Обезопасяване на Windows XP/2000

Всичко за ГНУ/Линукс. Програмиране на c/c++, java, perl, python, jquery, ruby, bash, php, mysql, css, html и други компютърни неща.

no subject

Postby Fahrenheit » October 13th, 2005, 3:47 pm

Как да накараме Windows 2000/XP да спира натрапници по мрежата, и да ограничава до максимална степен функционалността на червеите.

ВНИМАНИЕ, СЛЕДНИТЕ НАСТРОЙКИ НЕ ПРЕМАХВАТ НУЖДАТА ОТ АНТИВИРУСНА ПРОГРАМА И ЗАЩИТНА СТЕНА, АКО НЯМАТЕ, ИНСТАЛИРАЙТЕ СИ, ЕФЕКТА ОТ НАСТРОЙКИТЕ Е ДОПЪЛНИТЕЛНА СИГУРНОСТ КОЯТО ЩЕ ДОПЪЛВА ТАЗИ КОЯТО ВИ ДАВА ЗАЩИТНАТА СТЕНА И АНТИВИРУСНАТА ПРОГРАМА.

Просто е. Използвайте Windows NT Базирана операционна система и нейната "NTFS" заедно с "Administrative tools". влезте като администратор, и изберете ВСИЧКИ ФАЙЛОВЕ И ПАПКИ, И ДО СИСТЕМНИТЕ ФАЙЛОВЕ, РЕСУРСИ И РЕГИСТРИ, и им дайде достъп да имат само администратора и систем - администратор за да можете да ги управлявате, и систем - това е Windows. Той трябва да има достъп. сложете дълга и сложна парола на администраторския акаунт и на акаунт guest. След като сте отнели достъп до всичко, направете си потребител със забранени привилегии - restricted user и с помощта на NTFS забранете достъпа до всички файлове по всички дялове, направте му негова папка и му разрешеше само това което попринцип ползвате и прехвърлете всичко в тази разрешена папка. излезте от администраторсия акаунт и се включете с забранения акаунт, а с помощта на "administrative tools" забранете достъпа до всички системни ресурси, регистри и стартовата папка, стартови применливи и му дайте достъп само до това, което наистина му е необходимо. От административните инструменти изключете всичко излишно.

тъй като това е общо описание за 2000 и ХР някои настройки, под ХР може да няма част от настройките и да ги има под 2000, под 2000 може да няма част от настройките и да ги има под ХР.

Oтидете на Local Security Policy от Administrative Tools.

Препоръчителните настройки са следните:

Изберете Account Policies:
-> Password Policy:
Enforce password policy -- 0 passwords remembered
Maximum password age -- 30 дни
Passwords must meet complexity requirements -- Enabled
Minimum password length -- 10 или повече символа.
Account Lockout Policy
Account Lockout Duration -- 30 мин.
Account Lockout Threshold -- 5 невалидни опита за влизане
Reset account lockout counter after -- 30 мин.

-> Local Policies -> Autid Policy:
Audit account logon events -- Audit Success and Failure
Audit account management -- Audit Success and Failure
Audit directory service access -- Audit Success and Failure
Audit logon events -- Audit Success and Failure
Audit object access -- Audit Failure
Audit policy change -- Audit Success and Failure
Audit privilege use -- Audit Success and Failure
Audit process tracking -- No auditing
Audit system events -- No auditing

-> Users Rights Assignments:
Access this Computer from the network -- Mахнете всичко
Bypass transverse Checking -- Mахнете всичко
Log on locally -- Оставете потребителите, които трябва да могат да се логват
Shut down the system -- Премахнете всички групи освен администраторската.

-> Security Options:
Additional restrictions for anonymous connections -- Do not allow enumeration of SAM accounts and shares
Do not display last user name in logon screen -- Enabled
LAN Manager Authentication Level -- Send NTLMv2 response only/refuse LM & NTLM
Message text for users attempting to log on -- Ваш избор нпр. (This system is subject to usage logging and monitoring. Authorized Access only)
Message tile for users attempting to log on -- например Don't fuck!!
Prevent System maintence of computer account password -- Enabled
Recovery Console: Allows automatic Administrative logon -- Enabled
Restrict CD-ROM access to locally logged-on user only -- Enabled
Restrict Floppy Access to locally logged-on user only -- Enabled

Отворете Internet Explorer и в раздела local intranet, сложете всички опции на Disabled.

Маханете всички протоколи освен TCP/IP.

От регистри направете следните промени ->

Тези настройки са в регистрито и повечето се отнасят до ДоС атаките.
Отворете HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services и модифицирайте следните настройки:

Ключ: Tcpip\ParametersСтойност: SynAttackProtect
Тип на стойността: REG_DWORD
Параметър: 2

ключ: Tcpip\Parameters
Стойност: TcpMaxHalfOpen
Тип на стойността: REG_DWORD
Параметър: 100

Ключ: Tcpip\Parameters
Стойност: TcpMaxHalfOpenRetried
Тип на стойността: REG_DWORD
Параметър: 80

Ключ: Tcpip\Parameters
Стойност: EnablePMTUDiscovery
Тип на стойността: REG_DWORD
Параметър: 0

Ключ: Tcpip\Parameters
Стойност: EnableDeadGWDetect
Тип на стойността: REG_DWORD
Параметър: 0

Ключ: Tcpip\Parameters
Стойност: KeepAliveTime
Тип на стойността: REG_DWORD
Параметър: 300000
Ключ: Tcpip\Parameters
Стойност: EnableICMPRedirect
Тип на стойността: REG_DWORD
Параметър: 0

Ключ: Tcpip\Parameters\Interfaces\
Стойност: PerformRouterDiscovery
Тип на стойността: REG_DWORD
Параметър: 0
Ключ: Netbt\Parameters
Стойност: NoNameReleaseOnDemand
Тип на стойността: REG_DWORD
Параметър: 1

Отворете HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control и модифицирайте следните настройки:

Ключ: Lsa
Стойност: RestrictAnonymous
Тип на стойността: REG_DWORD
Параметър:1

Махнете всички излишни акаунти само тоя guest дето не се маха му сложете дълга и сигурна срещу Brute force на паролата.

Пуснете филтриране на портовете от Win, като оставете само тези които наистина ви трябват -

25 smtp - ако ползвате outlook/oulook express - за изпращане на поща

110 РОР3 - ако ползвате Outlook/outlook express - за получаване на поща

80 за браузване,

1080, 8080, 8088 за уеб прокси уеб сокс добре е да са отворени искат се от някои сайтове

5190 за ICQ

21 за FTP

6667 за IRC

За логване е включено secure-нато логване, т.е. да се натисне първо Ctrl+Alt+Del, за да се разреши появата на прозорец за логване. Целта е да се спре автоматично логване на вреден или непознат софтуер.

Не очаквайте да стане от първия път. пробвайте много пъти и ще стане след като се понаучите да управлявати ресурсите. Ако нещо объркате - не се отчайвайте. Влезте с акаунта на администратора, изтриите този потребител с объркани привилегии, създайте нов, и опитайте друга комбинация. опитвайте така докато стане. Веднъж успеете ли, си запишете на лист хартия всички настройки, разрешени и забранени ресурси, и го пазете - ще ви трябва при преинсталация, или добавяне на потребители. Сега ако нещо стане - ако ви сполети вирус или червей, то операционната система ще му отказват достъп до каквото и да било. няма достъп до хедърите, няма достъп до системните файлове, няма достъп регистри..... как да направи беля? Та той няма достъп никъде. Вирусът или червеят ще се опитва да действа от наше име с вашите привилегии. Те са ограничени и той (вирусът или червеят е ограничен). Ще е ограничен само във вашата папка и няма да го има никъде извън нея. Няма да може да се регистрира в ресурсите за автоматично стартиране, в регистри, системните файлове, системните ресурси и стартовите променливи. Това е.

Сега остава да следите и прилагате всички сервиз пакове и актуализации които излизат за вашата операционна система, те не само ще подобрят сигурността, но ще подобрят съвместимостите на ОС, и ще подобрят управлението на ресурсите и мултимедията и ще добавят всички останали подобрентия които носят в себе си. Мястото от което с препоръчва да го правите е http://windowsupdate.microsoft.com защото от там, вие ще вземате кръпките направо от производителя, и ще имате гаранция че изтеглените кръпки ще са 100% качестнени, съвместими, ще са завършени и тествани, с проверено качество, освен това отпада риска да попаднете на модифицирана от трето лице кръпка, която вече е със съмнителна работоспособност и/или прикачен вирус или червей.


Автор: Кристиян Александров
Web: http://VirInfo.hit.bg
Angrief ist die einzige Verteidigung.
User avatar
Fahrenheit
VIP
 
Posts: 69
Joined: September 16th, 2005, 7:44 am

no subject

Postby Koening » October 13th, 2005, 8:18 pm

Каквото и да правим тоя операционна система(да не я обиждам с нещо повече) е толкова бъгава, че щом пипнеш да оправиш едно нещо се прецакват десет и ти стигаш до мемента, че искаш да потрошиш компютъра си.
Ти си моето сладко опиянение. Ти си моето наказание. Ти си моето минало. Ти си моето настояще. Обичам те! Бъди моето бъдеще!
Koening
VIP
 
Posts: 18
Joined: October 13th, 2005, 3:14 pm
Location: Някъде в София


Return to Компютърни

Who is online

Users browsing this forum: No registered users and 1 guest