Управление безопасностью
Редактор Regedt32, в отличие от Regedit, позволяет обеспечить безопасность реестра. Функции защиты реестра и установки аудита на доступ к реестру устанавливаются при помощи функций меню Безопасность (Security) редактор Regedt32.
Установка прав доступа к разделам реестра. Команда Разрешения (Permissions) из меню Безопасность используется для просмотра и установления прав доступа к разделам реестра. Права доступа к разделам реестра можно назначать вне зависимости от типа файловой системы на разделе, где содержатся файлы Windows NT/2000.
Предупреждение
Изменение прав доступа к разделу реестра может иметь серьезные последствия. Например, если вы установите права доступа типа запретить полный доступ или запретить чтение (No Access) на раздел, необходимый для конфигурирования сети с помощью опции Сеть и удаленный доступ к сети из панели управления, то эта опция работать не будет. Права полного доступа (Full Access) к разделам реестра должны иметь, как минимум, члены группы Администраторы и сама операционная система (System). Такая установка прав доступа позволяет гарантировать возможность восстановления раздела реестра администратором при запуске системы.
Поскольку установка ограничений по правам доступа к разделам реестра может иметь серьезные последствия, зарезервируйте эту меру для разделов, добавляемых вами с целью настройки отдельных индивидуально разработанных приложений или иных видов индивидуальной настройки. Изменив права доступа к разделам реестра, обязательно установите в системе аудит, а затем проведите наблюдения за различными видами системной активности, регистрируясь в системе с использованием различных пользовательских и административных учетных записей.
Примечание
Для того чтобы получить возможность выполнить эти действия, необходимо зарегистрироваться в системе от имени пользователя, имеющего административные права.
В Regedt32 команды из меню Безопасность по назначению разделам реестра прав владельца и прав доступа работают по такому же принципу, как и аналогичные команды Проводника по установке прав доступа к файлам и каталогам на разделах NTFS (используется обычный редактор списков управления доступом, ACL). Чтобы установить права доступа к конкретному разделу реестра проделайте следующее:
- Перед внесением изменений выполните резервное копирование тех разделов реестра, на которые будут устанавливаться права доступа.
- Выделите раздел, на который собираетесь установить права доступа. После этого выберите команду Разрешения меню Безопасность.
- В открывшемся диалоговом окне Разрешения для (Permissions for) (рис. 14.7) установите нужные права доступа, выбрав флажки в поле Разрешения (Permissions). Права доступа, которые можно установить, перечислены в табл. 14.5.
Таблица 14.5. Права Доступа к разделам реестра.
| Тип доступа | Описание |
|---|---|
| Чтение (Read) | Позволяет пользователям, внесенным в список, просматривать содержимое раздела реестра, не позволяя сохранять изменения |
| Полный доступ (Full Control) | Позволяет пользователям, внесенным в список, получать доступ к разделу, редактировать его содержимое и изменять к нему уровень прав доступа |
Рис. 14.7. Диалоговое окно Разрешения для (Permissions for)
Можно также установить аудит на доступ к реестру.
При нажатии кнопки Дополнительно (Advanced) раскрывается диалоговое окно Параметры управления доступом (Access Control Settings), в котором можно установить более "тонкие" разрешения для отдельных пользователей или групп, включить аудит и сменить владельца выбранного раздела реестра.
Чтобы выбрать особые разрешения для некоторого пользователя или группы, нужно в окне Параметры управления доступом выделить нужную строку в списке Элементы разрешении (Permissions Entry) и нажать кнопку Показать/Изменить (View/Edit). Появится окно, где можно выбрать требуемые разрешения, устанавливая или сбрасывая соответствующие флажки (рис. 14.8).
Рис. 14.8. Диалоговое окно Элемент разрешения для