• FilterAdministratorToken – если значение данного параметра равно 0, то встроенная учетная запись администратора не будет работать в режиме одобрения администратором. По умолчанию механизм UAC для встроенной учетной записи администратора отключен.

• PromptOnSecureDesktop – если установить значение этого параметра равным 0, то при отображении окна UAC операционная система не будет переходить на использование безопасного Рабочего стола.

• ValidateAdminCodeSignatures – если значение данного параметра равно 1, то возможность повышения прав запускаемой программы будет применяться только для подписанных и проверенных программ.

Брандмауэр Windows

Существует возможность ограничения работы стандартного брандмауэра операционной системы. В зависимости от профиля брандмауэра для этого используются параметры ветви реестра вида HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра», где профиль брандмауэра может быть равен следующим названиям подразделов: DomainProfile и StandardProfile.

Основные настройки

Основные настройки профиля брандмауэра хранятся в следующих параметрах REG_DWORD-типа ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»:

• EnableFirewall – если значение данного параметра равно 0, то стандартный брандмауэр будет отключен для данного профиля;

• DoNotAllowExceptions – при установке значения этого параметра равным 1 исключения не будут учитываться при работе брандмауэра для данного профиля;

• DisableNotification – если значение данного параметра равно 1, то для данного профиля не будут отображаться уведомления о новых блокируемых программах;

• DisableUnicastResponsesToMulticastBroadcast – при установке значения этого параметра равным 1 брандмауэр будет блокировать одноадресные ответы на многоадресные запросы, посланные вашим компьютером.

Ведение файлов журналов

Кроме того, можно настроить параметры ведения файла журнала по работе брандмауэра. Для этого применяются следующие параметры ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\Logging:

• LogFilePath – этот параметр строкового типа позволяет определить путь к файлу журнала брандмауэра;

• LogDroppedPackets – если значение данного параметра REG_DWORD-типа равно 1, то в файл журнала брандмауэра будет заноситься информация об отброшенных пакетах;

• LogSuccessfulConnections – если значение данного параметра REG_DWORD-типа равно 0, то информация об успешных подключениях не будет заноситься в файл журнала брандмауэра;

• LogFileSize – значение данного параметра REG_DWORD-типа определяет максимальный возможный размер файла журнала (в килобайтах).

Работа с ICMP

Можно также определить пакеты протокола ICMP, которые брандмауэру будет разрешено принимать. Для этого применяются следующие параметры REG_DWORD-типа ветви HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\IcmpSettings:

• AllowInboundEchoRequest – если значение данного параметра равно 0, то будут запрещены входящие эхо-запросы;

• AllowInboundMaskRequest – при установке значения этого параметра равным 0 будут запрещены входящие запросы маски;

• AllowInboundRouterRequest – если значение данного параметра равно 0, то будут запрещены входящие запросы маршрутизатора;

• AllowInboundTimestampRequest – при установке значения этого параметра равным 0 будут запрещены входящие запросы штампа времени;

• AllowOutboundDestinationUnreachable – если значение данного параметра равно 0, то будут запрещены ответы о недостижимости узла назначения;

• AllowOutboundPacketTooBig – при установке значения этого параметра равным 0 будут запрещены слишком большие исходящие пакеты.

• AllowOutboundParameterProblem – если значение данного параметра равно 0, то будут запрещены исходящие пакеты параметров проблем;

• AllowOutboundSourceQuench – при установке значения этого параметра равным 0 будут запрещены исходящие пакеты гашения источника.

• AllowOutboundTimeExceeded – если значение данного параметра равно 0, то будут запрещены исходящие пакеты истечения времени;

• AllowRedirect – при установке значения этого параметра равным 0 будут запрещены пакеты перенаправления.

Настройка программ-исключений

Последний набор параметров позволяет определить программы и порты исключения, работа через которые не будет блокироваться стандартным брандмауэром.

Например, можно определить, будут ли использоваться локальные списки программ и портов-исключений, после чего указать списки исключений, которые будут учитываться всегда.

Программы.исключения. Чтобы запретить использование локальных программ-исключений, достаточно параметру REG_DWORD-типа AllowUserPrefMerge присвоить значение 0. Данный параметр расположен в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\AuthorizedApplications.