Автор - **((http://www.bestfilez.net/forums/index.php?showuser=152177 Sunnych))**.
Оригинал статьи - **((http://www.bestfilez.net/index.php?ind=reviews&op=entry_view&iden=3 на сайте bestfilez.net))**.
++Статья публикуется по личному разрешению автора.++
++При перепечатке обязательно указание прямой активной ссылки на **((http://www.bestfilez.net/index.php?ind=reviews&op=entry_view&iden=3 на оригинал статьи))**.++
----
{{TOC}}
====Общие рекомендации===
*Не рекомендуется, использовать рабочую станцию для предоставления удаленного доступа к локальным ресурсам самой рабочей станции (диски, привод, принтер и.т.п) другим пользователям. Обмен файлами между рабочими станциями осуществляется только через файловые серверы; удаленная печать документов - через общий сетевой принтер или принт-сервер. Исполнение данной рекомендации значительно снизит количество неконтролируемой передачи информации в сети.
*Рекомендуется заблокировать в BIOS опцию включения компьютера через локальную сеть (опция в BIOS имеет названия типа “Wake-Up by PCI card”, "Wake ON LAN" и.т.п.) для обеспечения умышленного или неумышленного удаленного запуска компьютера.
*Рекомендуется после инсталяции ОС заблокировать в BIOS загрузку рабочей станции с CD, DVD, FDD, ZIP-Drive, USB-Flash носителей, с локальной сети (LAN) и.т.п. Это необходимо для исключения возможности загрузки другой операционной системы или программ, которые могут игнорировать действующее разделение прав на файловую систему и получения полного доступа к информации на локальных дисках.
*Для предотвращения несанкционированных изменений настроек BIOS необходимо активировать ввод пароля на вход в BIOS.
*Нежелательно устанавливать на компьютер более одной ОС.
*Необходимо во время инсталяции ОС установить формат файловой системы на всех логических дисках – NTFS.
*Запрещается использование встроенного механизма автоматической/ручной отправки в Microsoft отчетов про ошибки OC Windows XP, для этого в меню //**Пуск - Панель управления - Переключение к классическому виду - Система - Дополнительно - Отчет об ошибках**// отметить **"Отключить отчет об ошибках"**.
*Необходимо запретить автоматический запуск на выполнение программ с компакт-диска, жесткого диска (каталогов, где есть файл autorun.inf) и.т.п., для этого в ключе реестра:
//**HKLM\SOFTWARE\Microsoft\Windows\~CurrentVersion\Policies\Explorer**//
создадим переменную реестра **~NoDriveTypeAutoRun** типу **REG_DWORD** и установим ее значение **0xFF**. Если раздел "Explorer" не существует – создаем его.
*Необходимо установить значения максимального размера журналов аудита в параметрах ведения журналов аудита не меньше чем:
- "Безопасность" – 40960 Кбайт;
- "Система" – 20480 Кбайт;
- "Приложение" – 20480 Кбайт.
*Запретить выполнение команд альтернативных систем (POSIX), для этого в ключе реестра:
//**HKLM\System\~CurrentControlSet\Control\SessionManager\SubSystems**// удаляем значение переменной реестра **Optional**.
*Необходимо запретить удаленный доступ к жесткому диску компьютера (на ресурсы **C$, D$** и.т.п.), для этого в ключе реестра:
//**HKLM\System\~CurrentControlSet\Services\LanmanServer\Parameters**//
создадим переменную реестру **~AutoShareWks** типа **REG_DWORD** и установим ее значение, равное **0**.
====Рекомендации по конфигурации общих параметров учетных записей пользователей ОС.==
*Переименовать учетную запись пользователя "Администратор" в "тут_на_Ваш_выбор".
*Удалить учетную запись пользователя **~HelpAssistant** и **SUPPORT_388945a0**.
*Установить учетной записи пользователя **"Гость"** пароль и заблокировать ее.
*Выполнить с помощью утилиты **Групповая политика** (Пуск - Выполнить - gpedit.msc) :
в разделе **Конфигурация пользователя - Административные шаблоны - Рабочий стол** установить для параметра "Не добавлять общие папки из которых открыты документы в "Сетевое окружение"" значение – "включен".
*Для всех учетных записей пользователей ОС (кроме **"Гость"**) снять отметку "Автоматический поиск сетевых папок и принтеров" в //**Мой компьютер - Свойства папки - Вид**//.
*Для учетных записей пользователей ОС установить политику смен пароля на своё усмотрение (но должны быть ограничения).
====Рекомендации для конфигурации "Локальных политик безопасности"==
*С помощью утилиты "Локальная политика безопасности" в разделе **Локальные политики - Параметры безопасности** установить следующее:
#|
||Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее|8 дней||
||Интерактивный вход в систему: не отображать последнего имени пользователя|включить||
||Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)|включить||
||Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)|включить||
||Сетевая безопасность: уровень проверки подлинности LAN Manager|Отправлять только NTLM ответ||
||Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля|"включен||
||Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей|гостевая||
||Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями|включить||
||Сетевой доступ: разрешать анонимный доступ к общим ресурсам|удалить значение||
|#
В разделе **Локальные политики/Назначение прав пользователя** установить следующее:
*Запретить вход в систему через службу терминалов - **"Все"**
*Отказ в доступе к компьютеру из сети - добавить в перечисление группу **"Администраторы"**.
В разделе **Локальные политики - Политика аудита** установить следующее:
*Аудит входа в систему - "Успех" и "Отказ"
*Аудит событий входа в систему - "Успех" и "Отказ"
*Аудит изменений политики - "Успех" и "Отказ"
*Аудит управления учетными записями - "Успех" и "Отказ"
*Аудит использования привилегий - "Отказ"
*Аудит системных событий - "Успех" и "Отказ"
В разделе **Политики учетных записей - Политика блокировки учетной записи** установить следующее:
*Блокировка учетной записи на - "30 минут"
*Пороговое значение блокировки - "5 ошибок входа в систему"
*Сброс счетчика блокировки через - "30 минут"
====Рекомендации конфигурирования служб ОС==
Сконфигурировать с помощью утилиты **Службы** (services.msc) следующие службы ОС:
#|
||Имя|Тип запуска||
||Оповещатель (посылает выбранным пользователям и компьютерам административные оповещения)|отключено||
||~NetMeeting Remote Desktop Sharing (разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя ~NetMeeting)|отключено||
||Диспетчер сеанса справки для удаленного рабочего стола (управляет возможностями Удаленного помощника; после остановки данной службы Удаленный помощник будет недоступен)|отключено||
||Удаленный реестр (позволяет удаленным пользователям изменять параметры реестра на этом компьютере, если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере)|отключено||
||Служба обнаружения SSDP (включить обнаружение ~UPnP-устройств в домашней сети)|отключено||
||Узел универсальных ~PnP-устройств (поддерживает универсальные ~PnP-устройства узла)|отключено||
||Службы терминалов (предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах; является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов)|отключено||
||Служба индексирования (индексирует содержимое и свойства файлов на локальном и удаленных компьютерах, обеспечивает быстрый доступ к файлам с помощью гибкого языка запросов)|авто||
||Автоматическое обновление (включает загрузку и установку обновлений Windows)|отключено||
|#
====Рекомендации конфигурирования параметров сетевого доступа==
*Запретить удаленный доступ к реестру ОС, для этого в ключе реестра:
//**HKLM\SYSTEM\~CurrentControlSet\Control\SecurePipeServers\Winreg**// установить такие права доступа:
*для группы "Администраторы" и "Система" – право "Полный доступ";
*для группы "LOCAL SERVICE" – право "Чтение";
*для всех других пользователей и групп – удалить их с перечисленных групп и пользователей, которым предоставлен доступ.
*Отключить удаленный доступ к компьютеру, для этого в меню //**Пуск - Панель управления - Система - Удалённое использование**// снять отметку с "Разрешить удалённый доступ к этому компьютеру" и с "Разрешить отправку приглашения удалённому помощнику".
*Запретить использование SSDP Simple Service Discovery Protocol and ~UPnP Universal Plug and Play, для этого в ключе реестра:
//**HKLM\Software\Microsoft\~DirectPlayNATHelp\DPNHUPnP**// создать переменную реестра **~UPnPMode** типа "REG_DWORD" и установить ее значение, равное **2**.
*Рекомендуется сконфигурировать синхронизацию часов компьютера с сервером точного времени по протоколу NTP с помощью встроенного в ОС NTP-клиента, для этого в меню //**Пуск - Панель управления - Дата и время - Время Интернета**// в поле **Сервер** ввести сетевое имя сервера точного времени (информация про сервер точного времени уточняется в отделе телекомуникационных систем и сетевых технологий). Синхронизация должна выполняться не реже, чем один раз в сутки, для этого в ключе реестра:
//**HKLM\SYSTEM\~CurrentControlSet\Services\W32Time\TimeProviders\NtpClient**// создаем переменную реестра **~SpecialPollInterval** типа "REG_DWORD" и устанавливаем ей значение, равно 86400.
(надеюсь что это будет кому то интересно?!)
**Sunnych**
----
Редактирование этой страницы отключено. Обменяться мнениями приглашаю ((http://forum.compowiki.info/ на форуме)).
((/Abram4 Abram4))
>>++**Прочитано {{hits}} раз**++<<
