Объекты доступа: Server (Windows Server), Workstation (Windows NT Workstation)

Отключить возможность сетевой аутентификации в системе Windows с других типов систем

Windows поддерживает два типа аутентификации:

· LanManager

· Windows

Чтобы сконфигурировать систему, которая будет поддерживать только аутентификацию Windows , необходимо с помощью редактора REGEDT32.EXE установить следующее значение параметра реестра:

Hive: HKEY_LOCAL_MACHINE\SYSTEM
Key: System\CurrentControlSet\Control\LSA
Name: LMCompatibilityLevel
Type: REG_DWORD
Value: 2 (по умолчанию - 0) 0 – LanManage и Windows 1 – послать парольные формы LanManage и Windows , если сервер запрашивает их 2 – никогда не посылать LanManage парольную форму

Порядок проверки настройки:

· Произвести попытку регистрации на сервере домена. Доступ должен быть отвергнут.

Выводить перед аутентификацией пользователей предупреждающее сообщение

Объект доступа: Workstation (Windows Workstation).

Перед появлением диалогового окна аутентификации пользователей в системе должно появиться предупреждение о несанкционированном доступе для посторонних лиц. С этой целью необходимо с помощью редактора REGEDT32.EXE установить следующие значения ключей реестра:

Hive: HKEY_LOCAL_MACHINE\SOFTWARE
Key: \Microsoft\Windows\CurrentVersion\Winlogon
Name: LegalNoticeCaption
Type: REG_SZ
Value: “Предупреждение пользователям”
Hive: HKEY_LOCAL_MACHINE\SOFTWARE
Key: \Microsoft\Windows\CurrentVersion\Winlogon
Name: LegalNoticeText
Type: REG_SZ
Value: “Система имеет ограничения на доступ. Посторонним доступ запрещен. Доступ без соответствующих прав влечет ответственность, предусмотренную законом”.  

Для проверки настройки выполнить перезагрузку системы. В процессе загрузки ОС после нажатия клавиш Ctrl+Alt+Del должно появится предупреждающее сообщение.

Скрыть идентификатор последнего пользователя, работавшего в системе, в диалоговом окне аутентификации

Для предотвращения индикации идентификатора последнего пользователя, работавшего в системе, в диалоговом окне аутентификации необходимо с помощью редактора REGEDT32.EXE выполнить следующие настройки реестра:

Hive: HKEY_LOCAL_MACHINE\SOFTWARE
Key: \Microsoft\Windows\CurrentVersion\Winlogon
Name: DontDisplayLastUserName
Type: REG_SZ
Value:

После перезагрузки системы визуально провести проверку маскировки идентификатора. В диалоговом окне аутентификации идентификатор должен отсутствовать.

Использовать блокирующую заставку экрана терминала

Блокирующая заставка позволяет защитить компьютер от несанкционированного доступа от постороннего в случае, если пользователь временно отсутствует на рабочем месте.

Данная настройка позволяет сделать операционную систему доступной для пользователя после простоя компьютера только после ввода правильного пароля.

Последовательность действий при установке настройки:

· Запустить ‘Панель управления’ ( ‘Control Panel’ ).

· Выбрать опцию ‘Свойства: Экран’ ( ‘Display’ ).

· Выбрать раздел ‘Заставка’ ( ‘Screen Saver' ).

· Выбрать заставку.

· Задать время простоя компьютера, предшествующее запуску заставки – 1 мин.

· Установить флаг защиты паролем, который пользователь использует при входе в систему.

· Выбрать опцию ‘Применить’ ( ‘Apply’ ).

Порядок проверки настройки:

· Выполнить успешный вход с систему.

· В течение 1-ой минуты до появления на компьютере заставки не производить ни каких действий на компьютере.

· После появления на экране заставки нажать любую клавишу. На экране терминала должно появится диалоговое окно аутентификации.

· Ввести правильный идентификатор текущего пользователя и неверный пароль. Доступ в систему должен быть отвергнут.

· После ввода правильного идентификатора и пароля система должна быть доступна пользователю для продолжения работы.

Запретить возможность перезагрузки системы из диалогового окна входа в систему (Login dialog)

Для того, чтобы исключить возможность перезагрузки системы без аутентификации в ней пользователя, необходимо с помощью редактора REGEDT32.EXE установить следующие параметры реестра:

Hive: HKEY_LOCAL_MACHINE\SOFTWARE
Key: \Microsoft\Windows\CurrentVersion\Winlogon
Name: ShutdownWithoutLogon
Type: REG_SZ
Value:

Для проверки настройки произвести перезагрузку компьютера и визуально проверить факт отключения опции “Перезагрузка” (“Shot Down”) в диалоговом окне входа в систему.

Активизировать механизм очистки содержимого системного страничного файла (system page file) при завершении работы ОС

В случае несанкционированного доступа к страничному файлу (PAGEFILE.SYS) можно получить идентификатор последнего пользователя, работавшего в системе. Для активизации режима очистки страничного файла необходимо задать следующий параметр реестра:

Hive: HKEY_LOCAL_MACHINE\SYSTEM
Key: System\CurrentControlSet\Control\SessionManager\Memory Management
Name: ClearPageFileAtShutdown
Type: REG_DWORD
Value:

Обеспечить защиту журналов регистрации от несанкционированного доступа

Объекты доступа: Server (Windows Server), Workstation (Windows NT Workstation).

Для предотвращения возможности гостевого доступа к журналам аудита “Система” (“System”) и “Приложения” (“Application”) следует установить следующие параметры реестра:

Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Services\EventLog\[LogName]
Name: RestrictGuestAccess
Type: REG_DWORD
Value:

Изменения вступят в силу после перезагрузки системы.

Порядок проверки настройки реестра:

· Войти в систему в качестве администратора.

· Запустить программу “Диспетчер пользователей” (“User Manager”) и снять блокировку с учетной записи гостя.

· После перезагрузки войти в систему под гостевым идентификатором.

· С помощью программы EVENTWVR.EXE. выполнить попытку просмотра содержимого журналов. Доступ к журналам должен быть отклонен.

Наши рекомендации