Опубликовано: 28.01.2012 - 14:09Сергей Мариничев1 комментарий »

Базовые настройки безопасности Windows

Настройка безопасности WindowsНе так давно, при обсуждении статьи про «Мифы и реальность Windows«, было высказано пожелание о руководстве по базовой настройке безопасности в Windows.

Насколько это получилось, судить вам. Комментарии и пожелания приветствуются. По мере необходимости и готовности материал будет дополняться и корректироваться.

Условия и задача

Подопытная ОСь – Windows Ent 7 (другого под рукой не оказалось) установленная в VirtualBox. Все настройки и скриншоты будут приведены для нее, но они ничем не отличаются от «Домашних» редакций Windows 7. Таким образом все написанное ниже равнозначно для всех редакций Windows 7. Там где будет описание настроек для других ОСей будут приведены соответствующие примечания.

Задача – минимальными усилиями обеспечить защиту установленной системы.

Обновления

После установки операционной системы обязательно устанавливаем все имеющиеся обновления. Это защитит обеспечит исправление ошибок и закроет существующие уязвимости.

Антивирус

Рекомендаций относительно выбора антивируса давать не буду, скажу только что предпочитаю MSE (microsoft security essentials) т.к. он бесплатен, нетребователен к ресурсам.

Обсуждать достоинства и недостатки антивирусов не будем т.к. это выходит за рамки данной публикации.

Учетные записи

Создаем дополнительную учетную запись для повседневной работы. Это необходимо для того что бы избежать потенциальных проблем при работе под учетной записью с повышенными привилегиями.

Пуск -> Мой компьютер -> правой кнопкой мыши нажимаем управление.

cs-01 В открывшемся окне ищем

cs-02

Создаем пользователя, в моем случае это user2. Это будет ваша учетная запись для повседневных задач. При необходимости установки программного обеспечения  и пр. используйте функционал «Запустить от имени». Нажмите клавишу Shift и в контекстном меню выберите пункт «Запуск от имени другого пользователя».

runas

Немаловажный шаг в защите ваших паролей будет в отключении шифрования LMHash.

Отключение выполняется либо через локальную политику безопасности или через реестр. Реестровый вариант – откройте редактор реестра – «Пуск» -> «выполнить» -> regedit.exe. Найдите ветку

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

и создайте параметр «NoLMHash» типа DWORD со значением 1.

Примечание: В Windows 7 SP1 этот параметр уже установлен. В более ранних системах он либо отсутствует, либо равен 0. 

Следующим действием будет создание сложных паролей (цифры + буквы + спецсимволы, длиной хотя бы 10 символов, но в идеале 15-16) для всех имеющихся учетных записей, включая и отключенную запись пользователя «Администратор». Учетной записью Администратор, при необходимости, можно воспользоваться в Безопасном режиме.

Примечание: Если вы не планируете использовать «домашнюю группу» то отключите так же учетную запись HomeGroupUser$.

Службы

В оснастке «Управление компьютером» ищем вкладку «Службы».

cs-03

И отключаем неиспользуемые и ненужные службы.

  • Автономные файлы – на домашних ПК не используется.
  • Браузер компьютеров – если у вас нет рабочей группы отключите. Я бы отключил даже если и есть :)
  • Сервер – не нужен на машинах, ресурсы которых не выделяются для совместного использования в сети.
  • Прослушиватель домашней группы – зависит от службы «Сервер» и остановится при ее отключении.
  • Удаленный реестр – однозначно отключить т.к. удаленный доступ к нему дома не нужен.

Общие папки

Если вы не отключили службу «Сервер» то нужно запретить доступ к административным ресурсам т.е. имя диска со значком $ и ресурс ADMIN$. Эти ресурсы существуют по умолчанию (доступ к ним возможен только из под административной учетной записи ), причем, если удалить эти ресурсы через «Управление компьютером» -> «Общие папки», то после перезагрузки они появляются заново, полностью отключить их можно только с помощью внесения изменений в реестр.
Открываем regedit.exe и ищем ветку

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

regedit

изменением (или добавляем) следующий параметр:

AutoShareWks (его тип - REG_DWORD) значение 0

Примечание: Если удалить этот параметр или поставить 1 то после перезагрузки ресурсы будут созданы заново.

Отключение автозапуска

В статье базы знаний Микрософт подробно описана методика отключения автозапуска для всех вариантов операционных систем. Настойчиво рекомендую ознакомится и выключить функцию автозапуска.

Примечание: Методика отключения предоставлена в виде обновления, каждого для своей ОСи.

Отключение DCOM

Не лишним будет выключить поддержку DCOM. Стоит отметить что отключение DCOM может влиять на работу встроенных компонентов и приложений сторонних производителей. Я не рекомендую отключать DCOM до того, как будут найдены приложения, которые могут пострадать. В части случаев отключение DCOM может привести к полной неработоспособности системы.

  1. Запустите редактор реестра.
  2. Найдите следующий раздел реестра: 
    HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
  3. Измените значение строкового параметра «EnableDCOM» на N.

Локальные политики

Переходим к самому интересному этапу настройки системы – настройка локальных политик безопасности.

«Пуск» -> «Панель управления» -> «Система и безопасность» -> «Администрирование» -> «Локальная политика безопасности»

Устанавливаем следующие значения:

Политика учетных записей.

  • Политика паролей – Минимальная длина пароля – 10 символов
  • Политика блокировки учетных записей – Пороговое значение блокировки – 5 попыток на 10 минут.
Локальные политики.
  • Политика аудита – Аудит входа в систему – Успех и Отказ.
  • Политика аудита – Аудит изменения политики – Успех и Отказ.
  • Политика аудита – Аудит событий входа в систему – Успех и Отказ.
  • Назначение прав пользователя – Доступ к компьютеру из сети – Удалить группу «все».
  • Назначение прав пользователя – Локальный вход в систему – Удалить «Гость».
  • Параметры безопасности – Учетные записи: Переименование учетной записи администратора – задать новое имя.
  • Параметры безопасности – Учетные записи: Переименование учетной записи гостя – задать новое имя.
  • Параметры безопасности – Учетные записи: Разрешить использование пустых паролей только при консольном входе – выключить.
  • Сетевая безопасность: не хранить хэш LAN Manager при следующей смене пароля – Включить.
PS Указанных выше настроек достаточно для того что бы обеспечить безопасную работу вашего компьютера.
Как завершающий »штрих» могу сказать:
  1. Ставьте обновления
  2. Без необходимости не используйте учетную запись с «админскими» привилегиями.
  3. Не скачивайте софт из непонятных источников. Старайтесь скачивать софт только с сайта производителя.
  4. Скачивая кряки и пр. не забывайте что произошли изменения в законе, и скачивание подобного ПО может закончится плачевно для вашего компьютера (очень часто кряки и прочие их собратья имеют «подарки» внутри) и возможно что и для Вас.
  5. Выполняйте резервное копирование ваших данных.
Приглашаю присоединиться ко мне в следующих сервисах:
facebook Google Plus вКонтакте Twitter
Тэги: . Рубрика: Заметки
Если Вам понравилась статья, то вы можете подписаться на RSS. А также бесплатно подписаться по E-mail и получать актуальную информацию в числе первых.
Получать обновления на email

Вы можете оставить комментарий.

1 Комментарий »

 
  • 1# John (62 комм.):
    29.01.2012 в 13:10

    Про пункт №4 из PS.
    Не думаю что у нас что то изменится, но про то что в кряках достаточно троянов и пр. правда.

      Цитировать

    Ответить
 

Добавить комментарий

XHTML: Вы можете использовать тэги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>