Параметр default = определяет путь к загружаемой по умолчанию системе, может указываться в меню «Загрузка системы». В разделе [operation systems] находятся сведения об установленных операционных системах.
Строение файла BOOT.INI в простейшем случае, с одной операционной системой на диске ПК Intel х86 приведен в Приложении 4.
Настройка автоматически выполняемых программ
Одна из типичных проблем, связанных с производительностью, это запуск большого числа программ в процессе загрузки Windows XP. В результате работа операционной системы существенно замедляется.
В процессе установки программа может быть запущена автоматически следующими способами:
1. Добавление в папку Автозагрузка для данного пользователя
2. Добавление в папку Автозагрузка для всех пользователей
3. Ключ Run (компьютера) Ключреестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run
4. Ключ Run (пользователя) Ключреестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run
5. Папки Планировщика задач
6. Win.ini. Программы, предназначенные для 16-разрядных версий Windows могут добавить строки типа Load= и Run= этого файла
7. Ключи RunOnce и RunOnceEx. Группа ключей реестра, содержащая список программ, выполняемых однократно в момент запуска компьютера. Эти ключи могут относиться и к конкретной учетной записи данного компьютера HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
8. Групповая политика. Содержит две политики (с именами Запуск программ при входе пользователя в систему). Находятся в папках Конфигурация компьютера → Конфигурация Windows → Административные шаблоны → Система → Вход в систему (Computer configuration → Administrative Templates →System → Logon) и Конфигурация пользователя → Конфигурация Windows → Административные шаблоны → Система → Вход в систему (User configuration → Administrative Templates → System → Logon)
9. Сценарии входа в систему. Настраиваются Групповая политика: Конфигурация компьютера → Конфигурация Windows → Сценарии и Конфигурация пользователя → Конфигурация Windows → Сценарии (входа в систему и выхода из системы)
Для настройки списка автоматически вызываемых программ в состав Windows XP входит утилита Настройка системы (System Configuration Utility) Msconfig.exe, которая позволяет вывести список всех автоматически загружаемых программ.
Настройка реестра
Реестр Windows содержит несколько ключей, которые позволят настроить оптимальную работу Windows с памятью. Открыв [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ ControlSessionManager\MemoryManagement]:ClearPageFileAtShutdown – возможность стирать файл подкачки при выходе из Windows (опция доступна так же в разделе локальной безопасности), при включении приведет к большим задержкам перед перезагрузкой, значение желательно оставить как есть =0.
DisablePagingExecutive – запрещает записывать в файл подкачки код (драйверы.exe-файлы), и требует оставлять их всегда в физической памяти, если объем памяти больше 256MB установка значения 1 может существенно ускорить работу системы.
LargeSystemCache – этот параметр мы изменяли в Memory usage (см выше).
SecondLevelDataCache – для тех, кто использует старый процессор (до Pentium 2) можно установить размер вашего кэша процессора, значение по умолчанию =0 соответствует 256KB.
Отключение POSIX: Отключение этой не используемой подсистемы может несколько увеличить скорость работы. Чтобы не возиться с удалением файлов и с отключением для этой цели файловой защиты Windows XP откройте [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ ControlSessionManager\SubSystems] Удалите строки Optional и Posix.
Автоматическая перезагрузка при отказе системы
При отказе системы можно включить автоматическую перезагрузку. Для этого:
· Выбрав Мой компьютер и нажав на нем правой клавишей мыши
· Выбрав вкладку Дополнительно
· В разделе Загрузка и восстановление нажав кнопку Параметры
· Ставим галочку около пункта Выполнить автоматическую перезагрузку в разделе Отказ системы (Приложение 1, рис. 14).
Лекция 4. Настройка системы безопасности Windows XP
Установка разрешения из командной строки
Утилита командной строки cacls.exe доступна в Windows XP Professional позволяет просматривать и изменять разрешения файлов и папок. Cacls – сокращение от Control ACLs – управление списками управления доступом. Ключи командной строки утилиты cacls (Приложение 2, табл. 1)
С ключами /G и /P нужно использовать одну их перечисленных ниже букв (вместо слова разрешение):
· F (полный доступ) – эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность.
· C (изменить) – тождественно установке флажка Разрешить Изменить (Modify)
· R (чтение) – эквивалентно установке флажка Разрешить Чтение и выполнение (Read & Execute)
· W (запись) – равнозначно установке флажка Разрешить запись (Write)
Microsoft Windows XP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System – EFS) шифрует файлы на диске. Однако, слудует иметь ввиду, что если вы утеряете ключ для расшифровки, данные можно считать утерянными. Поэтому если вы решите воспользоваться преимуществанми EFS необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления.
Если вы предпочитаете работать с командной строкой, то можете воспользоваться программой cipher.exe. Команда cipher без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). В (Приложение 2, табл. 2) приведен список наиболее часто используемых ключей команды cipher.
Устранение проблем с разрешениями
Агент восстановления данных
Агентом восстановления данных (Data Recovery Agent) назначается обычно администратор. Для создания агента восстановления нужно сначала создать сертификат восстановления данных, а затем назначить одного из пользователей таким агентом.
Чтобы создать сертификат нужно сделать следующее:
1. Нужно войти в систему под именем Администратор
2. Ввести в командной строке cipher /R: имя файла
3. Введите пароль для вновь создаваемых файлов
Файлы сертификата имеют расширение.PFX и.CER и указанное вами имя.
ВНИМАНИЕ эти файлы позволяют любому пользователю системы стать агентом восстановления. Обязательно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.
Для назначения агента восстановления:
1. Войти в систему под учетной записью, которая должна стать агентом восстановления данных
2. В консоли Сертификаты перейдите в раздел Сертификаты – Текущий пользователь «Личные (Current User» Personal)
3. Действие «Все задачи» Импорт (Actions «All Tasks» Import) для запуска мастера импорта сертификатов
4. Проведите импорт сертификата восстановления
При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы.
Краткие рекомендации по шифрованию:
1. Зашифруйте все папки, в которых вы храните документы
2. Зашифруйте папки % Temp% и % Tmp%. Это обеспечит шифрование всех временных файлов
3. Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней впоследствии файлы, что оказывается важным при работе с программами, создающими свои копии файлов при редактировании, а затем перезаписывающими копии поверх оригинала
4. Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера
5. Экспортируйте личные сертификаты шифрования всех учетных записей
6. Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.
7. При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться
8. Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows
Конструктор шаблонов безопасности
Шаблоны безопасности являются обыкновенными ASCII – файлами, поэтому теоретически их можно создавать с помощью обыкновенного текстового редактора. Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a в этой консоли выбрать меню File – Add/Remove. Вдиалоговомокне Add Standalone Snap-in выбрать Security Templates – Add.
Управление оснасткой
Шаблоны безопасности расположены в папке \%systemroot%\security\templates. Количество встроенных шаблонов изменяется в зависимости от версии операционной системы и установленных пакетов обновлений.
Если раскрыть любую папку в Security Templates, то в правой панели будут показаны папки, которые соответствуют контролируемым элементам:
· Account Policies – управление паролями, блокировками и политиками Kerberos
· Local Policies – управление параметрами аудита, пользовательскими правами и настройками безопасности
· Event Log – управление параметрами системного журнала
· Restricted Groups – определение элементов различных локальных групп
· System Services – включение и отключение служб и присвоение права модификации системных служб
· Registry – назначение разрешений на изменение и просмотр разделов реестра
· File System – управление разрешениями NTFS для папок и файлов
4.2.3. Защита подключения к Интернет
Для обеспечения безопасности при подключении к Интернет необходимо:
· Активизировать брандмауэр подключения к Интернет (Internet Connection Firewall) или установить брандмауэр третьих фирм
· Отключить Службу доступа к файлам и принтерам сетей Microsoft
Брандмауэром подключения к Интернет называется программный компонент, блокирующий нежелательный трафик. Если у вас на компьютере не установлен FireWall, то настоятельно рекомендуется включить брандмауэр, т. к. он защищает компьютер от несанкционированного доступа.
(Панель управления – Сетевые подключения – Свойства соединения, которое вы хотите защитить – пункт Свойства – вкладка Дополнительно).
3. Методическое обеспечение лабораторных занятий по теме «Установка и настройка WindowsXP на рабочей станции»
Лабораторная работа №1. Установка ОС (на чистый диск)