VasylLive
BANNED | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!
Ответ: Фулл Максимум! Ггггг....
Чтобы скрыть отдельных пользователей в окне приветствия, запустите редактор реестра и перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList. Теперь создайте новый параметр DWORD, назовите его так же, как имя пользователя, и укажите в качестве значения ноль. Например, если нужно скрыть пользователя Petr, создайте параметр Petr со значением 0. После этого имя Petr не будет появляться в окне приветствия Windows.
Первое, на что надо обратить внимание - какая файловая система используется. Если тебе действительно важна безопасность, то выбор один - NTFS. И не верь всяким там супер-пупер хацкерам и другому подобному народу, утверждающему, что FAT - это сила, а NTFS - отстой. NTFS более надёжная, позволяет расставлять параметры доступа практически любому файлу. А NTFS5 поддерживает ограничение по квотам (можно ограничивать папку на занимаемое ей место). Теперь о том, как перейти с FAT на NTFS и при этом не потерять данные. Во-первых, при установке Win' 2000\XP это можно сделать автоматически - в соответствующий момент ответив утвердительно на соответствующий вопрос. Можно преобразовать FAT16 (или FAT32) в NTFS и позже - воспользовавшись командой CONVERT. Синтаксис этой команды такой:
convert [диск] /fs:ntfs [/v]
где V - параметр, позволяющий не гадать при следующей перезагрузке системы, идет конвертация или нет, а видеть соответствующие сообщения о происходящем процессе на экране. Кроме встроенных средств Windows, для преобразования FAT в NTFS можно воспользоваться замечательной программой Partition Magic, позволяющей к тому же при необходимости выполнить и обратное преобразование - из NTFS в FAT, и тоже без потери данных.
По умолчанию задавать параметры безопасности нельзя. Для того, чтобы это было возможно, лезем в Панель управления-> Свойства папки-> Вид и убираем галочку напротив "Использовать простой общий доступ к файлам". Здесь же выбираем "Показывать скрытые файлы и папки".
Настройки в панели управления:
Лезем в Панель управления->Администрирование->Локальная политика->Локальные политики->Параметры безопасности. В появившемся списке слева находим строчку: "Переименование учётной записи администратора". Дважды кликаем по ней и вводим что-нибудь другое. Так же поступаем и с учётной записью гостя. Ищем строку "Состояние учётной записи 'Администратор'". Если ты хочешь всё время использовать другое имя, нежели изменённое имя администратора - выключаем эту опцию. Обязательно выключаем учётную запись 'Гость' (Guest) (по умолчанию она уже отключена, но на всякий пожарный надо самому в этом убедиться!). Ищем что-то типа "Уровень аутентификации LAN Manager" и выбираем "Использовать NTLMv2\отклонять LM&NTLM". Это для того, чтобы избавится от недостатка LM-hash, который сохраняет твой пароль для входа в систему таким образом, что "разламывает" пароль (если он длиннее 7-и символов) на две части: одна часть длинной 7 символов, другая всё, что осталось. Десятизначный пароль взламывать труднее, чем два пароля длиной 7 и 3 символа.
Ищем "Не показывать имя последнего пользователя" и изменяем параметр на "Включён"(в англ. винде это "Interactive logon: Do not display last user name"). Эта штука нужна для того, чтобы при входе в систему не показывалось имени последнего залогиневшегося юзера. Также можно изменить максимальный срок действия паролей. Изменяем "Очищать файл подкачки при завершении работы" на "Включён". А теперь в списке слева выбираем: Локальные политики->Назначение прав пользователя. Справа ищем:
Доступ к компьютеру из сети. Если ты не используешь NETBIOS для доступа к твоему компу из сети - выкидывай всех.
Отказ в доступе к компьютеру из сети. Опять же: не нужен NETBIOS-доступ к твоему компу из сети - выбираем всех, кого можно.
Отклонить локальный вход. Кого выберешь здесь тот не сможет войти в твой комп локально (для тех кто в танке: локальный вход - это вход, который производится, когда ты включаешь комп и входишь в систему). Смотри не переборщи: если выберешь всех - никто не сможет войти в твой компьютер локально (даже администраторы). Лично я выкинул только группу "Гости".
Принудительное удалённое завершение. Выкидываем из этого списка ВСЕХ!
Все остальные настройки, в которых по умолчанию в параметрах вписана группа Администраторы (Administrators) настраиваются так, чтобы по возможности сама эта группа там не фигурировала: нужны администраторы - выбирай их имена, а не всю группу.
В правом списке лезем в "Локальные политики->Аудит". Здесь настраиваются те параметры, которые должны регистрироваться в журналах системы. Можно выбирать успех и/или отказ. Особо много не выбирай, ибо систему нагружает (по большому счёту домашним пользователям регистрация в журналах особа не нужна). Всего три журнала: безопасности, приложений и системный. Доступ к ним осуществляется через Панель управления-> Администрирование-> Просмотр событий.
Снова лезем в правый список и ищем "Политики учётных записей->Политика паролей". Здесь можно настраивать по вкусу. Рекомендую включить опцию "Пароль должен отвечать требованиям сложности". В каталоге справа находим "Политика блокировки учётной записи". Пороговое значение блокировки устанавливаем на 3, блокировка учётной записи - на 30 минут. Это значит, что если кто-то пытался получить доступ к какой-то учётной записи, и три раза подряд ему было отказано в доступе, то учётная запись (имя пользователя), к которой была попытка получения доступа, будет заблокирована на 30 минут, в течение которых доступ к учётной записи даже с правильным паролем запрещён.
Реестр:
Что ж, теперь наведём порядок в реестре. Лезем в HKLM\SYSTEM\CurrentControlSet\ LanmanServer\Parametrs и ищем параметр AutoShareWks и присваиваем ему значение 0. Если такового параметра нет - нужно создать его. Этот параметр отвечает за авто создание расшаренных ресурсов. Если тебе нужно использовать расшаренные ресурсы и к ним нужен удалённый доступ, лучше создать нужные ресурсы вручную.
Идем в HKLM\SYSTEM\CurrentControlSet\ Control\Lsa и создаём параметр типа REG_DWORD с названием restrictanonymous (возможно, он уже создан) и присваиваем ему значение 2. Это надо сделать для запрещения NULL-session: это когда можно присоединиться к компу для запроса различной инфы (например, НЕТБИОС имя компьютера, имя рабочей группы) без ввода имени пользователя и пароля (поэтому и нул-сешшн). Пароль и логин к инету лучше не сохранять, т.к. его можно будет вытащить специальными утилитами. По умолчанию в системе выбрано запоминать логин и пароль, но даже если галочку убрать, логин сохраняется (а пароль уже нет). Чтобы это исправить лезем в HKLM\System\CurrentControlSet\ Services\Rasman\Parameters и создаём параметр типа REG_DWORD с названием DisableSavePassword и присваиваем ему значение 1. Я ещё рекомендую вырубить RPC (Процедура удалённого вызова) из-за того, что толку он неё немного, а комп однозначно становится более уязвимым (вспомни недавние баги в RPC!). Вырубаем: HKEY_LOCAL_MACHINE\Software\ Microsoft\OLE – измените значение EnableDCOM к N. Параметры вступят в силу после перезагрузки.
К реестру возможен удалённый доступ (при условии, что известно имя пользователя и пароль того юзера, права которого позволяют изменять реестр). Чтобы выборочно ограничить доступ к реестру удалённо и локально выбираем один из главных разделов, жмём правую кнопку и выбираем "Разрешения" здесь изменяем группы. ОБЯЗАТЕЛЬНО оставь СИСТЕМУ (SYSTEM). Вместо группы "Администраторы" (Administrators). Лучше выбирать имена админов. Жмем "Дополнительно". В появившемся окне ставим галочку напротив "Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам". Так нужно сделать со всеми главными разделами. В этом же окне можно задать параметры аудита реестра. Если удалённый доступ к реестру вообще не требуется можно его вырубить: лезем в Панель управления->Администрирование-> Службы. Здесь находим Удалённый доступ к реестру (Remote Registry), дважды щёлкаем по нему и указываем тип запуска как "Отключено".
Назначение доступа к файлам\папкам:
Нужно правильно распределить: каким юзерам в какой католог можно залезать (возможно в файловой системе NTFS). Для этого: щёлкни правой кнопкой на нужном файле\каталоге\диске и выбери "Свойства". Теперь ищи вкладку "Безопасность". Здесь два окошка: группы пользователей и их текущие права на данный ресурс. Редактируй его как считаешь нужным (ты ведь уже должен знать кому куда можно залезать, а кому нет!).
И напоследок:
Следует подумать о проверке своей системы сканером безопасности. Сейчас их достаточно много. Лично я - "домашний пользователь" (мой комп не является никаким веб-сервером и т.д.) Поэтому я выбрал сканер Retina: он позволяет не только проверить систему на известные уязвимости, но и профиксить их одним нажатием на кнопку (если уязвимость связана с настройками системы!).
Не забывай вовремя ставить заплатки. Истина гласит: нужно ставить заплатки сразу после их появления, а не когда очередной червь начнёт доставать!
Не забывай посещать security-сайты.
Еще в Windows 2000 и XP есть такое понятие, как "административные шары", которые в случае FAT32 доступны вообще любому желающему в сети, так что не надо даже никаких дыр в самой системе использовать.
Поэтому систему нужно обязательно ставить на NTFS, причем диск не конвертировать из FAT в NTFS, а сразу форматировать в NTFS при установке системы.
И конечно же поставь файрвол - тот же Outpost.
Но лучше всего для защиты от атак не выставлять винду в интернет вообще, а поставить между виндовым компом и инетом отдельный аппарат-шлюз с NAT и файрволлом. Есть готовые небольшие аппараты, предназначенные для этого, а можно собрать такой шлюз самому - вполне хватит какого-нибудь старого пенька с двумя сетевыми платами (одна смотрит в нет, другая во внутреннюю сетку) под управлением FreeBSD или Linux.
|
Всего записей: 209 | Зарегистр. 25-12-2008 | Отправлено: 21:10 29-01-2010 | Исправлено: VasylLive, 21:16 31-01-2010 |
|
. 
кросс-постинг запрещён 
Под XP и под 2K3 (в интерактивной сессии) прекрасно работает (впрочем, под NT4 и 2K тоже). Начиная с Висты - нет. Чёрт знает, может M$ какое обновление выпустила для блокировки этой возможности. А время в правильном формате задаёте?