Разрешения NTFS (NTFS permissions) - это набор специальных расширенных атрибутов файла или каталога (папки), заданных для ограничения доступа пользователей к этим объектам. Они имеются только на томах, где установлена файловая система NTFS. Разрешения обеспечивают гибкую защиту, так как их можно применять и к каталогам, и к отдельным файлам; они распространяются как на локальных пользователей (работающих на компьютерах, где находятся защищенные папки и файлы), так и на пользователей, подключающихся к ресурсам по сети.
Не следует путать разрешения с правами. Это совершенно разные понятия; подробнее об этом написано в подразделе «Модель безопасности Windows NT/2000/ ХР». К сожалению, в технической литературе да и в обиходе часто путают эти термины. Истоком этого прежде всего являются ошибки перевода оригинальных англоязычных материалов.
разрешения NTFS служат, прежде всего, для защиты ресурсов от локальных пользователей, работающих за компьютером, на котором располагается ресурс. Однако их можно использовать и для удаленных пользователей, подключающихся к общей папке по сети. Очевидно, что в этом случае на пользователей действуют два механизма ограничения в доступе к ресурсам: сначала сетевой, а уже затем локальный, файловый. Поэтому итоговые разрешения на доступ будут определяться как минимальные из сетевых и файловых разрешений. Здесь необходимо сказать, что итоговые сетевые разрешения на доступ к ресурсам, которыми будет обладать пользователь при работе в сети, вычисляются как максимум разрешений в списке разрешений доступа, поскольку пользователь может быть членом нескольких групп, которые упомянуты в списке. Аналогично и для разрешений NTFS: пользователь получает максимальные разрешения, перечисленные в списке управления доступом, и только разрешение No Access (нет доступа) может перечеркнуть все остальные разрешения.
Разрешения NTFS обеспечивают высокую избирательность защиты: для каждого файла в папке можно установить свои разрешения. Например, одному пользователю можно позволить считывать и изменять содержимое файла, другому только считывать, третьему вообще запретить доступ. Заметим, однако, что настоятельно рекомендуется устанавливать разрешения в списках ACL, используя не учетные записи отдельных пользователей, а учетные записи групп пользователей.
Каждый файловый объект имеет так называемую маску доступа (access mask). Маска доступа включает стандартные (standard), специфичные (specific) и родовые (generic) права доступа.
□ Стандартные права доступа определяют операци и, которые явля ются общими для всех защищенных объектов.
□ Специфичные права доступа указывают основные права, характерные для файловых объектов. Так, например, специфичные права Read_Data, Write_Data и Append_Data позволяют прочитать данные, записать информацию и, соответственно, добавить данные к файлу. Права Read_Attributes, Write_Attributes
и Read_EA, Write_EA позволяют, соответственно, прочитать или записать атрибуты или расширенные атрибуты файла или каталога. Наконец, такое специфичное право доступа, как Execute, позволяет запустить файл на выполнение.
□ Родовые права доступа используются системой; они определяют комбинации стандартных и специфичных прав. Например, родовое право доступа generic_Read, примененное к файлу, включает в себя следующие специфичные и стандартные права: Read_Control, File_Read_Data, File_Read_Attributes, File_Read_EA, Synchronize.
Итак, разрешения NTFS по-разному представлены в операционных системах Windows NT 4.0 и семействе систем Windows 2000/ХР. Отличия эти, прежде всего, касаются интерфейса, то есть программа Проводник (Explorer) по-разному отображает те разрешения, которые на самом деле присвоены файловому объекту в виде разрешений доступа и обрабатываются на программном уровне. Разрешения в Windows 2000/ХР ближе к тем специфичным, стандартным и родовым правам доступа, о которых мы говорили выше, однако для управления доступом к файлам они не так удобны, как разрешения Windows NT 4.0.
Для управления доступом пользователей к папкам и файлам используется детализированная и сложная система разрешений. Механизм управления доступом к объектам Windows -- один из самых детализированных среди известных операционных систем. Для файлов и папок существует не менее 14 разрешений NTFS, которые могут быть включены или блокированы -- и проверены. Эти разрешения можно назначать файлам или папкам и пользователям или группам. Кроме того, можно назначать порядок наследования разрешений для файлов или папок и пользователей или групп. В лабиринте разрешений легко заблудиться. В данной статье речь пойдет о том, как действуют разрешения для папок и файлов, и о наиболее эффективных способах их применения.Основы доступа к объектам
Пользователь никогда не входит в непосредственное "соприкосновение" с каким-либо объектом Windows. Весь доступ к объектам осуществляется через программы (например, Windows Explorer, Microsoft Office) или процессы. Программа, которая обращается к ресурсам от лица пользователя, выполняет процедуру, которая называется имперсонализацией (impersonation). Программа, которая обращается к удаленному ресурсу, выполняет процедуру, которая называется делегированием (delegation).
После регистрации пользователя его системный идентификатор (System Identifier -- SID) и идентификаторы SID группы обрабатываются процессом lsass.exe, который генерирует маркер безопасного доступа пользователя. В маркер безопасного доступа вводится и другая информация, в том числе о назначенных пользователю правах (разрешениях), ID сеанса пользователя (уникален для каждого сеанса), маске разрешений с детальным описанием типа запрошенного доступа. Права, назначенные пользователю, можно увидеть с помощью команды
Если программа обращается от лица пользователя к защищенному ресурсу, то монитор защиты (security reference monitor) Windows запрашивает у программы маркер безопасного доступа пользователя. Затем монитор защиты анализирует маркер, чтобы определить эффективные разрешения пользователя, и разрешает или запрещает выполнение запрошенной пользователем операции. Эффективные разрешения более подробно описаны ниже.
Разрешения Share
Каждый защищенный объект Windows -- в том числе файлы, папки, общие ресурсы, принтеры и разделы реестра -- поддерживает разрешения безопасности. Любую папку Windows можно сделать общедоступной, чтобы разрешить дистанционный доступ. Разрешения Share можно назначать любым объектам folder и printer в Windows, но разрешения применяются, только если обращение к объекту происходит через сетевой ресурс. К разрешениям Folder Share относятся Full Control, Change и Read.
Субъекты безопасности, которым присвоено право полного доступа (Full Control) к объекту, могут производить с объектом почти любые операции. Они могут удалить, переименовать, копировать, переместить и изменить объект. Пользователь с правом Full Control может изменить разрешения Share объекта и стать владельцем объекта (если он уже не является владельцем и не имеет разрешения Take Ownership). Таким образом, любой пользователь с разрешением Full Control может отменить разрешения других лиц, в том числе администратора (хотя администратор может всегда вернуть себе владение и разрешения). Возможность изменять разрешения -- обязательное требование любой операционной системы с избирательным управлением доступом (discretionary access control -- DAC), такой как Windows.
В большинстве случаев, основное разрешение доступа к ресурсу, необходимое обычным пользователям - Change. С помощью разрешения Change пользователь может добавлять, удалять, изменять и переименовывать любые ресурсы в соответствующей папке. Разрешение Read обеспечивает просмотр, копирование, переименование и печать объекта. Пользователь с разрешением Read может копировать объект в другое место, в котором имеет право Full Control.
Разрешения NTFS
Если в Windows используется файловая система NTFS (а не FAT), то все файлы, папки, разделы реестра и многие другие объекты имеют разрешения NTFS. Разрешения NTFS применяются как при локальном, так и при дистанционном доступе к объекту. Для просмотра и изменения разрешений NTFS файла или папки достаточно щелкнуть правой кнопкой мыши на объекте, выбрать пункт Properties и перейти к вкладке Security.
В Таблице 1 показаны 7 суммарных разрешений NTFS. Суммарные разрешения представляют собой различные комбинации 14 более детализированных разрешений, показанных в Таблице 2. Просмотреть детализированные разрешения можно, открыв диалоговое окно Advanced Security Settings для объекта щелчком на кнопке Advanced во вкладке Security, а затем щелкнуть на кнопке Edit во вкладке Permissions. Знакомиться с детализированными разрешениями объекта (особенно требующего повышенной безопасности) -- полезная привычка, хотя для этого требуется больше усилий. Суммарные разрешения не всегда точно отражают состояние детализированных разрешений. Например, мне приходилось видеть суммарное разрешение Read, хотя в действительности пользователь имел разрешение Read & Execute.
Аналогично разрешению Full Control Share, разрешение Full Control NTFS предоставляет владельцам большие возможности. Пользователи, не являющиеся администраторами, часто имеют разрешение Full Control в своем домашнем каталоге и других файлах и папках. Как уже отмечалось, обладатель прав такого уровня может изменять разрешения файла и назначить себя владельцем. Вместо того чтобы предоставлять пользователям разрешение Full Control, можно дать им лишь право Modify. Если пользователь -- владелец файла, то при необходимости можно вручную запретить ему изменять разрешения.
Технически, разрешения NTFS известны как избирательные списки управления доступом (discretionary ACL -- DACL). Разрешения аудита известны как системные ACL (SACL). Большинство защищенных объектов NTFS располагают разрешениями обоих видов.
Влияние доверительных отношений Windows
По умолчанию все домены и леса Windows 2000 и более поздних версий имеют двусторонние доверительные отношения со всеми другими доменами леса. Если домен доверяет другому домену, то все пользователи в доверенном домене имеют те же разрешения безопасности в доверяющем домене, что и группа Everyone и группа Authenticated Users доверяющего домена. В любом домене многие разрешения этим группам назначаются по умолчанию, и доверительные отношения неявно обеспечивают широкие права, которые не были бы предоставлены в ином случае. Следует помнить, что если доверительные отношения не носят выборочного характера, то любые разрешения, предоставляемые группам Everyone и Authenticated Users, назначаются и всем другим пользователям в лесу.
Проверка разрешений из командной строки
Программа Cacls описана в опубликованной компанией Microsoft статье " ". Это более старый инструмент, который появился в составе Windows со времени Windows NT. Cacls не столь полезна, как Subinacl или Xacls, но утилита всегда имеется в системе Windows. С помощью Cacls можно просматривать и изменять файлы и разрешения по пользователям и группам, но не создавать детализированные разрешения NTFS. В настоящее время возможности Cacls ограничены работой с разрешениями No Access, Read, Change и Full Control, которые соответствуют разрешениям NTFS, но не разрешением Share. Кроме того, разрешение Read программы Cacls соответствует разрешению Read & Execute системы NTFS.
Наследование
По умолчанию все файлы, папки и разделы реестра наследуют разрешения от родительского контейнера. Наследование можно активизировать или отключить для индивидуальных файлов, папок или разделов реестра и для отдельных пользователей или групп. Как мы видим на Экране 1, поле Apply To на вкладке Permissions диалогового окна Advanced Security Settings показывает, ограничено ли действие конкретного разрешения текущим контейнером, или оно распространяется на подпапки и файлы. Администратор может назначить разрешение (для отдельных пользователей), которые наследуются или нет. В данном примере группа Everyone имеет разрешение Read & Execute в текущей папке, и это разрешение не наследуется.
Экран 1. Детальные разрешения объекта
Если файл или папка наследует большинство своих разрешений, но имеет также и набор явно заданных разрешений, то последние всегда имеют приоритет перед унаследованными правами. Например, можно предоставить пользователю разрешение Full Control-Deny в корневом каталоге конкретного тома, и задать наследование этих разрешений всеми файлами и папками диска. Затем можно назначить любому файлу или папке на диске право доступа, которое отменяет унаследованный режим Full Control-Deny.
Эффективные разрешения
Монитор защиты Windows определяет эффективные разрешения пользователей (реальные разрешения, которыми они располагают на практике) с учетом нескольких факторов. Как отмечалось выше, монитор защиты сначала собирает информацию об индивидуальной учетной записи пользователя и всех группах, к которым он принадлежит, и обобщает все разрешения, назначенные всем пользовательским и групповым SID. Если разрешения Deny и Allow существуют на одном уровне, то, как правило, приоритет имеет Deny. Если приоритет получает Full Control-Deny, то пользователь, как правило, не имеет доступа к объекту.
По умолчанию при учете разрешений NTFS и Share (пользователь подключается к ресурсу через сеть) монитор защиты должен собрать все разрешения Share и NTFS. В результате эффективные разрешения пользователя представляют собой набор разрешений, предоставленных как разрешениями Share, так и NTFS.
Например, в конечном итоге у пользователя могут оказаться Share-разрешения Read и Change, и NTFS-разрешения Read и Modify. Эффективные разрешения -- самый ограниченный набор разрешений. В данном случае разрешения почти идентичны. Эффективными разрешениями будут Read и Change/Modify. Многие администраторы ошибочно полагают, что эффективные разрешения -- только Read, из-за плохих, чрезмерно упрощенных примеров или устаревшей документации.
В диалоговом окне Advanced Security Settings в Windows XP и более новых версиях появилась вкладка Effective Permissions (см. Экран 2). К сожалению, на вкладке Effective Permissions отражаются только разрешения NTFS. Не учитывается влияние разрешений Share, групп на базе действий, членства в которых пользователь не имеет, и других факторов, таких как файловая система с шифрованием (Encrypting File System -- EFS). Если EFS активизирована для файла или папки, то пользователь с соответствующими разрешениями NTFS и Share может лишиться возможности доступа к объекту, если не имеет права доступа EFS к папке или файлу.
Экран 2. Эффективные разрешения объекта NTFS
Осмотрительно предоставлять разрешения Full Control обычным пользователям. Полезно назначить им вместо этого разрешение Modify. В большинстве случаев такой подход обеспечивает пользователям все необходимые разрешения, не позволяя изменять права или присваивать себе владение.
Аккуратно работайте с группой Everyone; лучше использовать группу Authenticated Users (или Users), или специальную группу с ограниченными правами. Важные упущения группы Authenticated Users -- отсутствие Guest и неаутентифицированного пользователя.
Нередко сетевых администраторов просят ввести гостевые учетные записи для сторонних пользователей (например, консультантов, подрядчиков, внештатных программистов). Но права обычного пользователя часто избыточны для гостя. Следует сформировать и использовать группу, права которой по умолчанию сильно урезаны (например, разрешение Full Control-Deny для корневых каталогов), а затем явно разрешить доступ только к файлам и папкам, необходимым данной гостевой учетной записи. Явно назначаемые разрешения предпочтительны, поскольку предоставляют гостевым пользователям именно те разрешения, которые необходимы для их работы, но не больше.
Следует проявлять осторожность, налагая запреты на группы Everyone и Users, так как администраторы входят и в эти группы.
В случае доверительных отношений с другими доменами полезно применять одностороннее и селективное доверие, чтобы ограничить права пользователей доверенного домена.
Необходимо периодически осуществлять аудит разрешений NTFS и Share, чтобы убедиться в том, что они максимально ограничены.
Используя эти рекомендации и справочные таблицы с кратким описанием всех разрешений, можно смело отправляться в лабиринт файловой системы. Администратор сможет уверенно назначать разрешения для файлов, папок, пользователей и групп.
Таблица 1. Сводка разрешений NTFS 
Таблица 2. Детальные разрешения NTFS 
Роджер Граймз ([email protected]) -- консультант по проблемам безопасности. Имеет сертификаты CPA, CISSP, CEH, CHFI, TICSA и MCSE: Security.
Лабораторная работа №2
Тема: Использование приёмов работы с файловой системой NTFS. Назначение разрешений доступа к файлам и папкам.
Время выполнения: 2 часа
Цель: Научиться устанавливать разрешения NTFS для файлов и для папок для отдельных пользователей и групп в операционной системы Windows 7, а также устранять проблемы доступа к ресурсам.
Общие сведения об использовании разрешений NTFS
Разрешения NTFS позволяют явно указать, какие пользователи и группы имеют доступ к файлам и папкам и какие операции с содержимым этих файлов или папок им разрешено выполнять. Разрешения NTFS применимы только к томам, отформатированным с использованием файловой системы NTFS. Они не предусмотрены для томов, использующих файловые системы FAT или FAT32. Система безопасности NTFS эффективна независимо от того, обращается ли пользователь к файлу или папке, размещенным на локальном компьютере или в сети.
Разрешения, устанавливаемые для папок, отличаются от разрешений, устанавливаемых для файлов. Администраторы, владельцы файлов или папок и пользователи с разрешением «Полный доступ» имеют право назначать разрешения NTFS пользователям и группам для управления доступом к этим файлам и папкам. Список управления доступом
В NTFS хранится список управления доступом (access control list -ACL) для каждого файла и папки на томе NTFS. В этом списке перечислены пользователи и группы, для которых установлены разрешения для файла или папки, а также сами назначенные разрешения. Чтобы пользователь получил доступ к ресурсу, в ACL должна быть запись, называемая элемент списка управления доступом (access control entry - АСЕ) для этого пользователя или группы, к которой он принадлежит. Эта запись назначит запрашиваемый тип доступа (например, Чтение) пользователю. Если в ACL нет соответствующей АСЕ, то пользователь не получит доступ к ресурсу.
Множественные разрешения NTFS
Вы можете установить несколько разрешений пользователю и всем группам, членом которых он является. Для этого вы должны иметь представление о правилах и приоритетах, по которым в NTFS назначаются и объединяются множественные разрешения и о наследовании разрешений NTFS.
Эффективные разрешения. Эффективные разрешения пользователя для ресурса - это совокупность разрешений NTFS, которые вы назначаете отдельному пользователю и всем группам, к которым он принадлежит. Ес л и у пользователя есть разрешение «Чтение» для папки, и он входит в группу, у которой есть разрешение «Запись» для той же папки, значит, у этого пользователя есть оба разрешения.
Установка разрешений NTFS и особых разрешений
Вы должны руководствоваться определенными принципами при установке разрешений NTFS. Устанавливайте разрешения согласно потребностям групп и пользователей, что включает в себя разрешение или предотвращение наследования разрешений родительской папки подпапками и файлами, содержащимися в родительской папке.
Если вы уделите немного времени на планирование ваших разрешений NTFS и будете соблюдать при планировании несколько принципов, то обнаружите, что разрешениями легко управлять.
Для упрощения процесса администрирования сгруппируйте файлы по папкам следующих типов: папки с приложениями, папки с данными, личные папки. Централизуйте общедоступные и личные папки на отдельном томе, не содержащем файлов операционной системы и других приложений. Действуя таким образом, вы получите следующие преимущества:
Сможете устанавливать разрешения только папкам, а не отдельным файлам;
Упростите процесс резервного копирования, так как вам не придется делать резервные копии файлов приложений, а все общедоступные и личные папки находятся в одном месте.
· Устанавливайте для пользователей только необходимый уровень доступа. Если необходимо чтение файла, установите пользователю разрешение Чтение для этого файла. Это уменьшит вероятность случайного изменения файла или удаления важных документов и файлов приложений пользователем.
· Создавайте группы согласно необходимому членам группы типу доступа, затем установите соответствующие разрешения для группы. Назначайте разрешения отдельным пользователям только в тех случаях, когда это необходимо.
· При установке разрешений для работы с данными или файлами приложений установите разрешение Чтение и выполнение для групп Пользователи и Администраторы. Это предотвратит случайное удаление файлов приложений или их повреждение вирусами или пользователями.
· При установке разрешений для папок с общими данными назначьте разрешения Чтение и выполнение и Запись группе Пользователи и разрешение Полный доступ для группы Создатель-владелец. По умолчанию пользователь, создавший документ, также является его владельцем. Владелец файла может дать другому пользователю разрешение на владение файлом. Пользователь, который принимает такие права, в этом случае становится владельцем файла. Если вы установите разрешение Чтение и выполнение и Запись группе Пользователи и разрешение Полный доступ группе Создатель-владелец, то пользователи получат возможность читать и изменять документы, созданные другими пользователями, а также читать, изменять и удалять файлы и папки, создаваемые ими.
Файловая система (англ. file system ) - регламент, определяющий способ организации, хранения и именования данных на носителях информации. Она определяет формат физического хранения информации, которую принято группировать в виде файлов. Конкретная файловая система определяет размер имени файла, максимальный возможный размер файла, набор атрибутов файла. Некоторые файловые системы предоставляют сервисные возможности, например, разграничение доступа или шифрование файлов.
Файловые системы:
- FAT (File Allocation Table ) – файловая система, используемая в Dos и Windows
- NTFS (от англ. New Technology File System - «файловая система новой технологии») - стандартная файловая система для семейства операционных систем WindowsXP, 2003
Возможности NTFS 5.0:
· Механизм разрешений на доступ к файлам и папкам. Обеспечивает гибкую систему ограничений для пользователей и групп.
· Сжатие файлов и папок. Встроенные средства сжатия данных позволяют экономить пространство на дисках, при этом все процедуры выполняются "прозрачно" для пользователя.
· Шифрование данных. Encrypting File System (EPS, Шифрующая файловая система) обеспечивает конфиденциальность хранящейся информации, причем в Windows Server 2003 устранены некоторые издержки этого механизма, допускающие "утечку информации".
· Дисковые квоты. Можно ограничить пространство, занимаемое на томе отдельными пользователями.
· Механизм точек повторной обработки (reparse points). Позволяет, в частности, реализовать точки соединения (junction points), с помощью которых целевая папка (диск) отображается в пустую папку (эта процедура называется монтированием диска), находящуюся в пространстве имен файловой системы NTFS 5.0 локального компьютера. Целевой папкой может служить любой допустимый путь Windows Server 2003.
· Распределенное отслеживание ссылок на файлы. Этот механизм позволяет сохранять актуальной ссылку на файл, даже если он был переименован или перемещен на другой том, расположенный на том же компьютере или на другом компьютере в пределах домена.
· Разреженные (sparse) файлы. NTFS эффективно хранит такие файлы, содержащие большое количество последовательных пустых байтов.
· Журнал изменений (change journal), где регистрируются все операции доступа к файлам и томам.
Центром файловой системы NTFS является файл, называемый главной таблицей файлов (Master File Table, MFT ). Он создается при форматировании тома для NTFS. MFT состоит из массива записей размером 1 Кбайт. Каждая запись идентифицирует один файл, расположенный на диске. NTFS оценивает размер файла, если он не больше 1 Кбайт, он запоминается в записи MFT.
При форматировании дисковые тома размечаются на кластеры – это минимальное пространство, выделяемое на диске для файлов.
Чтобы иметь возможность изменять права доступа к файлам и папкам вы берите в главном меню Проводника: Сервис -> Свойства папки . В появившемся окне снимите галочку Использовать простой общий доступ .
Для изменения прав доступа выберите в контекстном меню над файлом или папкой выберите пункт Общий доступ и безопасность и перейдите на вкладку Безопасность .
Здесь вы можете указать права каждого пользователя или группы на чтение, запись, выполнение этого файла или папки.
Изменить права доступа может владелец файла, которого можно увидеть, нажав Дополнительно и выбрав вкладку Владелец . Любой администратор может сделать себя владельцем файла или папки.
Чтобы зашифровать или сжать файл или папку выберите в контекстном меню над ним Свойства->Другие .
Будьте осторожны с шифрованием, если система будет переустановлена, зашифрованные файлы будут потеряны.
Задания:
1. Создайте на диске D: папку Тайна и закройте доступ к ней всем, кроме себя.
2. Создайте папку Библиотека и разрешите всем только чтение (не запись).
3. Найдите большой файл формата.doc, сожмите его, используя свойства NTFS, насколько меньше места он теперь занимает на диске, сравните со сжатием в.zip
4. Зашифруйте этот же файл (что придется для этого сделать?), проверьте его недоступность под другим пользователем.
5. Можно ли сжать зашифрованный файл используя.zip?
6. Создайте временного пользователя, поставьте пароль, под этим пользователем зашифруйте файл, затем под именем администратора сбросьте пароль у этого пользователя, будет ли доступен зашифрованный файл?
7. Подключите один из дисков как папку к другому диску, а букву с этого диска уберите (т.е. чтобы он был виден только как папка)
9. …
Реестр, tweaker’ы.
Источник: ru.wikipedia.org
Реестр Windows - база данных параметров и настроек операционной системы Microsoft Windows. Реестр содержит информацию и настройки для аппаратного обеспечения, программного обеспечения, пользователей, предустановки. При любых изменениях в Панели управления, ассоциациях файлов, системных политиках, инсталлированном ПО, все эти изменения фиксируются в реестре. Без реестра работа операционной системы невозможна.
Реестр Windows был введён для упорядочения информации, хранившейся до этого во множестве INI-файлов, которые использовались для хранения настроек до того как появился реестр.
Реестр расположен в нескольких файлах (sam, security, software, system) в папке %SystemRoot%\System32\Config , и в папке профилей пользователей компьютера (Ntuser.dat ). Для изменения реестра используется Редактор реестра : Пуск -> Выполнить -> regedit.
Помните, что редактор не проверяет правильность задания параметров, поэтому даже при опечатке любое изменение будет сохранено, что может привести к нежелательным последствиям. Сам по себе реестр не восстановится, и операционная система может отказаться загружаться.
По этой причине, прежде всего, сделайте резервную копию реестра или того раздела, который собираетесь изменить. Для этого на ветке (разделе) реестра нажмите правую кнопку и выберите Экспортировать , эта ветка будет сохранена в текстовом файле формата .reg . Впоследствии её можно будет импортировать в реестр – двойной щелчок на этом файле или правая кнопка и Слияние .
Реестр Windows ХР и Windows 2003 содержит следующие разделы (или поддеревья, или кусты):
· HKEY_CLASSES_ROOT – Данный раздел содержит сведения о файловых расширениях и программы, которые этим расширениям соответствуют. Здесь также содержится информация, необходимая для работы технологий СОМ и OLE. Некоторые данные, связанные с названным выше, содержатся в ключе HKEY_LOCAL_MACHINE\Software\Classes
· HKEY_CURRENT_USER – Здесь находится информация, которая касается активного на данный момент пользователя
· HKEY_LOCAL_MACHINE – Раздел содержит информацию о конфигурации компьютера и о том, как будут обрабатываться запуск и остановка установленных в системе служб и оборудования. Здесь также содержится информация, которая относится к SAM (Security Accounts Manager) и политикам безопасности. Данная ветвь наиболее интенсивно используется приложениями
· HKEY_USERS – Раздел содержит данные о пользователях компьютера. Каждому пользователю назначается определенная запись, название которой соответствует идентификатору SID данного пользователя
· HKEY_CURRENT_CONFIG – Эта ветвь связана с подключами в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current. Данный раздел содержит информацию, которая относится к аппаратному обеспечению и используется в процессе предварительной загрузки, чтобы разрешить взаимосвязи определенного аппаратного обеспечения
Tweaker - программа тонкой настройки и оптимизации операционных систем семейства Windows. Используется как замена Редактора реестра Windows. Преимущества: наличие описания ключей реестра, наличие поиска и возможности ‘откатить’ изменения. Недостатки: иногда используются недокументированные возможности, Microsoft не рекомендует пользователям редактировать реестр.
Задания:
10. Используя Редактор реестра
a) Изменить ключи реестра, чтобы на экране приветствия использовалось сглаживание ClearType, изменить скринсейвер, возникающий при экране приветствия
b) Найти и экспортировать регистрационную информацию программы Nero(или другой)
11. Используя Tweaker (например, NeoTweaker)
a) Сделать так, чтобы на значках на рабочем столе не отображались стрелки
b) Попробуйте режим активного окна (x-мышь, как в unix) – окно становится активным при наведении на него указателя мыши, без дополнительного щелчка
c) Отключить автозапуск CD (автозапуск может быть небезопасен)
d) Отключить встроенную функцию записи CD
e) Изменить редактор html-кода в Internet Explorer с Блокнота на DreamWeaver
f) Сделайте так, чтобы на всплывающей подсказке над часами показывался день недели, а не только дата
g) Сделайте так, чтобы показывались команды, выполняемые при загрузке и выключении компьютера – это поможет выяснить, на что система тратит много времени
h) Установить задержку появления меню 100мс вместо 400мс
i) Отключить Диспетчер пакетов QoS (ускорит работу сети на 20%)
j) Измените процент свободного места на жестком диске, при котором система будет выдавать предупреждение о его нехватке
k) Отключите отправку в Microsoft отчетов об ошибках (в целях безопасности, экономии трафика и чтобы не надоедали вопросы после зависания какой-нибудь программы)
l) Включить автоматическое дописывание путей в командной строке по клавише Tab (т.е. вместо длинного пути вы можете написать первые символы и нажать Tab)
m) Сделать так чтобы NumLock был включен при загрузке
n) …
Службы.
Источник: computerra.ru, oszone.net
Служба Microsoft Windows - это приложение, работающее в фоновом режиме. Некоторые службы автоматически запускаются при загрузке компьютера, другие - только при возникновении определённых событий. Как правило, службы не имеют пользовательского интерфейса. Службы используются для реализации функциональности, работающей на протяжении длительного отрезка времени, и не требующей вмешательства пользователей, работающих на компьютере. Службы могут выполняться в контексте безопасности учетной записи, отличной от учетной записи текущего пользователя или учетной записи по умолчанию.
Во время работы Windows XP запущено множество служб, но не все из них полезны для нормальной работы вашего компьютера. Для просмотра списка запущенных служб необходимо проделать следующее:
· Пуск – Выполнить – cmd – net start – список запущенных служб ,
- или Пуск – Выполнить – cmd – services.msc,
- или Пуск – Администрирование – Службы
| Таблица 1. Службы Windows 2000/XP/2003 Server | ||
| Название службы | Описание службы | Возможность выключения |
| Bluetooth Support Service | Поддерживает Bluetooth-устройства, установленные на компьютере, и обнаруживает другие устройства в радиусе действия | Выключить, если вы не используете устройства, соединяющиеся с вашим ПК с помощью Bluetooth-связи |
| DHCP-клиент | Управляет конфигурацией сети посредством регистрации и обновления IP-адресов и DNS-имен | |
| DNS-клиент | Разрешает для данного компьютера DNS-имена в адресах и помещает их в кэш. Если служба остановлена, не удастся разрешить DNS-имена и разместить службу каталогов Active Directory контроллеров домена | Если сеть не используется, можно безболезненно выключить ее |
| Fax | Позволяет отправлять и получать факсимильные сообщения, используя ресурсы этого компьютера и сетевые ресурсы | Если не используем данную функцию, то смело выключаем ее |
| MS Software Shadow Copy Provider | Управляет теневыми копиями, полученными при помощи теневого копирования тома | В большинстве случаев можно выключить |
| QoS RSVP | Обеспечивает рассылку оповещений в сети и управление локальным трафиком для QoS-программ и управляющих программ | Вкупе с выключением резервирования трафика QoS полностью отключает резервирование канала QoS. Выключить |
| NetMeeting Remote Desktop Sharing | Разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting. Если эта служба остановлена, удаленное управление рабочим столом недоступно | Вряд ли кто-то захочет доверить управление своим ПК кому-то другому. Прибавим к этому потенциальную опасность несанкционированного проникновения в систему и сделаем вывод - выключить |
| Telnet | Позволяет удаленному пользователю входить в систему и запускать программы, поддерживает различных клиентов TCP/IP Telnet, включая компьютеры с операционными системами Unix и Windows. Если эта служба остановлена, удаленный пользователь не сможет запускать программы | Если эта функция не используется, обязательно выключаем ее, иначе грозит опасность несанкционированного проникновения в систему |
| Автоматическое обновление | Загрузка и установка обновлений Windows. Если служба отключена, то на этом компьютере будет нельзя использовать возможности автоматического обновления или веб-узел Windows Update | Выключить, так как любые обновления всегда можно выполнить вручную |
| Адаптер производительности WMI | Предоставляет информацию о библиотеках производительности от поставщиков WMI HiPerf | В большинстве случаев можно выключить, хотя, возможно, кому-то может понадобиться |
| Беспроводная настройка | Предоставляет автоматическую настройку адаптеров 802.11 | Если не пользуемся Wi-Fi, то выключить |
| Брандмауэр Windows/общий доступ к Интернету (ICS) | Обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен или предотвращает вторжение служб в домашней сети или сети небольшого офиса | Если вы используете FireWall стороннего производителя и ваш ПК не является интернет-шлюзом для другого ПК в сети, то смело выключайте |
| Вторичный вход в систему | Позволяет запускать процессы от имени другого пользователя. Если служба остановлена, этот тип регистрации пользователя недоступен | Выключить, иначе эта служба может стать причиной несанкционированного проникновения в систему |
| Диспетчер автоподключений удаленного доступа | Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу | Используется очень редко, поэтому можно смело выключить |
| Диспетчер сеанса справки для удаленного рабочего стола | Управляет возможностями удаленного помощника. После остановки службы удаленный помощник будет недоступен | Создает потенциальную опасность проникновения в систему, а помощь от нее сомнительная. Выключить |
| Диспетчер сетевого DDE | Управляет сетевыми общими ресурсами динамического обмена данными (DDE). Если служба остановлена, сетевые общие ресурсы DDE не будут доступны | |
| Диспетчер очереди печати | Загружает в память файлы для последующей печати | Нет принтера - выключить |
| Журналы и оповещения производительности | Управляет сбором данных о производительности с локального или удаленных компьютеров. Сбор выполняется на основе заданного расписания и обеспечивает запись этих данных в журналы или инициирует оповещение | В большинстве ситуаций запись данных о производительности не потребуется. Спокойно выключаем |
| Источник бесперебойного питания | Управляет источниками бесперебойного питания, подключенными к компьютеру. | Нет ИБП, выключить |
| Координатор распределенных транзакций | Координация транзакций, охватывающих несколько диспетчеров ресурсов, таких как базы данных, очереди сообщений и файловые системы. Если служба остановлена, транзакции выполнены не будут | Если ПК не является сервером, использующим базы данных, можно смело выключить |
| Модуль поддержки NetBIOS через TCP/IP | Включает поддержку службы NetBIOS через TCP/IP (NetBT) и разрешения NetBIOS-имен в адреса | Если по каким-то причинам нужна поддержка NetBIOS через TCP/IP, эту службу не трогаем. Но в большинстве случаев ее можно спокойно выключить |
| Монитор инфракрасной связи | Поддерживает IrDA-устройства, установленные на компьютере, и обнаруживает другие устройства в радиусе действия | Если вы не используете устройства, соединяющиеся с вашим ПК с помощью инфракрасной связи, выключить |
| Обозреватель компьютеров | Обслуживает список компьютеров в сети и выдает его программам по запросу. Если служба остановлена, список не будет создан или обновлен | Если сеть не используется, то выключить, хотя, в общем-то, достаточно оставить ее включенной на одном ПК в вашей сети |
| Планировщик заданий | Позволяет настраивать расписание автоматического выполнения задач на этом компьютере. Если служба остановлена, эти задачи не могут быть запущены в установленное расписанием время | Если вы не испытываете острого желания запускать программы автоматически в установленное время, то выключить |
| Сервер | Обеспечивает общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение. Если служба остановлена, эти функции выполнить не удастся | Если сеть не используется, можно безболезненно выключить |
| Служба времени Windows | Управляет синхронизацией даты и времени на всех клиентах и серверах в сети. Если служба остановлена, синхронизация даты и времени будет недоступна | Если сеть не используется, то выключить, хотя и при наличии сети выключение этой службы в большинстве случаев не помешает |
| Служба обнаружения SSDP | Включить обнаружение UPnP-устройств в домашней сети | Если сеть не используется, то выключить, да и при наличии сети нужна редко |
| Справка и поддержка | Обеспечивает возможность работы центра справки и поддержки на этом компьютере. Если служба остановлена, центр справки и поддержки будет недоступен | Выключить, так как толку от этой поддержки... Хотя если вам без этой службы не обойтись, можете оставить включенной |
| Служба сетевого DDE | Обеспечивает сетевой транспорт и безопасность для динамического обмена данными (DDE) в программах, выполняющихся на одном или на нескольких компьютерах. Если служба остановлена, сетевой транспорт и безопасность DDE будут недоступны | Если сеть не используется, можно безболезненно выключить |
| Удаленный реестр | Позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере | Вряд ли кто-то захочет доверить управление своим реестром кому-то другому. Прибавим сюда потенциальную опасность несанкционированного проникновения в систему и сделаем вывод: выключить |
| Служба терминалов | Предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов | Если сеть не используется, можно безболезненно выключить. Да и при наличии сети хорошо подумайте, надо ли вам, чтобы кто-то кроме вас имел доступ к вашему ПК? |
| Служба восстановления системы | Выполняет функции восстановления системы. Чтобы остановить службу, следует отключить восстановление системы на вкладке "Восстановление системы" свойств компьютера | Если вам не нужно откатывать систему к определенной дате, то выключить, поскольку служба требует много места на жестком диске. Я, правда, не стал этого делать, так как иногда при ошибках, случившихся по моей вине, приходилось откатывать систему |
| Служба регистрации ошибок | Позволяет регистрировать ошибки для служб и приложений, выполняющихся в нестандартной среде | Для большинства пользователей бесполезная служба. Выключить |
| Сетевой вход в систему | Поддерживает сквозную идентификацию событий входа учетной записи для компьютеров домена | Если сеть не используется или сеть без доменов, то выключить |
| Служба сетевого расположения (NLA) | Собирает и хранит сведения о размещении и настройки сети и уведомляет приложения об их изменении | Если сеть не используется, можно безболезненно выключить |
| Служба сообщений | Посылает и получает сообщения, переданные администраторами или службой оповещений. Не имеет отношения к MSN Messenger. Если служба остановлена, оповещение передано не будет | Если сеть не используется, можно безболезненно выключить |
| Уведомление о системных событиях | Протоколирует системные события в сети (такие как регистрация в Windows) и изменения в подаче электропитания. Уведомляет подписчиков из разряда "COM+системное событие", рассылая оповещения | Можно спокойно выключить. Эта служба редко кому нужна |
| Совместимость быстрого переключения пользователей | Управление приложениями, которые требуют поддержки в многопользовательской среде | В большинстве случаев выключить, так как программ, которые используют эту службу, очень мало. Правда, есть одно "но": если вы хотите работать под своей учетной записью, не прерывая процессов другой учетной записи, эту службу выключать нельзя |
| Смарт-карты | Управляет доступом к устройствам чтения смарт-карт. Если служба остановлена, компьютер не сможет считывать смарт-карты | Если вы не пользуетесь смарт-картами, выключить |
| Служба загрузки изображений (WIA) | Обеспечивает службы получения изображений со сканеров и цифровых камер | Если сканер и цифровая камера не используются на данном ПК, выключить |
Задания:
1. Настроить так называемую ‘игровую’ конфигурацию служб, когда отключаются все службы, кроме самых необходимых, для обеспечения максимальной производительности компьютера.
3. Включить службы, отвечающие за работу локальной сети и интернета.
4. …
Драйверы, directX.
Эта статья идейно продолжает статью . Как в ней было сказано, после выбора пользователей и (или) групп необходимо указать параметры доступа к ним. Сделать это можно с помощью разрешений файловой системы NTFS, рассмотренных в следующей таблице.
Разрешения доступа к файлам
- Чтение. Разрешается чтение файла, а также просмотр его параметров, таких как имя владельца, разрешения и дополнительные свойства.
- Запись. Разрешается перезапись файла, изменение его параметров, просмотр имени его владельца и разрешений.
- Чтение и выполнение. Разрешение на чтение и право на запуск исполняемого приложения.
- Изменение. Разрешено изменение и удаление файла, а также все, что предусмотрено разрешениями Чтение и выполнение, а также Запись.
- Полный доступ.
- Разрешен полный доступ к файлу. Это значит, что допускаются все действия, предусмотренные всеми перечисленными выше разрешениями. Разрешено также стать владельцем файла и изменять его разрешения.
Разрешения доступа к папкам
- Чтение. Разрешается просматривать вложенные папки и файлы, а также их свойства, такие как имя владельца, разрешения и атрибуты чтения, такие как Только чтение, Скрытый, Архивный и Системный.
- Запись. Разрешается создавать и размещать внутри папки новые файлы и подпапки, а также изменять параметры папки и просматривать ее свойства, в частности имя владельца и разрешения доступа.
- Список содержимого папки. Разрешается просматривать имена содержащихся в папке файлов и вложенных папок.
- Чтение и выполнение. Разрешается получение доступа к файлам во вложенных папках, даже если нет доступа к самой папке. Кроме того, разрешены те же действия, которые предусмотрены для разрешений Чтение и Список содержимого папки.
- Изменение. Разрешены все действия, предусмотренные для разрешений Чтение и Чтение и выполнение, а также разрешено удаление папки.
- Полный доступ. Разрешается полный доступ к папке. Другими словами, допускаются все действия, предусмотренные всеми перечисленными выше разрешениями. Дополнительно разрешено стать владельцем папки и изменять ее разрешения.
- Особые разрешения. Набор дополнительных разрешений, отличающихся от стандартных.
Создатель файла всегда считается его владельцем, который имеет права Полный доступ , даже в том случае, если учетная запись владельца не указана на вкладке Безопасность файла . Кроме указанных выше разрешений для файла можно выбрать два дополнительных типа разрешений.
- Смена владельца . Этот тип разрешения позволяет пользователю стать владельцем файла. Данный тип разрешения по умолчанию присвоен группе Администраторы .
- Смена разрешений . Пользователь получает возможность изменять список пользователей и групп, имеющих доступ к файлу, а также менять типы разрешений доступа к файлу.
