Общие рекомендации

Поскольку защита приватной информации для обычного пользователя всё же гораздо важнее, нежели знание самых изощрённых приёмов взлома, я попробую вкратце дать ещё кое-какие достаточно известные советы по повышению общего уровня защиты Windows 2000. Для воплощения в жизнь многих из этих рекомендаций требуется просто открыть редактор политик групп gpedit.msc или редактор политик безопасности secpol.msc и изменить соответствующий параметр. Редакторы системных политик из состава Windows или популярные программы-«твикеры» позволяют изменить множество настроек Windows, влияющих на безопасность системы, и грамотный пользователь обязан изучить их вдоль и поперёк. Поэтому полный путь к каждому из упоминаемых мной параметров я, пожалуй, приводить не буду — найти его самостоятельно будет полезно. Главное — помните, что максимальный эффект даст только целый комплекс оборонительных мероприятий, поскольку достаточно одного прокола, чтобы cвести все усилия на нет.

Итак, нередко рекомендуется переименовать имена учётных записей администратора и гостя, и хотя в случае снятия хэша паролей или кражи SAM-файла это бессмысленно, тем не менее, в целом это повышает уровень защиты системы, так как затрудняет взлом с удалённого компьютера. Для переименования этих учётных записей запустите диалоговое окно secpol.msc — «Локальные параметры безопасности», откройте «Локальные политики» — «Параметры безопасности» («Local Policies» — «Security Options») и воспользуйтесь пунктами «Переименование учетной записи администратора» и «Переименование учетной записи гостя» («Accounts: Rename administrator account» и «Accounts: Rename guest account»). Также для этих учётных записей измените соответствующим образом параметры «Описание» и «Полное имя» («Description» и «Full name») в диалоговом окне «Управление компьютером» — «Локальные пользователи и группы». А ещё можно создать своеобразную ловушку для взломщика — ложную учётную запись администратора с минимумом прав, после чего активизировать аудит регистрации пользователей и периодически отслеживать зондирование потенциальными хакерами этой учётной записи в журнале безопасности системы. Вообще, активнее используйте аудит, во многих случаях это способно вовремя предупредить взлом системы. В ряде ситуаций нелишним будет включить создание полного протокола работы модема (SYSTEM32RASDEVICE.LOG):

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters
"Logging"=dword:00000001

Также полезным будет по возможности отключить учётную запись гостя, используя только явное прописывание пользователей в системе, чтобы исключить безответственную анонимность. Безответственность порождает и ситуация, когда все администраторы сети используют только одну на всех учётную запись администратора. Каждый админ должен иметь свою собственную учётную запись. Учётные записи с правами администратора следует использовать как можно реже, осуществляя рутинную работу из-под аккаунта пользователя с ограниченными правами и запуская приложения, непременно требующие прав администратора в режиме «Запуск от имени…» («Run as…»). Обязательно своевременно удаляйте учётные записи уволившихся сотрудников. Регулярно меняйте пароли. Для разных ресурсов или программ должны быть разные пароли. Пароль администратора на сервере или на ПК с секретной информацией, разумеется, должен отличаться от пароля на машинах рядовых сотрудников. Ни в коем случае не используйте в качестве пароля слова, которые могут оказаться в словаре. Не используйте персональную информацию (дата рождения, имя собаки) в качестве пароля. Не записывайте пароль на бумагу и никогда не вводите свой пароль на чужом компьютере. Включите режим блокирования учётной записи администратора после нескольких попыток ввода неправильного пароля. То же самое касается и обычных пользователей (в Windows XP параметры «Account lockout duration» и «Account lockout threshold»).

Кроме того, в редакторе политик безопасности secpol.msc, в диалоге «Локальные политики» — «Параметры безопасности» («Local Policies» — «Security Options») тщательно просмотрите все имеющиеся параметры и установите максимально возможные в вашей сети ограничения, поскольку по умолчанию система не настроена даже на разумный уровень защиты. Например, желательно выставить в положение «Disabled» параметр «Консоль восстановления: разрешить автоматический вход администратора» («Recovery console: Allow automatic administrative logon»), чтобы злоумышленник не смог воспользоваться встроенным механизмом восстановления Windows. Снизить до 2 или даже до нуля значение параметра «Количество предыдущих подключений к кэшу…» («Interactive logon: Number of previous logons to cache...»), тем самым отключится кэширование хэшей 10 последних пользователей, входивших в систему интерактивно, которое производится для того, чтобы пользователь смог залогиниться, даже если ПК отключен от сети, или недоступен контроллер домена. В положение «Enabled» желательно установить «Не отображать последнего имени пользователя в диалоге входа» («Interactive logon: Do not display last user name»), чтобы лишний раз не показывать настоящие имя учётной записи администратора и так далее. Короче говоря, если решили заняться защитой, не бойтесь прослыть параноиком.

Установите права доступа к папкам таким образом, чтобы обычные пользователи не могли изменять содержимое директорий WinNT и Program Files. В реестре, соответственно, установите запрет на изменение разделов HKLM и Default. Запретите удалённый доступ к реестру. Включите режим очистки файла подкачки при выключении компьютера, а также напишите командный файл, очищающий папки временных файлов и удаляющий файлы user.dmp и memory.dmp (для этих файлов разрешите доступ только администраторам и системе). Ещё лучше — полностью отключить создание дампа памяти при сбоях. Отключите дебаггер Dr. Watson.

Ни в коём случае не используйте в локальной сети, о безопасности которой нужно заботиться, машины с Windows 9x, так как их защита… её почти нет. К тому же, наличие клиентов Windows 9x приводит к появлению тех самых легко расшифровываемых LM-хэшей. Запретите администратору доступ из сети, отключите скрытые системные ресурсы общего доступа, такие как C$ (диск C:), D$ (диск D:, и так далее), Admin$ (папка WinNT), к которым имеют доступ члены группы администраторов. Для этого в разделе реестра HKEY_LOCAL_MACHINE SYSTEMCurrentControlSet ServicesLanmanServerParameters установите равным «0» параметр «AutoShareServer» (типа REG_DWORD) для сервера или параметр «AutoShareWks» для рабочей станции. Эту операцию можно осуществить, в частности, и с помощью известной программы POLEDIT.EXE — редактора системных политик (System Policy Editor) — за управление скрытыми ресурсами общего доступа отвечает параметр «Windows NT» — «Network» — «Sharing» — «Create Hidden Drive Shares».

Используйте файерволл, по возможности вообще отключите службу Server и другие неиспользуемые сервисы. Кроме того, компьютер можно сделать «невидимым» в сети:

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerParameters
"Hidden"=dword:00000001

Запретить возможность использования т. н. Null — Session:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa
"RestrictAnonymous"=dword:00000001

Запретить запуск «дефолтного» скринсейвера (http://support.microsoft.com/default.aspx?scid=KB;en-us;q185348), появляющегося, если не производить регистрацию пользователя в течение 10—15 минут:

HKEY_USERS.DEFAULTControl PanelDesktop
"ScreenSaveActive"="0"
"ScreenSaveTimeOut"="0"

Запретите автозапуск компакт-дисков. Для BAT, VBS и REG-файлов установите действие по умолчанию «Редактировать», чтобы исключить автозапуск этих файлов из папки «Автозагрузка» или разделов Run реестра. Не забывайте блокировать или выключать ПК, когда покидаете своё рабочее место даже на несколько минут. Даже такой простой вещью, как пароль скринсейвера, пренебрегать не стоит. В особо ответственных случаях прибегайте к помощи «железной» защиты: SmartCard, видеонаблюдение, блокировка входа в помещение, аппартные шифраторы, электронные замки и т. п. Носители с резервными копиями системы или важных данных храните в надёжном сейфе, желательно в зашифрованном виде.