XP user
10.03.2008, 22:50
I (http://virusinfo.info/showthread.php?t=19517) II (http://virusinfo.info/showthread.php?t=19516) III (http://virusinfo.info/showthread.php?t=19515) IV (http://virusinfo.info/showthread.php?t=19514) V (http://virusinfo.info/showthread.php?t=19513) VI (http://virusinfo.info/showthread.php?t=19512) VII (http://virusinfo.info/showthread.php?t=19511)
3.2.2 Additional Registry Settings – Дополнительные настройки реестра
Несколько настроек для дополнительной безопасности. Если у вас все обновления Windows установлены, то тогда многие настройки будут уже правильными. Всё же стоит обратить внимание на остальные.
3.2.2.1 Suppress Dr. Watson Crash Dumps – запрещать Dr. Watson создать dump файлы
HKLM\Software\Microsoft\DrWatson\CreateCrashDump - (REG_DWORD) 0
Когда у вас программа падает, Dr.Watson сразу же пишет dump-файл. Всё об этом сеансе, включая ваши пароли, и другая драгоценная информация может попасть в такие файлы. Для того, чтобы Dr.Watson этого больше не делал, отредактируем реестр как указано.
3.2.2.2 Disable Automatic Execution of the System Debugger – Отключить автоматический запуск системного отладчика
HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Autо – 0
Зловреды могут выполнить опасный код, когда запускается системный отладчик (с определёнными трюками можно его вызвать). Отключаем эту возможность.
3.2.2.3 Disable autoplay from any disk type, regardless of application – Отключить автозапуск на всех дисках
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDriveTypeAutoRun - (REG_DWORD) 255
Тема уже не раз обсуждалась на данном форуме. Советую дополнительно прочитать эту тему ( http://virusinfo.info/showthread.php?t=17442), так как политика обходится достаточно легко. Там указано, что надо ещё делать, для того, чтобы autorun блокировался полностью.
3.2.2.4 Disable autoplay for current user – Отключить автозапуск на всех дисках для текущего пользователя HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDriveTypeAutoRun - (REG_DWORD) 255
Тоже самое для текущего пользователя. Данная настройка, хотя рекомендуется, не отражается в результатах теста Belarc Advisor.
3.2.2.5 Disable autoplay for the default profile – Отключить автозапуск на всех дисках для профиля ‘Default’. HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVer sion\Policies\Explorer\NoDriveTypeAutoRun - (REG_DWORD) 255
Тоже самое для каждую новую учётную запись, которую вы создаёте.
3.2.2.6 Disable Automatic Logon – Отключить автоматический вход в систему
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon - 0
Удобно, не так ли? – каждый день Windows грузит ваш администраторский рабочий стол автоматически. Но, по словам Центра Безопасности Интернета, – для того, чтобы Windows смогла это делать, она сохраняет имя пользователя + пароль открытом текстом в реестре!
3.2.2.7 Disable automatic reboots after a Blue Screen of Death – Отключить автоматическую перезагрузку после Синего Экрана Смерти HKLM\System\CurrentControlSet\Control\CrashControl \AutoReboot - (REG_DWORD) 0
Если кому-то удастся поставить на вашу систему зловред, то тогда он будет пытаться зарегистрировать этого зловреда – форсировать перезагрузку компьютера. Очень легко вызвать сбой системы, и по умолчанию перезагрузится система. Данным параметром реестра мы предотвращаем это поведение.
3.2.2.8 Disable CD Autorun – Отключить автозапуск CD-ROM HKLM\System\CurrentControlSet\ Services\CDrom\Autorun - (REG_DWORD) 0
Если зловред записан на CD-ROM, то тогда для его запуска достаточно вставить CD-ROM в дисковод.
3.2.2.9 Remove administrative shares on workstation (Professional):
HKLM\System\CurrentControlSet\Services\LanmanServe r\Parameters\AutoShareWks – 0
Админ шары – очень опасны, особенно если у вас включён NetBIOS через TCP/IP. Можно завладеть вашим компьютером полностью извне. Отключаем данной настройкой реестра. Если ключ отсутствует, то тогда следует его создать. Правой кнопкой мыши в любом месте в правом окне. Выбрать Создать параметр DWORD.
3.2.2.10 Protect against Computer Browser Spoofing Attacks – Защита от атак против Обозревателя Компьютеров HKLM\System\CurrentControlSet\Services\MrxSmb\Para meters\RefuseReset <Not Defined>
Хотя данное руководство рекомендует отключить Обозреватель Компьютеров, не каждый будет готов это сделать. Данная настройка сети защищает от определённой уязвимости, при которой Обозреватель Сети может быть отключён извне. Подробнее:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q262694
3.2.2.11 Protect against source-routing spoofing – Защита от поддельных параметров маршрутизации (сообщений) от источника
HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\DisableIPSourceRouting - (REG_DWORD) 2
Если в системе Windows установлено 2 легитимных сетевых устройств, то тогда этот компьютер может работать как маршрутизатор или файрвол. Трафик, который проходит через такой маршрутизатор может обходить определённые правила маршрутизации. Данная настройка предотвращает это – ложные пакеты отбрасываются.
3.2.2.12 Protect the Default Gateway network setting – защита от манипуляций против Основного шлюза по умолчанию HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\EnableDeadGWDetect - (REG_DWORD) 0
Когда основной шлюз по умолчанию не справится, то тогда можно задействовать другой для того, чтобы завершить сетевую работу. Если атакующий манипулирует основной шлюз, и у вас эта настройка не стоит на ‘0’, то тогда он может перенаправить трафик не туда.
3.2.2.13 Ensure ICMP Routing via shortest path first – защита от перенаправления ICMP пакетов в локальной сети HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\EnableICMPRedirect - (REG_DWORD) 0
3.2.2.14 Help protect against packet fragmentations – Защита от фрагментации пакетов HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\EnablePMTUDiscovery - 0
Фрагментация пакетов может использоваться в определённых типах сетевых атак.
http://support.microsoft.com/?kbid=315669.
3.2.2.15 Manage Keep-alive times – Управление таймером Keep-alive HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\KeepAliveTime - (REG_DWORD) 300000
Стек TCP отслеживает момент прекращения прохождения пакетов между клиентом и сервером, запуская таймер KEEPALIVE. Как только таймер достигнет величины KEEPALIVE_ TIME, стек TCP сервера выполняет первую пробу KEEPALIVE.
300000 = раз в каждые 5 минут.
3.2.2.16 Protect Against Malicious Name-Release Attacks – Защита против атак по освобождению имя компьютера по требованию
HKLM\System\CurrentControlSet\Services\Netbt\Param eters\NoNameReleaseOnDemand - (REG_DWORD) 1
Windows выдаёт имя компьютера кому попало по требованию через NetBIOS. Против этого механизма существуют определённые атаки. Данная настройка защищает против этого. По умолчанию данный параметр отсутствует в разделе \NetBT\Parameters. Его необходимо ввести туда вручную. NoNameReleaseOnDemand имеет тип REG_DWORD. Стандартное значение, 0, заставляет систему освободить имя сразу же по получении датаграммы от службы имен. Если присвоить параметру NoNameReleaseOnDemand значение 1, то система освободит имя NetBIOS, только если конфликт произошёл в процессе регистрации имени. Активизировав эту функцию, можно предотвратить нападение. Приём будет лишним, если в адаптере, обеспечивающем связь с Internet, уже отключен режим использования имён NetBIOS в соединениях TCP/IP.
3.2.2.17 Ensure Router Discovery is Disabled – HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\PerformRouterDiscovery - (REG_DWORD) 0
Против так называемые Router Advertisements, которые производятся через UDP, очень сложный протокол для файрволов.
3.2.2.18 Protect against SYN Flood attacks – защита против атак SYN Flood
HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\SynAttackProtect - (REG_DWORD) 2
3.2.2.19 SYN Attack protection – Manage TCP Maximum half-open sockets – Защита против атак SYN – управление количеством допустимых полуоткрытых сокетов
HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\TcpMaxHalfOpen – Not Defined – не задано
3.2.2.20 SYN Attack protection – Manage TCP Maximum half-open retired sockets HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\TcpMaxHalfOpenRetired (REG_DWORD) – Not Defined – Не задано
3.2.2.21 Enable IPSec to protect Kerberos RSVP Traffic – Включить IPSec для защиты трафика по Kerberos RSVP HKLM\System\CurrentControlSet\Services\IPSEC\NoDef aultExempt - (REG_DWORD) 1
Kerberos не проверяется по умолчанию в домене, так как является исключением для IPSec. Данная настройка изменяет это.
3.2.2.22 Hide workstation from Network Browser listing – Скрывать рабочую станцию в списке Обозревателя Компьютеров других компьютеров.
HKLM\System\CurrentControlSet\Services\Lanmanserve r\Parameters\Hidden - (REG_DWORD) 1
Если вы просто отключаете службу Обозреватель Компьютеров, то тогда получается тоже самое.
3.2.2.23 Enable Safe DLL Search Mode – Безопасный поиск Dll. HKLM\System\CurrentControlSet\Control\SessionManag er\SafeDllSearchMode -
(REG_DWORD) 1
После назначения для раздела реестра SafeDllSearchMode значения 1 поиск библиотек DLL будет сначала проводиться в системном каталоге, а затем в текущем каталоге или в каталоге профиля пользователя.
3.2.2.24 Disable WebDAV basic authentication (SP 2 only) – Отключить WebDAV базовую аутентификацию.
HKLM\System\CurrentControlSet\Services\WebClient\P arameters\UseBasicAuth - (REGDWORD) 1
Как ни странно, для того, чтобы запретить этот тип аутентификации, надо поставить UseBasicAuth на 1!?!
3.2.2.25 Disable basic authentication over a clear channel (SP 2 only): HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernetSettings\DisableBasicOverClearChannel - (REGDWORD) 1
Для того чтобы предотвратить базовую аутентификацию при передаче данных по защищённым каналам (SSL/TLS) при использовании IE. После этих изменений, говорит Майкрософт, браузер IE будет использовать базовый метод аутентификации только в том случае, если это единственный метод подключения к серверу. Если же связь с сервером возможна также на основе защищённого соединения, то браузер выберет его. Некоторые сайты могут оказаться недоступными.
3.2.2.26 USB Block Storage Device Policy (SP2 only) HKLM\System\CurrentControlSet\Control\StorageDevic ePolicies - (REGDWORD) 1
Запретить использование личных флеш-накопителей в офисе (использовать только зарегистрированные на фирме)
Относится, как я понял, только к USB устройствам Майкрософта. То есть - какие бы запреты ни были, USB устройств других производителей будут всё равно работать.
3.2.2.27 DTC Access (SP2 only) – Доступ к DTC
HKLM\Software\Microsoft\MSDTC - (REGDWORD) 0
Речь идёт о Координаторе распределённых транзакций Microsoft (MSDTC) После целого ряда атак извне по уязвимостям в этой службе, сама Майкрософт рекомендует значение ‘0’ для этого ключа, что по умолчанию блокировать любые команды службе извне.
I (http://virusinfo.info/showthread.php?t=19517) II (http://virusinfo.info/showthread.php?t=19516) III (http://virusinfo.info/showthread.php?t=19515) IV (http://virusinfo.info/showthread.php?t=19514) V (http://virusinfo.info/showthread.php?t=19513) VI (http://virusinfo.info/showthread.php?t=19512) VII (http://virusinfo.info/showthread.php?t=19511)
3.2.2 Additional Registry Settings – Дополнительные настройки реестра
Несколько настроек для дополнительной безопасности. Если у вас все обновления Windows установлены, то тогда многие настройки будут уже правильными. Всё же стоит обратить внимание на остальные.
3.2.2.1 Suppress Dr. Watson Crash Dumps – запрещать Dr. Watson создать dump файлы
HKLM\Software\Microsoft\DrWatson\CreateCrashDump - (REG_DWORD) 0
Когда у вас программа падает, Dr.Watson сразу же пишет dump-файл. Всё об этом сеансе, включая ваши пароли, и другая драгоценная информация может попасть в такие файлы. Для того, чтобы Dr.Watson этого больше не делал, отредактируем реестр как указано.
3.2.2.2 Disable Automatic Execution of the System Debugger – Отключить автоматический запуск системного отладчика
HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Autо – 0
Зловреды могут выполнить опасный код, когда запускается системный отладчик (с определёнными трюками можно его вызвать). Отключаем эту возможность.
3.2.2.3 Disable autoplay from any disk type, regardless of application – Отключить автозапуск на всех дисках
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDriveTypeAutoRun - (REG_DWORD) 255
Тема уже не раз обсуждалась на данном форуме. Советую дополнительно прочитать эту тему ( http://virusinfo.info/showthread.php?t=17442), так как политика обходится достаточно легко. Там указано, что надо ещё делать, для того, чтобы autorun блокировался полностью.
3.2.2.4 Disable autoplay for current user – Отключить автозапуск на всех дисках для текущего пользователя HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDriveTypeAutoRun - (REG_DWORD) 255
Тоже самое для текущего пользователя. Данная настройка, хотя рекомендуется, не отражается в результатах теста Belarc Advisor.
3.2.2.5 Disable autoplay for the default profile – Отключить автозапуск на всех дисках для профиля ‘Default’. HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVer sion\Policies\Explorer\NoDriveTypeAutoRun - (REG_DWORD) 255
Тоже самое для каждую новую учётную запись, которую вы создаёте.
3.2.2.6 Disable Automatic Logon – Отключить автоматический вход в систему
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon - 0
Удобно, не так ли? – каждый день Windows грузит ваш администраторский рабочий стол автоматически. Но, по словам Центра Безопасности Интернета, – для того, чтобы Windows смогла это делать, она сохраняет имя пользователя + пароль открытом текстом в реестре!
3.2.2.7 Disable automatic reboots after a Blue Screen of Death – Отключить автоматическую перезагрузку после Синего Экрана Смерти HKLM\System\CurrentControlSet\Control\CrashControl \AutoReboot - (REG_DWORD) 0
Если кому-то удастся поставить на вашу систему зловред, то тогда он будет пытаться зарегистрировать этого зловреда – форсировать перезагрузку компьютера. Очень легко вызвать сбой системы, и по умолчанию перезагрузится система. Данным параметром реестра мы предотвращаем это поведение.
3.2.2.8 Disable CD Autorun – Отключить автозапуск CD-ROM HKLM\System\CurrentControlSet\ Services\CDrom\Autorun - (REG_DWORD) 0
Если зловред записан на CD-ROM, то тогда для его запуска достаточно вставить CD-ROM в дисковод.
3.2.2.9 Remove administrative shares on workstation (Professional):
HKLM\System\CurrentControlSet\Services\LanmanServe r\Parameters\AutoShareWks – 0
Админ шары – очень опасны, особенно если у вас включён NetBIOS через TCP/IP. Можно завладеть вашим компьютером полностью извне. Отключаем данной настройкой реестра. Если ключ отсутствует, то тогда следует его создать. Правой кнопкой мыши в любом месте в правом окне. Выбрать Создать параметр DWORD.
3.2.2.10 Protect against Computer Browser Spoofing Attacks – Защита от атак против Обозревателя Компьютеров HKLM\System\CurrentControlSet\Services\MrxSmb\Para meters\RefuseReset <Not Defined>
Хотя данное руководство рекомендует отключить Обозреватель Компьютеров, не каждый будет готов это сделать. Данная настройка сети защищает от определённой уязвимости, при которой Обозреватель Сети может быть отключён извне. Подробнее:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q262694
3.2.2.11 Protect against source-routing spoofing – Защита от поддельных параметров маршрутизации (сообщений) от источника
HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\DisableIPSourceRouting - (REG_DWORD) 2
Если в системе Windows установлено 2 легитимных сетевых устройств, то тогда этот компьютер может работать как маршрутизатор или файрвол. Трафик, который проходит через такой маршрутизатор может обходить определённые правила маршрутизации. Данная настройка предотвращает это – ложные пакеты отбрасываются.
3.2.2.12 Protect the Default Gateway network setting – защита от манипуляций против Основного шлюза по умолчанию HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\EnableDeadGWDetect - (REG_DWORD) 0
Когда основной шлюз по умолчанию не справится, то тогда можно задействовать другой для того, чтобы завершить сетевую работу. Если атакующий манипулирует основной шлюз, и у вас эта настройка не стоит на ‘0’, то тогда он может перенаправить трафик не туда.
3.2.2.13 Ensure ICMP Routing via shortest path first – защита от перенаправления ICMP пакетов в локальной сети HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\EnableICMPRedirect - (REG_DWORD) 0
3.2.2.14 Help protect against packet fragmentations – Защита от фрагментации пакетов HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\EnablePMTUDiscovery - 0
Фрагментация пакетов может использоваться в определённых типах сетевых атак.
http://support.microsoft.com/?kbid=315669.
3.2.2.15 Manage Keep-alive times – Управление таймером Keep-alive HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\KeepAliveTime - (REG_DWORD) 300000
Стек TCP отслеживает момент прекращения прохождения пакетов между клиентом и сервером, запуская таймер KEEPALIVE. Как только таймер достигнет величины KEEPALIVE_ TIME, стек TCP сервера выполняет первую пробу KEEPALIVE.
300000 = раз в каждые 5 минут.
3.2.2.16 Protect Against Malicious Name-Release Attacks – Защита против атак по освобождению имя компьютера по требованию
HKLM\System\CurrentControlSet\Services\Netbt\Param eters\NoNameReleaseOnDemand - (REG_DWORD) 1
Windows выдаёт имя компьютера кому попало по требованию через NetBIOS. Против этого механизма существуют определённые атаки. Данная настройка защищает против этого. По умолчанию данный параметр отсутствует в разделе \NetBT\Parameters. Его необходимо ввести туда вручную. NoNameReleaseOnDemand имеет тип REG_DWORD. Стандартное значение, 0, заставляет систему освободить имя сразу же по получении датаграммы от службы имен. Если присвоить параметру NoNameReleaseOnDemand значение 1, то система освободит имя NetBIOS, только если конфликт произошёл в процессе регистрации имени. Активизировав эту функцию, можно предотвратить нападение. Приём будет лишним, если в адаптере, обеспечивающем связь с Internet, уже отключен режим использования имён NetBIOS в соединениях TCP/IP.
3.2.2.17 Ensure Router Discovery is Disabled – HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\PerformRouterDiscovery - (REG_DWORD) 0
Против так называемые Router Advertisements, которые производятся через UDP, очень сложный протокол для файрволов.
3.2.2.18 Protect against SYN Flood attacks – защита против атак SYN Flood
HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\SynAttackProtect - (REG_DWORD) 2
3.2.2.19 SYN Attack protection – Manage TCP Maximum half-open sockets – Защита против атак SYN – управление количеством допустимых полуоткрытых сокетов
HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\TcpMaxHalfOpen – Not Defined – не задано
3.2.2.20 SYN Attack protection – Manage TCP Maximum half-open retired sockets HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\TcpMaxHalfOpenRetired (REG_DWORD) – Not Defined – Не задано
3.2.2.21 Enable IPSec to protect Kerberos RSVP Traffic – Включить IPSec для защиты трафика по Kerberos RSVP HKLM\System\CurrentControlSet\Services\IPSEC\NoDef aultExempt - (REG_DWORD) 1
Kerberos не проверяется по умолчанию в домене, так как является исключением для IPSec. Данная настройка изменяет это.
3.2.2.22 Hide workstation from Network Browser listing – Скрывать рабочую станцию в списке Обозревателя Компьютеров других компьютеров.
HKLM\System\CurrentControlSet\Services\Lanmanserve r\Parameters\Hidden - (REG_DWORD) 1
Если вы просто отключаете службу Обозреватель Компьютеров, то тогда получается тоже самое.
3.2.2.23 Enable Safe DLL Search Mode – Безопасный поиск Dll. HKLM\System\CurrentControlSet\Control\SessionManag er\SafeDllSearchMode -
(REG_DWORD) 1
После назначения для раздела реестра SafeDllSearchMode значения 1 поиск библиотек DLL будет сначала проводиться в системном каталоге, а затем в текущем каталоге или в каталоге профиля пользователя.
3.2.2.24 Disable WebDAV basic authentication (SP 2 only) – Отключить WebDAV базовую аутентификацию.
HKLM\System\CurrentControlSet\Services\WebClient\P arameters\UseBasicAuth - (REGDWORD) 1
Как ни странно, для того, чтобы запретить этот тип аутентификации, надо поставить UseBasicAuth на 1!?!
3.2.2.25 Disable basic authentication over a clear channel (SP 2 only): HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernetSettings\DisableBasicOverClearChannel - (REGDWORD) 1
Для того чтобы предотвратить базовую аутентификацию при передаче данных по защищённым каналам (SSL/TLS) при использовании IE. После этих изменений, говорит Майкрософт, браузер IE будет использовать базовый метод аутентификации только в том случае, если это единственный метод подключения к серверу. Если же связь с сервером возможна также на основе защищённого соединения, то браузер выберет его. Некоторые сайты могут оказаться недоступными.
3.2.2.26 USB Block Storage Device Policy (SP2 only) HKLM\System\CurrentControlSet\Control\StorageDevic ePolicies - (REGDWORD) 1
Запретить использование личных флеш-накопителей в офисе (использовать только зарегистрированные на фирме)
Относится, как я понял, только к USB устройствам Майкрософта. То есть - какие бы запреты ни были, USB устройств других производителей будут всё равно работать.
3.2.2.27 DTC Access (SP2 only) – Доступ к DTC
HKLM\Software\Microsoft\MSDTC - (REGDWORD) 0
Речь идёт о Координаторе распределённых транзакций Microsoft (MSDTC) После целого ряда атак извне по уязвимостям в этой службе, сама Майкрософт рекомендует значение ‘0’ для этого ключа, что по умолчанию блокировать любые команды службе извне.
I (http://virusinfo.info/showthread.php?t=19517) II (http://virusinfo.info/showthread.php?t=19516) III (http://virusinfo.info/showthread.php?t=19515) IV (http://virusinfo.info/showthread.php?t=19514) V (http://virusinfo.info/showthread.php?t=19513) VI (http://virusinfo.info/showthread.php?t=19512) VII (http://virusinfo.info/showthread.php?t=19511)