• Глава 3. Редактор реестра
  • Использование Редактора реестра
    • Запуск Редактора реестра
    • Исследование интерфейса Редактора реестра 
      • Команды меню Файл 
    • Команды меню Правка
    • Модификация ключей и значимых элементов
    • Добавление новых ключей
      • Добавление новых значимых элементов 
    • Редактор двоичных значений
    • Редактирование строковых значений
      • Редактирование значений типа DWORD
    • Редактирование многострочных значений
      • Просмотр списков ресурсов
    • Удаление ключей и значимых элементов реестра
    • Команды меню Вид
    • Меню Избранное
  • Управление безопасностью реестра
    • Установка прав доступа к ключам реестра
    • Установка специальных комбинаций прав доступа
    • Присвоение прав владельца ключа реестра 
    • Аудит действий в отношении реестра
    • Активизация аудита
      • Установка аудита
  • Резюме.

Глава 3

  Редактор реестра

Если вы обратитесь в отдел технической поддержки Microsoft и зададите вопрос по поводу редактирования реестра, то вам ответят, что конечный пользователь модифицировать реестр не должен. Более того, предупреждения, что неумелое редактирование реестра может привести к необходимости переустановки операционной системы, встречаются в официальной документации Microsoft постоянно.

Тем не менее, утилиты, предназначенные для редактирования реестра, имеются и даже устанавливаются по умолчанию во всех операционных системах из семейства Windows. Зачем же тогда Microsoft предоставляет в распоряжение пользователей эти утилиты? Ответ на данный вопрос достаточно прост: предоставить средство редактирования реестра необходимо, так как в ряде случаев, когда в системе действительно возникают серьезные проблемы, мешающие дальнейшей работе, редактирование реестра дает последнюю возможность решения этих проблем. Более того, попробуйте представить себе, что программы для редактирования реестра не включены в состав операционных систем Windows, — интересно, каким образом реагировали бы на это пользователи. Разумеется, некоторые из них даже не заметили бы отсутствия таких средств, но зато другие... Не верите? Тогда, если вы еще не читали книгу Lou Grinzo "Zen of Windows 95 Programming" (в русском переводе она вышла в 1997 году в издательстве "Символ-Плюс" под названием "Философия программирования для Windows 95/NT"), прочтите ее. Помимо альтернативной точки зрения на реестр Windows (в корне отличающейся от официальной точки зрения Microsoft), там можно найти еще много других интересных идей и фактов. Так вот, автор этой книги "первым и громче всех запротестовал бы, если бы корпорация Microsoft заставила его и других программистов писать собственные программы для редактирования элементов реестра". Можно не сомневаться „что эта точка зрения нашла бы множество сторонников. Именно по этой причине все современные операционные системы семейства Windows — Windows 95/98/ME, Windows NT 4.0, Windows 2000 и Windows XP — имеют в своем составе утилиты, предназначенные для просмотра и редактирования реестра, — так называемые редакторы реестра (Registry Editors). Windows NT 4.0 и Windows 2000 фактически имеют два таких редактора. Традиционная программа редактирования реестра Windows NT носит название Regedt32.exe. Эта программа унаследована от предыдущих версий Windows NT и позволяет редактировать реестр методами, которые не поддерживаются в Windows 95/98/ME. Более новая программа, Regedit.exe, была первоначально написана для Windows 95. Она обладает многими из возможностей Regedt32.exe и снабжена интерфейсом Проводника (Explorer). Версия Regedit.exe, которая имеется в составе Windows 2000, очень похожа на аналогичные приложения из Windows 95/98/ME и Windows NT 4.0.

 Примечание

По сравнению с Windows NT/2000, Windows XP имеет усовершенствование и в этой области. В настоящий момент все задачи, относящиеся к администрированию и редактированию реестра, могут быть решены с помощью одной утилиты — Regedit.exe, которая соединила свои самые сильные свойства с теми функциональными возможностями, которыми раньше обладала лишь программа Regedt32.exe. Кроме того, Regedit.exe теперь поддерживает расширенные возможности по импорту и экспорту. Однако, в программе Regedit.exe отсутствует одна из наиболее полезных возможностей программы Regedt32.exe— режим доступа только для чтения.

Все версии программ редактирования реестра инсталлируются автоматически в процессе установки операционной системы. Однако ни один из редакторов реестра не попадает в меню Пуск (Start), и ни для одного из них не создается ярлык на рабочем столе. Запуск редакторов реестра должен осуществляться с помощью команды Выполнить (Run) меню Пуск (Start). Поэтому, если вы планируете выполнять большие объемы работы при помощи одного из редакторов реестра, его можно добавить в меню Пуск (Start) или создать для него ярлык на рабочем столе. (Но, если кроме вас на этом компьютере работает еще кто-то, не пользующийся вашим абсолютным доверием, подумайте о безопасности!)

Редакторы реестра можно использовать для просмотра, добавления, удаления и модификации элементов реестра. Данная глава, возможно, покажется скучной опытным пользователям и администраторам, имеющим солидный опыт поддержки предыдущих версий Windows NT. Однако редкая книга, посвященная Windows NT/2000/XP вообще и реестру Windows NT/2000/XP в частности, обходится без такой главы и традиционных предупреждений о том, что "редактор реестра — это не игрушка". Отметим, что ни один из редакторов реестра не является и "услужливой программой, делающей дополнительные шаги, чтобы облегчить жизнь пользователям" (несмотря на то, что в Windows 2000/XP некоторые шаги в этом направлении все же были предприняты). Справедливо как раз обратное — с помощью редакторов реестра пользователь (особенно новичок) может здорово осложнить свою жизнь и собственными руками создать себе множество проблем. Значит ли это, что автору хочется отпугнуть новичков? Ничуть. Ведь именно им и адресована данная глава.

Использование Редактора реестра

Как уже говорилось ранее, утилита Regedit.exe в Windows XP очень похожа на аналогичное приложение, входящее в состав операционных систем Windows 95/98/ME и Windows NT/2000. Однако, версия, входящая в состав Windows XP, имеет много усовершенствований и теперь предоставляет функциональные возможности, которыми ранее обладала только программа Regedt32.exe.

В числе прочих утилит она устанавливается по умолчанию, однако для нее не создаются ни ярлык (shortcut), ни пункт меню Пуск (Start). Следующий раздел содержит краткое описание интерфейса Regedit.exe, которое может служить справочником по всем функциям этого редактора реестра.

Внимание

Программа Regedit.exe, особенно версия, поставляемая в Windows XP, очень проста в использовании. А вот что действительно сложно, так это гарантировать правильность модификаций, которые вносятся в базу данных работающего реестра, а также их соответствие реальной конфигурации компьютера. По этой причине не рекомендуется вносить в реестр никакие изменения до тех пор, пока вы не прочтете данную главу, в которой приведены полезные советы и указания по редактированию реестра. На случай внесения некорректных изменений в реестр, после которых компьютер будет неправильно работать или вообще перестанет загружаться, рекомендуется выполнить резервное копирование реестра любым из способов, описанных в главе 2. В частности, выполните подготку к аварийному восстановлению системы (Automated System Recovery, ASR) и осуществите резервное копирование системных конфигурационных данных (System State Data). Помимо этого, совсем не лишней будет и загрузочная дискета соответствующей операционной системы (Windows NT/2000/XP), которая может понадобиться в случае возникновения проблем.

Запуск Редактора реестра

По умолчанию утилита Regedit.exe в процессе установки операционных систем копируется в каталог %SystemRoot% (например, D:\WINNT). Найдите этот файл и запустите его двойным щелчком мыши или с помощью команды Выполнить (Run) в меню Пуск (Start).

Как и большинство средств просмотра информации, доступных на текущий момент для операционных систем из семейства Windows, Редактор реестра (Registry Editor) имеет интерфейс, созданный по образу и подобию приложения Проводник (Explorer). Здесь стоит сразу же обратить внимание читателя, что Редактор реестра (Regedit) представляет собой всего лишь средство визуализации реестра, и при этом "волшебство кроется за кулисами, а совсем не в пользовательском интерфейсе".

На практике сходство Редактора реестра (Regedit) с Проводником (Explorer) простирается несколько далее простой анштогии. Создание новых элементов реестра производится при помощи тех же команд меню или клавиатурных комбинаций, что и в Проводнике (Explorer). Regedit.exe, как и Проводник (Explorer), предоставляет возможности использования контекстных меню, выводимых по нажатию правой кнопки мыши. Тем не менее, несмотря на эти интерфейсные усовершенствования, Regedit.exe не распознает ошибки, не предупреждает о них пользователя, не имеет команды Отменить (Undo), и поэтому многие из операций, производимых с его помощью, являются необратимыми.

Исследование интерфейса Редактора реестра

Этот раздел построен таким образом, чтобы служить кратким справочником по работе с Редактором реестра (Regedit). Здесь показаны и описаны все возможности этого Редактора реестра. Последующие разделы содержат инструкции по использованию этих возможностей, а также указания по внесению модификаций в реестр.

Окно Редактора реестра Regedit.exe состоит из четырех основных областей (рис. 3.1).

•  Строка меню. В этой строке содержатся основные пункты меню: Файл (File), Правка (Edit), Вид (View), Избранное (Favorites) (новый пункт меню, появившийся в Windows 2000) и Справка (Help).
•  Левая панель (левое подокно). Отображает иерархию реестра, организованную в виде ключей (в литературе они часто обозначаются термином "разделы") и вложенных ключей (другие часто встречающиеся термины — "подключи" или "подразделы").
•  Правая панель (правое подокно). Показывает текущие параметры выбранного ключа реестра, известные также как значимые элементы (value entires). Каждый параметр реестра характеризуется именем, отображаемым в столбце Имя (Name) правой панели, типом данных, отображаемым в столбце Тип (Туре) (на тип данных указывает и небольшой значок, расположенный чуть левее имени), и значением, отображаемым в столбце Значение (Data).
•  Строка состояния. Строка состояния указывает путь к выбранному элементу реестра. Она нужна, чтобы отображать полный путь к ключу реестра, в составе которого содержится выделенный параметр.

Рис. 3.1. Окно Редактора реестра

При вызове Редактора реестра (Regedit) раскрывается окно Редактор реестра (Registry Editor), в котором отображаются ключи только верхнего уровня иерархии реестра, ответвляющиеся от значка Мой компьютер (My Computer). Это — имена корневых ключей, базовая информация о которых была приведена в главе 1.

Если выполнить щелчок мышью, указав курсором на значок [+], расположенный левее значка любой из папок, то развернется соответствующий ключ, в котором отобразится иерархия содержащихся в его составе вложенных ключей. Эта операция разворачивает дерево ключа реестра до следующего уровня вложенности и во многом напоминает аналогичную операцию раскрытия папок и вложенных папок в Проводнике (Explorer).

Если в составе вложенных ключей имеются другие вложенные ключи, то слева от них тоже будут находиться значки [+], которые можно в свою очередь развернуть для просмотра следующего уровня иерархии. Этот послойный метод организации реестра известен под названием вложения (nesting) и допускает множество уровней. Такая иерархическая организация и представляет собой основное отличие реестра от файлов инициализации. Она дает значительное преимущество перед методом хранения инициализационной информации, применявшимся в Windows 3.x.

По достижении самого нижнего уровня вложения слева от вложенного ключа появится значок [-], который указывает, что дальнейшее раскрытие невозможно. После этого перемещение по иерархическому дереву будет возможно только в одном направлении — вверх.

Если рядом с ключом нет ни значка [+], ни значка [-], это указывает, что он не содержит вложенных ключей.

В табл. 3.1 приведен список клавиатурных комбинаций, используемых для просмотра реестра и ориентации в нем с помощью Редактора реестра (Regedit).

Таблица 3.1. Клавиатурные комбинации, используемые в Regedit. exe

В правой панели окна Редактор реестра (Registry Editor) располагаются параметры реестра, каждый из которых характеризуется именем, типом данных и собственно данными.

Каждый параметр реестра характеризуется именем. Многие параметры, предоставляемые Microsoft, используют имя (По умолчанию) ((Default)) (вы убедитесь в этом, когда начнете интенсивно работать с Редактором реестра (Regedit)). Имена параметров располагаются в столбце Имя (Name) правой панели окна Редактор реестра (Registry Editor). Эти имена присваиваются значимым элементам разработчиками приложений и физических устройств.

Типы данных, характеризующие параметры реестра, отображаются в столбце Тип (Туре).

Определения всех типов данных параметров реестра, используемых в Windows NT/2000, были приведены в главе1.

Утилита Regedit.exe для удобства отображает также специальные значки, возникающие чуть левее имен параметров и позволяющие быстро отличить двоичные данные от текстовых. Краткое описание значков, отображаемых в окне Редактора реестра (Regedit), приведено в табл. 3.2.

Таблица 3.2. Значки, соответствующие типам данных в Regedit.exe

В столбце Значение (Data) располагаются собственно данные (текстовые или двоичные), соответствующие значению выбранного параметра. Эти данные можно редактировать, модифицировать или создавать в целях оптимизации той или иной функции.

Ниже приведено краткое описание пунктов меню Редактора реестра (Regedit).

Команды меню Файл

Меню Файл (File) содержит следующие команды:

•  Импорт (Import);
•  Экпорт (Export);
•  Загрузить куст (Load Hive);
•  Выгрузить куст (Unload Hive);
•  Подключить сетевой реестр (Connect Network Registry);
•  Отключить сетевой реестр (Disconnect Network Registry);
•  Печать (Print);
•  Выход (Exit).

Команда Импорт (Import) позволяет импортировать в реестр предварительно экспортированные ASCII- и REG-файлы.

Команда Экпорт (Export) дает возможность сохранить весь реестр или его часть в виде REG-файла или файла другого типа, например, в формате ASCII.

Рис. 3.2. Диалоговое окно Экспорт файла реестра

Чтобы экспортировать ветвь реестра, выполните следующие действия:

1. Выделите ветвь реестра, затем выберите команду Экспорт (Export) в меню Файл (File).

2. В поле Имя файла (File name) открывшегося диалогового окна Экспорт файла реестра (Export Registry File) (рис. 3.2) введите имя файла. По умолчанию файлу будет присвоено расширение REG. Чтобы сохранить экспортируемый файл в другом формате, выберите нужную опцию из списка Тип файла (Save as type), расположенного непосредственно под полем Имя файла (File name). Обратите внимание, что несмотря на все внешнее сходство утилит Regedit.exe, поставляемых в составе Windows 9x, Windows NT 4.0/Windows 2000 и Windows XP они представляют собой разные версии этого приложения. Поэтому версия Regedit.exe из Windows XP позволяет сохранять экспортированные файлы реестра в различных форматах, включая Windows 2000/XP (для этой цели служит значение Файлы реестра (*.reg) (Registration Files(*.reg))), так и в формате файлов реестра Windows 9x/NT 4 (для этой цели служит опция Файлы реестра Win9x/NT 4 (*.reg) (Win9x/NT 4 Registration Files (*.reg)). Кроме того, теперь вы можете сохранять файлы экспортированного реестра как ульи (выбрав опцию Файлы кустов реестра (*.*) (Registry Hive Files (*.*))), а также в текстовом формате (используя опцию Текстовые файлы (*.txt) (Text Files (*.txt))).

3. Если требуется сохранить часть реестра, выбирайте опцию сохранения только выделенной ветви реестра. Для этого установите переключатель Выбранная ветвь (Selected branch) в группе Диапазон экспорта (Export range). Однако если вы часто модифицируете реестр, то экспорт всего реестра целиком — неплохая идея. Это даст вам дополнительные гарантии восстановления в случае ошибки.

4. Нажмите кнопку Сохранить (Save).

Сохраненный файл можно просмотреть в текстовом редакторе, чтобы убедиться в правильности сохранения. Экспортированные файлы реестра содержат текст ASCII без каких-либо символов форматирования.

Обращаясь с экспортированными файлами реестра, следует соблюдать осторожность, особенно в том случае, если экспорт производится с целью экспериментов. Например, опытные администраторы, хорошо знакомые с реестром, экспериментируют над своей системой или решают некоторые проблемы путем редактирования экспортированного файла реестра, а затем импортируют его обратно в систему. Однако перед тем. как вносить такие изменения, рекомендуется принять следующие меры предосторожности:

1. Предварительно создайте резервную копию экспортированного файла, который требуется редактировать. Если при редактировании будет допущена ошибка, которая приведет к возникновению проблем, можно будет импортировать в реестр резервную копию этого REG-файла.

2. Если вы часто экспериментируете с реестрами различных операционных систем (Windows 95/98/ME, Windows NT 4.0/Windows 2000 и Windows ХР), то экспортированные файлы реестров каждой из этих операционных систем рекомендуется держать отдельно друг от друга, в различных каталогах, специально выделенных для такой цели. Это поможет избежать случайного импорта в систему несовместимого файла реестра.

3. Файлы с расширением REG по умолчанию ассоциированы с приложением Редактор реестра (Regedit) (рис. 3.3). По умолчанию над такими файлами выполняется операция Слияние (Merge), которая импортирует содержимое данного файла в реестр. В Windows XP, когда вы дважды щелкаете мышью по такому файлу, запускается программа Regedit.exe и предлагает подтвердить намерение добавить содержимое экспортированного файла в реестр (рис. 3.4). Будьте, предельно внимательны на этом этапе, для того чтобы избежать случайного импорта в реестр несовместимых или ошибочных данных.

Рис. 3.3. По умолчанию, файлы с расширением REG ассоциируются с приложением Редактор реестра

Рис. 3.4. Редактор реестра предлагает подтвердить, действительно ли вы хотите добавить содержимое экспортированного REG-файла в реестр

Команды Загрузить куст (Load Hive) и Выгрузить куст (Unload Hive) являются новыми в программе Regedit.exe. Они предоставляют те же функциональные возможности, которые обеспечивались командами, имеющими подобные названия, в программе Regedt.32.exe. Эти команды позволяют загружать предварительно экспортированные и сохраненные в формате ульев файлы реестра, или, соответственно, выгружать ульи реестра. Обратите внимание, что эти команды применимы лишь к ключам HKEY_USERS и HKEY_LOCAL_MACHINE. Таким образом, указанные команды доступны лишь в том случае, если выбран один из этих ключей реестра. Во всех других случаях эти команды будут затенены и недоступны. Тот улей, который вы уже загрузили в реестр, становится одним из вложенных ключей под корневыми ключами, упомянутыми выше.

Рис. 3.5. Загружаем улей реестра

Рис. 3.6. Вновь загруженная копия улья SYSTEM теперь отображается как вложенный подключ под корневым ключом HKEY_ LOCAL_KACHINE

Для того чтобы загрузить улей реестра, необходимо выполнить следующие действия:

1. Выберите ключ реестра HKEY_USERS или HKEY_LOCAL_MACHINE для активизации соответствующей команды меню.

2. Выберите команду Загрузить куст (Load Hive) из меню Файл (File). Откроется окно Загрузка куста реестра (Load Hive), в котором следует выбрать ранее экспортированный улей реестра. Укажите требуемый файл улья и нажмите кнопку Открыть (Open).

3. Введите имя, которое будет использоваться для вновь загруженного улья (рис. 3.5). Это имя необходимо для нового вложенного ключа, который появится в реестре после того, как вы загрузите улей (рис. 3.6). Теперь вы сможете редактировать загруженный улей реестра.

Рис. 3.7. Окно Выбор: Компьютер теперь обеспечивает расширенные возможности просмотра и поиска

 Примечание

Для выполнения этой процедуры вам необходимо зарегистрироваться в локальной системе в качестве администратора или же пользователя, принадлежащего к группе Администраторы (Administrators). Возможность выполнения данных действий будет зависеть также от политики безопасности сети.

4. Выполнив редактирование загруженного улья реестра, вы можете выгрузить его. Для этого его необходимо выделить, а затем выполнить команду Выгрузить куст (Unload Hive) из меню Файл (File). Необходимо, чтобы были сохранены все изменения, вносимые в улей, который вы будете выгружать, для того чтобы в дальнейшем эту информацию можно было восстановить.

Команда Подключить сетевой реестр (Connect Network Registry) позволяет выполнить редактирование реестра на другом компьютере, работающем в составе сети. Эта команда доступна лишь в том случае, если компьютер, на котором работает программа Редактор реестра (Regedit), подключен к сети. Для подсоединения к удаленному реестру, требуется указать имя компьютера, на котором находится копия сетевого реестра — так называемая удаленная копия (рис. 3.7). Обратите внимание, что набор опций по просмотру и поиску в сети существенно расширен по сравнению с функциональными возможностями редактора реестра в Windows NT/2000, в котором имелась лишь команда Обзор (Browse).

Примечание

Для выполнения этой процедуры вам необходимо зарегистрироваться в локальной системе в качестве администратора или же пользователя, принадлежащего к группе Администраторы (Administrators). Возможность выполнения указанных действий будет зависеть также от политики безопасности сети.

Чтобы отключиться от реестра, расположенного на удаленном компьютере, используется команда Отключить сетевой реестр (Disconnect Network Registry). Если вы на текущий момент не подключены к сетевому реестру, эта опция будет недоступна.

Для того чтобы распечатать весь реестр или же его ветвь, что весьма удобно, используется команда Печать (Print) из меню Файл (File).

Для закрытия окна программы Редактор реестра (Regedit) и завершения редактирования реестра необходимо использовать команду Выход (Exit).

Команды меню Правка

Меню Правка (Edit) содержит команды, которые позволяют находить и модифицировать нужные элементы реестра:

•  Изменить (Modify);
•  Изменить двоичные данные (Modify Binary Data);
•  Создать (New);
•  Разрешения (Permissions);
•  Удалить (Delete);
•  Переименовать (Rename):
•  Копировать имя раздела (Copy Key Name):
•  Найти (Find);
•  Найти далее (Find Next).

Команда Изменить (Modify) используется для изменения данных, содержащихся в составе параметров реестра. Эта опция будет доступна только в том случае, если выбрать один из параметров, перечисленных в правой панели окна Редактор реестра (Registry Editor).

Команда Изменить двоичные данные (Modify Binary Data) позволяет редактировать любые данные (включая другие типы данных) в двоичном редакторе. Так же, как и предыдущая, данная команда станет доступной лишь после того, как вы выберите одно из значений реестра, указанных в правой панели окна Редактора реестра.

Команда Создать (New) позволяет добавлять в реестр новые ключи и параметры. Обратите внимание, что по сравнению с версией Редактора реестра (Regedit) в Windows NT/2000, в которой позволялось добавлять лишь параметры строковых типов, двоичные параметры и параметры типа DWORD, версия редактора реестра в Windows XP обеспечивает расширенный набор опций. Она позволяет также добавлять многострочные значения (тип данных REG_MULTI_ sz) и расширяемые строковые данные (REG_EXPAND_SZ) (рис. 3.8). Соответствующие команды становятся доступными после выбора команды Создать (New). Те же самые опции будут доступны и в контекстном меню, раскрывающемся по щелчку правой кнопки мыши.

Команды Переименовать (Rename) и Удалить (Delete) меню Правка (Edit) позволяют, соответственно, переименовать или удалить значимый элемент реестра. Удалить значимый элемент можно и другим способом: выделите нужный элемент, выполнив на нем щелчок мышью, а затем нажмите клавишу <Del>. Аналогичным образом, для быстрого переименования значимого элемента можно указать на него курсором, выполнить щелчок правой кнопкой мыши, выбрать из контекстного меню команду Переименовать (Rename) и ввести новое имя.

Внимание

Удаление параметров и ключей реестра с помощью утилиты Редактор реестра (Regedit) — это необратимая операция. Редактор реестра (Regedit) не имеет команды Отменить (Undo), поэтому при удалении параметров и ключей следует соблюдать осторожность. Windows отобразит диалоговое окно, в котором вам будет предложено подтвердить свое намерение удалить элемент реестра, но после того как на запрос будет дан утвердительный ответ, отменить эту операцию уже нельзя.

Команда Копировать имя раздела (Copy Key Name) дает возможность скопировать в буфер обмена имя ключа, выделенного на текущий момент.

Впоследствии скопированное имя можно вставить в произвольный текст с помощью команды Вставить (Paste), имеющейся в любом текстовом редакторе. Поскольку реестр представляет собой сложную иерархическую базу данных, пути к нужному элементу могут оказаться очень длинными и сложными для запоминания. Поэтому многие по достоинству оценили удобство этой функции. Команду Копировать имя раздела (Copy Key Name) очень удобно использовать в сочетании с командами Найти (Find) и Найти далее (Find Next), а применения ее могут быть самыми разнообразными — от редактирования реестра до вставки имен ключей в тексты писем, отчетов, книг и т. п.

Рис. 3.8. Команда Создать позволяет вам добавлять новые ключи, строковые, двоичные параметры, параметры типа DWORD, многострочные и расширяемые строковые значения

Команды Найти (Find) и Найти далее (Find Next) используются для поиска конкретных элементов или данных (включая строки и слова) в реестре. Выбор команды Найти (Find) в меню Правка (Edit) открывает диалоговое окно Поиск (Find), в котором можно описать искомые ключ, параметр или его данные (рис. 3.9). Можно выполнять поиск ключей, параметров, данных или любой их комбинации. Искомые значения могут быть как текстовыми, так и числовыми.

Для поиска нужного элемента реестра введите искомое значение в поле Найти (Find what). Существует возможность сузить диапазон поиска, отметив один из перечисленных ниже флажков, имеющихся в группе Просматривать при поиске (Look at).

•  имена разделов (Keys). Поиск производится только по ключам реестра. Операция находит как корневые ключи, так и вложенные.
•  имена параметров (Values). Отыскиваются только имена параметров (которые, как вы уже знаете, отображаются в правой панели окна Редактора реестра (Registry Editor) в столбце Имя (Name)).
•  значения параметров (Data). Диапазон поиска сужается, ограничиваясь только данными.

Рис. 3.9. Диалоговое окно Поиск

Диалоговое окно Поиск (Find) имеет флажок Искать только строку целиком (Match whole string only). При его использовании Редактор реестра будет находить только целые слова, исключая из результатов поиска частичные совпадения. Примером может послужить случай поиска слова "Paint". Если в системе установлено приложение Microsoft Paint и другие приложения, в название которых входит слово "Paint" (например, PaintShop Pro), то Редактор реестра в процессе поиска найдет их все.

Если это не вызывает у вас возражений, то все в порядке. Если же вы хотите найти только Microsoft Paint, тогда вам следует отметить флажок Искать только строку целиком (Match whole string only). Напротив, если вы хотите найти все случаи вхождения строки, сбросьте этот флажок, если до этого он был помечен. Эта возможность ценна в том случае, когда вы не помните конкретного написания строки и хотите видеть все вариации.

Использование опции Искать только строку целиком (Match whole string only) увеличивает время поиска, что может быть существенно для больших баз данных реестра.

Заполнив все нужные поля в диалоговом окне Поиск (Find), нажмите кнопку Найти далее (Find Next), и процедура поиска начнется.

Найдя совпадение, Редактор реестра (Regedit) выделит совпадающий элемент подсветкой, помогая определить, в каком ключе (или вложенном ключе) найдено совпадение. Если найдены данные или имена значимых элементов, то в левой панели для просмотра откроются ассоциированные с ними ключи или подключи, а имя элемента выделяется подсветкой. Однако, несмотря на эти визуальные подсказки, определить путь к найденному элементу в ряде случаев все равно бывает сложно. Именно поэтому рекомендуется постоянно держать отображаемой строку состояния, где всегда выводится полный путь к выделенному элементу реестра, — все ключи, подключи и даже имя компьютера (не во всех случаях это будет локальный компьютер).

Итак, искомый элемент найден. Является ли он именно тем, что вы искали? На этот вопрос вам придется ответить самостоятельно. Теперь можно модифицировать найденный элемент, завершить поиск или игнорировать результат и продолжить поиск. Чтобы найти следующее вхождение совпадающего элемента, нажмите клавишу <F3> или выберите команду Найти далее (Find Next) в меню Правка (Edit).

 Примечание

Во время поиска следует иметь в виду, что имена ключей и параметров не являются уникальными. Реестр может (и, чаще всего, это именно так) содержать несколько вхождений одного и того же имени ключа или параметра. По этой причине следует предоставлять как можно больше уточняющей информации. К примеру, слово "inbox" может иметь до 10 вхождений.

Наконец, команда Разрешения (Permissions), которая позволяет управлять . правами доступа к ключам реестра и осуществлять аудит действий, производимых над ними, заслуживает особого внимания. Вновь необходимо отметить тот факт, что в Windows NT/2000 это функциональное свойство имелось лишь в программе Regedt32.exe, в которой была предусмотрена команда меню Безопасность (Security). В Windows XP эта функциональная возможность была интегрирована в единую версию редактора реестра — утилиту Regedit.exe. Права доступа к ключу реестра могут быть назначены независимо от типа файловой системы в системном разделе.

Модификация ключей и значимых элементов

Теперь, когда мы в общих чертах рассмотрели команды меню Правка (Edit), продолжим более подробное обсуждение его использования для добавления, модификации или удаления ключей реестра и значимых элементов и установки прав доступа к ключам реестра.

Добавление новых ключей

Для добавления нового ключа в любой улей реестра следует выбрать команду Создать | Раздел (New | Key) в меню Правка (Edit). Эта процедура является очень простой и напоминает создание новых папок в Проводнике (Explorer). При создании нового ключа пользователю не будет предлагаться ввести для него имя, однако вы можете переименовать новый ключ после того, как он будет создан.

Добавление новых значимых элементов

Для того чтобы добавить новые значимые элементы в реестр, выберите команду Создать (New) в меню Правка (Edit), а затем соответствующую команду в зависимости от типа данных создаваемого элемента. Используя версию программы Regedit.exe в Windows XP, можно создавать типы строковых значений (REG_SZ, REG_MULTI_SZ и REG_EXPAND_SZ), а также двоичные значения (REG_DWORD и REG_BINARY). При создании нового элемента пользователю не будет предложено снабдить его именем, однако вы сможете переименовать и отредактировать значение, после того как оно будет создано.

Редактор двоичных значений

Когда вы выбираете двоичное значение (тип данных — REG_BINARY), а затем выполняете команду Изменить (Modify) в меню Правка (Edit), программа Regedit.exe открывает окно Изменение двоичного параметра (Edit Binary Value) (рис. 3.10). Обратите внимание, что вы можете использовать двоичный редактор для редактирования значения любого типа, выбирая команду Изменить двоичные данные (Modify Binary Data). Введите данные в поле Значение (Value data) окна Изменение двоичного параметра (Edit Binary Value).

Рис. 3.10. Окно Изменение двоичного параметра

Редактирование строковых значений

Выделите значение RSG_SZ в правой панели окна Редактор реестра (Registry Editor), затем выберите команду Изменить (Modify) в меню Правка (Edit) для запуска редактора строковых значений. Окно Изменение строкового параметра (Edit String) (рис. 3.11) позволяет редактировать строковые значения.

Рис. 3.11. Окно Изменение строкового параметра

Редактирование значений типа DWORD

Редактор значений типа DWORD запускается по двойному щелчку мыши на значимом элементе реестра REG_DWORD или по выделению элемента данного типа с последующим выбором команды Изменить (Modify) меню Правка (Edit) (рис. 3.12). По умолчанию, все данные типа REG_DWORD отображаются в шестнадцатеричном формате. Однако, вы можете также отображать данные в десятичном формате, выбрав соответствующий переключатель в группе Система исчисления (Base), расположенной в нижней части окна.

Рис. 3.12. Окно Изменение параметра DWORD

Редактирование многострочных значений

Если дважды щелкнуть мышью по многострочному значению или же выбрать многострочное значение, а затем выполнить команду Изменить (Modify) меню Правка (Edit), то появится окно Редактирование мультистроки (Edit Multi-String) (рис. 3.13), предназначенное для редактирования многострочных значений.

Рис. 3.13. Окно Редактирование мультистроки

Просмотр списков ресурсов

Как уже упоминалось в главе 1, системный реестр хранит всю информацию об аппаратных средствах компьютера. Для этого в реестре даже предусмотрены специальные типы данных, REG_RESOURCE_LIST, REG_FULL_RESOURCE_ DESCRIPTOR и REG_RESOURCE_REQUIREMENTS_LIST. Они используются только в ключе реестра HKEY_LOCAL_MACHINE\HARDWARE. Значимые элементы этих типов можно просмотреть в окнах Списки ресурсов (Resource Lists) (рис. 3.14) и Ресурсы (Resources) (рис. 3.15).

Удаление ключей и значимых элементов реестра

Чтобы удалить из реестра ключ или параметр, выделите объект, предполагаемый для удаления, и выберите в меню Правка (Edit) команду Удалить (Delete). Вам будет предложено подтвердить свое намерение удалить выбранный ключ или параметр (рис. 3.16).

Рис. 3.14. Окно Списки ресурсов

Рис. 3.15. Окно Ресурсы

Рис. 3.16. Перед удалением ключа или параметра система предлагает подтвердить операцию

 Примечание

Перед выполнением операции удаления ключа или параметра реестра рекомендуется выполнить резервное копирование ульев реестра, из которых осуществляется удаление. Редакторы реестра не имеют команды отмены Отменить (Undo), поэтому после подтверждения операции удаления в вашем распоряжении не будет никакого другого способа восстановить удаленную информацию, кроме ее восстановления по предварительно созданной резервной копии. Помимо этого, если вы редактируете реестр Windows NT/2000 с помощью Regedt32.exe, то Regedt32.exe предложит вам подтвердить намерение выполнить удаление, только если в меню Параметры (Options) установлена опция Подтверждение удаления (Confirm on Delete). Как видно из рис. 3.16, при удалении ключа выводимое на экран сообщение не содержит имени удаляемого ключа. Поэтому, прежде чем продолжать выполнение операции, тщательно проверьте имя выбранного ключа и убедитесь, что это именно тот ключ, который требуется удалить.

Если вы случайно удалите что-либо из состава ключа реестра HKEY_LOCAL _MACHlNE\System\CurrentCcntrolSet, помните о возможности восстановления содержимого этого ключа с помощью последней успешно загруженной конфигурации (см. главу 6).

Команды меню Вид

Меню Вид (View) управляет способом отображения реестра и содержит следующие команды:

•  Строка состояния (Status Bar);
•  Разделить (Split);
•  Вывод двоичных данных (Display Binary Data);
•  Обновить (Refresh).

Команда Строка состояния (Status Bar) меню Вид (View) позволяет при желании отключить строку состояния. Поскольку строка состояния помогает быстрее ориентироваться в реестре, отображая путь к текущему ключу, ее рекомендуется постоянно держать на виду.

Команда Разделить (Split) перемешает курсор мыши на разделитель левой и правой частей окна Редактор реестра (Registry Editor), после чего остается только переместить мышь влево или вправо, чтобы найти удобную позицию для разделителя, и выполнить щелчок левой кнопкой мыши.

Примечание

Аналогично способу перемасштабирования подокон в Проводнике (Explorer) или в окне Мой компьютер (My Computer), вы можете перемасштабировать подокна Редактора реестра (Registry Editor) с помощью одной только мыши. Для этого необходимо переместить курсор мыши к разделителю, чтобы курсор принял форму двунаправленной стрелки, нажать левую кнопку мыши, и, удерживая ее в этом положении, переместить разделитель в нужное положение, после чего отпустить кнопку мыши.

Команда Вывод двоичных данных (Display Binary Data) меню Вид (View), которая впервые появилась в Windows XP, становится доступной лишь после того, как вы выберете один из параметров, перечисленных в правой панели окна Редактор реестра (Registry Editor). Она позволяет просмотреть выбранные элементы данных в трех форматах: 1 байт (Byte), 2 байта (Word) или 4 байта (Dword) — рис. 3.17.

Обратите внимание, что с помощью этой команды нельзя редактировать данные (если же вам это необходимо, выберете соответствующий параметр, а затем выполните команду Изменить двоичные данные (Modify Binary Data) в меню Правка (Edit)).

В меню Вид (View) имеется еще одна команда — Обновить (Refresh). При внесении изменений в реестр не все они могут отображаться в окне Редактора реестра немедленно после внесения модификации. Обновить окно Редактор реестра (Registry Editor) можно с помощью команды Обновить (Refresh) или нажатием клавиши <F5>.

Рис. 3.17. Окно Двоичные данные

 Примечание 

Как правило, в Windows NT 4.0 многие изменения (в том числе и внесенные путем редактирования реестра) входят в силу только после перезагрузки системы. В Windows 2000 и Windows XP впервые была введена полноценная поддержка Plug and Play, поэтому перезагрузок потребуется меньше. Тем не менее, ряд модификаций все же входят в силу только после перезагрузки операционной системы.

Меню Избранное

Хотя программа Редактор реестра (Regedit) в Windows 2000/XP и очень похожа на аналогичное приложение, существующее в Windows 95/98 и Windows NT 4.0, она все же представляет собой новую, усовершенствованную версию этого редактора реестра. Одним из полезных новшеств, введенных в Windows 2000/XP, является то, что пункт меню Избранное (Favorites) присутствует теперь повсюду, и редактор реестра Regedit.exe — не исключение (рис. 3.18).

Рис. 3.18. В новой версии Редактора реестра появился пункт меню Избранное

Все, кто часто выполняет поиск ключей и значимых элементов в реестре, а также интенсивно занимается его редактированием, по достоинству оценят эту удобную функциональную возможность. С помощью меню Избранное (Favorites) можно создать список наиболее часто редактируемых ключей реестра (и не повторять затем громоздкую процедуру поиска).

Рис. 3.19. Диалоговое окно Добавление в папку "Избранное"

Чтобы добавить ключ реестра в список Избранное (Favorites), проделайте следующее:

1. Выделите ключ реестра, который требуется добавить в список Избранное (Favorites).

2. В меню Избранное (Favorites) выберите команду Добавить в избранное (Add to Favorites).

3. В раскрывшемся диалоговом окне Добавление в папку "Избранное" (Add to Favorites) (рис. 3.19) согласитесь с именем ключа, предложенным по умолчанию, или введите новое имя в поле Имя для избранного раздела (Favorite name). Нажмите кнопку ОК, и ключ появится в списке Избранное (Favorites).

Теперь вы в любой момент сможете быстро перейти к нужному ключу, выбрав его имя из списка Избранное (Favorites). Удалить ключ реестра из списка Избранное (Favorites) очень просто — для этого достаточно выбрать в меню Избранное (Favorites) команду Удалить из избранного (Remove Favorite), а затем в открывшемся диалоговом окне выделить ключ, который требуется удалить из списка Избранное (Favorites), и нажать кнопку ОК.

Управление безопасностью реестра

Для управления безопасностью в редакторе реестра Windows XP предусмотрена команда Разрешения (Permissions), которая используется для редактирования прав доступа к ключам реестра и установки правил аудита на доступ к ним.

Примечание 

Следует отметить, что в Windows NT/2000 этими возможностями обладает только утилита Regedt32.exe, в которой есть специальное меню Безопасность (Security), позволяющее задавать права доступа и устанавливать правила аудита (auditing rules). B Windows XP эти функциональные возможности были перенесены в программу Regedit.exe. Обратите внимание, что права доступа к ключам реестра могут быть установлены независимо от типа файловой системы на диске, где располагаются файлы Windows XP.

В этой главе приводится лишь обзор этих функций, а также общие инструкции о выполнении операций, необходимых для защиты реестра.

Более подробная информация по этим вопросам содержится в главе 9, посвященной защите реестра.

Как и предыдущие версии NT/2000, так и Windows XP обладает следующими возможностями по обеспечению зашиты системы:

•  доступ к ресурсам системы может жестко контролироваться;
•  все операции по доступу к системным объектам могут регистрироваться в журнале безопасности;
•  для доступа к системе требуется пароль, и операции доступа регистрируются в журнале безопасности.

Установка прав доступа к ключам реестра

Команда Разрешения (Permissions) открывает окно Разрешения для <Имя_ключа> (Permissions for the <Кeynamе>), предназначенное для просмотра и установки прав доступа к ключам реестра. Права доступа к ключам реестра можно назначать вне зависимости от типа файловой системы на разделе, где содержатся файлы Windows XP.

Внимание

Изменение прав доступа к ключу реестра может иметь серьезные последствия. Например, если вы установите права доступа типа "No access" на ключ, необходимый для конфигурирования сети с помощью утилиты Сетевые подключения (Network) из Панели управления (Control Panel), то это приложение работать не будет. Права полного доступа (full access) к ключам реестра должны иметь, как минимум, члены группы Администраторы (Administrators) и сама операционная система (Operating System). Такая установка прав доступа гарантирует возможность восстановления ключа реестра администратором. 

Поскольку установка ограничений на права доступа к ключам реестра может иметь серьезные последствия, зарезервируйте эту меру для ключей, добавляемых с целью настройки отдельных индивидуально разработанных приложений или иных видов индивидуальной настройки.

Примечание 

Изменяя права доступа к ключу реестра, на этот ключ следует установить аудит, чтобы отслеживать, как минимум, неудачные попытки доступа. Минимально необходимая для этой цели информация по аудиту действий в отношении реестра будет приведена далее в этой главе.

Команда Разрешения (Permissions) работает по такому же принципу, как и аналогичные команды Проводника (Explorer) по установке прав доступа к файлам и каталогам на разделах NTFS. Чтобы установить права доступа к конкретному ключу реестра, проделайте следующее:

1. Перед внесением изменений выполните резервное копирование тех ключей реестра, на которые будут устанавливаться права доступа.

2. Выделите ключ, на который собираетесь установить права доступа. После этого выберите команду Разрешения (Permissions) меню Правка (Edit).

Рис. 3.20. Окно Разрешения для <Имя_ключа> позволяет указывать права доступа к ключу реестра

3. Откроется окно Разрешения для <Имя_ключа> (Permissions for <Keyname>), позволяющее указать права доступа к реестру (рис. 3.20). В Windows XP имеется большое количество усовершенствований, в том числе и по обеспечению безопасности. Тем не менее, основные типы прав доступа и принципы их установки схожи с теми, которые применялись в предыдущих версиях Windows NT/2000. Выберите имя пользователя или группы из списка в верхней части этого окна, а затем установите для него необходимый уровень доступа, отметив требуемое значение в списке Разрешения для <Имя_полъзователя> (Permissions for <Username>). Общее описание типов доступа (Чтение (Read), Полный доступ (Full Control) и Особые разрешения (Special Permissions)) приведено в табл. 3.3. Назначение прав доступа к выбранному ключу реестра выполняется следующим образом.

•  В списке пользователей и групп, расположенном в верхней части этого окна, выделите имя пользователя или группы, для которых требуется установить права доступа к ключу реестра. Если этот пользователь или группа должны иметь возможность чтения содержимого ключа, но не должны иметь права сохранения внесенных изменений, установите флажок Разрешить (Allow), расположенный напротив варианта Чтение (Read).
•  Если пользователь или группа должны иметь возможность открывать и редактировать выбранный ключ, а также присваивать права владельца этого ключа, установите флажок Разрешить (Allow), расположенный напротив варианта Полный доступ (Full Control).
•  Чтобы предоставить пользователю специальный тип доступа к ключу реестра, нажмите кнопку Дополнительно (Advanced).

Таблица 3.3. Типы прав доступа к ключам реестра

4. Установите проверку на доступ к реестру (более подробная информация об установке аудита будет приведена далее в этой главе). В течение некоторого времени тщательно наблюдайте за системой и убедитесь, что новые правила контроля доступа не оказывают отрицательного влияния на работу приложений.

Установка специальных комбинаций прав доступа

Для установки специальных типов доступа к ключам реестра Windows 2000/XP нажмите кнопку Дополнительно (Advanced) в диалоговом окне прав доступа к ключам реестра (см. рис. 3.20). При этом откроется окно Дополнительные параметры безопасности для <Имя_ключа> (Advanced Security Settings for <Keynarne>) — рис. 3.21.

Рис. 3.21. Вкладка Разрешения окна Дополнительные параметры безопасности для <Имя_ключа>

Если вы устанавливаете права доступа для подключа реестра, и хотите, чтобы он унаследовал права доступа, заданные для родительского ключа, установите флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения... (Inherit from parent the permission entries that apply to the child objects...).

Если вы устанавливаете права доступа к родительскому ключу и хотите, чтобы все его подключи унаследовали его права доступа, отметьте флажок Заменить разрешения для всех дочерних объектов заданными здесь разрешениями... (Replace permission entries on all child objects...).

Дважды щелкните мышью на имени пользователя или группы, для которой вам необходимо установить специальный доступ (или же выберите имя, а затем нажмите кнопку Изменить (Edit)). При этом появится окно, представленное на рис. 3.22. В списке Разрешения (Permissions) выберите флажок Разрешить (Allow) или Запретить (Deny), расположенные рядом с типом доступа, который необходимо назначить или же отменить для указанного пользователя или группы. Перечень специальных опций доступа представлен в табл. 3.4. Обратите внимание, что этот список не отличается от аналогичного в Windows NT 4.0 и Windows 2000.

Рис. 3.22. Окно Элемент разрешения для <Имя_ключа>

Таблица 3.4. Опции особых разрешений

Присвоение прав владельца ключа реестра

Как системный администратор, вы можете присвоить себе права владельца на ключ реестра и ограничить доступ к этому ключу. Пользователь, зарегистрировавшийся на компьютере с использованием учетной записи, принадлежащей к группе Администраторы (Administrators), может присвоить себе права владельца на любой ключ реестра. Однако если вы имеете права владельца без прав доступа типа "Полный доступ" (Full Control), то вы не сможете вернуть ключ первоначальному владельцу, а в журнале безопасности появится соответствующая запись.

Чтобы присвоить права владельца на ключ реестра в Windows XP:

1. Выделите ключ реестра, которому требуется присвоить права владельца.

2. Выберите команду Разрешения (Permissions) в меню Правка (Edit).

3. Нажмите кнопку Дополнительно (Advanced) и в открывшемся диалоговом окне Дополнительные параметры безопасности для <Имя_ключа> (Advanced Security Settings for <Keyname>) перейдите на вкладку Владелец (Owner) — рис. 3.23.

4. В списке Изменить владельца на (Change owner to) выберите нового владельца и нажмите кнопку ОК.

Рис. 3.23. Вкладка Владелец окна Дополнительные параметры безопасности для <Имя_ключа>

 Примечание

•  Установите флажок Заменить владельца субконтейнеров и объектов (Replace owner on subcontainers and objects), если требуется также заменить владельца для всех вложенных объектов выбранного ключа.
•  Замену владельца ключа реестра можно выполнить, только зарегистрировавшись в системе от имени администратора, или если прежний владелец явным образом предоставил вам права владельца на доступ к этому ключу.

Аудит действий в отношении реестра

Аудит представляет собой процесс, который операционные системы Windows NT/2000/XP используют для обнаружения и регистрации событий, связанных с системой безопасности. К таким событиям относятся, например, попытки создания или удаления системных объектов, а также попытки получения доступа к таким объектам. Обратите внимание, что в объектно-ориентированных системах в качестве объекта может рассматриваться все что угодно — файлы, папки, ключи реестра и т. д. Все эти и другие подобные им события регистрируются в файле, известном под названием журнала безопасности (security log). По умолчанию аудит в системе не активизирован. Таким образом, если вам необходимо контролировать события, относящиеся к безопасности, то требуется его активизировать. После того как это будет сделано, операционная система начинает регистрировать события, связанные с системой безопасности, и зарегистрированные данные можно просмотреть с помощью специального средства просмотра — утилиты Просмотр событий (Event Viewer). При установке аудита можно указать типы событий, подлежащих регистрации в журнале безопасности, и операционная система будет создавать в журнале безопасности запись о событии каждый раз, когда событие указанного типа происходит в системе. Запись в журнале безопасности содержит описание события, имя пользователя, который выполнил соответствующие этому событию действия, а также дату и время события. Аудит можно установить как на успешные, так и на неудачные попытки выполнения операций, и журнал безопасности, соответственно, будет отображать имена пользователей, совершивших успешные попытки, и имена пользователей, пытавшихся выполнить запрещенные действия.

Более подробно вопросы установки аудита будут рассмотрены в главе 9, посвященной вопросам защиты реестра.

Здесь же отметим, что в Windows NT 4.0 Workstation установка аудита осуществляется при помощи утилиты Диспетчер пользователей (User Manager), в Windows NT 4.0 Server — утилитой User Manager for Domains, а в Windows 2000 и Windows XP — с помощью оснастки Групповая политика (Group Policy) в окне ММС. Установив аудит, проведите наблюдения за различными видами системных событий безопасности, регистрируясь в системе от имени различных пользователей и администраторов.

Чтобы установить аудит на действия в отношении реестра, необходимо выполнить следующее:

•  активизировать в системе аудит и задать его политику на все события, которые, с вашей точки зрения, подлежат аудиту;
•  указать пользователей и группы, за действиями которых требуется установить аудит;
•  результаты аудита просматривайте в системном журнале Безопасность (Security) с помощью утилиты Event Viewer (в Windows XP — оснастка ММС Просмотр событий).

Чтобы иметь возможность выполнить любое из указанных выше действий, необходимо зарегистрироваться на компьютере с использованием учетной записи из группы Администраторы (Administrators). Политика аудита задается для каждого компьютера индивидуально. Прежде чем задавать политику аудита в отношении избранных ключей реестра, необходимо активизировать на компьютере аудит событий, имеющих отношение к системе безопасности.

Если сделать попытку установить аудит на доступ к ключам реестра, не активизировав системный аудит, то Regedit.exe выведет сообщение об ошибке (рис. 3.24).

Рис. 3.24. Если вы пытаетесь установить аудит реестра без первичной активизации аудита в системе, то появляется сообщение об ошибке

Активизация аудита

Чтобы активизировать аудит на компьютере Windows 2000 или Windows XP, проделайте следующее:

1. В Панели управления (Control Panel) запустите утилиту Администрирование (Administrative Tools) и выберите опцию Локальная политика безопасности (Local Security Policy).

2. В появившемся окне ММС разверните расположенное в левой панели дерево консоли управления, выбрав опцию Политика аудита (Audit Policy) (рис. 3.25). В правой части окна появится список типов событий, на которые можно установить аудит.

3. Выделите один из элементов списка в правой части окна, выполните двойной щелчок мышью и в появившемся на экране диалоговом окне установите аудит, как минимум, на события типа Аудит доступа к объектам (Audit object access). Как и в предыдущих версиях Windows NT/2000, в Windows XP можно устанавливать аудит как на успешные, так и на неудачные попытки выполнения тех или иных операций (рис. 3.26).

Активизировав системный аудит, можно установить проверку действий в отношении ключей реестра. В частности, в литературе можно встретить рекомендации по установке аудита на следующие ключи:

•  ключи, о которых известно, что пользователи и приложения получают к ним доступ и вносят изменения;
•  созданные вами индивидуальные ключи реестра, которые вы, как разработчик, хотите протестировать.

Рис. 3.25. Аудит в Windows 2000/ХР активизируется при помощи оснастки ММС Локальная политика безопасности

Рис. 3.26. Так же как и в Windows NT/2000, Windows XP позволяет отслеживать как удачные, так и неудачные попытки доступа

Установка аудита

Чтобы установить аудит на ключи реестра Windows 2000/XP:

1. Выделите ключ, на который требуется установить аудит.

2. Выберите команду Разрешения (Permissions) в меню Правка (Edit), нажмите кнопку Дополнительно (Advanced) и в открывшемся диалоговом окне Дополнительные параметры безопасности для <Имя_ключа> (Advanced Security Settings for <Keyname>) перейдите на вкладку Аудит (Auditing) (рис. 3.27).

Рис. 3.27. Вкладка Аудит окна Дополнительные параметры для <Имя_ключа>

3. Если аудит на выбранный ключ устанавливается впервые, то список Элементы аудита (Auditing Entries) будет пуст. Нажмите кнопку Добавить (Add), расположенную непосредственно под этим списком, выберите из предложенного списка пользователей и группы, на действия которых требуется установить аудит и добавьте их в список.

4. Для установки аудита на действия конкретного пользователя или группы выделите его имя в списке Элементы аудита (Auditing Entries), нажмите кнопку Изменить (Edit) и в раскрывшемся диалоговом окне (рис. 3.28) в списке Доступ (Access) установите флажки Успех (Successful) и/или Отказ (Failed) для вариантов доступа, на которые требуется установить аудит.

Рис. 3.28. Окно Элемент аудита для <Имя_ключа>

Допустимые опции аудита представлены в табл. 3.5. Обратите внимание, что набор опций аудита не претерпел изменений по сравнению с Windows NT/2000.

Таблица 3.5. Типы опций аудита на действия в отношении ключей реестра

Примечание 

Для установки аудита на ключи реестра необходимо зарегистрироваться в системе от имени администратора или члена группы Администраторы (Administrators). Если компьютер участвует в работе сети, то параметры политики безопасности, установленные для сети, также могут не позволить вам выполнить установку аудита на ключи реестра.

Для просмотра результатов аудита выполните команду Все программы | Администрирование | Управление компьютером (All Programs Administrative Tools | Computer Management) меню Пуск (Start). Разверните расположенное в левой панели окна ММС дерево консоли, выбрав опции Служебные программы | Просмотр событий | Безопасность (System Tools | Event Viewer Security Log). В правой панели появится список событий системы безопасности, работа с которым аналогична работе с журналом безопасности в Windows NT 4.0.

Команды, содержащиеся в меню Окно (Window) и Справка (Help), являются стандартными для большинства приложений Windows.

Резюме

В этой главе внимание было сконцентрировано на новом редакторе реестра в Windows ХР — Regedit.exe и его использовании для внесения модификаций в базу данных реестра, ее просмотра, импорта, экспорта и распечатки. Знание операций, которые можно выполнять при помощи редакторов реестра, позволит существенно упростить устранение неполадок, и поэтому они по праву относятся к наиболее полезным средствам из арсенала каждого системного и сетевого администратора.

Редакторы реестра предоставляют очень простой способ управления реестром, но, наряду с этим, при их использовании возникает множество ситуаций, в которых можно внести ошибку непосредственно в реестр. Открывая любой из редакторов реестра, соблюдайте осторожность и старайтесь не допускать случайных изменений и удалений. Если вы собираетесь внести изменение, запомните исходное значение. Это сэкономит ваше время, если понадобится восстанавливать это значение.