PDA

Просмотр полной версии : Belarc Advisor V: Тестируем безопасность XP Pro



XP user
10.03.2008, 22:52
I (http://virusinfo.info/showthread.php?t=19517) II (http://virusinfo.info/showthread.php?t=19516) III (http://virusinfo.info/showthread.php?t=19515) IV (http://virusinfo.info/showthread.php?t=19514) V (http://virusinfo.info/showthread.php?t=19513) VI (http://virusinfo.info/showthread.php?t=19512) VII (http://virusinfo.info/showthread.php?t=19511)

3.2.1.41 Network Access: Do not allow storage of credentials or .NET passports for network authentication – Сетевой доступ: Не разрешать сохранение учётных данных или цифровых паспортов .NET для сетевой проверки подлинности пользователя – Включено
Если этот параметр включён, средству сохранения имён пользователей и паролей запрещается сохранять пароли и учётные данные. Таких данных не должно быть в кэш.
3.2.1.42 Network Access: Let Everyone permissions apply to anonymous users – Сетевой доступ: разрешать применение разрешений для всех к анонимным пользователям – Отключено
Если данный параметр установлен, анонимный пользователь получит доступ только к тем ресурсам, на которые ему явно предоставлено разрешение.
3.2.1.43 Network Access: Named pipes that can be accessed anonymously – Сетевой доступ: разрешать анонимный доступ к именованным каналам – Отсутствует (= Пусто)
Этот параметр безопасности определяет, каким сеансам связи (каналам) будут назначаться атрибуты и разрешения, допускающие анонимный доступ.
3.2.1.44 Network Access: Remotely accessible registry paths – Сетевой доступ: Пути в реестре доступны через удалённое подключение – Отсутствует (= Пусто) или определяется политиками компании
Удалённый доступ к реестру зависит от службы ‘Удалённый реестр’ и требует аутентификацию.
3.2.1.45 Network Access: Shares that can be accessed anonymously – Сетевой доступ: разрешать анонимный доступ к общим ресурсам – Не определено
По NTFS, административным дисковым ресурсам могут подключиться только ‘Администраторы’ – для рядового пользователя доступ закрыт, хотя, если иметь на этом компьютере учётную запись с помощью некоторых ‘некорректных’ программ, то тогда доступ всё-таки будет . Следует отметить, что если компьютер входит в домен, то отключение этих ресурсов чревато административными проблемами.
3.2.1.46 Network Access: Sharing and security model for local accounts – Сетевой доступ: модель совместного доступа и безопасности для локальных учётных записей – Классическая
Определяет, как проверяется подлинность локальных учётных данных при входе в сеть. Если этот параметр имеет значение Классический, то при проверке подлинности локальной учётной записи используются предъявляемые при входе в сеть учётные данные. Классическая модель позволяет с высокой степенью точности контролировать доступ к ресурсам. С её помощью можно дифференцировать типы доступа к одному и тому же ресурсу для различных пользователей.
3.2.1.47 Network Security: Do not store LAN Manager password hash value on next password change – Сетевая безопасность: Не хранить хэш-значений LAN Manager при следующей смене паролей – Включено
Рекомендуется отключить хранение LM-хэша - это существенно затруднит восстановление паролей из базы SAM.
3.2.1.48 Network Security: Force logoff when logon hours expire – Сетевая безопасность: Принудительный вывод из сеанса по истечении допустимых часов работы – Включено
Как в 3.2.1.40, только для клиента в домене.
3.2.1.49 Network Security: LAN Manager Authentication Level - Send NTLMv2, refuse LM and NTLM – Сетевая безопасность: уровень проверки подлинности LAN Manager – Отправлять только NTLMv2 ответ, отказывать LM & NTLM
LM и NTLM хэшы для паролей – слишком уязвимые для надёжной аутентификации, хотя по умолчанию используются именно они во всех локалках, и во многих корпоративных структурах. Даже ‘крепкий’ пароль взламывается за несколько часов. Использовать рекомендуется только протокол NTLMv2 как более безопасный. Для того, чтобы схема сработала, контроллеры домена должны работать под управлением либо операционной системы Windows 2000 Server со специальным пакетом обновления, либо операционной системы Windows Server 2003. Машины с Windows 98 и старше не могут подключиться к вашему компьютеру.
3.2.1.50 Network Security: LDAP client signing requirements – Сетевая безопасность: Требования подписывания для LDAP клиента – Согласование подписывания/Требуется цифровая подпись.
Поскольку неподписанный сетевой трафик уязвим для атак вида ‘злоумышленник в середине’, злоумышленник может заставить сервер LDAP принимать решения, основанные на ложных запросах от клиента LDAP.
3.2.1.51 Network Security: Minimum session security for NTLM SSP based (including secure RPC) clients – Сетевая безопасность: Минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) – Требовать целостность и конфиденциальность сообщений, сеансовую безопасность NTLMv2, требовать 128-разрядного шифрования.
Для обеспечения максимального уровня безопасности следует выбрать все четыре значения.
3.2.1.52 Network Security: Minimum session security for NTLM SSP based (including secure RPC) servers – Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) – Требовать целостность и конфиденциальность сообщений, сеансовую безопасность NTLMv2, требовать 128-разрядного шифрования.
Для обеспечения максимального уровня безопасности следует выбрать все четыре значения.
3.2.1.53 Recovery Console: Allow Automatic Administrative Logon – Консоль восстановления: разрешить автоматический вход администратора – Отключено
Отключение данной политики приведёт к необходимости ввода администраторами пароля для получения доступа к консоли восстановления.
3.2.1.54 Recovery Console: Allow Floppy Copy and Access to All Drives and All Folders – Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам – отключено
Если политика включена, то тогда будет доступной команда консоли восстановления SET, что позволяет присваивать значения следующим переменным окружения консоли восстановления:
AllowWildCards. Включает поддержку подстановочных знаков для некоторых команд (таких как команда DEL).
AllowAllPaths. Разрешает доступ ко всем файлам и папкам на компьютере.
AllowRemovableMedia. Разрешает копирование файлов на съемные носители, например, на гибкие диски.
NoCopyPrompt. Не выводит предупреждения при перезаписи существующего файла.
В целях максимальной безопасности отключаем политику.
3.2.1.55 Shutdown: Allow System to be Shut Down Without Having to Log On – Завершение работы: разрешить завершение работы системы без выполнения входа в систему – Отключено
Команда завершения работы должна быть доступна на экране входа в систему Windows только пользователям, имеющие в системе учётные данные.
3.2.1.56 Shutdown: Clear Virtual Memory Pagefile – Завершение работы: очистка файла подкачки виртуальной памяти – Включено
Так как файл подкачки может содержать информацию, которая была в памяти, в целях безопасности имеет смысл очистить данный файл при завершении работы. Есть, однако, момент практического значения:
на переносном компьютере обнуляется файл спящего режима (Hiberfil.sys), если спящий режим отключён. Это приведёт к увеличению времени завершения работы и перезапуска компьютера (особенно на компьютерах с файлами подкачки большого размера).
3.2.1.57 SystemCryptography: Use FIPS compliant algorithms for encryption, hashing, and signing – Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания – не определено
Не поддерживается большинством публичных серверов. Если этот параметр политики включён, то тогда производительность компьютера может снизиться, поскольку процесс 3DES выполняется для каждого блока данных файла три раза. Этот параметр политики следует включить только при наличии требования о поддержке FIPS в организации.
3.2.1.58 System objects: Default owner for objects created by members of the Administrators group – системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов – Создатель объекта – Владелец
3.2.1.59 System objects: Require case insensitivity for non-Windows subsystems – Системные объекты: не учитывать регистр для подсистем, отличных от Windows – Включено
Подсистема Microsoft Win32® нечувствительна к регистру. Тем не менее, ядро поддерживает чувствительность к регистру для других подсистем, например, для POSIX (Portable Operating System Interface for UNIX). Поскольку Windows нечувствительна к регистру (но подсистема POSIX поддерживает чувствительность к регистру), отключение этого параметра политики позволяет пользователю подсистемы POSIX создать файл с таким же именем, как у другого файла, используя смешанный регистр. Такая ситуация может привести к блокировке доступа к этим файлам другого пользователя, использующего обычные средства Win32, поскольку будет доступен только один из файлов.
3.2.1.60 Systemobjects: Strengthen default permissions of internal system objects – Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов – Включено
Этот параметр политики определяет степень влияния списка управления доступом на уровне пользователей (DACL) по умолчанию на объекты. Этот параметр позволяет защитить объекты, которые могут быть найдены и совместно использованы несколькими процессами, а его конфигурация по умолчанию усиливает DACL, поскольку он позволяет пользователям, не являющимся администраторами, считывать общие объекты, но не позволяет им изменять объекты, которые они не создавали.

I (http://virusinfo.info/showthread.php?t=19517) II (http://virusinfo.info/showthread.php?t=19516) III (http://virusinfo.info/showthread.php?t=19515) IV (http://virusinfo.info/showthread.php?t=19514) V (http://virusinfo.info/showthread.php?t=19513) VI (http://virusinfo.info/showthread.php?t=19512) VII (http://virusinfo.info/showthread.php?t=19511)

XiTri
11.03.2008, 17:02
3.2.1.50 Network Security: LDAP client signing requirements – Сетевая безопасность: Требования подписывания для LDAP клиента – Согласование подписывания/Требуется цифровая подпись.

Перевод хорошо,но вариант ответа тож немешало-бы в 2х вариантах
Поди пойми Require Sharing или Negotiate signing имелось ввиду и дале по тексту