагувати встановлюються за замовчуванням змінні оточення, якщо
змінити необхідні ключі (REG_SZ) у цьому розділі.
Видача повідомлення при локальній реєстрації в системі:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonLegalNoticeCaption (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonLegalNoticeText (REG_SZ)
В
значення першого ключа введіть заголовок, а в якості
другого, відповідно, текст повідомлення. Ця інформація може бути
прочитана користувачем, реєструючих локально.
Автом. почат. сеансу в системі:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonAutoAdminLogon (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultUserName (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultPassword (REG_SZ)
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonDefaultDomainName (REG_SZ)
Потрібно
присвоїти першому ключу значення 1, іншим — відповідно ім’я
користувача, пароль і домен. Пам’ятайте, що використання
автореєстрації потенційно небезпечно, так як ці значення зберігаються в
Реєстрі у відкритому вигляді і можуть бути викрадені локально або через мережу.
Шлях до файлів дистрибутива за замовчуванням:
HKLMSoftwareMicrosoftWindows NTCurrentVersionSourcePath
Цей
шлях (REG_SZ) можна змінити, щоб кожен раз при установці
компонентів з дистрибутива Windows NT не потрібно набирати його
заново.
Редагування параметрів запуску сервісів:
HKLMSYSTEMCurrentControlSetServices[servicename]Start
Всередині
цього розділу Реєстру знаходяться підключи, відповідні всім
встановленим сервісів. Можна змінювати споvсоб їх запуску за допомогою
параметр Start (REG_DWORD):
* 0 (Boot) – завантажувач – ядро операційної системи;
* 1 (System) – завантажується при ініціалізації ядра;
* 2 (Automatic) – автоматично запускається менеджером Service Control Manager;
* 3 (Manual) – запускається користувачем вручну;
* 4 (Disabled) – відключено.
Зняття і установка пароля для екранних заставок:
HKUDefaultControl PanelDesktopScreenSaveIsSecure
Щоб
екранні заставки запитували пароль, встановіть параметр в 1 (REG_SZ).
Значення діє на профіль “Default”, тобто на всіх користувачів.
Відключення коротких імен 8.3:
HKLMSystemCurrentControlSetControlFileSystemNtfsDisable8dot3NameCreation (REG_DWORD)
Механізм
створення коротких імен файлів використовується в цілях сумісності з
старими 16-бітними додатками. Якщо ви не використовуєте такі
додатки, привласніть цьому ключу значення 1 — це дозволяє підняти
продуктивність NTFS.
Управління включенням режиму NumLock:
HKCUControl PanelKeyboardInitialKeyboardIndicators
Джерело