Автор – Sunnych.
Оригинал статьи – на сайте bestfilez.net.
Статья публикуется по личному разрешению автора.
При перепечатке обязательно указание прямой активной ссылки на на оригинал статьи.

Рекомендации по устранению уязвимостей ОС Windows XP Pro SP2

Общие рекомендации

• Не рекомендуется, использовать рабочую станцию для предоставления удаленного доступа к локальным ресурсам самой рабочей станции (диски, привод, принтер и.т.п) другим пользователям. Обмен файлами между рабочими станциями осуществляется только через файловые серверы; удаленная печать документов – через общий сетевой принтер или принт-сервер. Исполнение данной рекомендации значительно снизит количество неконтролируемой передачи информации в сети.
• Рекомендуется заблокировать в BIOS опцию включения компьютера через локальную сеть (опция в BIOS имеет названия типа “Wake-Up by PCI card”, “Wake ON LAN” и.т.п.) для обеспечения умышленного или неумышленного удаленного запуска компьютера.
• Рекомендуется после инсталяции ОС заблокировать в BIOS загрузку рабочей станции с CD, DVD, FDD, ZIP-Drive, USB-Flash носителей, с локальной сети (LAN) и.т.п. Это необходимо для исключения возможности загрузки другой операционной системы или программ, которые могут игнорировать действующее разделение прав на файловую систему и получения полного доступа к информации на локальных дисках.
• Для предотвращения несанкционированных изменений настроек BIOS необходимо активировать ввод пароля на вход в BIOS.
• Нежелательно устанавливать на компьютер более одной ОС.
• Необходимо во время инсталяции ОС установить формат файловой системы на всех логических дисках – NTFS.
• Запрещается использование встроенного механизма автоматической/ручной отправки в Microsoft отчетов про ошибки OC Windows XP, для этого в меню Пуск – Панель управления – Переключение к классическому виду – Система – Дополнительно – Отчет об ошибках отметить «Отключить отчет об ошибках».
• Необходимо запретить автоматический запуск на выполнение программ с компакт-диска, жесткого диска (каталогов, где есть файл autorun.inf) и.т.п., для этого в ключе реестра:
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
  
  создадим переменную реестра NoDriveTypeAutoRun типу REG_DWORD и установим ее значение 0xFF. Если раздел “Explorer” не существует – создаем его.
  

• Необходимо установить значения максимального размера журналов аудита в параметрах ведения журналов аудита не меньше чем:
  • «Безопасность» – 40960 Кбайт;
  • «Система» – 20480 Кбайт;
  • «Приложение» – 20480 Кбайт.
• Запретить выполнение команд альтернативных систем (POSIX), для этого в ключе реестра:
  HKLM\System\CurrentControlSet\Control\SessionManager\SubSystems удаляем значение переменной реестра Optional.
  
• Необходимо запретить удаленный доступ к жесткому диску компьютера (на ресурсы C$, D$ и.т.п.), для этого в ключе реестра:
  HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
  создадим переменную реестру AutoShareWks типа REG_DWORD и установим ее значение, равное 0.

Рекомендации по конфигурации общих параметров учетных записей пользователей ОС.

• Переименовать учетную запись пользователя «Администратор» в «тут_на_Ваш_выбор».
• Удалить учетную запись пользователя HelpAssistant и SUPPORT_388945a0.
• Установить учетной записи пользователя «Гость» пароль и заблокировать ее.
• Выполнить с помощью утилиты Групповая политика (Пуск – Выполнить – gpedit.msc) :

в разделе Конфигурация пользователя – Административные шаблоны – Рабочий стол установить для параметра «Не добавлять общие папки из которых открыты документы в «Сетевое окружение"" значение – «включен».

• Для всех учетных записей пользователей ОС (кроме «Гость») снять отметку «Автоматический поиск сетевых папок и принтеров» в Мой компьютер – Свойства папки – Вид.
• Для учетных записей пользователей ОС установить политику смен пароля на своё усмотрение (но должны быть ограничения).

Рекомендации для конфигурации «Локальных политик безопасности»

• С помощью утилиты «Локальная политика безопасности» в разделе Локальные политики – Параметры безопасности установить следующее:

В разделе Локальные политики/Назначение прав пользователя установить следующее:

• Запретить вход в систему через службу терминалов – «Все»
• Отказ в доступе к компьютеру из сети – добавить в перечисление группу «Администраторы».

В разделе Локальные политики – Политика аудита установить следующее:

• Аудит входа в систему – «Успех» и «Отказ»
• Аудит событий входа в систему – «Успех» и «Отказ»
• Аудит изменений политики – «Успех» и «Отказ»
• Аудит управления учетными записями – «Успех» и «Отказ»
• Аудит использования привилегий – «Отказ»
• Аудит системных событий – «Успех» и «Отказ»

В разделе Политики учетных записей – Политика блокировки учетной записи установить следующее:

• Блокировка учетной записи на – «30 минут»
• Пороговое значение блокировки – «5 ошибок входа в систему»
• Сброс счетчика блокировки через – «30 минут»

Рекомендации конфигурирования служб ОС

Сконфигурировать с помощью утилиты Службы (services.msc) следующие службы ОС:

Рекомендации конфигурирования параметров сетевого доступа

• Запретить удаленный доступ к реестру ОС, для этого в ключе реестра:
  HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg установить такие права доступа:
  
  • для группы «Администраторы» и «Система» – право «Полный доступ»;
  • для группы “LOCAL SERVICE” – право «Чтение»;
  • для всех других пользователей и групп – удалить их с перечисленных групп и пользователей, которым предоставлен доступ.
• Отключить удаленный доступ к компьютеру, для этого в меню Пуск – Панель управления – Система – Удалённое использование снять отметку с «Разрешить удалённый доступ к этому компьютеру» и с «Разрешить отправку приглашения удалённому помощнику».
• Запретить использование SSDP Simple Service Discovery Protocol and UPnP Universal Plug and Play, для этого в ключе реестра:

• Рекомендуется сконфигурировать синхронизацию часов компьютера с сервером точного времени по протоколу NTP с помощью встроенного в ОС NTP-клиента, для этого в меню Пуск – Панель управления – Дата и время – Время Интернета в поле Сервер ввести сетевое имя сервера точного времени (информация про сервер точного времени уточняется в отделе телекомуникационных систем и сетевых технологий). Синхронизация должна выполняться не реже, чем один раз в сутки, для этого в ключе реестра:

(надеюсь что это будет кому то интересно?!)
Sunnych

Редактирование этой страницы отключено. Обменяться мнениями приглашаю на форуме.
Abram4