Sunnych.
Оригинал статьи – на сайте bestfilez.net.
Статья публикуется по личному разрешению автора.
При перепечатке обязательно указание прямой активной ссылки на на оригинал статьи.
Рекомендации по устранению уязвимостей ОС Windows XP Pro SP2
Общие рекомендации
- Не рекомендуется использовать рабочую станцию для предоставления удаленного доступа к локальным ресурсам самой рабочей станции (диски, привод, принтер и.т.п) другим пользователям. Обмен файлами между рабочими станциями осуществляется только через файловые серверы; удаленная печать документов – через общий сетевой принтер или принт-сервер. Исполнение данной рекомендации значительно снизит количество неконтролируемой передачи информации в сети.
- Рекомендуется заблокировать в BIOS опцию включения компьютера через локальную сеть (опция в BIOS имеет названия типа “Wake-Up by PCI card”, “Wake ON LAN” и.т.п.) для обеспечения умышленного или неумышленного удаленного запуска компьютера.
- Рекомендуется после инсталяции ОС заблокировать в BIOS загрузку рабочей станции с CD, DVD, FDD, ZIP-Drive, USB-Flash носителей, с локальной сети (LAN) и.т.п. Это необходимо для исключения возможности загрузки другой операционной системы или программ, которые могут игнорировать действующее разделение прав на файловую систему и получения полного доступа к информации на локальных дисках.
- Для предотвращения несанкционированных изменений настроек BIOS необходимо активировать ввод пароля на вход в BIOS.
- Нежелательно устанавливать на компьютер более одной ОС.
- Необходимо во время инсталяции ОС установить формат файловой системы на всех логических дисках – NTFS.
- Запрещается использование встроенного механизма автоматической/ручной отправки в Microsoft отчетов про ошибки OC Windows XP, для этого в меню Пуск – Панель управления – Переключение к классическому виду – Система – Дополнительно – Отчет об ошибках отметить "Отключить отчет об ошибках".
- Необходимо запретить автоматический запуск на выполнение программ с компакт-диска, жесткого диска (каталогов, где есть файл autorun.inf) и.т.п., для этого в ключе реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorerсоздадим переменную реестра NoDriveTypeAutoRun типу REG_DWORD и установим ее значение 0xFF. Если раздел “Explorer” не существует – создаем его.
- Необходимо установить значения максимального размера журналов аудита в параметрах ведения журналов аудита не меньше чем:
- "Безопасность" – 40960 Кбайт;
- "Система" – 20480 Кбайт;
- "Приложение" – 20480 Кбайт.
- Запретить выполнение команд альтернативных систем (POSIX), для этого в ключе реестра:
HKLM\System\CurrentControlSet\Control\SessionManager\SubSystems удаляем значение переменной реестра Optional.
- Необходимо запретить удаленный доступ к жесткому диску компьютера (на ресурсы C$, D$ и.т.п.), для этого в ключе реестра:
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
создадим переменную реестру AutoShareWks типа REG_DWORD и установим ее значение, равное 0.
Рекомендации по конфигурации общих параметров учетных записей пользователей ОС.
- Переименовать учетную запись пользователя "Администратор" в "тут_на_Ваш_выбор".
- Удалить учетную запись пользователя HelpAssistant и SUPPORT_388945a0.
- Установить учетной записи пользователя "Гость" пароль и заблокировать ее.
- Выполнить с помощью утилиты Групповая политика (Пуск – Выполнить – gpedit.msc) :
- Для всех учетных записей пользователей ОС (кроме "Гость") снять отметку "Автоматический поиск сетевых папок и принтеров" в Мой компьютер – Свойства папки – Вид.
- Для учетных записей пользователей ОС установить политику смен пароля на своё усмотрение (но должны быть ограничения).
Рекомендации для конфигурации "Локальных политик безопасности"
- С помощью утилиты "Локальная политика безопасности" в разделе Локальные политики – Параметры безопасности установить следующее:
| Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее | 8 дней |
| Интерактивный вход в систему: не отображать последнего имени пользователя | включить |
| Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) | включить |
| Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) | включить |
| Сетевая безопасность: уровень проверки подлинности LAN Manager | Отправлять только NTLM ответ |
| Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля | "включен |
| Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей | гостевая |
| Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями | включить |
| Сетевой доступ: разрешать анонимный доступ к общим ресурсам | удалить значение |
В разделе Локальные политики/Назначение прав пользователя установить следующее:
- Запретить вход в систему через службу терминалов – "Все"
- Отказ в доступе к компьютеру из сети – добавить в перечисление группу "Администраторы".
В разделе Локальные политики – Политика аудита установить следующее:
- Аудит входа в систему – "Успех" и "Отказ"
- Аудит событий входа в систему – "Успех" и "Отказ"
- Аудит изменений политики – "Успех" и "Отказ"
- Аудит управления учетными записями – "Успех" и "Отказ"
- Аудит использования привилегий – "Отказ"
- Аудит системных событий – "Успех" и "Отказ"
В разделе Политики учетных записей – Политика блокировки учетной записи установить следующее:
- Блокировка учетной записи на – "30 минут"
- Пороговое значение блокировки – "5 ошибок входа в систему"
- Сброс счетчика блокировки через – "30 минут"
Рекомендации конфигурирования служб ОС
Сконфигурировать с помощью утилиты Службы (services.msc) следующие службы ОС:
| Имя | Тип запуска |
| Оповещатель (посылает выбранным пользователям и компьютерам административные оповещения) | отключено |
| NetMeeting Remote Desktop Sharing (разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting) | отключено |
| Диспетчер сеанса справки для удаленного рабочего стола (управляет возможностями Удаленного помощника; после остановки данной службы Удаленный помощник будет недоступен) | отключено |
| Удаленный реестр (позволяет удаленным пользователям изменять параметры реестра на этом компьютере, если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере) | отключено |
| Служба обнаружения SSDP (включить обнаружение UPnP-устройств в домашней сети) | отключено |
| Узел универсальных PnP-устройств (поддерживает универсальные PnP-устройства узла) | отключено |
| Службы терминалов (предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах; является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов) | отключено |
| Служба индексирования (индексирует содержимое и свойства файлов на локальном и удаленных компьютерах, обеспечивает быстрый доступ к файлам с помощью гибкого языка запросов) | авто |
| Автоматическое обновление (включает загрузку и установку обновлений Windows) | отключено |
Рекомендации конфигурирования параметров сетевого доступа
- Запретить удаленный доступ к реестру ОС, для этого в ключе реестра:
HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg установить такие права доступа:
- для группы "Администраторы" и "Система" – право "Полный доступ";
- для группы “LOCAL SERVICE” – право "Чтение";
- для всех других пользователей и групп – удалить их с перечисленных групп и пользователей, которым предоставлен доступ.
- Отключить удаленный доступ к компьютеру, для этого в меню Пуск – Панель управления – Система – Удалённое использование снять отметку с "Разрешить удалённый доступ к этому компьютеру" и с "Разрешить отправку приглашения удалённому помощнику".
- Запретить использование SSDP Simple Service Discovery Protocol and UPnP Universal Plug and Play, для этого в ключе реестра:
HKLM\Software\Microsoft\DirectPlayNATHelp\DPNHUPnP создать переменную реестра UPnPMode типа “REG_DWORD” и установить ее значение, равное 2.
- Рекомендуется сконфигурировать синхронизацию часов компьютера с сервером точного времени по протоколу NTP с помощью встроенного в ОС NTP-клиента, для этого в меню Пуск – Панель управления – Дата и время – Время Интернета в поле Сервер ввести сетевое имя сервера точного времени (информация про сервер точного времени уточняется в отделе телекомуникационных систем и сетевых технологий). Синхронизация должна выполняться не реже, чем один раз в сутки, для этого в ключе реестра:
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient создаем переменную реестра SpecialPollInterval типа “REG_DWORD” и устанавливаем ей значение, равно 86400.
(надеюсь что это будет кому то интересно?!)
Sunnych
Редактирование этой страницы отключено. Обменяться мнениями приглашаю
на форуме.
Прочитано 17136 раз