Дослідження та захист реєстру операційної системи Windows ХР

Забезпечення безпеки за допомогою моніторингу системи.

Програма «Перегляд подій» використовується для перегляду подій, записаних у журналах додатків, безпеки й системи. У журналах подій засобу перегляду подій відображають відомості про неполадки устаткування, додатків і системи. Можна вести спостереження за подіями системи безпеки.

Спостереження за продуктивністю системи є важливою складовою частиною системи обслуговування й адміністрування операційною системою. Дані про продуктивність використовуються для:

– визначення завантаження системи й ефективності використання ресурсів системи;

– виявлення змін і тенденцій у робочому навантаженні й використанні ресурсів для планування майбутньої модернізації;

– перевірки змін конфігурації й інших способів настроювання;

– діагностики неполадок і кінцевих компонентів або процесів з метою оптимізації.

Компоненти «Системний монітор» і «Журнали й оповіщення продуктивності» надають докладні відомості про ресурси, використовувані конкретними об'єктами операційної системи й програмами, призначеними для збору даних. Дані про продуктивність відображаються у вигляді діаграм. Крім того, дані записуються в журнали. Компонент «Оповіщення» дозволяє відправити користувачам повідомлення, коли значення лічильника досягне, перевищить або впаде нижче заданого граничного значення.

Консоль «Продуктивність» включає наступні засоби:

– системний монітор;

– журнали й оповіщення продуктивності;

– диспетчер завдань.

У редактора реєстру є ключ /e, що дозволяє автоматично зберігати в reg-файлі певний розділ реєстру. Це може знадобитися, коли потрібно зберегти настроювання певної програми, наприклад, при щоденному резервному копіюванні. Експорт може бути здійснений як з командного рядка, так і з пакетного файла. Наступна команда зберігає ключ реєстру HKEY_CURRENT_USER\Software\Far у файл far.reg

regedit /e c:\far.reg HKEY_CURRENT_USER\Software\Far

У результаті роботи цієї команди з кореня диска С:\\ буде створений файл far.reg, що містить всі підрозділи й параметри зі значеннями зазначеного розділу реєстр. Для того, щоб відновити всі настроювання, буде досить запустити цей файл.

Для автоматизації збереження ключів реєстр можна написати пакетний файл, що буде запускатися «Планувальником» у певний час.

У реєстрі можуть зберігатися дані семи типів:

REG_BINARY зберігає довільні двійкові дані, без переформатування й синтаксичного розбору. Ці дані можна переглядати у двійковому або шістнадцятирічному виді за допомогою редактора реєстру.

REG_DWORD зберігає параметри, представлені восьмибайтними цілими числами. Цей тип даних звичайно застосовується, коли параметр позначає лічильник або інтервал. Ще одне його застосування як флаг (0 - флаг знятий, 1 - встановлений).

REG_SZ являє собою звичайний рядок у кодуванні Unicode будь-якої довжини. В цьому типі даних зберігається інформація, яка буде читатися користувачем, шляхи доступу, назви пристроїв.

REG_EXPAND_SZ - вид REG_SZ, використовується додатками для зберігання конструкцій виду %SystemRoot%\System32, наприклад. При читанні цього рядка Windows заміняє %SystemRoot% на ім'я папки, куди вона встановлена.

REG_MULTI_SZ являє собою набір довільної кількості параметрів типу REG_SZ. У цьому типі даних зберігається, наприклад, список IP-адрес, призначених мережному інтерфейсу.

REG_FULL_RESOURCE_DESCRIPTOR застосовується для кодування інформації про системні ресурси, необхідні для якого-небудь із пристроїв.

REG_NONE служить як семафор, тобто параметр існує, але не містить ніякого значення. Деякі додатки перевіряють наявність цього параметра й, виходячи з результату перевірки, виконують або не виконують дію.