Сетевой доступ: удаленно доступные пути и вложенные пути реестра

Содержит описание рекомендаций, расположения, значений и вопросов безопасности для параметра политики безопасности Сетевой доступ: удаленно доступные пути и вложенные пути реестра.

Справка

Этот параметр безопасности определяет доступные пути реестра и вложенные пути в случаях, когда приложение или процесс обращается к разделу WinReg для определения разрешений на доступ.

Реестр — это база данных, содержащая сведения о конфигурации устройства, большая часть которых является конфиденциальной. Злоумышленник может использовать его для осуществления несанкционированных действий. Риск снижается благодаря тому, что назначенные по умолчанию в реестре списки управления доступом достаточно строги и помогают защитить реестр от несанкционированного доступа.

Чтобы разрешить удаленный доступ необходимо также включить службу удаленного управления реестром.

Возможные значения

  • Список путей, определяемый пользователем

  • Не определено

Рекомендации

  • Установите для этой политики нулевое значение, то есть включите параметр политики, но не указывайте пути в текстовом поле. Доступ к реестру необходим таким средствам удаленного управления, как Microsoft Baseline Security Analyzer и диспетчер конфигураций. Удаление путей реестра по умолчанию из списка доступных путей может привести к отказу этих и других средств управления.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

См. набор разделов реестра ниже

Действующие параметры контроллера домена по умолчанию

См. набор разделов реестра ниже

Действующие параметры рядового сервера по умолчанию

См. набор разделов реестра ниже

Действующие параметры клиентского компьютера по умолчанию

См. набор разделов реестра ниже

 

К вышеуказанным параметрам применяется набор из всех приведенных ниже разделов реестра:

  1. System\CurrentControlSet\Control\Print\Printers

  2. System\CurrentControlSet\Services\Eventlog

  3. Software\Microsoft\OLAP Server

  4. Software\Microsoft\Windows NT\CurrentVersion\Print

  5. Software\Microsoft\Windows NT\CurrentVersion\Windows

  6. System\CurrentControlSet\Control\ContentIndex

  7. System\CurrentControlSet\Control\Terminal Server

  8. System\CurrentControlSet\Control\Terminal Server\UserConfig

  9. System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration

  10. Software\Microsoft\Windows NT\CurrentVersion\Perflib

  11. System\CurrentControlSet\Services\SysmonLog

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки компьютера после их локального сохранения или распространения через групповую политику.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

В реестре содержатся конфиденциальные сведения о конфигурации устройства, которые злоумышленник может использовать для совершения несанкционированных действий. Назначенные по умолчанию в реестре списки управления доступом достаточно строги и помогают защитить реестр от несанкционированного доступа, что снижает риск подобной атаки.

Меры противодействия

Установите для параметра Сетевой доступ: удаленно доступные пути и вложенные пути реестра нулевое значение (включите параметр, но не указывайте пути в текстовом поле).

Возможные последствия

Удаленный доступ к реестру необходим таким средствам удаленного управления, как MBSA и диспетчер конфигураций, для надлежащего мониторинга компьютеров и управления ими. Удаление путей реестра по умолчанию из списка доступных путей может привести к отказу этих средств управления.

Примечание  

Чтобы разрешить удаленный доступ, необходимо также включить службу удаленного управления реестром.

 

Связанные разделы

Параметры безопасности