Тонкости реестра Windows Vista. Трюки и эффекты
Шрифт:
• LogFilePath – этот параметр строкового типа позволяет определить путь к файлу журнала брандмауэра;
• LogDroppedPackets – если значение данного параметра REG_DWORD-типа равно 1, то в файл журнала брандмауэра будет заноситься информация об отброшенных пакетах;
• LogSuccessfulConnections – если значение данного параметра REG_DWORD-типа равно 0, то информация об успешных подключениях не будет заноситься в файл журнала брандмауэра;
• LogFileSize – значение данного параметра REG_DWORD-типа определяет максимальный возможный размер файла журнала (в килобайтах).
Можно
• AllowInboundEchoRequest – если значение данного параметра равно 0, то будут запрещены входящие эхо-запросы;
• AllowInboundMaskRequest – при установке значения этого параметра равным 0 будут запрещены входящие запросы маски;
• AllowInboundRouterRequest – если значение данного параметра равно 0, то будут запрещены входящие запросы маршрутизатора;
• AllowInboundTimestampRequest – при установке значения этого параметра равным 0 будут запрещены входящие запросы штампа времени;
• AllowOutboundDestinationUnreachable – если значение данного параметра равно 0, то будут запрещены ответы о недостижимости узла назначения;
• AllowOutboundPacketTooBig – при установке значения этого параметра равным 0 будут запрещены слишком большие исходящие пакеты.
• AllowOutboundParameterProblem – если значение данного параметра равно 0, то будут запрещены исходящие пакеты параметров проблем;
• AllowOutboundSourceQuench – при установке значения этого параметра равным 0 будут запрещены исходящие пакеты гашения источника.
• AllowOutboundTimeExceeded – если значение данного параметра равно 0, то будут запрещены исходящие пакеты истечения времени;
• AllowRedirect – при установке значения этого параметра равным 0 будут запрещены пакеты перенаправления.
Последний набор параметров позволяет определить программы и порты исключения, работа через которые не будет блокироваться стандартным брандмауэром.
Например, можно определить, будут ли использоваться локальные списки программ и портов-исключений, после чего указать списки исключений, которые будут учитываться всегда.
Программы.исключения. Чтобы запретить использование локальных программ-исключений, достаточно параметру REG_DWORD-типа AllowUserPrefMerge присвоить значение 0. Данный параметр расположен в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\AuthorizedApplications.
После этого можно указать список программ-исключений, которые всегда будут учитываться брандмауэром Windows. Для этого достаточно воспользоваться параметрами строкового типа ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\AuthorizedApplications\List.
Порты.исключения. Чтобы запретить использование локальных портов-исключений, достаточно параметру REG_DWORD-типа AllowUserPrefMerge присвоить значение 0. Параметр расположен в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\GloballyOpenPorts.
После этого можно указать список портов-исключений, которые всегда будут учитываться
брандмауэром Windows. Для этого достаточно воспользоваться параметрами строкового типа ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\GloballyOpenPorts\List.Службы.исключения. Существует возможность запретить или разрешить работу в сети некоторых стандартных служб операционной системы. Для этого воспользуйтесь параметром REG_DWORD-типа Enabled. Если значение данного параметра равно 1, то работа соответствующей службы в сети будет разрешена.
Данный параметр может находиться в следующих ветвях реестра:
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\Services\FileAndPrint – определяет разрешения входящего доступа для службы файлов и принтеров (порты UDP 137 и 138, и порты TCP 139 и 445);
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\RemoteAdminSettings – задает разрешения входящего доступа для службы удаленного администрирования данного компьютера с помощью WMI (порты TCP 135 и 445);
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\Services\UPnPFramework – определяет разрешения входящего доступа для протокола UPnP (порты TCP 2869 и UDP 1900);
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\Services\RemoteDesktop – задает разрешения входящего доступа для службы удаленного управления Рабочим столом данного компьютера (порты TCP 3389).
Во всех описанных выше ветвях реестра может находиться параметр строкового типа RemoteAddresses. Он позволяет указать конкретные IP-адреса компьютеров (через запятую), которым разрешено взаимодействовать с соответствующей службой.
Настройка шифрования EFS
Если вы уже заглядывали в окно Дополнительные атрибуты для какого-либо файла (отображается после нажатия кнопки Другие, расположенной на вкладке Общие окна Свойства файла или папки), то, наверное, уже заметили флажок Шифровать содержимое для защиты данных. С помощью данного флажка можно зашифровать файл или целую папку на основе шифрующей файловой системы EFS.
Существует возможность блокирования флажка Шифровать содержимое для защиты данных для определенного пользователя (рис. 3.5). Для этого достаточно присвоить параметру REG_DWORD-типа NoEncryption значение 1. Параметр расположен в ветви реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.
Рис. 3.5. Блокирование флажка Шифровать содержимое для защиты данных
Соответствующий REG-файл представлен ниже (расположение на компакт-диске – Файлы реестра\Интерфейс\InterNoEncrypt.reg).
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoEncryption"=dword:00000001
Можно также полностью отключить шифрованную файловую систему EFS. Для этого нужно параметру REG_DWORD-типа NtfsDisableEncryption присвоить значение 1. Он расположен в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem.