CompoWiki.info РекомендацииПоУстранениюУязвимостей WindowsXP ...
Поиск:
ФОРУМ Наблюдать | Версия для печати | Версия для экспорта в Microsoft Word | Вход:   Пароль:  
 

Автор – Sunnych.
Оригинал статьи – на сайте bestfilez.net.
Статья публикуется по личному разрешению автора.
При перепечатке обязательно указание прямой активной ссылки на на оригинал статьи.


Рекомендации по устранению уязвимостей ОС Windows XP Pro SP2

Оглавление

Общие рекомендации

  • Не рекомендуется, использовать рабочую станцию для предоставления удаленного доступа к локальным ресурсам самой рабочей станции (диски, привод, принтер и.т.п) другим пользователям. Обмен файлами между рабочими станциями осуществляется только через файловые серверы; удаленная печать документов – через общий сетевой принтер или принт-сервер. Исполнение данной рекомендации значительно снизит количество неконтролируемой передачи информации в сети.
  • Рекомендуется заблокировать в BIOS опцию включения компьютера через локальную сеть (опция в BIOS имеет названия типа “Wake-Up by PCI card”, “Wake ON LAN” и.т.п.) для обеспечения умышленного или неумышленного удаленного запуска компьютера.
  • Рекомендуется после инсталяции ОС заблокировать в BIOS загрузку рабочей станции с CD, DVD, FDD, ZIP-Drive, USB-Flash носителей, с локальной сети (LAN) и.т.п. Это необходимо для исключения возможности загрузки другой операционной системы или программ, которые могут игнорировать действующее разделение прав на файловую систему и получения полного доступа к информации на локальных дисках.
  • Для предотвращения несанкционированных изменений настроек BIOS необходимо активировать ввод пароля на вход в BIOS.
  • Нежелательно устанавливать на компьютер более одной ОС.
  • Необходимо во время инсталяции ОС установить формат файловой системы на всех логических дисках – NTFS.
  • Запрещается использование встроенного механизма автоматической/ручной отправки в Microsoft отчетов про ошибки OC Windows XP, для этого в меню Пуск – Панель управления – Переключение к классическому виду – Система – Дополнительно – Отчет об ошибках отметить "Отключить отчет об ошибках".
  • Необходимо запретить автоматический запуск на выполнение программ с компакт-диска, жесткого диска (каталогов, где есть файл autorun.inf) и.т.п., для этого в ключе реестра:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
    создадим переменную реестра NoDriveTypeAutoRun типу REG_DWORD и установим ее значение 0xFF. Если раздел “Explorer” не существует – создаем его.
  • Необходимо установить значения максимального размера журналов аудита в параметрах ведения журналов аудита не меньше чем:
    • "Безопасность" – 40960 Кбайт;
    • "Система" – 20480 Кбайт;
    • "Приложение" – 20480 Кбайт.
  • Запретить выполнение команд альтернативных систем (POSIX), для этого в ключе реестра:
    HKLM\System\CurrentControlSet\Control\SessionManager\SubSystems удаляем значение переменной реестра Optional.
  • Необходимо запретить удаленный доступ к жесткому диску компьютера (на ресурсы C$, D$ и.т.п.), для этого в ключе реестра:
    HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
    создадим переменную реестру AutoShareWks типа REG_DWORD и установим ее значение, равное 0.

Рекомендации по конфигурации общих параметров учетных записей пользователей ОС.

  • Переименовать учетную запись пользователя "Администратор" в "тут_на_Ваш_выбор".
  • Удалить учетную запись пользователя HelpAssistant и SUPPORT_388945a0.
  • Установить учетной записи пользователя "Гость" пароль и заблокировать ее.
  • Выполнить с помощью утилиты Групповая политика (Пуск – Выполнить – gpedit.msc) :

в разделе Конфигурация пользователя – Административные шаблоны – Рабочий стол установить для параметра "Не добавлять общие папки из которых открыты документы в "Сетевое окружение"" значение – "включен".

  • Для всех учетных записей пользователей ОС (кроме "Гость") снять отметку "Автоматический поиск сетевых папок и принтеров" в Мой компьютер – Свойства папки – Вид.
  • Для учетных записей пользователей ОС установить политику смен пароля на своё усмотрение (но должны быть ограничения).

Рекомендации для конфигурации "Локальных политик безопасности"

  • С помощью утилиты "Локальная политика безопасности" в разделе Локальные политики – Параметры безопасности установить следующее:
Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее8 дней
Интерактивный вход в систему: не отображать последнего имени пользователявключить
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)включить
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)включить
Сетевая безопасность: уровень проверки подлинности LAN ManagerОтправлять только NTLM ответ
Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля"включен
Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записейгостевая
Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователямивключить
Сетевой доступ: разрешать анонимный доступ к общим ресурсамудалить значение

В разделе Локальные политики/Назначение прав пользователя установить следующее:

  • Запретить вход в систему через службу терминалов – "Все"
  • Отказ в доступе к компьютеру из сети – добавить в перечисление группу "Администраторы".

В разделе Локальные политики – Политика аудита установить следующее:

  • Аудит входа в систему – "Успех" и "Отказ"
  • Аудит событий входа в систему – "Успех" и "Отказ"
  • Аудит изменений политики – "Успех" и "Отказ"
  • Аудит управления учетными записями – "Успех" и "Отказ"
  • Аудит использования привилегий – "Отказ"
  • Аудит системных событий – "Успех" и "Отказ"

В разделе Политики учетных записей – Политика блокировки учетной записи установить следующее:

  • Блокировка учетной записи на – "30 минут"
  • Пороговое значение блокировки – "5 ошибок входа в систему"
  • Сброс счетчика блокировки через – "30 минут"

Рекомендации конфигурирования служб ОС

Сконфигурировать с помощью утилиты Службы (services.msc) следующие службы ОС:

ИмяТип запуска
Оповещатель (посылает выбранным пользователям и компьютерам административные оповещения)отключено
NetMeeting Remote Desktop Sharing (разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting)отключено
Диспетчер сеанса справки для удаленного рабочего стола (управляет возможностями Удаленного помощника; после остановки данной службы Удаленный помощник будет недоступен)отключено
Удаленный реестр (позволяет удаленным пользователям изменять параметры реестра на этом компьютере, если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере)отключено
Служба обнаружения SSDP (включить обнаружение UPnP-устройств в домашней сети)отключено
Узел универсальных PnP-устройств (поддерживает универсальные PnP-устройства узла)отключено
Службы терминалов (предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах; является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов)отключено
Служба индексирования (индексирует содержимое и свойства файлов на локальном и удаленных компьютерах, обеспечивает быстрый доступ к файлам с помощью гибкого языка запросов)авто
Автоматическое обновление (включает загрузку и установку обновлений Windows)отключено

Рекомендации конфигурирования параметров сетевого доступа

  • Запретить удаленный доступ к реестру ОС, для этого в ключе реестра:
    HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg установить такие права доступа:
    • для группы "Администраторы" и "Система" – право "Полный доступ";
    • для группы “LOCAL SERVICE” – право "Чтение";
    • для всех других пользователей и групп – удалить их с перечисленных групп и пользователей, которым предоставлен доступ.
  • Отключить удаленный доступ к компьютеру, для этого в меню Пуск – Панель управления – Система – Удалённое использование снять отметку с "Разрешить удалённый доступ к этому компьютеру" и с "Разрешить отправку приглашения удалённому помощнику".
  • Запретить использование SSDP Simple Service Discovery Protocol and UPnP Universal Plug and Play, для этого в ключе реестра:
HKLM\Software\Microsoft\DirectPlayNATHelp\DPNHUPnP создать переменную реестра UPnPMode типа “REG_DWORD” и установить ее значение, равное 2.
  • Рекомендуется сконфигурировать синхронизацию часов компьютера с сервером точного времени по протоколу NTP с помощью встроенного в ОС NTP-клиента, для этого в меню Пуск – Панель управления – Дата и время – Время Интернета в поле Сервер ввести сетевое имя сервера точного времени (информация про сервер точного времени уточняется в отделе телекомуникационных систем и сетевых технологий). Синхронизация должна выполняться не реже, чем один раз в сутки, для этого в ключе реестра:
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient создаем переменную реестра SpecialPollInterval типа “REG_DWORD” и устанавливаем ей значение, равно 86400.

(надеюсь что это будет кому то интересно?!)
Sunnych


Редактирование этой страницы отключено. Обменяться мнениями приглашаю на форуме.
Abram4

Прочитано 30987 раз