■ DisplayType — этот параметр DWORD-типа определяет способ указания состояния правила. Параметр может принимать следующие значения:

 • 1 — отобразить счетчик для указания состояния правила;

 • 2 — поле для ввода значения;

 • 3 — раскрывающийся список (для выбора возможного состояния из списка);

 • 4 — список для выбора состояния;

 • 6 — два флажка, с помощью которых можно включить или отключить правило.

■ ValueType — этот параметр DWORD-типа определяет тип изменяемого данным правилом параметра реестра. Возможные значения:

 • 1 — строковый тип параметра;

 • 3 — тип параметра REG_BINARY;

 • 4 — тип параметра REG_DWORD;

 • 7 — тип параметра REG_MULTI_SZ.

На рис. 11.11 можно видеть пример описания правила в реестре. 

Рис. 11.11. Хранение правил политики Параметры безопасности

Журнал событий

С помощью данной политики можно настроить параметры стандартных журналов системы, доступ к которым можно получить с помощью оснастки Просмотр событий. Например, с помощью данной политики можно определить максимальные размеры файлов стандартных журналов системы, количество дней хранения этих файлов, а также запретить или разрешить просмотр системных журналов для учетной записи Гость. Все параметры реестра, изменяемые этой политикой, уже были рассмотрены в разделе о настройках оснастки Просмотр событий.

Группы с ограниченным доступом

С помощью данной политики можно добавить в группу временного пользователя (для повышения его прав на некоторое время). При этом после перезагрузки данный пользователь будет удален из группы. Тем самым администратор может делегировать на время права некоторым пользователям, не заботясь о снятии делегированных прав с пользователя — это выполнит система. Для добавления временного пользователя в группу нужно создать саму группу, в которую будет добавляться пользователь. Для этого нужно в контекстном меню раздела Группы с ограниченным доступом выбрать команду Добавить группу. После этого система предложит вам ввести или выбрать из списка группу, а затем предложит добавить в нее новых пользователей.

Системные службы

С помощью данной политики можно указать тип запуска служб, установленных на компьютере, или вообще отключить запуск некоторых служб. 

Реестр

С помощью данного раздела можно указать права доступа к различным ветвям реестра. Чтобы указать права доступа к ветви реестра, необходимо сначала добавить в данный раздел ветвь реестра. Для этого необходимо в контекстном меню раздела Реестр выбрать команду Добавить раздел. После этого консоль управления Microsoft предложит вам указать права для доступа к данной ветви реестра.

Файловая система

С помощью этого раздела можно указать права доступа к различным каталогам файловой системы Windows XP. Чтобы указать права доступа к каталогу, необходимо сначала добавить в раздел Файловая система путь к каталогу. Для этого необходимо в контекстном меню раздела выбрать команду Добавить файл. После этого консоль управления Microsoft предложит вам указать права для доступа к данному каталогу или файлу, а затем определить, будут ли указанные вами права распространяться на все вложенные в каталог папки.

Стандартные шаблоны безопасности

Теперь рассмотрим другие стандартные шаблоны безопасности и их отличие от шаблона по умолчанию.

Compatws.inf

Настройки шаблона по умолчанию ограничивают группу Пользователи, запрещая ей доступ ко многим ветвям реестра и каталогам файловой системы. Вдобавок к группе Пользователи шаблон по умолчанию создает группу Опытные пользователи, обладающую большими правами в операционной системе. Создание двух разных групп необходимо для повышения безопасности. Тем не менее не рекомендуется использовать группу Опытные пользователи, так как она в системе имеет очень многие права, которые можно использовать не только на благо, но и во вред. В частности, пользователи из группы опытных имеют больше шансов осуществить различные методы взлома, направленные на получение прав администратора или системы.

Хотя в некоторых случаях без применения группы Опытные пользователи обойтись нельзя. В частности, когда пользователи компьютера должны иметь права на установку программ, не сертифицированных для Microsoft. Такие программы используют для своей установки ветви реестра и каталоги файловой системы, доступ к которым закрыт для обычных пользователей. Если необходимо, чтобы пользователи могли устанавливать такие программы, то желательно применять шаблон безопасности Compatws, а не группу Опытные пользователи. Данный шаблон разрабатывался для предоставления группе Пользователи специальных прав, которых достаточно для установки большинства программ. При этом другие права, доступные группе Опытные пользователи, группе Пользователи не передаются, то есть в остальном группа Пользователи остается ограниченной. При установке шаблона Compatws все члены группы Опытные пользователи удаляются из нее, и ей предоставляются следующие права на каталоги файловой системы.