Aleksan
IT - Specialist
- Регистрация
- 8 Дек 2007
- Сообщения
- 6,815
- Реакции
- 89
- Баллы
- 0
Реестр. Некоторые особенности
Что такое реестр.
Реестр Windows - это большая база данных, физически состоящая из нескольких файлов, хранящихся на жестком диске. Windows постоянно работает с реестром, даже в те моменты, когда компьютер простаивает. Постоянно ищутся и считываются определенные ключи реестра, при запуске программ их настройки берутся из реестра, а при выходе из программы - сохраняются в нем. Таким образом, Windows «запоминает», а вернее, записывает, все настройки, которые были сделаны пользователем. Это касается и настроек программ и настроек самой Windows. Практически каждая программа при установке создает свой раздел в реестре, где она будет хранить настройки и куда будет постоянно обращаться. За счет этого программа, настроенная один раз, будет всегда открываться в том виде, который выбрал пользователь, настраивая ее.
Сама Windows также все свои настройки хранит в реестре. Это и сведения об оборудовании, о компонентах, о пользователях, конфигурации сети и т.д. Настройки интерфейса (обои, цвета и т.п.) так же хранятся в реестре.
Повреждение реестра вызывает большие проблемы в работе Windows. Серьезные разрушения файлов реестра или вообще их потеря (при выходе из строя винчестера) вызовет при загрузке компьютера так называемый BSOD (Blue Screen Of Death или синий экран смерти), который указывает на то, что работа Windows далее невозможна и ошибка настолько серьезна, что Windows не может решить возникшую проблему своими средствами. В таких случаях реестр приходится восстанавливать из резервных копий, созданных либо Windows в процессе работы, либо вручную при резервном копировании. Если резервная копия реестра слишком стара, то восстановление такой копии приведет к неработоспособности многих программ, которые устанавливались после создания копии реестра, притом, что файлы самой программы будут присутствовать на жестком диске. Как правило, восстановление реестра при серьезном сбое даже из старой архивной копии сэкономит гораздо больше времени, чем переустановка Windows и всех программ при отсутствии резервной копии реестра вообще.
Неосторожные действия при правке реестра так же могут вызвать проблемы в работе Windows. Разного рода «чистильщики» реестра сомнительного качества способны принять за «мусор» важные ключи реестра и удалить их, поэтому такими программами надо пользоваться осторожно, всегда предварительно создавая резервные копии реестра, а лучше не пользоваться ими вовсе. Перед правкой реестра и, особенно, если правка будет глобальной (много значений будет изменено за один раз), крайне желательно создать резервную копию реестра.
Реестр Windows имеет критическое значение для работы операционной системы.
Настройка аудита реестра.
Если аудит не был включен ранее в групповой политике, то его нужно включить перед настройкой аудита ключей реестра.
Для этого откройте локальную политику при помощи Пуск - Выполнить - gpedit.msc
Разверните слева дерево папок так, как показано на рисунке 1, т.е. Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Политика аудита. В правом окне дважды щелкните по параметру Аудит доступа к объектам и в открывшемся окне поставьте галку у пункта Успех. После нажатия ОК в окне, показанном на рисунке 1, напротив параметра Аудит доступа к объектам, в графе Локальный параметр появится значение Успех. Это говорит о том, что в данный момент в политике включен аудит успехов доступа к объектам. Но политика еще не распространена и не действует. Чтобы распространить (применить) измененную политику безопасности откройте командную строку (Пуск - Выполнить - cmd) и выполните команду
secedit /refreshpolicy MACHINE_POLICY
В ответ будет выведено сообщение о том, что запущен процесс распространения групповой политики.
Закройте окно Групповая политика, показанное на рисунке 1 и откройте его вновь, переместившись до раздела с настройками аудита, так, как это было описано выше. Если политика успешно применена, то напротив параметра Аудит доступа к объектам в графе Действующий параметр будет написано то же, что и в графе Локальный параметр. Это говорит о том, что аудит включен и политика применена
Теперь настроим аудит конкретного ключа в реестре. К примеру, пусть это будет HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Откроем редактор реестра regedt32 (WIndows 2000) или regedit (Windows XP). Пройдем по дереву реестра до ключа, аудит которого необходимо настроить и выделим его. В меню Безопасность редактора реестра выберем пункт Разрешения. В открывшемся окне нажмем кнопку Дополнительно и переключимся на вкладку Аудит.
Нажмите кнопку Добавить и выберите группу Все двойным кликом. В открывшемся окне отметьте галками только те пункты, которые соответствуют интересующим событиям. К примеру, я поставил аудит только на успешное задание значения. Нажмите ОК три раза до возврата в окно редактора реестра. Аудит настроен. Чтобы проверить его работу создадим текстовый файл со следующим содержанием:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"test"=""
Сохраните файл под именем test.reg, например. В диалоговом окне сохранения файла выберите Тип файла: Все файлы, иначе редактор присвоит файлу расширение txt. Этот файл предназначен для создания в реестре по указанному пути параметра test с пустым значением, что видно из содержимого файла. Запустите полученный файл. Если все сделано правильно, то будет выдан запрос на добавление данных в реестр
Ответьте Да, после чего будет выдано подтверждение о том, что информация успешно добавлена.
Теперь откройте консоль Управление компьютером. Для этого щелкните правой кнопкой мыши по значку Мой компьютер и выберите Управление. В открывшемся окне перейдите в журнал Безопасность
Обратите внимание на выделенную записи с кодом 560. Это и есть уведомление о том, что с ключем реестра произошло событие на которое настроен аудит.
Таким образом, можно настроить аудит на любые события и анализировать их при помощи журнала Безопасности системы.
Настройка прав на доступ к ключам реестра.
Чтобы обеспечить безопасность разделов реестра воспользуйтесь настройкой разрешений при помощи regedt32 (Windows 2000) или при помощи regedit (Windows XP).
Для примера рассмотрим ограничение доступа к ключу HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Будьте осторожны и помните о том, что разрешения наследуются, т.е. разрешения, заданные для раздела, будут распространены вниз, на подразделы и параметры.
Откройте редактор реестра и выделите ключ, разрешения на который планируется настроить. В нашем случае это HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Выберите Безопасность - Разрешения и нажмите кнопку Дополнительно.
Выделите в списке имя того пользователя, которому необходимо ограничить права и нажмите кнопку Показать/Изменить. Для примера я запретил себе в указанном выше разделе Задания значений.
После нажатия кнопки ОК в окно, добавился новый элемент.
Намите ОК два раза до возврата в окно редактора реестра. Новое разрешение задано.
Чтобы проверить, работает ли созданное ограничение, создадим reg-файл следующего содержания:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"test"=""
Скопируйте этот текст в Блокнот и сохраните под именем, например, test.reg. Чтобы Блокнот при сохранении файла не присвоил файлу расширение txt, выберите в диалоге сохранения файла Тип фалов: Все файлы и напишите имя файла с расширением, т.е. test.reg
Этот файл после его запуска добавит в указанный ключ реестра параметр test с пустым значением. Запустим его.
После положительного ответа на этот запрос будет выдано следующее сообщение:
"Не удалось импортировать "С:\МОИДОК~1\test.reg". Не все данные были записаны в реестр. Некоторые разделы были заняты системой или другими процессами".
Таким образом, настроенный запрет на добавление информации в определенный ключ реестра работает.
Что такое реестр.
Реестр Windows - это большая база данных, физически состоящая из нескольких файлов, хранящихся на жестком диске. Windows постоянно работает с реестром, даже в те моменты, когда компьютер простаивает. Постоянно ищутся и считываются определенные ключи реестра, при запуске программ их настройки берутся из реестра, а при выходе из программы - сохраняются в нем. Таким образом, Windows «запоминает», а вернее, записывает, все настройки, которые были сделаны пользователем. Это касается и настроек программ и настроек самой Windows. Практически каждая программа при установке создает свой раздел в реестре, где она будет хранить настройки и куда будет постоянно обращаться. За счет этого программа, настроенная один раз, будет всегда открываться в том виде, который выбрал пользователь, настраивая ее.
Сама Windows также все свои настройки хранит в реестре. Это и сведения об оборудовании, о компонентах, о пользователях, конфигурации сети и т.д. Настройки интерфейса (обои, цвета и т.п.) так же хранятся в реестре.
Повреждение реестра вызывает большие проблемы в работе Windows. Серьезные разрушения файлов реестра или вообще их потеря (при выходе из строя винчестера) вызовет при загрузке компьютера так называемый BSOD (Blue Screen Of Death или синий экран смерти), который указывает на то, что работа Windows далее невозможна и ошибка настолько серьезна, что Windows не может решить возникшую проблему своими средствами. В таких случаях реестр приходится восстанавливать из резервных копий, созданных либо Windows в процессе работы, либо вручную при резервном копировании. Если резервная копия реестра слишком стара, то восстановление такой копии приведет к неработоспособности многих программ, которые устанавливались после создания копии реестра, притом, что файлы самой программы будут присутствовать на жестком диске. Как правило, восстановление реестра при серьезном сбое даже из старой архивной копии сэкономит гораздо больше времени, чем переустановка Windows и всех программ при отсутствии резервной копии реестра вообще.
Неосторожные действия при правке реестра так же могут вызвать проблемы в работе Windows. Разного рода «чистильщики» реестра сомнительного качества способны принять за «мусор» важные ключи реестра и удалить их, поэтому такими программами надо пользоваться осторожно, всегда предварительно создавая резервные копии реестра, а лучше не пользоваться ими вовсе. Перед правкой реестра и, особенно, если правка будет глобальной (много значений будет изменено за один раз), крайне желательно создать резервную копию реестра.
Реестр Windows имеет критическое значение для работы операционной системы.
Настройка аудита реестра.
Если аудит не был включен ранее в групповой политике, то его нужно включить перед настройкой аудита ключей реестра.
Для этого откройте локальную политику при помощи Пуск - Выполнить - gpedit.msc
Разверните слева дерево папок так, как показано на рисунке 1, т.е. Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Политика аудита. В правом окне дважды щелкните по параметру Аудит доступа к объектам и в открывшемся окне поставьте галку у пункта Успех. После нажатия ОК в окне, показанном на рисунке 1, напротив параметра Аудит доступа к объектам, в графе Локальный параметр появится значение Успех. Это говорит о том, что в данный момент в политике включен аудит успехов доступа к объектам. Но политика еще не распространена и не действует. Чтобы распространить (применить) измененную политику безопасности откройте командную строку (Пуск - Выполнить - cmd) и выполните команду
secedit /refreshpolicy MACHINE_POLICY
В ответ будет выведено сообщение о том, что запущен процесс распространения групповой политики.
Закройте окно Групповая политика, показанное на рисунке 1 и откройте его вновь, переместившись до раздела с настройками аудита, так, как это было описано выше. Если политика успешно применена, то напротив параметра Аудит доступа к объектам в графе Действующий параметр будет написано то же, что и в графе Локальный параметр. Это говорит о том, что аудит включен и политика применена
Теперь настроим аудит конкретного ключа в реестре. К примеру, пусть это будет HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Откроем редактор реестра regedt32 (WIndows 2000) или regedit (Windows XP). Пройдем по дереву реестра до ключа, аудит которого необходимо настроить и выделим его. В меню Безопасность редактора реестра выберем пункт Разрешения. В открывшемся окне нажмем кнопку Дополнительно и переключимся на вкладку Аудит.
Нажмите кнопку Добавить и выберите группу Все двойным кликом. В открывшемся окне отметьте галками только те пункты, которые соответствуют интересующим событиям. К примеру, я поставил аудит только на успешное задание значения. Нажмите ОК три раза до возврата в окно редактора реестра. Аудит настроен. Чтобы проверить его работу создадим текстовый файл со следующим содержанием:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"test"=""
Сохраните файл под именем test.reg, например. В диалоговом окне сохранения файла выберите Тип файла: Все файлы, иначе редактор присвоит файлу расширение txt. Этот файл предназначен для создания в реестре по указанному пути параметра test с пустым значением, что видно из содержимого файла. Запустите полученный файл. Если все сделано правильно, то будет выдан запрос на добавление данных в реестр
Ответьте Да, после чего будет выдано подтверждение о том, что информация успешно добавлена.
Теперь откройте консоль Управление компьютером. Для этого щелкните правой кнопкой мыши по значку Мой компьютер и выберите Управление. В открывшемся окне перейдите в журнал Безопасность
Обратите внимание на выделенную записи с кодом 560. Это и есть уведомление о том, что с ключем реестра произошло событие на которое настроен аудит.
Таким образом, можно настроить аудит на любые события и анализировать их при помощи журнала Безопасности системы.
Настройка прав на доступ к ключам реестра.
Чтобы обеспечить безопасность разделов реестра воспользуйтесь настройкой разрешений при помощи regedt32 (Windows 2000) или при помощи regedit (Windows XP).
Для примера рассмотрим ограничение доступа к ключу HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Будьте осторожны и помните о том, что разрешения наследуются, т.е. разрешения, заданные для раздела, будут распространены вниз, на подразделы и параметры.
Откройте редактор реестра и выделите ключ, разрешения на который планируется настроить. В нашем случае это HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Выберите Безопасность - Разрешения и нажмите кнопку Дополнительно.
Выделите в списке имя того пользователя, которому необходимо ограничить права и нажмите кнопку Показать/Изменить. Для примера я запретил себе в указанном выше разделе Задания значений.
После нажатия кнопки ОК в окно, добавился новый элемент.
Намите ОК два раза до возврата в окно редактора реестра. Новое разрешение задано.
Чтобы проверить, работает ли созданное ограничение, создадим reg-файл следующего содержания:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"test"=""
Скопируйте этот текст в Блокнот и сохраните под именем, например, test.reg. Чтобы Блокнот при сохранении файла не присвоил файлу расширение txt, выберите в диалоге сохранения файла Тип фалов: Все файлы и напишите имя файла с расширением, т.е. test.reg
Этот файл после его запуска добавит в указанный ключ реестра параметр test с пустым значением. Запустим его.
После положительного ответа на этот запрос будет выдано следующее сообщение:
"Не удалось импортировать "С:\МОИДОК~1\test.reg". Не все данные были записаны в реестр. Некоторые разделы были заняты системой или другими процессами".
Таким образом, настроенный запрет на добавление информации в определенный ключ реестра работает.
