| Безопасность в Windows NT. Последние дополнения: December 21, 1999.
У Вас включен Автовход в систему. Как уже говорилось, пароль в этом случае в открытом виде находится в реестре. Конечно, для пущей осторожности лучше не включать автовход, но иногда все-таки и он необходим. Тогда можно ограничьте доступ к данной ветви реестра. Полный доступ к ней должны иметь: system, administrators и пользователь, которому необходим автовход. Доступ для остальных, я у себя вообще убрал. NB! Использовать надо не Regedit, а Regedt32. А автовход находится по адресу: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Кстати, ограничение прав доступа на некоторые ветви реестра еще встретится ниже. Шифрование паролей. (по информации с http://www.orc.ru/~zalex) В состав SP3 входит программа SYSKEY, которая позволяет установить режим дополнительного шифрования паролей, хранящихся в базе данных SAM. SYSKEY создает уникальный ключ при помощи которого производится шифрование и сохраняет его в реестре. Перед записью в реестр этот ключ (Password Encryption Key) в свою очередь шифруется системным ключом (System Key), который по усмотрению администратора может быть сохранен либо в реестре, либо на дискете, либо вообще может вычисляться при каждом запуске системы на основе пароля, вводимого администратором. При наличии нескольких контроллеров домена SYSKEY должна быть запущена на каждом из них. Отменить однажды установленный режим шифрования паролей невозможно. Перед применением этой программы Microsoft рекомендует создать Emergensy Repair Disk. Подробно - support.microsoft.com/support/kb/articles/q143/4/75.asp Ограничение прав анонимного пользователя. (по информации с http://www.orc.ru/~zalex) Установка SP3 не только закрывает для анонимного пользователя доступ к реестру, но и позволяет запретить выдачу ему списка сетевых ресурсов сервера и списка пользователей домена. Данный режим можно включить установив значение параметра RestrictAnonymous=1 (REG_DWORD) в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa реестра. Подробно - support.microsoft.com/support/kb/articles/q143/4/74.asp Фильтрация паролей. (по информации с http://www.orc.ru/~zalex) Начиная с SP2 появилась возможность задавать более строгие правила фильтрации вводимых пользователями паролей. Для этого служит библиотека PASSFILT.DLL. При ее использовании производится проверка того, что новый пароль: -содержит не менее 6 символов; -содержит в себе символы по крайней мере 3-х наборов из 4-х возможных (прописные буквы латинского алфавита; строчные буквы латинского алфавита; цифры 0, 1,...9; специальные символы); -не содержит в себе имя пользователя или любую часть его полного имени. Режим проверки включается путем добавления в раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa параметра Notification Packages (REG_MULTI_SZ) и записи в него строки PASSFILT. Если этот параметр уже создан и содержит строку FPNWCLNT, строка PASSFILT дописывается после нее. Библиотека PASSFILT.DLL должна находиться в каталоге %system root%\System32. Данная процедура выполняется только на PDC. К сожалению, проверка не производится для паролей, изменяемых пользователями с 16-разрядных клиентов. Подробно - support.microsoft.com/support/kb/articles/q151/0/82.asp support.microsoft.com/support/kb/articles/q161/9/90.asp Права доступа на Trojan keys в реестре. Трояны любят устроится в следующих уголках реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\App Paths HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Controls Folder HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\DeleteFiles HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Explorer HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Extensions HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\ExtShellViews HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Internet Settings HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\ModuleUsage HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\RenameFiles HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Setup HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\SharedDLLs HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Shell Extensions HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Uninstall HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Compatibility HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\0 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Embedding HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\MCI HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Ports HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WOW Для уменьшения риска подхватить трояна можно чуть урезать права доступа: Administrators - полный доступ. System - полный доступ. Everyone - только чтение. Как Вы уже знаете, использовать нужно Regedt32 вместо Regedit. Другие критичные ветви реестра. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options Здесь нужно поступить также, как и в случае Trojan keys. Служба Messenger. Если Вам она не нужна, отключите ее, это только увеличит безопасность. Это связано с тем, что при работе этой службы текущее имя пользователя помещается в таблицу имен NetBIOS, давая возможность злоумышленнику узнать правильное имя пользователя, которое может быть использовано в Bruce force атаках.
Copyright © 1999. Анатолий Иванов. Fan's SoftWare. |
Навигатор: