32411

Защита реестра в Windows NT/2000/XP/2003

Реферат

Информатика, кибернетика и программирование

Структура реестра. Разделы реестра которым соответствуют эти файлы называются кустами hives. Основные кусты реестра находятся в ветви HKEY_LOCL MCHINE и называются SM SECURITY S0FTWRE и SYSTEM.

Русский

2013-09-04

18.88 KB

2 чел.

Защита реестра в Windows NT/2000/XP/2003.

Структура реестра.

Реестр имеет иерархическую древовидную структуру .На ее верхнем уровне располагаются так называемые ветви (subtrees), основными из которых являются:

HKEY_LOCAL_MACHINE;

HKEY_USERS.

Остальные ветви представляют собой их подразделы и служат для более быстрого доступа к ним:

HKEY_CLASSES_ROOT;

HKEY_GURRENT_CONFIG;

HKEY_CURRENT_USER.

Реестр формируется в памяти компьютера при запуске Windows 2000/XP на основе нескольких файлов из папки \winnt\System32\Config .

Разделы реестра, которым соответствуют эти файлы, называются кустами (hives). Основные кусты реестра находятся в ветви HKEY_LOCAL MACHINE и называются SAM, SECURITY, S0FTWARE и SYSTEM. Раздел SAM – база данных диспетчера учетных записей, a SECURITY хранит информацию, используемую LSA. В кусте SOFTWARE хранятся настройки программного обеспечения, а в SYSTEM — конфигурационная информация (параметры драйверов и служб), необходимая для за-грузки Windows 2000/XP. Раздел HARDWARE ветви HKEY_LOCAL MACHINE не является кустом, поскольку его информация не сохраняется в файлах, а формируется заново при каждом запуске операционной системы (ОС).

Целостность данных реестра в процессе их модификации обеспечивает механизм, основанный на применении журналов транзакций. Любое изменение, вносимое в реестр, вначале фиксируется в журнале и только затем переносится в файл соответствующего куста. Такой механизм позволяет предотвратить повреждение информации, если в момент ее модификации происходит аппаратный сбой. При следующем запуске ОС основе анализа журналов транзакций определяется, какие изменения на момент сбоя были завершены, а какие – нет. Первые записываются в файл, соответствующий нужному кусту реестра, вторые – просто удаляются из журнала.

Кроме ветви HKEY_LOCAL_MACHINE, в которой находится информация, относящаяся ко всему компьютеру с Windows 2000/XP в целом, в реестре есть ветвь HKEY USERS, где хранятся профили пользователей.

Редактор реестра

Разделы и подразделы реестра защищаются аналогично папкам на дисках NTFS. Настройка параметров системы безопасности для разделов реестра в Windows 2000 осуществляется с помощью программы REGEDIT32 через ее пункт «Разрешения» меню «Безопасность».

В Windows 2000, как и Windows NT программа REGEDIT не имеет средств работы с информацией о безопасности, хотя имеет более развитые средства поиска.

Разрешения на доступ к разделам реестра

Для каждого раздела и подраздела создается отдельный объект со своим отдельным ACL (DACL и SACL). У каждого раздела реестра есть владелец – либо конкретный пользователь, либо группа Administrators или операционная система (SYSTEM).

Возможны следующие стандартные разрешения на доступ к разделу: 

читать;

полный доступ.

В Windows XP в списке стандартных разрешений в явной форме появились особые разрешения.

При нажатии в окне «Разрешения» кнопки «Дополнительно» можно просмотреть полный дискреционный список контроля доступа DACL.

Аудит реестра

Вначале надо проверить, включен ли в политике безопасности аудит доступа к объектам.

Для регистрации событий, связанных с доступом к тому или иному разделу реестра, в частности HKEY_LOCAL MACHINE\-SECURITY и \SAM, надо внести соответствующие записи в SACL к нужному разделу. Для этого в листе «Дополнительные  параметры безопасности» выбрать лист «Аудит» и на-жать кнопку «Добавить» и в окне элемент аудита произвести настройку записи аудита (ACE). Чтобы отслеживать толь-ко изменения, можно не следить за событиями типов «Запрос значения» и «Чтение разрешений». В качестве стартового раздела при выполнении этой операции лучше выбрать SECURITY, поскольку он, кроме всего прочего, включает символическую ссылку на раздел SAM. Та-ким образом, администратор может проставить нужные пара-метры аудита для двух указанных разделов одновременно.

Дополнительные средства работы с реестром

1. Registry Backup (Regback). Утилита Regback входит в состав Windows 2000 Resource Kit , обеспечивает резервное копирование кустов реестра Windows 2000/XP, используется в паре с программой REGREST.EXE.

2. Registry Restoration (REGREST) обеспечивает восстановление того или иного куста реестра Windows 2000/XP из резерв-ной копии, подготовленной с помощью REGBACK.EXE.

3. Regfind. обеспечивает поиск и замену определенной строки в параметрах раздела реестра локального или удаленного компьютера Windows 2000 или Windows 9x.

4. Regdmp. обеспечивает вывод реестра на устройство стандартного вывода (stdout), которое можно переназначить, на-правив вывод в файл. Извлекает информацию и из реестра Windows 9x. Используется в паре с программой REGINI.EXE

5. Registry Change by Script (RegIni). Она вносит изменения в реестр локального или удаленного компьютера Windows NT, 2000, XP, 9x из текстового файла, подготавливаемого с помощью программы Regdmp. Утилита позволяет изменять списки прав доступа к разделам реестра.

7. Compreg. Утилита командной строки производит сравнение разделов реестра Windows 2000 и Windows 95 одно-го или разных компьютеров в сети.

8. ScanReg. Утилита обеспечивает поиск символов в названиях разделов и параметров реестра Windows XP, 2000, NT, 9x.

9. DumpReg. Программа фирмы Somarsoft. Обеспечивает просмотр, сортировку, поиск, сохранение данных, хранящихся в реестре Windows 2000 локального и удаленного компьютера.

2.6.11. MultiReg. является инструментом администратора, который позволяет просмотреть и модифицировать установки реестра на множестве компьютеров одновременно.