Защита реестра
Реестр (registry) Windows NT — это централизованная база данных, уникальная для каждого компьютера с данной операционной системой. В нем хранятся конфигурационные параметры для всех компонентов системы, включая установки оборудования, драйверов устройств, сетевых протоколов и плат адаптеров. Там же содержится информация об установленных в системе приложениях и пользователях Windows NT.
В этой главе мы поговорим о:
структуре реестра, механизмах его формирования и характере хранящейся в нем информации;
том, как регулируется доступ пользователей Windows NT к разделам реестра;
способах защиты реестра от доступа пользователей, работающих на компьютере интерактивно;
методах защиты реестра от удаленного доступа по сети;
настройке режима регистрации (аудита) изменений, вносимых в системный реестр.
Структура реестра
Управление более старыми системами фирмы Microsoft (вроде Windows 3.1 или Windows for Workgroups) и работающими в них приложениями осуществлялось обычно установкой значений для параметров, хранящихся в текстовых файлах. Такие файлы с расширением .INI создавала практически каждая программа на компьютере. Следить за этими файлами и их модифицировать для системного администратора было весьма непросто. Поэтому разработчики операционной системы Windows NT решили отказаться от INI-файлов и создать единую унифицированную структуру данных для хранения параметров и самой операционной системы, и ее приложений. Эта структура и получила название реестра.
Каждый компонент Windows NT (служба, драйвер или определенная программа) сохраняет все необходимые для его нормальной работы параметры и установки в отдельной части реестра. Такие части называются разделами (keys), и в целом они аналогичны отдельным секциям (т.е. частям, которые начинаются с ключевого слова в квадратных скобках) INI-файлов системы Windows 3.1. В раздел записываются параметры (values), различающиеся своими названиями. Каждый из параметров имеет тип (value type), в соответствии с которым может принимать то или иное значение (value data). В языках программирования параметры реестра аналогичны переменным программы, также имеющим имя, тип и значение.
Рис. 6-1. Иерархическая структура реестра Windows NT.
Секции INI-файлов не могли включать в себя вложенные секции. А вот разделы реестра Windows NT могут иметь подразделы (subkeys). Поэтому реестр представляет собой иерархическую древовидную структуру (рис. 6-1). На ее верхнем уровне располагаются так называемые ветви (subtrees). В версии 4.0 этих ветвей пять:
- HKEY_LOCAL_MACHINE;
- HKEYJJSERS;
- HKEY_CLASSES_ROOT;
- HKEY_CURRENT_CONFIG;
- HKEY_CURRENT_USER.
Однако не все из них независимы друг от друга. На самом деле основными ветвями являются лишь первые две — остальные представляют собой их подразделы и служат для более быстрого доступа к содержащимся в них параметрам.
Управление системой через реестр
Изменения в настройках драйверов, сетевых протоколов, служб или установленных в системе приложений приводят к модификации параметров тех разделов реестра, которые относятся к соответствующему аппаратному или программному компоненту. Например, если администратор Windows NT в диалоговом окне Networkиз Панели управления поменяет порядок привязки сетевых протоколов к службе сервера, то эти изменения будут сохранены в параметрах раздела CurrentControlSet\ Services\LanmanServer\Linkage ветви HKEY_LOCAL_MACHINE. А если пользователь с помощью программы System из той же Панели управления захочет установить значение какой-либо переменной окружения (environment variable), то соответствующий этой переменной параметр появится в разделе Environment ветви HKEY_CURRENT_USER. Таким образом, управление системой Windows NT осуществляется путем изменения значений тех или иных параметров реестра.
Чаще всего реестр модифицируют косвенно, поскольку это не требует от системного администратора дополнительных знаний о конкретных параметрах: как они должны называться, в какой раздел помещены и какие значения могут принимать. Примером косвенной работы с реестром могут служить изменения настроек в программах Панели управления или в Редакторе системной политики POLEDIT (в режиме редактирования реестра). Какие параметры реестра изменятся при использовании Редактора системной политики, зависит от его настройки, а точнее от содержимого текстовых файлов WINNT.ADM и COMMON.ADM.
Программа REGEDT32 (и близкая к ней по назначению REGEDIT) позволяет получить практически неограниченный доступ к любой части реестра. В этой программе системный администратор имеет дело с разделами и параметрами реестра в том виде, в каком они хранятся и применяются операционной системой или приложениями. Поэтому пользоваться Редактором реестра рекомендуется с большой осторожностью.
Основные кусты реестра
Реестр формируется в памяти компьютера при запуске системы Windows NT. При этом используются несколько файлов из папки \winnt_ root\System32\Config (winnt_root— название папки, где была установлена операционная система, например WINNT). Разделы реестра, которым соответствуют эти файлы, называются кустами (hives). Основные кусты реестра находятся в ветви HKEY_LOCAL_MACHINE и называются SАМ, SECURITY, SOFTWARE и SYSTEM (рис. 6-2). Первые два используются системой безопасности Windows NT: раздел SAM — не что иное, как база данных диспетчера учетных записей, a SECURITY хранит информацию, используемую локальным администратором безопасности (LSA). В кусте SOFTWARE хранятся настройки программного обеспечения того или иного производителя, а в SYSTEM — конфигурационная информация (параметры драйверов и служб), необходимая для загрузки операционной системы.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.