Belarc Advisor III: Тестируем безопасность XP Pro

[XP user]

I II III IV V VI VII

3 Security Settings – Настройки Безопасности

XP Pro даёт возможность задать множество настроек для усиления безопасности. Если компьютер не является членом домена, то тогда настройки сразу же применяются. Если рабочая станция часть домена, то тогда политики будут работать, если доменная политика не противоречит их.

3.1 Major Security Settings – Важные настройки безопасности
Эти настройки направлены на ограничение анонимного пользователя.

3.1.1 Network Access: Allow Anonymous SID Name Translation – Доступ к сети: Разрешить трансляцию анонимного SID в имя – Отключено.
Отключите этот параметр политики, чтобы запретить не прошедшим проверку подлинности пользователям получать имена пользователей, связанные с соответствующими ИД безопасности.
3.1.2 Network Access: Do not allow Anonymous Enumeration of SAM Accounts – Сетевой доступ: не разрешать перечисление учётных записей SAM анонимными пользователями – Включено
Windows даёт возможность анонимным пользователям выполнять определённые операции, например, проводить перепись имён учётных записей домена. Понятно, что в этом риск. Поэтому включим политику.
3.1.3 Network Access: Do not allow Anonymous Enumeration of SAM Accounts and Shares – не разрешать перечисление учётных записей SAM и общих ресурсов анонимными пользователями – Включено
Windows даёт возможность анонимным пользователям выполнять определённые операции, например, проводить перепись имён сетевых ресурсов. Понятно, что в этом риск. Поэтому включим политику.
3.1.4 Data Execution Protection – предотвращение выполнение данных (DEP) – включено
Предотвращение выполнения данных (DEP) используется для предотвращения проникновения на компьютер вирусов и других угроз безопасности, которые выполняют вредоносный код из областей памяти, которые должны использоваться только операционной системой Windows и другими программами. Такой тип угроз безопасности наносит ущерб, занимая по очереди все области памяти, используемые программой. Затем вирус распространяется и повреждает всё что угодно на компьютере.

3.2 Minor Security Settings - второстепенные настройки безопасности

3.2.1 Security Options – Опции для дополнительной безопасности

3.2.1.1 Accounts: Administrator Account Status – Учётные записи: Состояние учётной записи ‘Администратор’ – Не определено
Думаю, что не задано именно из-за того, что это часто не практично. Стоит сказать, что при загрузке в безопасном режиме учётная запись ‘Администратор’ всегда включена, независимо от данного параметра.
3.2.1.2 Accounts: Guest Account Status – Учётные записи: Состояние учётной записи ‘Гость’ – Отключено
Учётная запись Гость позволяет пользователям, не имеющим доменной учётной записи, подключаться к домену в качестве гостя. Эта учётная запись должна быть отключена.
3.2.1.3 Accounts: Limit local account use of blank passwords to console logon only – Учётные записи: ограничить использование пустых паролей только для консольного входа – включено.
Определяет возможность использования локальных учётных записей, не защищённых паролем, для входа в систему не только с консоли компьютера. Если параметр включён, то тогда локальные учётные записи, не защищённые паролем, могут применяться только для входа в систему с клавиатуры компьютера. Этот параметр безопасности не применяется к гостевой учётной записи.
3.2.1.4 Accounts: Rename Administrator Account – Учётные записи: переименование учётной записи ‘Администратор’ – индивидуальный параметр
См. 3.2.1.1. Часто отключение учётной записи Администратор – непрактично. Переименование этой учётной записи усложнит пользователям, не имеющим доступа в систему, процесс угадывания имени и пароля пользователя с правами администратора. Одновременно надо отключить трансляцию анонимного SID в имя (3.1.1). Тогда атакующий не может узнать эту учётную запись по SID.
3.2.1.5 Accounts: Rename Guest Account – Учётные записи: переименование учётной записи гостя – индивидуальный параметр
См. 3.2.1.2. Хотя эта учётная запись отключена по умолчанию, переименование её обеспечит дополнительный уровень защиты от неавторизованного доступа; посторонним будет труднее угадать новую комбинацию имени и пароля такого пользователя.
3.2.1.6 Audit: Audit the access of global system objects – Аудит: аудит доступа глобальных системных объектов – Отключено
Требуется обычно только разработчикам. Для того, чтобы были нужные журналы необходимо включить ‘Аудит доступа к объектам’ (2.2.1.5)
3.2.1.7Audit: Audit the use of backup and restore privilege – Аудит: аудит прав на архивацию и восстановление – Отключено.
Если этот параметр включён, то тогда событие аудита будет создаваться для каждого архивируемого или восстанавливаемого файла, что создаёт огромное количество записей. Журнала получите только, если включена политика ‘Аудит использования привилегий’.
3.2.1.8 Audit: Shut Down system immediately if unable to log security alerts – Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности – Не определено
См. 2.2.4. При такой политике могут проводиться атаки на службу, для того, чтобы как можно скорее заполнить журнал (происходит STOP error). Если вы всё же хотите установить эту политику, то тогда требуется задать для параметра ‘Способ сохранения Журнала (затирать или нет?)’ [2.2.4.2.3] либо ‘запрет перезаписи’ или ‘перезапись событий, срок которых превышает определённое число дней’.
3.2.1.9 DCOM: Machine Access Restrictions – Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language) [Только SP2] – Не определено
Неправильное применение этих параметров может вызвать сбой в работе приложений и компонентов Windows, использующих DCOM.
3.2.1.10 DCOM: Machine Launch Restrictions – Ограничения компьютера на запуск в синтаксисе SDDL (Security Descriptor Definition Language) [Только SP2] – Не определено
Неправильное применение этих параметров может вызвать сбой в работе приложений и компонентов Windows, использующих DCOM.
3.2.1.11 Devices: Allow undock without having to log on – Устройства: разрешать отстыковку без входа в систему – Отключено
Это относится к ноутбукам, которые сотрудники приносят на работу. Обратите внимание на фразировку: если политика отключена, то тогда пользователи должны входить сначала в систему до того, как они смогут выполнять отстыковку.
3.2.1.12 Devices: Allowed to format and eject removable media – Устройства: Разрешено форматировать и извлекать съёмные носители – Администраторы
3.2.1.13 Devices: Prevent users from installing printer drivers – Устройства: запретить пользователям установку драйверов принтера – Включено
Если вы всё же хотите дать пользователям это право (то есть – Отключить политику), то тогда думайте о том, чтобы установить параметр 3.2.1.16 так, чтобы драйверы всегда были подписаны
3.2.1.14 Devices: Restrict CD-ROM Access to Locally Logged-On User Only – Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям – Отключено
Если установить такую политику, то тогда могут возникнуть проблемы с некоторыми установщиками программ. Здесь важно правильно настроить права доступа.
3.2.1.15 Devices: Restrict Floppy Access to Locally Logged-On UserOnly – Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям – Отключено
Здесь важно правильно настроить права доступа.
3.2.1.16 Devices: Unsigned Driver Installation Behavior – Устройства: поведение при установке неподписанного драйвера – Предупредить, но разрешить инсталляцию…
К сожалению, не все драйверы (даже те от Майкрософта) – подписаны.
3.2.1.17 Domain Controller: Allow Server Operators to Schedule Tasks – Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию – Не определено.
Относится только к серверам Win 2000.
3.2.1.18 Domain Controller: LDAP Server Signing Requirements – Контроллер домена: требования подписывания для LDAP сервера – Не определено
Настройка устанавливается на сервере. На XP Pro она отключена, что имеет такое же значение как ‘None’.
3.2.1.19 Domain Controller: Refuse machine account password changes – Контроллер домена: запретить изменение пароля учётных записей компьютера – Не определено
Это настройка относится только к серверам. См. 3.2.1.21 для соответствующих настроек рабочей станции.
3.2.1.20 Domain Member: Digitally Encrypt or Sign Secure Channel Data (Always) – Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала – Включено
Когда эта политика включена, безопасный канал не будет устанавливаться, если не согласовано использование подписи или шифрования для всего трафика безопасного канала. Чтобы воспользоваться преимуществом этой политики на рядовых рабочих станциях и серверах, все контроллеры этого домена должны работать под управлением операционной системы Windows NT 4.0 с пакетом обновления Service Pack 6 или более поздним.

I II III IV V VI VII