* использовать только файловую систему NTFS, отказаться от использования FAT и FAT32;
* удостовериться в Windows NT, что установлен Service Pack 3 или более поздний и активизирована служебная программа SYSKEY;
* отказаться от хранения ключа запуска в реестре, изменив в программе SYSKEY размещение ключа запуска на использование пароля запуска или хранение ключа запуска в файле на дискете;
* использовать встроенную в операционные системы Windows 2000/XP/2003 возможность шифрования файлов посредством EFS (Encrypting File System (англ.) - файловая система с шифрованием), являющейся частью NTFS5;
* запретить удаленное управление реестром, остановив соответствующую службу;
* запретить использовать право отладки программ SeDebugPrivilege. Для этого в оснастке "Локальная политика безопасности" нужно выбрать элемент "Параметры безопасностиЛокальные политикиНазначение прав пользователя" и в свойствах политики "Отладка программ" удалить из списка всех пользователей и все группы;
* отменить использование особых общих папок ADMIN$, C$ и т.д., позволяющих пользователю с административными правами подключаться к ним через сеть. Для этого необходимо добавить в реестр параметр AutoShareWks (для версий Workstation и Professional) или AutoShareServer (для версии Server) типа DWORD и установить его в 0 в разделе
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
Диапазон: 0-1, по умолчанию - 1.
0 - не создавать особые общие ресурсы;
1 - создавать особые общие ресурсы.
Подробнее об удалении особых общих ресурсов можно прочитать в статье KB314984 HOW TO: Create and Delete Hidden or Administrative Shares on Client Computers (для версий Workstation и Professional) и в статье KB318751 HOW TO: Remove Administrative Shares in Windows 2000 (для версии Server);
* запретить или максимально ограничить количество совместно используемых сетевых ресурсов;
* ограничить анонимный доступ в операционных системах Windows NT/2000, позволяющий при анонимном подключении получать информацию о пользователях, политике безопасности и общих ресурсах. В Windows NT/2000 нужно добавить в реестр параметр RestrictAnonymous типа DWORD в разделе
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
Диапазон: 0-2, по умолчанию - 0 для Windows NT/2000, 1 - для Windows XP/2003.
0 - не ограничивать, положиться на заданные по умолчанию разрешения;
1 - не разрешать получать список учетных записей и имен пользователей;
2 - не предоставлять доступ без явных анонимных разрешений (недоступно в Windows NT).
Подробнее об ограничении анонимного доступа можно прочитать в статье KB143474 Restricting Information Available to Anonymous Logon Users (для Windows NT) и в статье KB246261 How to Use the RestrictAnonymous Registry Value in Windows 2000 (для Windows 2000);
* запретить хранение LM-хэшей в операционных системах Windows 2000/XP/2003 для затруднения восстановления паролей злоумышленником, вынуждая использовать для этого NT-хэши. Для этого необходимо добавить в реестр параметр NoLMHash типа DWORD и установить его в 1 в разделе
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
Диапазон: 0-1, по умолчанию - 0.
0 - хранить LM-хэши;
1 - не хранить LM-хэши.
Подробнее о запрещении хранения LM-хэшей можно прочитать в статье KB299656 How to Prevent Windows from Storing a LAN Manager Hash of Your Password in Active Directory and Local SAM Databases;
* если в сети отсутствуют клиенты с Windows for Workgroups и Windows 95/98/Me, то рекомендуется отключить LM-аутентификацию, так как это существенно затруднит восстановление паролей при перехвате аутентификационных пакетов злоумышленником. Если же такие клиенты присутствуют, то можно включить использование LM-аутентификации только по запросу сервера. Это можно сделать, активизировав расширение механизма аутентификации NTLMv2. Для его активизации необходимо добавить в реестр следующие параметры:
o LMCompatibilityLevel типа DWORD в разделе
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
Диапазон: 0-5, по умолчанию - 0.
0 - посылать LM- и NT-ответы, никогда не использовать аутентификацию NTLMv2;
1 - использовать аутентификацию NTLMv2, если это необходимо;
2 - посылать только NT-ответ;
3 - использовать только аутентификацию NTLMv2;
4 - контроллеру домена отказывать в LM-аутентификации;
5 - контроллеру домена отказывать в LM- и NT-аутентификации (допустима только аутентификация NTLMv2).
o NtlmMinClientSec или NtlmMinServerSec типа DWORD в разделе
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaMSV1_0
Диапазон: объединенные по логическому ИЛИ любые из следующих значений:
0x00000010 - целостность сообщений;
0x00000020 - конфиденциальность сообщений;
0x00080000 - безопасность сеанса NTLMv2;
0x20000000 - 128-битное шифрование.
Подробнее об использовании NTLMv2 можно прочитать в статье KB147706 How to Disable LM Authentication on Windows NT;
* если в сети присутствуют только клиенты с Windows 2000/XP/2003, то рекомендуется использовать протокол аутентификации Kerberos;
* запретить отображение имени пользователя, который последним регистрировался в операционной системе, в диалоговом окне регистрации. Для этого нужно добавить в реестр строковый параметр DontDisplayLastUserName и установить его в 1 в разделе
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Диапазон: 0-1, по умолчанию - 0.
0 - отображать имя последнего пользователя;
1 - не отображать имя последнего пользователя.
Подробнее о запрещении отображения имени пользователя можно прочитать в статье KB114463 Hiding the Last Logged On Username in the Logon Dialog;
* запретить запуск экранной заставки при отсутствии регистрации пользователя операционной системы в течение некоторого времени. Для этого нужно в реестре значение строкового параметра ScreenSaveActive установить в 0 в разделе
HKEY_USERS.DEFAULTControl PanelDesktop
Подробнее о запрещении запуска экранной заставки можно прочитать в статье KB185348 HOW TO: Change the Logon Screen Saver in Windows;
* при выборе паролей Windows NT/2000/XP/2003 соблюдать следующие правила:
o не выбирать в качестве пароля или части пароля любое слово, которое может являться словом словаря или его модификацией;
o длина пароля в Windows NT должна быть не менее 7 символов (при максимально возможной длине пароля в 14 символов), в Windows 2000/XP/2003 - более 14 символов (при максимально возможной длине пароля в 128 символов);
o пароль должен содержать символы из возможно большого символьного набора. Нельзя ограничиваться только символами A-Z, желательнее использовать в пароле и буквы, и цифры, и специальные символы (причем в каждой из 7-символьных половин пароля, если длина пароля менее или равна 14);
o символы пароля, являющиеся буквами, должны быть как верхнего, так и нижнего регистра, что затруднит восстановление пароля, производимое по NT-хэшу;
* своевременно выполнять установку пакетов исправлений и обновлений операционной системы;
* переименовать административную и гостевую учетные записи, отключив при этом последнюю;
* избегать наличия учетной записи с именем и паролем, совпадающими с административной, на другом компьютере в качестве обычной учетной записи;
* иметь только одного пользователя с административными правами;
* задать политику учетных записей (блокировку учетных записей после определенного числа ошибок входа в систему, максимальный срок действия пароля, минимальную длину пароля, удовлетворение пароля требованиям сложности, требование неповторяемости паролей и т.д.);
* установить аудит неудачных входов;
* воспользоваться программами из пакета Microsoft Security Tool Kit, в частности HFNetChk и Microsoft Baseline Security Analyzer (написаны Shavlik Technologies LLC для Microsoft), проверяющими наличие установленных обновлений и имеющихся ошибок в настройке системы безопасности;
* периодически выполнять аудит паролей, используя программу LCP или подобные ей.
Шевлюга Анна