# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  Можно ли так укрепить защиту от кидо?

## Oleg

Хочется узнать мнение по поводу настроек указанных ниже как дополнительных к перечисленным в форуме для повышения защиты от кидо и возможных негативных последствиях.
  Глобальные политики – конфигурация компьютера – конфигурация виндовс – параметры безопасности – локальные политики – назначения прав пользователя –
  1.Отказывать во входе в качестве пакетного задания – добавить идентификатор Сеть(S-1-5-2), SYSTEM
  2.Отказывать во входе в качестве службы - добавить идентификатор Сеть(S-1-5-2),Пакетные файлы(S-1-5-3). Сеть В этой группе находятся все пользователи, в настоящее время имеющие доступ на компьютер по сети.  (все пользователи входящие через сетевое подключение включая администраторов не смогут добавить и запустить задание в шедулер и службы, в интерактивном режиме – консоль и терминальный вход можно.)
  3. Глобальные политики – конфигурация компьютера – конфигурация виндовс – параметры безопасности – файловая система – 
  %SystemRoot%  и %SystemRoot%\sysytem32 (так как не наследуются права) –
  Добавить  права доступа NTFS идентификаторы 
Сеть(S-1-5-2) разрешения все снять, запрет на запись.
Пакетные файлы(S-1-5-3)(Группа, в которую входят все пользователи, вошедшие в систему с использованием средства пакетной очереди. Пример планировщик задач.) разрешения все снять, запрет на запись.
(невозможность записи по сети и запущенными в планировщике задачами в системной папки, в интерактивном режиме – консоль и терминальный вход можно.)
  4. Глобальные политики – конфигурация компьютера – конфигурация виндовс – параметры безопасности – реестр –
  MACHINE\SYSTEM\CurrentControlSet\Services 
  MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost– добавить идентификатор Сеть(S-1-5-2) разрешение пусто, запрет всех изменений в реестре. SYSTEM - снимите флажок Полный доступ

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Oleg

Похоже все согласны, что это хороший способ защиты от сетевых вирусов (не с переносных носителей) включая защиту от доступа по сети от имени администратора.

----------


## XiTri

Звучит многообещающе.
А можно про
 идентификатор Сеть(S-1-5-2),
 Пакетные файлы(S-1-5-3)
поподробней. Это как? Я так понял это "Встроенные участники безопасности".
Хотелось бы по подробней и с первоисточниками

----------


## Oleg

http://support.microsoft.com/kb/243330/ru

*Добавлено через 12 минут*

http://technet.microsoft.com/ru-ru/l.../cc780850.aspx

*Добавлено через 7 минут*

Запрещение входа в качестве пакетного заданияОписание
Эта настройка безопасности определяет, какие учетные записи запрещается использовать при входе в систему в качестве пакетного задания. Эта политика отменяет политику Вход в качестве пакетного задания, если учетная запись пользователя контролируется обеими политиками.

По умолчанию: не определен.

Настройка этого параметра безопасности
Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\.

Запрещение входа в качестве службыОписание
Эта настройка безопасности определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Эта политика отменяет политику Вход в качестве службы, если учетная запись пользователя контролируется обеими политиками.

 Примечание

Данная настройка не используется для учетных записей: «Локальная служба», «Системная служба» и «Сетевая служба». 
По умолчанию: не определен.

Настройка этого параметра безопасности
Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\.

----------


## XiTri

Я как-то побаиваюсь ставить эксперимент

----------


## GrAnd

А автоматизировать это как-нибудь можно?

----------


## Oleg

Сама идея была, чтобы с помощью идентификатора Сеть, защитить от воздействия по сети (не важно с какими правами доступа) наиболее критичные точки системы (системную папку, ветки реестра, список которых может расширяться).

----------


## XiTri

с помощью идентификатора Сеть, можно защититься от  подбора пароля.
В случае кидо и переполнения буфера защищаться придется от идентификатора служба. Но тут и кроется засада

----------


## Oleg

в этом случае он идентифицируется от NT AUTHORITY\SYSTEM. Запрещать запись в системных папках этому идентификатору действительно нельзя п.3 и п.2 тоже, а вот остальные п.1 и п.4 можно, запретить пакетные файлы и создание записей в службах.

*Добавлено через 7 минут*

http://support.microsoft.com/kb/962007/ru
они сами это рекомендуют
# В диалоговом окне Выбор раздела реестра разверните узел Machine, а затем перейдите в следующую папку:
Software\Microsoft\Windows NT\CurrentVersion\Svchost
# Нажмите кнопку ОК.
# В появившемся диалоговом окне снимите флажок Полный доступ для группы Администраторы и System.
# Нажмите кнопку ОК.
# В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми. 

также проделать это для ветки сервисов, и НЕ делать этого для администраторв.

----------


## Oleg

К  %SystemRoot%\sysytem32 по умолчанию из служб имеет полный доступ только идентификатор SYSTEM.
Запуск служб осуществляется под идентификаторами:
по умолчанию (их нельзя запретить) - SYSTEM (Системная служба), LocalService (Локальная служба), NetworkService (Сетевая служба)
или под вручную указанным идентификатором.
И объединяется идентификатором Служба (S-1-5-6)- Группа, в которую включаются все участники безопасности, вошедшие в систему в качестве службы. Членством в этой группе управляет операционная система.

Определяется локальной и/или глобальной политикой
Вход в качестве службы - Эта настройка безопасности определяет, какие учетные записи служб могут зарегистрировать процесс в качестве службы.
Запрещение входа в качестве службы - Эта настройка безопасности определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Эта политика отменяет политику Вход в качестве службы, если учетная запись пользователя контролируется обеими политиками.
 Примечание
•	Данная настройка не используется для учетных записей: «Локальная служба», «Системная служба» и «Сетевая служба». 

Думаю целесообразно идентификатору Служба  , запретить создание/удаление в MACHINE\SYSTEM\CurrentControlSet\Services Применять: Только этот раздел.  Cлужбы не должны создавать новые службы.

----------


## XiTri

Олег, а не расскажите про отличия:
 SYSTEM (Системная служба),
 LocalService (Локальная служба),
 NetworkService (Сетевая служба).
Очень интересно зачем 3 разных идентификатора. Неужели LocalService не может работать с сетью

----------


## Oleg

Вот хорошее описание http://about-computer.ru/?p=433
http://www.oszone.net/4644_2/
Я сейчас тоже перечитал, и думаю можно не запрещать создание/удаление в MACHINE\SYSTEM\CurrentControlSet\Services для Служба, а ограничиться снятием полного доступа для SYSTEM.

----------


## time

Я так понимаю что после этих монипуляций сервис автоматические обновления да и вообще обновления из интернета с windows update ставится не будут?

----------


## Oleg

Автоматическое обновление выполняется от SYSTEM, а у этой учетке забрали запись на ветку служб, запись в системную папку осталась и обновлению не помешает (если конечно не будут добавляться новые службы). А если обновляетесь в ручную то вообще от имени пользователя в котором работаете.

*Добавлено через 2 минуты*

А вообще может кто-то из экспертов/модераторов выскажет свое мнение?

----------


## Oleg

Вообще убрать полный доступ у SYSTEM (оставить только по чтению )не мешало б у всех ключей реестра отвечающих за автозапуск в виндовс, тогда рекомендации по работе с ограниченной учеткой спасали бы и в случае дыр позволяющих зловреду от имени SYSTEM прописывать себя в автозапуск, а антивирусы запускать от пользователя с правами администратора.

----------


## Kuzz

> Вообще убрать полный доступ у SYSTEM (оставить только по чтению )


Вот этого не советовал бы.
По крайней мере на ветку Winlogon.

Попытки были, и заканчивались они неизменно - невозможностью загрузки системы.

----------


## Oleg

Для Winlogon можно установить для SYSTEM доступ по чтению - Этот раздел и его подразделы и полный Только подразделы.

*Добавлено через 25 минут*

Сейчас изменил и перезагрузил два компа W2K3 SP2 И XP SP3, все прошло хорошо, и параметр Userinit закрыт.

----------


## time

Так как тут обсуждается доступ для SYSTEM то вот еще кое чего я нашел:
Из дескрипторов безопасности наиболее важным является дескриптор безопасности всей системы - SECURITY\Policy\SecDesc. По умолчанию объем полномочий учетной записи SYSTEM и всей группы администраторов (в которую SYSTEM всегда включена) составляет "FF 1F 0F 00". Можно работать без всяких проблем, если уменьшить данный объем полномочий SYSTEM до "01 10 00 00".

Собственно у меня вопрос есть может кто знает какие есть значения кроме FF 1F 0F 00 и 01 10 00 00??
я знаю только что FF 1F 0F 00 это полный доступ а остальные что означают?может быть где нибудь можно посмотреть??

----------

