Windows 10 Professional
Додаток № 3 (OC Windows 10 Professional)
до Договору про надання доступу до
Інформаційної системи
портового співтовариства
від «___» _______ 201_ року
І Н С Т Р У К Ц І Я
з інсталяції та конфігурування параметрів безпеки ОС
Windows 10 Professional
Рекомендації щодо конфігурування наведені для АРМ типу 1 та 2 за наступними розділами параметрів безпеки ОС:
політика облікових записів;
локальні політики;
журнал подій;
системні служби;
налаштування реєстру;
файлова система;
адміністративні шаблони ОС;
адміністративні шаблони користувача;
політика обмеженого використання програм.
Налаштування параметрів виконується шляхом редагування об’єктів групових політик та шаблонів безпеки за допомогою відповідних засобів ОС Windows, в тому числі:
редактора „Локальна політика безпеки” – для редагування локального об’єкта групової політики Windows 10 Professional (gpedit.msc);
редактора «Управление групповой политикой» - для редагування групових політик в централізованій базі даних Active Directory домену Windows Server 2012;
консолі керування Майкрософт (Microsoft Management Console).
Для редагування локальної політики безпеки, шляхом імпорту шаблону безпеки, необхідно в командному рядку набрати MMC для запуску консолі керування; після чого створити шаблон безпеки типу *.inf (Файл - Добавить или удалить оснастку - Шаблон безопасности - Добавить – ОК), провести налаштування згідно 3.1-3.3, 3.5-3.6 та здійснити імпорт політики.
Переконатися у правильності налаштувань згідно 3.1-3.3, 3.5-3.6 за допомогою редактора «Локальна політика безпеки», для чого в командному рядку набрати ММС, (файл - добавить или удалить оснастку - обираємо редактор объекта групповой политики – добавить – ОК). Налаштування згідно пункту 3.4 виконуються після імпорту шаблону.
Політика облікових записів містить параметри безпеки для паролів і блокування облікових записів.
Параметри політики паролів служать для визначення рівня складності і тривалості використання паролів.
Відповідні параметри налаштовуються за допомогою редактора політики:
Политика локальный компьютер \
конфигурация компьютера \ Конфигурация Windows \
Параметры безопасности \ Политики учетных записей \ Политика паролей
Рекомендовані параметри наведені в табл. 1.
Таблиця 1
№ п/п |
Назва параметра |
АРМ тип 1 |
АРМ тип 2 |
1 |
Вести журнал паролей (Enforce password history) |
12 хранимых паролей (12 passwords remembered) |
|
2 |
Максимальный срок действия пароля (Maximum password age) |
120 день (120 days) |
|
3 |
Минимальный срок действия пароля (Minimum password age) |
90 дней (90 days) |
|
4 |
Минимальная длина пароля (Minimum password lengths) 1 |
8 |
|
5 |
Пароль должен отвечать требованиям сложности (Password must meet complexity requirements) |
Включен (Enabled)
|
|
6 |
Хранить пароли, используя обратимое шифрование (Store password using reversible encryption) |
Отключен (Disabled) |
|
Політика блокування облікового запису використовується для блокування облікового запису, якщо протягом заданого проміжку часу реєструється визначена кількість невдалих спроб входу до системи. Кількість спроб і інтервал часу встановлюються за допомогою параметрів політики облікового запису.
Відповідні параметри налаштовуються за допомогою редактора політики:
Политика локальный компьютер \ Конфигурация компьютера \
Конфигурация Windows \ Параметры безопасности \
Политики учетных записей \ Политика блокировки учетной записи
Рекомендовані параметри наведені в табл. 2.
Таблиця 2
№ п/п |
Назва параметра |
АРМ тип 1 |
АРМ тип 2 |
1 |
Время до сброса блокировки (Account lockout duration) |
30 минут (30 minutes) |
|
2 |
Пороговое значение блокировки (Account lockout duration)2 |
5 ошибок входа в систему (5 invalid logon attempts) |
|
3 |
Продолжительность блокировки учетной записи (Reset account lockout counter after) |
30 минут (30 minutes) |
|
Відповідні параметри налаштовуються за допомогою редактора політики:
Политика локальный компьютер \ Конфигурация компьютера \
Конфигурация Windows \ Параметры безопасности \
Политики учетных записей \ Политика Kerberos
Рекомендовані параметри наведені в табл. 3.
Таблиця 3
№ п/п |
Назва параметра |
АРМ тип 1 |
АРМ тип 2 |
1 |
Максимальная погрешность синхронизации часов компьютера |
5 минут |
|
2 |
Максимальный срок жизни билета пользователя |
10 часов |
|
3 |
Максимальный срок жизни билета службы |
600 минут |
|
4 |
Максимальный срок жизни для возобновления билета пользователя |
7 дней |
|
5 |
Принудительные ограничения входа пользователей |
Включен |
|
До параметрів локальної політики відносять політику аудита, призначення прав користувачів та параметри безпеки.
За допомогою політики аудита визначаються події безпеки, які заносяться в журнал реєстрації. Адміністратор отримує можливість слідкувати за діями, які мають відношення до безпеки, наприклад доступом до об’єктів, входом (виходом) з системи.
Відповідні параметри налаштовуються за допомогою редактора політики:
Политика локальный компьютер \ Конфигурация компьютера \
Конфигурация Windows \ Параметры безопасности \
Локальные политики \ Политика аудита
Рекомендовані параметри наведені в табл. 4.
Таблиця 4
№ п/п |
Назва Параметра |
АРМ тип 1 |
АРМ тип 2 |
1 |
Аудит входа в систему (Audit account logon events) |
Успех, Отказ (Success, Failure) |
|
2 |
Аудит управления учетными записями (Audit account management) |
Успех, Отказ (Success, Failure) |
|
3 |
Аудит доступа к службе каталогов (Audit directory service access) |
Успех, Отказ (Success, Failure) |
|
4 |
Аудит событий входа в систему (Audit logon events) |
Успех, Отказ (Success, Failure) |
|
5 |
Аудит доступа к объектам (Audit object access) |
Успех, Отказ (Success, Failure) |
|
6 |
Аудит изменения политики (Audit policy change) |
Успех, Отказ (Success, Failure) |
|
7 |
Аудит использования привилегий (Audit privilege use) |
Успех, Отказ (Success, Failure) |
|
8 |
Аудит отслеживания процессов (Audit process traking) |
Успех, Отказ (Success, Failure) |
|
9 |
Аудит системных событий (Audit system events) |
Успех, Отказ (Success, Failure) |
|
Параметри призначення прав користувачів дозволяють призначати привілеї користувачам і групам.
Відповідні параметри налаштовуються за допомогою редактора політики:
Политика локальный компьютер \ Конфигурация компьютера \
Конфигурация Windows \ Параметры безопасности \
Локальные политики \ Назначение прав пользователей
При налаштуванні параметрів безпеки локального об’єкта групової політики комп’ютера, який не є членом домену, значення „Не определено” (Not defined) і „Никто” (No One) не відрізняються та визначають, що ніякому користувачу не надаються відповідні привілеї. Обидва значення задаються в редакторі „Локальна політика безпеки” шляхом видалення всіх користувачів зі списку відповідного параметра.
При налаштуванні параметрів безпеки об’єктів групової політики Active Directory домену ці значення мають наступний сенс:
„Не определено” (Not defined) – визначає, що при формуванні результуючої політики, даний об’єкт групової політики не впливає на відповідний параметр політики. Це значення налаштовується шляхом деактивування відповідного параметра інтерфейсу редактора групової політики Active Directory;
„Никто” (No One) – визначає, що при формуванні результуючої політики, даний об’єкт групової політики перекриває значення відповідного параметра попередніх об’єктів шляхом очищення списку користувачів та груп користувачів. Це значення налаштовується шляхом активування параметра без внесення в список користувачів, яким надаються відповідні привілеї, жодного з користувачів або груп користувачів.
Рекомендовані параметри наведені в табл. 5.
Таблиця 5
№ п/п |
Назва параметра |
АРМ тип 1 |
АРМ тип 2 |
|
|
Архивирование файлов и каталогов (Back up files and directories) |
Администраторы (Administrators) |
|
|
|
Блокировка страниц в памяти (Lock pages in memory) |
Никто (None) |
|
|
|
Восстановление файлов и каталогов (Restore files and directories) |
Администраторы (Administrators) |
|
|
|
Вход в качестве пакетного задания (Log on as a batch job) |
Никто (None) |
|
|
|
Вход в качестве службы (Log on as a service) |
Никто (None)
|
|
|
|
Выполнение задач по обслуживанию томов (Perform volume maintenance tasks) |
Администраторы (Administrators) |
|
|
|
Добавление рабочих станций к домену (Add workstations to domain) |
Никто (No One) |
Администраторы (Administrators) |
|
|
Доступ к диспетчеру учетных данных от имени доверенного вызывающего (Access credential Manager as a trusted caller) |
Никто (No One) |
|
|
|
Доступ к компьютеру из сети (Access this computer from the network) |
Никто (No One) |
Администраторы (Administrators), |
|
|
Завершение работы системы (Shut down the system) |
Администраторы, Пользователи (Administrators, Users) |
|
|
|
Загрузка и выгрузка драйверов устройств (Load and unload device drivers) |
Администраторы (Administrators) |
|
|
|
Замена маркера уровня процесса (Replace a process level token) |
LOCAL SERVICE
|
LOCAL SERVICE, NETWORK SERVICE |
|
|
Запретить вход в систему через службу терминалов (Deny logon through Terminal Services) |
Все, АНОНИМНЫЙ ВХОД (Everyone, ANONYOMUS LOGON) |
Гости, АНОНИМНЫЙ ВХОД (Guests, ANONYOMUS LOGON) |
|
|
Запретить локальный вход (Deny log on locally) |
Гости, АНОНИМНЫЙ ВХОД (Guests, ANONYOMUS LOGON) |
|
|
|
Изменение метки обьекта (Modify an object label) |
Никто (No One) |
|
|
|
Изменение параметров среды изготовителя (Modify firmware environment values) |
Администраторы (Administrators) |
|
|
|
Изменение системного времени (Change the system time) |
Администраторы (Administrators) |
Администраторы, LOCAL SERVICE (Administrators) |
|
|
Изменение часового пояса (Change the time zone) |
Администраторы (Administrators) |
Администраторы, LOCAL SERVICE (Administrators) |
|
Имитация клиента после проверки подлинности (Impersonate a client after authentication) |
Администраторы, СЛУЖБА, LOCAL SERVICE, NETWORK SERVICE (Administrators, SERVICE) |
|
|
|
Локальный вход в систему (Allow log on locally) |
Администраторы, Пользователи (Administrators, Users) |
|
|
|
Настройка квот памяти для процесса (Adjust memory quotas to a process) |
Администраторы (Administrators), LOCAL SERVICE |
Администраторы, СЛУЖБА (Administrators), LOCAL SERVICE, NETWORK SERVICE |
|
|
Обход перекрестной проверки (Bypass traverse checking) |
Прошедшие проверку, LOCAL SERVICE |
Прошедшие проверку, LOCAL SERVICE, NETWORK SERVICE |
|
|
Отказ в доступе к компьютеру из сети (Deny access to this computer from the network) |
Все, АНОНИМНЫЙ ВХОД (Everyone, ANONYOMUS LOGON) |
Гости, АНОНИМНЫЙ ВХОД (Guests, ANONYOMUS LOGON) |
|
|
Отказ во входе в качестве пакетного задания (Deny logon as a batch job) |
Гости, АНОНИМНЫЙ ВХОД (Guests, ANONYOMUS LOGON) |
|
|
|
Отказ во входе в качестве службы (Deny log on as a service) |
Не определено ( No defined) |
|
|
|
Отключение компьютера от стыковочного узла (Remove computer from docking station) |
Не определено (Not defined) |
Администраторы (Administrators) |
|
|
Отладка программ (Debug programs) |
Никто (No оne) |
|
|
|
Принудительное удаленное завершение работы (Force shutdown from a remote system) |
Никто (No One) |
Администраторы (Administrators) |
|
|
Профилирование одного процесса (Profile single process) |
Администраторы (Administrators) |
|
|
|
Профилирование производительности системы (Profile system performance) |
Администраторы (Administrators) |
|
|
|
Работа в режиме операционной системы (Act as part of the operating system) |
Никто (No One) |
|
|
|
Разрешать вход в систему через службу удаленных рабочих столов (Allow logon through Remote Desktop Services) |
Не определено (Not defined) |
Администраторы, (Administrators) |
|
|
Разрешения доверия к учетным записям при делегировании (Enable computer and user accounts to be trusted for delegation) |
Не определено (Not defined) |
|
|
|
Синхронизация данных службы каталогов (Synchronize directory service data) |
Никто (No One) |
|
|
|
Смена владельцев файлов и других объектов (Take ownership of files or other objects) |
Администраторы (Administrators) |
|
|
|
Создание аудитов безопасности (Generate security audits) |
LOCAL SERVICE
|
LOCAL SERVICE, NETWORK SERVICE |
|
|
Создание глобальных объектов (Create global objects) |
Администраторы (Administrators), LOCAL SERVICE
|
Администраторы (Administrators), LOCAL SERVICE, NETWORK SERVICE
|
|
|
Создание маркерного объекта (Create a token object) |
Никто (Nо one) |
|
|
|
Создание постоянных общих объектов (Create permanent shared objects) |
Никто (Nо one) |
|
|
|
Создание символических ссылок (Create symbolic links) |
Никто (Nо one) |
|
|
|
Создание файла подкачки (Create a pagefile) |
Администраторы (Administrators) |
|
|
|
Увеличение приоритета выполнения (Increase scheduling priority) |
Администраторы (Administrators) |
|
|
|
Увеличение рабочего набора процесса (Increase a process working set) |
Администраторы, LOCAL SERVICE (Administrators) |
|
|
|
Управление аудитом и журналом безопасности (Manage auditing and security log) |
Администраторы (Administrators) |
|
3.2.3 Параметри безпеки (Параметры безопасности)
Параметри безпеки дозволяють задіяти або відмінити ряд функцій наприклад, цифровий підпис даних, ім’я облікових записів адміністратора і гостя, доступ к пристроям читання компакт-дисків, установку драйверів, повідомлення при вході в систему і та ін.
Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною адресою:
Конфигурация компьютера \ Конфигурация Windows \
Параметры безопасности \ Локальные политики\ Параметры безопасности
Нижче наведені (табл. 6) основні рекомендовані значення параметрів безпеки ОС. Всі інші параметри безпеки встановлюються в залежності від прийнятої політики безпеки в інформаційно-телекомунікаційній системі. В той же час рекомендовані значення параметрів безпеки ОС також можуть відрізнятись від нижчезазначених у випадку необхідності їх зміни прийнятою політикою безпеки в інформаційно-телекомунікаційній системі.
Таблиця 6
№ п/п |
Назва параметра |
АРМ тип 1 |
АРМ тип 2 |
||
|
|
Учетные записи: состояние учетной записи «Администратор» (Accounts: Administrator account status) |
Отключен (Disabled)
|
|||
|
|
Учетные записи: состояние учетной записи «Гость» (Accounts: Guest account status) |
Отключен (Disabled) |
|||
|
|
Учетные записи: разрешить использование пустых паролей только при консольном входе (Accounts: Limit local account use of blank passwords to console logon only)
|
Включен (Enabled) |
|||
|
|
Учетные записи: Переименование учетной записи администратора (Accounts: Rename administrator account) |
Рекомендуется3 (Recommend) |
|||
|
|
Учетные записи: Переименование учетной записи гостя (Accounts: Rename guest account) |
Рекомендуется4 (Recommend) |
|||
|
|
Аудит: Аудит доступа глобальных системных объектов (Audit: Audit the access of global system objects) |
Отключен (Disabled) |
|||
|
|
Аудит: Аудит использования привилегий на архивацию и восстановление (Audit: Audit the use of Backup and Restore privelege) |
Отключен (Disabled) |
|||
|
|
Аудит: Немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности (Audit: Shut down system immediately if unable to log security audits) |
Включен (Enabled) |
|||
|
|
Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Audit: Force audit policy subcategory settings to override audit policy category settings) |
Включен (Enabled) |
|||
|
|
Устройства: Разрешить форматирование и извлечение съемных носителей (Devices: Allowed format and eject removable media) |
Администраторы (Administrators) |
|||
|
|
Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям (Devices: Restrict CD-ROM access to locally logged-on user only)5 |
Отключен (Disabled) |
|||
|
|
Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям (Devices: Restrict floppy access to locally logged-on user only) |
Отключен (Disabled) |
|||
|
|
Устройства: запретить пользователям установку драйверов принтера (Devices: Prevent users from installing printer drivers) |
Включен (Enabled) |
|||
|
|
Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию (Domain controller: Allow server operators to schedule tasks) |
Отключен (Disabled) |
|||
|
|
Контроллер домена: Требование цифровой подписи для LDAP сервера (Domain controller: LDAP server signing requirements) |
Нет
|
|||
|
|
Контроллер домена: Запретить изменение пароля учетных записей компьютера (Domain controller: Refuse machine account password changes) |
Отключен (Disabled) |
|||
|
|
Член домена: Всегда требуется цифровая подпись или шифрование потока данных безопасного канала (Domain member: Digitaly encrypt or sign secure channel data (always)) |
Отключен (Disabled) |
Включен (Enabled) |
||
|
|
Член домена: Шифрование данных безопасного канала, когда это возможно (Domain member: Digitally encrypt secure channel data (when possible)) |
Отключен (Disabled) |
Включен (Enabled) |
||
|
|
Член домена: Максимальный срок действия пароля учетных записей компьютера (Domain member: Maximum machine account password age) |
Не определено (Not defined)
|
120 дней (120 days) |
||
|
|
Член домена: Цифровая подпись данных безопасного канала, когда это возможно (Domain member: Digitally sign secure channel data (when possible)) |
Отключен (Disabled) |
|
||
|
|
Член домена: Отключить изменение пароля учетных записей компьютера (Domain member: Disable machine account password changes) |
Отключен (Disabled)
|
Включен (Enabled) |
||
|
|
Член домена: требовать стойкий ключа сеанса (Windows 2000 или выше) (Domain member: Require strong (Windows 2000 or later) session key) |
Отключен (Disabled) |
Включен (Enabled) |
||
|
|
Интерактивный вход в систему: Не отображать последнее имя пользователя (Interactive logon: Do not display last user name) |
Включен (Enabled) |
|||
|
|
Интерактивный вход в систему: Не требовать нажатия CTRL+ALT+DEL (Interactive logon: Do not require CTRL+ALT+DEL) |
Отключен (Disabled) |
|||
|
|
Интерактивный вход в систему: Текст сообщения для пользователей при входе в систему (Interactive logon: Message text for users attempting to log on) |
Вхід тільки для авторизованих користувачів. Особи, які здійснюють спроби несанкціонованого доступу, порушують законодавство України |
|||
|
|
Интерактивный вход в систему: Заголовок сообщения для пользователей при входе в систему (Interactive logon: Message title for users attempting to log on) |
ПРОДОВЖЕННЯ СПРОБ БЕЗ НАЛЕЖНОЇ АВТОРИЗАЦІЇ Є ЗЛОЧИНОМ |
|||
|
|
Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) (Interactive logon: Number of previous logons to cache (in case domain controller is not available)) |
0 |
|||
|
|
Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее (Interactive logon: Prompt user to change password before expiration) |
5 дней (5 days) |
|||
|
|
Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера (Interactive logon: Require Domain controller authentication to unlock workstation) |
Отключен (Disabled) |
Включен (Enabled) |
||
|
|
Интерактивный вход в систему: требовать смарт-карту (Interactive logon: Smart card removal behavior)6 |
Отключен (Disabled) |
|||
|
|
Интерактивный вход в систему: поведение при извлечении смарт карты (Interactive Logon: Smart card removal behavior) |
Блокировка робочей станции |
|||
|
|
Интерактивный вход в систему: отображать сведения о пользователе если сеанс заблокирован (Interactive Logon: Display user name when workstation locked) |
Не отображать сведения о пользователе |
|||
|
|
Клиент сети Microsoft: использовать цифровую подпись (всегда) (Microsoft network client: Digitally sign communications (always)) |
Отключен (Disabled) |
Включен (Enabled) |
||
|
|
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) (Microsoft network client: Digitally sign communications (if server agrees)) |
Отключен (Disabled) |
Включен (Enabled) |
||
|
|
Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам (Microsoft network client: Send unencrypted password to third-party SMB servers) |
Отключен (Disabled)
|
|||
|
|
Сервер сети Microsoft: Время бездействия до приостановки сеанса (Microsoft network server: Amount of idle time required before suspending session) |
10 минут (10 minutes)
|
|||
|
|
Сервер сети Microsoft: Использовать цифровую подпись (всегда) (Microsoft network server: Digitally sign communications(always)) |
Отключен (Disabled) |
Включен (Enabled) |
||
|
|
Сервер сети Microsoft: Использовать цифровую подпись (с согласия клиента) (Microsoft network server: Digitally sign communications (if client agrees)) |
Отключен (Disabled) |
Включен (Enabled) |
||
|
|
Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа (Microsoft network server: Xxxxxxxxxx xxxxxxx when logon hours expire ) |
Отключен (Disabled) |
Включен (Enabled) |
||
|
|
Доступ к сети: Разрешить трансляцию анонимного SID в имя (Network access: Allow anonymous SID/Name translation) |
Отключен (Disabled)
|
|||
|
|
Сетевой доступ: Не разрешать перечисление учетных записей SAM анонимными пользователями (Network access: Do not allow anonymous enumeration of SAM accounts) |
Включен (Enabled)
|
|||
|
|
Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями (Network access: Do not allow anonymous enumeration of SAM accounts and shares) |
Включен (Enabled)
|
|||
|
|
Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности |
Отключен (Disabled) |
Включен (Enabled) |
||
|
|
Сетевой доступ: Разрешать применение разрешений «Для всех» к анонимным пользователям (Network access: Let Everyone permissions apply to anonymous users) |
Отключен (Disabled)
|
|||
|
|
Сетевой доступ: Разрешать анонимный доступ к именованным каналам (Network access: Named Pipes that can be accessed anonymously) |
Не определено (Not defined)
|
Ни для кого (No one) |
||
|
|
Сетевой доступ: Разрешать анонимный доступ к общим ресурсам (Network access: (Shares that can be accessed anonymously) |
Не определено (Not defined)
|
Ни для кого (No one) |
||
|
|
Сетевой доступ: удаленно доступные пути реестра (Network access: Remotely accessible registry paths) |
Не определено (Not defined)
|
System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
||
|
|
Сетевой доступ: удаленно доступные пути и вложенные пути реестра (Network access: Remotely accessible registry paths and sub-paths) |
Не определено (Not defined)
|
Software\Microsoft\ Windows NT\ CurrentVersion\Print Software\Microsoft\ Windows NT\ CurrentVersion\ Windows System\Current ControlSet\Control\ Print\Printers System\Current ControlSet\Services\ Eventlog Software\Microsoft\ OLAP Server System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog |
||
|
|
Сетевой доступ: Модель совместного доступа и безопасности для локальных учетных записей (Network access: Sharing and security model for local accounts) |
Не определено (Not defined)
|
Обычная – локальные пользователи удостоверяются как они сами (Classic – local users authenticate as themselves) |
||
|
|
Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам (Network access: Restrict anonymous access to Named Pipes and Shares) |
Включен (Enabled)
|
|||
|
|
Сетевая безопасность: не хранить хеш - значений LAN Manager при следующей смене пароля (Network security: do not store LAN Manager hash value on next password change ) |
Отключен (Disabled)
|
Включен (Enabled) |
||
|
|
Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы (Network security: Force logoff when logon hours expire) |
Включен (Enabled) |
|||
|
|
Сетевая безопасность: уровень проверки подлинности LAN Manager (Network security: LAN Manager authentication level ) |
Не определено (Not defined)
|
NTLMv2 ответ, отказывать LM и NTLM (Send NTLMv2 response only\refuse LM and NTLM) |
||
|
|
Сетевая безопасность: Требование цифровой подписи для LDAP клиента (Network security: LDAP client signing requirements) |
Xxx |
Xxxxxxxxxxxx цифровой подписи (Require signature) |
||
|
|
Сетевая безопасность: Минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасность RPC) (Network security: Minimum session security for NTLM SSP based (including secure RPC) clients) |
Не определено (Not defined)
|
Требовать сеансовую безопасность NTLMv2, Требовать 128-битное шифрование (Require NTLMv2 session security, Require 128 bit Encryption) |
||
|
|
Сетевая безопасность: Минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасность RPC) (Network security: Minimum session security for NTLM SSP based (including secure RPC)servers) |
Не определено (Not defined)
|
Требовать сеансовую безопасность NTLMv2, Требовать 128-битное шифрование ( Require NTLMv2 session security, Require 128 bit Encryption) |
||
|
|
Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos |
Не определено (Not defined)
|
RC4_HMAC_MD5 AES128_HMAC_SHA1 AES256_HMAC_SHA1 Будущие типы шифрования |
||
|
|
Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру |
Не определено (Not defined) |
Отключен (Disabled) |
||
|
|
Консоль восстановления: Разрешить Автоматический вход администратора (Recovery console: Allow automatic administrative logon) |
Отключен (Disabled) |
|||
|
|
Консоль восстановления: Разрешить копирование дискет и доступ ко всем дискам и папкам Администратора (Recovery console: Allow floppy copy and access to all drives and all folders ) |
Отключен (Disabled) |
|||
|
|
Завершение работы: разрешить завершение работы системы без выполнения входа в систему (Shutdown: Allow system to be shutdown without having to log on) |
Отключен (Disabled) |
|||
|
|
Завершение работы: Очистка файла подкачки виртуальной памяти (Shutdown: Clear virtual memory pagefile) |
Включен (Enabled) |
|||
|
|
Системная криптография: Использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания (System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing) |
Отключен (Disabled) |
|||
|
|
Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере (System cryptography: Force strong key protection for user keys stored on the computer) |
Пользователь должен вводить пароль при каждом использовании ключа. |
|||
|
|
Системные объекты: учитывать регистр для подсистем, отличных от Windows (System objects: Require case insensitivity for non-Windows subsystems) |
Включен (Enabled) |
|||
|
|
Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (System objects: Strengthen default permissions of internal system objects (for example, Symbolic Links)) |
Включен (Enabled) |
|||
|
|
Контроль учетных записей: все администраторы работают в режиме одобрения администратором (User Account Control: Run all administrators in Admin Approval Mode) |
Включен (Enabled) |
|||
|
|
Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав (User Account Control: Detect application installations and prompt for elevation) |
Включен (Enabled) |
|||
|
|
Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав (User Account Control: Switch to the secure desktop when prompting for elevation) |
Отключен (Disabled) |
|||
|
|
Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором (User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode) |
Запрос учетных данных |
|||
|
|
Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей (User Account Control: Behavior of the elevation prompt for standard users) |
Запрос учетных данных
|
|||
|
|
Контроль учетных записей: повышать права для UIAccess-приложений только при установке в безопасных местах ( User Account Control: Only elevate UIAccess applications that are installed in secure locations) |
Включен (Enabled) |
|||
|
|
Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов (User Account Control: Only elevate executables that are signed and validated) |
Отключен (Disabled) |
|||
|
|
Контроль учетных записей: при сбоях записи в файл или реестр виртуализация в место размещения пользователя (User Account Control: Virtualize file and registry write failures to per-user locations) |
Включен (Enabled) |
|||
|
|
Контроль учетных записей: разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол (User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop) |
Отключен (Disabled) |
|||
|
|
Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора (User Account Control: Admin Approval Mode for the Built-in Administrator account) |
Отключен (Disabled) |
|||
|
|
Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ (System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies) |
Отключен (Disabled) |
|||
|
|
Сетевой сервер (Майкрософт): уровень проверки сервером имени участника-службы конечного объекта |
Не определено (Not defined)
|
Принимать, если предоставлено клиентом |
||
3.3 Журнал подій (Журнал событий)
Параметри журналу подій використовуються для організації запису системних подій. В контейнері “Журнал событий” групової політики задаються атрибути журналів, пов’язаних з застосуваннями, безпекою і системними подіями, такі як максимальний розмір журналу, права доступу до кожного журналу, а також тривалість та способи збереження.
3.3.1 Параметри безпеки журналу подій (Параметры безопасности журнала событий)
Відповідні параметри налаштовуються за допомогою редактора політики виключно через консолі керування Майкрософт (MMC) після здійснення додавання оснастки шаблонів безпеки (Файл - Добавить или удалить оснастку - Шаблон безопасности - Добавить – ОК) за зазначеною адресою:
Шаблоны безопасности \ <диск>:\<путь к шаблону> \ <имя шаблона> \ Журнал событий
Рекомендовані параметри наведені в табл. 7.
Таблиця 7
№ п/п |
Назва параметра |
АРМ тип 1 |
АРМ тип 2 |
|
1 |
Запретить доступ локальной группы гостей к журналу приложений (Prevent local guests group from accessing application log) |
Включен (Enabled)
|
||
2 |
Запретить доступ локальной группы гостей к журналу безопасности (Prevent local guests group from accessing security log) |
Включен (Enabled) |
||
3 |
Запретить доступ локальной группы гостей к системному журналу (Prevent local guests group from accessing system log) |
Включен (Enabled) |
||
4 |
Максимальный размер журнала приложений (Maximum application log size) |
50 000 Кбайт 50 000 KB
|
||
5 |
Максимальный размер журнала безопасности (Maximum security log size) |
102 400 Кбайт 102 400 KB |
307 200 Кбайт 307 200 KB |
|
6 |
Максимальный размер системного журнала (Maximum system log size) |
307 200 Кбайт 307 200 KB |
||
7 |
Метод сохранения событий в журнале приложений (Retention method for application log) |
Затирать старые события по необходимости (As Needed)
|
||
8 |
Метод сохранения событий в журнале безопасности (Retention method for security log) |
Затирать старые события по необходимости (As Needed)
|
||
9 |
Метод сохранения событий в системном журнале (Retention method for system log) |
Затирать старые события по необходимости (As Needed)
|
||
10 |
Сохранять события в журнале приложений (дней) (Retention method for application log) |
Не определено (Not defined)
|
||
11 |
Сохранять события в журнале безопасности (дней) (Retention method for security log) |
Не определено (Not defined)
|
||
12 |
Сохранять события в системном журнале (дней) (Retention method for system log)1 |
Не определено (Not defined)
|
||
Політика обмеженого використання програм дозволяє адміністратору визначити програми, які можуть бути запущені на локальному комп’ютері. Політика захищає комп’ютери під керуванням ОС Windows 10 від відомих конфліктів та запобігає запуску небажаних програм, вірусів і „троянських коней”.
Доступ до налаштувань Політики обмеженого використання програм здійснюється за допомогою редактора політики виключно через консоль керування Майкрософт (MMC) шляхом додавання оснастки: Политика «Локальный компьютер» або із використанням редактора „Локальна політика безпеки” за адресою:
Конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности\ Политика ограниченного использования программ
Для визначення Політики обмеженого використання програм необхідно створити політику через меню:
Действие -> Cоздать политикку ограниченного использования программ
Адміністратор спочатку визначає набір програм, які дозволяється запускати на клієнтських комп'ютерах, а потім встановлює обмеження, які будуть застосовуватися політикою до клієнтських комп'ютерів.
Політика обмеженого використання програм в початковому вигляді складається із заданого за умовчанням рівня безпеки для необмежених або заборонених параметрів і правил, визначених для об'єкта групової політики. Політика може застосовуватися в домені для локальних комп'ютерів або користувачів.
Політики обмеженого використання програм застосовуються для виконання наступних дій:
визначення програм, дозволених для запуску на клієнтських комп’ютерах;
обмеження доступу користувачів до конкретних файлів на комп’ютерах, які мають декілька користувачів;
визначення кола користувачів, які мають дозвіл додавати до клієнтських комп’ютерів довірених видавців;
визначення впливу політики на усіх користувачів або тільки користувачів на клієнтських комп’ютерах;
заборона запуску виконавчих файлів на локальному комп’ютері, в підрозділі, вузлі або домені.
Політика обмеженого використання програм містить два компонента:
заданого за умовчанням правила;
списку виключень для цього правила.
Для правила за умовчанням можна встановити значення “Неограниченный” або “Запрещенный”. Установка для правила значення “Неограниченный” дозволяє адміністратору визначити виключення або набір програм, які заборонено запускати. Більш безпечний підхід - встановити значення “Запрещенный”, а потім визначити набір програм, які дозволяється запускати.
Політика обмеженого використання програм визначає програму у відповідності до одного з чотирьох правил:
правило для хеша – використовується криптографічний відбиток файлу, що виконується (.exe);
правило для сертифікату – використовується сертифікат з цифровим підписом видавця програмного забезпечення для файлу .exe;
правило для шляху – використовується шлях до файлу .exe: локальний шлях, шлях, який відповідає угоді про універсальне найменування або шлях в реєстрі;
правило для зони – використовується зона Інтернету, з якої надійшов файл (якщо файл був завантажений за допомогою Internet Explorer).
Правило для шляху вказує папку або повністю визначений шлях до програми.
Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною адресою:
Конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности\ Политика ограниченного использования программ\ Дополнительные правила
Таблиця 8
№ п/п |
Правило для шляху |
Параметр |
1 |
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% |
Неограниченный (Unrestricted) |
2 |
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\*.exe |
Неограниченный (Unrestricted) |
3 |
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\*.exe |
Неограниченный (Unrestricted) |
4 |
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProgramFilesDir% |
Неограниченный (Unrestricted) |
5 |
*.lnk |
Неограниченный (Unrestricted) |
6 |
*.vbs |
Запрещенный (Disallowed) |
7 |
Logon.bat or Logon script |
Неограниченный (Unrestricted) |
8 |
*\Program Files |
Неограниченный (Unrestricted) |
9 |
* |
Запрещено (Denied) |
3.4.2 Обмеження для файлів та користувачів
Відповідні параметри налаштовуються властивості: Применение за допомогою редактора політики за зазначеною адресою:
Конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности\ Политика ограниченного использования программ
Таблиця 9
№ п/п |
Параметр обмеження |
Рекомендація |
1 |
Применить политики ограниченного использования: (Apply software restriction policies to the following:) |
Ко всем файлам, за исключением библиотек (таких как DLL) (All software files except DLLs) |
2 |
Применить политики ограниченного использования: (Apply software restriction policies to the following users:) |
Ко всем пользователям, кроме локальных администраторов (All users except local administrators) |
3 |
Игнорировать правила сертификатов |
Включено |
Відповідні параметри налаштовуються властивості: Назначенные типы файлов за допомогою редактора політики за зазначеною адресою:
Конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности\ Политика ограниченного использования программ
Таблиця 10
№ п/п |
Призначений тип файлу |
Рекомендація |
1 |
Свойства назначенных типов файлов (Designated file types properties) |
Удалить .mdb и lnk. и добавить .ocx. (Remove .mdb and .lnk file types and add .ocx.) |
Відповідні параметри налаштовуються властивості: Доверенные издатели за допомогою редактора політики за зазначеною адресою:
Конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности\ Политика ограниченного использования программ
Таблиця 11
№ п/п |
Довірений видавець |
Рекомендація |
1 |
Разрешать следующим группам пользователей выбирать доверенных издателей: (Allow the following user groups to select trusted publishers:) |
Администраторам локального компьютера (Local Computer Administrators)
|
2 |
Определите, не отозван ли этот сертификат. (Determine if the certificate is revoked.) |
Выбрать параметр ‘Издатель’. (Select the ‘Publisher‘ option.) |
Відповідні параметри налаштовуються за допомогою редактора політики за адресами:
Локальный компьютер\ Административные шаблоны\Компоненты Windows\NetMeeting
Таблиця 12
№ п/п |
Назва параметра |
Значення |
1 |
Запретить удалённое управление рабочим столом |
Включено |
Локальный компьютер\ \Административные шаблоны\Компоненты Windows\OneDrive
Таблиця 13
№ п/п |
Назва параметра |
Значення |
1 |
Запретить использование One Drive для хранения файлов |
Включено |
Локальный компьютер\ \Административные шаблоны\Компоненты Windows\Windows Media Center
Таблиця 14
№ п/п |
Назва параметра |
Значення |
1 |
Не запускать Windows Media Center |
Включено |
Локальный компьютер \Административные шаблоны\Компоненты Windows\Windows Messenger
Таблиця 15
№ п/п |
Назва параметра |
Значення |
1 |
Не запускать Windows Messenger автоматически при входе |
Включено |
2 |
Запретить Windows Messenger |
Включено |
Локальный компьютер \Административные шаблоны\Компоненты Windows\Политики автозапуска
Таблиця 16
№ п/п |
Назва параметра |
Значення |
1 |
Выключение автозапуска |
Включено-Все устройства |
2 |
Установка поведения по умолчанию для автозапуска |
Включено-Не исполнять команды автозапуска |
Локальный компьютер \Административные шаблоны\Компоненты Windows\Установщик Windows
Таблиця 17
№ п/п |
Назва параметра |
Значення |
1 |
Запретить откат |
Отключено |
При установці ОС Windows 10 Professional створюються и налаштовуються стандартні системні служби, які починають функціонувати при запуску системи. Важливу роль для безпеки, оптимізації продуктивності і завантаження ОС Windows відіграє налаштування системних служб.
Необхідно пам’ятати, що системні служби можуть бути об’єктом для атаки зловмисників. Рекомендується відключати непотрібні служби, але при цьому пам’ятати, що багато служб залежать від других системних служб.
Відповідні параметри налаштовуються за допомогою редактора політики виключно через консолі керування Майкрософт (MMC) після здійснення додавання оснастки шаблонів безпеки (Файл - Добавить или удалить оснастку - Шаблон безопасности - Добавить – ОК) за зазначеною адресою:
Шаблоны безопасности \ <диск>:\<путь к шаблону> \ <имя шаблона> \ Системные службы
Нижче наведені (табл. 18) основні рекомендовані значення параметри системних служб ОС. Всі інші параметри системних служб встановлюються в залежності від прийнятої політики безпеки в інформаційно-телекомунікаційній системі. В той же час рекомендовані значення параметрів системних служб ОС також можуть відрізнятись від нижчезазначених у випадку необхідності їх зміни прийнятою політикою безпеки в інформаційно-телекомунікаційній системі.
Рекомендовані параметри наведені в табл. 18.
Таблиця 18
№ п/п |
Назва параметра |
АРМ тип 1 |
АРМ тип 2 |
|
|
BranchCache |
Не определено |
|
|
|
DHCP-клиент |
Запрещен |
Автоматический |
|
|
DNS-клиент |
Запрещен |
Не определено |
|
|
Plug-and-Play |
Автоматический |
|
|
|
Автонастройка WWAN |
Запрещен |
Не определено |
|
|
Агент защиты сетевого доступа |
Запрещен |
Вручную |
|
|
Агент политики IPsec |
Запрещен |
Вручную |
|
|
Архивация Windows |
Вручную |
|
|
|
Брандмауэр Windows |
Автоматический |
|
|
|
Браузер компьютеров |
Запрещен |
|
|
|
Веб-клиент |
Вручную |
|
|
|
Виртуальный диск |
Запрещен |
Вручную |
|
|
Вспомогательная служба IP |
Запрещен |
Вручную |
|
|
Вторичный вход в систему |
Вручную |
|
|
|
Дефрагментация диска |
Вручную |
|
|
|
Диспетчер Автоматических подключений удаленного доступа |
Запрещен |
Вручную |
|
|
Диспетчер печати |
Автоматический |
|
|
|
Диспетчер подключений удаленного доступа |
Запрещен |
Автоматический |
|
|
Диспетчер сеансов диспетчера окон рабочего стола |
Автоматический |
|
|
|
Диспетчер удостоверения сетевых участников |
Запрещен |
Автоматический |
|
|
Диспетчер учетных данных |
Вручную |
|
|
|
Диспетчер учетных записей безопасности |
Автоматический |
|
|
|
Доступ к HID-устройствам |
Вручную |
|
|
|
Журнал событий Windows |
Автоматический |
|
|
|
Журналы и оповещения производительности |
Вручную |
|
|
|
Защита программного обеспечения |
Автоматический |
|
|
|
Защитник Windows |
Автоматический |
|
|
|
Защищенное хранилище |
Автоматический |
|
|
|
Информация о совместимости приложений |
Вручную |
|
|
|
Клиент групповой политики |
Автоматический |
|
|
|
Клиент отслеживания изменившихся связей |
Автоматический |
|
|
|
Координатор распределенных транзакций |
Автоматический |
|
|
|
Ловушка SNMP |
Запрещен |
Вручную |
|
|
Локатор удаленного вызова процедур (RPC) |
Вручную |
|
|
|
Маршрутизация и удаленный доступ |
Запрещен |
|
|
|
Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности |
Запрещен |
Автоматический |
|
|
Модуль запуска процессов DCOM-сервера |
Автоматический |
|
|
|
Модуль поддержки NetBIOS через TCP/IP |
Запрещен |
Автоматический |
|
|
Настройка сервера удаленных рабочих столов |
Запрещен |
Вручную |
|
|
Немедленные подключения Windows - регистратор настройки |
Вручную |
|
|
|
Обнаружение SSDP |
Запрещен |
|
|
|
Обнаружение интерактивных служб |
Вручную |
|
|
|
Общий доступ к подключению к Интернету (ICS) |
Запрещен |
|
|
|
Определение оборудования оболочки |
Автоматический |
|
|
|
Основные службы доверенного платформенного модуля |
Вручную |
|
|
|
Перенаправитель портов пользовательского режима служб удаленных рабочих столов |
Запрещен |
Вручную |
|
|
Перечислитель IP-шин PnP-X |
Запрещен |
|
|
|
Питание |
Автоматический |
|
|
|
Планировщик заданий |
Автоматический |
|
|
|
Планировщик классов мультимедиа |
Вручную |
|
|
|
Поддержка элемента панели управления "Отчеты о проблемах и их решениях" |
Вручную |
|
|
|
Политика удаления смарт-карт |
Вручную |
|
|
|
Поставщик домашней группы |
Вручную |
|
|
|
Проводная автонастройка |
Запрещен |
Вручную |
|
|
Программный поставщик теневого копирования (Microsoft) |
Автоматический |
|
|
|
Публикация ресурсов обнаружения функции |
Вручную |
|
|
|
Рабочая станция |
Запрещен |
Автоматический |
|
|
Распространение сертификата |
Запрещен |
Вручную |
|
|
Расширяемый протокол проверки подлинности (EAP) |
Вручную |
|
|
|
Сборщик событий Windows |
Запрещен |
Вручную |
|
|
Сведения о приложении |
Вручную |
|
|
|
Сервер |
Запрещен |
Автоматический |
|
|
Сервер упорядочения потоков |
Вручную |
|
|
|
Сетевой вход в систему |
Запрещен |
Автоматический |
|
|
Сетевые подключения |
Запрещен |
Вручную |
|
|
Система событий COM+ |
Автоматический |
|
|
|
Системное приложение COM+ |
Вручную |
|
|
|
Служба SSTP |
Запрещен |
Вручную |
|
|
Служба автоматического обнаружения веб-прокси WinHTTP |
Запрещен |
Вручную |
|
|
Служба автонастройки WLAN |
Запрещен |
Автоматический |
|
|
Служба базовой фильтрации |
Вручную |
Автоматический |
|
|
Служба ввода планшетного ПК |
Вручную |
|
|
|
Служба времени Windows |
Автоматический |
|
|
|
Служба загрузки изображений Windows (WIA) |
Автоматический |
|
|
|
Служба инициатора Майкрософт iSCSI |
Запрещен |
Вручную |
|
|
Служба интерфейса сохранения сети |
Запрещен |
Вручную |
|
|
Служба кэша шрифтов Windows |
Автоматический |
|
|
|
Служба медиаприставки Media Center |
Вручную |
|
|
|
Служба модуля архивации на уровне блоков |
Автоматический |
|
|
|
Служба общего доступа к портам Net.Tcp |
Запрещен |
|
|
|
Служба общих сетевых ресурсов проигрывателя Windows Media |
Запрещен |
Вручную |
|
|
Служба перечислителя переносных устройств |
Вручную |
|
|
|
Служба планировщика Windows Media Center |
Вручную |
|
|
|
Служба поддержки Bluetooth |
Запрещен |
|
|
|
Служба политики диагностики |
Автоматический |
|
|
|
Служба помощника по совместимости программ |
Автоматический |
|
|
|
Служба профилей пользователей |
Автоматический |
|
|
|
Служба публикации имен компьютеров PNRP |
Запрещен |
Вручную |
|
|
Служба регистрации ошибок Windows |
Вручную |
|
|
|
Служба ресивера Windows Media Center |
Вручную |
|
|
|
Служба сведений о подключенных сетях |
Запрещен |
Автоматический |
|
|
Служба списка сетей |
Запрещен |
Вручную |
|
|
Служба технологий активации Windows |
Вручную |
|
|
|
Служба уведомления SPP |
Вручную |
|
|
|
Служба уведомления о системных событиях |
Автоматический |
|
|
|
Служба удаленного управления Windows (WS-Management) |
Запрещен |
Автоматический |
|
|
Служба хранилища |
Вручную |
|
|
|
Служба шифрования дисков BitLocker |
Вручную |
|
|
|
Служба шлюза уровня приложения |
Запрещен |
Вручную |
|
|
Службы криптографии |
Автоматический |
|
|
|
Службы удаленных рабочих столов |
Запрещен |
Вручную |
|
|
Смарт-карта |
Вручную |
|
|
|
Сопоставитель конечных точек RPC |
Автоматический |
|
|
|
Средство построения конечных точек Windows Audio |
Вручную |
|
|
|
Телефония |
Запрещен |
Вручную |
|
|
Темы |
Вручную |
|
|
|
Теневое копирование тома |
Вручную |
|
|
|
Тополог канального уровня |
Запрещен |
Вручную |
|
|
Удаленный вызов процедур (RPC) |
Автоматический |
|
|
|
Удаленный реестр |
Автоматический |
|
|
|
Удостоверение приложения |
Автоматический |
|
|
|
Узел системы диагностики |
Вручную |
|
|
|
Узел службы диагностики |
Вручную |
|
|
|
Узел универсальных PNP-устройств |
Автоматический |
|
|
|
Управление приложениями |
Автоматический |
|
|
|
Управление сертификатами и ключом работоспособности |
Вручную |
|
|
|
Установщик ActiveX (AxInstSV) |
Вручную |
|
|
|
Установщик Windows |
Вручную |
|
|
|
Установщик модулей Windows |
Вручную |
|
|
|
Факс |
Вручную |
|
|
|
Фоновая интеллектуальная служба передачи (BITS) |
Запрещен |
Автоматический |
|
|
Центр обеспечения безопасности |
Автоматический |
|
|
|
Центр обновления Windows |
Вручную |
|
|
|
Шифрованная файловая система (EFS) |
Вручную |
|
3.6 Налаштування реєстру (Настройка реестра)
В даному підрозділі наведені значення ключів реєстру, які мають відношення до безпеки та можуть бути налаштовані за допомогою редактора політики.
3.6.1 Параметри налаштування реєстру (Параметры настройки реестра)
В даному пункті описані окремі параметри реєстру, які призначені для тонкого налаштування безпеки клієнтів ОС Windows 10 Professional. Деякі параметри відсутні за замовчанням і потребують додаткового налагодження системного реєстру.
Доступ до параметрів реєстру здійснюється шляхом запуску застосування «Редактор реестра» (regedit) за шляхом вказаним в колонці «Путь» табл. 19 або шляхом додавання оснастки шаблонів безпеки (Файл - Добавить или удалить оснастку - Шаблон безопасности - Добавить – ОК) консолі керування Майкрософт (MMC) за зазначеною адресою:
Шаблоны безопасности \ <диск>:\<путь к шаблону> \ <имя шаблона> \ Реестр
та додавання відповідного розділу реєстру та встановлення значення через меню:
Действие ->Добавить раздел…
Рекомендовані параметри для АС класів 1, 2 та 3 наведені в табл. 19.
Таблиця 19
№ п/п |
Назва параметра |
Путь |
Значення (Subkey Registry Value Entry) |
Format |
Значення
|
|
|
Отключить Автоматический вход в систему (Disable Automatic Logon) |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ |
AutoAdminLogon
|
Параметр
DWORD
|
0 |
|
|
Уровень защиты маршрутизации IP-источника (DisableIPSourceRouting) |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ |
DisableIPSourceRouting |
Параметр
DWORD
|
0 |
|
|
Разрешить автоматическое обнаружение нерабочих сетевых шлюзов (может привести к отказу в обслуживании) (EnableDeadGWDetect) |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ |
DeadGWDetectDefault |
Параметр
DWORD
|
0 |
|
|
Разрешить переадресацию ICMP для переопределения созданных маршрутов OSPF (EnableICMPRedirect) |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ |
EnableICMPRedirect |
Параметр
DWORD
|
07 |
|
|
Отключить автозапуск для всех дисков (NoDriveTypeAutoRun) |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ |
NoDriveTypeAutoRun |
Параметр
DWORD
|
FF |
|
|
Разрешить компьютеру не создавать имена файлов в формате 8.3 (рекомендуется) (NtfsDisable8dot3NameCreation) |
HKEY_LOCAL_MACHINE\System\ CurrentControlSet\ Control\FileSystem\
|
NtfsDisable8dot3NameCreation |
Параметр
DWORD
|
1 |
3.7 Файлова система (Файловая система)
Стандартні повноваження доступу для файлової системи NTFS підходять для більшості організацій. Параметри налаштування файлової системи, які описані в цьому підрозділі, рекомендується використовувати в першу чергу для систем з високим рівнем безпеки.
3.7.1. Параметри безпеки файлової системи (Параметры безопасности файловой системы)
Доступ до параметрів файлової системи здійснюється шляхом додавання оснастки шаблонів безпеки (Файл - Добавить или удалить оснастку - Шаблон безопасности - Добавить – ОК) консолі керування Майкрософт (MMC) за зазначеною адресою:
Шаблоны безопасности \ <диск>:\<путь к шаблону> \ <имя шаблона> \ Файловая система
Нижче наведені (табл. 20) основні рекомендовані значення параметрів безпеки ОС для АС 1, 2, 3 класів. Всі інші параметри безпеки встановлюються в залежності від прийнятої політики безпеки в інформаційно-телекомунікаційній системі. В той же час рекомендовані значення параметрів безпеки ОС також можуть відрізнятись від нижчезазначених у випадку необхідності їх зміни прийнятою політикою безпеки в інформаційно-телекомунікаційній системі.
Таблиця 20
Папка або файл (Папка или файл)
|
Група користувачів (Группа пользователей) |
Рекомендований Дозвіл (Рекомендуемое Разрешение) |
Застосовуються до (Применяются к) |
Метод Успадкування (Метод наследования) |
C:\Users\ (Папка, яка містить атрибути робочого столу та профілів усіх користувачів, зазвичай) |
Администраторы |
Полный доступ
|
Для этой папки, ее подпапок и фалов |
Распространение |
Система |
Полный доступ |
Для этой папки, ее подпапок и фалов |
||
Пользователи |
Чтение и выполнение |
Для этой папки, ее подпапок и фалов |
||
C:\Progtam Data\Microsoft\ (Містить дані документів застосувань Майкрософт) |
Администраторы |
Полный доступ |
Для этой папки, ее подпапок и фалов |
Замена |
Система |
Полный доступ |
Для этой папки, ее подпапок и фалов |
||
Пользователи |
Чтение и выполнение |
Для этой папки, ее подпапок и фалов |
||
%SystemDrive%\ (Диск, на якому встановлена ОС, містить важливі файли завантаження та налагодження операційної системи) |
Администраторы |
Полный доступ |
Для этой папки, ее подпапок и фалов |
Распространение |
Прошедшие проверку |
Траверс папок/выполнение файлов, содержание папки/чтение данных, чтение атрибутов, чтение дополнительных атрибутов, создание файлов/запись даннях, создание папок/дозапись даннях, запись атрибутов, запись дополнительных атрибутов, удаление, чтение разрешений |
Только для папок и файлов |
|
|
Создание папок/дозапись данных |
Только для этой папка |
|||
Система |
Полный доступ |
Для этой папки, ее подпапок и фалов |
||
Пользователи |
Чтение и выполнение |
Для этой папки, ее подпапок и фалов |
||
%SystemDrive%\Windows \Speech\Engines\TTS |
Администраторы |
Чтение и выполнение |
Для этой папки, ее подпапок и фалов |
|
Система |
Чтение и выполнение |
Для этой папки, ее подпапок и фалов |
||
Пользователи |
Чтение и выполнение |
Для этой папки, ее подпапок и фалов |
||
TrustInstaller |
Полный доступ |
Для этой папки, ее подпапок и фалов |
||
%PROGRAMDATA%\Microsoft\Windows\DRM |
Все |
Траверс папок/выполнение файлов, содержание папки/чтение данных, чтение атрибутов, чтение дополнительных атрибутов, создание файлов/запись даннях, создание папок/дозапись даннях, запись атрибутов, запись дополнительных атрибутов, удаление папок и файлов, чтение разрешений, смена разрешений, смена владельца |
Только для этой папки |
|
Полный доступ |
Только для подпапок и файлов |
|||
Система |
Полный доступ |
Только для этой папки |
|
|
Гость |
Все Запрещено |
Для этой папки, ее подпапок и файлов |
|
|
Гости |
Все Запрещено |
Для этой папки, ее подпапок и файлов |
|
|
%PROGRAMDATA%\Microsoft\Windows\DRM\Cache |
Все |
Траверс папок/выполнение файлов, содержание папки/чтение данных, чтение атрибутов, чтение дополнительных атрибутов, создание файлов/запись даннях, создание папок/дозапись даннях, запись атрибутов, запись дополнительных атрибутов, удаление папок и файлов, чтение разрешений, смена разрешений, смена владельца |
Только для этой папки |
|
Полный доступ |
Только для подпапок и файлов |
|||
Система |
Полный доступ |
Только для этой папки |
|
|
Гость |
Все Запрещено |
Для этой папки, ее подпапок и файлов |
|
|
Гости |
Все Запрещено |
Для этой папки, ее подпапок и файлов |
|
|
C:\windows\ installer
|
Администраторы |
Полный доступ |
Для этой папки, ее подпапок и файлов |
|
Все |
Чтение и выполнение |
Для этой папки, ее подпапок и файлов |
|
|
Система |
Полный доступ |
Для этой папки, ее подпапок и файлов |
|
|
C:\windows\system32\appmgmt |
Администраторы |
Полный доступ |
Для этой папки, ее подпапок и файлов |
|
Все |
Полный доступ |
Только для этой папки |
|
|
Система |
Полный доступ |
Для этой папки, ее подпапок и файлов |
|
|
%Systemroot%\config\ntuser.dat |
Администраторы |
Полный доступ |
Для этого файла |
|
Система |
Полный доступ |
Для этого файла |
|
|
%Systemroot%\config\sam |
Администраторы |
Полный доступ |
Для этого файла |
|
Система |
Полный доступ |
Для этого файла |
|
|
%Systemroot%\config\security |
Администраторы |
Полный доступ |
Для этого файла |
|
Система |
Полный доступ |
Для этого файла |
|
|
%Systemroot%\config\software |
Администраторы |
Полный доступ |
Для этого файла |
|
Система |
Полный доступ |
Для этого файла |
|
|
%Systemroot%\config\system |
Администраторы |
Полный доступ |
Для этого файла |
|
Система |
Полный доступ
|
Для этого файла |
|
ЦЕНТР ОБРОБКИ ДАНИХ: |
КОРИСТУВАЧ: |
|
Товариство з обмеженою відповідальністю «ППЛ 33-35»
Заступник генерального директора_________ X.X.Xxxxx X.X. |
Место для ввода текста.
Место для ввода текста. X.X.
|
|
|
|
|
1 Слід зауважити, що довгі паролі, які складаються з восьми і більше символів, більш надійніші за короткі, але застосування дуже довгих паролів приводить до збільшення кількості помилок при введенні пароля, збільшенню кількості заблокованих облікових записів і, як наслідок, звернень в службу підтримки користувачів мережі. Крім того, використання дуже довгих паролів може привести до фактичного зниження безпеки, тому що користувачі вимушені його записувати. Фактичне значення довжини пароля визначається відповідно до політики безпеки організації.
2 Стандартне граничне значення параметра “Пороговое значение блокировки”, яке рекомендується, дорівнює 50 невдалим спробам входу до системи, але насправді це значення залежить повністю від політики вашої організації. Невелике значення цього параметра підвищує імовірність проведення атаки типу “Відмова від обслуговування” (DoS).
3 Компанія Microsoft рекомендує вибрати для вбудованого облікового запису «Адміністратор» інше ім’я і в подальшому уникати використання імен з явно вираженими ознаками адміністративних повноважень облікових записів
4 Компанія Майкрософт також рекомендує перейменувати цей обліковий запис так, щоб нове ім'я не відображало призначення цього облікового запису. Навіть при відключенні цього облікового запису (рекомендується), в цілях додаткової безпеки переконайтеся в тому, що обліковий запис має змінену назву.
5 Якщо не планується надання користувачам права встановлювати програмне забезпечення на клієнтських машинах, потрібно встановлювати для даного параметра значення “Включен”. Те ж саме стосується параметра “Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям”.
6 У випадку застосування в системі ідентифікації за смарт-карткою
7 Зазначений параметр може бути змінено на «Не определен» для АС-2 та АС-3 класів у випадку використання протоколу маршрутизації OSPF