Sunday, February 19, 2012

Windows basic security

Как да накараме Windows 2000/XP да спира натрапници по мрежата, и да ограничава до максимална степен функционалността на червеите.

ВНИМАНИЕ, СЛЕДНИТЕ НАСТРОЙКИ НЕ ПРЕМАХВАТ НУЖДАТА ОТ АНТИВИРУСНА ПРОГРАМА И ЗАЩИТНА СТЕНА, АКО НЯМАТЕ, ИНСТАЛИРАЙТЕ СИ, ЕФЕКТА ОТ НАСТРОЙКИТЕ Е ДОПЪЛНИТЕЛНА СИГУРНОСТ КОЯТО ЩЕ ДОПЪЛВА ТАЗИ КОЯТО ВИ ДАВА ЗАЩИТНАТА СТЕНА И АНТИВИРУСНАТА ПРОГРАМА.
Просто е. Използвайте Windows NT Базирана операционна система и нейната "NTFS" заедно с "Administrative tools". влезте като администратор, и изберете ВСИЧКИ ФАЙЛОВЕ И ПАПКИ, И ДО СИСТЕМНИТЕ ФАЙЛОВЕ, РЕСУРСИ И РЕГИСТРИ, и им дайте достъп да имат само администратора и систем - администратор за да можете да ги управлявате, и систем - това е Windows. Той трябва да има достъп. сложете дълга и сложна парола на администраторския акаунт и на акаунт guest. След като сте отнели достъп до всичко, направете си потребител със забранени привилегии - restricted user и с помощта на NTFS забранете достъпа до всички файлове по всички дялове, направете му негова папка и му разрешеше само това което по принцип ползвате и прехвърлете всичко в тази разрешена папка. излезте от администраторския акаунт и се включете с забранения акаунт, а с помощта на "administrative tools" забранете достъпа до всички системни ресурси, регистри и стартовата папка, стартови променливи и му дайте достъп само до това, което наистина му е необходимо. От административните инструменти изключете всичко излишно.
Тъй като това е общо описание за 2000 и ХР някои настройки, под ХР може да няма част от настройките и да ги има под 2000, под 2000 може да няма част от настройките и да ги има под ХР.


Отидете на Local Security Policy от Administrative Tools.
Препоръчителните настройки са следните:

Изберете Account Policies:

 -> Password Policy: 
Enforce password policy -- 0 passwords remembered
Maximum password age -- 30 дни
Passwords must meet complexity requirements -- Enabled
Minimum password length -- 10 или повече символа.
Account Lockout Policy
Account Lockout Duration -- 30 мин.
Account Lockout Threshold -- 5 невалидни опита за влизане
Reset account lockout counter after -- 30 мин.

 -> Local Policies -> Audit Policy:
Audit account logon events -- Audit Success and Failure
Audit account management -- Audit Success and Failure
Audit directory service access -- Audit Success and Failure
Audit logon events -- Audit Success and Failure
Audit object access -- Audit Failure
Audit policy change -- Audit Success and Failure
Audit privilege use -- Audit Success and Failure
Audit process tracking -- No auditing
Audit system events -- No auditing

 -> Users Rights Assignments:
Access this Computer from the network -- Махнете всичко
Bypass transverse Checking -- Махнете всичко
Log on locally -- Оставете потребителите, които трябва да могат да се логват
Shut down the system -- Премахнете всички групи освен администраторската.

 -> Security Options:
Additional restrictions for anonymous connections -- Do not allow enumeration of SAM accounts and shares
Do not display last user name in logon screen -- Enabled
LAN Manager Authentication Level -- Send NTLMv2 response only/refuse LM & NTLM
Message text for users attempting to log on -- Ваш избор нпр. (This system is subject to usage logging and monitoring. Authorized Access only)
Message tile for users attempting to log on -- например Don't fuck!!
Prevent System maintenance of computer account password -- Enabled
Recovery Console: Allows automatic Administrative logon -- Enabled
Restrict CD-ROM access to locally logged-on user only -- Enabled
Restrict Floppy Access to locally logged-on user only -- Enabled

Отворете Internet Explorer и в раздела local intranet, сложете всички опции на Disabled.

Махнете всички протоколи освен TCP/IP.

От регистри направете следните промени ->

Тези настройки са в регистрите и повечето се отнасят до ДоС атаките. 
Отворете HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services и модифицирайте следните настройки:

Ключ: Tcpip\Parameters Стойност: SynAttackProtect
Тип на стойността: REG_DWORD
Параметър: 2

Ключ: Tcpip\Parameters
Стойност: TcpMaxHalfOpen
Тип на стойността: REG_DWORD
Параметър: 100

Ключ: Tcpip\Parameters
Стойност: TcpMaxHalfOpenRetried
Тип на стойността: REG_DWORD
Параметър: 80

Ключ: Tcpip\Parameters
Стойност: EnablePMTUDiscovery
Тип на стойността: REG_DWORD
Параметър: 0

Ключ: Tcpip\Parameters
Стойност: EnableDeadGWDetect
Тип на стойността: REG_DWORD
Параметър: 0

Ключ: Tcpip\Parameters
Стойност: KeepAliveTime
Тип на стойността: REG_DWORD
Параметър: 300000

Ключ: Tcpip\Parameters
Стойност: EnableICMPRedirect
Тип на стойността: REG_DWORD
Параметър: 0

Ключ: Tcpip\Parameters\Interfaces\
Стойност: PerformRouterDiscovery
Тип на стойността: REG_DWORD
Параметър: 0

Ключ: Netbt\Parameters
Стойност: NoNameReleaseOnDemand
Тип на стойността: REG_DWORD
Параметър: 1

Отворете HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control и модифицирайте следните настройки:

Ключ: Lsa
Стойност: RestrictAnonymous
Тип на стойността: REG_DWORD
Параметър:1

Махнете всички излишни акаунти само тоя guest дето не се маха му сложете дълга и сигурна срещу Brute force на паролата.

Пуснете филтриране на портовете от Win, като оставете само тези които наистина ви трябват -

25 smtp - ако ползвате outlook/outlook express - за изпращане на поща
110 РОР3 - ако ползвате Outlook/outlook express - за получаване на поща

80 за браузване,

1080,  8080,   8088
за уеб прокси уеб сокс добре е да са отворени искат се от някои сайтове


5190 за ICQ

21 и 22 за FTP

6667 за IRC

Ако ползвате специализирани програми, които искат свои конкретни портове за да функционират нормално, отворете тези портове, като ги добавите в списъка.



 За да се предпазим възможно най-много от гадини(вируси, червеи, spy/mal/adware) трябва да бръкнем навътре в регистъра. Така, натиснете Win(ако имате)+R или просто натиснете Start => Run... напишете "regedit". Отваря се програма, чрез която можете пряко да редактирате регистъра. Внимание: Можете да повредите важна системна информация, която да осакати операционната система! За всеки случай си направете Restore Point.
Ключовете, които трябва да вземем под внимание сега са няколко. Има и още много, но за тях няма да ви разяснявам подробно. Разделил съм ключовете на няколко групи.
 При създаване на нова парола да се изискват букви и цифри. За създаването на тъй наречените "силни пароли" трябва да знаете две неща - 1. НИКОГА на ползвайте някакви смислени думи, 2. Правете паролите си сложни и дълги, включвайте и букви, и цифри, както и спец.символи(!@#$%^&*()_+|)
Това ще ви задължи да комбинирате цифри и букви в паролите си
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"AlphanumPwds"='1’
Задайте минимално количество на символите, най-добре 8 или 10, а за параноиците - 12, въпреки че така ще се наложи да запишете паролата някъде и може ефекта да се превърне в дефект.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network]
"MinPwdLen"=hex:8
Забрана за сърханяване на пароли
Не мисля, че е добра идея ценните ви пароли да се пазят някъде по харда или още по-лошо в резидентната памет.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"DisablePasswordCaching"='1’
Да не се показват паролите при въвеждане
Когато е пуснато крие паролите под формата на звездички. Щеше да е хубаво да има опция, подобна на тази за невидимите символи при Линукс, но уви... никой от Microsoft не се е сетил, макар че имат навика да крадат хитрите идеи.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"HideSharePwds"='1’
Невидимост откъм локалната мрежа
Режим при който другите потребители в мрежата няма да ви виждат. Преценете сами дали си заслужава.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"Hidden"='1’
Изтриване на Page файла
По този начин унищожаваме цялта информация която се е зашазила в системния PageFile.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"ClearPageFileAtShutdown"='1’
Автоматично изтриване на временните файлове след работа в Интернет
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
"Persistent"='0’
Забранете Recent списъка, който показва приложения, стартирани от вас в миналото.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
"Persistent"='0’
Забрана за съхранение на информация за действията на user-a
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoInstrumentation"='1’
Приложение за отстраняване на временна информация
Този файл ще “измита” всичките временни файлове когато изключвате ОС.
Отворете някой текстови редактор, например Notepad (run=>notepad). Заменете USERNAME със вашето потребителско име, с което ползвате. След символите ## се съдържа коментар който не бива да влиза в файла.
 Напишете следното:
C:\Temp ##името на папката със временната информация
RD /S /q "C:\Documents and Settings\USERNAME\Local Settings\History"
RD /S /q "C:\Documents and Settings\Default User\Local Settings\History"
RD /S /q "C:\Temp\”
Съхранете този файл под името deltemp.bat. Start => Run. Напишете "gpedit.msc" и го пуснете. От ляво ще видите Computer Configuration, отидете в Windows Configuration, селектирайте Scripts. От дясно ще видите Shutdown, пуснете го и дайте Add. Изберете файла който направихме и всичко е готово.
За логване е включено secure-нато логване, т.е. да се натисне първо Ctrl+Alt+Del, за да се разреши появата на прозорец за логване. Целта е да се спре автоматично логване на вреден или непознат софтуер.

Не очаквайте да стане от първия път. пробвайте много пъти и ще стане след като се понаучите да управлявате ресурсите. Ако нещо объркате - не се отчайвайте. Влезте с акаунта на администратора, изтриите този потребител с объркани привилегии, създайте нов, и опитайте друга комбинация. опитвайте така докато стане. Веднъж успеете ли, си запишете на лист хартия всички настройки, разрешени и забранени ресурси, и го пазете - ще ви трябва при преинсталация, или добавяне на потребители. Сега ако нещо стане - ако ви сполети вирус или червей, то операционната система ще му отказват достъп до каквото и да било. няма достъп до хедърите, няма достъп до системните файлове, няма достъп регистри..... как да направи беля? Та той няма достъп никъде. Вирусът или червеят ще се опитва да действа от наше име с вашите привилегии. Те са ограничени и той (вирусът или червеят е ограничен). Ще е ограничен само във вашата папка и няма да го има никъде извън нея. Няма да може да се регистрира в ресурсите за автоматично стартиране, в регистри, системните файлове, системните ресурси и стартовите променливи. Това е.

Сега остава да следите и прилагате всички сервиз пакове и актуализации които излизат за вашата операционна система, те не само ще подобрят сигурността, но ще подобрят съвместимостите на ОС, и ще подобрят управлението на ресурсите и мултимедията и ще добавят всички останали подобрения които носят в себе си. Мястото от което с препоръчва да го правите е http://windowsupdate.microsoft.com защото от там, вие ще вземате кръпките направо от производителя, и ще имате гаранция че изтеглените кръпки ще са 100% качествени, съвместими, ще са завършени и тествани, с проверено качество, освен това отпада риска да попаднете на модифицирана от трето лице кръпка, която вече е със съмнителна работоспособност и/или прикачен вирус или червей

Благодарности на Boleto за полезните допълнения към Статията

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.