Windows NT/2000 — это единственное семейство операционных систем Microsoft, в котором с начального момента разработки было уделено должное внимание требованиям безопасности. Изначально была поставлена задача создать операционную систему, соответствующую требованиям уровня защищенности С2 — набора критериев, разработанного Национальным агентством США по безопасности (U.S. National Security Agency, NSA), в соответствии с которыми выполняется оценка защищенности компьютеров и работающего на них программного обеспечения. Требования к операционной системе, защищенной по классу С2, включают:
обязательную идентификацию и аутентификацию всех пользователей операционной системы. Под этим понимается способность операционной системы идентифицировать всех пользователей, которые получают санкционированный доступ к системе, и предоставление доступа к ресурсам только этим пользователям;
разграничительный контроль доступа — предоставление пользователям возможности защиты принадлежащих им данных;
системный аудит — способность системы вести подробный аудит всех действий, выполняемых пользователями и самой операционной системой;
защита объектов от повторного использования — способность системы предотвратить доступ пользователя к информации ресурсов, с которыми до этого работал другой пользователь (например, обеспечение невозможности повторного использования освобожденной памяти или чтения информации из файлов, которые были удалены).
В процесс сертификации операционной системы по уровню защищенности С2 входят:
исследование исходного кода;
изучение документации о подробностях реализации, предоставленной разработчиками;
повторное тестирование с целью устранения всех ошибок, выявленных в ходе оценки.
2 декабря 1999 года правительство США объявило, что операционные системы Windows NT 4.0 Workstation и Windows NT 4.0 Server успешно прошли сертификацию по классу С2.
Что касается операционных системах из семейства Windows 2000, то говорить о защищенности по классу С2 пока еще рано — им процедура сертификации еще предстоит.
Разумеется, случаи несанкционированного вмешательства в работу компьютерных сетей — реальность сегодняшней жизни. Но гораздо более распространен случай, когда вред (причем неумышленный!) наносят пользователи, знающие недостаточно много, чтобы быть грамотными, но достаточно, чтобы представлять угрозу. Практически в каждой организации имеются любители запускать все исполнительные файлы подряд. Если им попадается на глаза один из редакторов реестра — Regedit.exe или Regedt32.exe, а меры по безопасности не приняты, то они могут мучить его до тех пор, пока не начнутся проблемы с загрузкой системы.
Обзор стандартных прав доступа в Windows 2000
Стандартные настройки системы безопасности Windows 2000 определяются правами по умолчанию, которые назначаются следующим группам:
- Administrators (Администраторы) — пользователи этой группы обладают всеми правами на локальном компьютере или в домене;
- Power Users (Опытные пользователи) — эта группа обладает правами, набор которых меньше, чем набор прав членов группы Administrators, но существенно шире, чем права, предоставленные группе Users.
- Users (Пользователи) — при условии, что новая копия Windows 2000 (в отличие от случаев, когда производится обновление версии операционной системы) была установлена на разделе NTFS, стандартная настройка системы безопасности сконфигурирована так, что пользователям из группы Users не позволяется нарушать целостность операционной системы и установленных приложений. Пользователям из этой группы не дозволено устанавливать приложения, которые могут использоваться другими членами этой группы (это одна из мер защиты против «троянских коней»). Помимо этого, пользователи не могут получить доступ к данным других пользователей. Таким образом, для построения защищенной системы Windows 2000 Microsoft рекомендует конфигурировать систему таким образом, чтобы все конечные пользователи были членами только одной группы — Users, а приложения, необходимые для работы, устанавливать так, чтобы их мог запускать любой член группы Users.
Общие рекомендации по защите...
Microsoft официально рекомендует администраторам ограничивать доступ пользователям к целому ряду вложенных ключей, входящих в состав ключа HKEY_LOCAL_MACHINESOFTWARE. Основная цель этих операций заключается в предотвращении доступа неквалифицированных пользователей к параметрам
настройки установленного в системе программного обеспечения.
Microsoft официально рекомендует ограничивать доступ к следующим ключам реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion;
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersion;
для группы Everyone достаточно иметь права доступа Query Value, Enumerate Subkeys, Notify и Read Control к ключу реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion и следующим вложенным подключам, имеющимся в его составе: AeDebug, Compability, Drivers, Embedding, Font Drivers, FontCache, FontMapper, Fonts, FontSubstitutes, GRE_Initialize, MCI, MCI Extensions, Ports (и всем вложенным ключам в составе ключа Ports), Type 1 Installer, Windows 3.1 MigrationStatus (и всем вложенным ключам в составе этого ключа), WOW (вложенным ключам в составе этого ключа);
Microsoft также рекомендует ограничить доступ пользователей к ключу реестра, управляющему данными о производительности системы — это ключ HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionPerflib. Доступ к этому ключу должны иметь только операционная система (System), создатели ключа (Creator owner), члены группы Administrators и пользователи, зарегистрировавшиеся в системе интерактивно (Interactive).
Группа Everyone должна иметь ограниченные права доступа (только права типа Query Value, Enumerate Subkeys, Notify, Read Control) и к некоторым другим ключам реестра. Такую защиту необходимо обеспечить для ключа HKEY_CLASSES_ROOT и для всех его вложенных ключей, а также для HKEY_USERS.DEFAULT. Защищая эти ключи, вы защищаете систему от изменения ряда системных параметров и параметров настройки рабочего стола.
Чтобы предотвратить несанкционированное использование разделяемых ресурсов системы и применения параметра ImagePath в составе ключа UPS для запуска нежелательного программного обеспечения, доступ типа Full Control к ключам HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerShares и HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUPS следует оставить лишь за операционной системой (System) и членами группы Administrators.
При работе с сервисом удаленного доступа система выводит диалоговые окна, в которых пользователи должны ввести регистрационную информацию — входное имя и пароль. В этих диалоговых окнах имеются флажки, установка которых позволяет запомнить пароль. Хотя сохранение паролей очень удобно для конечного пользователя, эта практика представляет собой определенную опасность, поскольку пароли хранятся так, чтобы система могла быстро их извлечь. Таким образом, извлечь этот пароль несложно и взломщику.
Для того чтобы не дать такой возможности потенциальному взломщику, раскройте ключ реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteAccessParameters и добавьте в него параметр DisableSavePassword с типом данных REG_DWORD. Теперь система никогда не будет предлагать пользователю сохранить введенный пароль для доступа к серверу RAS.
Защита ульев SAM и Security.
Информация о безопасности Windows NT/2000 хранится в ветвях реестра SAM (Security Accounts Manager) и Security. Ветвь SAM содержит пользовательские пароли в виде таблицы хэш-кодов, а ветвь Security — информацию о безопасности локального компьютера.
Microsoft официально утверждает, что лучший способ защиты Windows NT/2000 — это защита административных паролей, но этого явно недостаточно. Доступ к ветвям SAM и Security получают многие пользователи — например, пользователи из группы Backup Operators. Ветви SAM и Security хранятся на диске наряду с другими файлами, и единственное, что требуется для взлома — это раздобыть копии этих ульев. В составе программных продуктов имеются утилиты (Regback в Windows NT 4.0 Resource Kit и REG — в Windows 2000 Resource Kit), при помощи которых пользователи, принадлежащие к группам администраторов или операторов резервного копирования, могут получать копии реестра работающей системы.
Если Windows NT/2000 установлена на томе FAT, то потенциальную опасность представляют любые пользователи, обладающие правом на выполнение перезагрузки системы и получившие физический доступ к компьютеру.
Наибольшую ценность для взломщика представляют сервера компьютерной сети. Поэтому для обеспечения должной защиты файлов SAM и Security от незаконного копирования следует установить защищаемые компьютеры (сервера) в охраняемом помещении, а также лишить пользователей групп (Advanced Users and Users) права на перезагрузку компьютера.
Чтобы отредактировать права пользователей в Windows 2000, зарегистрируйтесь в системе от имени пользователя с правами администратора, раскройте окно Control Panel, выполните двойной щелчок мышью на значке Administrative Tools и выберите опцию Local Security Policy. Разверните дерево консоли MMC и выберите опцию User Rights Assignment. В правой части окна появится список пользовательских прав, доступных для редактирования.
Для предотвращения доступа рядовых пользователей домена к файлам SAM и Security следует:
- использовать файловую систему NTFS;
- лишить конечных пользователей права локальной регистрации на серверах;
- обеспечить надлежащую физическую защиту для серверов;
в системах Windows NT 4.0 и тех системах Windows 2000, где операционная система устанавливалась как обновление предыдущей версии Windows NT, следует ужесточить права доступа к каталогу %SystemRoot%Repair; - обеспечить безопасные условия хранения резервных копий и дисков аварийного восстановления (Windows NT 4.0), а также копий данных из набора System State Data (Windows 2000).
Для взлома похищенных ульев SAM и Security больших усилий не требуется. Успех проведенной атаки зависит в основном от качества используемого для взлома словаря — чем больше количество слов, дат, чисел, словосочетаний, используемых чаще всего в качестве пароля, содержится в этом файле, тем выше шансы удачного взлома.
Для защиты каталога repair назначайте права таким образом, чтобы злоумышленники не могли получить доступ к данному каталогу и содержащимся в нем файлам, в особенности к файлу sam._, в котором находится база данных SAM. Если вы используете Microsoft Windows NT Server 4.0, то чтобы защитить файлы в каталоге repair, используйте утилиту calcs.exe, входящую в состав Microsoft Windows NT Server 4.0 Resource Kit или другую аналогичную программу. Для этого выполните следующее.
В окне Command Prompt перейдите в каталог %systemroot% (обычно это C:winnt) и выполните команду:
Либо, используя программу Windows Explorer, можете сделать следующее:
- Откройте Windows Explorer;
- Перейдите в каталог repair (обычно это C:winntrepair), нажмите правую клавишу мыши и выберите в открывшемся меню Properties;
- Выберите закладку Security;
- Выберите Permissions;
- Отметьте Replace Permissions on Subdirectories и Replace Permissions on Existing Files;
- Удалите из списка всех пользователей, кроме Administrators и SYSTEM;
- Убедитесь, что и Administrators, и SYSTEM имеют права Full Control;
- Нажмите OK.
Теперь вы назначили пользователям Administrators и SYSTEM права Full Control на данный каталог и все файлы, которые в нем содержатся. Поскольку режим редактирования ACL выбран не был, права всех остальных пользователей удалены системой.
В зависимости от конфигурации системы, помимо каталогов repair и config, NT может записывать информацию, имеющую отношение к SAM, в следующие файлы: pagefile.sys, memory.dmp или user.dmp. NT использует файл pagefile.sys как дополнительное пространство для организации виртуальной памяти, которое добавляется к физической памяти, установленной в компьютере. Файл memory.dmp создается при аварийном завершении работы операционной системы, если в конфигурации NT выбран режим записи образа памяти на диск. Файл user.dmp создается при аварийном завершении работы какой-либо прикладной программы, если в конфигурации программы Dr. Watson выбран режим записи образа памяти в файл.
При работе с этими файлами NT переписывает определенную порцию данных с памяти на диск. В некоторых случаях эти данные могут содержать пароли, хранящиеся резидентно в памяти. Соответственно, получив доступ к этим файлам, взломщик может без особого труда завладеть важной информацией, позволяющей пробить брешь в системе безопасности.
Чтобы уменьшить опасность, связанную с использованием файлов user.dmp и memory.dmp, вам необходимо предпринять одно из следующих действий:
написать командный файл, который будет удалять указанные файлы при входе в систему;
установить права для этих файлов так, чтобы только администраторы могли иметь доступ к ним.
установить в реестре ключ, указывающий на необходимость удаления системного файла pagefile при завершении работы операционной системы.
в конфигурации программы Dr. Watson отключить режим создания файлов.
Лучше всего настроить параметры системы так, чтобы указанные два файла не создавались. Но тогда программисты, которые должны исследовать проблему аварийного завершения работы системы, не смогут обладать необходимыми им данными.
Чтобы отключить создание файлов user.dmp программой Dr. Watson, запустите утилиту drwtsn32.exe, отключите параметр Create Crash Dump File и закройте программу.
Чтобы отключить в параметрах настройки NT создание файла memory.dmp, запустите в Панели Управления (Control Panel) программу System и выберите закладку Startup/Shutdown.
Затем отключите параметр Write debugging information to. Если вам все же необходимо иметь образы памяти на момент аварийного завершения работы NT, постарайтесь настроить параметры ОС и программы Dr. Watson таким образом, чтобы файлы, содержащие образ памяти, помещались в защищенный каталог, доступный только администраторам.
Что касается файла pagefile.sys, то его открывает и защищает от попыток непосредственного доступа со стороны взломщиков только операционная система. Однако следует упомянуть прошлогодний инцидент, когда клиентская служба NetWare для Windows NT помещала в память пароли пользователей NetWare в открытом виде. Эти пароли могли быть записаны в файл pagefile.sys при переписывании соответствующей страницы памяти на диск. Любой человек, имеющий копию файла pagefile.sys и текстовый редактор, мог без труда получить пароли. Разработчики Novell решили эту проблему. Теперь прежде чем поместить пароли в pagefile, они шифруются с использованием недокументированного API-интерфейса. Однако взломщики могут пробить эту защиту. Так, изобретательные российские программисты нашли способ расшифровки информации, получаемой из файла pagefile.sys. Чтобы защититься от подобных атак, настраивайте NT таким образом, чтобы файл pagefile.sys удалялся при завершении работы системы. И не забывайте о необходимости физической защиты компьютера с целью предотвращения нежелательного доступа к файлу pagefile.sys.
Да, вы можете сконфигурировать NT так, чтобы pagefile удалялся при нормальном завершении работы системы. Но таким способом вы обеспечите защиту только от тех взломщиков, которые копируют или изменяют файл, загрузившись с другой копии ОС (т.е. используя загрузочный диск или загрузив NT из другого системного каталога). Большинство взломщиков понимают, что в таком случае у них есть возможность получения доступа к системе путем перемещения базы данных SAM, следовательно, взлом файла pagefile.sys становится бессмысленным
Несмотря на это, в ситуациях, когда условия эксплуатации системы требуют установки и использования нескольких копий ОС, удаление файла pagefile при нормальном завершении работы можно считать достаточной мерой безопасности. Следует иметь в виду, что если NT сконфигурирована так, чтобы удалять pagefile во время завершения работы системы, то неизбежна некоторая задержка в процессе начальной загрузки и останова ОС. Однако эта задержка несущественна, если принять во внимание уровень безопасности, которого мы в результате достигаем. Для того чтобы включить режим удаления файла pagefile.sys во время нормального завершения работы ОС, следует модифицировать (или создать) в системном реестре параметр ClearPageFileAtShutdown (типа REG_SZ) в ключе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management, присвоив ему значение 1.
Хэш-коды паролей в памяти
По умолчанию NT кэширует необходимые для регистрации атрибуты для 10 последних пользователей, входивших в систему интерактивно. Это делается для того, чтобы пользователь смог зарегистрироваться, даже если вы отключите компьютер от сети или контроллер домена окажется недоступным. NT обеспечивает определенную защиту кэшируемой информации. Однако если ваши задачи требуют более высокого уровня безопасности, вы можете полностью отключить кэширование, чтобы исключить попытки атак на данные в кэш-памяти. Нужно учитывать, что кэшируемые данные содержат хэш-коды других хэш-кодов паролей. Поэтому их очень сложно взломать и использовать для несанкционированного входа в систему. Мы не можем вспомнить ни одного случая использования хакерами таких данных из кэш-памяти. Чтобы отключить кэширование, установите в 0 значение параметра реестра CachedLogonsCount (типа REG_DWORD) в ключе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon.
SAM в сети
ОС Windows NT использует протокол SMB (Server Message Block — блок серверных сообщений), разработанный совместно фирмами Microsoft, IBM и Intel. Данный протокол определяет алгоритмы функционирования файловой службы в сетевой среде. Нетрудно предположить, что во время сеанса SMB по сети должны передаваться пакеты, содержащие информацию конфиденциального характера. Среди прочего эти пакеты обычно включают в себя зашифрованные данные протокола NTLM, передаваемые NT во время фазы аутентификации.
Взломщики, используя существующие сетевые анализаторы, могут легко перехватывать данные, передаваемые по сети. Задача перехвата нужных пакетов и получения из них информации о паролях всегда считалась нелегкой. Но ситуация в корне изменилась с появлением продукта SMB Packet Capture, выпущенного компанией L0pht Heavy Industries. Это сетевой анализатор, который тесно интегрирован с программой L0phtCrack. Имея в своем распоряжении L0phtCrack, можно легко «выхватывать» из сети хэш-коды паролей, передаваемые в соответствии с протоколом SMB.
Встроенный в L0phtCrack сетевой анализатор незаметно перехватывает хэш-коды паролей и запоминает их с целью расшифровки. После расшифровки паролей злоумышленнику ничего не стоит добраться до любого сетевого ресурса, к которому имел доступ соответствующий пользователь. Вот так! Риск здесь очевидный, но и методы защиты просты.
Для защиты от подобных атак нужно использовать протокол NTLMv2, поставляемый в составе пакетов обновления SP4 и SP5, либо применять механизм создания виртуальных частных сетей (VPN — Virtual Private Network) типа Microsoft PPTP. Протокол NTLMv2 позволяет защитить данные, передаваемые по внутренней локальной сети, а PPTP обеспечивает защиту информации, передаваемой через такие «небезопасные» сети как, например, Интернет. Если вы реализуете PPTP, то обязательно установите последние сервисные пакеты, включая дополнения и исправления к ним (hotfix). Мы предупреждаем вас об этом, потому что в свое время PPTP-соединение считалось очень ненадежным. Microsoft внесла необходимые корректировки, устраняющие недостатки PPTP. Но эти корректировки будут вам недоступны, если вы не установите hotfix к пакету SP3 или более позднему.
Следует иметь в виду, что при отсутствии в вашей системе механизма VPN и технологии подписей SMB взломщик может использовать сеанс SMB для получения несанкционированного доступа в систему. Microsoft реализовала технологию подписей SMB в пакете обновления SP3 и также включила ее во все последующие пакеты обновления. При использовании подписей пакетов SMB операционная система проверяет подлинность каждого пакета, прежде чем принять его к исполнению.
днако реализация подписей SMB не всегда безопасна. Для получения более подробной информации обязательно прочитайте статью How to Enable SMB Signing in Windows NT (http://support.microsoft.com/support/kb/articles/q161/3/72.asp).
Для борьбы с соответствующими средствами взлома можно запретить NT посылать в сеть хэш-коды паролей, формируемые по протоколу LAN Manager (LM). Хэш-коды LM более просты, чем коды NTLM, так как NTLM позволяет задействовать пароли, учитывающие регистр. Также NTLM допускает возможность применения дополнительных символов клавиатуры. Это расширяет диапазон символов ключа шифрования на 26. Заметим, что сложные пароли труднее поддаются расшифровке даже при наличии таких инструментов как L0phtCrack.
Целесообразно включать в пароль символ «возврат каретки», так как взломщики паролей не умеют нормально обрабатывать этот символ. Чтобы вставить «возврат каретки», нажмите клавиши Alt+0+1+3 на цифровой панели клавиатуры.
Для решения описываемой проблемы Microsoft реализовала в составе дополнений и исправлений к сервисному пакету SP3 новый ключ реестра. Он был включен во все сервисные пакеты, вышедшие после SP3. Новый параметр реестра, LMCompatibilityLevel, имеет тип REG_DWORD и размещается в HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa.
При использовании NTLMv2 можно установить значение этого параметра равным 0, 1, 2, 3, 4 и 5. Если это значение равно 0, то NT при аутентификации сетевого соединения передает по сети пароли как в формате NTLM, так и в формате LM (этот метод аутентификации обеспечивает совместимость с другими системами и используется в NT по умолчанию). Если значение равно 1, то NT передает оба типа хэш-кодов только тогда, когда этого требует сервер. Если значение равно 2, то хэш-коды паролей в формате LM не используются ни при каких обстоятельствах. Если значение равно 3, применяется только аутентификация по протоколу NTLMv2. Значение параметра, равное 4, запрещает контроллеру домена использовать аутентификацию LM, а значение 5 указывает на необходимость применять при аутентификации только протокол NTLMv2. Наиболее безопасной является установка значения этого параметра равным 2. Но следует иметь в виду, что системы, поддерживающие только протокол LM (т.е. Windows 95 и Windows for Workgroups), не смогут установить соединение с данной системой NT. Полный перечень особенностей конфигурации описан в статье Microsoft How to Disable LM Authentication on Windows NT (http://support.microsoft.com/support/kb/articles/q147/7/06.asp). Заметим, что при установке пакета обновления SP4 данный ключ реестра способен принимать шесть различных значений.
Еще один способ взлома системы может иметь место, если взломщик располагает возможностью физического доступа к компьютеру. Для защиты от этого метода взлома следует принять меры, препятствующие физическому доступу к компьютеру.
Можно немного расслабиться
В этой статье представлены основные идеи и особенности конфигурации, которые следует учитывать при установке и сопровождении ОС Windows NT2000 и ее системы безопасности. Эта статья должна помочь вам несколько разгрузить свой мозг. Но не слишком расслабляйтесь. Вам по-прежнему необходимо держать систему под контролем.
Административные рекомендации:
- ограничить физический доступ к серверу (станции) Windows NT. С этой целью сервер должен устанавливаться в закрытой комнате, оборудованной сигнализацией, выведенной на пульт дежурного. Комната должна быть оборудована двумя замками, либо замком с двумя разными ключами, которые никогда не должны храниться вместе. Один из ключей должен храниться у системного администратора, а другой — у сотрудника службы безопасности. Вскрываться комната должна только этими двумя сотрудниками вместе;
- ограничить возможность загрузки с гибких дисков, CD-ROM. Для этого возможно либо физическое отключение накопителя на гибких дисках и CD-ROM, либо установка в BIOS загрузки только с жесткого диска и закрытие BIOS паролем супервизора с одновременным физическим отключением клавиатуры;
Желательно один из винтов на корпусе сервера оборудовать так называемым винтом «с секретом», что исключит возможность подключения стороннего жесткого диска с ОС Windows NT. При этом оптимальным способом опечатывания компьютера является заливка одного из винтов на корпусе обычным лаком для ногтей, так как на сегодня существует более 400 000 оттенков.
Комплект дискет восстановления должен находиться в сейфе, обязательно отдельно от самого сервера (то есть в другом помещении).
Установка аудита системы безопасности
- Войдите в систему с административными правами.
- Запустите программу User Manager. Выберите в меню: Policies, Audit и отметьте Audit These Events.
- Выделите для аудита (по минимуму) события с успешным (Success) и неудачным (Failure) результатом выполнения; включите аудит попыток входа в систему и выхода из нее (Logon, Logoff). Закройте диалоговое окно, чтобы активизировать аудит системы.
- Откройте программу Services в Панели Управления (Control Panel), установите для службы Планировщика NT (NT Scheduler) режим запуска от имени системы (System account). Запустите (или перезапустите) службу Планировщика.
- Откройте командное окно DOS и проверьте текущее системное время.
- Прибавьте к текущему времени 1-2 минуты (так, если время 11:30, используйте 11:32) и введите следующую команду:
Эта команда вставляет в список Планировщика событие, по которому в 11:32 на консоли будет запущена утилита regedt32 с правами SYSTEM. - Дождитесь 11:32, когда Планировщик NT запустит редактор реестра. При этом вы получите доступ ко всему реестру, включая базу данных SAM. Будьте внимательны при редактировании реестра — ошибка может вывести из строя систему.
- Выберите HKEY_LOCAL_MACHINE, найдите дерево SAM и выделите его в левой панели экрана.
- Выберите в меню: Security, Auditing.
- В диалоговом окне Auditing выберите Add, Show Users. Добавьте учетную запись SYSTEM, группу Domain Admins, все учетные записи пользователей, имеющих административные права, а также все остальные учетные записи, которым присвоены следующие права (User Rights):
- Take ownership of files or other objects (Овладение файлами или иными объектами);
- Back up files and directories (Архивирование файлов и каталогов);
- Manage auditing and security log (Управление аудитом и журналом безопасности);
- Restore files and directories (Восстановление файлов и каталогов);
- Add workstations to domain (Добавление рабочих станций к домену);
- Replace a process-level token (Замена маркера уровня процесса).
- Отметьте Audit Permission on Existing Subkeys.
- Отметьте Success и Failure для следующих полей:
- Query Value;
- Set Value;
- Write DAC;
- Read Control.
- Нажмите кнопки OK, Yes.
- Повторите шаги с 10 по 14 для ключа SECURITY, если это необходимо. Это не требуется, если вам нужно активизировать аудит только тех ключей, которые содержат пароли.
- Выйдите из редактора реестра.
Остановите службу Планировщика и измените его конфигурацию так, чтобы он работал от имени пользователя, которое употреблялось ранее (до шага 4). Если вы не применяете в обычной работе системы Планировщик NT, то просто остановите его или, еще лучше, заблокируйте (вариант disabled).