Роман Клименко - Тонкости реестра Windows Vista. Трюки и эффекты

–1 – для выполнения административных задач необходимо вводить пароль администратора.

По умолчанию используется значение 1.

• EnableInstallerDetection – если значение данного параметра равно 1, то при установке приложений, требующих прав администратора, будет автоматически отображаться окно UAC.

• EnableLUA – при установке значения этого параметра равным 1 все администраторы будут работать в режиме одобрения администратором (отключение механизма UAC только для администраторов).

• EnableSecureUIAPaths – если значение данного параметра равно 1, то повышение прав для запуска пользовательских приложений будет разрешено, если приложения установлены в безопасных местах.

• EnableVirtualization – при установке значения этого параметра равным 0 будет запрещен механизм виртуальных файлов и реестра.

• FilterAdministratorToken – если значение данного параметра равно 0, то встроенная учетная запись администратора не будет работать в режиме одобрения администратором. По умолчанию механизм UAC для встроенной учетной записи администратора отключен.

• PromptOnSecureDesktop – если установить значение этого параметра равным 0, то при отображении окна UAC операционная система не будет переходить на использование безопасного Рабочего стола.

• ValidateAdminCodeSignatures – если значение данного параметра равно 1, то возможность повышения прав запускаемой программы будет применяться только для подписанных и проверенных программ.

Существует возможность ограничения работы стандартного брандмауэра операционной системы. В зависимости от профиля брандмауэра для этого используются параметры ветви реестра вида HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра», где профиль брандмауэра может быть равен следующим названиям подразделов: DomainProfile и StandardProfile.

Основные настройки профиля брандмауэра хранятся в следующих параметрах REG_DWORD-типа ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»:

• EnableFirewall – если значение данного параметра равно 0, то стандартный брандмауэр будет отключен для данного профиля;

• DoNotAllowExceptions – при установке значения этого параметра равным 1 исключения не будут учитываться при работе брандмауэра для данного профиля;

• DisableNotification – если значение данного параметра равно 1, то для данного профиля не будут отображаться уведомления о новых блокируемых программах;

• DisableUnicastResponsesToMulticastBroadcast – при установке значения этого параметра равным 1 брандмауэр будет блокировать одноадресные ответы на многоадресные запросы, посланные вашим компьютером.

Кроме того, можно настроить параметры ведения файла журнала по работе брандмауэра. Для этого применяются следующие параметры ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\Logging:

• LogFilePath – этот параметр строкового типа позволяет определить путь к файлу журнала брандмауэра;

• LogDroppedPackets – если значение данного параметра REG_DWORD-типа равно 1, то в файл журнала брандмауэра будет заноситься информация об отброшенных пакетах;

• LogSuccessfulConnections – если значение данного параметра REG_DWORD-типа равно 0, то информация об успешных подключениях не будет заноситься в файл журнала брандмауэра;

• LogFileSize – значение данного параметра REG_DWORD-типа определяет максимальный возможный размер файла журнала (в килобайтах).

Можно также определить пакеты протокола ICMP, которые брандмауэру будет разрешено принимать. Для этого применяются следующие параметры REG_DWORD-типа ветви HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\IcmpSettings:

• AllowInboundEchoRequest – если значение данного параметра равно 0, то будут запрещены входящие эхо-запросы;

• AllowInboundMaskRequest – при установке значения этого параметра равным 0 будут запрещены входящие запросы маски;

• AllowInboundRouterRequest – если значение данного параметра равно 0, то будут запрещены входящие запросы маршрутизатора;

• AllowInboundTimestampRequest – при установке значения этого параметра равным 0 будут запрещены входящие запросы штампа времени;

• AllowOutboundDestinationUnreachable – если значение данного параметра равно 0, то будут запрещены ответы о недостижимости узла назначения;

• AllowOutboundPacketTooBig – при установке значения этого параметра равным 0 будут запрещены слишком большие исходящие пакеты.

• AllowOutboundParameterProblem – если значение данного параметра равно 0, то будут запрещены исходящие пакеты параметров проблем;

• AllowOutboundSourceQuench – при установке значения этого параметра равным 0 будут запрещены исходящие пакеты гашения источника.

• AllowOutboundTimeExceeded – если значение данного параметра равно 0, то будут запрещены исходящие пакеты истечения времени;

• AllowRedirect – при установке значения этого параметра равным 0 будут запрещены пакеты перенаправления.

Последний набор параметров позволяет определить программы и порты исключения, работа через которые не будет блокироваться стандартным брандмауэром.

Например, можно определить, будут ли использоваться локальные списки программ и портов-исключений, после чего указать списки исключений, которые будут учитываться всегда.

Программы.исключения.Чтобы запретить использование локальных программ-исключений, достаточно параметру REG_DWORD-типа AllowUserPrefMerge присвоить значение 0. Данный параметр расположен в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\AuthorizedApplications.

После этого можно указать список программ-исключений, которые всегда будут учитываться брандмауэром Windows. Для этого достаточно воспользоваться параметрами строкового типа ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\AuthorizedApplications\List.

Порты.исключения.Чтобы запретить использование локальных портов-исключений, достаточно параметру REG_DWORD-типа AllowUserPrefMerge присвоить значение 0. Параметр расположен в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\GloballyOpenPorts.

После этого можно указать список портов-исключений, которые всегда будут учитываться брандмауэром Windows. Для этого достаточно воспользоваться параметрами строкового типа ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\GloballyOpenPorts\List.

Службы.исключения.Существует возможность запретить или разрешить работу в сети некоторых стандартных служб операционной системы. Для этого воспользуйтесь параметром REG_DWORD-типа Enabled. Если значение данного параметра равно 1, то работа соответствующей службы в сети будет разрешена.

Данный параметр может находиться в следующих ветвях реестра:

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\Services\FileAndPrint – определяет разрешения входящего доступа для службы файлов и принтеров (порты UDP 137 и 138, и порты TCP 139 и 445);