Windows basic security

Как да накараме Windows 2000/XP да спира натрапници по мрежата, и да ограничава до максимална степен функционалността на червеите.

ВНИМАНИЕ, СЛЕДНИТЕ НАСТРОЙКИ НЕ ПРЕМАХВАТ НУЖДАТА ОТ АНТИВИРУСНА ПРОГРАМА И ЗАЩИТНА СТЕНА, АКО НЯМАТЕ, ИНСТАЛИРАЙТЕ СИ, ЕФЕКТА ОТ НАСТРОЙКИТЕ Е ДОПЪЛНИТЕЛНА СИГУРНОСТ КОЯТО ЩЕ ДОПЪЛВА ТАЗИ КОЯТО ВИ ДАВА ЗАЩИТНАТА СТЕНА И АНТИВИРУСНАТА ПРОГРАМА.

Просто е. Използвайте Windows NT Базирана операционна система и нейната "NTFS" заедно с "Administrative tools". влезте като администратор, и изберете ВСИЧКИ ФАЙЛОВЕ И ПАПКИ, И ДО СИСТЕМНИТЕ ФАЙЛОВЕ, РЕСУРСИ И РЕГИСТРИ, и им дайте достъп да имат само администратора и систем - администратор за да можете да ги управлявате, и систем - това е Windows. Той трябва да има достъп. сложете дълга и сложна парола на администраторския акаунт и на акаунт guest. След като сте отнели достъп до всичко, направете си потребител със забранени привилегии - restricted user и с помощта на NTFS забранете достъпа до всички файлове по всички дялове, направете му негова папка и му разрешеше само това което по принцип ползвате и прехвърлете всичко в тази разрешена папка. излезте от администраторския акаунт и се включете с забранения акаунт, а с помощта на "administrative tools" забранете достъпа до всички системни ресурси, регистри и стартовата папка, стартови променливи и му дайте достъп само до това, което наистина му е необходимо. От административните инструменти изключете всичко излишно.

Тъй като това е общо описание за 2000 и ХР някои настройки, под ХР може да няма част от настройките и да ги има под 2000, под 2000 може да няма част от настройките и да ги има под ХР.

Отидете на Local Security Policy от Administrative Tools.

Препоръчителните настройки са следните:

Изберете Account Policies:

 -> Password Policy: 

Enforce password policy -- 0 passwords remembered

Maximum password age -- 30 дни

Passwords must meet complexity requirements -- Enabled

Minimum password length -- 10 или повече символа.

Account Lockout Policy

Account Lockout Duration -- 30 мин.

Account Lockout Threshold -- 5 невалидни опита за влизане

Reset account lockout counter after -- 30 мин.

 -> Local Policies -> Audit Policy:

Audit account logon events -- Audit Success and Failure

Audit account management -- Audit Success and Failure

Audit directory service access -- Audit Success and Failure

Audit logon events -- Audit Success and Failure

Audit object access -- Audit Failure

Audit policy change -- Audit Success and Failure

Audit privilege use -- Audit Success and Failure

Audit process tracking -- No auditing

Audit system events -- No auditing

 -> Users Rights Assignments:

Access this Computer from the network -- Махнете всичко

Bypass transverse Checking -- Махнете всичко

Log on locally -- Оставете потребителите, които трябва да могат да се логват

Shut down the system -- Премахнете всички групи освен администраторската.

 -> Security Options:

Additional restrictions for anonymous connections -- Do not allow enumeration of SAM accounts and shares

Do not display last user name in logon screen -- Enabled

LAN Manager Authentication Level -- Send NTLMv2 response only/refuse LM & NTLM

Message text for users attempting to log on -- Ваш избор нпр. (This system is subject to usage logging and monitoring. Authorized Access only)

Message tile for users attempting to log on -- например Don't fuck!!

Prevent System maintenance of computer account password -- Enabled

Recovery Console: Allows automatic Administrative logon -- Enabled

Restrict CD-ROM access to locally logged-on user only -- Enabled

Restrict Floppy Access to locally logged-on user only -- Enabled

Отворете Internet Explorer и в раздела local intranet, сложете всички опции на Disabled.

Махнете всички протоколи освен TCP/IP.

От регистри направете следните промени ->

Тези настройки са в регистрите и повечето се отнасят до ДоС атаките. 

Отворете HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services и модифицирайте следните настройки:

Ключ: Tcpip\Parameters Стойност: SynAttackProtect

Тип на стойността: REG_DWORD

Параметър: 2

Ключ: Tcpip\Parameters

Стойност: TcpMaxHalfOpen

Тип на стойността: REG_DWORD

Параметър: 100

Ключ: Tcpip\Parameters

Стойност: TcpMaxHalfOpenRetried

Тип на стойността: REG_DWORD

Параметър: 80

Ключ: Tcpip\Parameters

Стойност: EnablePMTUDiscovery

Тип на стойността: REG_DWORD

Параметър: 0

Ключ: Tcpip\Parameters

Стойност: EnableDeadGWDetect

Тип на стойността: REG_DWORD

Параметър: 0

Ключ: Tcpip\Parameters

Стойност: KeepAliveTime

Тип на стойността: REG_DWORD

Параметър: 300000

Ключ: Tcpip\Parameters

Стойност: EnableICMPRedirect

Тип на стойността: REG_DWORD

Параметър: 0

Ключ: Tcpip\Parameters\Interfaces\

Стойност: PerformRouterDiscovery

Тип на стойността: REG_DWORD

Параметър: 0

Ключ: Netbt\Parameters

Стойност: NoNameReleaseOnDemand

Тип на стойността: REG_DWORD

Параметър: 1

Отворете HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control и модифицирайте следните настройки:

Ключ: Lsa

Стойност: RestrictAnonymous

Тип на стойността: REG_DWORD

Параметър:1

Махнете всички излишни акаунти само тоя guest дето не се маха му сложете дълга и сигурна срещу Brute force на паролата.

Пуснете филтриране на портовете от Win, като оставете само тези които наистина ви трябват -

25 smtp - ако ползвате outlook/outlook express - за изпращане на поща

110 РОР3 - ако ползвате Outlook/outlook express - за получаване на поща

80 за браузване,

1080,  8080,   8088

за уеб прокси уеб сокс добре е да са отворени искат се от някои сайтове

5190 за ICQ

21 и 22 за FTP

6667 за IRC

Ако ползвате специализирани програми, които искат свои конкретни портове за да функционират нормално, отворете тези портове, като ги добавите в списъка.

 За да се предпазим възможно най-много от гадини(вируси, червеи, spy/mal/adware) трябва да бръкнем навътре в регистъра. Така, натиснете Win(ако имате)+R или просто натиснете Start => Run... напишете "regedit". Отваря се програма, чрез която можете пряко да редактирате регистъра. Внимание: Можете да повредите важна системна информация, която да осакати операционната система! За всеки случай си направете Restore Point.

Ключовете, които трябва да вземем под внимание сега са няколко. Има и още много, но за тях няма да ви разяснявам подробно. Разделил съм ключовете на няколко групи.

 При създаване на нова парола да се изискват букви и цифри. За създаването на тъй наречените "силни пароли" трябва да знаете две неща - 1. НИКОГА на ползвайте някакви смислени думи, 2. Правете паролите си сложни и дълги, включвайте и букви, и цифри, както и спец.символи(!@#$%^&*()_+|)
Това ще ви задължи да комбинирате цифри и букви в паролите си
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"AlphanumPwds"='1’

Задайте минимално количество на символите, най-добре 8 или 10, а за параноиците - 12, въпреки че така ще се наложи да запишете паролата някъде и може ефекта да се превърне в дефект.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network]
"MinPwdLen"=hex:8

Забрана за сърханяване на пароли
Не мисля, че е добра идея ценните ви пароли да се пазят някъде по харда или още по-лошо в резидентната памет.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"DisablePasswordCaching"='1’

Да не се показват паролите при въвеждане
Когато е пуснато крие паролите под формата на звездички. Щеше да е хубаво да има опция, подобна на тази за невидимите символи при Линукс, но уви... никой от Microsoft не се е сетил, макар че имат навика да крадат хитрите идеи.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"HideSharePwds"='1’

Невидимост откъм локалната мрежа
Режим при който другите потребители в мрежата няма да ви виждат. Преценете сами дали си заслужава.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"Hidden"='1’

Изтриване на Page файла
По този начин унищожаваме цялта информация която се е зашазила в системния PageFile.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"ClearPageFileAtShutdown"='1’

Автоматично изтриване на временните файлове след работа в Интернет
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
"Persistent"='0’

Забранете Recent списъка, който показва приложения, стартирани от вас в миналото.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
"Persistent"='0’

Забрана за съхранение на информация за действията на user-a
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoInstrumentation"='1’

Приложение за отстраняване на временна информация
Този файл ще “измита” всичките временни файлове когато изключвате ОС.
Отворете някой текстови редактор, например Notepad (run=>notepad). Заменете USERNAME със вашето потребителско име, с което ползвате. След символите ## се съдържа коментар който не бива да влиза в файла.

 Напишете следното:

C:\Temp ##името на папката със временната информация

RD /S /q "C:\Documents and Settings\USERNAME\Local Settings\History"
RD /S /q "C:\Documents and Settings\Default User\Local Settings\History"
RD /S /q "C:\Temp\”

Съхранете този файл под името deltemp.bat. Start => Run. Напишете "gpedit.msc" и го пуснете. От ляво ще видите Computer Configuration, отидете в Windows Configuration, селектирайте Scripts. От дясно ще видите Shutdown, пуснете го и дайте Add. Изберете файла който направихме и всичко е готово.

За логване е включено secure-нато логване, т.е. да се натисне първо Ctrl+Alt+Del, за да се разреши появата на прозорец за логване. Целта е да се спре автоматично логване на вреден или непознат софтуер.

Не очаквайте да стане от първия път. пробвайте много пъти и ще стане след като се понаучите да управлявате ресурсите. Ако нещо объркате - не се отчайвайте. Влезте с акаунта на администратора, изтриите този потребител с объркани привилегии, създайте нов, и опитайте друга комбинация. опитвайте така докато стане. Веднъж успеете ли, си запишете на лист хартия всички настройки, разрешени и забранени ресурси, и го пазете - ще ви трябва при преинсталация, или добавяне на потребители. Сега ако нещо стане - ако ви сполети вирус или червей, то операционната система ще му отказват достъп до каквото и да било. няма достъп до хедърите, няма достъп до системните файлове, няма достъп регистри..... как да направи беля? Та той няма достъп никъде. Вирусът или червеят ще се опитва да действа от наше име с вашите привилегии. Те са ограничени и той (вирусът или червеят е ограничен). Ще е ограничен само във вашата папка и няма да го има никъде извън нея. Няма да може да се регистрира в ресурсите за автоматично стартиране, в регистри, системните файлове, системните ресурси и стартовите променливи. Това е.

Сега остава да следите и прилагате всички сервиз пакове и актуализации които излизат за вашата операционна система, те не само ще подобрят сигурността, но ще подобрят съвместимостите на ОС, и ще подобрят управлението на ресурсите и мултимедията и ще добавят всички останали подобрения които носят в себе си. Мястото от което с препоръчва да го правите е http://windowsupdate.microsoft.com защото от там, вие ще вземате кръпките направо от производителя, и ще имате гаранция че изтеглените кръпки ще са 100% качествени, съвместими, ще са завършени и тествани, с проверено качество, освен това отпада риска да попаднете на модифицирана от трето лице кръпка, която вече е със съмнителна работоспособност и/или прикачен вирус или червей

Благодарности на Boleto за полезните допълнения към Статията