Няколко донастройки при използване на Windows NT базирани ОС системи
Просто е. Използвайте Windows NT Базирана операционна система и нейната "NTFS" заедно с "Administrative tools". влезте като администратор, и изберете ВСИЧКИ ФАЙЛОВЕ И ПАПКИ, И ДО СИСТЕМНИТЕ ФАЙЛОВЕ, РЕСУРСИ И РЕГИСТРИ, и им дайде достъп да имат само администратора и систем - администратор за да можете да ги управлявате, и систем - това е Windows. Той трябва да има достъп. сложете дълга и сложна парола на администраторския акаунт и на акаунт guest. След като сте отнели достъп до всичко, направете си потребител със забранени привилегии - restricted user и с помощта на NTFS забранете достъпа до всички файлове по всички дялове, направте му негова папка и му разрешеше само това което попринцип ползвате и прехвърлете всичко в тази разрешена папка. излезте от администраторсия акаунт и се включете с забранения акаунт, а с помощта на "administrative tools" забранете достъпа до всички системни ресурси, регистри и стартовата папка, стартови применливи и му дайте достъп само до това, което наистина му е необходимо. От административните инструменти изключете всичко излишно.
тъй като това е общо описание за 2000 и ХР някои настройки.
под ХР може да няма част от настройките и да ги има под 2000.
под 2000 може да няма част от настройките и да ги има под ХР.
Oтидете на Local Security Policy от Administrative Tools.
Препоръчителните настройки са следните:
Изберете Account Policies:
-> Password Policy:
Enforce password policy -- 0 passwords remembered
Maximum password age -- 30 дни
Passwords must meet complexity requirements -- Enabled
Minimum password length -- 10 или повече символа.
Account Lockout Policy
Account Lockout Duration -- 30 мин.
Account Lockout Threshold -- 5 невалидни опита за влизане
Reset account lockout counter after -- 30 мин.
-> Local Policies -> Autid Policy:
Audit account logon events -- Audit Success and Failure
Audit account management -- Audit Success and Failure
Audit directory service access -- Audit Success and Failure
Audit logon events -- Audit Success and Failure
Audit object access -- Audit Failure
Audit policy change -- Audit Success and Failure
Audit privilege use -- Audit Success and Failure
Audit process tracking -- No auditing
Audit system events -- No auditing
-> Users Rights Assignments:
Access this Computer from the network -- Mахнете всичко
Bypass transverse Checking -- Mахнете всичко
Log on locally -- Оставете потребителите, които трябва да могат да се логват
Shut down the system -- Премахнете всички групи освен администраторската.
-> Security Options:
Additional restrictions for anonymous connections -- Do not allow enumeration of SAM accounts and shares
Do not display last user name in logon screen -- Enabled
LAN Manager Authentication Level -- Send NTLMv2 response only/refuse LM & NTLM
Message text for users attempting to log on -- Ваш избор нпр. (This system is subject to usage logging and monitoring. Authorized Access only)
Message tile for users attempting to log on -- например Don't fuck!!
Prevent System maintence of computer account password -- Enabled
Recovery Console: Allows automatic Administrative logon -- Enabled
Restrict CD-ROM access to locally logged-on user only -- Enabled
Restrict Floppy Access to locally logged-on user only -- Enabled
Отворете Internet Explorer и в раздела local intranet, сложете всички опции на Disabled.
Маханете всички протоколи освен TCP/IP.
От регистри направете следните промени ->
Тези настройки са в регистрито и повечето се отнасят до ДоС атаките.
Отворете HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services и модифицирайте следните настройки:
Ключ: Tcpip\ParametersСтойност: SynAttackProtect
Тип на стойността: REG_DWORD
Параметър: 2
Ключ: Tcpip\Parameters
Стойност: TcpMaxHalfOpen
Тип на стойността: REG_DWORD
Параметър: 100
Ключ: Tcpip\Parameters
Стойност: TcpMaxHalfOpenRetried
Тип на стойността: REG_DWORD
Параметър: 80
Ключ: Tcpip\Parameters
Стойност: EnablePMTUDiscovery
Тип на стойността: REG_DWORD
Параметър: 0
Ключ: Tcpip\Parameters
Стойност: EnableDeadGWDetect
Тип на стойността: REG_DWORD
Параметър: 0
Ключ: Tcpip\Parameters
Стойност: KeepAliveTime
Тип на стойността: REG_DWORD
Параметър: 300000
Ключ: Tcpip\Parameters
Стойност: EnableICMPRedirect
Тип на стойността: REG_DWORD
Параметър: 0
Ключ: Tcpip\Parameters\Interfaces\
Стойност: PerformRouterDiscovery
Тип на стойността: REG_DWORD
Параметър: 0
Ключ: Netbt\Parameters
Стойност: NoNameReleaseOnDemand
Тип на стойността: REG_DWORD
Параметър: 1
Отворете HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control и модифицирайте следните настройки:
Ключ: Lsa
Стойност: RestrictAnonymous
Тип на стойността: REG_DWORD
Параметър:1
Махнете всички излишни акаунти само тоя guest дето не се маха му сложете дълга и сигурна срещу Brute force на паролата.
Пуснете филтриране на портовете от Win, като оставете само тези които наистина ви трябват -
25 smtp - ако ползвате outlook/oulook express - за изпращане на поща
110 РОР3 - ако ползвате Outlook/outlook express - за получаване на поща
80 за браузване,
1080, 8080, 8088
за уеб прокси уеб сокс добре е да са отворени искат се от някои сайтове
5190 за ICQ
21 и 22 за FTP
6667 за IRC
За логване е включено secure-нато логване, т.е. да се натисне първо Ctrl+Alt+Del, за да се разреши появата на прозорец за логване.
Не очаквайте да стане от първия път. пробвайте много пъти и ще стане след като се понаучите да управлявати ресурсите. Ако нещо объркате - не се отчайвайте. Влезте с акаунта на администратора, изтриите този потребител с объркани привилегии, създайте нов, и опитайте друга комбинация. опитвайте така докато стане. Веднъж успеете ли, си запишете на лист хартия всички настройки, разрешени и забранени ресурси, и го пазете - ще ви трябва при преинсталация, или добавяне на потребители. Сега ако нещо стане - ако ви сполети вирус или червей, то операционната система ще му отказват достъп до каквото и да било. няма достъп до хедърите, няма достъп до системните файлове, няма достъп регистри..... как да направи беля? Та той няма достъп никъде. Вирусът или червеят ще се опитва да действа от наше име с вашите привилегии. Те са ограничени и той(вирусът или червеят е ограничен). Ще е ограничен само във вашата папка и няма да го има никъде извън нея. Няма да може да се регистрира в ресурсите за автоматично стартиране, в регистри, системните файлове, системните ресурси и стартовите променливи. Това е.
Автор: Кристиян Александров
Web: http://VirInfo.hit.bg