Защита реестра

Системный реестр (registry) Windows NT – это база данных, содержащая информацию о конфигурации и значениях параметров всех компонентов системы (устройствах, операционной системе и приложениях). Основные кусты реестра находятся в ветви HKEY_LOCAL_MACHINE и называются SAM, SECURITY, SOFTWARE и SYSTEM. Куст SAM, как мы уже знаем, – это база данных Менеджера учетных записей, SECURITY хранит информацию, используемую локальным Менеджером безопасности (LSA).

В кусте SOFTWARE находятся параметры и настройки программного обеспечения, а в SYSTEM содержатся данные о конфигурации, необходимые для загрузки операционной системы (драйверы, устройства и службы). Доступ пользователей к полям реестра следует разграничить. Это можно осуществить с помощью утилиты Regedt32. Установленные в системе по умолчанию разрешения на доступ к разделам реестра нельзя модифицировать рядовым пользователям. Поскольку некоторые разделы реестра доступны членам группы Everyone, после установки Windows NT необходимо изменить разрешения разделах.

Для доступа к разделу HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ PerfLib можно вообще удалить группу Everyone, а вместо нее добавить группу INTERACTIVE с правом Read. Для ограничения удаленного доступа к системному реестру Windows NT используется запись в разделе HKEY_LOCAL_MACHINE\ System\ CurrentcontrolSet\ Control\ SecurePipeServers\ winreg. По умолчанию право удаленного доступа к реестру имеют члены группы Administrators. В Workstation этот раздел отсутствует, и его необходимо создать. Право удаленного доступа к реестру получают только пользователи и группы, указанные в списке прав доступа к указанному разделу. К некоторым разделам реестра необходимо предоставить доступ по сети другим пользователям или группам; для этого эти разделы можно указать в параметрах Machine и Users подраздела HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Contro\ SecurePipeServers\ winreg\ AllowedPaths.