Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Windows 10. Обсуждение работы (XV)

Модерирует : KLASS, IFkO

KLASS (30-01-2021 07:59): Продолжение в Windows 10. Обсуждение работы (XV)  Версия для печати • ПодписатьсяДобавить в закладки
На первую страницук этому сообщениюк последнему сообщению

   

ingviowarr

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

1) Локальные политики : Настройка безопасности входа и выхода в Групповых политиках
 
    Выполнить -> secpol.msc
 
        Параметры безопасности -> Локальные политики -> Параметры безопасности
 
    1.1) Отключить хранение хэшей LAN Manager:    
 
        Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля ............. [Включено] по умолчанию  
 
        ВАЖНО:
 
        a) Новый пароль для учётной записи нужно задавать только после установки данной политики с перезагрузкой.
            Это нужно для того, чтобы для вашего нового пароля кэш LM уже не был сохранён.
 
        b) Препятствование генерации LM-хэшей. Длинный пароль (15+ символов для Администраторов).
 
        Изменить текущий пароль на новый можно и через вызов экрана блокировки, с помощью сочетания клавиш:
 
            Ctrl+Alt+Delete -> Изменить пароль
 
    1.2) Запрет кэширования учетных данных
 
        1.2.1) Запрет кэширования предыдущих подключений:

Код:
 
:: Интерактивный вход в систему: количество предыдущих подключений к кэшу (вне домена)
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "CachedLogonsCount" /t REG_SZ /d "0" /f
 

        ОСТОРОЖНО:
 
        Одна из возможностей mimikatz (Перехват паролей открытых сессий в Windows) – получение хэша паролей пользователей из ключа "Cache" ветки реестра [HKLM\SECURITY]
        Там сохраняются хэши паролей последних 10 (по умолчанию) доменных пользователей, вошедших в систему.
        Эти хэши, в обычном случае, могут использоваться для авторизации пользователей в системе при недоступности контроллера домена.
        После настройки ключ реестра должен отсутствовать.
 
        1.2.2) Ускорить очистку памяти процесса LSASS от учётных записей пользователей, завершивших сеанс:
 
            [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
 
                TokenLeakDetectDelaySecs = 30    (DWORD32)    - Память будет очищаться через 30 секунд после выхода пользователя (Logoff)

Код:
 
:: Ускорить очистку памяти процесса LSASS от учётных записей пользователей, завершивших сеанс (30 c)
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "TokenLeakDetectDelaySecs" /t REG_DWORD /d 0x30 /f
 

    1.3) Не отображать имя (Login) последнего пользователя, выполнившего вход
 
        - Скрытие желательно, если нужна повышенная безопасность, и когда есть риск захода на ваш компьютер со стороны чужих людей в ваше отсутствие.
        - Включение не помешает, если вход всё время происходит в одну и ту же учётную запись, а способ входа - автоматический.
 
        Интерактивный вход в систему: не отображать имя пользователя при входе в систему ......................... [Не определено] или [Включено]

Код:
 
            reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "DontDisplayUserName" /t REG_DWORD /d 1 /f
 

        Интерактивный вход в систему: не отображать учетные данные последнего пользователя .................. [Включено]

Код:
 
            reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "dontdisplaylastusername" /t REG_DWORD /d 1 /f
 

        ДОПОЛНИТЕЛЬНО:
 
        Отображение всех пользователей на экране входа

Код:
 
            reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch" /v "Enabled" /t REG_DWORD /d 0 /f
 

        СПРАВКА:
 
        По умолчанию, Windows 10 на экране приветствия показывает учётную запись пользователя:
 
            - либо только ту, которая была зарегистрирована последней
            - либо только ту, куда был осуществлён вход в предыдущем сеансе
 
        Чтобы ВСЕ учётные записи появлялись на экране приветствия, необходимо выполнение следующих условий:
 
        a) Обе локальные политики безопасности для входа последнего пользователя отключены:
 
            Интерактивный вход в систему: не отображать имя пользователя при входе в систему ................. [Отключено]
            Интерактивный вход в систему: не отображать учётные данные последнего пользователя ............ [Отключено]
 
        b) Параметр реестра  
 
            [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch]
 
                Enabled = 1                (REG_DWORD)
 
        Примечание:
        Система может автоматически сбрасывать значение параметра "Enabled" на "0" при каждом входе пользователя.
        Эту проблему можно решить одним из способов:
 
            - Созданием задания в Планировщике
            - Отбиранием прав у учётной записи "СИСТЕМА" и блокировкой данного параметра реестра
 
        c) Параметр реестра  
 
            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
 
                AutoAdminLogon = 0        (REG_SZ)
 
        d) Все учётные записи Windows должны быть запаролены в обязательном порядке
 
    1.4) ГП (gpedit.msc) : Запрет использования обратимого шифрования
 
    Следует явно явно запретить хранить пароли пользователей в AD в текстовом виде.
 
        Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей
 
            Хранить пароли, используя обратимое шифрование ......................................................................... [Отключено]
 
2) Встроенная локальная учётная запись "Администратор"
 
    Для встроенной локальной учетки "Администратор" желательно: отключить -> переименовать -> задать пароль  
 
    2.1) Параметры безопасности -> Локальные политики -> Параметры безопасности
 
        Учетные записи: Состояние учетной записи 'Администратор' ................................................................. [Отключено]
 
        Перегрузить компьютер (если учётка была включена).
 
    2.2)    Учетные записи: Переименование учетной записи 'Администратор' .................................................. [задать новое имя вместо Администратор]
 
        Перегрузить компьютер.
 
    2.3) Задать пароль
 
        Win+R -> Выполнить -> lusrmgr.msc
        
        Пользователи -> [новое имя бывшей учётки Администратор] -> Задать пароль
 
    ВАЖНО:
 
    Если вы сначала переименуете встроенную учетную запись Администратора, а потом захотите ее отключить, то ничего не получится.
    Видимо, дело в том, что политика жестко привязана к имени пользователя и при его изменении просто не находит нужную учетку.
    А вот в обратном порядке все отлично работает и переименовать отключенную учетную запись можно без проблем.
 
3) Программа "AutoLogon"
 
    Назначить вход в систему с использованием шифрования с помощью утилиты "AutoLogon" (автоматический)
    Преимуществом использования этого инструмента является то, что он шифрует пароль (Windows штатно использует простой текст).
 
    AutoLogon (by Mark Russinovich)
 
    1) Выполнить необходимые настройки безопасности входа и выхода в Групповых политиках.
 
    2) Задать пароль для своей учётной записи стандартным способом: Ctrl+Alt+Del
 
    3) Поместить папку с программой по пути:        C:\Program Files\AutoLogon\
 
    4) Запустить "от Администратора", согласиться с условиями использования.
 
    5) ТЕКУЩИЙ Логин и Пароль не должен быть пустым.
       Ввести ТЕКУЩИЙ ЛОГИН И ПАРОЛЬ и нажать кнопку Enable.
       Вводить Домен (для домашнего пользователя) не нужно.
 
    Появится информация о том, что автоматический вход в систему включен, а также сообщение, что данные для входа зашифрованы в реестре.
    При следующей перезагрузке или включении компьютера вводить пароль не понадобится.
 
    ВНИМАНИЕ!     В случае изменения пароля, его желательно сразу перерегистрировать/перепроверить в программе "AutoLogon".
 
4) Завести дополнительные учётные записи пользователей-участников LAN, с паролями (lusrmgr.msc)
 
5) Настроить "Диспетчер учетных данных"
 
    Панель управления -> Учётные записи пользователей -> Администрирование учётных записей -> Учётные записи Windows
 
    Ввести данные в "Учетные данные Windows" для автоматической авторизации в сетевом окружении, в частности, в LAN.
 
    Диспетчер учетных данных, или Credential Manager — это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и т. п.).
 
    СПРАВКА:
 
    Все данные в Диспетчере учетных данных сгруппированы по трем категориям:
 
    • Учетные данные Windows (Windows Credentials) — это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу.
 
    • Учетные данные на основе сертификатов (Certificate-Based Credentials) - предназначены для аутентификации с помощью смарт-карт.
 
    • Общие учетные данные (Generic Credentials) - используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему. В этом разделе могут храниться практически любые учетные данные, соответствующие стандартам Microsoft.

Всего записей: 240 | Зарегистр. 13-03-2006 | Отправлено: 16:43 25-10-2020 | Исправлено: ingviowarr, 17:22 25-10-2020
   

На первую страницук этому сообщениюк последнему сообщению

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Windows 10. Обсуждение работы (XV)
KLASS (30-01-2021 07:59): Продолжение в Windows 10. Обсуждение работы (XV)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru