"Noinstrumentation" — запрещает Windows записывать информацию о том, какие приложения пользователь запускал и к каким файлам и документам обращался (только в Windows 2000/ХР). Обратите внимание: если это ограничение включено, то настраиваемые меню и другие возможности, для которых нужна информация об обращении пользователя к приложениям и файлам, будут заблокированы.

Разделы

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Power

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Power

"PromptPasswordOnResume" — заставляет запрашивать пароль пользователя при возвращении к работе из спящего режима (hibernate) или режима ожидания (suspend) (только в Windows ХР).

Скрытие пункта "Options" меню "View" в Windows NT Explorer

Начиная с Windows NT 4.0 Service Pack 4, у вас есть возможность скрыть от пользователей пункт "Options" меню "View" в Windows NT Explorer'е. Это поможет вам уменьшить вероятность: несанкционированного доступа к скрытым и системным файлам; изменения привязки расширений файлов к тем или иным приложениям и параметров этой привязки. Для этого необходимо в раздел реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

добавить dword-параметр "NoOptions" и присвоить ему значение 1.

Изменения вступят в силу после перезагрузки.

Скрытие элементов в "Панели управления"

Чтобы скрыть какой-либо элемент в Панели управления Windows NT/2000/XP, надо в разделе реестра HKEY_CURRENT_USER\Control Panel\don't load создать строковый параметр с именем соответствующего cpl-файла (например, "fax.cpl") и присвоить ему значение "No". Если удалить параметр, то элемент опять будет доступен.

Скрытие настройки приложения "System Restore" в Windows ХР

С помощью правки реестра в Windows ХР можно отключить пользовательский интерфейс настройки приложения "System Restore", чтобы предотвратить изменение настройки этого приложения пользователем, а также отключение и включение этого свойства для системных и несистемных дисков. Для этого надо в разделе реестра

HKEY_LOCAL_MA.CHINE\SOFTWARE\Policies\Microsof t\Windows NT

создать подраздел "SystemRestore", а в нём dword-параметр "DisableConfig" со значением 1.

Очистка файла подкачки

Как Вы уже знаете, своп — это часть информации из оперативной памяти, которая хранится на винчестере. В том числе, в свопе может сохраняться Ваша конфиденциальная информация (например, пароли), которую, в принципе, можно оттуда достать. Чтобы этого не произошло, включите функцию очистки свопа при выключении компьютера:

1. Откройте редактор реестра (regedit.exe).

2. Найдите раздел

HKEY_LOCAL_MA.CHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management

3. Если параметр "ClearPageFileAtShutdown" в данном разделе отсутствует, то создайте его (New — DWORD).

4. Установите значение этого параметра в 1.

5. Перезагрузите машину.

Теперь своп будет удаляться при выключении и создаваться заново при включении.

Этот параметр не стирает своп-файл с диска, а заполняет его весь нулями, т. е. очищает. Сам файл на диске остаётся.

Разрешение применения только сложных паролей

В Windows NT 4.0 Service Pack 2 содержится новый фильтр для паролей passfilt.dll, который вводит новые ограничения для выбора паролей:

1. Пароль должен быть длиной не менее 6 знаков.

2. В пароле должно быть не менее трех символов, удовлетворяющих следующим критериям: — заглавные буквы A-Z; — маленькие буквы a-z; — числа 0–9; — символы (например, "!").

3. Пароль не может содержать имя пользователя или любую его часть.

Для включения этой возможности на PDC и одиночном сервере (это не надо делать на BDC, но при поднятии его до PDC, сделать надо), выполните следующее:

1. Откройте редактор реестра regedt32.exe (не используйте regedit.exe).

2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. Дважды щёлкните мышью на "Notification Packages".

4. Введите PASSFILT в новой строке (если там находится FPNWCLNT, добавьте после него). Нажмите "ОК".

5. Закройте редактор реестра.

6. Перезагрузитесь.

Ограничение удалённого доступа к реестру

Доступ к удалённому редактированию реестра контролируется ACL-ключом winreg реестра.

1. Откройте редактор реестра regedt32.

2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers

3. Найдите подраздел с именем winreg. Если его нет, создайте (Edit — Add Key).

4. Выделите подраздел winreg (нажмите на нём).

5. В меню "Security" выберите "Permissions".

6. Нажмите "Add" и дайте пользователю, которого хотите ограничить, доступ "read" (чтение).

7. После добавления нажмите на пользователе и выберите "Special Access".

8. Дважды щёлкнув мышью на пользователе, можно ещё выбрать, какие действия он сможет выполнять.

9. Нажмите "ОК".

Можно установить, чтобы некоторые разделы были доступны для пользователя, даже если ему не дали прав на редактирование:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg \AllowedPaths\Machine

С помощью regedt32 добавьте необходимые пути в список.

Проведение аудита изменений реестра

Используя regedt32.ехе можно установить аудит изменений отдельных частей реестра. Ведение аудита — очень чувствительная мера, позволяющая выводить предупреждающие сообщения людям, нарушающим установленные Вами правила редактирования реестра.

1. Откройте редактор реестра regedt32.

2. Выберите раздел, на который хотите назначить аудит (например, HKEY_LOCAL_MACHINE\Software).

3. Из меню "Security" (Безопасность) выберите "Auditing" (Аудит).

4. Пометьте "Audit Permission on Existing Subkeys" (Разрешение аудита для существующих разделов), если Вы хотите проводить аудит и подразделов.

5. Нажмите "Add" (Добавить) и выберите пользователей, которые будут подвержены аудиту, нажмите "Add" и "ОК".

6. В разделе "Names" можно выбрать, аудит каких событий будет проводиться.

7. После заполнения всей информации нажмите "ОК".

Убедитесь, что у Вас включен "Auditing for File and Object" (воспользуйтесь User Manager — Polices — Audit).

Для просмотра результатов аудита, воспользуйтесь Event Viewer (Просмотр событий), раздел Security.

Добавление команды шифрации/дешифрации в контекстное меню файлов и папок

В операционной системе MS Windows 2000 любой файл или папка, расположенная на логическом диске с файловой системой NTFS, может быть зашифрована. Эта процедура описана в разделе "Шифрование файла или папки" справочной системы MS Windows 2000 Professional. При необходимости, команду "Зашифровать" (Encrypt)/"Расшифровать" (Decrypt) можно встроить в контекстное меню для файлов и папок. В случае если файл или папка не зашифрованы, будет доступна команда "Зашифровать". В обратном случае — команда "Расшифровать". Для этого:

1. Запустите редактор реестра regedt32.

2. Откройте раздел:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

3. Создайте параметр типа REG_DWORD с именем "EncryptionContextMenu" и значением 1.