Рекомендации по устранению уязвимостей ОС WindowsXPproSP2

[SLAEVNEAN]

Рекомендации по устранению уязвимостей ОС WindowsXPproSP2

Рекомендации по устранению уязвимостей ОС WindowsXPproSP2
1. Общие рекомендации
Не рекомендуется, использовать рабочую станцию для предоставления удаленного доступа к локальным ресурсам самой рабочей станции (диски, привод, принтер и.т.п) другим пользователям. Обмен файлами между рабочими станциями осуществляеться только через файловые сервера; удаленная печать документов - через общий сетевой принтер или принтер-сервер. Исполнение данной рекомендации значительно снизит количество неконтролируемой передачи информации в сети.
Рекомендуется заблокировать в BIOS опцию включения компьютера через локальную сеть (опция в BIOS имеет названия типа “Wake-Up by PCI card”, "Wake ON LAN" и.т.п.) для обеспечения умышленного или неумышленного удаленного запуска компьютера.
Рекомендуется после инсталяции ОС заблокировать в BIOS загрузку рабочей станции с CD, DWD (FDD) носителей, с локальной сети (LAN), ZIP-Drive, USB-Flash и.т.п. Это необходимо для исключения возможности загрузки другой операционной системы или программ, которые могут игнорировать действующее разделение прав на файловую систему и получения полного доступа к информации на локальных дисках.
Для предотвращения несанкционированных изменений настроек BIOS необходимо в BIOS активировать ввод пароля на вход в BIOS.
Не желательно устанавливать на компьютер более 1ой ОС.
Необходимо во время инсталяции ОС установить формат файловой системы на всех логических дисках – NTFS.
Запрещаеться использование встроенного механизма автоматической/ручной отправки в Microsoft отчетов про ошибки OC Windows XP, для этого в меню "Пуск" => "Панель управления" => "Переключение к классическому виду" => "Система" => "Дополнительно" => "Отчет об ошибках" відмітити "Отключить отчет об ошибках".
Необходимо запретить автоматическиций запуск на выполнение программ с компакт-диска, жосткого диска (каталогов, где есть файл autorun.inf) и.т.п., для этого в ключе реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionPoliciesExplorer
создадим переменную реестра "NoDriveTypeAutoRun" типу "REG_DWORD" и установим ее значение 0xFF.
Если раздел "Explorer" не существует – создаем его.
Необходимо установить значения максимального розмера журналов аудита в параметрах ведения журналов аудита не менше чем:
- "Безопасность" – 40960 Кбайт;
- "Система" – 20480 Кбайт;
- "Приложение" – 20480 Кбайт.
Запретить выполнение команд альтернативних систем (POSIX), для этого в ключе реестра:
HKLMSystemCurrentControlSetControlSessionManagerSu bSystems
удаляем значение переменной реестра "Optional".
Необходимо запретить удаленый доступ к жосткому диску компьютера (на ресурсы "C$","D$" и.т.п.), для этого в ключе реестра:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesL anmanServerParameters
создадим переменную реестру "AutoShareWks" типа "REG_DWORD" и установим ее значение, равное 0.

2. Рекомендации, связанные с конфигурацией общих параметров учетных записей пользователей ОС.
Переименовать учетную запись пользователя "Администратор" в "тут на Ваш выбор".
Удалить учетную запись пользователя "HelpAssistant" и "SUPPORT_388945a0".
Установить учетной записи пользователя "Гость" пароль и заблокировать ее.
Установить следующий параметр групповой политики. Выполнить с помощьюутилиты "Групповая политика" (gpedit.msc ("Пуск"-"Выполнить"-"gpedit.msc"-"Enter")):
в разделе "Конфигурация пользователя/Административные шаблоны/Рабочий стол" установить для параметра "Не добавлять общие папки из которых открыты документы в "Сетевое окружение"" значение – "включен".
Для всех учетных записей пользователей ОС (кроме "Гость") снять отметку "Автоматический поиск сетевых папок и принтеров" в "Мой компьютер" => "Свойства папки" => "Вид".
Для учетных записей пользователей ОС установить политику смен пароля на своё усмотрение (но должны быть ограничения).


3. Рекомендации для конфигурации "Локальных политик безопасности"
Установить следующие параметры безопасности. Выполняеться с помощью утилиты "Локальная политика безопасности".

В разделе "Локальные политики/Параметры безопасности" установить следующее:

Политика - Параметр безопасности
Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее - 8 дней
Интерактивный вход в систему: не отображать последнего имени пользователя - "включить"
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) - "включить"
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) - "включить"
Сетевая безопасность: уровень проверки подлинности LAN Manager - "Отправлять только NTLM ответ"
Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля - "включен"
Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей - "гостевая"
Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями - "включить"
Сетевой доступ: разрешать анонимный доступ к общим ресурсам - удалить значение


В разделе "Локальные политики/Назначение прав пользователя" установить следующее:

Запретить вход в систему через службу терминалов - "Все"
Отказ в доступе к компьютеру из сети - добавить в перечисление группу "Администраторы"

В разделе "Локальные политики/Политика аудита" установить следующее:
Аудит входа в систему - "Успех" и "Отказ"
Аудит событий входа в систему - "Успех" и "Отказ"
Аудит изменений политики - "Успех" и "Отказ"
Аудит управления учетными записями - "Успех" и "Отказ"
Аудит использования привилегий - "Отказ"
Аудит системных событий - "Успех" и "Отказ"


В разделе "Политики учетных записей/Политика блокировки учетной записи" установить следующее:

Блокировка учетной записи на - "30 минут"
Пороговое значение блокировки - "5 ошибок входа в систему"
Сброс счетчика блокировки через - "30 минут"


4. Рекомендации конфигурирования "служб" ОС
Сконфигурировать следующие службы ОС. Выполняеться с помощью утилиты "Службы".

Имя - Тип запуска
Оповещатель (посылает выбранным пользователям и компьютерам административные оповещения) - "отключено"
NetMeeting Remote Desktop Sharing (разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting) - "отключено"
Диспетчер сеанса справки для удаленного рабочего стола (управляет возможностями Удаленного помощника; после остановки данной службы Удаленный помощник будет недоступен) - "отключено"
Удаленный реестр (позволяет удаленным пользователям изменять параметры реестра на этом компьютере, если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере) - "отключено"
Служба обнаружения SSDP (включить обнаружение UPnP-устройств в домашней сети) - "отключено"
Узел универсальных PnP-устройств (поддерживает универсальные PnP-устройства узла) - "отключено"
Службы терминалов (предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах; является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов) - "отключено"
Служба индексирования (индексирует содержимое и свойства файлов на локальном и удаленных компьютерах, обеспечивает быстрый доступ к файлам с помощью гибкого языка запросов) - "авто"
Автоматическое обновление (включает загрузку и установку обновлений Windows) - "отключено"


5. Рекомендации конфигурирования параметров сетевого доступа
Запретить удаленный доступ к реестру ОС, для этого в ключе реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSe curePipeServersWinreg
установить такие права доступа:

- для группы "Администраторы" та "Система" – право "Полный доступ";
- для группы "LOCAL SERVICE" – право "Чтение"
- для всех других пользователей и групп – удалить их с перечисленных групп и пользователей, которым предоставлен доступ.

Отключить удаленный доступ к компьютеру, для этого в меню "Пуск" => "Панель управления" => "Система" => "Удалённое использавание" снять отметку (галочку) с "Разрешить удалённый доступ к этому компьютеру" и с "Разрешить отправку приглашения удалённому помощнику".
Запретить использование SSDP Simple Service Discovery Protocol and UpnP Universal Plug and Play, для этого в ключе реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftDirectPlayNATHe lpDPNHUPnP
создать переменную реестра "UPnPMode" типу "REG_DWORD" ти установить ее значение, равно 2.
Рекомендуется сконфигурировать синхронизацию часов компьютера с сервером точного времени по протоколу NTP с помощью встроенного в ОС NTP-клиента, для этого в меню "Пуск" => "Панель управления" => "Дата и время" => "Время Интернета" в поле "Сервер" ввести сетевое имя серверу точного времени (информация про сервер точного времени уточняеться в отделе телекомуникационных систем и сетевых технологий).
Синхронизация должна выполняться не реже, чем один раз в сутки, для этого в ключе реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW 32TimeTimeProvidersNtpClient
создаем переменную реестра "SpecialPollInterval" типу "REG_DWORD" и устанавливаем ей значение, равно 86400.

(с) Sunnych