Пятница, 10.07.2026, 09:47
Приветствую Вас Путник | RSS

НЕСКУЧНЫЕ СЕРДЦА

[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 2
  • 1
  • 2
  • »
Модератор форума: NAPALM  
НАСТРОЙКА СИСТЕМЫ БЕЗОПАСНОСТИ WINDOWS XP
NAPALMДата: Четверг, 27.03.2008, 02:05 | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Введение
В настоящее время одной из наиболее распространенных клиентских операционных систем является Microsoft Windows® XP. Именно о защите клиентского компьютера (компьютера домашнего или офисного пользователя) и будет идти речь. Не секрет, что любую атаку гораздо проще начинать именно с клиентского рабочего места. Ведь основное внимание в вопросах защиты традиционно уделяется серверам локальных сетей. Несомненно, на рабочих местах необходима и антивирусная защита и усиленные меры идентификации и аутентификации пользователей. Но все же в первую очередь, с моей точки зрения, необходимо обеспечить защиту с помощью встроенных средств операционной системы.


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Четверг, 27.03.2008, 02:07 | Сообщение # 2
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Настройка операционной системы
Все мы прекрасно знаем, что нельзя настраивать встроенные средства безопасности на файловой системе FAT32. В связи с этим необходимо либо на этапе установки операционной системы (разметки диска) выбрать файловую систему NTFS, либо приступить к преобразованию файловой системы сразу же после установки ОС.
Преобразование файловой системы
Чтобы преобразовать диск из FAT (FAT32) в NTFS, воспользуйтесь утилитой Convert.
Синтаксис команды
CONVERT том: /FS:NTFS [/V] [/CvtArea:имя_файла] [/NoSecurity] [/X]
том – определяет букву диска (с последующим двоеточием) точку подключения или имя тома.
/FS:NTFS Конечная файловая система: NTFS.
/V Включение режима вывода сообщений.
/CVTAREA:имя_файла Указывает непрерывный файл в корневой папке для резервирования места для системных файлов NTFS.
/NoSecurity Параметры безопасности для преобразуемых файлов и папок будут доступны для изменения всем.
/X Принудительное снятие этого тома (если он был подключен). Все открытые дескрипторы этого тома станут недопустимыми.
Если в вашей организации используется большое количество компьютеров, то необходимо продумать процесс автоматизации установки ОС.
Существует два возможных варианта автоматизации процесса установки:
Автоматизированная установка. В этом случае используется пакетный файл и сценарий (называемый файлом ответов), благодаря этому отключаются запросы операционной системы, а необходимые данные выбираются из файлов ответов автоматически. Существует пять режимов автоматической установки.
Копирование диска (клонирование). В этом случае запускается утилита подготовки системы к копированию (Sysprep.exe), которая удаляет идентификатор безопасности (Security Identifier - SID). Затем диск копируется с помощью программы клонирования дисков, например Ghost (Symantec) (http://www.symantec.com/ghost) или Drive Image (Power Quest) (http://www.powerquest.com/driveimage). После копирования будет выполнена «сжатая» процедура установки (5-10 минут).
Вы установили операционную систему, однако, самая тяжелая и продолжительная часть работы еще впереди.
Установка необходимых обновлений
Не взирая на то, что, согласно документации, установка ОС занимает около 1 часа, на самом деле установка, настройка, установка всех критических патчей (обновлений) займет у вас по меньшей мере 4-5 часов (это при условии, что все патчи уже есть у вас на жестком диске или CD-ROM и вам не нужно вытягивать их из Internet).
Итак, вы установили операционную систему. Для дальнейшей установки патчей у вас есть два пути:
Воспользоваться службой автоматического обновления Windows Update. Этот путь достаточно хорошо описан в литературе и не требует никаких усилий со стороны программиста. Однако, предположим, что в вашей организации хотя бы 20 компьютеров. Таким образом, вам придется 20 раз воспользоваться этой службой. Это не самый лучший способ, однако если у вас быстрый канал и ваше руководство не против выбрасывать таким способом деньги, то вам подходит этот путь. Но учтите, что при переустановке ОС вам придется все вытягивать заново.
Воспользоваться каким-то сканером безопасности для поиска необходимых патчей (обновлений). Для примера рассмотрим бесплатный сканер Microsoft Base Security Analyzer (в данной статье не будет подробно рассматриваться вопрос о методах работы с данным сканером). Данный сканер можно бесплатно загрузить с сайта Microsoft из раздела TechNet. . До начала тестирования необходимо будет извлечь файл Mssecure.xml файл из http://download.microsoft.com/downloa....ure.cab Файл Mssecure.xml должен быть помещен в ту же папку, в которой развернут Microsoft Base Security Analyzer
Результатом сканирования будет перечень необходимых патчей, который вы должны будете установить на вашем компьютере.
На мой взгляд, удобнее применять коммерческие сканеры безопасности типа LAN Guard Network Scanner или XSpider.
Рассмотрим более подробно LAN Guard Network Scanner.
Этот сканер предназначен для поиска уязвимостей в компьютерных сетях не только на базе Windows. Однако, в нашем случае, можно легко воспользоваться ним для поиска уязвимостей на отдельном компьютере. Вам будет рекомендовано посетить конкретные страницы бюллетеня безопасности от Microsoft.

Рис. 1 Результат работы LAN Guard Network Scanner
В таком случае гораздо проще устанавливать обновления и появляется возможность узнать для решения какой уязвимости создано данное обновление.


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Четверг, 27.03.2008, 02:09 | Сообщение # 3
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Процесс управления установкой обновлений
Стоит исследовать эти шаги подробнее:
Анализ. Посмотрите на текущую среду и потенциальные угрозы. Определите патчи, которые вы должны инсталлировать, чтобы сократить количество угроз вашей среде.
План. Установите, какие патчи надо инсталлировать, чтобы сдерживать потенциальные угрозы и обнаруженные вами уязвимые места. Определитесь, кто будет осуществлять тестирование и инсталляцию, и какие шаги нужно сделать.
Тестирование. Просмотрите доступные патчи и разделите их на категории для вашей среды.
Инсталляция. Инсталлируйте нужные патчи, чтобы защитить вашу среду.
Мониторинг. Проверьте все системы после инсталляции патчей, чтобы удостовериться в отсутствии нежелательных побочных эффектов.
Просмотр. Важной частью всего процесса является тщательный просмотр новых изданных патчей, вашей среды, и выяснение, какие из патчей нужны вашей компании. Если во время просмотра вы обнаружите, что необходимы новые патчи, начните снова с первого шага.
Примечание: Настоятельно рекомендуется сделать резервную копию всей рабочей системы до инсталляции патчей.
Проверка среды на предмет недостающих патчей
Так как это непрерывный процесс, вам нужно убедиться в том, что ваши патчи соответствуют последним установкам. Рекомендуется постоянно следить за тем, чтобы иметь новейшую информацию о патчах. Иногда выпускается новый патч, и вам необходимо установить его на всех станциях. В других случаях в сети появляется новая станция, и на ней нужно установить все необходимые обновления. Вам следует продолжать проверять все ваши станции, чтобы убедиться в том, что на них установлены все необходимые новейшие патчи. Вообще, вопрос установки патчей далеко не так прост, как кажется на первый взгляд и полное рассмотрение этого вопроса выходит за пределы нашей статьи.
Следует учесть, что иногда после установки последующего патча необходимо переустановить предыдущий. В частности в моей практике такое встречалось неоднократно.
Итак, предположим, что все патчи установлены и ваша система не имеет дырок, связанных с их отсутствием. Учтите, что это состояние только на текущий момент времени, завтра возможно вам придется устанавливать новые патчи. Этот процесс, увы, беспрерывен.


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Пятница, 28.03.2008, 02:03 | Сообщение # 4
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Восстановление системных файлов
Полезная функция, если ваш компьютер не используется исключительно для ресурсоемких задач типа игр. Так что лучше оставить ее включенной. При этом компьютер периодически создает слепки критичных системных файлов (файлы реестра, COM+ база данных, профили пользователей и т.д.) и сохраняет их как "точку отката". Если какое-либо приложение "снесет" вашу систему, или что-то важное будет испорчено, вы можете обратить компьютер в предыдущее состояние – в точку отката.
Точки отката автоматически создаются службой "Восстановления системы" (System Restore) при возникновении некоторых ситуаций типа установки нового приложения, обновления Windows, установки неподписанного драйвера и т.д. Вы можете и вручную создавать точки отката через интерфейс Восстановления системы (System Restore), который можно вызвать, пройдя путь: Пуск " Программы " Стандартные " Служебные " Восстановление системы (Start " Programs " Accessories " System Tools " System Restore).
Аналогичный результат можно получить с помощью утилиты msconfig, запускаемой из режима командной строки или Пуск "Выполнить
Восстановление системных файлов опирается на фоновую службу, которая минимально сказывается на быстродействии и записывает снимки, отнимающие часть дискового пространства. Вы можете вручную отвести максимальный объем дискового пространства для данной службы. Вы также можете полностью отключить службу для всех дисков.
Отключить можно, поставив галочку "Отключить службу восстановления". Поскольку служба восстановления системных файлов может влиять на результаты тестовых программ, ее обычно отключают перед тестированием
.


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Пятница, 28.03.2008, 02:04 | Сообщение # 5
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Автоматическая очистка диска
Для проведения очистки жесткого диска от ненужных файлов используется программа cleanmgr.exe
Ключи программы:
/d driveletter: - указывает букву диска, которая будет очищаться
/sageset: n – эта команда запускает мастер очистки диска, и создает ключ в реестре для сохранения параметров. Параметр n может принимать значения от 0 до 65535.
/sagerun: n – используется для запуска мастера очистки диска с определенными параметрами, которые были заданы заранее с помощью предыдущего ключа.
Для автоматизации этого процесса можно воспользоваться планировщиком заданий.
Регулярно производите дефрагментацию.
DOS и не-NT версии Windows мало заботились об оптимизации своих файловых систем. Когда вы устанавливаете и удаляете программы, то в различных областях дискового пространства создаются "дыры". В результате свободное место представляет собой не сплошной блок, оно разбросанно по всему диску. При заполнении свободного пространства файлы также оказываются разбросанными по нескольким секторам, что сильно снижает производительность – при обращении к файлу диску приходится читать не один последовательный участок, а несколько произвольно разбросанных.
В NT-версиях Windows, использующих файловую систему NTFS, применяются особые меры для сохранения целостности дискового пространства – но фрагментация все равно происходит. Поэтому вы должны регулярно дефрагментировать ваш жесткий диск, причем регулярность зависит от характера вашей деятельности на компьютере.
В случае использования файловой системы FAT32 дефрагментация еще более необходима!
Если вы часто устанавливаете и удаляете программы, или вы постоянно создаете, перемещаете или удаляете файлы, то вы должны выполнять дефрагментацию раз в неделю. Если же вы долгое время используете одни и те же приложения, при этом вы не слишком часто перемещаете файлы, то вы можете увеличить промежуток между дефрагментациями до одного месяца.
Если вы достаточно часто выполняете дефрагментацию, то вы не заметите ощутимого прироста в производительности после дефрагментации. Это совершенно нормально. Если же прирост явно ощутим, то вы слишком долго не выполняли дефрагментацию.



Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Пятница, 28.03.2008, 02:05 | Сообщение # 6
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Автоматизируем процесс дефрагментации диска
Создаем bat-файл, который, к примеру, назовем defrag.bat следующего содержания:
Rem **This batch file is defragmenting your hard drive.**
Rem **To cancel Press Ctrl+C on the keyboard.**
Defrag.exe C: -F
Формат команды Defrag:
defrag <том> [-a] [-f] [-v] [-?]
том – Буква диска, или точка подключения (например, c: или d:\vol\mpoint)
-a – Только анализ
-f – Дефрагментация даже при ограниченном месте на диске
-v – Подробные результаты
-? – Вывод справки о команде
Теперь в Планировщике заданий указываем этот файл и ставим его в расписание. Рекомендуется установить запуск каждую неделю (но не меньше 1 раза в месяц). Теперь Дефрагментация диска будет автоматически запускаться в Windows XP.
Вы также можете установить дефрагментацию в расписание и без создания bat-файла, делается это так:
· Заходим в Панель управления -> Назначенные задания -> Добавить задание
· Нажмите Обзор и выберите программу Defrag.exe, находится она в каталоге C:\Windows\System32
· Во время последнего экрана не забудьте поставить галочку около пункта Установить дополнительные параметры после нажатия кнопки Готово
· В строке выполнить после адреса файла добавьте ключ -f
Как удалить "скрытые" компоненты Windows XP?
В отличие от Windows 9*/NT, в процессе установки Windows XP нет возможности выбирать необходимые компоненты. На мой взгляд, это правильное решение Microsoft - сначала следует установить операционную систему со всеми ее причудами, а уж затем, поработав, можно решать, что следует оставить, а что нет.
Однако при этом в окне "Add/Remove Windows Components", что присутствует в апплете "Add or Remove Programs" Контрольной панели, удалять-то практически нечего, потому что многие из составляющих Windows скрыты от шаловливых ручек не слишком опытных пользователей. Для решения этой проблемы открываем системную папку Inf (по умолчанию - C:\Windows\Inf), находим в ней файл sysoc.inf, открываем его и удаляем во всех строках слово HIDE. Главное при этом - оставить неизменным формат файла, то есть следует удалять только HIDE, оставляя запятые до и после этого слова.
Для примера - исходная строка и та, что должна получиться:
msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7
msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,,7
Сохраняем файл sysoc.inf, открываем "Add/Remove Windows Components" и видим значительно более длинный список, чем тот, что был на этой страничке до проведения описанной выше операции. (Рис. 5) Правда, и в этом случае много удалить не получится.
Кстати, точно также можно поступить и в случае с Windows 2000...


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Пятница, 28.03.2008, 02:05 | Сообщение # 7
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Вы можете задать резонный вопрос, а какое это отношение имеет к безопасности?
Во-первых, если в вашей организации существует корпоративная политика в области использования программного обеспечения и в ней в качестве почтового клиента выбран, например, The Bat! или почтовый клиент Mozilla (Opera), то не стоит оставлять на компьютере насквозь дырявый Outlook Express и вводить пользователя в искушение пользоваться им.
Во-вторых, если у вас не принято использовать службу мгновенных сообщений, то удалите Windows Messenger.
И, наконец, просто избавьтесь от ненужных вам компонент. Меньше неиспользуемого ПО, меньше возможностей использовать его не по назначению, а, следовательно, вольно или невольно нанести вред вашей организации.
Настройка автоматически выполняемых программ
Одна из типичных проблем, связанных с безопасностью, это запуск программ типа «троянский конь» в процессе загрузки Windows XP.
В программа может быть запущена автоматически следующими способами:
Добавление в папку Автозагрузка для данного пользователя
Добавление в папку Автозагрузка для всех пользователей
Ключ Run (компьютера) Ключ реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Ключ Run (пользователя) Ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Ключ RunServices. Разница между RunServices и просто Run в том, что при запуске программы в ключе RunServices она будет запущена как обслуживающий процесс и ей будет выделено меньше приоритетного процессорного времени при работе. При запуске же в ключе Run, программа запуститься как обычно с нормальным приоритетом.
Папки Планировщика задач
Win.ini. Программы, предназначенные для 16-разрядных версий Windows могут добавить строки типа Load= и Run= этого файла
Ключи RunOnce и RunOnceEx. Группа ключей реестра, содержащая список программ, выполняемых однократно в момент запуска компьютера. Эти ключи могут относиться и к конкретной учетной записи данного компьютера HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
Групповая политика. Содержит две политики (с именами Запуск программ при входе пользователя в систему). Находятся в папках Конфигурация компьютера ►Конфигурация Windows ► Административные шаблоны ► Система ► Вход в систему (Computer configuration ► Administrative Templates ►System ►Logon) и Конфигурация пользователя ►Конфигурация Windows ► Административные шаблоны ► Система ► Вход в систему (User configuration ► Administrative Templates ►System ►Logon)
Сценарии входа в систему. Настраиваются Групповая политика: Конфигурация компьютера ►Конфигурация Windows ► Сценарии и Конфигурация пользователя►Конфигурация Windows ►Сценарии (входа в систему и выхода из системы)
Файл AUTOEXEC.BAT в корневом каталоге загрузочного диска. Все программы, которые вы хотите запустить из него, должны выполняться в реальном режиме DOS, так как выполнение этого командного файла происходит до загрузки графической оболочки. Используется для того, чтобы снова и снова копировать в "автозапуск" из скрытой папки рекламные модули, которые пользователь удалил
Для настройки списка автоматически вызываемых программ в состав Windows XP входит утилита Настройка системы (System Configuration Utility) Msconfig.exe, которая позволяет вывести список всех автоматически загружаемых программ.


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Пятница, 28.03.2008, 02:07 | Сообщение # 8
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Настройка системы безопасности Windows XP

Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. Мы надеемся, что вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы – преобразовать диск в формат NTFS.
После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа «включить-выключить». Такой интерфейс носит по умолчанию название Простой общий доступ (Simple File Sharing).
Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me.
Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис " Свойства папки (Tools " Folder options). Перейдите на вкладку Вид найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended) и снимите его.

Рис. 7 Свойства папки

Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность.
Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List – ACL).
При установке и удалении разрешений руководствуйтесь следующими основными принципами:
Работайте по схеме «сверху-вниз».
Храните общие файлы данных вместе.
Работайте с группами везде, где это только возможно.
Не пользуйтесь особыми разрешениями.
Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).

Установка разрешения из командной строки

Утилита командной строки cacls.exe доступна в Windows XP Professional позволяет просматривать и изменять разрешения файлов и папок. Cacls – сокращение от Control ACLs – управление списками управления доступом.
Ключи командной строки утилиты cacls:


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Пятница, 28.03.2008, 02:08 | Сообщение # 9
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Таблица 1

Ключ Действие
/T Смена разрешений доступа к указанным файлам в текущей папке и всех подпапках
/E Изменение списка управления доступом (а не полная его замена)
/C Продолжить при возникновении ошибки «отказано в доступе»
/G пользователь:разрешение Выделение пользователю указанного разрешения. Без ключа /E полностью заменяет текущие разрешения
/R пользователь Отменяет права доступа для текущего пользователя (используется только с ключом /E)
/P пользователь:разрешение Замена указанных разрешений пользователя
/D пользователь Запрещает пользователю доступ к объекту

С ключами /G и /P нужно использовать одну их перечисленных ниже букв (вместо слова разрешение):
F (полный доступ) – эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность.
C (изменить) – тождественно установке флажка Разрешить Изменить (Modify)
R (чтение) – эквивалентно установке флажка Разрешить Чтение и выполнение (Read & Execute)
W (запись) – равнозначно установке флажка Разрешить запись (Write)
Microsoft Windows XP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System - EFS) шифрует файлы на диске. Однако, следует иметь ввиду, что если вы утеряете ключ для расшифровки, данные можно считать утерянными. Поэтому если вы решите воспользоваться преимуществами EFS необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления.
Если вы предпочитаете работать с командной строкой, то можете воспользоваться программой cipher.exe.
Команда cipher без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). В таблице 2 приведен список наиболее часто используемых ключей команды cipher

Таблица 2


Ключ Описание
/E Шифрование указанных папок
/D Расшифровка указанных папок
/S:папка Операция применяется к папке и всем вложенным подпапкам (но не файлам)
/A Операция применяется к указанным файлам и файлам в указанных папках
/K Создание нового ключа шифрования для пользователя, запустившего программу. Если этот ключ задан, все остальные игнорируются
/R Создание ключа и сертификата агента восстановления файлов. Ключ и сертификат помещаются в файл .CFX, а копия сертификата в файле .CER
/U Обновление ключа шифрования пользователя или агента восстановления для всех файлов на всех локальных дисках
/U /N Вывод списка всех зашифрованных файлов на локальных дисках без каких-либо других действий


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Пятница, 28.03.2008, 02:09 | Сообщение # 10
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Агент восстановления данных

Агентом восстановления данных (Data Recovery Agent) назначается обычно администратор. Для создания агента восстановления нужно сначала создать сертификат восстановления данных, а затем назначить одного из пользователей таким агентом.
Чтобы создать сертификат нужно сделать следующее:
Нужно войти в систему под именем Администратор
Ввести в командной строке cipher /R: имя файла
Введите пароль для вновь создаваемых файлов
Файлы сертификата имеют расширение .PFX и .CER и указанное вами имя.
Для назначения агента восстановления:
Войти в систему под учетной записью, которая должна стать агентом восстановления данных
В консоли Сертификаты перейдите в раздел Сертификаты – Текущий пользователь " Личные (Current User " Personal)
Действие " Все задачи " Импорт (Actions " All Tasks " Import) для запуска мастера импорта сертификатов
Проведите импорт сертификата восстановления
При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы.
Краткие рекомендации по шифрованию:
Зашифруйте все папки, в которых вы храните документы
Зашифруйте папки %Temp% и %Tmp%. Это обеспечит шифрование всех временных файлов
Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней впоследствии файлы, что оказывается важным при работе с программами, создающими свои копии файлов при редактировании, а затем перезаписывающими копии поверх оригинала
Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера
Экспортируйте личные сертификаты шифрования всех учетных записей
Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.
При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться
Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows
Конструктор шаблонов безопасности
Шаблоны безопасности представляют собой текстовые файлы. Для изменения таких файлов используется оснастка шаблонов безопасности из состава MMC или текстовый редактор (например, программа «Блокнот»). Некоторые разделы файлов шаблона содержат списки управления доступом (ACL), определенные на языке Security Descriptor Definition Language (SDDL). Для получения дополнительной информации о внесении изменений в шаблоны безопасности и языке SDDL воспользуйтесь указанными в разделе «Дополнительные сведения» источниками.
Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a в этой консоли выбрать меню File – Add/Remove. В диалоговом окне Add Standalone Snap-in выбрать Security Templates – Add.
Управление оснасткой
Шаблоны безопасности расположены в папке \%systemroot%\security\templates. Количество встроенных шаблонов изменяется в зависимости от версии операционной системы и установленных пакетов обновлений.
Если раскрыть любую папку в Security Templates, то в правой панели будут показаны папки, которые соответствуют контролируемым элементам:


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Пятница, 28.03.2008, 02:10 | Сообщение # 11
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Account Policies – управление паролями, блокировками и политиками Kerberos
Local Policies – управление параметрами аудита, пользовательскими правами и настройками безопасности
Event Log – управление параметрами системного журнала
Restricted Groups – определение элементов различных локальных групп
System Services – включение и отключение служб и присвоение права модификации системных служб
Registry – назначение разрешений на изменение и просмотр разделов реестра
File System – управление разрешениями NTFS для папок и файлов
Управление шаблонами безопасности
Используемые шаблоны безопасности должны храниться в защищенном месте. Доступ к ним предоставляется только администраторам, которые отвечают за реализацию групповой политики. По умолчанию на компьютерах под управлением Windows XP и Windows Server 2003 для хранения шаблонов безопасности используется папка %SystemRoot%\security\templates.
Эта папка не реплицируется между контроллерами домена. Таким образом, во избежание возникновения проблем с управлением версиями шаблонов безопасности, необходимо определить контроллер домена для хранения оригинала шаблонов. Оптимальной является практика, когда изменения всегда вносятся в одну и ту же копию шаблонов.
Импорт шаблона безопасности
Для импорта шаблона безопасности необходимо выполнить следующие действия.
1. В окне редактора групповой политики найдите папку Конфигурация Windows.
2. Откройте ее и выделите папку Параметры безопасности.
3. Щелкните ее правой кнопкой мыши и выберите пункт Импорт политики.
4. Выберите шаблон безопасности, который требуется импортировать, и нажмите кнопку Открыть. Параметры импортируются из выбранного файла в объект групповой политики.
Административные шаблоны
С помощью административных шаблонов (файлы в формате Unicode) могут быть установлены дополнительные параметры безопасности. Такие шаблоны содержат параметры реестра, которые влияют на поведение Windows XP и установленных приложений (например Microsoft Office XP). Это могут быть как параметры для компьютеров, так и параметры для пользователей. Для хранения параметров компьютера используется куст реестра HKEY_LOCAL_MACHINE. Для хранения параметров пользователя — куст реестра HKEY_CURRENT_USER.


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Пятница, 28.03.2008, 02:11 | Сообщение # 12
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Управление административными шаблонами
Используемые административные шаблоны, как и шаблоны безопасности, должны храниться в защищенном месте. Доступ к ним предоставляется только администраторам, которые отвечают за реализацию групповой политики. Административные шаблоны, которые поставляются в составе Windows XP и Windows 2003 Server, хранятся в папке %systemroot%\inf. В состав Office XP Resource Kit входят дополнительные шаблоны для Office XP. Поскольку при выходе пакетов обновления в такие шаблоны могут быть внесены изменения, модифицировать их самостоятельно не следует.
Добавление административного шаблона к политике
К объектам групповой политики, которые используются для настройки Office XP, помимо административных шаблонов из состава Windows XP, необходимо применить специальные шаблоны Office XP. Для добавления шаблона к объекту групповой политики необходимо выполнить следующие действия.
1. В окне редактора групповой политики найдите папку Административные шаблоны.
2. Щелкните папку правой кнопкой мыши и выберите пункт Добавление и удаление шаблонов.
3. В диалоговом окне Добавление и удаление шаблонов нажмите кнопку Добавить.
4. Перейдите в папку, которая содержит файлы административных шаблонов.
5. Выберите шаблон, нажмите кнопку Открыть, а затем — Закрыть.
Групповая политика на уровне домена
В состав групповой политики на уровне домена входят параметры, которые относятся ко всем компьютерам и пользователям в рамках домена. Подробное описание групповой политики на уровне домена можно найти в главе 2 «Configuring the Domain Infrastructure» руководства по безопасности Windows Server 2003 Security Guide, которое находится на веб-узле по адресу: http://go.microsoft.com/fwlink/?Linkld=14845.
Политика паролей
Использование регулярно изменяемых, сложных паролей снижает вероятность их взлома. Параметры политики паролей служат для определения уровня сложности и длительности использования паролей. В этом разделе описаны все параметры политики безопасности для окружений «ПК на предприятии» и «Система с высоким уровнем безопасности».
С помощью редактора групповой политики по указанному ниже адресу настраиваются соответствующие параметры групповой политики домена.
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика паролей
Таблица содержит рекомендованные значения параметров политики паролей для двух типов безопасной среды, которые были определены в этой статье.


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Пятница, 28.03.2008, 02:12 | Сообщение # 13
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Таблица 3

Наименование политики Значение по умолчанию для контроллера домена ПК на предприятии Высокий уровень безопасности
Требовать неповторяемости паролей 24 хранимых пароля 24 хранимых пароля 24 хранимых пароля
Максимальный срок действия пароля 42 дня 42 дня 42 дня
Минимальный срок действия пароля 1 день 2 дня 2 дня
Минимальная длина пароля 7 символов 8 символов 12 символов
Пароль должен отвечать требованиям сложности Включен Включен Включен
Хранить пароли всех пользователей в домене, используя обратимое шифрование Отключен Отключен Отключен


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Пятница, 28.03.2008, 02:13 | Сообщение # 14
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Изменение пароля только по запросу операционной системы
В некоторых организациях описанные выше политики должны дополняться централизованным контролем над всеми пользователями. Выполнение описанных в этом разделе действий предотвращает произвольное изменение пароля пользователями (кроме случаев соответствующего требования со стороны операционной системы).
Централизованный контроль над паролями пользователей — это краеугольный камень профессионально составленной схемы безопасности Windows XP. С помощью групповой политики устанавливаются минимальный и максимальный сроки действия пароля. Однако необходимость слишком часто менять пароль позволяет пользователям нейтрализовать действие параметра Требовать неповторяемости паролей. Кроме того, использование слишком длинных паролей может привести к росту количества обращений в службу поддержки со стороны забывчивых пользователей.
Пользователь имеет право менять пароль на протяжении периода, который определяется установленными значениями параметров минимального и максимального срока действия пароля. С другой стороны, в среде «Система с высоким уровнем безопасности» пароль должен изменяться только по запросу операционной системы, после истечения максимального срока действия (42 дня). Чтобы разрешить пользователям менять пароль только по требованию операционной системы, администратор должен соответствующим образом настроить Windows. Для этого в диалоговом окне Безопасность Windows, которое появляется после нажатия комбинации клавиш CTRL+ALT+DELETE, необходимо деактивировать кнопку Смена пароля.
В рамках всего домена данная конфигурация реализуется с помощью групповой политики, а для отдельных пользователей — внесением изменений в системный реестр. Для получения дополнительных сведений об этой конфигурации обратитесь к статье Microsoft Knowledge Base 324744 «How To: Prevent Users from Changing a Password Except When Required in Windows Server 2003», которая расположена на веб-узле корпорации Майкрософт по адресу: http://support.microsoft.com/default.aspx?scid=324744. Необходимые сведения для домена на основе Windows 2000 содержатся в статье Microsoft Knowledge Base 309799 «How To: Prevent Users from Changing a Password Except When Required in Windows 2000», которая расположена на веб-узле корпорации Майкрософт по адресу: http://support.microsoft.com/default.aspx?scid=309799.


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
NAPALMДата: Пятница, 28.03.2008, 02:13 | Сообщение # 15
Admin
Группа: Администраторы
Сообщений: 1128
Награды: 2
Статус: Offline
Политика блокировки учетной записи
Политика блокировки учетной записи — это компонент Active Directory, который используется для блокировки учетной записи, если в течение заданного промежутка времени регистрируется определенное количество неудачных попыток входа в систему. Количество попыток и интервал времени устанавливаются с помощью параметров политики блокировки учетной записи. Пользователь не сможет войти в систему, если его учетная запись заблокирована. Попытки входа в систему отслеживаются контроллерами домена, а соответствующим образом настроенное ПО на сервере реагирует на потенциальные атаки такого вида, блокируя учетную запись на заданный интервал времени.
В процессе настройки политики блокировки учетной записи администратор может установить любые значения разрешенного количества попыток и периода времени. Однако если значение параметра Сброс счетчика блокировки через больше значения параметра Блокировка учетной записи на, контроллер домена автоматически присваивает последнему значение параметра Сброс счетчика блокировки через.
Кроме того, если значение параметра Блокировка учетной записи на меньше значения параметра Сброс счетчика блокировки через, контроллер домена автоматически присваивает последнему значение параметра Блокировка учетной записи на. Таким образом, если значение параметра Блокировка учетной записи на уже установлено, значение параметра Сброс счетчика блокировки через не должно превышать его.
Такая оптимизация направлена на предотвращение установки конфликтующих значений параметров при настройке политики безопасности. Если значение параметра Сброс счетчика блокировки через больше значения параметра Блокировка учетной записи на, срок действия параметра Блокировка учетной записи на истечет раньше и пользователь получит возможность войти в сеть. С другой стороны, обратный отсчет для параметра Сброс счетчика блокировки через будет продолжаться. По этой причине параметр Пороговое значение блокировки не допустит больше трех неудачных попыток и пользователь не сможет войти в систему.
Для недопущения возникновения такой ситуации контроллер домена автоматически присваивает параметру Сброс счетчика блокировки через значение параметра Блокировка учетной записи на.
Данные параметры политики безопасности помогают предотвратить возможность подбора пароля злоумышленником и снижают вероятность получения несанкционированного доступа к сети. С помощью редактора групповой политики по указанному ниже адресу настраиваются приведенные в таблице параметры групповой политики домена.
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика блокировки учетной записи
Таблица 4 содержит рекомендованные значения параметров политики блокировки учетных записей для двух типов безопасной среды, которые были определены выше.


Сисадмин это человек, который способен исправить проблему о которой вы и не знали таким способом, о котором вы и не подозревали.
 
  • Страница 1 из 2
  • 1
  • 2
  • »
Поиск:


Copyright MyCorp © 2026