Запись паролей в реестре

Глумление над реестром. Пароли, авторизация и т.п.

Отключение кэша паролей.
From: Capricorn
Помогает избавиться от проблемы «утаскивания» и дальнейшего взлома ваших сетевых и интернет паролей. Как известно эти пароли хранятся в файле с расширением PWL. Отключение кеша запрещает запись паролей в это файл. А следовательно его «выкрадывание» и дальнейший взлом не приносят не каких результатов. Единственное неудобство это надобность вводить каждый раз при коннекте в окно DialUp -Password пароль вручную. Но это все-же лутьше чем «подарить» пароль и логин хакеру.
Итак. В регистре ищем строку ( если ее нету пишем ручками)
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Policies
Network
«DisablePwdCaching»=dword:00000001
Запоминаем произведенные изменения. Находим в каталоге Windows файл (или файлы) с расширением PWL. Удаляем их. Перезагружаемся. Файл паролей хоть и создается опять, но он пустой. Хе-хе пусть исчуть на здоровье 🙂
Для возврата в обратное состояние надо удалить строку параметра «DisablePwdCaching»=dword:00000001

«Забыли пароль? Ничего!»
From: Андрей aka MATAN
Итак, представьте: Вы наконец-то решились снести win95 вместе с Internet Mail (I_M) и поставить win98 (c Outlook, например) и вдруг Вы с ужасом осознаете, что забыли пароль своего почтового адреса. Т.е I_M его помнит и почту по нему забирает, но показывать не хочет.
Не хочет — заставим.
Сам пароль храниться в файле USER.DAT — сделаем на всякий случай резервную копию.
Запускаем regedit -> HKEY_CURRENT_USER-> SOFTWARE->Microsoft ->Internet Mail and News ->MAIL -> POP3 -> «Ваш сервер» — смотрим пароль (в зашифрованном виде) и выписываем его на бумажку.
Запускаем Interner Mail -> Сообщения -> Параметры -> Сервер.
(*) Стираем последний символ пароля, нажимаем ПРИМЕНИТЬ, лезем в regedit — смотрим что получилось (для обновления шифровки переходим выше/ниже) и выписываем это на бумажку. Затем снова возвращаемся к (*) и так пока не сотрем весь пароль.
Теперь начинаем подбирать символы: лезем в I_M подбираем первый символ так, чтобы получившаяся шифровка в regedit соответствовала последней записи в блокноте, потом второй символ — для предпоследней записи. и т. д, пока не подберем весь пароль.
Если Вы начали подбирать символ и результат слишком далек от оригинала (значения отличаются на несколько десятков) попробуйте сменить регистр или набирать цифры.
Вот и все.

Автоматический вход в Windows NT 4.0
From: Алексей Скрипкин (По материалам WinNT Russian Users Group)
HKEY_LOCAL_MACHINE
Software
Microsoft
WinNT
Current Version
WinLogon: AutoAdminLogon: REG_SZ:1
DefaultUserName: Имя
DefaultPassword: Пароль

Блокировка значка Passwords в «Панели управления»
From: Стаsик
Если вы не хотите, чтобы кто-то в ваше отсутсвие менял пароль при входе в Windows, просто зделайте иконку Passwords в Панели управления заблокированной:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Dword ключ с именим «NoSecCPL»
Значение 0 = доступно, 1 = недоступно

Запрещение отключения компьютера через Пуск — Завершение работы
From: Стаsик
Можно запретить другим пользователям отключать компьютер через Пуск-Завершение работы. (Правда любой догадается отключить питание)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Создаем DWORG ключ с именем «NoClose»
Значение:
0 = завершение разрешено, 1 = завершение заблокировано

Снятие пароля «Советника по содержимому»
From: Anton Marinin
Если Вы забыли или не знали изначально пароль для настройки «Советника по содержимому» (такая фича в Панель управления/Интернет), и из-за этого не имеете доступ к серверам, то Вы можете поступить следующим образом:
1. В Реестре Windows находите строковый параметр «Key» по адресу: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings\ и удаляете его.
2. Жмёте «Обновить (F5)» и закрываете редактор реестра. Теперь Вы сможете использовать продукты Microsoft Internet Explorer.

Снятие пароля Screen Saver-а
From: Anton Marinin
В Windows имеется возможность вручную снять пароль Screen Saver-а. Для этого открываем Редактор реестра и находим строковый параметр «ScreenSave_Data» по адресу: HKEY_USERS\.Default\Control Panel\desktop и удаляем его. Пароль исчез!

www.cqham.ru

Самое хитрое снятие пароля Windows XP в моей практике

Казалось бы задача снятия пароля в Windows XP дело пары минут. Имеется в виду не восстановление пароля, а именно снятие, т.е. когда пользователь заходит без пароля.

Для решения подобной проблемы существует масса утилит, начиная со знаменитых Winternals ERD commander и Hiren’s BootCD, в состав которых входят средства для снятия и изменения паролей не только Windows XP, но также Vista и Windows 7, и заканчивая различными сборками под CD и flash-носители.

Мне же достался особый случай. Практическое применение сегодняшнему посту найти будет сложновато, уж слишком редкие обстоятельства. Итак, на стареньком ноутбуке установили пароль русскими буквами.

Пароли кириллицей — это просто ПЯТЬ! Не делайте так никогда!

Что тут страшного? Читаем далее. дурная голова владельца ноута, рукам покоя явно не давала — зачем-то удалили русский язык из системы, т.е. оставив исключительно английскую раскладку (так конечно веселее). Догадались о результате? После перезагрузки пользователь уже не мог набрать свой пароль.

Во избежании непонятных проблем, желательно вообще не называть пользователей и компьютеры кириллицей, о чем я уже писал в блоге, рассказывая про ошибку: Helo command rejected: Invalid name.

Продолжим. не зря я упомянул, что ноутбук старенький и грузиться с флешки он не умеет, а DVD-привод как-то не вдохновился моим реанимационным диском, отказавшись его читать. Так что быстрые способы снять пароль отпали. В Windows XP Home обычно присутствует учетная запись Администратор, которая не показывается и в большинстве случаев без пароля. Правда выбрать её при загрузке не получится, а в безопасном режиме слово Администратор надо как-то написать, а у нас только английский. В общем — везде засада.

В итоге пришлось снять винчестер с ноутбука, подключив его внешним диском по USB и поменять вручную в реестре пользователя, пароль которого система предлагает ввести при старте.

Подробности действий интересующимся:

  1. Запускаем редактор реестра regedit на своей машине, где к ветке [HKEY_LOCAL_MACHINE] подключаем куст software (подробнее тут)
  2. Изменяем значение параметра DefaultUserName в ключе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] на Администратора.

Загрузившись под Администратором, добавил поддержку русского языка в систему и сменил пароль горе-пользователю. После в реестре вернул его учетную запись по умолчанию. Вот такие случаются истории.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

mdex-nn.ru

Где в реестре лежит пароль от учётной записи? — Windows XP

Где в реестре хранятся записи об автозагрузке программ?
Знаю, что не по теме, но может кто то поможет. где в реестре записываются включенные в автозагрузку программу и где записываются видимые.

Где в реестре находятся записи отвечающие за открытые-закрытые порты?
Подскажите где в реестре находятся записи отвечающие за открытые-закрытые порты.

Где на компьютере хранится пароль от сетевой учетной записи?
Как известно, пароли от локальных учетных записей хранятся в файлах SAM и SYSTEM в папке system32\config\ А где хранятся пароли от.

Снятие пароля с учётной записи
Ещё раз здравствуйте! Вопрос таков: можно ли снять (разблокировать, в конце концов убрать) пароль с учётной записи в windows ? Если да, то.

Создание учётной записи без доступа к программ
Срочно нужна помощь. Меня попросили помочь, создать вторую учётную запись, но так , что бы было невозможно, установить и удалять программы.

Выбор локальной\доменной учётной записи при входе
Здравствуйте. При входе на на комп не доступен выбор типа учётной записи (локальная или доменная) Как сделать активным поле "вход на"? .

Немного пустоватенько у меня там, видимо не к добру

«В нем видим параметр V, в котором в зашифрованном виде и хранится пароль пользователя.»
Ну допустим нашёл ТС хэш пароля, и что? Брутить ему его до старости?

Правая кнопка мыши на разделе => разрешения => добавить для своей учетной записи права на чтение (при необходимости снять наследование прав с последующим копированием)

Был задан вопрос от него, где конкретно хранится в реестре — даю конкретный ответ.
Я не знаю, что он дальше будет делать с этим параметром — брутить, или заменять.

Но смысла брутить нет. Можно ведь просто запретить пользователю самому менять пароль.

Ну и может пока папы и мамы нет сесть за комп

Кстати насчёт биоса вычитал

Если будет пароль на вход в виндоус то ты не подправишь реестр, сможешь лишь подправить в тот момент когда тебя пустят в виндоус, но смысла нет его менять, хотя если заменишь на свой, то уже ты будешь пускать папу к компу по расписанию.

Для тебя оптимальный вариант, грузится по тихому с лайв сиди.

Ну почему же нет. Есть же кусты hive или как их там.

Добавлено через 12 минут
Или можно просто пробный пароль сейчас создать

1. Да, здесь не все так просто.
Пароль можно сбросить многими способами. Объясняю на пальцах, как через реестр:

В параметре V находим смещение 00А0 и правим число 14 на 04 в двух местах от него, как показано на рисунке. Если там вообще не 04 и не 14 — лучше не трогать, т.к. ОС у всех разные, могут быть другие смещения, которые нужно еще высчитывать.
Таким образом, мы обнулили длину пароля. Но сами хеши пароля хранятся по другим смещениям, причем они могут отличаться на разных компьютерах. Прошу прощения, но рассказывать и показывать подробно обо всех подпараметрах параметра «V» не могу — у меня цейтнот!

Помните, что бездумно править реестр в этом месте небезопасно, не зря разрешения на эту ветку реестра по умолчанию отсутствуют.

2. Не всегда есть возможность вскрыть системный блок. Поэтому для BIOS существуют универсальные пароли.

3. Реестр можно подправить и под другой системой, загрузившись со сменного носителя на ней.

4. Все это конечно хорошо, но учебе тоже нужно уделять внимание, а не только развлечениям. И Вас, brifing, можно понять, и папу. Если не справляться со школьными предметами, как потом человек будет справляться с нагрузкой в институте, а затем и на работе, а также заниматься постижением и исследованием хакерских премудростей?

www.cyberforum.ru

ПК это просто

Научись сам решать проблемы с ПК

Главное меню

Навигация по статьям

Удаление пароля пользователя в Windows 7 и Windows XP

Если вы забыли пароль от своей учетной записи пользователя Windows 7 или Windows XP, то есть достаточно простое решение данной проблемы. Кроме видеоурока я вам представлю информацию ниже также и в текстовом варианте с картинками.

Данная информация проверена неоднократно на разных компьютерах и у разных пользователей. Ни у кого из моих знакомых проблем не возникало после того как я им советовал выполнить эти действия.

В интернете есть много различных загрузочных дисков, дисков с программами сброса пароля. Я многие из них опробовал и многие из них работают удовлетворительно. Но для своих читателей я хотел найти наиболее простой выход, который бы позволил использовать стандартные средства Windows.

Решение: нужно включить учетную запись администратора, которая по умолчанию скрыта в системе.

В Windows 7 эта процедура немного сложнее чем в Windows XP и требует наличие любого диска с установочными файлами Windows 7. Для того, чтобы включить пользователя «Администратор» в Windows XP нам вообще не понадобится ничего.

Просмотрите видеоурок, воспользуйтесь инструкциями ниже и напишите свой комментарий, поделитесь информацией со своими друзьями в соц сетях.

В видео я начал с Windows 7, а в описании начну с более простого варианта, то есть с Windows XP.

При старте компьютера вам нужно нажимать клавишу F8, после чего появится вот такое окно или точнее экран:

В нем мы поднимаемся вверх и и выбираем «Безопасный режим». На этом как не странно ВСЕ. При загрузке Windows XP (ХРюшки) мы увидим учетную запись админа:

Войдя в Windows без проблем мы заходим в ПУСК — Панель управления — учетные записи пользователей — управление другой учетной записью и, выбрав нужную запись, удаляем в ней пароль.

Теперь приступим к более сложному способу, который понадобится для удаления в Windows 7. Хотя он кажется сложным только из-за того, что нужно выполнить больше «телодвижений», а так все просто.

Первым делом вставляем диск с Windows 7 в CD/DVD привод и перезагружаемся. С помощью клавиши F12 (или F10, F2, F8, F9) запускаем загрузочное меню, в котором выбираем возможность загрузки с диска. Если у вас есть флешка с Windows 7, то с флэшки. Примеры меню, которые у вас могут открыться при нажатии F12:

Хотя можно настроить загрузки и из под BIOS. Этот вопрос я рассматривал детально здесь: Настройка нетбука с нуля.

Загружается диск с Windows 7:

Установка Windows 7 нам не нужна, мы выбираем восстановление системы, выбираем командную строку:

Вписываем regedit для того, чтобы вызвать реестр Windows и нажимаем Enter:

В следующем окне нажимаем далее:

Открывается реестр Windows, выделяем папку HKEY_LOCAL_MACHINE:

В меню нажимаем Файл — загрузить куст:

Проходим по пути: C:/Windows/System32/config/ и открываем файл SAM:

Вписываем любое имя куста и нажимаем ОК:

Открываем созданную папку, далее проходим по пути: SAM/Domains/Account/. Далее выделяем папку 000001F4 и открываем файл F:

Изменяем в строке 0038 число 11, на число 10.

После проделанных действий выделяем, созданную ранее папку, вызываем меню Файл и выбираем Выгрузить куст:

Далее перезагружаемся, заходим по пользователем «Администратор» и удаляем таким же способом как и в Windows XP пароль с пользователя. Пуск — панель упралвения — Учетные записи пользователя — изменить другую учетную запись и удаляем пароль у указанного пользователя.

Ждем ваших комментариев. Всем удачи и хорошего настроения.

pc-prosto.com.ua

Запись паролей в реестре

Продолжение, начало в выпусках: 1 2 3 4 5 6 7 8 9 10

оцените: 1 2 3 4 5

Книга «Недокументированные возможности Windows XP. Библиотека пользователя», Глава 3. Консоль управления Microsoft. Часть 10. Оснастки Windows XP: Шаблоны безопасности.

Оснастка ШАБЛОНЫ БЕЗОПАСНОСТИ является довольно интересной оснасткой, с помощью которой можно создать свой собственный шаблон безопасности или отредактировать уже существующие шаблоны безопасности. Шаблоны безопасности представляют собой файлы, содержащие различные настройки параметров реестра и файловой системы Windows XP. Файлы шаблонов безопасности можно легко импортировать в систему, чтобы настройки, в них содержащиеся, были применены к данному компьютеру.

Шаблоны безопасности нельзя применить к компьютерам, операционная система которых установлена на дисках, отформатированных не в файловую систему NTFS.

Оснастка ШАБЛОНЫ БЕЗОПАСНОСТИ не входит ни в одну стандартную консоль, поэтому для получения доступа к ней необходимо воспользоваться консолью управления Microsoft mmc.exe. Оснастка ШАБЛОНЫ БЕЗОПАСНОСТИ имеет GUID-номер <5ADF5BF6-E452-11D1-945A-00C04FB984F9>, поэтому, если оснастка с таким номером будет запрещена с помощью групповых политик, тогда вы не сможете запустить оснастку ШАБЛОНЫ БЕЗОПАСНОСТИ (она просто исчезнет из списка доступных для открытия оснасток).

После открытия оснастки перед вами отобразится окно, подобное приведенному на рисунке 3.27.

Элемент дерева Шаблоны безопасности по умолчанию содержит в себе подраздел c:\windows\security\templates. А этот подраздел, в свою очередь, содержит в себе набор стандартных шаблонов безопасности. Все отображаемые в оснастке шаблоны безопасности находятся в каталоге файловой системы c:\windows\security\templates. При этом стоит сказать, что каталог, из которого берутся шаблоны безопасности, не статичен. То есть, путь к каталогу можно изменить с помощью реестра (соответственно изменится и название подраздела элемента ШАБЛОНЫ БЕЗОПАСНОСТИ). Для изменения пути к каталогу шаблонов безопасности, необходимо изменить название подраздела C:/WINDOWS/SECURITY/TEMPLATES из ветви реестра HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SECEDIT\TEMPLATE LOCATIONS.

Также вы можете создать и свой собственный подраздел в ветви реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations. Созданный вами подраздел будет отображаться в оснастке наряду со стандартным подразделом. Чтобы создать новый подраздел с помощью механизмов оснастки, нужно выбрать в меню Действие команду Новый путь для поиска шаблонов…

Подраздел C:/WINDOWS/security/templates ветви реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations может содержать в себе параметр строкового типа Description, определяющий описание содержимого каталога. Это описание отображается в столбце Описание правой панели оснастки.

Все шаблоны безопасности, отображенные в оснастке, изменяют одни и те же параметры файловой системы и реестра (просто каждый шаблон устанавливает свои собственные значения этих параметров), поэтому мы с вами сначала подробно рассмотрим изменяемые шаблонами параметры, а потом рассмотрим отличия в значениях этих параметров для разных шаблонов безопасности. Для рассмотрения параметров мы воспользуемся шаблоном безопасности SETUP SECURITY. Этот шаблон используется сразу после установки операционной системы Windows XP для настройки доступа к файловой системе компьютера и ветвям реестра по умолчанию.

Шаблоны безопасности являются обычными файлами с расширением .inf, расположенными в каталоге C:/WINDOWS/security/templates (по умолчанию). При этом, название inf-файла используется в оснастке Шаблоны безопасности как название шаблона. То есть, шаблон Setup security является inf-файлом с именем Setup security.inf.

Все шаблоны безопасности содержат в себе следующие подразделы: ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ, ЛОКАЛЬНЫЕ ПОЛИТИКИ, ЖУРНАЛ СОБЫТИЙ, ГРУППЫ С ОГРАНИЧЕННЫМ ДОСТУПОМ, СИСТЕМНЫЕ СЛУЖБЫ, РЕЕСТР и ФАЙЛОВАЯ СИСТЕМА. Давайте вкратце рассмотрим каждый из этих подразделов.

Политики учетных записей Политики учетных записей по умолчанию содержат в себе три политики. Это ПОЛИТИКА БЛОКИРОВКИ УЧЕТНОЙ ЗАПИСИ, ПОЛИТИКИ ПАРОЛЕЙ и ПОЛИТИКА KERBEROS.

Политики паролей С помощью политики паролей можно настроить параметры создания паролей для учетных записей пользователей компьютера, а также определить параметры хранения паролей пользователей. Для этого применяются следующие правила.

Скорее всего, все приведенные ниже правила хранятся в ветви реестра HKEY_LOCAL_MACHINE\SECURITY.

  • МАКСИМАЛЬНЫЙ СРОК ДЕЙСТВИЯ ПАРОЛЯ — указывает количество дней, в течение которого будут действовать пароли пользователей. При истечении указанного срока дней пользователи должны сменить пароль. Для шаблона безопасности SETUP SECURITY это правило равно 42 дням.
  • МИНИМАЛЬНАЯ ДЛИНА ПАРОЛЯ — определяет, из скольких символов должен состоять (как минимум) создаваемый пароль, чтобы система разрешила его использование. Для шаблона безопасности SETUP SECURITY это правило равно 0 символам.
  • МИНИМАЛЬНЫЙ СРОК ДЕЙСТВИЯ ПАРОЛЯ — указывает количество дней, которое должно истечь, чтобы пользователь смог сменить пароль. Если указанное количество дней не истекло, тогда пользователю будет запрещено изменять пароль. Значение данной политики должно быть меньше значения политики МАКСИМАЛЬНЫЙ СРОК ДЕЙСТВИЯ ПАРОЛЯ. Для шаблона безопасности SETUP SECURITY это правило равно 0 дням.
  • ПАРОЛЬ ДОЛЖЕН ОТВЕЧАТЬ ТРЕБОВАНИЯМ СЛОЖНОСТИ — если данное правило установлено, тогда система не разрешит создание паролей, содержащих в себе только цифры или только буквы. Также при использовании данного правила все пароли должны содержать в себе символы в разных регистрах, символы, не принадлежащие к алфавитно-цифровой клавиатуре (например, символы &, $, !), а также пароли должны содержать не меньше шести символов. Для шаблона безопасности SETUP SECURITY это правило отключено.
  • ТРЕБОВАТЬ НЕПОВТОРЯЕМОСТИ ПАРОЛЕЙ — значение данного правила определяет количество паролей, которые должны быть добавлены в базу данных SAM (содержит в себе хеши паролей всех учетных записей пользователей), после чего система разрешит в качестве пароля задать уже использовавшийся ранее пароль. Для шаблона безопасности SETUP SECURITY это правило равно 0 паролей.
  • ХРАНИТЬ ПАРОЛИ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ В ДОМЕНЕ, ИСПОЛЬЗУЯ ОБРАТИМОЕ ШИФРОВАНИЕ — если данное правило будет включено, тогда система будет создавать пароли пользователей с возможностью их расшифровки (так называемое, обратимое шифрование). Создание паролей с возможностью их расшифровки может потребоваться некоторым приложениям для аутентификации пользователя (например, это необходимо протоколу CHAP). Но перед установкой этого правила следует учесть, что такой способ хранения паролей резко снижает уровень безопасности компьютера. Для шаблона безопасности SETUP SECURITY это правило отключено.
  • Политика блокировки учетной записи С помощью данной политики можно определить правила поведения системы в случае нескольких попыток неудачного ввода пароля при аутентификации пользователя.

    • БЛОКИРОВКА УЧЕТНОЙ ЗАПИСИ НА — значение данного параметра определяет количество минут, на которое будет выполняться блокировка учетной записи после нескольких попыток неудачного ввода пароля. Значение данного правила может находиться в диапазоне от 1 до 99999 (если значение будет равно 0, тогда учетная запись будет заблокирована до тех пор, пока администратор компьютера ее не разблокирует самостоятельно). Для шаблона безопасности SETUP SECURITY это правило не определено.
    • ПОРОГОВОЕ ЗНАЧЕНИЕ БЛОКИРОВКИ — значение данного правила определяет количество попыток неверного ввода пароля, после которых учетная запись будет заблокирована. Возможные значения лежат в пределах от 0 до 999. Для шаблона безопасности SETUP SECURITY это правило 0 ошибок.
    • СБРОС СЧЕТЧИКА БЛОКИРОВКИ ЧЕРЕЗ — значение данного правила определяет количество минут, после истечения которых счетчик неверных попыток ввода пароля будет обнулен. Значение данного правила может находиться в пределах от 1 до 99999. Для шаблона безопасности SETUP SECURITY это правило не определено.

    Политика Kerberos Данная политика определяет настройки протокола Kerberos, используемые при входе пользователя в систему. В контексте данной книги настройки данной политики рассмотрены не будут, так как они относятся к компьютерам, находящемся в домене, а это большая редкость на домашних компьютерах.

    Локальные политики Подраздел ЛОКАЛЬНЫЕ ПОЛИТИКИ содержит в себе три подраздела: ПОЛИТИКА АУДИТА, НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ и ПАРАМЕТРЫ БЕЗОПАСНОСТИ.

    Политика аудита Данная политика позволяет определить события, факты происхождения которых будут записываться в журнал БЕЗОПАСНОСТЬ оснастки ПРОСМОТР СОБЫТИЙ. Можно указать запись в журнал БЕЗОПАСНОСТЬ сведений об успешных или неудачных попытках выполнения следующих операций: вход в систему, доступ к объектам, имеющим собственный SACL (например, к принтерам, файлам, папкам), доступ к каталогам Active Directory и других. Для шаблона безопасности SETUP SECURITY все события аудита, кроме аудита доступа к службе каталога (этот аудит не определен), отключены.

    Назначение прав пользователя С помощью данной политики можно определить права различных пользователей или групп пользователей на выполнение различных операций с объектами и компонентами операционной системы. Например, с помощью данной политики можно определить пользователей, которым разрешено входить локально в систему, разрешено входить в систему через службу терминалов, разрешено выполнять архивирование файлов и каталогов и т.д.

    Параметры безопасности С помощью данной политики можно настроить очень многие параметры реестра, относящиеся к безопасности компьютера. Довольно часто в Интернет можно прочитать советы об изменении тех или иных параметров реестра, настраивающих безопасность компьютера. Многие из параметров, указанных в таких советах, можно изменить и с помощью политики ПАРАМЕТРЫ БЕЗОПАСНОСТИ. Например, к наиболее часто упоминаемым в Интернет способам настройки безопасности с помощью реестра, которые также можно изменить и с помощью политики ПАРАМЕТРЫ БЕЗОПАСНОСТИ являются следующие.

  • Очистка файла подкачки pagefile.sys при завершении работы компьютера. Для шаблона SETUP SECURITY данное правило отключено.
  • Сообщение, отображаемое перед входом пользователя в систему. Для шаблона SETUP SECURITY данное правило не определено.
  • Посылать незашифрованный пароль сторонним SMB-серверам. Для шаблона SETUP SECURITY данное правило отключено.
  • Запретить изменение паролей учетных записей пользователей. Для шаблона SETUP SECURITY данное правило не определено.
  • Пути в реестре, доступные через удаленное подключение. Для шаблона SETUP SECURITY данное правило не определено.
  • Разрешить анонимный доступ к общим ресурсам. Для шаблона SETUP SECURITY данное правило не определено.
  • Отключение или переименование учетных записей администратора и гостя. Для шаблона SETUP SECURITY эти правила не определены (кроме отключения учетной записи гостя, по умолчанию эта запись отключена).
  • При этом большинство правил списка ПАРАМЕТРЫ БЕЗОПАСНОСТИ хранятся в реестре (то есть, вы и сами можете добавить к данному списку свои правила изменения параметров реестра, чтобы изменять их с помощью шаблона безопасности). Для этого предназначена ветвь реестра HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SECEDIT\REG VALUES. Данная ветвь содержит в себе список подразделов, названия которых соответствуют пути к изменяемому правилом параметру реестра (данный путь должен начинаться не с корневого раздела ветви, а с класса, в котором хранится объект операционной системы (операционная система Windows XP является объектно-ориентированной), например, класс MACHINE определяет корневой раздел HKEY_LOCAL_MACHINE). Данные подразделы содержат в себе следующие параметры.

  • DISPLAYNAME — значение данного параметра строкового типа определяет название правила, отображаемое в списке политики ПАРАМЕТРЫ БЕЗОПАСНОСТИ.
  • DISPLAYCHOICES — значение данного параметра строкового типа определяет описание возможного состояния правила (если для установки правила используется список состояний), а также значение, которое будет присваиваться параметру при установке соответствующего состояния правила.
  • DISPLAYTYPE — значение данного параметра DWORD-типа определяет способ указания состояния правила. Данный параметр может принимать следующие значения: 1 — отобразить счетчик для указания состояния правила; 2 — поле для ввода значения; 3 — раскрывающийся список (для выбора возможного состояния из списка); 4 — список для выбора состояния; 6 — два флажка, с помощью которых можно включить или отключить правило;
  • VALUETYPE — значение данного параметра DWORD-типа определяет тип изменяемого данным правилом параметра реестра. Ниже приведены возможные значения. 1 — строковой тип параметра. 3 — тип параметра REG_BINARY. 4 — тип параметра REG_DWORD. 7 — тип параметра REG_MULTI_SZ.
  • На рисунке 3.28 можно видеть пример описания правила в реестре.

    Журнал событий С помощью данной политики можно настроить параметры стандартных журналов системы, доступ к которым можно получить с помощью оснастки ПРОСМОТР СОБЫТИЙ. Например, с помощью данной политики можно определить максимальные размеры файлов стандартных журналов системы, количество дней хранения этих файлов, а также запретить или разрешить просмотр системных журналов для учетной записи ГОСТЬ. Все параметры реестра, изменяемые этой политикой, мы уже рассмотрели в разделе о настройках оснастки ПРОСМОТР СОБЫТИЙ.

    Группы с ограниченным доступом С помощью данной политики можно добавить в группу временного пользователя (для повышения его прав на некоторое время). При этом, после перезагрузки данный пользователь будет удален из группы. Тем самым администратор может делегировать на время права некоторым пользователям не заботясь о снятии делегированных прав с пользователя — это выполнит система. Для добавления ограниченного пользователя в группу, нужно создать саму группу, в которую будет добавляться пользователь. Для этого нужно в контекстном меню подраздела ГРУППЫ С ОГРАНИЧЕННЫМ ДОСТУПОМ выбрать команду ДОБАВИТЬ ГРУППУ…. После этого система предложит вам ввести или выбрать из списка группу, а после этого предложит добавить в нее новых пользователей.

    Системные службы С помощью данной политики можно указать тип запуска служб, установленных на компьютере, или вообще отключить запуск некоторых служб.

    Реестр С помощью данного подраздела можно указать права доступа к различным ветвям реестра. Чтобы указать права доступа к ветви реестра, необходимо сначала добавить в данный подраздел ветвь реестра. Для этого необходимо в контекстном меню подраздела РЕЕСТР выбрать команду ДОБАВИТЬ РАЗДЕЛ…. После этого консоль управления Microsoft предложит вам указать права для доступа к данной ветви реестра.

    Файловая система С помощью данного подраздела можно указать права доступа к различным каталогам файловой системы Windows XP. Чтобы указать права доступа к каталогу, необходимо сначала добавить в подраздел ФАЙЛОВАЯ СИСТЕМА путь к каталогу. Для этого необходимо в контекстном меню подраздела выбрать команду ДОБАВИТЬ ФАЙЛ…. После этого консоль управления Microsoft предложит вам указать права для доступа к данному каталогу или файлу, а после этого предложит указать, будут ли определенные вами права распространятся на все вложенные в каталог папки.

    А теперь давайте рассмотрим другие стандартные шаблоны безопасности и их отличие от шаблона по умолчанию.

    Compatws.inf Настройки шаблона по умолчанию ограничивают группу ПОЛЬЗОВАТЕЛИ, запрещая ей доступ ко многим ветвям реестра, и каталогам файловой системы. В добавок к группе ПОЛЬЗОВАТЕЛИ, шаблон по умолчанию создает группу ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, обладающую большими правами в операционной системе. Создание двух разных групп необходимо для повышения безопасности. Тем не менее, не рекомендуется использовать группу ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, так как она в системе имеет очень многие права, которые можно использовать не только на благо, но и во вред. В частности, пользователи из группы опытных имеют больше шансов осуществить различные методы взлома, направленные на получение прав администратора или системы.

    Хотя в некоторых случаях без использования группы ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ обойтись нельзя. В частности, когда пользователи компьютера должны иметь права на установку программ, не сертифицированных для Microsoft. Такие программы используют для своей установки ветви реестра и каталоги файловой системы, доступ к которым закрыт для обычных пользователей. Если необходимо, чтобы пользователи могли устанавливать такие программы, тогда желательно установить шаблон безопасности COMPATWS, а не использовать группу ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ. Данный шаблон специально разрабатывался для предоставления группе ПОЛЬЗОВАТЕЛИ специальных прав, которых достаточно для установки большинства программ (при этом, другие права, доступные группе ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, группе ПОЛЬЗОВАТЕЛИ не передаются, то есть, в остальном группа ПОЛЬЗОВАТЕЛИ остается ограниченной). Также при установке шаблона COMPATWS все члены группы ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ удаляются из этой группы, а группе опытные пользователи предоставляются следующие права на каталоги файловой системы.

  • %programfiles% — чтение/запись/чтение и выполнение/список содержимого файлов/изменение.
  • %systemroot%\downloaded program files — чтение/запись/чтение и выполнение/список содержимого файлов/изменение.
  • %systemroot%\temp — чтение/запись/чтение и выполнение/список содержимого файлов/изменение.
  • %systemroot%\sysvol — права не определены ни для одной из групп.
  • Также шаблон безопасности COMPATWS изменяет права на ветви реестра из корневого раздела HKEY_CLASSES_ROOT. Но в данном случае скорее происходит не повышение прав группы ПОЛЬЗОВАТЕЛИ на содержимое данной ветви, а понижение прав группы ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, чтобы они не могли выполнять запись в данный корневой раздел реестра.

    Securews.inf Настройки данного шаблона повышают общую безопасность рабочей станции. Также существует шаблон безопасности SECUREDC, выполняющий аналогичные действия для контроллера домена. В контексте данной книги мы рассмотрим шаблон SECUREWC, так как второй шаблон предназначен для компьютеров, находящихся в домене и являющихся контролерами доменов, что довольно редко на домашних компьютерах. Итак, основные отличая шаблона SECUREWC от шаблона по умолчанию заключаются в следующем.

  • Минимальная длина пароля 8 символов.
  • Минимальный срок действия пароля 2 дня.
  • Пароль должен отвечать требованиям безопасности.
  • Требовать неповторяемость 24 последних паролей.
  • Блокировка учетной записи на 30 минут.
  • Пороговое значение ошибок ввода пароля равно 5.
  • Сброс счетчика блокировки через 30 минут.
  • Выполняется аудит следующих событий: неправильный ввод пароля при входе в систему, аудит всех событий входа в систему и управления учетными записями, а также любое изменение политик и отказ системы в предоставлении привилегий учетной записи пользователя.
  • Изменений в доступе к реестру и файловой системе нет. Изменения в параметрах безопасности мы не рассматриваем, хотя если кратко, то изменения в основном заключаются в отказе от протоколов аутентификации LM и NTLM.
  • Hisecws.inf Данный шаблон определяет повышенный уровень безопасности рабочей станции. Как и предыдущие два шаблона, этот шаблон имеет своего двойника, предназначенного для настройки повышенного уровня безопасности контроллера домена (HISECDC). Основные отличия шаблона HISECWS от шаблона SECUREWC заключаются в следующем.

  • Блокировка учетной записи на 0 минут (то есть, до ее явной разблокировки администратором).
  • Аудит всех событий безопасности, кроме событий отслеживания процессов (отключен) и событий доступа к службе каталогов Active Directory (не определено).
  • Изменений в доступе к реестру и файловой системе нет. Изменения параметров безопасности, в основном, заключаются в требовании подписывания передаваемых по сети данных.
  • Rootsec.inf Данный шаблон безопасности служит лишь одной цели — присвоению прав доступа к системному диску по умолчанию. Именно этот шаблон применяется для настройки прав на доступ к системному диску при установке операционной системы.

    Notssid.inf Данный шаблон безопасности предназначен лишь для исключения доступа учетной записи Terminal Server к файловой системе и реестру Windows XP. Если сервер терминалов не используется, тогда можно применить данный шаблон безопасности, для исключения SID сервера терминалов из прав доступа к объектам системы, хотя, как подчеркивает Microsoft, присутствие SID сервера терминалов никоим образом не влияет на безопасность компьютеров.

    А теперь давайте для примера попробуем создать свой собственный шаблон безопасности. Как правило, для этого лучше воспользоваться одним из стандартных шаблонов, а не создавать шаблон с нуля.

    Создание шаблона безопасности Чтобы создать шаблон безопасности на основе любого другого шаблона, необходимо в контекстном меню шаблона выбрать команду СОХРАНИТЬ КАК…. После этого консоль управления Microsoft предложит вам указать имя нового шаблона, после чего он отобразится в дереве оснастки ШАБЛОНЫ БЕЗОПАСНОСТИ. Также существует возможность копирования отдельных подразделов шаблона в другой шаблон. Для этого необходимо в контекстном меню подраздела эталонного шаблона выбрать команду КОПИРОВАТЬ. После этого необходимо в контекстном меню того же подраздела, но шаблона-приемника, выбрать команду ВСТАВИТЬ.

    Например, чтобы быстро создать шаблон на основе шаблона SECUREWS, но с настройками файловой системы из шаблона ROOTSEC, необходимо сначала создать шаблон на основе шаблона SECUREWS (команда СОХРАНИТЬ КАК), а после этого выполнить копирование подраздела ROOTSEC/ФАЙЛОВАЯ СИСТЕМА в подраздел ФАЙЛОВАЯ СИСТЕМА созданного вами шаблона. После этого можно самостоятельно отредактировать состояние отдельных правил политик созданного вами шаблона.

    Не рекомендуется изменять состояния правил непосредственно в стандартных шаблонах. Лучше для этого создать новый шаблон на основе одного из стандартных.

    Импортирование шаблона безопасности Шаблон безопасности мы создали. Но что нам теперь с ним делать? Для ответа на данный вопрос можно воспользоваться либо оснасткой ГРУППОВАЯ ПОЛИТИКА, либо оснасткой АНАЛИЗ И НАСТРОЙКА БЕЗОПАСНОСТИ. Также можно воспользоваться командой командной строки secedit.exe.

    Групповая политика Когда мы рассматривали оснастку ГРУППОВАЯ ПОЛИТИКА, мы пропустили такие ее подразделы, как ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ и ЛОКАЛЬНЫЕ ПОЛИТИКИ. Теперь мы знаем, что хранится в этих подразделах, а также умеем создавать свои собственные шаблоны. Если вы уже создали свой шаблон с изменениями состояния правил данных подразделов, тогда существует возможность его импортирования в групповую политику, чтобы настройки из шаблона применялись вместе с настройками групповой политики. Для этого необходимо в контекстном меню элемента ПАРАМЕТРЫ БЕЗОПАСНОСТИ консоли ГРУППОВАЯ ПОЛИТИКА выбрать команду ИМПОРТ ПОЛИТИКИ. После этого консоль управления Microsoft попросит указать путь к шаблону безопасности и использует его содержимое для настройки подразделов ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ и ЛОКАЛЬНЫЕ ПОЛИТИКИ. При этом остальные настройки шаблона безопасности применяться не будут.

    Анализ и настройка безопасности С помощью данной оснастки можно не только применить к компьютеру любой созданный шаблон (в отличие от ГРУППОВОЙ ПОЛИТИКИ, данная оснастка использует все содержимое шаблона, а не только настройки подразделов ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ и ЛОКАЛЬНЫЕ ПОЛИТИКИ), но и проанализировать текущие настройки компьютера с настройками из шаблона безопасности. Оснастка АНАЛИЗ И НАСТРОЙКА БЕЗОПАСНОСТИ имеет GUID-номер <011BE22D-E453-11D1-945A-00C04FB984F9>. После добавления данной оснастки к консоли управления Microsoft, в дереве консоли отобразится единственный элемент — АНАЛИЗ И НАСТРОЙКА БЕЗОПАСНОСТИ. Если вы раньше никогда не использовали данную оснастку, тогда перед началом работы с ней, необходимо создать базу данных текущих настроек безопасности компьютера. Для этого в контекстном меню оснастки необходимо выбрать команду ОТКРЫТЬ БАЗЫ ДАННЫХ… и в отобразившемся диалоге ввести имя новой базы данных. После этого консоль управления Microsoft предложит указать имя шаблона безопасности, настройки которого будут импортированы в созданную базу данных (если вы используете уже существующую базу, тогда можно очисть ее содержимое перед импортом настроек шаблона безопасности).

    Несмотря на то, что создаваемая база данных содержит информацию о настройках компьютера в неудобном для чтения виде, тем не менее, злонамеренные пользователи смогут ее использовать для анализа текущих настроек безопасности компьютера.

    После создания или открытия базы данных настроек шаблона, в контекстном меню оснастки станут доступными команды АНАЛИЗ КОМПЬЮТЕРА… и НАСТРОИТЬ КОМПЬЮТЕР….

    Если вы хотите только определить, соответствуют ли текущие настройки безопасности настройкам, содержащимся в открытой базе данных шаблона безопасности, тогда необходимо воспользоваться командой АНАЛИЗ КОМПЬЮТЕРА…. После этого консоль управления Microsoft предложит вам указать путь к текстовому файлу, в который будет записан лог процесса анализа компьютера. После этого в дереве оснастки отобразятся подразделы, аналогичные подразделам шаблонов безопасности. Эти подразделы будут содержать в себе описание текущего состояния (в вашем компьютере) установленных в шаблоне безопасности правил. Если текущие настройки состояния правила в вашем компьютере соответствуют настройкам из шаблона, тогда напротив правила будет установлена зеленая галочка. Если же настройки состояния правила в шаблоне безопасности отличаются от текущих настроек в вашем компьютере, тогда напротив соответствующего правила будет установлен красный крестик (рис. 3.29).

    Чтобы установить настройки компьютера в соответствии с настройками из открытой базы данных, необходимо выбрать команду НАСТРОИТЬ КОМПЬЮТЕР…. После этого консоль управления Microsoft также предложит вам указать путь к текстовому файлу, используемому для хранения лога процесса настройки компьютера.

    subscribe.ru