ingviowarr
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1) Локальные политики : Настройка безопасности входа и выхода в Групповых политиках Выполнить -> secpol.msc Параметры безопасности -> Локальные политики -> Параметры безопасности 1.1) Отключить хранение хэшей LAN Manager: Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля ............. [Включено] по умолчанию ВАЖНО: a) Новый пароль для учётной записи нужно задавать только после установки данной политики с перезагрузкой. Это нужно для того, чтобы для вашего нового пароля кэш LM уже не был сохранён. b) Препятствование генерации LM-хэшей. Длинный пароль (15+ символов для Администраторов). Изменить текущий пароль на новый можно и через вызов экрана блокировки, с помощью сочетания клавиш: Ctrl+Alt+Delete -> Изменить пароль 1.2) Запрет кэширования учетных данных 1.2.1) Запрет кэширования предыдущих подключений: Код: :: Интерактивный вход в систему: количество предыдущих подключений к кэшу (вне домена) reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "CachedLogonsCount" /t REG_SZ /d "0" /f | ОСТОРОЖНО: Одна из возможностей mimikatz (Перехват паролей открытых сессий в Windows) – получение хэша паролей пользователей из ключа "Cache" ветки реестра [HKLM\SECURITY] Там сохраняются хэши паролей последних 10 (по умолчанию) доменных пользователей, вошедших в систему. Эти хэши, в обычном случае, могут использоваться для авторизации пользователей в системе при недоступности контроллера домена. После настройки ключ реестра должен отсутствовать. 1.2.2) Ускорить очистку памяти процесса LSASS от учётных записей пользователей, завершивших сеанс: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] TokenLeakDetectDelaySecs = 30 (DWORD32) - Память будет очищаться через 30 секунд после выхода пользователя (Logoff) Код: :: Ускорить очистку памяти процесса LSASS от учётных записей пользователей, завершивших сеанс (30 c) reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "TokenLeakDetectDelaySecs" /t REG_DWORD /d 0x30 /f | 1.3) Не отображать имя (Login) последнего пользователя, выполнившего вход - Скрытие желательно, если нужна повышенная безопасность, и когда есть риск захода на ваш компьютер со стороны чужих людей в ваше отсутствие. - Включение не помешает, если вход всё время происходит в одну и ту же учётную запись, а способ входа - автоматический. Интерактивный вход в систему: не отображать имя пользователя при входе в систему ......................... [Не определено] или [Включено] Код: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "DontDisplayUserName" /t REG_DWORD /d 1 /f | Интерактивный вход в систему: не отображать учетные данные последнего пользователя .................. [Включено] Код: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "dontdisplaylastusername" /t REG_DWORD /d 1 /f | ДОПОЛНИТЕЛЬНО: Отображение всех пользователей на экране входа Код: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch" /v "Enabled" /t REG_DWORD /d 0 /f | СПРАВКА: По умолчанию, Windows 10 на экране приветствия показывает учётную запись пользователя: - либо только ту, которая была зарегистрирована последней - либо только ту, куда был осуществлён вход в предыдущем сеансе Чтобы ВСЕ учётные записи появлялись на экране приветствия, необходимо выполнение следующих условий: a) Обе локальные политики безопасности для входа последнего пользователя отключены: Интерактивный вход в систему: не отображать имя пользователя при входе в систему ................. [Отключено] Интерактивный вход в систему: не отображать учётные данные последнего пользователя ............ [Отключено] b) Параметр реестра [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch] Enabled = 1 (REG_DWORD) Примечание: Система может автоматически сбрасывать значение параметра "Enabled" на "0" при каждом входе пользователя. Эту проблему можно решить одним из способов: - Созданием задания в Планировщике - Отбиранием прав у учётной записи "СИСТЕМА" и блокировкой данного параметра реестра c) Параметр реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] AutoAdminLogon = 0 (REG_SZ) d) Все учётные записи Windows должны быть запаролены в обязательном порядке 1.4) ГП (gpedit.msc) : Запрет использования обратимого шифрования Следует явно явно запретить хранить пароли пользователей в AD в текстовом виде. Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей Хранить пароли, используя обратимое шифрование ......................................................................... [Отключено] 2) Встроенная локальная учётная запись "Администратор" Для встроенной локальной учетки "Администратор" желательно: отключить -> переименовать -> задать пароль 2.1) Параметры безопасности -> Локальные политики -> Параметры безопасности Учетные записи: Состояние учетной записи 'Администратор' ................................................................. [Отключено] Перегрузить компьютер (если учётка была включена). 2.2) Учетные записи: Переименование учетной записи 'Администратор' .................................................. [задать новое имя вместо Администратор] Перегрузить компьютер. 2.3) Задать пароль Win+R -> Выполнить -> lusrmgr.msc Пользователи -> [новое имя бывшей учётки Администратор] -> Задать пароль ВАЖНО: Если вы сначала переименуете встроенную учетную запись Администратора, а потом захотите ее отключить, то ничего не получится. Видимо, дело в том, что политика жестко привязана к имени пользователя и при его изменении просто не находит нужную учетку. А вот в обратном порядке все отлично работает и переименовать отключенную учетную запись можно без проблем. 3) Программа "AutoLogon" Назначить вход в систему с использованием шифрования с помощью утилиты "AutoLogon" (автоматический) Преимуществом использования этого инструмента является то, что он шифрует пароль (Windows штатно использует простой текст). AutoLogon (by Mark Russinovich) 1) Выполнить необходимые настройки безопасности входа и выхода в Групповых политиках. 2) Задать пароль для своей учётной записи стандартным способом: Ctrl+Alt+Del 3) Поместить папку с программой по пути: C:\Program Files\AutoLogon\ 4) Запустить "от Администратора", согласиться с условиями использования. 5) ТЕКУЩИЙ Логин и Пароль не должен быть пустым. Ввести ТЕКУЩИЙ ЛОГИН И ПАРОЛЬ и нажать кнопку Enable. Вводить Домен (для домашнего пользователя) не нужно. Появится информация о том, что автоматический вход в систему включен, а также сообщение, что данные для входа зашифрованы в реестре. При следующей перезагрузке или включении компьютера вводить пароль не понадобится. ВНИМАНИЕ! В случае изменения пароля, его желательно сразу перерегистрировать/перепроверить в программе "AutoLogon". 4) Завести дополнительные учётные записи пользователей-участников LAN, с паролями (lusrmgr.msc) 5) Настроить "Диспетчер учетных данных" Панель управления -> Учётные записи пользователей -> Администрирование учётных записей -> Учётные записи Windows Ввести данные в "Учетные данные Windows" для автоматической авторизации в сетевом окружении, в частности, в LAN. Диспетчер учетных данных, или Credential Manager — это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и т. п.). СПРАВКА: Все данные в Диспетчере учетных данных сгруппированы по трем категориям: • Учетные данные Windows (Windows Credentials) — это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу. • Учетные данные на основе сертификатов (Certificate-Based Credentials) - предназначены для аутентификации с помощью смарт-карт. • Общие учетные данные (Generic Credentials) - используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему. В этом разделе могут храниться практически любые учетные данные, соответствующие стандартам Microsoft. | Всего записей: 240 | Зарегистр. 13-03-2006 | Отправлено: 16:43 25-10-2020 | Исправлено: ingviowarr, 17:22 25-10-2020 |
|