Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Обучение от Mail.Ru Group.
Онлайн-университет
для программистов с
гарантией трудоустройства.
Набор открыт!

2004 г.

Установка и настройка Windows XP на рабочей станции

Безмалый В.Ф., Безмалая Е.В.
http://www.zahist.kiev.ua
Опубликовано: www.bezpeka.com

Оглавление

Введение
Установка ОС

Установка необходимых обновлений
Настройка Windows XP
Автоматическая перезагрузка при отказе системы
Вывод
Настройка системы безопасности Windows XP
Заключение

Приложение 1. Утилиты третьих фирм для управления патчами
Приложение 2. Ссылки
Приложение 3. Имена служб Windows XP

Литература

Введение

На сегодня в большинстве организаций в качестве операционных систем для рабочих станций применяются операционные системы семейства Windows. При этом все большее распространение получает ОС Windows XP Professional (в этой статье мы не будем рассматривать Windows XP Home Edition в связи с ее домашним предназначение, хотя большинство рассмотренного будет касаться обеих систем).

Установка ОС

Итак, вы решили установить ОС Windows XP. Для корректной установки рекомендуется создать загрузочный диск с предустановленным Service Pack 1 (тогда вы потратите куда меньше времени на установку). Описывать собственно процесс установки нет особого смысла, так как, я думаю, что у вас есть большой опыт в такого рода работе.

Параметры установки Windows XP

Запустить установку Windows XP можно:

  • Из-под MS-DOS с помощью файла winnt.exe (в каталоге I386)
  • Из-под Windows с помощью файла winnt32.exe (в каталоге I386)

Набор параметров командной строки у этих двух программ различен.

Параметры winnt.exe таковы:

  • /? Вызов справки
  • /a использование специальных средств для людей с ограниченными возможностями
  • /e задает команду, выполняемую по окончании графической стадии установки ОС
  • /r включает создание папки в каталоге Windows, которая остается после установки ОС
  • /rx включает создание временной папки в каталоге Windows, которая будет удалена по окончании инсталляции
  • /s указывает путь к дистрибутиву Windows. Применяется при установке с сервера сети
  • /t задает диск для временных файлов. Если этот параметр отсутствует, то используется диск, на котором больше свободного места
  • /u:файл_ответов задает файл ответов для программы установки Windows
  • /udf:id[,UDF_файл] указывает идентификатор ID, с помощью которого программа установки Windows определяет значения в UDF_файле (Uniqueness Database File) для модификации файла ответов каждого компьютера при установке системы на множество ПК. Если не указан UDF_файл, то система потребует дискету с файлом при $Unique$.udb

Параметры командной строки winnt32.exe:

  • /? Справка о программе
  • /checkupgradeonly производится проверка возможности обновления текущей версии Windows. По окончании проверки будет сгенерирован отчет о возможности установки новой ОС
  • /cmd:command_line задает команду, которая должна быть выполнена во время завершающей стадии установки ОС
  • /cmdcons установить консоль восстановления системы и добавить ее вызов в загрузочное меню. Инсталляция ОС не производится
  • /copydir:i386\folder_name создание дополнительной папки с именем папки в каталоге Windows
  • /copysource:folder_name создание временной папки в каталоге Windows, по окончании инсталляции папка будет удалена
  • /debug[level]:[filename] включает протокол отладки (по умолчанию C:\systemroot\Winnt32.log) с заданным уровнем (по умолчанию - 2; "0" -критические ошибки, "1" - обычные ошибки, "2" - предупреждения, "3" - информацию, "4" - детальная информация для отладки)
  • /dudisable препятствует выполнению динамического обновления (файлы Update Microsoft Windows). Инсталляция выполняется только с первоначальными установками
  • /duprepare:pathname выполняет модификацию инсталляционного ресурса таким образом, чтобы использовать динамические файлы модификации с сайта Windows Update
  • /dushare:pathname определяет ресурс, на котором расположены файлы обновлений
  • /m:folder_name во время установки копируются файлы из дополнительной папки и если они присутствуют, то используются вместо файлов из заданной по умолчанию папки
  • /makelocalsource указывает программе установки на необходимость скопировать все файлы на локальный жесткий диск. Используется в том случае, если компакт-диск может быть недоступен в процессе установки
  • /noreboot отключает автоматическую перезагрузку после копирования файлов
  • /s:sourcepath указывает размещений файлов установки Windows XP (обычно на сервере)
  • /syspart:drive_letter позволяет скопировать файлы установки на жесткий диск, сделать его активным, перенести на другой компьютер и продолжить установку на этом компьютере. Должен использоваться вместе с ключом /tempdrive
  • /tempdrive:drive_letter используется вместе / syspart для указания основного раздела, предназначенного для размещения файлов и последующей установки Windows XP
  • /udf:id [,UDB_file] задает файл базы данных уникальности, модифицирующий файл ответов
  • /unattend обновляет предыдущую версию Windows в автоматическом режиме. Все пользовательские настройки берутся из предыдущей инсталляции
  • /unattend[num]:[answer_file] указывается при автоматизированной установке. Имя файла можно опустить, если используется файл Unattend.txt (по умолчанию)
Преобразование файловой системы

Чтобы преобразовать диск из FAT (FAT32) в NTFS, воспользуйтесь утилитой Convert. Синтаксис команды

CONVERT том: /FS:NTFS [/V] [/CvtArea:имя_файла] [/NoSecurity] [/X]

  • том - определяет букву диска (с последующим двоеточием) точку подключения или имя тома.
  • /FS:NTFS Конечная файловая система: NTFS.
  • /V Включение режима вывода сообщений.
  • /CVTAREA:имя_файла Указывает непрерывный файл в корневой папке для резервирования места для системных файлов NTFS.
  • /NoSecurity Параметры безопасности для преобразуемых файлов и папок будут доступны для изменения всем.
  • /X Принудительное снятие этого тома (если он был подключен). Все открытые дескрипторы этого тома станут недопустимыми.

Если в вашей организации используется большое количество компьютеров, то необходимо продумать процесс автоматизации установки ОС.

Существует два возможных варианта автоматизации процесса установки:

  1. Автоматизированная установка. В этом случае используется пакетный файл и сценарий (называемый файлом ответов 1), благодаря этому отключаются запросы операционной системы, а необходимые данные выбираются из файлов ответов автоматически. Существует пять режимов автоматической установки.
  2. Копирование диска (клонирование). В этом случае запускается утилита подготовки системы к копированию (Sysprep.exe), которая удаляет идентификатор безопасности (Security Identifier - SID). Затем диск копируется с помощью программы клонирования дисков, например Ghost (Symantec) (http://www.symantec.com/ghost) или Drive Image (Power Quest) (http://www.powerquest.com/driveimage). После копирования будет выполнена "сжатая" процедура установки (5-10 минут)2.

Вы установили операционную систему, однако самая тяжелая и продолжительная часть работы еще впереди.

Установка необходимых обновлений

Не взирая на то, что, согласно документации, установка ОС занимает около 1 часа, на самом деле установка, настройка, установка всех критических патчей (обновлений) займет у вас по меньшей мере 4-5 часов (это при условии, что все патчи уже есть у вас на жестком диске или CD-ROM и вам не нужно вытягивать их из Internet).

Итак, вы установили операционную систему. Для дальнейшей установки патчей у вас есть два пути:

  1. Воспользоваться службой автоматического обновления Windows Update. Этот путь достаточно хорошо описан в литературе и не требует никаких усилий со стороны программиста. Однако, предположим, что в вашей организации хотя бы 20 компьютеров. Таким образом, вам придется 20 раз воспользоваться этой службой. Если учесть, что объем необходимых патчей составляет на сегодня около 40Мб, то вам придется вытянуть из сети 20*40=800Мб за один раз и в дальнейшем вам необходимо тянуть патчи на каждый компьютер раздельно. Это не самый лучший способ, однако если у вас быстрый канал и ваше руководство не против выбрасывать таким способом деньги, то вам подходит этот путь. Но учтите, что при переустановке ОС вам придется все вытягивать заново3.
  2. Воспользоваться каким-то сканером безопасности для поиска необходимых патчей (обновлений). Для примера рассмотрим бесплатный сканер Microsoft Base Security Analyzer (в данной статье не будет подробно рассматриваться вопрос о методах работы с данным сканером). Данный сканер можно бесплатно загрузить с сайта Microsoft из раздела TechNet.4 . До начала тестирования необходимо будет извлечь файл Mssecure.xml файл из http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab Файл Mssecure.xml должен быть помещен в ту же папку, в которой развернут Microsoft Base Security Analyzer

Результатом сканирования будет перечень необходимых патчей, который вы должны будете установить на вашем компьютере.

Рис.1 Результаты сканирования Microsoft Base Security Analyzer

Недостатком данного сканера является то, что он не указывает, какие конкретно обновления вам нужны, а рекомендует обратиться к странице Windows Update, что далеко не всегда удобно. Особенно в том случае, если вы уже вытягивали патчи из Интернета.

В таком случае гораздо удобнее применять коммерческие сканеры безопасности типа LAN Guard Network Scanner или XSpider. Рассмотрим более подробно LAN Guard Network Scanner.

Этот сканер предназначен для поиска уязвимостей в компьютерных сетях не только на базе Windows. Однако, в нашем случае, можно легко воспользоваться ним для поиска уязвимостей на отдельном компьютере. Вам будет рекомендовано посетить конкретные страницы бюллетеня безопасности от Microsoft (рис. 2)

Рис. 2 Результат работы LAN Guard Network Scanner

В таком случае гораздо проще устанавливать обновления и появляется возможность узнать для решения какой уязвимости создано данное обновление.

Анализ процесса установки патчей приведен на рис.3

Рис3. Процесс управления установкой обновлений

Стоит исследовать эти шаги подробнее:

  • Анализ. Посмотрите на текущую среду и потенциальные угрозы. Определите патчи, которые вы должны инсталлировать, чтобы сократить количество угроз вашей среде.
  • План. Установите, какие патчи надо инсталлировать, чтобы сдерживать потенциальные угрозы и обнаруженные вами уязвимые места. Определитесь, кто будет осуществлять тестирование и инсталляцию, и какие шаги нужно сделать.
  • Тестирование. Просмотрите доступные патчи и разделите их на категории для вашей среды.
  • Инсталляция. Инсталлируйте нужные патчи, чтобы защитить вашу среду.
  • Мониторинг. Проверьте все системы после инсталляции патчей, чтобы удостовериться в отсутствии нежелательных побочных эффектов.
  • Просмотр. Важной частью всего процесса является тщательный просмотр новых изданных патчей, вашей среды, и выяснение, какие из патчей нужны вашей компании. Если во время просмотра вы обнаружите, что необходимы новые патчи, начните снова с первого шага.

Примечание: Настоятельно рекомендуется сделать резервную копию всей рабочей системы до инсталляции патчей.

Проверка среды на предмет недостающих патчей

Так как это непрерывный процесс, вам нужно убедиться в том, что ваши патчи соответствуют последним установкам. Рекомендуется постоянно следить за тем, чтобы иметь новейшую информацию о патчах. Иногда выпускается новый патч, и вам необходимо установить его на всех станциях. В других случаях в сети появляется новая станция, и на ней нужно установить все необходимые обновления. Вам следует продолжать проверять все ваши станции, чтобы убедиться в том, что на них установлены все необходимые новейшие патчи. Вообще, вопрос установки патчей далеко не так прост, как кажется на первый взгляд и полное рассмотрение этого вопроса выходит за пределы нашей статьи.

Следует учесть, что иногда после установки последующего патча необходимо переустановить предыдущий. В частности в нашей практике такое встречалось неоднократно.

Итак, предположим, что все патчи установлены и ваша система не имеет дырок, связанных с их отсутствием. Учтите, что это состояние только на текущий момент времени, завтра возможно вам придется устанавливать новые патчи. Этот процесс, увы, беспрерывен.

Следующим шагом в вашей работе будет настройка операционной системы.

Настройка Windows XP5

Встроенная оптимизация Windows XP.

Самое интересное, что оптимизация в Windows XP производится постоянно. По мере того, как вы запускаете приложения, Windows XP наблюдает за вашим поведением и записывает динамический файл layout.ini. Каждые три дня, после того, как система сочтет компьютер бездействующим, она изменяет физическое местоположение некоторых программ на жестком диске для оптимизации их времени запуска и выполнения.

Windows XP также ускоряет процесс загрузки системы и оптимизирует запуск программ с помощью предсказаний. Windows XP наблюдает за кодом и программами, которые запускаются сразу после загрузки, и создает список, позволяющий предсказать запрашиваемые данные во время загрузки. Точно также при запуске отдельных программ, Windows XP следит за используемыми программой компонентами и файлами. В следующий запуск приложения Windows XP предсказывает список файлов, которые потребуются программе.

Предсказания используются и в ядре Windows XP, и в планировщике задач. Ядро следит за страницами, к которым обращается данный процесс сразу же после его создания. Далее служба создает ряд инструкций предсказания. Когда процесс будет создан в следующий раз, ядро выполнит инструкции предсказания, ускорив выполнение процесса.

Оптимизация диска и ускорение запуска приложений/загрузки тесно работают вместе. Списки, записанные при запуске приложения и при загрузке системы, используются при выполнении оптимизации файловой системы для более быстрого доступа к программам.

Однако можно для оптимизации процесса загрузки использовать бесплатную утилиту BootVis, производства компании Microsoft 6. Рабочее окно программы приведено на рис. 4

Рис.4 Рабочее окно программы Boot Vis

Настройка выключения компьютера

Причиной того, что Windows XP выгружается (выключается) слишком долго, в большинстве случаев является неправильное завершение некоторых процессов. В этом случае система ожидает в течение заданного интервала времени. Этот интервал задается параметром реестра WaitToKillServiceTimeout который находится в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control. Значение этого ключа задается в миллисекундах. По умолчанию, это время равно 20000. Исходя из нашего опыта, следует установить его равным 5000, что означает 5 секунд. Не следует устанавливать его меньше, так как в этом случае система будет выгружать программы ранее, чем они смогут сохранить свои данные.

Ускорение графики.
Иконки и обои.

Чистый рабочий стол - это самый лучший рабочий стол. Никогда не ставьте обои! Более странного поступка трудно себе представить. Системной памяти и процессору наверняка найдется лучшее применение, чем играться с красивым фоном и сортировать сотни иконок. Как и в предыдущих версиях Windows XP, чрезмерное количество иконок и обои требуют большого расхода системной памяти. Особенно тяжелым бременем на систему ложится анимированный рабочий стол.

С другой стороны, удар по производительности не слишком велик, если ваша система оснащена более 256 Мб памяти и нормальным процессором (где-то 1000 MHZ или быстрее). Если же у вас 64 Мб памяти и Pentium 2, то здесь придется серьезно экономить, отключая все, что только возможно.

Память

В опции Memory Usage при установленном размере физической памяти 256 Мб и выше отметьте параметр System Cash. Если памяти на компьютере меньше 256 Мб, то система будет работать быстрее при установленном значении Programs. Реестр Windows содержит несколько ключей, которые позволят настроить оптимальную работу Windows с памятью:

ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management:

ClearPageFileAtShutdown - возможность стирать файл подкачки при выходе из Windows (доступен из локальной политики безопасности). По умолчанию равен 1, что соответствует безопасным настройкам, можно поставить равным 0, что обеспечит максимальное быстродействие при перезагрузке, однако снизит безопасность.

DisablePagingExecutive - запрещает записывать в файл подкачки код (драйвера и т.д.) и требует оставлять их всегда в физической памяти. По умолчанию равен 0. Если у вас объем памяти больше 256 Мб, то рекомендуется присвоить значение 1, что ускорит работу.

Отключаем функцию Prefetch для компьютеров с малым количеством оперативной памяти

На компьютерах с объемом оперативной памяти менее 128 Мб (хотя мы рекомендуем не менее 256 Мб), функция Prefetch может вызвать замедление работы системы, поэтому необходимо ее отключить 7. Для отключения функции Prefetch необходимо в реестре в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters выбрать параметр EnablePrefetcher и установить значение, равное 0.

Удаляем файлы prefetch автоматически

Для этого создаем командный файл (*.bat) следующего содержания:

del c:\Windows\Prefetch\*.* /Q

В случае, если ваша папка находится не на диске С: то смените имя диска.

Очистка этой папки ускорит быстродействие вашей системы.8

Уменьшаем время загрузки приложений

Корпорация Microsoft создала параметр, который позволяет ускорить загрузку приложений. Для этого достаточно добавить в свойствах программы ключ /prefetch:1

Правой клавишей мыши нажмите на ярлыке нужной программы и выберите из меню пункт "Свойства"

В строке "Объект" после указания пути к файлу добавьте /prefetch:1 (пробел перед ключом обязателен).

Рис. 5 Добавление параметра

Ядро:

Чтобы процесс закрытия зависшего приложения проходил быстрее необходимо изменить параметр HungAppTimeout в ветке HKEY_CURRENT_USER\Control Panel\Desktop (по умолчанию значение ключа составляет 5000 миллисекунд). Рекомендуемое значение 2000мс. Тут же есть параметры WaitToKillServiceTimeout и WaitToKillAppTimeout, определяющие время ожидания до закрытия зависшей службы или приложения соответственно (значения по умолчанию составляет 20000мс). Рекомендуемое значение 5000мс.

Ключ AutoEndTasks (по умолчанию 0), разрешает системе автоматическое закрытие зависших приложений. При этом, значение его устанавливаем равным 1.

Следует учесть, что при установке значений ниже рекомендуемых, можно столкнуться с проблемой в виде не вовремя снятого приложения или службы.

Нажатие на файл .avi в проводнике вызывает 100% загрузку процессора

Можно столкнуться с проблемой Windows XP при открытии файлов в Проводнике с расширением .avi. При нажатии на такой файл, система пытается прочесть данные из него (размер, ширина, высота и т.д.).

Для решения этой проблемы необходимо в ключе реестра

HKEY_CLASSES_ROOT\SystemFileAssociations\.avi\shellex\PropertyHandler удалить значение по умолчанию {87D62D94-71B3-4b9a-9489-5FE6850DC73E}. Теперь в окне не будут показываться свойства файла.

Снизьте количество эффектов

Благодаря новому виду и GNOME-подобной поддержке скинов, Windows XP выглядит красивее любой предыдущей версии Windows.

Все эти визуальные утехи могут снижать реакцию интерфейса на пользователя. XP запускает несколько тестов для автоконфигурации своего пользовательского интерфейса, чтобы сохранить как удобство, так и красоту, но вы легко можете все исправить. Если исчезающие меню вам больше досаждают, нежели нравятся, а тени под окнами диалогов вам безразличны, то вы можете убрать все лишнее.

Некоторые настройки выполняются через закладку Оформление (Appearance) в свойствах монитора, которые вы можете вызвать, нажав правую клавишу мыши на любой свободной части экрана и выбрав Свойства (Properties).

Рис. 4 Свойства экрана

Нажмите клавишу Эффекты (Effects) и вы сможете настроить переходы в меню, тени и шрифт, включая новую технологию улучшения читаемости шрифта Microsoft ClearType. По нашему мнению, ClearType хорош для ноутбуков и ЖК мониторов, но на ЭЛТ текст выглядит слишком жирно и смазано. Учтите, что даже на ЖК мониторе не всем нравится ClearType, так что выбирайте по своему вкусу.

Вы можете и дальше настраивать производительность графического интерфейса через Свойства системы (System Properties). Откройте свойства через Панель управления (Control Panel) или нажмите правой клавишей мыши на значок Мой компьютер (System) и выберите там Свойства (Properties).

Рис. 5 Свойства системы

Далее перейдите к закладке Дополнительно (Advanced) и нажмите Параметры (Settings) в панели Производительность (Performance). Здесь вы можете указать как максимальную производительность, так и максимальную красивость, равно как выбрать необходимые параметры самому.

Рис. 6 Параметры быстродействия

Перейдите к закладке Дополнительно (Advanced) в Параметрах быстродействия (Performance Options) и убедитесь, что распределение ресурсов процессора и памяти выставлено на оптимизацию работы программ - вам нужно указывать приоритет фоновых служб и кэша, если только ваш компьютер исполняет роль сервера.

Рис.7 Дополнительные параметры быстродействия

Здесь вы также можете указать размер и местоположение файла подкачки. Но Windows XP обычно сама прекрасно выбирает этот размер.

Быстрое переключение между пользователями

Такая функция доступна в обеих версиях Windows XP, если компьютер не входит в домен. Быстрое переключение позволяет пользователям одного компьютера быстро переключаться между учетными записями без завершения сеанса. Прекрасная функция, если вашим компьютером пользуются мама, папа и всякие сестры-братья, однако такое переключение требует большого расхода оперативной памяти.

Если в систему вошло более одного пользователя, то настройки каждого пользователя, равно как и запущенные программы сохраняются в памяти при переключении к другому пользователю. Скажем, если у вас запущен Word, Excel и какая-нибудь игра, и в это время придет ваш брат, переключит систему на себя и попытается поиграть в Red Faction, он заметит явное падение производительности, до полной остановки игры.

Windows XP автоматически отключает быстрое переключение между пользователями, если компьютер оснащен 64 Мб памяти или меньше. Для максимальной производительности убедитесь, что в одно время в систему заходит только один пользователь. Вы также можете отключить эту функцию, зайдите в Панель управления " Учетные записи пользователей (Control Panel " User Accounts) нажмите кнопку "Переключение пользователей":

Рис.8 Учетные записи пользователей

и уберите галочку с пункта "Использовать быстрое переключение пользователей".

Рис.9 Выбор параметров входа и выхода из системы

Восстановление системных файлов

Полезная функция, если ваш компьютер не используется исключительно для ресурсоемких задач типа игр. Так что лучше оставить ее включенной. При этом компьютер периодически создает слепки критичных системных файлов (файлы реестра, COM+ база данных, профили пользователей и т.д.) и сохраняет их как "точку отката". Если какое-либо приложение "снесет" вашу систему, или что-то важное будет испорчено, вы можете обратить компьютер в предыдущее состояние - в точку отката.

Точки отката автоматически создаются службой "Восстановления системы" (System Restore) при возникновении некоторых ситуаций типа установки нового приложения, обновления Windows, установки неподписанного драйвера и т.д. Вы можете и вручную создавать точки отката через интерфейс Восстановления системы (System Restore), который можно вызвать, пройдя путь: Пуск " Программы " Стандартные " Служебные " Восстановление системы (Start " Programs " Accessories " System Tools " System Restore).

Рис.10 Восстановление системы

Восстановление системных файлов опирается на фоновую службу, которая минимально сказывается на быстродействии и записывает снимки, отнимающие часть дискового пространства. Вы можете вручную отвести максимальный объем дискового пространства для данной службы. Вы также можете полностью отключить службу для всех дисков.

Отключить можно, поставив галочку "Отключить службу восстановления". Поскольку служба восстановления системных файлов может влиять на результаты тестовых программ, ее обычно отключают перед тестированием.

Автоматическая очистка диска

Для проведения очистки жесткого диска от ненужных файлов используется программа cleanmgr.exe

Ключи программы:

/d driveletter: - указывает букву диска, которая будет очищаться

/sageset: n - эта команда запускает мастер очистки диска, и создает ключ в реестре для сохранения параметров. Параметр n может принимать значения от 0 до 65535.

/sagerun: n - используется для запуска мастера очистки диска с определенными параметрами, которые были заданы заранее с помощью предыдущего ключа.

Для автоматизации этого процесса можно воспользоваться планировщиком заданий.

Регулярно производите дефрагментацию.

DOS и не-NT версии Windows мало заботились об оптимизации своих файловых систем. Когда вы устанавливаете и удаляете программы, то в различных областях дискового пространства создаются "дыры". В результате свободное место представляет собой не сплошной блок, оно разбросанно по всему диску. При заполнении свободного пространства файлы также оказываются разбросанными по нескольким секторам, что сильно снижает производительность - при обращении к файлу диску приходится читать не один последовательный участок, а несколько произвольно разбросанных.

В NT-версиях Windows, использующих файловую систему NTFS, применяются особые меры для сохранения целостности дискового пространства - но фрагментация все равно происходит. Поэтому вы должны регулярно дефрагментировать ваш жесткий диск, причем регулярность зависит от характера вашей деятельности на компьютере.

В случае использования файловой системы FAT32 дефрагментация еще более необходима!

Если вы часто устанавливаете и удаляете программы, или вы постоянно создаете, перемещаете или удаляете файлы, то вы должны выполнять дефрагментацию раз в неделю. Если же вы долгое время используете одни и те же приложения, при этом вы не слишком часто перемещаете файлы, то вы можете увеличить промежуток между дефрагментациями до одного месяца. Если вы достаточно часто выполняете дефрагментацию, то вы не заметите ощутимого прироста в производительности после дефрагментации. Это совершенно нормально. Если же прирост явно ощутим, то вы слишком долго не выполняли дефрагментацию.

Автоматизируем процесс дефрагментации диска

Создаем bat-файл, который, к примеру, назовем defrag.bat следующего содержания:

Rem **This batch file is defragmenting your hard drive.**
Rem **To cancel Press Ctrl+C on the keyboard.**
Defrag.exe C: -F 

Формат команды Defrag:

defrag <том> [-a] [-f] [-v] [-?]

том - Буква диска, или точка подключения (например, c: или d:\vol\mpoint)

-a - Только анализ

-f - Дефрагментация даже при ограниченном месте на диске

-v - Подробные результаты

-? - Вывод справки о команде

Теперь в Планировщике заданий указываем этот файл и ставим его в расписание. Рекомендуется установить запуск каждую неделю (но не меньше 1 раза в месяц). Теперь Дефрагментация диска будет автоматически запускаться в Windows XP.

Вы также можете установить дефрагментацию в расписание и без создания bat-файла, делается это так:

  • Заходим в Панель управления -> Назначенные задания -> Добавить задание
  • Нажмите Обзор и выберите программу Defrag.exe, находится она в каталоге C:\Windows\System32
  • Во время последнего экрана не забудьте поставить галочку около пункта Установить дополнительные параметры после нажатия кнопки Готово
  • В строке выполнить после адреса файла добавьте ключ -f
Отключение неиспользуемых служб

Отключите ненужные системные службы (сервисы), ускорив тем самым работу системы. Заодно и памяти немного освободится...

Вот список служб, которые, в принципе, можно безбоязненно отключить:

Автоматическое обновление (Automatic Updates). Учитывая, что обновлять систему можно и вручную, имеет смысл отключить эту службу. Особенно в том случае, если нет постоянного соединения с Интернетом. Следует только не забыть не только отключить службу, но и отменить Автоматическое обновление в одноименной закладке Свойствах системы (System Properties).

Обозреватель сети (Computer Browser). Занимается обновлением списка компьютеров в сети. При отсутствии сети не нужна.

Служба шифрования (Cryptographic Service). Служба безопасного обмена ключами и шифрования передаваемых данных в локальной сети. Если локальной сети нет, то эту службу можно отключить, если сеть есть - думайте сами...

DHCP клиент (DHCP client). Занимается автоматическим распределением IP-адресов. Если сети нет (ни локальной, ни Интернета - даже через модем), то эта служба не нужна.

Служба сообщений (Messenger). Отвечает за прием и отправку сообщений, посланных администратором. При отсутствии сети (и администратора) абсолютно бесполезна.

Сетевые соединения (Network Connections). Управление всеми сетевыми соединениями. Если нет сети (в том числе нет и Интернета), то эта служба не нужна.

Спулер печати (Print Spooler). Если принтера нет, то он не нужен.

Portable media serial number. Отвечает за получение серийного номера переносного музыкального устройства, подключаемого к компьютеру.

Protected Storage. Защита важных данных, в том числе, ключей пользователей; запрещает неавторизированный доступ. Если нет сети (в том числе и Интернета), то эту службу можно отключить (если безопасность не волнует - можно отключить и при наличии сети).

Remote Registry Service. Предназначена для удалённого управления реестром (нужна только администраторам сети).

System Event Notification. Отслеживает системные события. Если все уже настроено и нормально работает, можно отключить.

SSDP Discovery. Обеспечивает работу подключаемых устройств, поддерживающих UPnP (универсальная система Plug & Play, которая, по задумке, должна связывать компьютер с самой различной бытовой техникой, вроде пылесоса или холодильника. Планировщик заданий (Task Scheduler). Запуск приложений в заданное время. Если эта возможность не используется, эту службу можно отключить.

Telephony. Взаимодействие с модемом. Нет модема - отключаем службу.

Telnet. Обеспечивает возможность соединения и удалённой работы по протоколу telnet. Если не знаете (и не хотите знать), что это такое, то эту службу можно отключить.

Uninterruptible power supply. Управляет работой бесперебойных источников питания (UPS). Если UPS с обратной связью нет, то не нужна.

Terminal Service. Служит для подключения к компьютеру по сети и удаленного управления им. Домашнему пользователю она, в общем-то, ни к чему.

Windows time. Синхронизирует время на локальной машине и сервере; если нет time-сервера, то и служба не нужна.

Wireless zero configuration. Служба автоматической настройки беспроводных сетей стандарта 803.11 и 803.11b.

Подчеркну, что этот список - не окончательный, потому что необходимость той или иной системной службы определяется теми задачами, которые выполняются на конкретном компьютере, поэтому каждый должен решать сам, что можно отключить, а что нет. Главное - не переборщить, помня, что последствия необдуманных действий могут быть непредсказуемыми. И еще о последствиях. Для того чтобы уменьшить риск "запороть" систему, имеет смысл перед началом экспериментов со службами сделать резервную копию той ветви реестра, что отвечает за запуск системных служб: открываем regedit, идем в HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services, выбираем в меню File, а там - пункт Export Registry Key.

Еще один метод, позволяющий ускорить работу системы и несколько освободить занимаемую ею оперативную память, заключается в отключении Dr.Watson'a, отладчика, запускаемого по умолчанию при каждом сбое в работе приложений. Чтобы отключить этого "доктора", нужно будет в реестре найти ключ HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \AeDebug и изменить в нем значение параметра Auto на 0.

После такой модификации реестра при возникновении сбоя в работе приложения система будет предлагать либо закрыть его, либо передать отладчику для отладки (если выбрать второе, то запустится Dr.Watson и создаст лог-файл).

Следующий этап - оптимизация интерфейса, призванная ускорить его работу. Заходим в System Properties, открываем закладку Advanced, нажимаем в разделе Performance кнопку Settings и в открывшейся вкладке Visual Effects отмечаем пункт Adjust for best performance, отключая тем самым абсолютно все эффекты. А можно отключить их и по отдельности, оставив те, без которых прожить ну никак нельзя...

Теперь примемся за стартовое меню. Изначально оно открывается с некоторой задержкой (по умолчанию - 400 миллисекунд), регулировать которую можно, изменяя в реестре значение ключа MenuShowDelay, находящегося по адресу HKEY_CURRENT_USER\ControlPanel\Desktop. В случае установки для этого параметра значения 0 меню будет появляться без задержки.

Там же - в реестре - находится еще один параметр, изменение которого приведет к некоторому ускорению работы интерфейса - MinAnimate, включающий анимацию при сворачивании и разворачивании окон, находится по адресу HKEY_CURRENT_USER\ControlPanel\Desktop \WindowsMetrics. Значение 1 - эффект анимации включен, 0 - выключен. Если этого ключа в реестре нет, то создайте его (тип - String). И не забудьте - для вступления подобных изменений в силу необходимо перезагрузить компьютер.

Открытие на NTFS-разделе папок с большим количеством файлов происходит довольно медленно, потому что Windows каждый раз обновляет метку последнего доступа к файлам и на это, естественно, тратиться какое-то время. Для отключения этой функции нужно запустить regеdit и по адресу HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet\Control\FileSystem создать параметр типа DWord, назвав его NtfsDisableLastAccessUpdate и присвоив ему значение 1.

Планировщик пакетов QoS (QoS Packet Scheduler). Этот компонент, устанавливаемый только в Windows XP Pro, включает функцию Quality of Service. Данная функция используется для поддержки протокола IPv6, который на сегодня повсеместно не распространен. На данный момент эту службу лучше отключить (удаление QoS Packet Scheduler из свойств соединения не освобождает канал от резервирования 20% пропускной способности канала). Отключение производится с помощью Групповой политики (gpedit.msc). Выберите Group Policy - Local Computer Policy - Administrative Templates - Network - QoS Packet Scheduler. Включите Limit reservable bandwidth и уменьшите Bandwidth limit с 20% до 0%.

В русской версии Пуск - Выполнить - gpedit.msc - Конфигурация компьютера - Административный шаблоны - Сеть - Диспетчер пакетов - Ограничить резервируемую пропускную способность. В качестве значения параметра указать 0%.

Отключаем Службу индексирования

Служба индексирования создает индексы содержимого и свойств документов на локальном жестком диске и на общих сетевых дисках. Имеется возможность контроля за включением сведений в индексы. Служба индексирования работает непрерывно и почти не нуждается в обслуживании.

Нужно помнить о том, что служба индексирования потребляет большое количество ресурсов процессора. Если вы не пользуетесь активно поиском по контексту файлов, то данную службу можно отключить. Для этого:

  • Заходим в Панель управления - Установка и удаление программ - Установка компонентов Windows
  • В появившемся списке ищем Службу индексирования и убираем галочку
Отключаем поиск в zip архивах

По умолчанию, поиск в Windows XP производится и в .zip архивах. Скорость поиска возрастет, если отключить эту службу. Для этого необходимо в командной строке набрать:

regsvr32 c:\winnt\\system32\zipfldr.dll /u или же regsvr32 c:\windows\\system32\zipfldr.dll /u

Для включения поиска в .zip архивах:

regsvr32 c:\winnt\\system32\zipfldr.dll или же regsvr32 c:\windows\\system32\zipfldr.dll

Как удалить "скрытые" компоненты Windows XP?

В отличие от Windows 9*/NT, в процессе установки Windows XP нет возможности выбирать необходимые компоненты. На мой взгляд, это правильное решение Microsoft - сначала следует установить операционную систему со всеми ее причудами, а уж затем, поработав, можно решать, что следует оставить, а что нет.

Однако при этом в окне "Add/Remove Windows Components", что присутствует в апплете "Add or Remove Programs" Контрольной панели, удалять-то практически нечего, потому что многие из составляющих Windows скрыты от шаловливых ручек не слишком опытных пользователей. Для решения этой проблемы открываем системную папку Inf (по умолчанию - C:\Windows\Inf), находим в ней файл sysoc.inf, открываем его и удаляем во всех строках слово HIDE. Главное при этом - оставить неизменным формат файла, то есть следует удалять только HIDE, оставляя запятые до и после этого слова.

Для примера - исходная строка и та, что должна получиться:

msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7 
msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,,7 

Сохраняем файл sysoc.inf, открываем "Add/Remove Windows Components" и видим значительно более длинный список, чем тот, что был на этой страничке до проведения описанной выше операции. Правда, и в этом случае много удалить не получится.

Кстати, точно также можно поступить и в случае с Windows 2000...

Настройка жесткого диска.

Проверьте настройки жесткого диска, поскольку файл подкачки находится на диске. Правильная конфигурация его влияет на скорость работы системы. В свойствах системы откройте Device Manager (либо, открыв свойства любого диска в проводнике, закладка Hardware) и просмотрите свойства вашего жесткого диска. Убедитесь, что стоит отметка Enable write caching on the disk в закладке Polices.

Если диск SCSI доступны следующие значения в закладке SCSI Properties: Disable Tagged Queuing и Disable Synchronous Transfers должны быть не отмечены.

Ultra DMA:

Убедитесь что DMA включено для всех IDE устройств системы. Проверить можно в том же Device Manager " IDE ATA/ATAPI controllers " Primary/Secondary IDE Channel " Advanced Settings.

Параметр Device Type позволяет Windows автоматически определять подключенные устройства, если канал свободен установите значение None - это немного ускорит загрузку системы.

Параметр Transfer mode Windows XP ставит, как правило, по умолчанию и позволяет Windows использовать максимальный DMA поддерживаемый устройством либо PIO, убедитесь, что значение установлено DMA if available.

Дополнительные настройки скорости:

Откройте My Computer " Properties " Advanced " Performance Settings " Advanced в параметре Processor scheduling должно быть отмечено значение Programs. В противном случае Windows будут распределять процессорное время равномерно между всеми программами, включая сервисы, что для игр не приемлемо. В опции Memory usage при установленном у вас размере физической памяти 256MB и выше отметьте параметр System cache, если памяти на компьютере меньше 256 MB система будет работать быстрее при установленном значении Programs Аналогичен параметру реестра LargeSystemCache (см. ниже).

Файл BOOT.INI в Windows XP

Специальный текстовый конфигурационный файл boot.ini, который используется в процессе загрузки - один из важнейших системных файлов Windows XP. Этот файл выполняет следующие функции:

  • Управление содержимым меню выбора операционной системы
  • Управление процессом загрузки
  • Задание некоторых параметров системы

Редактировать данный файл можно либо вручную, либо с помощью программы Boot.ini Editor (http://www.dx21.com/SOFTWARE/Dx21/ViewItem.ASP?NTI=2&SI=2&OID=14 ) . Раздел [boot loader] служит для задания параметров загрузки операционной системы. Параметр timeout = 30 (по умолчанию) определяет количество секунд, в течение которого пользователь может выбирать один из пунктов меню. При timeout = 0 загрузочное меню не отображается. При timeout = -1 меню находится на экране неограниченное время.

Параметр default = определяет путь к загружаемой по умолчанию системе, может указываться в меню "Загрузка системы". В разделе [operation systems] находятся сведения об установленных операционных системах.

Строение файла BOOT.INI в простейшем случае, с одной операционной системой на диске ПК Intel х86, выглядит следующим образом:

[boot loader]
timeout=5
default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\
WINNT="Windows XP Professional" /fastdetect

При использовании двух операционных систем, например, Windows Me и Windows XP, содержимое файла будет примерно таково:

[boot loader]
timeout=5
default=C:\
[operating systems]
C:\="Windows Millennium Edition"
multi(0)disk(0)rdisk(0)partition(2)\
WINNT="Windows XP Professional" /fastdetect

Здесь:

Multi(0) - порядковый номер адаптера, с которого осуществляется загрузка. Всегда имеет значение 0.

disk(0) - всегда равен 0 (для большинства BIOS)

rdisk(X) - определяет порядковый номер жесткого диска с которого осуществляется загрузка (от 0 до 3)

partition(Y) - порядковый номер раздела жесткого диска, с которого загружается ОС. Нумерация начинается с 1. Не нумеруются расширенные разделы MS DOS (тип 5) и разделы типа 0 - неиспользуемые.

Для восстановления файла boot.ini можно воспользоваться командой bootcfg. Эта команда доступна из режима командной строки, и может быть использована для настройки, извлечения, изменения или удаления параметров командной строки в файле boot.ini

Формат команды:

BOOTCFG /<операция> [<аргументы>]

Параметры:

/COPY - Создает копию имеющегося элемента списка загрузки в секции [operating systems], для которого можно добавить параметры ОС.

/DELETE - Удаляет существующий элемент списка загрузки в секции [operating systems] файла BOOT.INI. Нужно указать номер удаляемого элемента.

/QUERY - Отображает элементы списка загрузки и их параметры.

/RAW - Позволяет указать любой переключаемый параметр, добавляемый для указанного элемента списка загрузки ОС.

/TIMEOUT - Задает значение таймаута.

/DEFAULT - Задает используемый по умолчанию элемент списка загрузки.

/EMS - Позволяет задавать переключатель /redirect без дисплейной работы для указанного элемента списка загрузки.

/DEBUG - Позволяет задавать порт и скорость для удаленной отладки для указанного элемента списка загрузки.

/ADDSW - Позволяет добавлять определенные переключатели для указанного элемента списка загрузки.

/RMSW - Позволяет удалять определенные переключатели для указанного элемента списка загрузки.

/DBG1394 - Позволяет настраивать отладку 1394 порта для указанного элемента списка загрузки.

/? - Вывод справки по использованию.

Примеры:

BOOTCFG /COPY /?
BOOTCFG /DELETE /?
BOOTCFG /QUERY /?
BOOTCFG /RAW /?
BOOTCFG /TIMEOUT /?
BOOTCFG /EMS/?
BOOTCFG /DEBUG /?
BOOTCFG /ADDSW /?
BOOTCFG /RMSW /?
BOOTCFG /DBG1394 /?
BOOTCFG /DEFAULT /?
BOOTCFG /?
Настройка автоматически выполняемых программ

Одна из типичных проблем, связанных с производительностью, это запуск большого числа программ в процессе загрузки Windows XP. В результате работа операционной системы существенно замедляется.

В процессе установки программа может быть запущена автоматически следующими способами:

  1. Добавление в папку Автозагрузка для данного пользователя
  2. Добавление в папку Автозагрузка для всех пользователей
  3. Ключ Run (компьютера) Ключ реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  4. Ключ Run (пользователя) Ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  5. Папки Планировщика задач
  6. Win.ini. Программы, предназначенные для 16-разрядных версий Windows могут добавить строки типа Load= и Run= этого файла
  7. Ключи RunOnce и RunOnceEx. Группа ключей реестра, содержащая список программ, выполняемых однократно в момент запуска компьютера. Эти ключи могут относиться и к конкретной учетной записи данного компьютера 9 HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
  8. Групповая политика. Содержит две политики (с именами Запуск программ при входе пользователя в систему). Находятся в папках Конфигурация компьютера >Конфигурация Windows > Административные шаблоны > Система > Вход в систему (Computer configuration > Administrative Templates >System >Logon) и Конфигурация пользователя >Конфигурация Windows > Административные шаблоны > Система > Вход в систему (User configuration > Administrative Templates >System >Logon)
  9. Сценарии входа в систему. Настраиваются Групповая политика: Конфигурация компьютера >Конфигурация Windows > Сценарии и Конфигурация пользователя>Конфигурация Windows >Сценарии (входа в систему и выхода из системы)

Для настройки списка автоматически вызываемых программ в состав Windows XP входит утилита Настройка системы (System Configuration Utility) Msconfig.exe, которая позволяет вывести список всех автоматически загружаемых программ. Рабочее окно программы приведено на рис. 11

Рис.11 Рабочее окно программы Msconfig

Настройка реестра

Реестр Windows содержит несколько ключей, которые позволят настроить оптимальную работу Windows с памятью. Откройте [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ ControlSessionManager\MemoryManagement]:ClearPageFileAtShutdown - возможность стирать файл подкачки при выходе из Windows (опция доступна так же в разделе локальной безопасности), при включении приведет к большим задержкам перед перезагрузкой, значение желательно оставить как есть =0.

DisablePagingExecutive - запрещает записывать в файл подкачки код (драйверы, .exe-файлы), и требует оставлять их всегда в физической памяти, если объем памяти больше 256MB установка значения 1 может существенно ускорить работу системы.

LargeSystemCache - этот параметр мы изменяли в Memory usage (см выше).

SecondLevelDataCache - для тех, кто использует старый процессор (до Pentium 2) можно установить размер вашего кэша процессора, значение по умолчанию =0 соответствует 256KB.

Отключение POSIX: Отключение этой не используемой подсистемы может несколько увеличить скорость работы. Чтобы не возиться с удалением файлов и с отключением для этой цели файловой защиты Windows XP откройте [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ ControlSessionManager\SubSystems] Удалите строки Optional и Posix.

Автоматическая перезагрузка при отказе системы

При отказе системы можно включить автоматическую перезагрузку. Для этого:

  • Выбираем Мой компьютер и нажимаем на нем правой клавишей мыши
  • Выбираем вкладку Дополнительно
  • В разделе Загрузка и восстановление нажимаем кнопку Параметры
  • Ставим галочку около пункта Выполнить автоматическую перезагрузку в разделе Отказ системы

Рис. 12 Панель загрузка и восстановление

Вывод

После того, как вы проведете рекомендуемые операции, вы увидите рост быстродействия вашего компьютера. Однако мы не затронули вопрос настройки системы безопасности вашего компьютера.

Итак, следующий шаг

Настройка системы безопасности Windows XP

Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке 10. Мы надеемся, что вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы - преобразовать диск в формат NTFS.

После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа "включить-выключить". Такой интерфейс носит по умолчанию название Простой общий доступ (Simple File Sharing). Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me.

Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис " Свойства папки (Tools " Folder options). Перейдите на вкладку Вид найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended) и снимите его. 11

Рис. 11 Свойства папки

Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность.

Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List - ACL).

При установке и удалении разрешений руководствуйтесь следующими основными принципами:

  1. Работайте по схеме "сверху-вниз".
  2. Храните общие файлы данных вместе.
  3. Работайте с группами везде, где это только возможно.
  4. Не пользуйтесь особыми разрешениями.
  5. Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).
Установка разрешения из командной строки

Утилита командной строки cacls.exe доступна в Windows XP Professional позволяет просматривать и изменять разрешения файлов и папок. Cacls - сокращение от Control ACLs - управление списками управления доступом. Ключи командной строки утилиты cacls

Таблица 1

Ключ Действие
/T Смена разрешений доступа к указанным файлам в текущей папке и всех подпапках
/E Изменение списка управления доступом (а не полная его замена)
/C Продолжить при возникновении ошибки "отказано в доступе"
/G пользователь:разрешение Выделение пользователю указанного разрешения. Без ключа /E полностью заменяет текущие разрешения
/R пользователь Отменяет права доступа для текущего пользователя (используется только с ключом /E)
/P пользователь:разрешение Замена указанных разрешений пользователя
/D пользователь Запрещает пользователю доступ к объекту

С ключами /G и /P нужно использовать одну их перечисленных ниже букв (вместо слова разрешение):

  • F (полный доступ) - эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность.
  • C (изменить) - тождественно установке флажка Разрешить Изменить (Modify)
  • R (чтение) - эквивалентно установке флажка Разрешить Чтение и выполнение (Read & Execute)
  • W (запись) - равнозначно установке флажка Разрешить запись (Write)

Microsoft Windows XP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System - EFS) шифрует файлы на диске. Однако, слудует иметь ввиду, что если вы утеряете ключ для расшифровки, данные можно считать утерянными. Поэтому если вы решите воспользоваться преимуществанми EFS необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления.

Если вы предпочитаете работать с командной строкой, то можете воспользоваться программой cipher.exe. Команда cipher без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). В таблице 2 приведен список наиболее часто используемых ключей команды cipher

Таблица 2

Ключ Описание
/E Шифрование указанных папок
/D Расшифровка указанных папок
/S:папка Операция применяется к папке и всем вложенным подпапкам (но не файлам)
/A Операция применяется к указанным файлам и файлам в указанных папках
/K Создание нового ключа шифрования для пользователя, запустившего программу. Если этот ключ задан, все остальные игнорируются
/R Создание ключа и сертификата агента восстановления файлов. Ключ и сертификат помещаются в файл .CFX, а копия сертификата в файле .CER
/U Обновление ключа шифрования пользователя или агента восстановления для всех файлов на всех локальных дисках
/U /N Вывод списка всех зашифрованных файлов на локальных дисках без каких-либо других действий
Устранение проблем с разрешениями
Агент восстановления данных

Агентом восстановления данных (Data Recovery Agent) назназначается обычно администратор. Для создания агента восстановления нужно сначала сохдать сертификат восстановления данных, а затем назначить одного из пользователей таким агентом.

Чтобы создать сертификат нужно сделать следующее:

  1. Нужно войти в систему под именем Администратор
  2. Ввести в командной строке cipher /R: имя файла
  3. Введите пароль для вновь создаваемых файлов

Файлы сертификата имеют расширение .PFX и .CER и указанное вами имя.

ВНИМАНИЕ эти файлы позволяют любому пользователю системы стать агентом восстановления. Обязательно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.

Для назначения агента восстановления:

  1. Войти в систему под учетной записью, которая должна стать агентом восстановления данных
  2. В консоли Сертификаты перейдите в раздел Сертификаты - Текущий пользователь " Личные (Current User " Personal)
  3. Действие " Все задачи " Импорт (Actions " All Tasks " Import) для запуска мастера импорта сертификатов
  4. Проведите импорт сертификата восстановления

При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы.

Краткие рекомендации по шифрованию:

  1. Зашифруйте все папки, в которых вы храните документы
  2. Зашифруйте папки %Temp% и %Tmp%. Это обеспечит шифрование всех временных файлов
  3. Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней впоследствии файлы, что оказывается важным при работе с программами, создающими свои копии файлов при редактировании, а затем перезаписывающими копии поверх оригинала
  4. Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера
  5. Экспортируйте личные сертификаты шифрования всех учетных записей
  6. Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.
  7. При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться
  8. Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows
Конструктор шаблонов безопасности

Шаблоны безопасности являются обыкновенными ASCII - файлами, поэтому теоретически их можно создавать с помощью обыкновенного текстового редактора. Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a в этой консоли выбрать меню File - Add/Remove. В диалоговом окне Add Standalone Snap-in выбрать Security Templates - Add.

Управление оснасткой

Шаблоны безопасности расположены в папке \%systemroot%\security\templates. Количество встроенных шаблонов изменяется в зависимости от версии операционной системы и установленных пакетов обновлений.

Если раскрыть любую папку в Security Templates, то в правой панели будут показаны папки, которые соответствуют контролируемым элементам:

  • Account Policies - управление паролями, блокировками и политиками Kerberos
  • Local Policies - управление параметрами аудита, пользовательскими правами и настройками безопасности
  • Event Log - управление параметрами системного журнала
  • Restricted Groups - определение элементов различных локальных групп
  • System Services - включение и отключение служб и присвоение права модификации системных служб
  • Registry - назначение разрешений на изменение и просмотр разделов реестра
  • File System - управление разрешениями NTFS для папок и файлов
Защита подключения к Интернет

Для обеспечения безопасности при подключении к Интернет необходимо:

  • Активизировать брандмауэр подключения к Интернет (Internet Connection Firewall) или установить брандмауэр третьих фирм
  • Отключить Службу доступа к файлам и принтерам сетей Microsoft

Брандмауэром подключения к Интернет называется программный компонент, блокирующий нежелательный трафик.

Активация Брандмауэра подключения к Интернет.
  • Откройте Панель управления - Сетевые подключения
  • Щелкните правой кнопкой мыши на соединении, которое вы хотите защитить и выберите из меню пункт Свойства
  • Перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет

Заключение

Изложенные выше рекомендации не являются исчерпывающим материалом по настройке операционной системы Windows XP Professional, однако надеюсь, они смогут помочь вам в этом нелегком процессе.

Приложение 1

Утилиты третьих фирм для управления патчами

Ряд утилит третьих фирм доступен для поддержки управления патчами. Они предлагают некоторые возможности, которых в настоящее время нет в инструментарии Microsoft.

Polaris Group Hotfix/Service Pack Utility

У этой утилиты простой интерфейс, она поддерживает любой программый продукт Microsoft.

http://www.polarisgroup.com/solutions

Shavlik Hfnetchkpro

Построено на технологии Hfnetchk. У нее есть графический пользовательский интерфейс и она позволяет вам сохранять историю сканирования, чего не может делать версия командной строки.

http://www.shavlik.com/nshc.htm

Подробная информация об утилите Hfnetchk:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q303215

Скачать Hfnetchk:

http://www.microsoft.com/downloads/release.asp?releaseid=31154

Приложение 2

Ссылки:
  • сайт Microsoft TechNet Security:

Приложение 3

Имена служб Windows XP
Отображаемое имя Имя службы Исполняемый файл
Оповещатель (Alerter) Alerter Svchost.exe
Служба шлюза уровня приложений (Application Layer Gateway Service) ALG Alg.exe
Управление приложениями (Application Management) AppMgmt Svchost.exe
Автоматическое обновление (Automatic Update) Wuauserv Svchost.exe
Фоновая интеллектуальная служба передачи (Background Intelligent Transfer Service) BITS Svchost.exe
Сервер папки обмена (ClipBook) ClipSrv Clipsrv.exe
Система событий COM+ (COM+ Event System) EventSystem Svchost.exe
Системное приложение COM+ (COM+ System Application) COMSysApp Dllhost.exe
Обозреватель компьютеров (Computer Browser) Browser Svchost.exe
Службы криптографии (Cryptographic Services) CryptSvc Svchost.exe
DHCP-клиент (DHCP Client) Dhcp Svchost.exe
Клиент отслеживания изменившихся связей (Distributed Link Tracking Client) TrkWks Svchost.exe
Координатор распределенных транзакций (Distributed Transaction Coordinator) MSDTC Msdtc.exe
DNS-клиент (DNS Client) Dnscache Svchost.exe
Служба регистрации ошибок (Error Reporting) ERSvc Svchost.exe
Журнал событий (Event Log) Eventlog Services.exe
Совместимость быстрого переключения пользователей (Fast User Switching Compatibility) FastUserSwitching Compatibility Svchost.exe
Факсы (Fax) Fax Fxsvc.exe
Справка и поддержка (Help And Support) Helpsvc Svchost.exe
Доступ к HID-устройствам (HID Input Service) Hid Svc Svchost.exe
Служба COM записи компакт-дисков IMAPI (IMAPI Burning COM Service) ImapiService Imapi.exe
Служба индексирования (Indexing Service) Cisvc Cisvc.exe
Брандмауэр Интернета (ICF)/Общий доступ к Интернету (Internet Connection Firewall(ICF)/Internet Connection Sharing (ICS)) SharedAccess Svchost.exe
Службы IPSEC (IPSEC Services) PolicyAgent Lsass.exe
Диспетчер логических дисков (Logical Disk Manager) Dmserver Svchost.exe
Служба администрирования диспетчера логических дисков (Logical Disk Manager Administrative Service) Dmadmin Dmadmin.exe
Служба сообщений (Messenger) Messenger Svchost.exe
MS Software Shadow Copy Provider SwPrv Dllhost.exe
Сетевой вход в систему (Net Logon) NetLogon Lsass.exe
NetMeeting Remote Desktop Sharing Mnmsrvc Mnmsrvc.exe
Сетевые подключения (Network Connections) Netman Svchost.exe
Служба сетевого DDE (Network DDE) Net DDE Netdde.exe
Диспетчер сетевого DDE (Network DDE DSDM) NetDDEdsdm Netdde.exe
Служба сетевого расположения (Network Location Awareness (NLA)) Nla Svchost.exe
Поставщик поддержки безопасности NT LM (NT LM Security Support Provider) NtLmSsp Lsass.exe
Журналы производительности и оповещения (Performance Logs And Alerts) SysmonLog Smlogsvc.exe
Plug And Play PlugPlay Services.exe
Серийный номер переносного медиа-устройства (Portable Media Serial Number) WmdmPmSp Svchost.exe
Диспетчер очереди печати (Print Spooler) Spooler Spoolsv.exe
Защищенное хранилище (Protected Storage) ProtectedStorage Lsass.exe
QoS RSVP RSVP Rsvp.exe
Диспетчер автоподключений удаленного доступа (Remote Access Auto Connection Manager) RasAuto Svchost.exe
Диспетчер подключений удаленного доступа (Remote Access Connection Manager) RasMan Svchost.exe
Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) RDSessMgr Sessmgr.exe
Удаленный вызов процедур (Remote Procedure Call (RPC)) RpcSs Svchost.exe
Локатор удаленного вызова процедур (Remote Procedure Call (RPC) Locator) RpcLocator Locator.exe
Удаленный реестр (Remote Registry) RemoteRegistry Svchost.exe
Съемные ЗУ (Removable Storage) NtmsSvc Svchost.exe
Маршрутизация и удаленный доступ (Routing And Remote Access) RemoteAccess Svchost.exe
Вторичный вход в систему (Secondary Logon) Seclogon Svchost.exe
Диспетчер учетных записей безопасности (Security Accounts Manager) SamSs Lsass.exe
Сервер (Server) Lanmanserver Svchost.exe
Определение оборудования оболочки (Shell Hardware Detection) ShellHWDetection Svchost.exe
Смарт-карты (Smart Card) SCardSvr Scardsvr.exe
Модуль поддержки смарт-карт (Smart Card Helper) SCardDrv Scardsvr.exe
Служба обнаружения SSDP (SSDP Discovery Service) SSDPSRV Svchost.exe
Уведомление о системных событиях (System Event Notification) SENS Svchost.exe
Служба восстановления системы (System Restore Service) Srservice Svchost.exe
Планировщик заданий (Task Scheduler) Schedule Svchost.exe
Модуль поддержки NetBIOS поверх TCP/IP (TCP/IP NetBIOS Helper) LmHosts Svchost.exe
Телефония (Telephony) TapiSrv Svchost.exe
Telnet TlntSvr Tlntsvr.exe
Службы терминалов (Terminal Services) TermService Svchost.exe
Темы (Themes) Themes Svchost.exe
Источник бесперебойного питания (Uninterruptible Power Supply) UPS Ups.exe
Узел универсальных PnP - устройств (Universal Plug And Play Device Host) Upnphost Svchost.exe
Диспетчер отгрузки (Upload Manager) Uploadmgr Svchost.exe
Теневое копирование тома (Volume Shadow Copy) VSS Vssvc.exe
Веб-клиент (WebClient) WebClient Svchost.exe
Windows Audio AudioSrv Svchost.exe
Служба загрузки изображений (WIA) (Windows Image Acquisition (WIA)) Stisvc Svchost.exe
Windows Installer MSIServer Msiexec.exe
Расширения драйверов WMI (Windows Management Instrumentation Driver Extensions) Wmi Svchost.exe
Служба времени Windows (Windows Time) W32Time Svchost.exe
Беспроводная настройка (Wireless Zero Configuration) WZCSVC Svchost.exe
Адаптер производительности WMI (WMI Performance Adapter) WmiApSrv Wmiapsrv.exe
Рабочая станция (Workstation) Lanmanworkstation Svchost.exe

Литература:

  1. Руководство по безопасности для ОС Windows 2000 Server (Microsoft Corporation)
  2. Эд Ботт, Карл Зихерт "Windows XP" издательство Питер 2003 г.
  3. "Компьютеры + программы" №5 2003 г.

1. Создается с помощью утилиты deploy.cab. Для работы создайте папку, разверните туда архив deploy.cab. Вложенный файл setupmgr.exe является Менеджером установки (Microsoft Setup Manager Wizard), который используется для создания файлов ответов.

2. В больших фирмах с сетями под управлением серверов Windows 2000 Server или Windows 2003 Server развертывание Windows XP может быть выполнено благодаря службам удаленной установки (Remote Installation Services-RIS) и серверу управления системами Microsoft (Systems Management Server - SMS). Подробнее о RIS можно прочесть http://www.microsoft.com/windows/server SMS позволяет управлять установкой централизованно (http://www.microsoft.com/smsmgmt)

3.Для проведения обновлений можно воспользоваться Microsoft Software Update Services (SUS) (подробнее см. http://www.microsoft.com/windowsserversystem/sus/default.mspx).

4.Существует ряд сканеров безопасности третьих фирм, они описаны в приложении 1 к данной статье

5.Более полно данный вопрос рассмотрен в статье Безмалого В.Ф. "Оптимизация Windows XP" "Компьютеры+программы" №5 2003

6.http://www.microsoft.com/whdc/hwdev/platform/performance/fastboot/bootvis.mspx В связи с тем, что на момент написания статьи данная утилита более недоступна на сайте Microsoft, рекомендуется скачать по адресу http://www.softodrom.ru/win/p1659.shtml

7. На системах с объемом 256 Мб и более отключать эту функцию нет необходимости, так как увеличение быстродействия незначительно, а программы будут грузиться дольше.

8.Очистка этой папки перед каждой перезагрузкой может привести к ухудшению быстродействия системы.

9.Сюда же относятся иключи указанных разделов RunServices и RunServicesOnce

10.По умолчанию Windows XP Professional предоставляют пользователю весьма упрощенный интерфейс безопасности, позволяющий устанавливать значения весьма ограниченного числа параметров доступа на основе членства во встроенных группах.

11.Чтобы изменить этот параметр вы должны быть членом группы Администраторы

Новости мира IT:

Архив новостей

Последние комментарии:

Релиз ядра Linux 4.14  (6)
Пятница 17.11, 16:12
Apple запустила Pay Cash (2)
Четверг 09.11, 21:15
Loading

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 985 1945361
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2015 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...