Настраиваем безопасность Win2K
🕛 02.11.2006, 16:42
Привет, перец. Сегодня мы с тобой займемся твоей системой вплотную, чтобы злые хацкеры вроде нас с тобой не проникли в твой комп. Сразу предупреждаю - данная статья относится к людям у которых компьютер подключен к Интернету по телефонной и по выделенной линии. Для начала заимей привычку у себя ставить самые последние обновления на свою систему, если у тебя до сих пор не стоит Services Pack 2, то вероятность взлома твоей системы сильно увеличивается. Так что для начала ставь на свою систему самые последние хот фиксы и сервис паки и заимей себе привычку постоянно отслеживать последние обновления. Считай что первый шаг сделан =)
Ну что, теперь мы с тобой будем усложнять жизнь хацкеру =) Ты наверное обращал внимание на то, что после установки системы у тебя в Windows 2000 появляются две учетные записи, это Администратор и Гость. Наша сейчас первая задача защитить учетную запись Администратор, чем мы и займемся. Переименуем во что-нибудь другое, ну например в твое имя и фамилию, что я к примеру делаю постоянно.
Второй шаг это обман хакера =), может ты это посчитаешь примитивом, но как ни странно это даже очень тебе поможет в будущем =), смело переименовывай Гостя в Администратора (надеюсь ты догадываешься к чему я веду =)). Не забудь проверить, чтобы гость у тебя был заблокирован и отключен. После того как ты это сделал, мы с тобой полезем в утилиту под названием "Локальные параметры безопасности". Лезь в папку Администрирование и открывай иконку с одноименным названием, далее найди там раздел Локальные политик->Политика аудита. Да ты правильно думаешь - логи это самое святое =), что есть у админа. А чем мы с тобой не админы =)? Настраивай следующие параметры: Аудит входа в систему (Успех, Отказ) и Аудит изменения политики (Успех, Отказ). Настройка аудит позволит тебе вычислить попытки входа в систему по учетной записи Администратор (она же Гость), что в дальнейшем тебе позволит заранее узнать о наглых посягательств на твою ОСь.
Дальше будем назначать права пользователей. Смело открывай там же "Назначение прав пользователя" и установи следующие параметры: "Восстановление файлов и каталогов" и "Архивирование файлов и каталогов" (там должна присутствовать, только группа Администраторы.), "Доступ к компьютеру из сети" (удаляй всех на фиг, у тебя же машина не сервер какой нибудь =)), "Отказ в доступе к компьютеру из сети" (смело добавляй группу Администраторы и Гостей, это тебе позволит избежать потом многих проблем, да же если у тебя все-таки взломают учтенную запись с правами Администратора, никто не сможет получить доступ к твоему компьютеру удалено, то есть этому уроду нужно будет иметь физически доступ к Клаве и мыши твоего компа =)).
После того как мы разобрались с правами юзеров, займемся самой безопасностью. Лезь там же в раздел "Параметры безопасности" и настраивай следующие параметры: "Автоматически отключать сеансы пользователей по истечении разрешенного времени" (ставь Включить), "Длительность простоя перед отключением сеанса" (скажем так я у себя на компьютере ставлю 10 минут), "Дополнительные ограничения для анонимных подключений" (установи в значение "Нет доступа, без явного разрешения анонимного доступа"), "Использовать цифровую подпись со стороны клиента (Всегда)" (Включить), "Использовать цифровую подпись со стороны клиента (по возможности)" (Включить), "Использовать цифровую подпись со стороны сервера (Всегда)" (Включить), "Использовать цифровую подпись со стороны сервера (по возможности)" (Включить), "Не отображать последнего имени пользователя в диалоге входа" (Включить), "Отключить CTRL+ALT+DEL запрос на вход в систему" (Отключено), "Очистка страничного файла виртуально памяти при завершении работы" (я рекомендую включить, после этого система всегда при выключении компьютера будет удалять своп, соответственно вместе с ним и пасс будет тоже удален. Но тут есть свой минус - система будет долго выключатся.), "Разрешить доступ к дисководам компакт-дисков только локальным пользователям" (включить), "Разрешить доступ к НГМД только локальным пользователям" (Включить), "Уровень проверки подлинности LAN Manager" (Посылать ответ только NTLMv2, отказывать LM и NTLM).
Чуть не забыл про учетные записи =) Вернемся к нашим юзерам =) Будем настраивать политику блокировки паролей. Начнем с паролей: "Макс. Срок действия паролей" (21 день), "Мин. Длина пароля" (7 символов =), "Мин. Срок действия пароля" ( 2 дня), Пароли должны отвечать требованиям сложности" (Включить) и "Требовать не повторяемости паролей" (равно 24). Теперь политика блокировки: "Блокировка учетной записи на" (0 минут), "Пороговое значение блокировки" (3, магическое число ;)) и "Сброс счетчика блокировки через" (У себя я ставлю ровно час, то есть 60 минут).
После того как мы покончили с политиками системы безопасности перейдем к нашим сервисам =) Включай утилиту "Службы". И вырубай на фиг следующие службы: "Диспетчер сетевого DDE", "Планировщик заданий", "Служба индексирования", "Служба поддержки NETBIOS поверх TCP/IP" (данная служба отвечает за работу NETBIOS, а как ты сам знаешь что в Windows слабые порты 135 и 139 =). Вот как раз на этих портах то и пашет NETBIOS. В принципе тут есть один минус ты не сможешь не кого видеть в сетевом окружении и тебя не кто не сможет видеть тоже. Так что решай сам =) Я вот к примеру ее отрубаю по тому что она мне на фиг не нужна) и наконец последняя служба это "Служба сетевого DDE".
Разберемся и с компонентами системы: если у тебя стоит IIS, то немедленно удаляй его =), потому что это гимор на твою голову =), объяснять не буду почему, ты и сам должен понимать читая про IIS только одни баги =). Удали ты и службу индексирования (я больше чем уверен, что ты ее вообще не используешь как и я =)). Пол дела у нас уже сделано, теперь лезем в меню Пуск->Выполнить и набираем там cmd. Дальше даешь там команду "net config server /hidden:yes" - это так, мера предосторожности =).
Да, кстати, а у тебя система стоит на NTFS ? Если нет, тогда ты можно сказать крупно лоханулся. Будем исправлять твое никчемное положение, опять грузи cmd и давай там следующую команду "convert твой_диск_где_установлена_система: /FS:NTFS /V", сразу тебя предупрежу если у тебя Win2k стоит не один на компе ты потеряешь возможность грузится в другой ос (ну не считая там NT 4.0 c SP4, 2000 и XP). В NTFS 5.0 появилась очень хорошая возможность квотирования тома (чем мы сейчас и воспользуемся =). Лезь в мой компьютер и кликай на томе (диске или как там еще =) с файловой системой NTFS правой кнопкой мыши, потом свойства и на вкладке "квота" установи следующие параметры: "Включить управление квотами", "Не выделять места на диске при превышении квоты", "Выделять на диск не более" (тут ты ставишь не более количество мегабайт килобайт или гигабайт (я обычно ставлю 400 мегабайт). Займемся безопасность каталогов Windows, запретим доступ туда куда не надо лезть =) кому попало. Ниже расположена таблица и там все расписано как что и где надо установить на какие каталоги какие права.
Каталог или файл
Разрешения
\WINNT
Администраторы: Полный доступ
Создатель-Владелец: Полный доступ
Система: Полный доступ
Все: Чтение
\WINNT\Repair
Администратор: Полный доступ (остальные группы удали)
\WINNT\SYSTEM32\CONFIG
Администраторы: Полный доступ
Создатель-Владелец: Полный доступ
Система: Полный доступ
Все: просмотр
WINNT\SYSTEM32\SPOOL
Администраторы: Полный доступ
Создатель-Владелец: Полный доступ
Система: Полный доступ
WINNT\COOKIES, WINNT\FORMS, WINNT\History,
WINNT\occache,
WINNT\SendTo,
WINNT\Temporary Internet files
Администраторы: Полный доступ
Создатель-Владелец: Полный доступ
Система: Полный доступ
Все: Специальный доступ к каталогам (Чтение, запись, выполнение)
Все: Специальный доступ к каталогам (никаких разрешений)
C:\Document and Settings\%Username%
Администраторы: Полный доступ
Создатель-Владелец: Полный доступ
Система: Полный доступ
%Username%: Полный доступ
Boot.ini
Ntdetect.com
ntldr
Администраторы: Полный доступ
Система: Полный доступ
Autoexec.bat
Config.sys
Администраторы: Полный доступ
Все: Чтение
Каталог /temp
Администраторы: Полный доступ
Создатель-владелец: Полный доступ
Система: Полный доступ
Все: Специальный доступ к каталогам (Чтение, Запись, Выполнение)
Regedit.exe
Regedt32.exe
Администратор: Полный доступ
Система: Полный доступ (остальные группы удали)
Все, с каталогами разобрались. Приступ к реестру =)) Грузи редактор regedt32.exe и лезь сюда HKLM\System\CurrentControlSet\ Control\SecurePipeServers\Winreg и устанавливай на этот раздел следующие разрешения: Администратор: Полный доступ, Система: Полный доступ (да, кстати, не мешало бы так же разрешения наложить на ключи реестра run и runonce. Сейчас мы только что с тобой ограничили удаленный доступ к реестру. Далее лезем сюда и делаем следующие:
HKLM\System\CurrentControlSet\ Services\TCPip\Parametrs
SynAttackProtect (reg_dword) =1
HKLM\System\CurrentControlSet\ Services\EventLog\Application
RestrictGuestAccess (Reg_dword) =1
HKLM\System\CurrentControlSet\ Services\EventLog\System
RestrictGuestAccess (Reg_dword) =1
HKLM\System\CurrentControlSet\ Services\EventLog\Security
RestrictGuestAccess (Reg_dword) =1
Данными действиями мы запретили просмотр пользователям с правами Гостя журналов системы. Будем удалять административные шары, нам же не надо чтобы кто-нить рылся у нас в системе удаленно. Лезем сюда и делаем это:
HKLM\System\CurrentControlSet\ Services\LanManServer\Parameters
AutoShareWks (reg_dword)=0
Ну и по мелочи: надо отключить автозапуск у cd-rom и прописать полный доступ к оболочке. Почему объяснять я думаю не стоит, но так будет лучше. Для этого делаем следующие:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
Находишь параметр Shell и прописываешь туда полный путь до файла explorer.exe к примеру, у меня он выглядит так:
Shell=C:\WINNT\explorer.exe
Ну и теперь займемся автозапуском:
HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Cdrom
установи параметр autorun равным 0. Следующий совет относится тем людям, которые юзают инет через выделенную линию. Лезь в папку Сеть и удаленный доступ к сети и выбирай там соединение через которое ты лазишь в Интернет. Мы с тобой будем настраивать фильтрацию протокола TCP/IP =). Первым делом тебе надо задействовать фильтрацию следующих портов: 138 UDP (тут работает служба netbois-dgm), 137 UDP (netbois-sn), 139 TCP (netbois-ssn) и 135 TCP (RPC). После тога как ты настроил фильтрацию иди там же во вкладку WINS и отрубай NETBOIS поверх TCP/IP. И потом сними галки на всякий случай с "Клиент для сетей Microsoft" и "Служба доступа к файлам и принтерам сетей Microsoft". И удали все не нужные протоколы (например IPX/SPX), оставь только протокол TCP/IP.
В принципе эту тему по системе безопасности можно продолжать до бесконечности, поэтому я так думаю что надо закругляться.
Напоследок я тебе дам еще несколько рекомендаций. Первое: создай обычного пользователя (с правами пользователя) под которым ты будешь работать и лазить в нете, поверь мне - это тебе поможет избавится от многих проблем в будущем, заведи себе привычку: учетную запись с правами администратора лучше юзать только для установки ПО и изменения настроек системы. Второе: поставь себе на конец антивирус и файрвол. Вот и все. Короче удачи тебе перец =))).