Объекты доступа: Server (Windows Server), Workstation (Windows NT Workstation)
Отключить возможность сетевой аутентификации в системе Windows с других типов систем
Windows поддерживает два типа аутентификации:
· LanManager
· Windows
Чтобы сконфигурировать систему, которая будет поддерживать только аутентификацию Windows , необходимо с помощью редактора REGEDT32.EXE установить следующее значение параметра реестра:
| Hive: | HKEY_LOCAL_MACHINE\SYSTEM |
| Key: | System\CurrentControlSet\Control\LSA |
| Name: | LMCompatibilityLevel |
| Type: | REG_DWORD |
| Value: | 2 (по умолчанию - 0) 0 – LanManage и Windows 1 – послать парольные формы LanManage и Windows , если сервер запрашивает их 2 – никогда не посылать LanManage парольную форму |
Порядок проверки настройки:
· Произвести попытку регистрации на сервере домена. Доступ должен быть отвергнут.
Выводить перед аутентификацией пользователей предупреждающее сообщение
Объект доступа: Workstation (Windows Workstation).
Перед появлением диалогового окна аутентификации пользователей в системе должно появиться предупреждение о несанкционированном доступе для посторонних лиц. С этой целью необходимо с помощью редактора REGEDT32.EXE установить следующие значения ключей реестра:
| Hive: | HKEY_LOCAL_MACHINE\SOFTWARE |
| Key: | \Microsoft\Windows\CurrentVersion\Winlogon |
| Name: | LegalNoticeCaption |
| Type: | REG_SZ |
| Value: | “Предупреждение пользователям” |
| Hive: | HKEY_LOCAL_MACHINE\SOFTWARE |
| Key: | \Microsoft\Windows\CurrentVersion\Winlogon |
| Name: | LegalNoticeText |
| Type: | REG_SZ |
| Value: | “Система имеет ограничения на доступ. Посторонним доступ запрещен. Доступ без соответствующих прав влечет ответственность, предусмотренную законом”. |
Для проверки настройки выполнить перезагрузку системы. В процессе загрузки ОС после нажатия клавиш Ctrl+Alt+Del должно появится предупреждающее сообщение.
Скрыть идентификатор последнего пользователя, работавшего в системе, в диалоговом окне аутентификации
Для предотвращения индикации идентификатора последнего пользователя, работавшего в системе, в диалоговом окне аутентификации необходимо с помощью редактора REGEDT32.EXE выполнить следующие настройки реестра:
| Hive: | HKEY_LOCAL_MACHINE\SOFTWARE |
| Key: | \Microsoft\Windows\CurrentVersion\Winlogon |
| Name: | DontDisplayLastUserName |
| Type: | REG_SZ |
| Value: |
После перезагрузки системы визуально провести проверку маскировки идентификатора. В диалоговом окне аутентификации идентификатор должен отсутствовать.
Использовать блокирующую заставку экрана терминала
Блокирующая заставка позволяет защитить компьютер от несанкционированного доступа от постороннего в случае, если пользователь временно отсутствует на рабочем месте.
Данная настройка позволяет сделать операционную систему доступной для пользователя после простоя компьютера только после ввода правильного пароля.
Последовательность действий при установке настройки:
· Запустить ‘Панель управления’ ( ‘Control Panel’ ).
· Выбрать опцию ‘Свойства: Экран’ ( ‘Display’ ).
· Выбрать раздел ‘Заставка’ ( ‘Screen Saver' ).
· Выбрать заставку.
· Задать время простоя компьютера, предшествующее запуску заставки – 1 мин.
· Установить флаг защиты паролем, который пользователь использует при входе в систему.
· Выбрать опцию ‘Применить’ ( ‘Apply’ ).
Порядок проверки настройки:
· Выполнить успешный вход с систему.
· В течение 1-ой минуты до появления на компьютере заставки не производить ни каких действий на компьютере.
· После появления на экране заставки нажать любую клавишу. На экране терминала должно появится диалоговое окно аутентификации.
· Ввести правильный идентификатор текущего пользователя и неверный пароль. Доступ в систему должен быть отвергнут.
· После ввода правильного идентификатора и пароля система должна быть доступна пользователю для продолжения работы.
Запретить возможность перезагрузки системы из диалогового окна входа в систему (Login dialog)
Для того, чтобы исключить возможность перезагрузки системы без аутентификации в ней пользователя, необходимо с помощью редактора REGEDT32.EXE установить следующие параметры реестра:
| Hive: | HKEY_LOCAL_MACHINE\SOFTWARE |
| Key: | \Microsoft\Windows\CurrentVersion\Winlogon |
| Name: | ShutdownWithoutLogon |
| Type: | REG_SZ |
| Value: |
Для проверки настройки произвести перезагрузку компьютера и визуально проверить факт отключения опции “Перезагрузка” (“Shot Down”) в диалоговом окне входа в систему.
Активизировать механизм очистки содержимого системного страничного файла (system page file) при завершении работы ОС
В случае несанкционированного доступа к страничному файлу (PAGEFILE.SYS) можно получить идентификатор последнего пользователя, работавшего в системе. Для активизации режима очистки страничного файла необходимо задать следующий параметр реестра:
| Hive: | HKEY_LOCAL_MACHINE\SYSTEM |
| Key: | System\CurrentControlSet\Control\SessionManager\Memory Management |
| Name: | ClearPageFileAtShutdown |
| Type: | REG_DWORD |
| Value: |
Обеспечить защиту журналов регистрации от несанкционированного доступа
Объекты доступа: Server (Windows Server), Workstation (Windows NT Workstation).
Для предотвращения возможности гостевого доступа к журналам аудита “Система” (“System”) и “Приложения” (“Application”) следует установить следующие параметры реестра:
| Hive: | HKEY_LOCAL_MACHINE |
| Key: | System\CurrentControlSet\Services\EventLog\[LogName] |
| Name: | RestrictGuestAccess |
| Type: | REG_DWORD |
| Value: |
Изменения вступят в силу после перезагрузки системы.
Порядок проверки настройки реестра:
· Войти в систему в качестве администратора.
· Запустить программу “Диспетчер пользователей” (“User Manager”) и снять блокировку с учетной записи гостя.
· После перезагрузки войти в систему под гостевым идентификатором.
· С помощью программы EVENTWVR.EXE. выполнить попытку просмотра содержимого журналов. Доступ к журналам должен быть отклонен.