Vvmebel.com

Новости с мира ПК
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Локальные параметры безопасности xp

Общие сведения о локальной и доменной политиках безопасности

Выполняя настройку компьютеров, системные администраторы в первую очередь должны обращать внимание на их безопасность. Что же это такое? Это совокупность функций, регулирующих безопасную работу ПК и управляющихся посредством локального объекта GPO.

Настройка политики безопасности на компьютерах с Windows XP, «Семёрка»

Настройку данных функций осуществляют (в Windows XP, «Семёрка») пользователи вручную через через специальную консоль «Local Group Politics Editor» (редактор локальных политик безопасности) или «Local Security Politics». Окно «Local Group Politics Editor» используют при необходимости внести изменения в политику учётной записи домена, управляемой посредством Active Directory. Через консоль «Local Group Politics Editor» производится настройка параметров учётных записей и регулируется безопасность на локальных хостах. Для открытия окна настроек Local Security Policy (в Windows XP, «Семёрка») нужно сделать следующее.

Нажимаем кнопку «Start» и в поисковом поле открывающемся меню вводим название окна Local Security Policy (см. рисунок ниже).

Нажав комбинацию кнопок +R, открываем пункт «Run», в поле ввода которого вводим sесpol.msc и нажимаем на ОК.

Сначала необходимо проверить, что учётный пользовательский аккаунт находится в администраторской группе (Windows XP, «Семёрка»). Для открытия консольного приложения ММС (в Windows XP, «Семёрка» ) нажимаем кнопку «Start» и в поисковом поле вводим mmс, после чего нажимаем на «Enter». В пустом консольном окне ММС нажимаем на надпись «Console» и выбираем «Add or Remove». В открывшемся окне выбираем консоль «Local Group Politics Editor» и нажимаем на Add. В открывшемся диалоговом окне нужно найти и нажать на «Обзор», указать необходимые компьютеры и нажать на «Ready». В окне «Add or Remove» нажимаем на ОК. Находим открытую консоль «Local Group Politics Editor» и переходим на пункт «Computer Configuration», а после этого открываем «Security Parameters».

При подсоединении вашего рабочего места к сети с доменом (Windows Сервер 2008), безопасность определяется политикой Active Directory или политика того подразделения, к которому относится компьютер.

Как применить Security Policy к компьютерам, являющимися локальными (с системой Windows XP и так далее), или подсоединённому к домену

Сейчас мы подробно рассмотрим последовательность настроек Local Security Policy и увидим различия между особенностями политики безопасности на локальном компе с Windows (XP, «Семёрка» и так далее) и на компе, подсоединённом к доменной сети через Windows Сервер 2008 R2.

Особенности настроек Security Policy на локальном компьютере

Следует напомнить, что все действия, проводимые здесь, выполнялись под учётным аккаунтом, входящим в администраторскую группу (Windows XP, «Семёрка») на локальном компьютере или в группу «Domen Administrators» (Windows Сервер 2008), в подсоединённом к доменной сети узле.

Чтобы выполнить этот пример необходимо сначала присвоить гостевому учётному аккаунту другое имя. Для этого выполняем следующие действия.

  1. Открывается консольное приложение «Local Security Politics» или выполняется переход в узел «Security Parameters» консоли «Local Group Politics Editor»;
  2. Переходим в раздел «Local Politics», а потом — в «Security Parameters»;
  3. Двойным нажатием на кнопку мышки открываем «User’s accounts: Rename guest user account»;
  4. В поле ввода прописываем Гостевая запись и нажимаем ОК.
  5. Компьютер нужно перезагрузить. (В Windows XP для этого нужно нажать на Завершение работы и нажать на Restart).

Заново включив комп, проверяем использование Security Policy к вашей ЭВМ. Для этого открывается Control Panel и в окне «User’s Accounts» переходим по ссылке «Другой учётный аккаунт. Управление». В открытом окне можно будет увидеть список всех учётных записей вашей локальной машины, куда входит и переименованный гостевой пользовательский учётный аккаунт.

Применяем Security Policy для компьютеров, подключенных к доменной сети через Windows Сервер 2008 R2

Этот пример показывает последовательность операций для запрета изменения пользовательского пароля для учётной записи Test_ADUser. Напомним, что изменять параметры Security Policy возможно только будучи в группе «Domen’s administrators». Делаем следующее.

Нажимаем на «Start» и в поисковом поле вводим ММС и нажимаем «Enter». Нажимаем на надпись «Console» и выбираем строку «Add or Remove». На экране сразу появится диалоговое окно. В нём нужно выбрать оснастку «Local Group Politics Editor» и там нажать на «Обзор», чтобы выбрать компьютер.

В появившемся окне выбираем нужные компьютеры и нажимаем Done.

  1. В окне «Add or Remove» нажимаем ОК.
  2. Находим открывшуюся консоль «Local Group Politics Editor» и переходим на узел «Computer Configuration» и там открываем узел «Security ParametersLocal Computer/Security Parameters»
  3. Находим параметр «Доменный контроллер: запретить изменения пароля учётных аккаунтов» и нажимаем на него два раза мышкой.
  4. В появившемся окне выбираем «Включить» и нажимаем ОК.
  5. Перезагружаемся.

После включения компьютеров проверяем изменения в Security Policy, перейдя на консоль ММС. В открывшейся консоли добавляем составляющую «Local users and computers» и пробуем поменять пароль своего учётного аккаунта.

Прочитав эту статью, мы разобрались с особенностями методов использования Local Security Policy (на компах с Windows XP, «Семёркой», Windows Сервер 2008). В вышеприведенных примерах показаны иллюстрации c настройками Local Security Policy на компьютерах, которые являются локальными, и компьютерах, которые подключёны к доменной сети.

Настраиваем локальную политику безопасности в Windows 7

Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.

Варианты настройки политики безопасности

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты «Локальная политика безопасности» либо «Редактор локальных групповых политик». Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности».

    Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления».

Далее откройте раздел «Система и безопасности».

Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности».

Также оснастку можно запустить и через окно «Выполнить». Для этого наберите Win+R и введите следующую команду:

Затем щелкните «OK».

Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики». Тогда нужно щелкнуть по элементу с этим наименованием.

В данном каталоге располагается три папки.

В директории «Назначение прав пользователя» определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

Читать еще:  Потокобезопасные коллекции java

Читайте также: Родительский контроль в Windows 7
Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов.

Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.

После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…».

Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить».

  • После завершения манипуляций в окне редактирования политики для сохранения внесенных корректировок не забудьте нажать кнопки «Применить» и «OK», а иначе изменения не вступят в силу.
  • Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики», но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей».

    Способ 2: Использование инструмента «Редактор локальной групповой политики»

    Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики». Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

      В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления». Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку». Наберите Win+R и введите в поле такое выражение:

    Затем щелкните «OK».

    Читайте также: Как исправить ошибку «gpedit.msc не найден» в Windows 7
    Откроется интерфейс оснастки. Перейдите в раздел «Конфигурация компьютера».

    Далее щелкните по папке «Конфигурация Windows».

    Теперь щелкните по элементу «Параметры безопасности».

    Откроется директория с уже знакомыми нам по предыдущему методу папками: «Политики учетных записей», «Локальные политики» и т.д. Все дальнейшие действия проводятся по точно такому же алгоритму, который указан при описании Способа 1, начиная с пункта 5. Единственное отличие состоит в том, что манипуляции будут выполняться в оболочке другого инструмента.

    Настроить локальную политику в Виндовс 7 можно путем использования одной из двух системных оснасток. Порядок действий в них довольно схожий, отличие заключается в алгоритме доступа к открытию данных инструментов. Но изменять указанные настройки рекомендуем только тогда, когда вы полностью уверены, что это нужно сделать для выполнения определенной задачи. Если же таковой нет, эти параметры лучше не корректировать, так как они отрегулированы на оптимальный вариант повседневного использования.

    Отблагодарите автора, поделитесь статьей в социальных сетях.

    Добавляем в WIndows XP Home оснастки: локальная политика безопасности и локальная групповая политика

    Многие, кому приходилось переделывать Windows XP Home в Professional, знают, что данная переделка добавляет только некоторый функционал от более «старшей» версии Windows. Большая часть нужного функционала, который требуется для нормального администрирования и вообще работы этой версии операционной системы на корпоративном рынке, автоматически не появляется.

    Оказывается, что данное «недоразумение» можно решить «малой кровью» (без переустановки операционной системы и использования «крякнутого» cd-key) и сделать это не так сложно, как может показаться на первый взгляд.

    Хотелось бы предупредить, что по лицензионному соглашению Microsoft, все проделанные ниже изменения, являются нарушением и полностью аннулируют вашу лицензия. Правда, не совсем понятно почему эти действия считаются нарушением, так как никакого дезассемблирования или каких-то других «страшных» вещей не проводится. Исходный код также никто не изменяет.

    Ключевой момент, который волнует каждого нормального системного администратора — это последствия, которые вытекают из приведенных ниже действия. По личному опыту общения с «лицензионными проверками» можно сказать, что «копать» так глубоко никто не будет. В российских реалиях искать такие «глубокие» изменения в операционной системе никто не будет, а на «бумаге» у Вас получается полный порядок.

    Добавляем в Windows XP Home оснастку «Локальная политика безопасности»

    Это именно та оснастка, которую должен «на отлично» знать каждый айтишник и системный администратор. В этой mmc-оснастке сосредоточены все параметры, которые отвечают за работу учетных записей этого компьютера в локальной сети.

    Для того, чтобы добавить «Локальную политику безопасности» в Windows XP Home необходимо:

    1. Загрузить с этого сайта архив secpol.zip, либо в ручную найти 2 файла:
      • secpol.msc
      • wsecedit.dll
    2. Помещаем эти 2 файла в директорию C:WindowsSystem32
    3. Регистрируем dll-бибилиотеку в операционной системе cmd-командой:

    После приведенных манипуляций у Вас на компьютере, если набрать в консоли secpol.msc, появится заветная оснастка.

    Если по какой-то причине эта оснастка не работает, то добавьте оснастку «Локальная групповая политика» (GPO), а потом повторите добавление оснастки «Локальная политика безопасности». Возможно некоторые dll-файлы совместно используются.

    Добавляем в Windows XP Home оснастку «Локальная групповая политика» (GPO)

    «Локальная групповая политика» (GPO) — это один из самых необходимых и, наверное, основных инструментов каждого системного администратора.

    Для того, чтобы добавить оснастку «Локальная групповая политика» в Windows XP Home необходимо:

    1. Загрузить с этого сайта архив gpedit.zip, либо в ручную найти эти 7 файлов:
      • gpedit.msc
      • appmgmts.dll
      • appmgr.dll
      • fdeploy.dll
      • fde.dll
      • gpedit.dll
      • gptext.dll
    2. Помещаем загруженные файлы в директорию C:WindowsSystem32
    3. Регистрируем добавленные dll-бибилиотеки в операционной системе cmd-командой:

    После того как произвели регистрацию, можно смело набирать в консоли Windows команду gpedit.msc и настраивать групповые политики.

    В результате этого компьютеры, которые были куплены с операционной системой в редакции Home, могут полноценно работать в корпоративных сетях. Переход на более «современные» версии операционных систем семейства Wondows можно отложить еще на несколько лет.

    Рано или поздно корпоративный рынок России должен будет «ответить» за ту разнузданность и безразличие к лицензированию, которое сложилось за долгую многолетнюю практику. В последнее время я замечаю, все больше и больше предприятий, которые приобретают лицензии на программное обеспечение. Это несомненно очень положительный момент, так как этим самым мы все ближе пододвигаемся к европейским стандартам, но это скорее всего частности, чем понимание проблемы.

    1. ss #
      15 Август, 05:51

    здравствуйте!
    а виндовс 7 басик таким образом можно проапгрейдить, введя после этих манипуляций в домен?
    а то с компами часто покупается лицензионная в7 басик, а сносить её очень жалко…

    ss: здравствуйте!
    а виндовс 7 басик таким образом можно проапгрейдить, введя после этих манипуляций в домен?
    а то с компами часто покупается лицензионная в7 басик, а сносить её очень жалко…

    С этой ОС не сталкивался пока по работе, но вот в течении 2 дней думаю представиться возможность ))

    Как попробую, так сразу отпишусь.

    regsvr32 appmgmts.dll
    пишет зарегистрировать этот файл невозможно. Не может найти точку входа

    остальные dll регистрируються нормально
    win xp hope sp3

    igor: regsvr32 appmgmts.dll
    пишет зарегистрировать этот файл невозможно. Не может найти точку входа
    остальные dll регистрируються нормально
    win xp hope sp3

    С этой ошибкой тоже все работает

    Читать еще:  Исполнявший код безопасности

    Спасибо,а есть способ так же добавить оснастку IIS

    Александр: Спасибо,а есть способ так же добавить оснастку IIS

    Надо посмотреть какие dll-ки используются и докуинуть

    Здравствуйте, спасибо. Как можно удалить из системного файла, если я его не сохранял в чистом виде, указанные вами внесенные изменения, и удалить их из реестра?

    Настройка системы безопасности Windows XP своими руками

    В прошлой части нашей статьи мы подробно рассматривали установку и оптимизацию Windows XP на рабочей станции своими руками. Теперь, когда WinXP настроена и работает без тормозов, пришло время позаботиться об информационной безопасности.

    Настройка системы безопасности Windows XP

    Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. Мы надеемся, что вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы – преобразовать диск в формат NTFS.

    После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа «включить-выключить». Такой интерфейс носит по умолчанию название Простой общий доступ (Simple File Sharing). Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me.

    Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис -> Свойства папки (Tools -> Folder options). Перейдите на вкладку Вид найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended) и снимите его.

    Рис. 11. Свойства папки

    Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность. Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List – ACL).

    При установке и удалении разрешений руководствуйтесь следующими основными принципами:

    Работайте по схеме «сверху-вниз».

    Храните общие файлы данных вместе.

    Работайте с группами везде, где это только возможно.

    Не пользуйтесь особыми разрешениями.

    Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).

    Установка разрешения из командной строки

    Утилита командной строки cacls.exe доступна в Windows XP Professional позволяет просматривать и изменять разрешения файлов и папок. Cacls – сокращение от Control ACLs – управление списками управления доступом.

    Ключи командной строки утилиты cacls

    /T — Смена разрешений доступа к указанным файлам в текущей папке и всех подпапках

    /E — Изменение списка управления доступом (а не полная его замена)

    /C — Продолжить при возникновении ошибки «отказано в доступе»

    /G — пользователь:разрешение Выделение пользователю указанного разрешения. Без ключа

    /E — полностью заменяет текущие разрешения

    /R — пользователь Отменяет права доступа для текущего пользователя (используется только с ключом /E)

    /P — пользователь:разрешение Замена указанных разрешений пользователя

    /D — пользователь Запрещает пользователю доступ к объекту

    С ключами /G и /P нужно использовать одну их перечисленных ниже букв (вместо слова разрешение):

    F (полный доступ) – эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность.

    C (изменить) – тождественно установке флажка Разрешить Изменить (Modify)

    R (чтение) – эквивалентно установке флажка Разрешить Чтение и выполнение (Read & Execute)

    W (запись) – равнозначно установке флажка Разрешить запись (Write)

    Microsoft Windows XP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System — EFS) шифрует файлы на диске. Однако, следует иметь ввиду, что если вы утратите ключ для расшифровки, данные можно считать утерянными. Поэтому если вы решите воспользоваться преимуществанми EFS, необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления. Если вы предпочитаете работать с командной строкой, то можете воспользоваться программой cipher.exe.

    Команда cipher без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). Ниже приведен список наиболее часто используемых ключей команды cipher

    /E — Шифрование указанных папок

    /D — Расшифровка указанных папок

    /S:папка — Операция применяется к папке и всем вложенным подпапкам (но не файлам)

    /A — Операция применяется к указанным файлам и файлам в указанных папках

    /K — Создание нового ключа шифрования для пользователя, запустившего программу. Если этот ключ задан, все остальные игнорируются

    /R — Создание ключа и сертификата агента восстановления файлов. Ключ и сертификат помещаются в файл .CFX, а копия сертификата в файле .CER

    /U — Обновление ключа шифрования пользователя или агента восстановления для всех файлов на всех локальных дисках

    /U /N — Вывод списка всех зашифрованных файлов на локальных дисках без каких-либо других действий

    Устранение проблем с разрешениями

    Агент восстановления данных

    Агентом восстановления данных (Data Recovery Agent) назназначается обычно администратор. Для создания агента восстановления нужно сначала сохдать сертификат восстановления данных, а затем назначить одного из пользователей таким агентом.
    Чтобы создать сертификат нужно сделать следующее:

    Нужно войти в систему под именем Администратор

    Ввести в командной строке cipher /R: имя файла

    Введите пароль для вновь создаваемых файлов

    Файлы сертификата имеют расширение .PFX и .CER и указанное вами имя.

    ВНИМАНИЕ! Эти файлы позволяют любому пользователю системы стать агентом восстановления. Обязательно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.

    Для назначения агента восстановления:

    Войти в систему под учетной записью, которая должна стать агентом восстановления данных

    В консоли Сертификаты перейдите в раздел Сертификаты – Текущий пользователь -> Личные (Current User -> Personal)

    Действие -> Все задачи -> Импорт (Actions -> All Tasks -> Import) для запуска мастера импорта сертификатов

    Проведите импорт сертификата восстановления

    При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы.

    Краткие рекомендации по шифрованию:

    Зашифруйте все папки, в которых вы храните документы

    Зашифруйте папки %Temp% и %Tmp%. Это обеспечит шифрование всех временных файлов

    Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней впоследствии файлы, что оказывается важным при работе с программами, создающими свои копии файлов при редактировании, а затем перезаписывающими копии поверх оригинала

    Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера

    Экспортируйте личные сертификаты шифрования всех учетных записей

    Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.

    При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться

    Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows

    Конструктор шаблонов безопасности

    Шаблоны безопасности являются обыкновенными ASCII – файлами, поэтому теоретически их можно создавать с помощью обыкновенного текстового редактора. Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a в этой консоли выбрать меню File – Add/Remove. В диалоговом окне Add Standalone Snap-in выбрать Security Templates – Add.
    Управление оснасткой

    Читать еще:  Политика безопасности строится на основе

    Шаблоны безопасности расположены в папке %systemroot%securitytemplates. Количество встроенных шаблонов изменяется в зависимости от версии операционной системы и установленных пакетов обновлений.

    Если раскрыть любую папку в Security Templates, то в правой панели будут показаны папки, которые соответствуют контролируемым элементам:

    Account Policies – управление паролями, блокировками и политиками Kerberos

    Local Policies – управление параметрами аудита, пользовательскими правами и настройками безопасности

    Event Log – управление параметрами системного журнала

    Restricted Groups – определение элементов различных локальных групп

    System Services – включение и отключение служб и присвоение права модификации системных служб

    Registry – назначение разрешений на изменение и просмотр разделов реестра

    File System – управление разрешениями NTFS для папок и файлов

    Защита подключения к Интернет

    Для обеспечения безопасности при подключении к Интернет необходимо:

    Активизировать брандмауэр подключения к Интернет (Internet Connection Firewall) или установить брандмауэр третьих фирм

    Отключить Службу доступа к файлам и принтерам сетей Microsoft

    Брандмауэром подключения к Интернет называется программный компонент, блокирующий нежелательный трафик.

    Активация Брандмауэра подключения к Интернет.

    Откройте Панель управления – Сетевые подключения

    Щелкните правой кнопкой мыши на соединении, которое вы хотите защитить и выберите из меню пункт Свойства

    Перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет

    Изложенные выше рекомендации не являются исчерпывающим материалом по настройке безопасности операционной системы Windows XP Professional, однако надеюсь, они смогут помочь вам в этом нелегком процессе.

    Настройка Windows XP SP2 на полную БЕЗОПАСНОСТЬ

    Сначало отключим нежелательные службы:
    Нажмём на клавиатуре (WIN+R) и введём » msconfig » перейдём на закладку Службы. Здесь мы будем отключать ненужные сервисы и службы:
    (Отключайте службы только в том случае если вы не пользуетесь их функциями)

    Сервер папки обмена — дает возможность удаленным пользователям просматривать вашу папку обмена. Отключаем.

    Сервер — обычно компьютер, предоставляющий общие ресурсы пользователям сети. Отключено.

    Модуль поддержки NetBIOS через TCP/IP — обеспечивает работу SMB-протокола. Отключаем.

    Защищенное хранилище — служба, сохраняющая локальные и интернет-пароли. ОТКЛЮЧАЕМ.

    Диспетчер автоподключений удаленного доступа — представьте себе такую ситуацию: вы открываете свежесохраненную страницу, а на ней присутствует баннер, который ссылается на другую страницу, и ваш explorer рьяно хочет подключиться к нету. Представили? Вам оно надо? Отключаем.

    Диспетчер сеанса справки для удаленного рабочего стола — а если возьмут, да и помогут . Отключаем.

    Удаленный реестр — позволяет удаленно управлять вашим реестром. Отключаем.

    Вторичный вход в систему — позволяет запускать специфические процессы с правами другой учетной записи. Отключаем.

    Служба терминалов — дает возможность работать на вашем компьютере удаленному пользователю при помощи утилиты Remote Desktop. Отключено.

    Telnet — Сервер удаленного управления через командную строку. Отключаем.

    Теперь начнём редактировать реестр. Нажмём на клавиатуре (WIN+R) и введём » regedit «

    2 В прошлых версиях Windows 9x сохранение паролей было большой проблемой. Теперь это не так, Windows 2000 и XP защищают эту информацию значительно лучше. Но, опять же, вам решать, позволить операционной системе хранить пароли на диске или нет. Это касается паролей пользователей и сетевых паролей.
    [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork] «DisablePwdCaching»=’1′

    3 Запрашивать пароль при возвращении к работе из режима ожидания
    [HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsSystemPower] «PromptPasswordOnResume»=’1′

    4 Отмена сохранения паролей в Internet Explorer
    Если вы доверяете компании Микрософт в хранении паролей и другой конфиденциальной информации, то можете разрешить Windows хранить пароль доступа в Интернет на диске своего компьютера, но это не очень хорошая идея.
    [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings] «DisablePasswordCaching»=’1′

    5 Запрет доступа для анонимных пользователей
    Анонимный пользователь может получить доступ к списку пользователей и открытых ресурсов, чтобы это запретить, можно воспользоваться этим ключом.
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA] «RestrictAnonymous»=’1′

    6 Данными действиями мы запретим просмотр пользователям с правами Гостя журналов системы

    1 Отключение «Удаленной помощи» (Remote Assistance and Desktop Sharing).
    Для этого жмём Win (слева от левого ALt) + Break или Мой компьютер -> Свойства -> Удалённые сеансы и на одноимённой вкладке снимаем галочки.

    2 Если вы не используете Windows Messenger (большинство людей даже не задумывается об его использовании ), то почему бы ни удалить его вовсе? Каждый раз при загрузке системы Messenger тоже стартует, замедляет при этом процесс загрузки, пожирает системные ресурсы и открывает соответствующий порт (при наличие эксплойта к нему можно взломать Windows). А для того, чтобы его удалить, надо всего лишь один раз в командной строке (Пуск -> Выполнить) напечатать следующее: «RunDll32 advpack.dll,LaunchINFSection %windir%INFmsmsgs.inf,BLC.Remove» и нажать «OK». После этой операции вам будет предложено перезагрузиться. После перезагрузки Messenger у себя на компьютере вы больше не найдете.

    3 Зайди в папку «Администрирование -> Управление компьютером -> Локальные пользователи и группы -> Пользователи» в этом каталоге удаляем все учётные записи кроме Администратора, Гостя, и Твоей. После этого блокируем и запароливаем учётную запись Гостя, и лучше поменять именами Администратора и Гостя.

    4 Зайди в папку Администрирование и открывай иконку с одноименным названием, далее найди там раздел Локальные политик->Политика аудита. Настраивай следующие параметры: Аудит входа в систему (Успех, Отказ) и Аудит изменения политики (Успех, Отказ). Настройка аудит позволит тебе вычислить попытки входа в систему по учетной записи Администратор (она же Гость), что в дальнейшем тебе позволит заранее узнать о наглых посягательств на твою ОСь.

    5 Дальше опять зайди в папку «Администрирование -> Локальная политика безопасности» будем назначать права пользователей. Смело открывай там же «Назначение прав пользователя» и установи следующие параметры: «Восстановление файлов и каталогов» и «Архивирование файлов и каталогов» (там должна присутствовать, только группа Администраторы.), «Доступ к компьютеру из сети» (удаляй всех на фиг, у тебя же машина не сервер какой нибудь =)), «Отказ в доступе к компьютеру из сети» (смело добавляй группу Администраторы и Гостей, это тебе позволит избежать потом многих проблем, да же если у тебя все-таки взломают учтенную запись с правами Администратора, никто не сможет получить доступ к твоему компьютеру удалено.

    6 «Администрирование -> Локальная политика безопасности -> Параметры безопасности» и настраивай следующие параметры:
    «Автоматически отключать сеансы пользователей по истечении разрешенного времени» (ставь Включить),
    «Длительность простоя перед отключением сеанса» (скажем так я у себя на компьютере ставлю 10 минут),
    «Дополнительные ограничения для анонимных подключений» (установи в значение «Нет доступа, без явного разрешения анонимного доступа»),
    «Использовать цифровую подпись со стороны клиента (Всегда)» (Включить), «Использовать цифровую подпись со стороны клиента (по возможности)» (Включить),
    «Использовать цифровую подпись со стороны сервера (Всегда)» (Включить), «Использовать цифровую подпись со стороны сервера (по возможности)» (Включить),
    «Не отображать последнего имени пользователя в диалоге входа» (Включить), «Отключить CTRL+ALT+DEL запрос на вход в систему» (Отключено),
    «Разрешить доступ к дисководам компакт-дисков только локальным пользователям» (включить),
    «Разрешить доступ к НГМД только локальным пользователям» (Включить), «Уровень проверки подлинности LAN Manager» (Посылать ответ только NTLMv2, отказывать LM и NTLM).

    Ссылка на основную публикацию
    Adblock
    detector