Lucrul cu registrul de sistem, partea 3, pentru administratorul de sistem

Firmele care solicită o reînregistrare de urgență a SRL. Vă recomand să aplicați la firma de avocatură "STATUS". Firma va ajuta să pregătească un set complet de documente pentru reînregistrare, să consulte toate problemele emergente.

Exemplu 1. Înlăturarea intrărilor nevalide din lista de programe instalate

Lucrul cu registrul de sistem, partea 3, pentru administratorul de sistem

Fig. Fereastra Adăugați sau eliminați programe

remarcă
Acționând în conformitate cu această recomandare, veți elimina din registru numai un link către o aplicație inexistentă afișată de expertul de instalare și dezinstalare. Cu toate acestea, există posibilitatea ca unele dintre fișierele din aplicația șterse incorect să rămână în continuare în sistem. Pentru a dezinstala complet această aplicație, trebuie să ștergeți din sistem toate fișierele și toate setările de registry asociate acestei aplicații.

Exemplul 2. Afișarea forțată a ecranului albastru al morții

*** STOP: 0x000000E2 (0 × 00000000,0 × × 00000000,0 00000000,0 × 00000000) Utilizatorul final generat manual crashdump. Implicit, această funcție este dezactivată. Pentru al activa, deschideți registrul, găsi cheia HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ i8042prt \ Parameters, adăugați parametrul în compoziție CrashOnCtrlScroll (tip de date REG_DWORD) sale și setați-l la 1.
După repornire, puteți să creați manual un depozit de urgență și să priviți la "ecranul albastru". Pentru aceasta, apăsați tasta dreapta și, ținând-o în această stare, apăsați de două ori

Exemplul 3. Configurarea programului Backup prin editarea registrului

Lucrul cu registrul de sistem, partea 3, pentru administratorul de sistem

Fig. 24.13. Excludeți fila Fișiere din fereastra Opțiuni a programului de backup încorporat.

Lucrul cu registrul de sistem, partea 3, pentru administratorul de sistem

Fig. 24.14. Conținutul cheii HKLM \ SYSTEM \ CurrentControlSet \ Control \ BackupRestore \ FilesNotToBackup

Astfel, dacă trebuie să editați această listă de fișiere, astfel încât modificările să funcționeze la o scară la nivel de sistem, nu puteți evita editarea manuală a registry.
Parametrii care sunt implicit incluși în cheia FilesNotToBackup (toate au tipul de date REG_MULTI_SZ) sunt enumerați în Tabelul. 24,9.
Tabelul 24.9. Lista setărilor de registry pentru tasta FilesNotToBackup

Active Directory Restore

CurrentControlSet \ Services \ NTDS \ Restaurare în curs \ CurrentControlSet \ Services \ NTDS \ Parameters \ Nouă bază de date QUID

LDM Boot Information

Informații despre boot LDM (dmboot)

Aparatele mele nted \

CurrentControlSet \ Services \ NtFrs \ Parameters \ Backup / Re Store \ Proces la pornire \

În așteptarea redenumirii operațiilor

Manager de stocare detașabil

Lucrul cu registrul de sistem, partea 3, pentru administratorul de sistem

Fig. 24.15. Conținutul cheii de registry HKLM \ SYSTEM \ CurrentControlSet \ Control \ BackupRestore \ KeysNotToRestore

Lucrul cu registrul de sistem, partea 3, pentru administratorul de sistem

Fig. 24.16. Cheia de registry HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ BackupRestore \ AsrKeysNotToRestore

Exemplul 4. Configurarea înregistrării evenimentelor asociate cu citarea discului

Lucrul cu registrul de sistem, partea 3, pentru administratorul de sistem

Fig. 24.17. Fila Cota din fereastra de proprietăți a partițiilor NTFS

Exemplul 5. Reducerea probabilității instalării "cailor troieni"

Majoritatea virușilor, viermilor și cailor troieni își înregistrează informațiile în registrul de sistem pentru a porni automat când boot-ul sistemului de operare. Lista cheilor preferate care sunt utilizate cel mai des în acest scop este prezentată mai jos:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
  • HKEY__LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce
  • HKEYJJERS \ DEFAULT \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
  • HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
  • HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices
  • HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
  • HKEY_CURRENT_USER \ SOFTWARE \ Microsoft Windows \ CurrentVersion \ RunServicesOnce
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft Windows \ CurrentVersion \ RunOnceEx

Prin urmare, dacă suspectați un astfel de atac pe computerul dvs., aceste chei de registry trebuie să fie verificate mai întâi. Mai mult, lista acestor chei de registru este actualizată în mod constant. Recent, în plus față de lista tradițională de chei de mai sus, aceasta a inclus următoarele chei de registry:

  • HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ App Paths
  • Folderul HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Controls
  • HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ DeleteFiles
  • HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer
  • HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Extensii
  • HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ ExtShellViews
  • HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Setări Internet
  • NCM \ Software \ Microsoft \ Windows \ CurrentVersion \ ModuleUsage
  • HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ RenameFiles
  • HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Setup
  • HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ SharedDLL
  • Extensii HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Shell
  • HKLM \ Software \ Microsoft \ Window-s \ CurrentVersion \ Dezinstalare
  • HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Compatibilitate
  • HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Drivere
  • HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ drivers.desc
  • HKLMXSoftware \ Microsoft \ Windows NT \ CurrentVersion \ Drivers32 \ 0
  • HKLM \ Software \ Microsoft \ WINDOWSNT \ CurrentVersion \ Embedding
  • HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ MCI
  • Extensii HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ MCI
  • HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Porturi
  • HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList
  • HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ WOW

Exemplul 6. Editarea regiștrilor pentru a proteja serverele DNS de atacurile DoS

Atacuri cum ar fi „negarea serviciului“ (Denial of Service, DoS-atacuri) și de atac distribuit în special (Distributed Denial of Service, DDoS), în ultimii câțiva ani au început să fie una dintre cele mai grave amenințări la rețelele de securitate de orice dimensiune. În același timp, numărul de astfel de atacuri crește în fiecare an, iar acum aproape nimeni nu se poate considera complet asigurat împotriva lor. Ca și recomandările discutate în secțiunea anterioară, sfaturile prezentate aici nu vor oferi o garanție deplină a protecției împotriva atacurilor serverului DNS. Cu toate acestea, acestea vor servi drept o bună adăugire a măsurilor de protecție pe care le luați.

  • EnableDeadcwDetect (tipul de date REG_DWORD). Valoarea implicită permite TCP / IP să treacă la un gateway suplimentar în cazul în care un număr mare de conexiuni încep să aibă probleme. Acest comportament este nedorit în cazul atacurilor DoS, deoarece în acest caz traficul poate fi redirecționat către o poartă care nu este supusă monitorizării continue. Prin urmare, setați acest parametru la 0.

Lucrul cu registrul de sistem, partea 3, pentru administratorul de sistem

Fig. 24.18. Tasta de registry HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters

  • EnablePMTUDiscovery (tipul de date REG_DWORD). Valoarea implicită pentru acest parametru permite TCP / IP să determine unitatea de transmisie maximă (MTU) care poate fi transferată în sistem. În principiu, este periculos, deoarece oferă o oportunitate de a ocoli sistemul de protecție, sau dezactivați-l prin trecerea traficului fragmentat (de exemplu, multe sisteme de detectare a intruziunilor nu sunt capabili de a restabili în mod corespunzător fragmentate IP-pachete). Dacă setați acest parametru la 0, MTU va fi întotdeauna setat la 576 octeți.
  • KeepAlive (tipul de date REG_DWORD). Acest parametru specifică frecvența verificării și verificării activității conexiunilor deschise. Pentru această setare, se recomandă setarea valorii la 300.000.
  • synAttackProtect (tipul de date REG_DWORD). Crearea acestui parametru vă permite să vă protejați de atacurile SYN Flood care împiedică procesul normal de stabilire a unei conexiuni între client și server. În condiții normale, acest proces are loc în trei etape.
    • Clientul trimite o solicitare serverului pentru a stabili o conexiune (SYN).
    • Serverul răspunde prin trimiterea unei confirmări (SYN-ACK).
    • Clientul confirmă primirea prin trimiterea unui mesaj ACK.

Exemplul 7. Configurarea Windows pentru a curăța fișierul de paginare atunci când sistemul este oprit

Unele programe pot memora temporar parole și alte informații confidențiale din memorie într-o formă necriptată. Deoarece Windows flushează periodic această informație pe disc, poate fi prezentă în fișierul de pagină (Pagefile.sys), care reprezintă un risc potențial de securitate pentru sistem. Astfel, utilizatorii care sunt preocupați de securitatea sistemului vor dori probabil să-l configureze astfel încât atunci când se produce închiderea, fișierul swap este curățat.

remarcă
Pentru a face schimbarea eficientă, reporniți computerul.

Exemplul 8. Depanarea sistemului Shutdown

În unele cazuri, în timpul opririi sistemului, este posibil să întâlniți o situație în care o aplicație nu mai răspunde la mesajele de sistem (Figura 24.19). Mai rău, dacă o astfel de situație apare continuu, va împiedica o închidere normală și corectă a sistemului. Motivul pentru care problema este că atunci când Windows se oprește, fiecare dintre procesele de lucru are un anumit interval de timp, timp în care trebuie să-și finalizeze corect lucrul. Dacă procesul nu reușește, apare caseta de dialog afișată pe ecran.

Lucrul cu registrul de sistem, partea 3, pentru administratorul de sistem

Fig. 24.19. Un proces care nu se încadrează în intervalul de timp alocat împiedică Windows să se închidă corect

Pentru a rezolva această problemă, modificați valoarea parametrului WaitToKillAppTimeout cu următoarea cheie de registry: HKEY_CURRENT_USER \ Control Panel \ Desktop
Valoarea este specificată în milisecunde. Măriți acest interval (în limite rezonabile) și reporniți sistemul pentru ca schimbarea să aibă efect.

remarcă
În mod normal, acest interval nu este recomandat să fie majorat prea mult, deoarece în caz de întrerupere a alimentării cu energie electrică, este posibil ca UPS să nu poată furniza suficientă energie de rezervă suficient de lungă pentru a asigura oprirea corectă a sistemului de operare.

Va fi interesant pentru fetele-adminii care exista, stiu sigur :) Pickup pentru fete este centrul de antrenament pe seductie, o vizita este obligatorie!

Articole similare