Права доступа по умолчанию

Если вы - IT-профессионал, занимающийся развертыванием программного обеспечения, то понимание прав доступа к реестру по умолчанию будет для вас очень полезным. Знание того, могут ли члены группы Users (Пользователи) изменять конкретный параметр, поможет вам тестировать приложения перед их установкой и определять, будет ли приложение работать с правами доступа по умолчанию. Если вы определили, что приложение работает с правами доступа по умолчанию, то можно двигаться дальше. Если же вы определили, что приложение не работает с правами доступа по умолчанию, то вы должны или исправить программу, или изменить мешающие ему работать права доступа ключа. Простейшим способом сделать это, конечно, является использование шаблонов безопасности. Во-первых, у вас должно быть точное понимание трех основных групп в Windows XP: Users (Пользователи), Power Users (Опытные пользователи), и Administrators (Администраторы). При помощи этих трех групп Windows XP предоставляет различные уровни доступа, в зависимости от потребностей каждой из этих групп:
Users (Пользователи). Эта группа имеет наивысшие настройки безопасности потому, что права доступа по умолчанию, присвоенные ей, не позволяют ее членам изменять данные операционной системы или настройки других пользователей. В частности, пользователи этой группы не могут изменять общекомпьютерные настройки операциейной системы и настройки приложений. Они обычно включают программы, сертифицированные для Windows XP, которые администраторы установили на их компьютеры. Наконец, эта группа предоставляет своим членам полный контроль надо всем, что находится в их профиле пользователя, включая кусты их профилей (HKCU). Тот факт, что ее члены обычно не могут запускать устаревшие приложения, часто удерживает IT-профессионалов от помещения пользователей в эту группу. Вместо того чтобы помещать пользователей в другие группы, решайте эту проблему, создав шаблон «совместимой» безопасности, о котором вы узнаете в разделе «Распространение шаблонов безопасности» далее в этой главе;
Power Users (Опытные пользователи). Эта группа предоставляет обратную совместимость для запуска программ, которые не сертифицированы для Windows XP. Права доступа по умолчанию предоставляют этой     группе     возможность     изменять     множество общекомпьютерных настроек операционной системы и настроек программ. В частности, если у вас есть устаревшие приложения, которые пользователи не могут запустить в качестве членов группы Users и вы не хотите использовать шаблоны безопасности, то добавление этих
пользователей к группе Power Users позволит им запускать эти при ложения. Однако эта группа не имеет достаточных полномочий для установки большинства приложений; ее члены не могут изменять системные файлы операционной системы или устанавливать сервисы.
Права доступа, присвоенные группе Power Users, находятся где-то посередине между правами групп Users и Administrators. Они похожи на группу Users из Microsoft Windows NT 4.0. Члены этой группы не могут добавлять самих себя к группе Administrators;
Administrators (Администраторы). Этой группе предоставляется полный контроль надо всем компьютером. Ее члены могут изменять все файлы операционной системы и приложений. Они могут изменять все настройки в реестре. Они также могут становиться владельцами ключей и изменять ACL ключа. IT-профессионалы часто испытывают искушение добавить пользователей в эту группу, чтобы избежать проблем при установке приложений, которые в противном случае будет сложно установить или запускать. Не делайте этого, потому что пользователи из этой группы могут устанавливать все, что им понравится, или изменять любые настройки, которые им захочется изменить. У вирусов будет полная свобода действий при повреждении си
стемы, и пользователи своими действиями неизбежно будут подвергать свои конфигурации риску порчи из-за простой человеческой ошибки. Чтобы защитить рабочие места вашей фирмы и снизить время простоя, сохраните эту группу для действительных админист
раторов. Если вы являетесь опытным пользователем, не добавляйте свою учетную запись в эту группу по той же причине. Вместо этого,когда вам требуется выполнить административную работу, используйте для запуска программы от лица администратора вторичный вход в систему: нажмите клавишу Shift и щелкните правой кнопкой мыши на ярлыке программы, щелкните на Run As (Запуск от имени…), а затем введите имя учетной записи и пароль, которые вы хотите использовать для запуска этой программы.
Таблица 7.1 описывает права доступа по умолчанию реестра после установки Windows XP с нуля. Помните, что результирующие права доступа будут другими, если вы обновляете систему с предыдущей версии Windows на Windows XP. Я взял эти права доступа из шаблона безопасности, который вы используете для восстановления Windows XP в состояние безопасности, которое она имела после чистой установки. Я в первую очередь показываю группы Users и Power Users потому, что это является наиболее важным. В большинстве из этих случаев группа Administrators имеет полный доступ, точно так же, как и учетные записи Creator Owner (Создатель-владелец) и встроенная System. В большинстве случаев — но не во всех — разрешения каждого ключа заменяют разрешения всех подключей. Это происходит из-за наследования, о котором вы узнали в этом разделе.
Когда вы увидите слово Special (Специальные) в столбце Power Users, это означает, что группа имеет для этого ключа (и, в большинстве случаев, для подключей) специальные разрешения, и таким разрешением обычно является право на изменение значений. Однако группа Power Users никогда не получает разрешений Full Control, Create Link, Change Permissions или Take Ownership для какого-либо ключа реестра. Интересным в этой таблице является то, что Windows XP для всех ключей в HKLM\SOFTWARE дает группе Users право Read (Чтение), а группе Power Users - специальные разрешения. Остальные значения в этой таблице являются исключениями из этого правила, которые ограничивают доступ к конкретным ключам в HKLM\SOFTWARE.
Определение того, какие ключи использует приложение, частично является наукой, но в гораздо большей степени — искусством. Иногда я просто открываю двоичный файл программы в текстовом редакторе и ищу в нем строки, которые выглядят как ключи. Чаще я использую такой инструмент, как Winternals Registry Monitor, об использовании которого вы узнаете в гл. 8, для слежения за активностью реестра во время работы исследуемой мной программы. Затем я записываю различные ключи, к которым обращалась программа, и проверяю, имеют ли группы Users или Power Users требуемые права на доступ к этим ключам. Наконец, хорошо ведущие себя приложения выдают сообщения об ошибках, когда они не могут прочитать или записать значение в реестре. Однако я бы не полагался на такое поведение потому, что плохо ведущие себя программы просто спокойно продолжают работать, даже обнаружив ошибку при доступе к реестру.