PDA

Просмотр полной версии : Места в реестре, влияющие на уровень безопасности Windows-систем.



VIKT0R
11.02.2007, 23:15
Эта статья была написана аж в конце 2004 года и была фактически "похоронена" почти на 3 года.
Надеюсь, статья будет полезна посетителям форума.

Необходимость нажатия Ctrl-Alt-Del.
По умолчанию это выключено в Workstation, но для сервера это необходимо. Для включения в разделе:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Измените значение параметра disablecad: введите 1, если не хотите нажимать Ctrl-Alt-Del, и 0, для включения нажатия.

Запрет на перезагрузку, не выполняя вход в систему.
Заблокировать перезагрузку компьютера (для NT Server уже установлен), не выполняя вход в систему можно, изменив значение ключа реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ShutdownWithoutLogon
с 1 на 0.

Права в каталогах %systemroot% и %systemroot%\system32
Права изменения для Everyone (по умолчанию) в каталогах %systemroot% и %systemroot%\system32. Этим кто-нибудь вполне может воспользоваться. Чтобы легче было контролировать назначенные права, воспользуйтесь программой DumpAcl (somarsoft.com/ftp/DUMPACL.ZIP).

Смена расширений исполняемых файлов.
Если переименовать исполняемый файл, например "notepad.exe", в, скажем, "notepad.txt", он запустится (start notepad.txt).

Блокировка при выходе из режима ожидания.
Запрос пароля при возвращении к работе из режима ожидания
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Win dows\System\Power]
Имя PromptPasswordOnResume, значение 1

Хранение паролей Internet Explorer.
Хранить пароль в Интернет на жестком диске своего компьютера - плохая идея.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings]
Имя DisablePasswordCaching, значение 1 типа REG DWORD.

Отображение пароля при вводе.
При попытке доступа к защищенному паролем ресурсу, Windows не скрывает пароль, который вы вводите. Хочется заменять символы пароля звездочками?
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Network]
Имя HideSharePwds, значение 1 типа REG DWORD.

Недавние документы.
Отменить сохранение списка недавно открытых документо.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer]
Имя NoRecentDocsHistory, значение 1 типа REG DWORD.

Автоматическое удаление временных файлов.
Значение 0 - Internet Explorer удаляет все временные файлы (изображения с web-страниц и др., а 1 - оставлять эти файлы на диске).
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Cache]
Имя Persistent, значение 0

Отмена записи действий пользователя.
Ключ запрещает записывать, с какими приложениями недавно работал пользователь, и к каким документам он получал доступ.
Не панацея, но все же...
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer]
Имя NoInstrumentation, значение 1

Резервная копия системы.
Резервная копия системы, хранится в каталоге %SystemRoot%\Repair и доступна каждому члену группы Everyone! Она создается при установке (или переустановке) Windows NT, а так же всякий раз при запуске утилиты rdisk с ключом "/s". Распаковав добытый файл ("expand sam._ sam"), злоумышленник сможет извлечь из него имена пользователей и хеш - значения паролей.

Разделение ресурсов компьютера по TCP/IP.
Отключение разделения ресурсов компьютера по TCP/IP. Первый способ, рекомендуемый Microsoft: выключение разделения ресурсов вообще (Подключение -> Свойства -> Сеть -> File and Print Sharing).
Второй способ - отсоединить интерфейс Netbios от TCP/IP (Подключение -> Свойства -> Сеть -> TCP/IP ->Properties -> Bindings)

Специальный ресурс IPC$
Анонимным пользователям (если доступ по null-session разрешен) доступен специальный ресурс IPC$ (inter-process communication), подключить который можно командной , где name - сетевое имя компьютера или его IP адрес. Злоумышленник получает возможность запускать User Manager для просмотра пользователей и групп, Event Viewer (разрешен по умолчанию) для просмотра журнала событий и другие средства удаленного администрирования, основанные на протоколе SMB.

Переменные среды.
По умолчанию присутствуют два каталога для хранения временных файлов (%windir%/temp и %userprofile%/Local Settings/temp). В процессе работы в них постоянно создаются временные файлы. Например, распространенный архиватор WinRAR распаковывает во второй каталог файл, который необходимо просмотреть. Далее файл удаляется (стандартным методом). Его потом легко восстановить.
Следовательно, если хочется защитить конфиденциальную информацию, то необходимо периодически очищать данные каталоги специальными программами. Встает вопрос: а что чистить (ведь файл уже удален, диск дефрагментирован). Лучше, если переменные среды будут располагаться на отдельном томе жесткого диска. Тогда можно быстро очищать "чистое" место данного тома. С этим хорошо справляется программа Eraser. Распространяется с исходными кодами.
Если Вы следовали предыдущим советам, то местом для физического расположения может быть том, на котором располагается файл подкачки оперативной памяти и папка "Рабочий стол". Чтобы сменить пути переменных среды, в панели управления надо выбрать пункт "система", отобразить вкладку "дополнительно", в ней выбрать "переменные среды..." и сменить переменные среды пользователя и системные переменные. Не забудьте самостоятельно создать указанный Вами путь, например, D:\Temp и D:\Loc\Temp.

Подключаемые жеские диски и CD-приводы.
Даже если Вы единожды подключали жесткий диск (CD-привод, да и любое устройство), в подразделы каталога реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\I DE
заносится информация о каждом носителе.

Скрытый административный доступ на все локальные диски
Раздел:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\LanmanServer\Parameters
Параметр: AutoShareServer (DWORD).
Изменить значение параметра на "0" - доступа нет (1 - доступ есть).

Запущена служба DCOM
Если запущена служба DCOM, то возможно получение информации о приложениях, взаимодействие с ними, etc. Если Вы не знаете, что такое DCOM и нет сети, можете отключить. Иначе, читайте хелп.
Отключение DCOM:
(Run --> dcomcnfg.exe).
Свойства по умолчанию --> снять галочку "Разрешить использование DCOM на этом компьютере"

Можно создать ключ в реестре, который будет считать количество попыток идентификации для удаленного доступа, и если число превысит значение ключа, подключение с помощью удаленного доступа будет отключено.
Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RemoteAccess\Parameters Параметр: AuthenticateRetries Тип: REG_DWORD Значение: от 1 до 10

Открыт сетевой доступ к файлам и принтерам, присутствует автоматическое подключение к сети, кэширование пароля пользователя в локальной системе.
Для откючения совместно используемых файлов и притеров, найдите или создайте в разделе: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Network Два параметра NoFileSharing и NoPrintSharing, присвойте им значения равное 1. Это заблокирует совместный доступ.Можно отключить автоматическое подсоединение к сети. Например, к сети интернет. Найдите или создайте парметр NoDialIn и присвойте значение 1. Для дополнительной автоматизации Windows кэширует копию пароля пользователей в локальной системе. Это ведет к угрозе защиты на некоторых системах. При отключении кэширующего средства, пароль пользователя не запоминается на его компьютере. Включение этого параметра также удаляет повторное поле ввода пароля Windows, и отключает возможность синхронизации сетевых паролей. Для отключения кэширования создайте параметр DisablePwdCaching типа DWORD. Со значением 1 (0 - кэширование включено).

Диски Floppy и CD-ROM по умолчанию предназначены для совместного использования в сети.
Для CD-ROM:
В разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Создать параметр: AllocateCDRoms типа REG_SZ
Значение: (0 = включено, 1 = отключено)
Для Flopyy
В разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Создать параметр: AllocateFloppie типа REG_SZ
Значение: (0 = включено, 1 = отключено)

Если значение этого параметра равно '1', то только текущий пользователь сможет обратиться к диску CD-ROM. Это не позволит администраторам и удаленным пользователям (и даже пользователям одной рабочей станции) получить доступ к диску, во время использования текущим пользователем компьютера. Диск снова станет доступным, когда текущий пользователь выйдет из компьютера. Значения параметра: · '0' = к компакт-дискам могут обращаться все администраторы в домене. · '1' = к компакт-дискам в может обращаться только текущий пользователь вошедший в компьютер.
Дополнительная информация: http://support.microsoft.com/support/kb/articles/q172/5/20.asp

Windows NT имеет заданный по умолчанию хранитель экрана login.scr, запускающийся, даже если хранитель экрана не был выбран. Так что, если его заменить другой программой, она запустится вместо него, да еще когда компьютер "простаивает" (никого нет рядом).
В разделах HKEY_USERS\.DEFAULT\Control Panel\Desktop и
HKEY_CURRENT_USER\Control Panel\Desktop
измените значение параметра ScreenSaveActive типа REG_SZ на 0 (запуск хранителя экрана выключен)

Включен автозапуск компакт-дисков
Чтобы отключить автозапуск компакт-диска, устанавливаем значение параметра типа DWORD AutoRun, равным 0 в разделе
HKLM\SYSTEM\CurrentControlSet\Services\CDRom
В WindowsXP существует новый способ автозапуска компакт-дисков (без использования стандартного вызова через файл Autorunf.inf)
Чтобы его отключить, в резделе
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\AutoplayHandlers\CancelAutoplay\Files, где находятся текстовые параметры, содержащие имена файлов, отыскав которые на вашем компакте встроенный AutoRun запускаться не станет и позволит запустить компакт через autorun.inf. Добавьте строковый параметр следующего содержания: *.*

Включен доступ по null-сессии. АНОНИМНЫЙ пользователь может получить информацию о зашаренных (доступных для общего пользования) директориях и об имеющихся на компьютере локальных пользователях.
Установите параметр типа DWORD RestrictAnonymous в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa равным 1
Примечание: выполнение этой операции возможно только после установки Сервисного пакета 3 для Windows NT 4.0.

Включена служба планировщика заданий, которая может быть использована для выполнения задач по расписанию.
Чтобы ее отключить, в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Schedule
создаем параметр Start типа DWORD, равный 4.

При выключении компьютера на жестком диске остаются некоторые данные в файле подкачки оперативной памяти.
Можно очищать файл подкачки при выключении. Для этого в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management
создадим параметр ClearPageFileAtShutdown типа DWORD, равный 1.

Слабый хеш паролей Windows 2000 SP4.
Устраняется занесением в раздел реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa
параметра LMCompatibilityLevel типа DWORD, равного 2.

Если Вы часто отходите от компьютера...
Имеет смысл отключить кэширование пароля домена. Найдите ключ в разделе:
HKEY_LOCAL_MACHINE\Network\Logon
Найдите его параметр NoDomainPwdCaching и измените его значение на 0. Теперь при обращении к новых сетевых устройствам от вашего имени, постороннему человеку придется вновь вводить пароль.

Имя последнего пользователя.
Когда Вы включаете компьютер, то (если нет автоматического входа в систему) перед Вами отображается окно ввода пароля и имени пользователя. Причем имя пользователя - это имя последнего логИна в систему. Иногда это полезно скрывать. Результатом включения этого параметра будет отображение пустого поля в блоке "Имя пользователя" при входе в систему.
В разделе:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Измениите параметра DontDisplayLastUserName с 0 на 1.
Примечание: Необходимо каждый раз обновлять это значение.

Ограничение списка запускаемых программ.
В разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer
присвойте параметру RestrictRun значание 1 для включения или 0 для блокировки данной функции
Теперь можете создавать параметры, именуя их числами по возрастанию. В значении ключей вписывайте разрешенные к запуску программы.
Например:
1
C:\windows\regedit.exe
2
C:\Program Files\OpenOffice.org1.1.1\program\soffice.exe

Включена совместная администрация.
В разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\LanmanServer\Parameters
Измениите параметры AutoShareServer, AutoShareWks с 1 на 0. Данные ключи определяют, стоит ли устанавливать совместную администрацию на (c$ и d$).

Просмотр информации об установленных обновлениях WindowsNT
Раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix

Требования к минимальной длине пароля и установка алфавитно-циферного.
Возможность Windows отклонять пароли, несоответствующие определенным Вами настройкам (длина, применение букв и цифр)
В разделе:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Network
добавьте новый параметр 'MinPwdLen' двоичного типа, и установите его значение равным минимальному числу символов, требуемому для принятия пароля. Однако это изменение не затрагивает существующие пароли, а воздействует только на новые, или замену старых.
Требование алфавитно-цифрового пароля Windows. Windows по умолчанию принимает любой пароль, кроме пустого. Этот параметр определяет, будет ли Windows требовать алфавитно-цифровой пароль, то есть пароль, созданный из комбинации букв (A, B, C. ..) и чисел (1, 2, 3 ...). В разделе:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Network
Измените параметр AlphanumPwds с 0 на 1..

Размещение Рабочего стола на диске
Некоторую пользу принесет перенос папки "Рабочий стол" на другой (не системный) том жесткого диска. В разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\User Shell Folders измените значение папаметра Desktop на нужный Вам путь к папке Рабочего стола.

Закрытие null-session (дополнение)
Windows:
1. В разделе реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\LSA
установить значение параметра RestrictAnonymous = 2 (значение 2 отказывает любой неявный доступ к системе.) для Windows 2000/XP/2003 ( 1 для Windows NT3.5/NT4.0 ) ( тип параметра - REG_DWORD ).

2. Для Windows 2000/XP/2003:
В разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver
установить значение параметра RestrictNullSessionAccess = 1 ( тип параметра - REG_DWORD )

Для Windows NT3.5/NT4.0:
В разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanManServer\Parameters
установить значение параметра RestrictNullSessAccess = 1 ( тип параметра - REG_DWORD )

3. Перегрузить систему для вступления изменений в силу.
Если в параметре RestrictAnonymous (п. 1) поставить 1, то все-таки можно будет собирать информацию о машине (программами GetAcct, user2sid, etc). Если компьютер не является контроллером домена лучше параметру присвоить значение 2. Машина "исчезнет" из network neiborhood (сетевое окружение). Получить к ней доступ можно, обратившись по IP.