Безопасность раздела реестра и права доступа

  • Статья

Модель безопасности Windows позволяет управлять доступом к разделам реестра. Дополнительные сведения о безопасности см. в разделе Модель управления доступом.

Дескриптор безопасности для раздела реестра можно указать при вызове функции RegCreateKeyEx или RegSetKeySecurity. Если указать значение NULL, ключ получает дескриптор безопасности по умолчанию. Списки управления доступом в дескрипторе безопасности по умолчанию для ключа наследуются от его прямого родительского ключа.

Чтобы получить дескриптор безопасности раздела реестра, вызовите функцию RegGetKeySecurity, GetNamedSecurityInfo или GetSecurityInfo .

Допустимые права доступа для разделов реестра включают стандартные права доступа DELETE, READ_CONTROL, WRITE_DAC и WRITE_OWNER. Разделы реестра не поддерживают стандартное право доступа SYNCHRONIZE.

В следующей таблице перечислены конкретные права доступа для объектов разделов реестра.

Значение Значение
KEY_ALL_ACCESS (0xF003F)
 Объединяет права доступа STANDARD_RIGHTS_REQUIRED, KEY_QUERY_VALUE, KEY_SET_VALUE, KEY_CREATE_SUB_KEY, KEY_ENUMERATE_SUB_KEYS, KEY_NOTIFY и KEY_CREATE_LINK.
KEY_CREATE_LINK (0x0020)
 Зарезервировано для системного использования.
KEY_CREATE_SUB_KEY (0x0004)
 Требуется для создания подраздела раздела реестра.
KEY_ENUMERATE_SUB_KEYS (0x0008)
 Требуется для перечисления подразделов раздела реестра.
KEY_EXECUTE (0x20019)
 Эквивалентно KEY_READ.
KEY_NOTIFY (0x0010)
 Требуется для запроса уведомлений об изменениях для раздела реестра или подразделов раздела реестра.
KEY_QUERY_VALUE (0x0001)
 Требуется для запроса значений раздела реестра.
KEY_READ (0x20019)
 Объединяет значения STANDARD_RIGHTS_READ, KEY_QUERY_VALUE, KEY_ENUMERATE_SUB_KEYS и KEY_NOTIFY.
KEY_SET_VALUE (0x0002)
 Требуется для создания, удаления или задания значения реестра.
KEY_WOW64_32KEY (0x0200)
 Указывает, что приложение в 64-разрядной версии Windows должно работать в 32-разрядном представлении реестра. Этот флаг игнорируется 32-разрядной версией Windows. Дополнительные сведения см. в разделе Доступ к альтернативному представлению реестра.
Этот флаг необходимо объединить с помощью оператора OR с другими флагами в этой таблице, которые запрашивают или получают доступ к значениям реестра.
Windows 2000: Этот флаг не поддерживается.
KEY_WOW64_64KEY (0x0100)
 Указывает, что приложение в 64-разрядной версии Windows должно работать в 64-разрядном представлении реестра. Этот флаг игнорируется 32-разрядной версией Windows. Дополнительные сведения см. в разделе Доступ к альтернативному представлению реестра.
Этот флаг необходимо объединить с помощью оператора OR с другими флагами в этой таблице, которые запрашивают или получают доступ к значениям реестра.
Windows 2000: Этот флаг не поддерживается.
KEY_WRITE (0x20006)
 Объединяет права доступа STANDARD_RIGHTS_WRITE, KEY_SET_VALUE и KEY_CREATE_SUB_KEY.

При вызове функции RegOpenKeyEx система проверяет запрошенные права доступа по дескриптолю безопасности ключа. Если у пользователя нет правильного доступа к разделу реестра, операция открытия завершится ошибкой. Если администратору требуется доступ к разделу, решение заключается в том, чтобы включить привилегию SE_TAKE_OWNERSHIP_NAME и открыть раздел реестра с WRITE_OWNER доступом. Дополнительные сведения см. в разделе Включение и отключение привилегий.

Вы можете запросить ACCESS_SYSTEM_SECURITY право доступа к разделу реестра, если хотите прочитать или записать системный список управления доступом ключа (SACL). Дополнительные сведения см. в разделах Списки управления доступом (ACL) и Права доступа saCL.

Чтобы просмотреть текущие права доступа к разделу, включая предопределенные ключи, используйте редактор реестра (Regedt32.exe). Перейдя к нужной клавише, перейдите в меню Правка и выберите Разрешения.