Можно ли так укрепить защиту от кидо?

Хочется узнать мнение по поводу настроек указанных ниже как дополнительных к перечисленным в форуме для повышения защиты от кидо и возможных негативных последствиях.
Глобальные политики – конфигурация компьютера – конфигурация виндовс – параметры безопасности – локальные политики – назначения прав пользователя –
1.Отказывать во входе в качестве пакетного задания – добавить идентификатор Сеть(S-1-5-2), SYSTEM
2.Отказывать во входе в качестве службы - добавить идентификатор Сеть(S-1-5-2),Пакетные файлы(S-1-5-3). Сеть В этой группе находятся все пользователи, в настоящее время имеющие доступ на компьютер по сети. (все пользователи входящие через сетевое подключение включая администраторов не смогут добавить и запустить задание в шедулер и службы, в интерактивном режиме – консоль и терминальный вход можно.)
3. Глобальные политики – конфигурация компьютера – конфигурация виндовс – параметры безопасности – файловая система –
%SystemRoot% и %SystemRoot%\sysytem32 (так как не наследуются права) –
Добавить права доступа NTFS идентификаторы
Сеть(S-1-5-2) разрешения все снять, запрет на запись.
Пакетные файлы(S-1-5-3)(Группа, в которую входят все пользователи, вошедшие в систему с использованием средства пакетной очереди. Пример планировщик задач.) разрешения все снять, запрет на запись.
(невозможность записи по сети и запущенными в планировщике задачами в системной папки, в интерактивном режиме – консоль и терминальный вход можно.)
4. Глобальные политики – конфигурация компьютера – конфигурация виндовс – параметры безопасности – реестр –
MACHINE\SYSTEM\CurrentControlSet\Services
MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost– добавить идентификатор Сеть(S-1-5-2) разрешение пусто, запрет всех изменений в реестре. SYSTEM - снимите флажок Полный доступ

Похоже все согласны, что это хороший способ защиты от сетевых вирусов (не с переносных носителей) включая защиту от доступа по сети от имени администратора.

Звучит многообещающе.
А можно про
идентификатор Сеть(S-1-5-2),
Пакетные файлы(S-1-5-3)
поподробней. Это как? Я так понял это "Встроенные участники безопасности".
Хотелось бы по подробней и с первоисточниками

[url]http://support.microsoft.com/kb/243330/ru[/url]

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

[url]http://technet.microsoft.com/ru-ru/library/cc780850.aspx[/url]

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Запрещение входа в качестве пакетного заданияОписание
Эта настройка безопасности определяет, какие учетные записи запрещается использовать при входе в систему в качестве пакетного задания. Эта политика отменяет политику Вход в качестве пакетного задания, если учетная запись пользователя контролируется обеими политиками.

По умолчанию: не определен.

Настройка этого параметра безопасности
Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\.

Запрещение входа в качестве службыОписание
Эта настройка безопасности определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Эта политика отменяет политику Вход в качестве службы, если учетная запись пользователя контролируется обеими политиками.

Примечание

Данная настройка не используется для учетных записей: «Локальная служба», «Системная служба» и «Сетевая служба».
По умолчанию: не определен.

Настройка этого параметра безопасности
Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\.

Я как-то побаиваюсь ставить эксперимент

А автоматизировать это как-нибудь можно?

Сама идея была, чтобы с помощью идентификатора Сеть, защитить от воздействия по сети (не важно с какими правами доступа) наиболее критичные точки системы (системную папку, ветки реестра, список которых может расширяться).

с помощью идентификатора Сеть, можно защититься от подбора пароля.
В случае кидо и переполнения буфера защищаться придется от идентификатора служба. Но тут и кроется засада

в этом случае он идентифицируется от NT AUTHORITY\SYSTEM. Запрещать запись в системных папках этому идентификатору действительно нельзя п.3 и п.2 тоже, а вот остальные п.1 и п.4 можно, запретить пакетные файлы и создание записей в службах.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

[url]http://support.microsoft.com/kb/962007/ru[/url]
они сами это рекомендуют
# В диалоговом окне Выбор раздела реестра разверните узел Machine, а затем перейдите в следующую папку:
Software\Microsoft\Windows NT\CurrentVersion\Svchost
# Нажмите кнопку ОК.
# В появившемся диалоговом окне снимите флажок Полный доступ для группы Администраторы и System.
# Нажмите кнопку ОК.
# В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми.

также проделать это для ветки сервисов, и НЕ делать этого для администраторв.

К %SystemRoot%\sysytem32 по умолчанию из служб имеет полный доступ только идентификатор SYSTEM.
Запуск служб осуществляется под идентификаторами:
по умолчанию (их нельзя запретить) - SYSTEM (Системная служба), LocalService (Локальная служба), NetworkService (Сетевая служба)
или под вручную указанным идентификатором.
И объединяется идентификатором Служба (S-1-5-6)- Группа, в которую включаются все участники безопасности, вошедшие в систему в качестве службы. Членством в этой группе управляет операционная система.

Определяется локальной и/или глобальной политикой
Вход в качестве службы - Эта настройка безопасности определяет, какие учетные записи служб могут зарегистрировать процесс в качестве службы.
Запрещение входа в качестве службы - Эта настройка безопасности определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Эта политика отменяет политику Вход в качестве службы, если учетная запись пользователя контролируется обеими политиками.
Примечание
• Данная настройка не используется для учетных записей: «Локальная служба», «Системная служба» и «Сетевая служба».

Думаю целесообразно идентификатору Служба , запретить создание/удаление в MACHINE\SYSTEM\CurrentControlSet\Services Применять: Только этот раздел. Cлужбы не должны создавать новые службы.

Олег, а не расскажите про отличия:
SYSTEM (Системная служба),
LocalService (Локальная служба),
NetworkService (Сетевая служба).
Очень интересно зачем 3 разных идентификатора. Неужели LocalService не может работать с сетью

Вот хорошее описание [url]http://about-computer.ru/?p=433[/url]
[url]http://www.oszone.net/4644_2/[/url]
Я сейчас тоже перечитал, и думаю можно не запрещать создание/удаление в MACHINE\SYSTEM\CurrentControlSet\Services для Служба, а ограничиться снятием полного доступа для SYSTEM.

Я так понимаю что после этих монипуляций сервис автоматические обновления да и вообще обновления из интернета с windows update ставится не будут?

Автоматическое обновление выполняется от SYSTEM, а у этой учетке забрали запись на ветку служб, запись в системную папку осталась и обновлению не помешает (если конечно не будут добавляться новые службы). А если обновляетесь в ручную то вообще от имени пользователя в котором работаете.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

А вообще может кто-то из экспертов/модераторов выскажет свое мнение?

Вообще убрать полный доступ у SYSTEM (оставить только по чтению )не мешало б у всех ключей реестра отвечающих за автозапуск в виндовс, тогда рекомендации по работе с ограниченной учеткой спасали бы и в случае дыр позволяющих зловреду от имени SYSTEM прописывать себя в автозапуск, а антивирусы запускать от пользователя с правами администратора.

[QUOTE=Oleg;403103]Вообще убрать полный доступ у SYSTEM (оставить только по чтению )[/QUOTE]
Вот этого не советовал бы.
По крайней мере на ветку Winlogon.

Попытки были, и заканчивались они неизменно - невозможностью загрузки системы.

Для Winlogon можно установить для SYSTEM доступ по чтению - Этот раздел и его подразделы и полный Только подразделы.

[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]

Сейчас изменил и перезагрузил два компа W2K3 SP2 И XP SP3, все прошло хорошо, и параметр Userinit закрыт.

Так как тут обсуждается доступ для SYSTEM то вот еще кое чего я нашел:
Из дескрипторов безопасности наиболее важным является дескриптор безопасности всей системы - SECURITY\Policy\SecDesc. По умолчанию объем полномочий учетной записи SYSTEM и всей группы администраторов (в которую SYSTEM всегда включена) составляет "FF 1F 0F 00". Можно работать без всяких проблем, если уменьшить данный объем полномочий SYSTEM до "01 10 00 00".

Собственно у меня вопрос есть может кто знает какие есть значения кроме FF 1F 0F 00 и 01 10 00 00??
я знаю только что FF 1F 0F 00 это полный доступ а остальные что означают?может быть где нибудь можно посмотреть??