-
Belarc Advisor VI: Тестируем безопасность XP Pro
I II III IV V VI VII
3.2.2 Additional Registry Settings – Дополнительные настройки реестра
Несколько настроек для дополнительной безопасности. Если у вас все обновления Windows установлены, то тогда многие настройки будут уже правильными. Всё же стоит обратить внимание на остальные.
3.2.2.1 Suppress Dr. Watson Crash Dumps – запрещать Dr. Watson создать dump файлы
HKLM\Software\Microsoft\DrWatson\CreateCrashDump - (REG_DWORD) 0
Когда у вас программа падает, Dr.Watson сразу же пишет dump-файл. Всё об этом сеансе, включая ваши пароли, и другая драгоценная информация может попасть в такие файлы. Для того, чтобы Dr.Watson этого больше не делал, отредактируем реестр как указано.
3.2.2.2 Disable Automatic Execution of the System Debugger – Отключить автоматический запуск системного отладчика
HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Autо – 0
Зловреды могут выполнить опасный код, когда запускается системный отладчик (с определёнными трюками можно его вызвать). Отключаем эту возможность.
3.2.2.3 Disable autoplay from any disk type, regardless of application – Отключить автозапуск на всех дисках
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDriveTypeAutoRun - (REG_DWORD) 255
Тема уже не раз обсуждалась на данном форуме. Советую дополнительно прочитать эту тему, так как политика обходится достаточно легко. Там указано, что надо ещё делать, для того, чтобы autorun блокировался полностью.
3.2.2.4 Disable autoplay for current user – Отключить автозапуск на всех дисках для текущего пользователя HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDriveTypeAutoRun - (REG_DWORD) 255
Тоже самое для текущего пользователя. Данная настройка, хотя рекомендуется, не отражается в результатах теста Belarc Advisor.
3.2.2.5 Disable autoplay for the default profile – Отключить автозапуск на всех дисках для профиля ‘Default’. HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVer sion\Policies\Explorer\NoDriveTypeAutoRun - (REG_DWORD) 255
Тоже самое для каждую новую учётную запись, которую вы создаёте.
3.2.2.6 Disable Automatic Logon – Отключить автоматический вход в систему
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon - 0
Удобно, не так ли? – каждый день Windows грузит ваш администраторский рабочий стол автоматически. Но, по словам Центра Безопасности Интернета, – для того, чтобы Windows смогла это делать, она сохраняет имя пользователя + пароль открытом текстом в реестре!
3.2.2.7 Disable automatic reboots after a Blue Screen of Death – Отключить автоматическую перезагрузку после Синего Экрана Смерти HKLM\System\CurrentControlSet\Control\CrashControl \AutoReboot - (REG_DWORD) 0
Если кому-то удастся поставить на вашу систему зловред, то тогда он будет пытаться зарегистрировать этого зловреда – форсировать перезагрузку компьютера. Очень легко вызвать сбой системы, и по умолчанию перезагрузится система. Данным параметром реестра мы предотвращаем это поведение.
3.2.2.8 Disable CD Autorun – Отключить автозапуск CD-ROM HKLM\System\CurrentControlSet\ Services\CDrom\Autorun - (REG_DWORD) 0
Если зловред записан на CD-ROM, то тогда для его запуска достаточно вставить CD-ROM в дисковод.
3.2.2.9 Remove administrative shares on workstation (Professional):
HKLM\System\CurrentControlSet\Services\LanmanServe r\Parameters\AutoShareWks – 0
Админ шары – очень опасны, особенно если у вас включён NetBIOS через TCP/IP. Можно завладеть вашим компьютером полностью извне. Отключаем данной настройкой реестра. Если ключ отсутствует, то тогда следует его создать. Правой кнопкой мыши в любом месте в правом окне. Выбрать Создать параметр DWORD.
3.2.2.10 Protect against Computer Browser Spoofing Attacks – Защита от атак против Обозревателя Компьютеров HKLM\System\CurrentControlSet\Services\MrxSmb\Para meters\RefuseReset <Not Defined>
Хотя данное руководство рекомендует отключить Обозреватель Компьютеров, не каждый будет готов это сделать. Данная настройка сети защищает от определённой уязвимости, при которой Обозреватель Сети может быть отключён извне. Подробнее:
http://support.microsoft.com/default...;EN-US;q262694
3.2.2.11 Protect against source-routing spoofing – Защита от поддельных параметров маршрутизации (сообщений) от источника
HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\DisableIPSourceRouting - (REG_DWORD) 2
Если в системе Windows установлено 2 легитимных сетевых устройств, то тогда этот компьютер может работать как маршрутизатор или файрвол. Трафик, который проходит через такой маршрутизатор может обходить определённые правила маршрутизации. Данная настройка предотвращает это – ложные пакеты отбрасываются.
3.2.2.12 Protect the Default Gateway network setting – защита от манипуляций против Основного шлюза по умолчанию HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\EnableDeadGWDetect - (REG_DWORD) 0
Когда основной шлюз по умолчанию не справится, то тогда можно задействовать другой для того, чтобы завершить сетевую работу. Если атакующий манипулирует основной шлюз, и у вас эта настройка не стоит на ‘0’, то тогда он может перенаправить трафик не туда.
3.2.2.13 Ensure ICMP Routing via shortest path first – защита от перенаправления ICMP пакетов в локальной сети HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\EnableICMPRedirect - (REG_DWORD) 0
3.2.2.14 Help protect against packet fragmentations – Защита от фрагментации пакетов HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\EnablePMTUDiscovery - 0
Фрагментация пакетов может использоваться в определённых типах сетевых атак.
http://support.microsoft.com/?kbid=315669.
3.2.2.15 Manage Keep-alive times – Управление таймером Keep-alive HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\KeepAliveTime - (REG_DWORD) 300000
Стек TCP отслеживает момент прекращения прохождения пакетов между клиентом и сервером, запуская таймер KEEPALIVE. Как только таймер достигнет величины KEEPALIVE_ TIME, стек TCP сервера выполняет первую пробу KEEPALIVE.
300000 = раз в каждые 5 минут.
3.2.2.16 Protect Against Malicious Name-Release Attacks – Защита против атак по освобождению имя компьютера по требованию
HKLM\System\CurrentControlSet\Services\Netbt\Param eters\NoNameReleaseOnDemand - (REG_DWORD) 1
Windows выдаёт имя компьютера кому попало по требованию через NetBIOS. Против этого механизма существуют определённые атаки. Данная настройка защищает против этого. По умолчанию данный параметр отсутствует в разделе \NetBT\Parameters. Его необходимо ввести туда вручную. NoNameReleaseOnDemand имеет тип REG_DWORD. Стандартное значение, 0, заставляет систему освободить имя сразу же по получении датаграммы от службы имен. Если присвоить параметру NoNameReleaseOnDemand значение 1, то система освободит имя NetBIOS, только если конфликт произошёл в процессе регистрации имени. Активизировав эту функцию, можно предотвратить нападение. Приём будет лишним, если в адаптере, обеспечивающем связь с Internet, уже отключен режим использования имён NetBIOS в соединениях TCP/IP.
3.2.2.17 Ensure Router Discovery is Disabled – HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\PerformRouterDiscovery - (REG_DWORD) 0
Против так называемые Router Advertisements, которые производятся через UDP, очень сложный протокол для файрволов.
3.2.2.18 Protect against SYN Flood attacks – защита против атак SYN Flood
HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\SynAttackProtect - (REG_DWORD) 2
3.2.2.19 SYN Attack protection – Manage TCP Maximum half-open sockets – Защита против атак SYN – управление количеством допустимых полуоткрытых сокетов
HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\TcpMaxHalfOpen – Not Defined – не задано
3.2.2.20 SYN Attack protection – Manage TCP Maximum half-open retired sockets HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\TcpMaxHalfOpenRetired (REG_DWORD) – Not Defined – Не задано
3.2.2.21 Enable IPSec to protect Kerberos RSVP Traffic – Включить IPSec для защиты трафика по Kerberos RSVP HKLM\System\CurrentControlSet\Services\IPSEC\NoDef aultExempt - (REG_DWORD) 1
Kerberos не проверяется по умолчанию в домене, так как является исключением для IPSec. Данная настройка изменяет это.
3.2.2.22 Hide workstation from Network Browser listing – Скрывать рабочую станцию в списке Обозревателя Компьютеров других компьютеров.
HKLM\System\CurrentControlSet\Services\Lanmanserve r\Parameters\Hidden - (REG_DWORD) 1
Если вы просто отключаете службу Обозреватель Компьютеров, то тогда получается тоже самое.
3.2.2.23 Enable Safe DLL Search Mode – Безопасный поиск Dll. HKLM\System\CurrentControlSet\Control\SessionManag er\SafeDllSearchMode -
(REG_DWORD) 1
После назначения для раздела реестра SafeDllSearchMode значения 1 поиск библиотек DLL будет сначала проводиться в системном каталоге, а затем в текущем каталоге или в каталоге профиля пользователя.
3.2.2.24 Disable WebDAV basic authentication (SP 2 only) – Отключить WebDAV базовую аутентификацию.
HKLM\System\CurrentControlSet\Services\WebClient\P arameters\UseBasicAuth - (REGDWORD) 1
Как ни странно, для того, чтобы запретить этот тип аутентификации, надо поставить UseBasicAuth на 1!?!
3.2.2.25 Disable basic authentication over a clear channel (SP 2 only): HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernetSettings\DisableBasicOverClearChannel - (REGDWORD) 1
Для того чтобы предотвратить базовую аутентификацию при передаче данных по защищённым каналам (SSL/TLS) при использовании IE. После этих изменений, говорит Майкрософт, браузер IE будет использовать базовый метод аутентификации только в том случае, если это единственный метод подключения к серверу. Если же связь с сервером возможна также на основе защищённого соединения, то браузер выберет его. Некоторые сайты могут оказаться недоступными.
3.2.2.26 USB Block Storage Device Policy (SP2 only) HKLM\System\CurrentControlSet\Control\StorageDevic ePolicies - (REGDWORD) 1
Запретить использование личных флеш-накопителей в офисе (использовать только зарегистрированные на фирме)
Относится, как я понял, только к USB устройствам Майкрософта. То есть - какие бы запреты ни были, USB устройств других производителей будут всё равно работать.
3.2.2.27 DTC Access (SP2 only) – Доступ к DTC
HKLM\Software\Microsoft\MSDTC - (REGDWORD) 0
Речь идёт о Координаторе распределённых транзакций Microsoft (MSDTC) После целого ряда атак извне по уязвимостям в этой службе, сама Майкрософт рекомендует значение ‘0’ для этого ключа, что по умолчанию блокировать любые команды службе извне.
I II III IV V VI VII
Последний раз редактировалось XP user; 14.03.2008 в 08:23.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
3.2.2.10 Protect against Computer Browser Spoofing Attacks – Защита от атак против Обозревателя Сети
HKLM\System\CurrentControlSet\Services\MrxSmb\Para meters\RefuseReset
<Not Defined>
У меня DWORD = 0 , <Not Defined> это как.
Удалить или 0 поставить, кстати таких мест много. не однозначно однако
Добавлено через 47 секунд
3.2.2.27 DTC Access (SP2 only) – Доступ к DTC
тож не ясно что где ставить
Последний раз редактировалось XiTri; 11.03.2008 в 16:51.
Причина: Добавлено
-
-
Сообщение от
XiTri
3.2.2.10 Protect against Computer Browser Spoofing Attacks – Защита от атак против Обозревателя Сети
HKLM\System\CurrentControlSet\Services\MrxSmb\Para meters\RefuseReset
<Not Defined>
У меня DWORD = 0 , <Not Defined> это как.
Удалить или 0 поставить, кстати таких мест много. не однозначно однако
Добавлено через 47 секунд
3.2.2.27 DTC Access (SP2 only) – Доступ к DTC
тож не ясно что где ставить
Эти параметры у вас красным крестиком отмечены?
P.S.: То, что НЕ отмечено - не трогать!
Paul
-
У мну ХР ENG + MUI т.е. половина по русски половина по анг.
оч. проблемно смотреть и там и там. Поэтому хочется варианты установок в двух языках тож.
сетевой DTC вроде красный был хотя я его через остнастку отключал давно не помню где и как
Если нужно я могу пройтись по всем настройкам и написать где что не становится.
текущий рейтинг 6,04 - это не предел.
-
-
Сообщение от
XiTri
У мну ХР ENG + MUI т.е. половина по русски половина по анг.
оч. проблемно смотреть и там и там. Поэтому хочется варианты установок в двух языках тож.
Система мне знакома. Если хотите, можно где-то выложить скриншоты. Я посмотрю. Или пишите мне в личку.
Сообщение от
XiTri
сетевой DTC вроде красный был хотя я его через остнастку отключал давно не помню где и как
Обычно, когда параметр Not Defined, он не учитывается в бал. Сам не могу проверить потому что у меня XP Home - там нет редактора политик, поэтому для Home нет смысла дать оценку за безопасность. Но самы настройки достаточно неплохо знаю, так как я участвовал в создании этого консенсуса безопасности.
Про параметр DTC: Жёсткие настройки требуют '0' для параметра DTC, но вовсе не удаление ключа!
Сообщение от
XiTri
Если нужно я могу пройтись по всем настройкам и написать где что не становится.
текущий рейтинг 6,04 - это не предел.
Сделайте так, если хотите. Помогу.
P.S.: 'Computer Browser' это, кстати не 'Обозреватель Сети', а 'Обозреватель Компьютеров'. Извините за ошибку - я поправил в тексте.
Paul
-
Я донастраивался network connecting работает а симптомы как не работает,
к сети немог подключиться у меня модем
Пришлось взад вертать.
Может отловлю на выходных отпишу.
Героическая и самопожертвенная борьба за безопасность виндов, жесть : )
-
-
Сообщение от
XiTri
Я донастраивался network connecting работает а симптомы как не работает, к сети немог подключиться у меня модем
C 'network connecting' что вы имеете в виду? Встроенный Windows Firewall? Какая ошибка выдаётся?
Возможно у вас модем не будет работать без NetBIOS.
Paul
-
Да ерунда я починил всё,глубоко задумовшись над сутью происходящего минут за 15-20.
"Network Connections" это служба Netman. Если её остановить, то в панели управления раздел "Сетевые подключения" будет пуст и модемное соединение не запустить.
Кстати у меня ДСЛ с подьемом по PPP с компа.
Так вот слуба работала, а симптомы были такие-же.
А как модем может не работать без NetBIOS как оно вообще связано?
-
-
Сообщение от
XiTri
А как модем может не работать без NetBIOS как оно вообще связано?
Не знаю технических деталей, но некоторые производители делают модем зависимым от:
NetBIOS
Службы DNS Client
Службы DHCP Client
Сообщение от
XiTri
Так вот слуба работала, а симптомы были такие-же.
После изменения обратно надо перезагрузить систему! Вы не делали точку восстановления заранее?
P.S.: Никто по моему не указал вам, что надо отключить эту службу (Netman = Служба Сетевые Подключения) - не я и не Belarc. Служба даже не указана в моём общеизвестном списке здесь.
Сделал экспорт из реестра по Netman. Вот что выдаёт:
Код:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netman
Название класса: <Класс отсутствует>
Последнее время записи: 14.03.2008 - 7:22
Параметр 0
Название: DependOnService
Тип: REG_MULTI_SZ
Значение: RpcSs
Параметр 1
Название: Description
Тип: REG_SZ
Значение: Управляет объектами папки ''Сеть и удаленный доступ к сети'', отображающей свойства локальной сети и подключений удаленного доступа.
Параметр 2
Название: DisplayName
Тип: REG_SZ
Значение: Сетевые подключения
Параметр 3
Название: ErrorControl
Тип: REG_DWORD
Значение: 0x1
Параметр 4
Название: ImagePath
Тип: REG_EXPAND_SZ
Значение: %SystemRoot%\System32\svchost.exe -k netsvcs
Параметр 5
Название: ObjectName
Тип: REG_SZ
Значение: LocalSystem
Параметр 6
Название: Start
Тип: REG_DWORD
Значение: 0x3
Параметр 7
Название: Type
Тип: REG_DWORD
Значение: 0x120
Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netman\Parameters
Название класса: <Класс отсутствует>
Последнее время записи: 29.05.2006 - 13:36
Параметр 0
Название: ServiceDll
Тип: REG_EXPAND_SZ
Значение: %SystemRoot%\System32\netman.dll
Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netman\Enum
Название класса: <Класс отсутствует>
Последнее время записи: 14.03.2008 - 7:22
Параметр 0
Название: 0
Тип: REG_SZ
Значение: Root\LEGACY_NETMAN\0000
Параметр 1
Название: Count
Тип: REG_DWORD
Значение: 0x1
Параметр 2
Название: NextInstance
Тип: REG_DWORD
Значение: 0x1
Paul
Последний раз редактировалось XP user; 14.03.2008 в 12:01.