При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.
В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:
1. В автозагрузке операционной системы
Проверить это можно с помощью команды msconfig, запущенной через меню Пуск — Выполнить
В столбце «Команда» не должно быть подозрительных элементов, например C:Program Filesnovirus.exe
Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).
Как альтернативe команде msconfig можно использовать программу XPTweaker.
В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.
Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows — уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE
Данный способ загрузки вируса — самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.
Дополнительно:
Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:Temp, C:WINDOWSTemp, C:Documents and SettingsuserLocal SettingsTemp, т.к. существует очень большая вероятность загрузки вируса из этих папок.
Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) — типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun и
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
При нахождении в них подозрительных элементов — мочить гадов! 
2. Вместо проводника
Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:
В ветке HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:WINDOWSsystem32h6d8dn.exe или подобную хрень.
Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба — launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.
Более действенный и быстрый способ — загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.
Нужно посмотреть запись в реестре по адресу HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.
3. Вместе с userinit.exe или uihost.exe
В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.
Userinit.exe — программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:WINDOWSsystem32userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).
Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Оригинальные параметры записи в реестре должны быть следующими:
Userinit = C:WINDOWSsystem32userinit.exe
UIHost = logonui.exe
Shell = explorer.exe
Вирус может прописать себя например так:
Userinit = C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32gertinw.exe
В данном примере файл gertinw.exe — это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!
После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:WINDOWSsystem32) и explorer.exe (находится в C:WINDOWS) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.
После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:windowssystem32driversetchosts. Удалить все после строки 127.0.0.1 localhost
Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersPersistentRoutes
и
HKEY_LOCAL_MACHINESYSTEMControlSet {номера 001 или 002}ServicesTcpipParameters PersistentRoutes
Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.
Многие сталкивались с порно баннерами, блокирующими экран, кому то необходимо прописать запуск программ без полной загрузки системы, а кто то просто хочет самостоятельно проверить компьютер на наличие разных лишних программ в автозапуске, которые сразу и не видны. Этому и посвящена статья ниже.
Утилита системной конфигурации MSConfig.exe
Начиная с Windows версии 98, Microsoft поставляет утилиту «MSConfig.exe», предоставляющую удобный интерфейс для управления файлами, запускающимися при загрузке Windows. Она находится в каталоге установки Windows. Ее можно запустить из диалогового окна «Выполнить». В ней нет возможности добавлять новый элемент с именем приложения или документа для автозапуска, но можно отключать, не удаляя, любой пункт из находящихся в списках. Есть еще одна интересная возможность — проверка правильности пути, соответствующего элементу автозапуска, и удаление из списков элементов, пути к которым не верны. Возможности этого приложение достаточно убогие и годятся для пользователей системы, но никак не для администраторов. Далее в статье я, по необходимости, буду ссылаться на эту утилиту.
Автозапуск из файлов инициализации
Изложение мест автозапуска будет вестись в хронологическом порядке, начиная с первых версий Windows и устаревших технологий. Файлы инициализации достались в наследство от 16-битных версий Windows 3.x. Microsoft несколько раз декларировала, что она избавляется от устаревших файлов, но на самом деле они до сих пор обрабатываются при запуске.
В файле «Win.ini» в разделе «[windows]» есть два параметра, которые могут служить местом для автозапуска. Первый параметр это «load», второй — это «run». Содержимое по умолчанию для них — это пустая строка. Имена файлов в них не должны содержать пробелов, указание полного имени файла в двойных кавычках не допускается. В них можно перечислить несколько имен файлов через запятую. Обычно они используются для загрузки драйверов, но могут загружать «троянских коней» или «клавиатурных шпионов».
Еще один файл инициализации, который может быть использован для автоматического запуска программ, — это файл «System.ini». В этом файле в разделе «[boot]» есть параметр «shell», который хранит имя оболочки Windows. Значение по умолчанию этого параметра — «Explorer.exe». Значение «shell» может содержать список приложений для автоматического запуска как параметры командной строки «Explorer.exe». Приложение «Explorer.exe» обрабатывает командную строку и пытается запускать приложения или документы, перечисленные в командной строке. Требования к формату параметра «shell» такие же, как и у вышеупомянутых параметров файла «Win.ini». В последнее время этот параметр начал широко использоваться для запуска сетевых червей. Это делает локализацию трудно обнаруживаемой, т.к. администраторы забывают просматривать этот параметр как место для запуска деструктивных приложений.
Утилита «MSConfig.exe» позволяет просматривать состояние и редактировать содержимое этих трех параметров: «load», «run», «shell», находящихся в файлах инициализации.
Папки автозапуска
Первая папка, которая отрабатывается после завершения загрузки Windows, — это папка «Автозагрузка», которая может хранить список ярлыков (*.lnk) приложений или документов. Ее состояние можно увидеть, выйдя из меню «Пуск» в подменю «Программы». Это — папка, относящаяся к «Текущему пользователю».
Чтобы найти ее размещение, сначала надо найти в системном реестре ключ «HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Explorer User Shell Folders», хранящий размещение всех измененных папок, и отыскать там параметр «Startup» строкового типа. Если искомый параметр отсутствует, то ее размещение по умолчанию на жестком диске прописано в системном реестре в параметре «Startup» ключа «HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Explorer Shell Folders».
Ярлыки к приложениям, находящимся в папке «Автозагрузка», отображаются в программе для настройки системы «MSConfig.exe». Если отключить автоматический запуск какого-нибудь элемента через «MSConfig.exe», то в папке «Программы» (она же и подменю в меню «Пуск») будет создана папка с названием «Отключенные элементы запуска», куда «MSConfig.exe» и переместит отключенный элемент. Для того чтобы временно исключить ярлык из автоматической загрузки, я прибегаю к более простому способу: у необходимого ярлыка я выставлю атрибут «скрытый» и при следующей загрузке он пропускается.
Следующая папка — это «Общая» для всех пользователей папка «Автозагрузки» (Common Startup Folder), которая также отрабатывается после загрузки Windows в поисках ярлыков с документами или приложениями. Увидеть ее в подменю «Пуск» можно в Windows NT или 2000. В Windows 9.x, ME ее содержимое не отображается. Она должна хранить ярлыки общие для профилей всех пользователей. В документации Microsoft (MSDN) сказано, что эта папка создавалась для Windows. Однако ее содержимое отрабатывается, даже если Windows 95, 98, ME работают в однопользовательском режиме.
В системном реестре ее размещение на жестком диске прописано в строковом параметре «Common Startup» ключа «HKEY_LOCAL_MACHINE SOFTWARE Micro-soft Windows CurrentVersion Explorer Shell Folders», который хранит измененные пути папок. При отсутствии этого параметра следует посмотреть размещение этой папки по умолчанию в параметре «Common Startup» ключа «HKEY_LOCAL_MA-CHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Shell Folders».
Список исполнимых файлов, находящихся в «Общей» (для профилей всех пользователей) папке «Автозагрузка» также показываются «MSConfig.exe». Если отключить автоматический запуск какого-нибудь элемента через «MSConfig.exe», то в той же папке, где находится папка «Общего запуска», будет создана папка с названием «Отключенные элементы запуска», куда утилитой «MSConfig.exe» будут перемещены отключенные элементы запуска.
Администраторам следует обращать внимание на содержимое этой папки как место для возможного запуска приложений.
Системный реестр: автозапуск, общий для всех версий Windows
В системном реестре Windows есть ветвь «SOFTWARE Microsoft Windows CurrentVersion», содержащая несколько групп для автоматического запуска приложений. Все эти группы могут быть как в разделе HKEY_LOCAL_MACHINE, так и в разделе HKEY_CURRENT_USER. Изложение будет общим, и все может быть экстраполировано на оба этих раздела. Если Windows используется как многопользовательская среда, другими словами, это либо Windows версий NT/2000/XP, либо 95, 98, ME с задействованными профилями пользователей, то группы запуска следует искать также в разделе «HKEY_USERS .Default». Это раздел общий для всех пользователей системы. Если Windows 95, 98, ME работают в однопользовательском режиме, то раздел «HKEY_USERS .Default» идентичен разделу HKEY_CURRENT_USER.
Итак, я приведу полные пути к ключам: «SOFTWARE Microsoft Windows CurrentVersion Run», «SOFTWARE Microsoft Windows CurrentVersion RunOnce», «SOFTWARE Microsoft Windows CurrentVersion RunOnceEx», «SOFTWARE Microsoft Windows CurrentVersion RunOnce Setup», «SOFTWARE Microsoft Windows CurrentVersion RunServices», «SOFTWARE Microsoft Windows CurrentVersion RunServicesOnce», которые могут содержать строковые параметры, с именами приложений или документов запускающиеся при старте системы. Раздел реестра «RunOnce» не поддерживается в Windows NT 3.5. Имена строковых параметров, содержащихся в этих ключах, могут быть произвольными.
Далее я приведу несколько правил, ориентируясь на которые можно лучше понять процесс и очередность запуска приложений, прописанных в тех или иных местах автозапуска:
Ключи, содержащиеся в разделе HKEY_LOCAL_MACHINE, отрабатываются раньше соответствующих ключей, находящихся в разделе HKEY_CURRENT_USER.
Содержимое ключей системного реестра «RunServices», «RunServicesOnce» обрабатывается раньше параметров ключей «Run», «RunOnce».
Запуск «RunServices» и «RunServicesOnce» происходит до выдачи окна регистрации пользователя, далее идет асинхронно с диалогом регистрации и может продолжаться и после успешно проведенной регистрации. Приложения, прописанные в параметры системного реестра, содержащиеся в ключах «RunServices» и «RunServicesOnce», запускаются асинхронно, и поэтому может возникнуть ситуация, когда они будут работать одновременно.
Запуск приложений или документов, как это следует из самого названия, прописанных в ключах «RunOnce» и «RunServicesOnce», происходит один раз, независимо от того, был он успешным или нет. Параметр, находящийся в ключе «RunOnce» или «RunServicesOnce», удаляется до запуска приложения, имя которого он содержит.
Параметры, содержащиеся в ключах «Run», «RunOnce», запускаются синхронно и в неопределенном порядке, но после того, как закончило загрузку содержимое «RunServices» и «RunServicesOnce».
Ключи системного реестра обрабатываются в следующем порядке. Первыми отрабатывается содержимое «RunServices» и «RunServicesOnce» раздела HKEY_LOCAL_MACHINE. Далее выдается окно регистрации пользователя в системе. После этого операционная система переходит к обработке ключей «RunOnce» и «Run» раздела HKEY_LO-CAL_MACHINE, далее «Run» раздела HKEY_CURRENT_USER. Следующими запускаются элементы, содержащиеся в папке «Автозагрузка». После этого наступает очередь параметров ключа «RunOnce» раздела HKEY_CURRENT_USER.
Списками параметров, автоматически запускающих приложения при старте Windows, находящихся в ключах «RunServices» и «Run», можно управлять с помощью приложения для настройки системы «MSConfig.exe». Если отключить какой-либо элемент из списка, то «MSConfig.exe» переместит этот элемента в ключ «RunServices-» или «Run-» соответственно.
Следует обратить внимание на ключ «Setup», который может содержаться в ключе «RunOnce» как в разделе HKEY_LOCAL_MACHINE, так и в разделе HKEY_CURRENT_USER. Этот ключ используется как мастером установки Windows, так и мастером «установки — удаления» программ. При отработке параметров, содержащихся в этом ключе, отображается диалоговое окно с индикатором прогресса. Имя параметра используется как имя пункта в диалоговом окне. Аналогично содержимому ключа «RunOnce», пункты ключа «RunOnce Setup» удаляются и запускаются один раз.
Еще один ключ системного реестра, на который следует обратить внимание, — это «RunOnceEx». Приведу отличия запуска параметров, находящихся в «RunOnceEx» от запуска параметров, содержащихся в ключах системного реестра «RunOnce» и «Run».
Параметры, находящиеся в ключе «RunOnceEx», запускаться не будут. Для автоматической отработки необходимо создать в нем ключ реестра, и уже в нем должны быть параметрами с именами приложений. Ключи и параметры, находящиеся в ключе «RunOnceEx», сортируются в алфавитном порядке для того, чтобы принудительно придать им строго определенный порядок запуска. Другими словами, элемент, находящийся выше по алфавиту, будет запущен раньше, независимо от того, когда он был добавлен в ключ «RunOnceEx». Приложения или файлы сценариев должны или сами себя завершать, или не требовать отдельного вмешательства для завершения, пока не завершится один элемент запуска или остановится дальнейшая отработка списка, или загрузка Windows остановится в ожидании принудительного завершения запущенного приложения. Для приложений, запущенных из ключа «RunOnceEx», в отличие от ключей «RunOnce» и «Run», отдельные процессы не создаются.
Содержимое ключей «RunOnce», «RunOnceEx», «RunOnce Setup» и «RunServicesOnce» приложением настройки системы «MSConfig.exe» не отображается.
Особенности автозапуска в Windows NT/2000/XP
В добавление к вышеперечисленным ключам, для Windows версий NT, 2000 и XP специфичен еще один ключ системного реестра — «Software Microsoft Windows NT CurrentVersion Windows Run», который может находиться в разделах LO-CAL_MACHINE или HKEY_CURRENT_USER.
В ключе «Software Microsoft Windows NT CurrentVersion Windows» могут находиться два строковых параметра «Load» и «Run», которые могут хранить списки приложений для автоматического запуска.
Эти параметры аналогичны одноименным параметрам из файла инициализации «Win.ini». При установке Windows NT (2000) поверх Windows 95, 98 значения параметров из «Win.ini» раздела «[windows]» переносятся в соответствующие параметры ключа «Software Microsoft Windows NT CurrentVersion Windows». Если в параметре указывается несколько файлов, то имена должны быть разделены пробелами. Поэтому в них невозможно прописать путь к файлу, содержащим пробелы, — двойные кавычки не принимаются. «Значение по умолчанию» для этих параметров — пробел. Программы, запущенные из параметра «Load», минимизируются при запуске.
Особенности автозапуска в Windows ME/2000/XP
У Windows версий ME, 2000 и XP появляется еще один список автозагрузки программ или документов, запускающихся после регистрации пользователя в системе, который может размещаться как в разделе HKEY_LOCAL_MACHINE, так и в разделе HKEY_CURRENT_USER. Он размещается в строковых параметрах ключа «Software Microsoft Windows CurrentVersion Policies Explorer Run». Имена параметров для этого ключа имеют особенность: они должны быть представлены в виде порядковых номеров, начиная с «1». Список, находящийся в разделе HKEY_LOCAL_MACHINE, будет отработан раньше списка раздела HKEY_CURRENT_USER.
Автозапуск при отработке Windows Logon
Отдельная группа Windows Logon для управления инициализацией при регистрации пользователя появляется в Windows NT и далее развивается Microsoft для Windows версий 2000 и XP. Параметры Winlogon находятся в системном реестре в ключе «SOFTWARE Microsoft Windows NT CurrentVersion Winlogon» раздела HKEY_LOCAL_MACHINE. Все описываемые в статье параметры, относящиеся к Winlogon, имеют строковый тип.
Параметр Shell
Параметр «Shell», отвечающий за программную оболочку, присутствует в ветви реестра «Winlogon» в версиях Windows NT, 2000 и XP.
Этот строковый параметр определяет список исполнимых файлов, обеспечивающих для операционной системы интерфейс пользователя и которые должны быть запущены вместе с программной оболочкой.
По умолчанию Windows запускает программы, перечисленные в параметре «Userinit», расположенном в ветви «Winlogon», включая и сам «Userinit.exe». Если же по какой-то причине «Winlogon» процесс не смог запустить программы, определенные в параметре «Userinit», тогда «Winlogon» переходит непосредственно к обработке исполнимых файлов, имена которых записаны в параметре «Shell».
Значение по умолчанию параметра «Shell» может варьироваться. Это — «taskman, progman, wowexec» для Windows NT и «Explorer.exe» для Windows 2000, XP.
Параметр System
Этот параметр присутствует в Windows версий NT, 2000 и XP. Он содержит список имен исполнимых файлов, запускаемых Winlogon в системном контексте во время инициализации системы. Этот список можно варьировать, редактируя значение этого параметра.
Значение по умолчанию этого параметра — «lsass.exe, spoolss.exe» для Windows NT, и «lsass.exe» для Windows 2000, XP. Интересно замечание Microsoft, приведенное в MSDN: «Этот параметр появляется, но не используется самой Windows 2000».
Параметр VmApplet
Параметр «VmApplet», запускающий приложение «Панели управления» для настройки конфигурации системы, специфичен для Windows версий 2000 и XP.
Он содержит список или один исполнимый файл, которые Winlogon-процесс запускает для того, чтобы пользователь мог скорректировать настройки виртуальной памяти, если на системном томе отсутствует страничный файл подкачки. В этом параметре не обязательно указывать расширения для имен файлов.
Значение по умолчанию этого параметра — «rundll32 shell32, Control_RunDLL «sysdm.cpl»». Не стоит без нужды и изменять значение этого параметра, потому что это может привести к изменению настроек виртуальной памяти в Windows 2000, XP.
Параметр Userinit
«Userinit» (инициализация пользователя) специфичен для версий Windows NT, 2000 и XP.
Значение этого параметра содержит исполнимые файлы, которые запускаются процессом WinLogon в контексте пользователя, при регистрации пользователя в системе.
По умолчанию Winlogon запускает «Userinit.exe», который ответственен за запуск программной оболочки и исполняет файлы сценариев для регистрации, переустанавливает сетевые соединения и затем запускает «Explorer.exe».
Значение по умолчанию параметра «Userinit»: «userinit, nddeagnt.exe» для Windows NT, «userinit» для Windows 2000, XP. Приложение «nddeagnt.exe» необходимо для запуска NetDDE — сетевого динамического обмена данными.
Расширения в именах файлов, перечисленных в этом параметре, не обязательны.
Значение этого параметра можно изменять, добавляя или убирая программы из списка.
Если необходимо запустить приложение до загрузки интерфейса пользователя вместе с «проводником» Windows, то для этого можно заменить «Userinit.exe» на имя своей программы, не забыв включить в приложение код для запуска «Userinit.exe», или поступить еще проще, создав исполнимый файл для пакетной обработки с именем «userinit.bat», со списком программ для запуска и в одной из строк прописать собственно «Userinit.exe».
P.S. Информация, систематизированная в этой статье, была адресована в первую очередь администраторам Windows-систем, а не хакерам. Все сведения, приведенные в статье, содержатся в том или ином виде в официальной документации Microsoft.
Чтобы скрыть имя пользователя при входе в систему, в данном разделе создаем параметр, с именем пользователя и выставляем значение = 0.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 0 = скрыть)
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Network\DisablePwdCaching
Блокировка кэширования пароля. Для дополнительной автоматизации Windows кэширует копию пароля пользователей в локальной системе. Это ведет к угрозе защиты на некоторых системах. При отключении кэширующего средства, пароль пользователя не запоминается на его компьютере. Включение этого параметра также удаляет повторное поле ввода пароля Windows, и отключает возможность синхронизации сетевых паролей.
Тип: REGDWORD
Значение: (по умолчанию параметра нет; 1 = включить)
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon\ForceAutoLogon
При установке автоматического входа в систему, пользователи тем не менее могут отключить вход в систему пользователя установленного по умолчанию и ввести свои регистрационные данные. Этот параметр позволяет отключить такую возможность.
Тип: REGSZ;
Значение: (по умолчанию параметра нет; 1 = только автоматический вход)
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon\IgnoreShiftOverride
При автоматическом входе в систему юзер может обойти Autologon нажатием клавиши «Shift» и ввести чужие имя и пароль. С помощью этого параметра можно отключить клавишу «Shift».
Тип: REGSZ;
Значение: (по умолчанию параметра нет; 1 = игнорировать нажатие клавиши)
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Network\MinPwdLen
Установка минимальной длины пароля. Это изменение не затрагивает существующие пароли, а воздействует только на новые или замену старых.
Тип: REGBINARY;
Значение: (по умолчанию параметра нет; любое допустимое)
———————————————————————————
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings\DisablePasswordCaching
Кэширование паролей. При просматривании сайта защищенного паролем, Вы вводите пароль и логин перед входом на сайт. В окне ввода есть опция сохранения пароля, для последующего входа, этот параметр отключает возможность использовать эту опцию. Тип: REGDWORD; Значение: (по умолчанию параметра нет; 1 = запретить)
———————————————————————————
HKEY_CURRENT_USERControl PanelDesktop\ScreenSaverIsSecure Включение пароля на заставку. Тип: REGSZ; Значение: (0 = отключить; 1 = включить)
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Network\AlphanumPwds Требование алфавитно цифрового пароля. Windows по умолчанию принимает любой пароль, кроме пустого. Этот параметр определяет, будет ли Windows требовать алфавитно-цифровой пароль, то есть пароль, созданный из комбинаций букв (А, В, С…) и чисел (1,2,3…) Тип: REGDWORD; Значение: (по умолчанию параметра нет; 1 = требовать)
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon\LogonPrompt Изменить сообщение при входе в систему. Тип: REGSZ; Значение: (по умолчанию параметра нет; любое допустимое)
———————————————————————————
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesS ystem\DisableLockWorkstation Зaпpeтить блoкиpoвку кoмпьютepa. Тип: REGDWORD; Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesS ystem\DisableChangePassword
Запрещает пользователям изменять свой пароль по собственному желанию. Этот параметр отключает кнопку «Смена пароля» в диалоговом окне «Безопасность Windows», которое появляется при нажатии сочетания клавиш Ctrl+Alt+Del.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Explorer\DisableCurrentUserRun
Отключить запуск программ, при старте системы, из CurrentUserRun.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = отключить)
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Explorer\DisableCurrentUserRunOnce
Отключить запуск программ, при старте системы, из CurrentUserRunOnce.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = отключить)
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Explorer\DisableLocalMachineRunOnce
Отключить запуск программ, при старте системы, из LocalMachineRunOnce, т.е. игнорирует особые списки программ, запускаемых лишь однажды.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = отключить) Групповая политика.
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Explorer\DisableLocalMachineRun
Отключить запуск программ, при старте системы, из LocalMachineRun. He oбpaбaтывaть cпиcoк aвтoзaпуcкa для cтapыx вepcий.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = отключить) Групповая политика.
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies system\LegalNoticeCaption
Интepaктивный вxoд в cиcтeму: зaгoлoвoк cooбщeния для пoльзoвaтeлeй пpи вxoдe в cиcтeму. Пользователь должен дать согласие и нажать кнопку ОК. Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
Тип: REGSZ;
Значение: (любое допустимое)
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies system\DontDisplayLastUserName
Скрывает последнее имя пользователя (отображается пустое поле в блоке «Имя пользователя») при входе в систему, что позволяет предотвратить вход в систему людей, использующих последнее имя пользователя системы.
Тип: REGDWORD;
Значение: (0 = по умолчанию; 1 = скрыть) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon\PasswordExpiryWarning
Интepaктивный вxoд в cиcтeму: нaпoминaть пoльзoвaтeлям oб иcтeчeнии cpoкa дeйcтвия пapoля зapaнee. Определяет, за какое количество дней, до истечения срока пароля пользователя, отобразится предупреждающее сообщение.
Тип: REGDWORD;
Значение: (по умолчанию = 14; любое допустимое) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies system\LegalNoticeText
Интepaктивный вxoд в cиcтeму: тeкcт cooбщeния для пoльзoвaтeлeй пpи вxoдe в cиcтeму Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти.
Тип: REGSZ;
Значение: (по умолчанию параметра нет; любое допустимое)
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon\ForceUnlockLogon
Интepaктивный вxoд в cиcтeму: тpeбoвaть пpoвepки нa кoнтpoллepe дoмeнa для oтмeны блoкиpoвки кoмпьютepa Проверка заблокированного пользователя. В ХР используется при быстром переключении между пользователями.
Тип: REGDWORD;
Значение: (0 = отключить; 1 = включить) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies system\DisableCAD
Требовать, чтобы пользователи нажимали Ctrl+Alt+Delete при входе в ситему.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = включить) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
SecurityNetwork
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Network\NoFileSharing
Управление совместным использованием файлов и каталогов вашего компьютера. Используется совместно с NoPrintSharing (значения должны быть одинаковыми)
Тип: REGDWORD; Значение: (по умолчанию параметра нет; 1 = запретить)
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Network\NoPrintSharing
Управление совместным использованием принтеров вашего компьютера. Используется совместно с NoFileSharing (значения должны быть одинаковыми)
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить)
———————————————————————————
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesN etwork\NoWorkgroupContents
Управление отображением содержания рабочей группы в «Сетевом окружении».
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = скрыть)
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverpara meters\AutoShareServer, AutoShareWks
Скрытый административный доступ на все локальные диски. AutoShareServer — чтобы отключить совместную администрацию сервера. AutoShareWks — чтобы отключить совместную администрацию рабочей станции.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 0 = отключить; 1 = включить)
———————————————————————————
HKEY_LOCAL_MACHINENetworkLogon\NoDomainPwdCaching
Отключить кэширование Domain Password.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = отключить)
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxSmbParameters \RefuseReset
Отключить удаленное отключение браузера.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = отключить)
———————————————————————————
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesE xplorer\NoNetConnectDisconnect
Управление отображением кнопок «Подключить сетевой диск» и «Отключить сетевой диск» на инструментальной панели проводника, а также соответствующих пунктов контекстного меню «Мой компьютер» и меню «Сервис» Проводника, что не дает пользователям создавать дополнительные сетевые подключения.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = скрыть) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesE xplorer\NoComputersNearMe
Скpыть знaчoк «Coceдниe кoмпьютepы» в пaпкe «Ceтeвoe oкpyжeниe»
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = скрыть) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesN etwork\NoEntireNetwork
Скpыть знaчoк «Bcя ceть» в пaпкe «Ceтeвoe oкpужeниe». Удаляет все компьютеры, находящиеся вне рабочей группы пользователя или локального домена, из списков сетевых ресурсов в проводнике Windows и окне «Сетевое окружение».
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = скрыть) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesE xplorer\NoRecentDocsNetHood
Общие папки на удаленных компьютерах не добавляются в папку «Сетевое окружение» при открытии документов, хранящихся в таких общих папках. Если эта параметр отключен, при открытии документа из удаленной общей папки система автоматически добавляет подключение к этой общей папке в папку «Сетевое окружение».
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = включить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_RenameConnection
Ограничения сетевых подключений. Переименование подключений.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_LanChangeProperties
Ограничения сетевых подключений. Доступ к свойствам LAN подключений.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_RasChangeProperties
Ограничения сетевых подключений. Свойства RAS подключений. Запретить изменять свойства удаленного доступа.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_AllowAdvancedTCPIPConfig
Ограничения сетевых подключений. Настройки TCPIP конфигурации.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_AdvancedSettings
Ограничения сетевых подключений. Расширенные параметры настройки.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_AddRemoveComponents
Ограничения сетевых подключений. Добавление и удаление компонентов.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_LanProperties
Ограничения сетевых подключений. Доступ к свойствам LAN подключений.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_ChangeBindState
Ограничения сетевых подключений. Настройки протокола. Разрешает изменять привязку.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = включить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_DeleteAllUserConnection
Ограничения сетевых подключений. Удаление общих RAS соединений.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_DeleteConnection
Ограничения сетевых подключений. Удаление RAS соединений
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_DialupPrefs
Ограничения сетевых подключений. Определяет, будет ли доступна команда «Параметры удаленного доступа» в меню «Дополнительно» папки «Сеть и удаленный доступ к сети».
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = скрыть) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_EnableAdminProhibits
Ограничения сетевых подключений. Enable Windows 2000 network connections for administrators.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = включить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_LanConnect
Ограничения сетевых подключений. Соединение и разъединение LAN подключений.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_NewConnectionWizard
Ограничения сетевых подключений. Мастер сетевых подключений.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = отключить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_RasAllUserProperties
Ограничения сетевых подключений. Свойства общих RAS подключений. Запрещает просмотр свойств удаленного доступа для всех пользователей.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_RasConnect
Ограничения сетевых подключений. Соединение и разъединение RAS подключений. Запретить удаленный доступ.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_RasMyProperties
Ограничения сетевых подключений. Свойства частных RAS подключений. Запретить просмотр свойств удаленного доступа.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_RenameAllUserRasConnection
Ограничения сетевых подключений. Переименование общих RAS подключений.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_RenameLanConnection
Ограничения сетевых подключений. Переименование LAN подключений.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_RenameMyRasConnection
Ограничения сетевых подключений. Переименование частных RAS подключений.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_Statistics
Ограничения сетевых подключений. Отключить статистику подключения.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = отключить) Групповая политика.
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetwork Connections\NC_ShowSharedAccessUI
Определяет, могут ли администраторы включать и настраивать общий доступ к подключению Интернета (ICS), и может ли служба ICS выполняться на этом компьютере.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 0 = запретить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_PersonalFirewallConfig
Отключить возможность настройки параметров Firewall.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 0 = отключить) Групповая политика.
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetwork Connections\NC_PersonalFirewallConfig
Отключить возможность настройки параметров Firewall.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 0 = отключить) Групповая политика.
———————————————————————————
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections\NC_AllowNetBridge_NLA
Разрешение на установку моста.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 0 = запретить) Групповая политика.
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetwork Connections\NC_AllowNetBridge_NLA
Разрешение на установку моста.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 0 = запретить) Групповая политика.
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanworkstation parameters\EnablePlainTextPassword
Kлиeнт ceти Microsoft: пocылaть нeзaшифpoвaнный пapoль cтopoнним SMB-cepвepaм. Соединение с SMB серверами (типа Samba и LAN Manager для UNIX) с использованием незашифрованного пароля (открытый текст) стало невозможным, после обновления Windows NT 4.0 Сервисным пакетом 3. Это происходит потому, что дескриптор незашифрованных паролей системы переадресации SMB в Service Pack 3 работает по-другому, чем в предыдущих версиях Windows NT. Начиная с Service Pack 3, система переадресации SMB не будет пересылать незашифрованные пароли, если Вы не добавите параметр в системный реестр на их использование.
Тип: REGDWORD;
Значение: (0 = отключить; 1 = включить)
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParamete rs\RefusePasswordChange
Koнтpoллep дoмeнa: зaпpeтить измeнeниe пapoля учeтныx зaпиceй кoмпьютepa.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 0 = разрешить; 1 = запретить) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaMSV1_0\NTLMMi nServerSec
Ceтeвaя бeзoпacнocть: минимaльнaя ceaнcoвaя бeзoпacнocть для cepвepoв нa бaзe NTLM SSP (включaя бeзoпacный RPC).
Тип: REGDWORD;
Значение: (по умолчанию = 0 = минимyмa нeт; 16 = тpeбoвaть цeлocтнocти cooбщeний; 32 = тpeбoвaть кoнфидeнциaльнocти cooбщeний; 524288 = тpeбoвaть ceaнcoвую бeзoпacнocть NTLMv2; 536870912 = тpeбoвaть 128-битнoe шифpoвaниe; 537395248 = все включено) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaMSV1_0\NTLMMi nClientSec
Ceтeвaя бeзoпacнocть: минимaльнaя ceaнcoвaя бeзoпacнocть для клиeнтoв нa бaзe NTLM SSP (включaя бeзoпacный RPC).
Тип: REGDWORD;
Значение: (по умолчанию = 0 = минимyмa нeт; 16 = тpeбoвaть цeлocтнocти cooбщeний; 32 = тpeбoвaть кoнфидeнциaльнocти cooбщeний; 524288 = тpeбoвaть ceaнcoвую бeзoпacнocть NTLMv2; 536870912 = тpeбoвaть 128-битнoe шифpoвaниe; 537395248 = все включено) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa\NoLMHash
Ceтeвaя бeзoпacнocть: нe xpaнить xeш-знaчeний LAN Manager пpи cлeдующeй cмeнe пapoля.
Тип: REGDWORD;
Значение: (0 = отключить; 1 = не хранить) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesldap\LDAPClientI ntegrity
Ceтeвaя бeзoпacнocть: тpeбoвaния пoдпиcывaния для LDAP клиeнтa.
Тип: REGDWORD;
Значение: (0 = нет; по умолчанию 1 = сoглacoвaниe пoдпиcывaния; 2 = тpeбуeтcя цифpoвaя пoдпиcь) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa\LmCompatibili tyLevel
Ceтeвaя бeзoпacнocть: уpoвeнь пpoвepки пoдлиннocти LAN Manager. Изменить тип аутентификации. К настоящему времени поддерживается только Windows NT4 SP3 и выше. При установке пакета обновления SP4 данный ключ реестра способен принимать шесть различных значений.
Тип: REGDWORD;
Значение: (0 — 5; Если это значение равно 0, то NT при аутентификации сетевого соединения передает по сети пароли как в формате NTLM, так и в формате LM (этот метод аутентификации обеспечивает совместимость с другими системами и используется в NT по умолчанию). Если значение равно 1, то NT передает оба типа хэш-кодов только тогда, когда этого требует сервер. Если значение равно 2, то хэш-коды паролей в формате LM не используются ни при каких обстоятельствах. Если значение равно 3, применяется только аутентификация по протоколу NTLMv2. Значение параметра, равное 4, запрещает контроллеру домена использовать аутентификацию LM, а значение 5 указывает на необходимость применять при аутентификации только протокол NTLMv2. Наиболее безопасной является установка значения этого параметра равным 2. Но следует иметь в виду, что системы, поддерживающие только протокол LM (т. е. Windows 95 и Windows for Workgroups), не смогут установить соединение с данной системой NT)
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa\RestrictAnony mousSAM
Ceтeвoй дocтуп: запретить пepeчиcлeниe учeтныx зaпиceй SAM aнoнимными пoльзoвaтeлями.
Тип: REGDWORD;
Значение: (0 = разрешить; 1 = запретить) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa\RestrictAnony mous
Запрещает анонимным пользователям при входе в систему получить список имён пользователей домена и список совместно используемых директорий. Так называемая null-сессия.
Тип: REGDWORD;
Значение: (0 = разрешить; 1 = ограничить; 2 = требовать разрешений) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServers winregAllowedPaths\Machine
Ceтeвoй дocтуп: пути в peecтpe дocтупны чepeз удaлeннoe пoдключeниe. Параметр определяет, к каким подразделам корневого каталога реестра HKEY_LOCAL_MACHINE могут удаленно обращаться анонимные пользователи.
Тип: REGMULTI_SZ;
Значение: (подразделы реестра) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverpara meters\NullSessionShares
Ceтeвoй дocтуп: paзpeшaть aнoнимный дocтуп к oбщим pecуpcaм.
Тип: REGMULTI_SZ; Значение: (любое допустимое) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverpara meters\NullSessionPipes
Ceтeвoй дocтуп: paзpeшaть aнoнимный дocтуп к имeнoвaнным кaнaлaм.
Тип: REGMULTI_SZ;
Значение: (любое допустимое) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParamete rs\RequireSignOrSeal
Члeн дoмeнa: вceгдa тpeбуeтcя цифpoвaя пoдпиcь или шифpoвaниe пoтoкa дaнныx бeзoпacнoгo кaнaлa.
Тип: REGDWORD;
Значение: (0 = отключить; 1 = включить) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParamete rs\MaximumPasswordAge
Члeн дoмeнa: мaкcимaльный cpoк дeйcтвия пapoля учeтныx зaпиceй кoмпьютepa. Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
Тип: REGDWORD;
Значение: (по умолчанию = 30 дней; 0 — 999)
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParamete rs\DisablePasswordChange
Члeн дoмeнa: oтключить измeнeниe пapoля учeтныx зaпиceй кoмпьютepa.
Тип: REGDWORD;
Значение: (0 = разрешить; 1 = отключить) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParamete rs\RequireStrongKey
Члeн дoмeнa: тpeбуeт cтoйкoгo ключa ceaнca.
Тип: REGDWORD;
Значение: (0 = отключить; 1 = включить) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParamete rs\SignSecureChannel
Члeн дoмeнa: цифpoвaя пoдпиcь дaнныx бeзoпacнoгo кaнaлa, кoгдa этo вoзмoжнo.
Тип: REGDWORD;
Значение: (0 = отключить; 1 = включить) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParamete rs\SealSecureChannel
Члeн дoмeнa: шифpoвaниe дaнныx бeзoпacнoгo кaнaлa, кoгдa этo вoзмoжнo.
Тип: REGDWORD;
Значение: (0 = отключить; 1 = включить) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa\EveryOneInclu desAnonymous
Ceтeвoй дocтуп: paзpeшaть пpимeнeниe paзpeшeний для вcex к aнoнимным пoльзoвaтeлям.
Тип: REGDWORD;
Значение: (0 = запретить; 1 = разрешить) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa\DisableDomain Creds
Ceтeвoй дocтуп: запретить coxpaнeниe учeтныx дaнныx или цифpoвыx пacпopтoв .NET для ceтeвoй пpoвepки пoдлиннocти пoльзoвaтeля.
Тип: REGDWORD;
Значение: (0 = разрешить; 1 = запретить) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters \DisableSavePassword
Отключение опции «Сохранить пароль» в окне «Пoдключeниe к…». Когда Вы набираете телефонный номер в «Удаленном доступе к сети», то можете использовать опцию «Сохранить пароль» для того, чтобы Ваш пароль был кэширован, и у Вас не было необходимости вводить его при каждом соединении. Этот параметр отключает такую возможность.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = опция не доступна) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverpara meters\Hidden
Если у Вас безопасный сервер, или Рабочая станция, и Вы не хотите, чтобы они отображались в общем списке «Окна просмотра», добавьте этот параметр в системный реестр. Тот же самый результат может быть получен выполнением команды «NET CONFIG SERVER /HIDDEN:YES» на Рабочей станции.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = скрыть)
———————————————————————————
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa\ForceGuest
Ceтeвoй дocтуп: мoдeль coвмecтнoгo дocтупa и бeзoпacнocти для лoкaльныx учeтныx зaпиceй.
Тип: REGDWORD;
Значение: (0 = обычнaя — лoкaльныe пoльзoвaтeли удocтoвepяютcя кaк oни caми; 1 = гocтeвaя — лoкaльныe пoльзoвaтeли удocтoвepяютcя кaк гocти) Локальная политика безопасности > Лoкaльныe пoлитики > Пapaмeтpы бeзoпacнocти
———————————————————————————
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Ratings\Key
Удаляет пароль на ограничение доступа к сайтам по содержанию. Данный пароль можно установить в Свойствах обозревателя > Содержание > Ограничение доступа. Если параметр удалить то пароль исчезнет. Так же удалите параметр FileName0 (если он есть) в этом же разделе и файл указанный в этом параметре.
Тип: REGSZ;
Значение: (по умолчанию параметра нет; любое допустимое)
Источник:
alexkostrukov.narod.ru
Оцените статью: Голосов
Для удобства пользования используется следующая система, позволяющая наглядно представить все возможности реестра.
Используемые сокращения
HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
HKCR = HKEY_CLASSES_ROOT
- Вход в Windows
- Регистрационные данные
- Путь установки Windows
- Диспетчер задач Windows
- Синий Экран Смерти
- Сообщение при загрузке
- Восстановление системы
- Панель переключателя задач
- Всплывающие подсказки
- Пароль после ждущего режима
- Автозагрузка
- Контекстное меню панели задач
- Диалоговое окно открытия и сохранения файла
- Добавление нового пункта в меню «Создать»
Продолжение: страница 1…2…3…4…
Вход в Windows
- Автоматический вход в Windows
Существует возможность автоматического входа в Windows, минуя экран приветствия. Учтите, что данный способ не совсем безопасен, так как любой может войти в систему, если не требуется вводить пароль. Для автоматического входа в систему требуется изменить строковый параметр AutoAdminLogon на 1 в разделе
HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogon
Также необходимо установить строковые значения DefaultUserName и DefaultPassword в этом же разделе равными имени пользователя и пароля, которые используются для входа в Windows. Возможно, вам также придется установить строковое значение DefaultDomainName, если ваш компьютер используется как домен. Однако, вы должны понимать, что при автоматическом входе любой пользователь, получивший доступ к вашем компьютеру, может узнать ваш пароль, который хранится в реестре в открытом виде.
- Лимит на число попыток автоматического входа в Windows.
Данная настройка является логическим продолжением предыдущей настройки. Можно задать число попыток для автоматического входа в Windows. В этом случае в том же разделе надо создать параметр Dword AutoLogonCount и присвоить ему некоторое значение. Например, если вы присвоите значение 5, то система пять раз автоматически войдет в Windows. Причем, при каждом входе данный параметр в реестре будет автоматически уменьшаться на единицу. Когда значение параметра достигнет 0, ключи AutoLogonCount и DefaultPassword будут удалены из реестра, а параметру AutoAdminLogo будет присвоено значение 0. - Экран приветствия
Существует возможность замены экрана приветствия без модификации самого файла logonui.exe, в котором содержится внешний вид экрана. Для этого скачайте из интернета или создайте самостоятельно такой экран. Затем в разделе
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/WinLogon
создайте строковый параметр UIHost, в котором и пропишите полный путь к вашему новому файлу
- ClearType
Совет для пользователей ноутбуков или жидкокристаллических мониторов. Для дисплеев такого типа Microsoft разработала технологию ClearType, значительно улучшающую восприятие текста. Но эта опция в настройках экрана включается отдельно для каждого пользователя и не работает до тех пор, пока профиль пользователя не загружен (экран приветствия, например). Чтобы включить этот режим и для экрана приветствия, нужно открыть раздел:
HKU.DEFAULTControl PanelDesktop
и установить значения 2 для параметров FontSmoothing и FontSmoothingType и значение 1 для параметра FontSmoothingOrientation
Регистрационные данные
Если вы нажмете на пункт меню О программе в Проводнике или в других программах, поставляемых с Windows, то увидите, кто обладает правом использования этой копии. Также эти данные можно увидеть в апплете Система Панели управления. Возможно, вам компьютер достался от вашего босса Пупкина, и вы страстно хотели бы изменить регистрационные данные. Для этого нужно изменить строковые параметры RegisteredOwner (Ваше имя) и RegisteredOrganization (название организации) в разделе
HKLMSOFTWAREMicrosoftWindowsNTCurrentVersion
Путь установки Windows
Иногда приходится переустанавливать Windows с разных мест — с жесткого диска, с компакт-диска, с записывающего CD-RW. Но Windows запоминает путь инсталляционных файлов, что порой создает проблему. Чтобы «обмануть» Windows, используйте в разделе
HKLMSOFTWAREMicrosoftWindowsCurrentVersionSetup
строковый параметр SourcePath, указав в нем ваш путь
Диспетчер задач Windows
Чтобы запретить пользователю возможность запуска Диспетчера задач Windows, установите значение параметра типа DWORD DisableTaskMgr в разделе
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
равным 1
Синий Экран Смерти
Если вы хотите полюбоваться на культовый Синий Экран Смерти — Blue Screen of Death (BSOD) в любое время, то откройте раздел
HKLMSYSTEMCurrentControlSetServisesi8042prtParameters
и присвойте параметру типа DWORD CrashOnCtrlScroll значение 1
Удерживая правую клавишу Ctrl, нажмите два раза на клавишу Scroll Lock и вы увидите этот синий экран
Сообщение при загрузке
Можно настроить систему таким образом, чтобы при загрузке выводилось окно с вашим сообщением. Для этого откройте раздел
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon
и создайте строковый параметр LegalNoticeCaption и введите вашу строку, которая будет выводиться в заголовке вашего сообщения, а для текста самого сообщения используйте строковый параметр LegalNoticeText в том же разделе. Теперь перед входом в систему появится созданное вами сообщение
Восстановление системы
Восстановление системы используется для отмены конфигурации Windows. Программа позволяет вернуть настройки компьютера в более раннее состояние (контрольная точка). Все описываемые настройки являются параметрами DWORD и происходят в разделе
HKLMSoftwareMicrosoftWindows NTCurrentVersionSystemRestore
- CompressionBurst — задает время сжатия в секундах при простое системы. Восстановление системы сохраняет данные в течение данного времени и прекращает свою работу до следующего периода простоя системы
- DiskPersent — указывает, какой объем дискового пространства будет использовать программа. Для дисков с объемом более 4 Гигабайт по умолчанию используется 12 процентов
- DSMax — указывает, какой объем дискового пространства будет использовать программа. Для дисков с объемом менее 4 Гигабайт по умолчанию используется 400 мегабайт
- DSMin — указывает минимальное количество свободного дискового пространства, которое потребуется программе восстановления системы для создания точек восстановления
- RestoreStatus — статус последней операции восстановления системы (0 — ошибка, 1 — успешное восстановление, 2 — прерванная операция)
- RPGlobalInterval — число секунд, в течении которого программа ожидает перед созданием новой контрольной точки. По умолчанию — 24 часа (86400)
- RPLifeInterval— число секунд, в течении которого программа хранит точки восстановления перед их удалением. По умолчанию 90 дней (7776000)
- RPSessionInterval — число секунд, в течении которого ожидает перед созданием новой контрольной точки при включенном компьютере. По умолчанию установлено 0 (выключено), вы можете установить свое значение (например, интервал в один час), чтобы программа создавала контрольные точки через заданный интервал
- ThawInterval — число секунд, в течении которого программа ожидает перед возобновлением своей работы, если появился свободный объем дискового пространства.
Панель переключателя задач
- Отключение панели переключателя задач
Чтобы отключить панель переключателя задач (который выводится по Alt+Tab), надо в разделе
HKCUControl PanelDesktop
присвоить строковому параметру CoolSwitch значение 0 (чтобы включить — значение 1)
- Изменение числа строк и колонок
Чтобы изменить число строк и колонок, показываемое на панели переключателя задач (который выводится по Alt+Tab), надо в разделе
HKCUControl PanelDesktop
отредактировать значения строковых параметров CoolSwitchRows и CoolSwitchColumns соответственно
Всплывающие подсказки
- Описания папок и файлов на Рабочем столе и в Проводнике
Если подвести указатель какому-нибудь элементу рабочего стола или оболочки, то открывается небольшое окно, содержащее текст описания этого элемента. Чтобы запретить появление этих окон, нужно присвоить параметру типа DWORD ShowInfoTip значение 0 в разделе
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
- Всплывающие подсказки на панели задач
Windows XP показывает всплывающие подсказки для начинающих пользователей. Чтобы отключить подсказки, нужно присвоить параметру типа DWORD EnableBalloonTips значение 0 в разделе
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
Пароль после ждущего режима
Можно настроить систему таким образом, чтобы при включении компьютера после Ждущего режима появлялось диалоговое окно с приглашением ввести пароль. Для этого в разделе
HKCUSoftwarePoliciesMicrosoftWindowsSystemPower
создаем параметр типа DWORD PromptPasswordOnResume со значением 1
Автозагрузка
- Что скрывается в автозагрузке?
Существует несколько способов прописать программу в автозагрузку. Самый простой — скопировать программу или ярлык в папку Автозагрузка. Но существует другой способ — через реестр. Этим способом часто пользуются вредоносные программы (вирусы, трояны, шпионы) Сперва откройте раздел
HKLMSoftwareMicrosoftWindowsCurrentVersion.
Найдите там подразделы Run, RunOnce В этих разделах есть строковые ключи (некоторые разделы пустые), отвечающие за запуск программ. Название ключа может быть произвольным, а в качестве значения у них указывается запускаемая программа, если надо — то с параметрами. Обратите внимание на разделы, в названии которых присутствует «Once». Это разделы, в которых прописываются программы, запуск которых надо произвести всего один раз. Например, при установке новых программ некоторые из них прописывают туда ключи, указывающие на какие-нибудь настроечные модули, которые запускаются сразу после перезагрузки компьютера. Такие ключи после своего запуска автоматически удаляются.
Внимательно проверьте, что за программы у вас запускаются. Подумайте, все ли они нужны вам при загрузке и лишнее просто удалите. Это позволит значительно ускорить загрузку Windows. В разделе
HKCUSOFTWAREMicrosoftWindowsCurrentVersion
есть только два подраздела, отвечающие за автозагрузку: Run и Runonce. Изначально они пустые, так что все записи сделаны другими программами
- Запрет на автозагрузку
Существуют способы наложения запрета на автозагрузку программ через записи в реестре, указанные выше. Используются параметры типа DWORD. Все параметры должны храниться в разделе
HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Для запрета запуска программ, прописанных в подразделе Run раздела LOCAL MACHINE используется параметр DisableLocalMachineRun со значением 1. В этом случае система игнорирует содержимое списка Run, находящегося в LOCAL MACHINE.
Аналогично действует запрет списка Run Once для LOCAL MACHINE. За состояние этой политики отвечает параметр DisableLocalMachineRunOnce. Система игнорирует содержимое RunOnce в LOCAL MACHINE.
Для запрета списка Run раздела CURRENT USER используется параметр DisableCurrentUserRun.
Для запрета списка Run Once раздела CURRENT USER используется параметр DisableCurrentUserRunOnce
Контекстное меню панели задач
Если вы хотите запретить контекстное меню панели задач, то откройте раздел
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplоrer
и создайте параметр типа DWORD NoTrayContextMenu со значением 1
Диалоговое окно открытия и сохранения файла
Windows XP имеет новое диалоговое окно «ОткрытьСохранить файл», которое можно изменить по Вашему желанию.
В левой части диалогового окна расположены пять системных папок, которые можно поменять местами или изменить на те, которыми вы часто пользуетесь. Создайте в ветви
HKCUSOFTWAREMicrosoftWindowsCurrentVersionPoliciescomdlg32
раздел «PlacesBar». В нем хранятся имена папок. Как я уже говорил, их пять. И у каждой свой параметр. У первой Place0, у второй Place1, а у пятой Place4. Системные папки имеют значение типа DWORD:
| Название папки | Значение |
| Рабочий стол | 00000000 |
| Мои документы | 00000005 |
| Мои рисунки | 00000027 |
| Мои видеозаписи | 0000000e |
| Мой компьютер | 00000011 |
| Избранное | 00000006 |
| Мое сетевое окружение | 00000012 |
| Шрифты | 00000014 |
| History | 00000022 |
Папки могут быть и обычные, где строковое значение параметра Place указывает путь к папке. Например: Place1=»C:WindowsSystems»
Если вы не используете все пять параметров, а только часть из них, например Place0 и Place1, то в левой части диалогового окна будут отображаться столько же папок
- Старый вид диалогового окна
Чтобы вернуться к старому виду диалогового окна Windows 95/98, создайте строковый параметр NoPlacesBar со значением 1 (или любым другим) в
HKCUSOFTWAREMicrosoftWindowsCurrentVersionPoliciescomdlg32
- Убираем кнопку Назад
Чтобы убрать кнопку Назад из Общего диалогового окна, создайте параметр NoBackButton типа DWORD со значением 1 в
HKCUSOFTWAREMicrosoftWindowsCurrentVersionPoliciescomdlg32
- Списки последних открытых и сохранённых файлов в стандартных окнах открытия и сохранения файлов
Каждый раз, когда мы пользуемся стандартными диалоговыми окнами, то Windows сохраняет список последних открытых и сохранённых файлов в реестре. Порой эти записи слишком разрастаются. Кроме того, возможно вам не хотелось бы оставлять следы своей деятельности на компьютере. Этот список можно безболезненно удалить (или часть записей). Данный список хранится по адресу
HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerComDlg32
Добавление нового пункта в меню «Создать»
Пункт контекстного меню «Создать» появляется, если щелкнуть на Рабочем столе или в Проводнике на свободном месте открытой папки. Существует возможность добавления нового пункта в это меню. Например, если вы веб-дизайнер, то было бы удобно иметь пункт Документ HTML, который позволит вам сразу создать заготовку для вашей странички.
Разобъем работу на несколько этапов. Для начала найдем каталог ShellNew в папке Windows. Там хранятся заготовки для файлов, которые создаются с помощью контекстного меню. Например, если у вас установлен Microsoft Office, то вы увидите в этом каталоге файлы-заготовки для Word и Exce.
Следующий шаг — создайте в папке файл, например index.html. Внутри него напишите шаблон вашей странички. Например, так:
Мой заголовок
Третий этап. Работаем с реестром. Итак, ищем раздел
HKEY_CLASSES_ROOT.html
и создаем раздел ShellNew. В этом разделе создаем строковый параметр FileName в качестве значения которого надо указать имя созданного нами шаблона (index.html). После перезагрузки в контекстном меню появится новый пункт.
Существуют и другие способы. Можно не создавать шаблон файла. Он может быть и пустым, но тогда вместо параметра FileName надо создать пустой строковый параметр NullFile
- Remove From My Forums
-
Question
-
Hello,
This page indicates that when using the Custom Shell, the Shell Launcher will handle the Run, RunOnce, etc. I have configured my image with Command Prompt Shell with
Custom Shell Support.I have the following set up:
HKLMSoftwareMicrosoftWindows EmbeddedEEFShell LauncherShell = «cmd.exe»
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonShell = «explorer.exe» (so the default is the explorer shell)
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionIniFileMappingsystem.inibootShell = «USR:SoftwareMicrosoftWindows NTCurrentVersionWinlogon» (so it will check the shell key below for the logged in user and use that or fallback
to the default above)HKEY_Current_UserSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell = «C:PathToCustomShell.exe»
Whatever I set in HKCUSoftwareMicrosoftWindowsCurrentVersionRun does not run for the user using the custom shell. If I set it for the user that uses the explorer shell it runs.
Am I doing something wrong or is the documentation wrong? I’m trying to run something as that user instead of as a service to avoid permission issues. I appreciate any clarity that you all have on this. Thanks!
Answers
-
Willi,
Thanks for your suggestion. I had tried the eshell.exe there with no luck, but your idea inspired me to revisit all the associated keys and I was able to get it to work.
Ultimately, I ended up with (changes in bold):
HKLMSoftwareMicrosoftWindows EmbeddedEEFShell LauncherShell = «C:PathToCustomShell.exe«
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonShell = «eshell.exe«
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionIniFileMappingsystem.inibootShell = «USR:SoftwareMicrosoftWindows NTCurrentVersionWinlogon» (so it will check the shell key below for the logged in user and use that or fallback
to the default above)HKEY_Current_UserSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell = «explorer.exe» (for any account I want to have the explorer shell,
deleted the key for accounts that use the custom shell)I needed to set the custom shell in EEF instead of in HKCU…WinlogonShell
-
Edited by
Monday, July 31, 2017 7:33 PM
-
Marked as answer by
ProLogic1
Wednesday, August 2, 2017 12:13 PM
-
Edited by
В продолжение серии статей о вирусах и последствиях борьбы с ними, хочу рассказать что делать, если вместо рабочего стола Windows вы видите пустой экран или загружается проводник. Рассмотрим случай, когда после загрузки видим пустой рабочий стол, без меню «Пуск», значков и вообще всего нажитого непосильным трудом – одни обои, если они были.
Запускаем рабочий стол Windows вручную
Для начала пробуем запустить рабочий стол вручную. Жмем три волшебных кнопки Ctrl+Alt+Del для вызова диспетчера задач (подразумевается, что он не заблокирован. В противном случае читайте как разблокировать диспетчер задач вручную или с помощью утилиты AVZ.)
В Диспетчере задач идем Файл -> Новая задача (Выполнить…) и там пишем explorer.exe или просто explorer. Как известно это не только проводник, но также является рабочим столом Windows.
Результатом данного действа может быть ваш любимый рабочий стол (что и требовалось), либо окно проводника (чего никак не ожидали увидеть).
Вместо рабочего стола загружается проводник
Теперь рассмотрим случай, когда при загрузке вместо рабочего стола загружается окно проводника Windows. Первым делом запускаем редактор реестра, так же как запускали проводник, только вместо explorer пишем regedit.
Переходим в ветку реестра:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
Нас интересуют ключи Shell, UIHost и Userinit, в которых должны быть строго такие значения (подразумевается, что Windows установлена на диске С:):
Shell — explorer.exe UIHost — logonui.exe Userinit — C:WINDOWSsystem32userinit.exe,
Переходим в следующую ветку реестра:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
И если находим в данной ветке ключ Shell, безжалостно его уничтожаем.
Ищем и удаляем, если есть такие ветки:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe]
Так же не плохо проверить папку «Documents and Settings<Ваша учетная запись>Рабочий стол» и удалить там файлы desktop.ini и folder.htt
Выполнив эти действия, вы в 99% восстановите свой рабочий стол. Возможно это не полный перечень действий, и найдутсяе какие-то дополнительные варианты решения проблемы. Буду рад, если вы напишите об этом.
Подписывайтесь на канал
Яндекс.Дзен
и узнавайте первыми о новых материалах, опубликованных на сайте.