Иллюстрированный самоучитель по Microsoft Windows 2000

Управление безопасностью

Окно Элемент разрешения для содержит десять различных флажков, позволяющих устанавливать различные права доступа к разделам реестра. Краткое описание этих флажков и устанавливаемых с их помощью прав приведены в табл. 14.6.

Таблица 14.6. Флажки диалогового окна Элемент разрешения для.

Флажок Назначаемые права
Запрос значения (Query Value) Дает право чтения значимых элементов из раздела реестра
Задание значения (Set Value) Дает право модифицировать значимый элемент в разделе реестра
Создание подраздела (Create Subkey) Дает право создавать подразделы в выбранном разделе реестра
Перечисление подразделов (Enumerate Subkey) Дает право идентифицировать подразделы выбранного раздела реестра
Уведомление (Notify) Дает право установить аудит на разделы реестра
Создание связи (Create Link) Дает право создавать символические ссылки в конкретном подразделе реестра
Удаление (Delete) Дает право удаления выделенного раздела
Запись DAC (Write DAC) Дает право получать доступ к разделу и создавать/модифицировать для него Список управления доступом (Access Control List, ACL)
Смена владельца (Write Owner) Дает право присвоения прав владельца данного раздела
Чтение разрешений (Read Control) Дает право просматривать параметры безопасности, установленные для данного раздела

Как системный администратор, вы можете присвоить себе права владельца на раздел реестра и ограничить доступ, к этому разделу. Чтобы присвоить себе права владельца на раздел реестра, выберите в окне Параметры управления доступом вкладку Владелец (Owner), в поле Изменить владельца на (Change owner to) укажите нужного пользователя или группу и нажмите кнопку Применить (Apply).

Пользователь, зарегистрировавшийся на компьютере с правами администратора, может присвоить себе права владельца на любой раздел реестра. Однако если администратор будет иметь права владельца на раздел без прав полного доступа, то раздел не может быть возвращен первоначальному владельцу, а в журнале аудита появится соответствующее сообщение.

Аудит действий в отношении реестра

Чтобы установить аудит на действия в отношении реестра, необходимо выполнить следующие действия:

  • С помощью оснастки Групповая политика (Group Policy) активизировать в системе политику аудита – аудит доступа к объектам.
  • Указать пользователей и группы, за действиями которых в отношении выбранных разделов реестра требуется установить аудит. Воспользуйтесь для этого вкладкой Аудит (Auditing) в окне Параметры управления доступом редактора реестра Regedt32.
  • Результаты аудита просматривайте в Журнале безопасности (Security log) с помощью оснастки Просмотр событий (Event Viewer).

Чтобы иметь возможность выполнить любое из указанных выше действий, необходимо зарегистрироваться на компьютере с использованием учетной записи из группы Администраторы. Политика аудита может устанавливаться локально или с помощью групповых политик домена.

Примечание
Если при установке аудита выбрать опцию Успех (Success) для событий доступа к объектам, то в системном журнале может появляться большое количество записей, не имеющих большой практической значимости. Поэтому нужно либо выбрать опцию Отказ (Failure), либо регистрировать успешные попытки выполнения отдельных критических операций типа изменения значения параметра, удаления/добавления разделов и т. п
.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.