Предотвращение локального доступа к реестру

Каждый раз, когда я занимаюсь безопасностью реестра, неизбежно возникает вопрос, как предотвратить к нему доступ пользователей. Вы не можете сделать этого. Помните, что реестр содержит настройки, которые пользователь должен иметь возможность читать, чтобы Windows XP работала корректно. Также пользователи должны иметь полный доступ к кустам их профилей, куда операционная система и приложения записывают свои настройки. Вы не можете предотвратить доступ - и вам не захочется этого делать. Лучшее, на что вы можете рассчитывать — это ограничение возможности пользователей редактировать реестр с помощью Regedit или другого редактора реестра.
Наиболее элегантным способом предотвращения доступа с помощью Regedit является включение политики Prevent access to registry editing tools (). Когда пользователи запускают Regedit, все, что они увидят - это сообщение об ошибке, которое будет гласить «Registry Editing has been disabled by your administrator» (Редактирование реестра было отключено вашим администратором). Проблема с этой политикой состоит в том, что не все редакторы реестра обращают на нее внимание. Ничто не мешает решительному пользователю скачать условно-бесплатный редактор реестра, которых существует предостаточное количество, и использовать его. Это тот тип пользователя, которого вы либо захотите уволить, либо нанять в ваш IT-отдел. Другой возможностью является использование Software Restriction Policies (Политики ограничения программного обеспечения), о которых вы можете узнать в центре справки и поддержки. Но даже они не мешают пользователям запускать условно бесплатные редакторы реестра, если вы не ограничите их только очень узким списком разрешенных приложений.