Итак, какие же разделы нужно блокировать и какие действия запрещать? Вот несколько примеров:
О Разрешите только чтение
После блокировки значений все же можно позволить приложениям и Windows их считывать, поставив флажок в столбце Запретить напротив строк Задание значения, Удаление и Смена владельца, как показано на рис. 3.11.
О Создайте полную блокировку
Чтобы ни одно приложение не могло считывать, видоизменять или удалять значение, поставьте флажок в столбце Запретить напротив строки Полный доступ.
О Избегайте создания новых оболочек
Чтобы приложения не создавали новые разделы внутри указанных, поставьте флажок в столбце Запретить напротив строки Создание подраздела. Так можно поступить с разделами типа файла, чтобы Проводник не добавлял эти приложения в список Создать.
О Укрепите безопасность на многопользовательских компьютерах
Чтобы другой пользователь не смог изменить политику безопасности, используйте процедуру, описанную в разделе «Расположение раздела настроек реестра», чтобы найти соответствующий раздел в реестре. Затем, вместо того чтобы поставить флажок в столбце Запретить, как это описано ранее, отмените все права доступа, которые позволяют кому-либо, кроме администратора, удалять, изменять или добавлять подразделы в раздел. Убедитесь, что существует по крайней мере одно правило для группы Администраторы (или для собственного аккаунта), которое разрешает Полный доступ.
О Блокировка типов файла
Утилита File Type Doctor позволяет блокировать типы файлов, чтобы избежать «кражу» их приложениями.
О Защита типов файлов от свойства UserChoice
Как описано во врезке «Зло переопределения UserChoice» на с. 169, Windows проигнорирует настройки пользовательского типа файла, если определенный раздел находится в HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\FileExts разделе. Чтобы такое не случилось снова, поставьте флажок в столбце Запретить напротив строки Создание подраздела. Это сразу же защитит все ваши типы файла, но еще необходимо будет удалить один или более из существующих элементов в разделе FileExts для восстановления индивидуальных типов файла. Подробнее об этом в разделе «Сопоставление типов файлов».
Резервное копирование реестра
В некотором смысле реестр Windows — слабое звено в стабильности и устойчивости операционной системы. Его удивительно легко повредить, но очень трудно восстановить. И если вы не создадите собственную резервную копию, вам будет нелегко восстановить реестр в случае повреждения (в отличие от, скажем, DLL, которые можно взять непосредственно с установочного диска Windows). Испорченный реестр может привести к сбоям в работе Windows или вообще стать препятствием к запуску Windows.
