Windows Security Config

Введение

Я всем рекомендую на винде использовать следующую схему безопасности:

Краткое описание

  1. не работать под админским аккаунтом;
  2. те места, куда пользователь может иметь право на запись, зпрещены для исполнения;
  3. в те места, где лежат исполняемые файлы, пользователь не может ничего записывать.

Формализованное описание

  1. На компьютеры под управлением ОС семейства Windows администратором устанавливается только то программное обеспечение, которое обеспечивает выполнение компьютером или рабочей станцией только тех функций, для выполнения которых данный компьютер или рабочая станция предназначены. Все дополнительное программное обеспечение, в том числе предустановленное, подлежит удалению.
  2. Обычным пользователям ОС Windows разрешается к запуску только то, что находится в c:\windows, c:\windows\system32, c:\program files\*, c:\Documents and Settings\all users\desktop, c:\documents and settings\Start menu, за исключением того, что для них вводится запрет на запуск прикладной программы редактирования реестра.
  3. Обычным пользователям запрещаются запуск и исполнение скриптов и прикладных программ из любых каталогов, не перечисленных в п.2, в том числе из каталога c:\documens and settings\All users\*, куда разрешена запись всем пользователям. Обычным пользователям запрещена запись в c:\documents and settings\all users\desktop, так как этот каталог используется администратором для создания ярлыков программ, которые пользователь должен иметь право запускать на исполнение с рабочего стола.
  4. Обычному пользователю ОС Windows запрещена запись данных в любые каталоги, за исключением их личных каталогов c:\documens and settings\User и тех сетевых каталогов, использование которых для записи с данной рабочей станции предусмотрено производственным процессом.
  5. Обычному пользователю ОС Windows с помощью отредактированных ключей реестра Windows запрещены запуск и исполнение прикладных программ и скриптов, расположенных в любых каталогах, не упомянутых в пункте 2. В частности, запрещены запуск и исполнение прикладных программ и скриптов из корня диска и с любых сетевых томов, которые могли бы быть подмонтированы к данной рабочей станции исходя из конфигурации доступных сетей.
  6. В целях обеспечения безопасности от возможных стандартных атак, системный пользователь Administrator, имеющий по умолчанию административные права, переименовывается в другое имя, например GreatUser.
  7. Пункты 2, 3, и 4 реализуются администратором следующим образом:
    1. на сервере, в том числе на сервере терминалов, запрет на исполнение прописывается в групповой политике сервера с loopback processing;
    2. на рабочей станции запрет на исполнение прописывается в локальной политике безопасности с помощью инструмента gpedit.msc
    3. Если gpedit.msc нельзя найти на компьютере, т.к. установлена “домашняя” версия Windows, файл установки можно взять здесь: add_gpedit_msc_by_jwils876-d3kh6vm.zip
    4. путь к политике — Computer Configuration → Windows Settings → Security Settings → Software Restriction Policies. При первом использовании их нужно создать — правой кнопкой на Software Restriction Policies, «New Software Policies». Запрет включается в два этапа — сначала в security levels (Disallowed), потом в корне Software Restriction Policy в Enforcement — в «All software files» и «All users»
    5. Пункт 5 (частично) выполняется на Windows 7 автоматически после установки хотфикса: windows6.1-kb2532445-v2-x64.msu.zip
  8. Пункт 6 реализуется следующим образом:
    1. открываем gpedit.msc
    2. Заходим по пути: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options
    3. Там находим: “Accounts: Rename administrator account”
    4. Дабл-кликом открываем и пишем нечто типа 0дмин
    5. Англоязычное описание процесса описано здесь: http://www.mechbgon.com/srp/

Воплощение

В качестве референсной системы принято решение использовать виртуальную машину VirualBox с установленной системой Windows 7 Home Premium 64 bit.
Система не имеет доступа к сети, за исключением доступа “только для чтения” по виртуальной сети к папке Windows Share на не-Windows машине, на которой запущен VirtualBox.
На референсной системе нвстроена система безопасности в точном соответствии с формализованным описанием, приведенным выше.
На референсной системе сделаны дополнительные настройки для 64-битной ОС, как указано в http://www.mechbgon.com/srp/ На референсной системе не включен никакой антивирус.

windows/security_config.txt · Last modified: 2013/12/16 06:37 (external edit)
About this template
CC Attribution-Share Alike 4.0 International
Powered by PHP Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Valid HTML5