Тип доступа к разделу, обозначенный в редакторе реестра как Read, соответствует набору прав Q + E + N + R, тип доступа Full Control позволяет выполнять любые действия с данным разделом. Довольно часто в списке присутствуют записи с набором прав Q+S +C +E +N +D + R. Этот набор примерно соответствует типу доступа Change в случае файловой системы NTFS.
Для просмотра значений параметров тех или иных разделов реестра и списков прав доступа к разделам системный администратор может использовать программу REGEDT32. Однако некоторые программы независимых поставщиков существенно облегчают эту работу и позволяют выводить нужную информацию в более удобном для анализа виде. Из числа таких программ отметим уже упоминавшуюся ранее DUMPACL фирмы Somarsoft и DUMPREG этой же фирмы.
В наборе Resource Kit для Windows NT также имеется ряд программ (и с графическим интерфейсом, и запускаемых из командной строки) для работы с системным реестром. Например, запускаемая из командной строки программа SECADD позволяет удалить группу Everyone из списков прав доступа выбранного раздела реестра локального или удаленного компьютера. С ее помощью можно также разрешить пользователю или группе Windows NT доступ на чтение к указанному в командной строке разделу.
Примечание Подробнее о дополнительных программах для работы с реестром см. приложение 2. |
Права доступа по умолчанию
Разрешения на доступ к разделам реестра, установленные в системе Windows NT по умолчанию, не позволяют обычным пользователям модифицировать его части, наиболее важные для функционирования самой операционной системы, ее системы безопасности и большинства приложений. Некоторые разделы ветви HKEY_LOCAL_MACHINE, в частности SAM и SECURITY, по умолчанию недоступны для просмотра и модификации даже администратору (хотя последний может просмотреть и изменить список прав доступа к ним).
Однако для ряда разделов реестра разрешения, с точки зрения безопасности, недостаточно жестки. В первую очередь это относится к разделам, в списках прав доступа которых наличествует группа Everyone [часто с типом доступа Full Control или набором прав Q+S+C+E+N+ D + R, включающим права на модификацию (S) и удаление (D) параметров или всего раздела]. Такие разрешения дают взломщику возможность получить доступ к отдельным частям реестра локального или удаленного компьютера как для чтения находящейся в них информации, так и для ее модификации. Причем удаленное подключение такого рода можно осуществить и применив учетную запись пользователя Guest (если она не заблокирована), и с помощью анонимного входа.
Необходимо также учитывать наличие в списках прав доступа к определенным разделам реестра и записей для группы INTERACTIVE. Напомним: в эту специальную группу автоматически попадает любой пользователь, интерактивно зарегистрировавшийся на данном компьютере с системой Windows NT. По умолчанию группа INTERACTIVE присутствует в списках прав доступа к разделам ветви HKEY_CLASSES_ROOT (или, что то же самое, к подразделам раздела HKEY_LOCAL_MACHINE\Software\Classes) с тем же самым набором прав Q+ S +C+E +N + D + R. Это позволяет ее членам модифицировать и удалять параметры указанных разделов.
Защита от локального доступа
Защита реестра от локального доступа позволяет усилить безопасность операционной системы Windows NT. Рассмотрим способы реализации такой защиты.
Ограничение прав группы Everyone
Поскольку отдельные разделы реестра системы Windows NT доступны членам группы Everyone, имеет смысл предпринять ряд мер, позволяющих более надежно защитить эту базу данных конфигурационной информации от попыток модификации со стороны неправомочных пользователей отдельного компьютера или домена.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.