RuBroad.ru

Все о высокоскоростном интернете в России. Провайдеры, технологии, возможности

Понедельник, 5 Декабря

Последнее обновление:09:45

RSS
Вы здесь: Журнал Материалы компаний Безопасная Windows XP: Как не попасть на трафик?

Безопасная Windows XP: Как не попасть на трафик?

E-mail

Секретные материалы" Национального банка Украины 

Мы решили внести свой вклад в дело помощи пользователям, улучшающих безопасность своего персонального компьютера с Windows XP, и решили выложить рекомендации Национального Банка Украины по устранению уязвимостей в Windows XP Professional SP2. Данные Рекомендации содержатся в приложении к телеграмме НБУ 24-112/2033.

Лишь небольшое количество пользователей интернета перед тем, как начать работу в Сети, не только устанавливают у себя современный антивирус с обновленной антивирусной базой данных и  настраивают файрвол (пусть даже встроенный в Windows XP), но и делают грамотный настройки самой операционной системы, значительно улучшающие ее безопасность.

 

Додаток 2

ВИМОГИ  ТА  РЕКОМЕНДАЦІЇ

щодо усунення вразливостей

ОС  WINDOWS  XP  PROFESSIONAL  SP2

 

У цьому документі викладено вимоги та рекомендації щодо усунення вразливостей операційної системи (ОС) Windows XP Professional з встановленим пакетом виправлень та оновлень Service Pack 2 (SP2). Рекомендації розроблені для ОС Windows XP Professional SP2, яка була встановлена в конфігурації за замовчанням та не уведена в домен Active Directory.

<....>

 

1. Загальні вимоги та рекомендації

 

1.1. Забороняється використовувати робочу станцію з  OC Windows XP SP2 для надання віддаленого доступу до локальних ресурсів цієї робочої станції (диски, принтер тощо) іншим користувачам. Обмін файлами між робочими станціями здійснювати тільки через файлові сервери; віддалене друкування документів – через спільний мережевий принтер або принт-сервер. Виконання вказаної вимоги значно зменшить кількість неконтрольованого передавання інформації в мережі.

1.2. Рекомендується заблокувати у BIOS опцію включення комп’ютера через локальну мережу (опція у BIOS має назву типу “Wake-Up by PCI card”, "Wake ON LAN" і т. ін.) для запобігання навмисному або ненавмисному від­дале­ному запуску комп’ютера.

1.3. Рекомендується після інсталяції ОС заблокувати у BIOS завантаження робочої станції з накопичувача на гнучких магнітних дисках (FDD), з накопичувача на компакт-дисках (CD-ROM), з локальної мережі (LAN), ZIP-Drive, USB-Flash тощо. Це необхідно для виключення можливості завантаження іншої операційної системи, яка може ігнорувати чинний розподіл прав на файлову систему та надати повний доступ до інформації на локальних дисках.

1.4. Для запобігання несанкціонованій зміні настройок BIOS необхідно у BIOS активувати запит пароля на вхід у  BIOS.

1.5. Рекомендується при інсталяції ОС не розділяти жорсткий диск, а створити логічний диск "С:" розміром на увесь жорсткий диск та з файловою системою NTFS (виконується під час інсталяції ОС)

1.6. Забороняється використання вбудованого механізму автоматичної/ручної відправки до Microsoft звітів про помилки OC Windows XP, для чого в меню "Пуск" => "Панель управления" => "Переключение к классическому виду" => "Система" => "Дополнительно" => "Отчет об ошибках" відмітити "Отключить отчет об ошибках".

1.7. Для забезпечення запиту паролю при спробі розпочати роботу з комп’ютером одразу після  вмикання екранної заставки, необхідно в ключі реєстру:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

створити змінну реєстру ScreenSaverGracePeriod типу "REG_DWORD" та встановити їй значення, рівне 0.

1.8. Необхідно заборонити автоматичний запуск на виконання програм з компакт-диску, жорсткого диску (каталогів, де є файл autorun.inf) тощо, для чого в ключі реєстру:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

створити змінну реєстру "NoDriveTypeAutoRun" типу "REG_DWORD" та встановити їй значення,  рівне 0xFF. Якщо розділ "Explorer" не існує – створити його.

1.9. Необхідно встановити значення максимального розміру журналів аудиту в параметрах ведення журналів аудиту не менше ніж:

- "Безопасность"            – 40960 Кбайт;

- "Система"                    – 20480 Кбайт;

- "Приложение"               – 20480 Кбайт.

1.10. Заборонити виконання команд альтернативних систем (POSIX), для чого в ключі реєстру:

HKLM\System\CurrentControlSet\Control\SessionManager\SubSystems

видалити значення  змінної реєстру "Optional".

1.11. Необхідно заборонити віддалений доступ до жорсткого диску комп’ютера (ресурси "C$","D$" і т. ін.), для чого в ключі реєстру:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

створити змінну реєстру "AutoShareWks" типу "REG_DWORD" та встановити їй значення,  рівне 0.

 

2. Вимоги, пов’язані з конфігурацією загальних параметрів

 облікових записів користувачів ОС

 

НЕОБХІДНО:

2.1. Перейменувати обліковий запис користувача "Администратор" <...>

2.2. Видалити облікові записи користувачів "HelpAssistant" та "SUPPORT_388945a0".

2.3. Встановити обліковому запису користувача "Гость" пароль та заблокувати його.

2.4. Встановити наступні параметри групової політики. Дії виконуються за допомогою утиліти "Групповая политика" (gpedit.msc):

– в розділі "Конфигурация пользователя/Административные шаблоны/Рабочий стол" встановити для параметру  "Не добавлять общие папки из которых открыты документы в "Сетевое окружение"" значення – "включен";

– в розділі "Конфигурация пользователя/Административные шаблоны/Панель управления/Экран" встановити для параметру  "Использовать парольную защиту для экранных заставок" значення – "включен";

– в розділі "Конфигурация пользователя/Административные шаблоны/Панель управления/Экран" встановити для параметру  "Использовать экранные заставки" значення – "включен";

– в розділі "Конфигурация пользователя/Административные шаблоны/Панель управления/Экран" встановити для параметру "Таймаут экранной заставки" значення – "включен", та ввести у полі "Секунд" значення "600".

2.5. Для облікового запису користувача "АdminARM" зняти відмітку "Автоматический поиск сетевых папок и принтеров" в "Мой компьютер" => "Свойства папки" => "Вид".

2.6. Для облікового запису користувача "АdminARM" встановити політику зміни паролю відповідно до прийнятої в організації політики безпеки.

 

3. Рекомендації до конфігурації  "Локальних політик безпеки"

 

Встановити наступні параметри безпеки. Дії виконуються за допомогою утиліти "Локальная политика безопасности".

3.1. В розділі "Локальные политики/Параметры безопасности" встановити наступне:

Політика

Параметр безпеки

 Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее

10 діб

 Интерактивный вход в систему: не отображать последнего имени пользователя

"включить"

  Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)

ключить"

  Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)

"включить"

   Сетевая безопасность: уровень проверки подлинности LAN Manager

"Отправлять только NTLM ответ"

  Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля

"включен"

  Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей

"гостевая"

   Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями

"включить"

   Сетевой доступ: разрешать анонимный доступ к общим ресурсам

видалити значення

 

3.2. В розділі "Локальные политики/Назначение прав пользователя" встановити наступне:

Політика

Параметр безпеки

 

Запретить вход в систему через службу терминалов

"Все"

 

 

Отказ в доступе к компьютеру из сети

 додати в перелік групу "Администраторы"

 





 

 

3.3. В розділі "Локальные политики/Политика аудита" встановити наступне:

Політика

Параметр безпеки

Аудит входа в систему                            

 "Успех" та "Отказ"

Аудит событий входа в систему             

 "Успех" та "Отказ"

Аудит изменений политики           

 "Успех" та "Отказ"

Аудит управления учетными записями  

 "Успех" та "Отказ"

Аудит использования привилегий            

 "Отказ"

Аудит системных событий"                    

 "Успех" та "Отказ"

 

3.4. В розділі "Политики учетных записей/Политика блокировки учетной записи" встановити наступне:

Політика

Параметр безпеки

Блокировка учетной записи на

 "30 минут"

Пороговое значение блокировки

 "5 ошибок входа в систему"

Сброс счетчика блокировки через

 "30 минут"

 

4. Рекомендації до конфігурування "служб" ОС

 

Сконфігурувати наступні служби ОС. Дії виконуються за допомогою утиліти "Служби".

Ім’я

Тип запуску

Оповещатель (посылает выбранным пользователям и компьютерам административные оповещения)

"отключено"

NetMeeting Remote Desktop Sharing (разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting)

"отключено"

Диспетчер сеанса справки для удаленного рабочего стола (управляет возможностями Удаленного помощника; после остановки данной службы Удаленный помощник будет недоступен)

"отключено"

Удаленный реестр (позволяет удаленным пользователям изменять параметры реестра на этом компьютере, если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере)

"отключено"

Служба обнаружения SSDP (включить обнаружение UPnP-устройств в домашней сети)

"отключено"

Узел универсальных PnP-устройств (поддерживает универсальные PnP-устройства узла)

"отключено"

Службы терминалов (предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах; является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов)

"отключено"

Служба индексирования (индексирует содержимое и свойства файлов на локальном и удаленных компьютерах, обеспечивает быстрый доступ к файлам с помощью гибкого языка запросов)

"отключено"

Автоматическое обновление (включает загрузку и установку обновлений Windows)

"отключено"

 

 

5. Рекомендації до конфігурування параметрів мережевого доступу

 

5.1. Заборонити віддалений доступ до реєстру ОС, для чого для ключа реєстру:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg

 

встановити такі права доступу:

- для групи "Администраторы" та "Система" – право "Полный доступ";

- для групи "LOCAL SERVICE" – право "Чтение"

- для усіх інших користувачів та груп – видалити їх з переліку груп та користувачів, яким надано доступ.

5.2. Відключити віддалений доступ до комп’ютера, для чого в меню "Пуск" => "Панель управления" => "Система" => "Удалённое использавание" зняти відмітку з "Разрешить удалённый доступ к этому компьютеру" та з "Разрешить отправку приглашения удалённому помощнику".

5.3. Заборонити використання SSDP Simple Service Discovery Protocol and UpnP Universal Plug and Play, для чого в ключі реєстру:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlayNATHelp\DPNHUPnP\

 

створити змінну реєстру "UPnPMode" типу "REG_DWORD" та встановити їй значення,  рівне 2.

5.4. Рекомендується сконфігурувати синхронізацію годинника комп’ютера з сервером точного часу по протоколу NTP за допомогою вбудованого в ОС NTP-клієнта, для чого в меню "Пуск" => "Панель управления" => "Дата и время" => "Время Интернета" в полі "Сервер" ввести мережеве ім’я серверу точного часу (інформація про сервер точного часу уточнюється у відділі телекомунікаційних систем та мережевих технологій).

Синхронізація повинна виконуватись не рідше, ніж один раз на добу.

5.5. Необхідно сконфігурувати вбудований "Брандмауэр Windows" відповідно до прийнятої в організації політики безпеки, а також вимог встановленого ПЗ щодо роботи з ЛОМ.

 

6. Рекомендації, пов’язані з видаленням компонентів ОС

 

         Видалити наступні компоненти ОС:

                - "Сетевые службы";

                - "Игры в Интернете".

 

{mos_sb_discuss:8} 

Добавить комментарий

Обращайтесь к посетителям сайта так, как вы хотите чтобы они обращались к вам


Защитный код
Обновить

Используете ли вы Wi-Fi?









Итоги