Рекомендации По Устранению Уязвимостей Windows XP
Автор – Sunnych.
Оригинал статьи – на сайте bestfilez.net.
Статья публикуется по личному разрешению автора.
При перепечатке обязательно указание прямой активной ссылки на на оригинал статьи.
Общие рекомендации
- Не рекомендуется, использовать рабочую станцию для предоставления удаленного доступа к локальным ресурсам самой рабочей станции (диски, привод, принтер и.т.п) другим пользователям. Обмен файлами между рабочими станциями осуществляется только через файловые серверы; удаленная печать документов – через общий сетевой принтер или принт-сервер. Исполнение данной рекомендации значительно снизит количество неконтролируемой передачи информации в сети.
- Рекомендуется заблокировать в BIOS опцию включения компьютера через локальную сеть (опция в BIOS имеет названия типа “Wake-Up by PCI card”, «Wake ON LAN» и.т.п.) для обеспечения умышленного или неумышленного удаленного запуска компьютера.
- Рекомендуется после инсталяции ОС заблокировать в BIOS загрузку рабочей станции с CD, DVD, FDD, ZIP-Drive, USB-Flash носителей, с локальной сети (LAN) и.т.п. Это необходимо для исключения возможности загрузки другой операционной системы или программ, которые могут игнорировать действующее разделение прав на файловую систему и получения полного доступа к информации на локальных дисках.
- Для предотвращения несанкционированных изменений настроек BIOS необходимо активировать ввод пароля на вход в BIOS.
- Нежелательно устанавливать на компьютер более одной ОС.
- Необходимо во время инсталяции ОС установить формат файловой системы на всех логических дисках – NTFS.
- Запрещается использование встроенного механизма автоматической/ручной отправки в Microsoft отчетов про ошибки OC Windows XP, для этого в меню Пуск – Панель управления – Переключение к классическому виду – Система – Дополнительно – Отчет об ошибках отметить «Отключить отчет об ошибках».
- Необходимо запретить автоматический запуск на выполнение программ с компакт-диска, жесткого диска (каталогов, где есть файл autorun.inf) и.т.п., для этого в ключе реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorerсоздадим переменную реестра NoDriveTypeAutoRun типу REG_DWORD и установим ее значение 0xFF. Если раздел «Explorer» не существует – создаем его.
- Необходимо установить значения максимального размера журналов аудита в параметрах ведения журналов аудита не меньше чем:
- «Безопасность» – 40960 Кбайт;
- «Система» – 20480 Кбайт;
- «Приложение» – 20480 Кбайт.
- Запретить выполнение команд альтернативных систем (POSIX), для этого в ключе реестра:
HKLM\System\CurrentControlSet\Control\SessionManager\SubSystems удаляем значение переменной реестра Optional.
- Необходимо запретить удаленный доступ к жесткому диску компьютера (на ресурсы C$, D$ и.т.п.), для этого в ключе реестра:
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
создадим переменную реестру AutoShareWks типа REG_DWORD и установим ее значение, равное 0.
Рекомендации по конфигурации общих параметров учетных записей пользователей ОС.
- Переименовать учетную запись пользователя «Администратор» в «тут_на_Ваш_выбор».
- Удалить учетную запись пользователя HelpAssistant и SUPPORT_388945a0.
- Установить учетной записи пользователя «Гость» пароль и заблокировать ее.
- Выполнить с помощью утилиты Групповая политика (Пуск – Выполнить – gpedit.msc) :
в разделе Конфигурация пользователя – Административные шаблоны – Рабочий стол установить для параметра «Не добавлять общие папки из которых открыты документы в «Сетевое окружение"" значение – «включен».
- Для всех учетных записей пользователей ОС (кроме «Гость») снять отметку «Автоматический поиск сетевых папок и принтеров» в Мой компьютер – Свойства папки – Вид.
- Для учетных записей пользователей ОС установить политику смен пароля на своё усмотрение (но должны быть ограничения).
Рекомендации для конфигурации «Локальных политик безопасности»
- С помощью утилиты «Локальная политика безопасности» в разделе Локальные политики – Параметры безопасности установить следующее:
Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее | 8 дней |
Интерактивный вход в систему: не отображать последнего имени пользователя | включить |
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) | включить |
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) | включить |
Сетевая безопасность: уровень проверки подлинности LAN Manager | Отправлять только NTLM ответ |
Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля | «включен |
Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей | гостевая |
Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями | включить |
Сетевой доступ: разрешать анонимный доступ к общим ресурсам | удалить значение |
В разделе Локальные политики/Назначение прав пользователя установить следующее:
- Запретить вход в систему через службу терминалов – «Все»
- Отказ в доступе к компьютеру из сети – добавить в перечисление группу «Администраторы».
В разделе Локальные политики – Политика аудита установить следующее:
- Аудит входа в систему – «Успех» и «Отказ»
- Аудит событий входа в систему – «Успех» и «Отказ»
- Аудит изменений политики – «Успех» и «Отказ»
- Аудит управления учетными записями – «Успех» и «Отказ»
- Аудит использования привилегий – «Отказ»
- Аудит системных событий – «Успех» и «Отказ»
В разделе Политики учетных записей – Политика блокировки учетной записи установить следующее:
- Блокировка учетной записи на – «30 минут»
- Пороговое значение блокировки – «5 ошибок входа в систему»
- Сброс счетчика блокировки через – «30 минут»
Рекомендации конфигурирования служб ОС
Сконфигурировать с помощью утилиты Службы (services.msc) следующие службы ОС:
Имя | Тип запуска |
Оповещатель (посылает выбранным пользователям и компьютерам административные оповещения) | отключено |
NetMeeting Remote Desktop Sharing (разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting) | отключено |
Диспетчер сеанса справки для удаленного рабочего стола (управляет возможностями Удаленного помощника; после остановки данной службы Удаленный помощник будет недоступен) | отключено |
Удаленный реестр (позволяет удаленным пользователям изменять параметры реестра на этом компьютере, если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере) | отключено |
Служба обнаружения SSDP (включить обнаружение UPnP-устройств в домашней сети) | отключено |
Узел универсальных PnP-устройств (поддерживает универсальные PnP-устройства узла) | отключено |
Службы терминалов (предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах; является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов) | отключено |
Служба индексирования (индексирует содержимое и свойства файлов на локальном и удаленных компьютерах, обеспечивает быстрый доступ к файлам с помощью гибкого языка запросов) | авто |
Автоматическое обновление (включает загрузку и установку обновлений Windows) | отключено |
Рекомендации конфигурирования параметров сетевого доступа
- Запретить удаленный доступ к реестру ОС, для этого в ключе реестра:
HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg установить такие права доступа:
- для группы «Администраторы» и «Система» – право «Полный доступ»;
- для группы «LOCAL SERVICE» – право «Чтение»;
- для всех других пользователей и групп – удалить их с перечисленных групп и пользователей, которым предоставлен доступ.
- Отключить удаленный доступ к компьютеру, для этого в меню Пуск – Панель управления – Система – Удалённое использование снять отметку с «Разрешить удалённый доступ к этому компьютеру» и с «Разрешить отправку приглашения удалённому помощнику».
- Запретить использование SSDP Simple Service Discovery Protocol and UPnP Universal Plug and Play, для этого в ключе реестра:
- Рекомендуется сконфигурировать синхронизацию часов компьютера с сервером точного времени по протоколу NTP с помощью встроенного в ОС NTP-клиента, для этого в меню Пуск – Панель управления – Дата и время – Время Интернета в поле Сервер ввести сетевое имя сервера точного времени (информация про сервер точного времени уточняется в отделе телекомуникационных систем и сетевых технологий). Синхронизация должна выполняться не реже, чем один раз в сутки, для этого в ключе реестра:
(надеюсь что это будет кому то интересно?!)
Sunnych
Редактирование этой страницы отключено. Обменяться мнениями приглашаю на форуме.
Abram4