Monday, November 20th, 2017

Изменение Настроек Безопасности, хранящихся в Реестре

Published on Январь 29, 2009 by   ·   Комментариев нет

Введение

Если вы не жили под скалой, значит вы видели становление IT общества и замечали все проблемы безопасности, которые возникали день за днем. Одна из наиболее преобладающих областей, где вы видели постоянно возрастающее внимание к безопасности, это Политика Групп. Политика Групп – это одна из основных операций, которая выполняется Windows Active Directory. За прошедшие два года Microsoft удвоила количество настроек Политики Групп, которые она поставляет с операционной системой. Теперь около 1700 настроек в стандартной Политики Групп. Акцент большинства настроек Политики Групп – это безопасность.

Новые приложения постоянно обеспечивают помощь в защите против шпионских программ, вирусов, червей и другого враждебного кода, который поступает через наши сети и Интернет. Microsoft и другие компании пытаются разработать решения так быстро, как только могут, но основная проблема все еще не решена.

Ядро проблемы большинства проблем безопасности в Windows компьютере – это то, что базовая безопасность не настроена, как следует. Когда вы в первый раз инсталлируете компьютер, он не так близок к безопасности, как мог бы, или как должен был быть. Даже если вы проходите через каждую настройку Панели Управления и опцию Политики Групп, вы не настроите базовую безопасность компьютера, как хотите.

Существует только один путь придать Windows компьютеру безопасный уровень, близкий к абсолютной не пробиваемости — это выполнить дополнительные изменения в Реестре, которые не доступны через какой-либо другой интерфейс, кроме Regedt32.exe. Есть множество путей выполнить эти изменения в Реестре на каждом компьютере в предприятии, но некоторые более эффективны, чем другие.

Реальность Проблемы

Вы должны думать, что не так много настроек Реестра, которые могут помочь защитить ваш компьютер. Реальность глобальной проблемы становится очень распространенной, когда вы начинаете изучение и расследование множества “взломов Реестра”, которые обсуждались в статьях Базы Знаний Microsoft.

Другое место, в котором вы можете найти исправления в Реестре, связанные с безопасностью, — это внутри групп новостей. Например, я отслеживаю доску вопросов Политики Групп и последний вопрос, который я сделал с беспокойством об управлении USB устройствами. Быстрый поиск в Интернете показал изменить значение Реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor для управления USB устройством. Если вы выполните обстоятельный поиск через любой существующий инструмент, предоставленный Microsoft, вы не найдете способа управлять этим значением без ручного обновления Реестра. Давайте вначале взглянем на ручное обновление Реестра для этих настроек, связанных с безопасностью.

Ручная Конфигурация

Большинство администраторов используют инструмент Regedt32.exe для изменения Реестра на своих Windows 2000, XP и Server 2003 компьютерах. Есть другие инструменты для этого, но этот поставляется встроенным в операционную систему. Большинство из вас, читая эту статью, использовали Regedt32.exe много раз за эту неделю, если не прямо сегодня.

Сложность ручного обновления Реестра не в использовании этого инструмента. Сложность ручного обновления Реестра начинается, когда вы должны обновить каждый компьютер в организации. Представим, что вы имеете 10 доменных контроллеров, 100 серверов и 1000 клиентов. Одиночное изменение Реестра потребует от вас изменить 1110 компьютеров. Вы можете сделать это с одной консоли, но это потребует 1110 удаленных подключений к Реестру для выполнения этой работы. Если другое значение Реестра требуется изменить, то это еще потребует других 1110 удаленных изменений. Как вы видите, этот метод не эффективен, и не тот, что следует пытаться применить для глобальных изменений значений Реестра.

Использование Скриптов

Решение для грубого ручного изменения Реестра  — это скрипт для значения Реестра. Есть множество опций для конфигурации скриптов. Вы можете даже создать *.REG файл, который может функционировать в пакетном файле или даже локально для обновления значений Реестра.

Если вы хотите применить более умное решение, вы можете использовать инструменты, которые создают сложные скрипты, на которые затем могут ссылаться скрипты входа, скрипты Политики Групп и другие. Они могут включать VB скрипты, Java скрипты или даже скрипты на собственном языке.

Использование скриптов – это очень общее и также очень мощное решение. Нет почти ничего, чего бы вы не смогли бы сделать внутри скрипта. Трудность распространения конфигураций, касающихся безопасности, через скрипты в действительности в том, что для скриптов требуются некоторые действия для того, чтобы этот скрипт выполнить. Это может быть включение компьютера, перезапуск или вход пользователя. Если компьютер уже запущен и пользователь уже зарегистрировался, скрипт автоматически не запустится. Это даже в том случае, если скрипт настроен на Политику Групп.

Пользовательские ADM Шаблоны

Было бы очень хорошо, если был бы некоторый способ изменения конфигураций Реестра так, что механизм автоматического фонового обновления в Политики Групп выполнял эти изменения динамически. Хорошо, это решение доступно. Microsoft имеет возможность распространять изменения в Реестре с центрального места, начиная с Системных Политик Windows 95/NT.

Изменения Реестра конфигурируются в файлах, называемых Administrative (ADM) Templates (Шаблоны Администрирования). Эти шаблоны используют очень простой синтаксис кодирования для задания корректного пути в Реестре, значения и данных, которые требуется изменить. ADM шаблоны также создает графический интерфейс, который появляется в Group Policy Object Editor (Редакторе Объектов Политики Групп) так, чтобы администратор мог легко видеть и настраивать политику.

Эти ADM шаблоны не очень трудны, как вы можете увидеть на примере, показанном на Рисунке 1.

Сетевые настройки regedit

Рисунок 1: Пример пользовательского ADM шаблона.

Одна из главных проблем, связанных с ADM шаблонами – когда они получаются большие. Когда они становятся большие, они могут вызвать перегрузку в тиражировании Политики Групп, с которой они связаны. Другая проблема с ADM шаблонами – что вы должны знать синтаксис для этих файлов. Когда эти файлы получаются большие, структура кода может быть немного запутанная и более склонна вызывать ошибки. Последняя проблема с ADM шаблонами – это способ, которым интерфейс Group Policy Object Editor обращается с определенной областью Реестра. Если вы создадите ADM шаблон для значения Реестра, которое не попадает в область Реестра, “разрешенную Microsoft”, вам потребуется прыгать по нескольким этапам, пока эта настройка не отобразиться в интерфейсе редактора.

PolicyMaker Registry Extension

Мы увидели, что ручное редактирование Реестра очень неэффективно. Использование скриптов требует знаний языка скриптов и они управляются событиями. ADM шаблоны имеют преимущества фонового обновления Политики Групп, но они имеют другие ограничения возможностей. Одно решение, которое разрешает все эти проблемы, но сохраняет все преимущества, называется PolicyMaker Registry Extension. Это бесплатный продукт, который может быть загружен и распространен для всей вашей организации.

Этот инструмент исправляет две из наиболее трудных проблем, которые не могут устранить остальные решения. Во-первых, этот инструмент не требует, чтобы вы что-нибудь кодировали! Этот инструмент позволяет вам просматривать требуемые значения Реестра, как показано на Рисунке 2.

Gjkbnbrf tpjgfcyjcnb d httcnht

Рисунок 2: PolicyMaker Registry Extension позволяет вам просматривать корректный элемент Реестра.

Другой аспект, являющийся полезным, — это способность этого инструмента делать любые элементы Реестра, даже те, которые Microsoft ADM шаблоны считают неподдерживаемыми или неразрешенными. Это включает все значения Реестра, находящиеся вне подключа “Policies”, двоичные элементы Реестра и многозначные элементы.

Вывод

Этот вопрос возникает, когда вам необходимо распространить настройки Реестра для изменения аспектов, связанных с безопасностью ваших Windows компьютеров. Базы знаний, одна за другой, описывают значения Реестра, которые следует изменить для того, чтобы компьютеры были безопасными. Существует множество способов выполнить конфигурирование этих значений Реестра, но некоторые методы дают большие результаты эффективности и безопасности. Ручное обновление значений Реестра для корпоративной среды в действительности не является правдоподобным решением. Использование скриптов для распространения настроек Реестра является возможным, но оно может оставить компьютер без изменений до тех пор, пока пользователь не решит выйти или компьютер не будет перезагружен. ADM шаблоны представляют прекрасное решение для гарантированного выполнения изменений в течение короткого периода времени из-за обновления Политики Групп, однако, шаблоны могут стать слишком большими и вызвать другие проблемы администрирования. Самое лучшее дешевое решение – это использовать PolicyMaker Registry Extension. Это решение решает все эти проблемы и убирает ограничения, которые Microsoft ввело в ADM шаблоны, касающиеся отдельных типов Реестра.

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]