Использование редактора реестра

⇐ ПредыдущаяСтр 3 из 13Следующая ⇒

Предупреждение. Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным способом может привести к серьезным неполадкам. Для их устранения может потребоваться переустановка операционной системы. Корпорация Майкрософт не гарантирует, что эти неполадки можно будет устранить. Ответственность за изменение реестра несет пользователь.

Редактор реестра можно использовать для выполнения следующих задач:

· поиск поддерева, раздела, подраздела или параметра;

· добавление подраздела или параметра;

· изменение значения параметра;

· удаление подраздела или параметра;

· переименование подраздела или параметра.

Область переходов редактора реестра отображает набор папок. Каждая папка представляет собой раздел реестра локального компьютера. При просмотре реестра удаленного компьютера будут видны только два стандартных раздела: HKEY_USERS и HKEY_LOCAL_MACHINE.

Использование групповой политики

Консоль управления Microsoft (MMC) содержит средства администрирования, которые используются для управления сетями, компьютерами, службами и другими системными компонентами. С помощью оснастки "Групповая политика" администратор может определить параметры безопасности для пользователей и компьютеров. Групповую политику можно реализовать на локальном компьютере с помощью локальной оснастки "Групповая политика" (файл Gpedit.msc) или в ActiveDirectory с помощью оснастки "ActiveDirectory - пользователи и компьютеры".

Использование файла реестра (REG)

Для внесения изменений в реестр можно создать файл реестра (с расширением REG) и выполнить его на соответствующем компьютере. Выполнить REG-файл можно вручную или с помощью сценария входа.

Использование утилиты для работы с реестром из командной строки REG.EXE.

В Windows 7 утилита REG.EXE входит в состав пакета Support tools (можно также использовать REG.EXE из комплекта Windows 7 - просто скопируйте ее в каталог \winnt\system32). Запускается из командной строки. При запуске без параметров выдает краткую справку по использованию:

Код возврата: (за исключением REG COMPARE)
0 - Успешно
1 - С ошибкой
Для получения справки по определенной операции введите: REG /?
Примеры:

REG QUERY /?
REG ADD /?
REG DELETE /?
REG COPY /?
REG SAVE /?
REG RESTORE /?
REG LOAD /?
REG UNLOAD /?
REG EXPORT /?
REG IMPORT /?

Для резервного копирования реестра используется REG.EXE SAVE, для восстановления - REG.EXE RESTORE. Для получения справки REG.EXE SAVE /?

Примеры:
REG SAVE HKLM\Software\MyCo\MyApp AppBkUp.hiv
Сохраняет раздел MyApp в файле AppBkUp.hiv в текущей папке

ЧАСТЬ 2. SID(Security Identifier) - это структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы или компьютера. Каждой учетной записи ставится в соответствие уникальный идентификатор, SID. Система оперирует с SID'ами учетных записей, а не их именами.

Дискреционные списки контроля доступа (DACL) хранят SID'ы учетных записей (пользователей и групп) и права доступа, назначенные этим учетным записям, чтобы обеспечивать контроль доступа к защищаемым объектам. При открытии объекта программа пользователя запрашивает требуемые права доступа к объекту, а подсистема контроля доступа ОС сопоставляет данные в DACL с запрошенными правами и SID'ом пользователя, от имени которого исполняется программа (учитывается также членство пользователя в группах, SID'ы которых также присоединены к контексту безопасности программы). Для контроля доступа операционной системе имена учетных записей не требуются - идентификация учетных записей происходит по SID'ам.

Уникальность SIDа обеспечивается его образованием из двух полей: AUTHORITY и SUBAUTHORITY. Первое поле имеет фиксированную длину и определяет класс учетной записи, второе поле имеет переменную длину и идентифицирует учетную запись внутри класса. Поле SUBAUTHORITY может иметь нулевую длину, в этом случае SID идентифицирует класс учетных записей.

Минимальная длина SUBAUTHORITY - 0 слов. Максимальная длина определяется константой Platform SDK SID_MAX_SUB_AUTHORITIES (15)

Для отображения бинарных данных SID'ов, их можно представлять в виде строки следующего формата:

S-R-I-s-s...

где: S - неизменный идентификатор строкового представления SID;

R - SID_REVISION (1);

I - значение SID AUTHORITY;

s - значения слов поля SUBAUTHORITY. В строковом представлении каждая s соответствует одному DWORD'у из SUBATHORITY

SID группы "Администраторы" для локального компьютера в виде строки выглядит следующим образом: S-1-5-32-544

В этой записи:

1 - SID_REVISION;

5 - значение AUTHORITY (соответствует SECURITY_NT_AUTHORITY);

32 - значение первого слова SUBAUTHORITY;

544 - значение второго слова SUBAUTHORITY.

Количество слов в SUBAUTHORITY - 2.

SID учетной записи "ВСЕ" ("Everyone") в виде строки выглядит следующим образом: S-1-1-0

В этой записи:

1 - SID _ REVISION;

1 - значение AUTHORITY (соответствует SECURITY_WORLD_SID_AUTHORITY);

0 - значение первого слова SUBAUTHORITY.

Количество слов в SUBAUTHORITY - 1.

В реестре в разделе SID можно определить, какому пользователю он принадлежит.

Также, если знаете SID и хотите узнать имя пользователя, то можно использовать утилиту REG.EXE. Формат использования:

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \ CurrentVersion \ ProfileList\<SID>\ProfileImagePath"
Например: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1843332746-572796286-2118856591-1000\ProfileImagePath"

Будет показан ProfileImagePath и Вы сможете увидеть искомое имя.

Практическая часть

1. Найти SID пользователя SYSTEM, пользователя Хакер.

2. Что произойдет, если произвести удаление SID – а активного пользователя.

Отчет по практической работе:

1. ФИО студента

2. Название, цель

3. Практическая часть

Опишите все практические опыты (1-2)

4. Контрольные вопросы

1) Опишите основное назначение SID, его структуру и уникальность

2) Опишите основное назначение реестра, его ветви