Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Защита:
- 1. Установка сложного пароля (Символы верхнего и нижнего регистра, знаки препинания, минимальная длина 14 символов)
- 2. Настройка брандмауэра
- 1) правила для входящих подключений (блокировать)
- 2) правила для исходящих подключений (разрешить)
- 3) логирование пропущенных пакетов
- 4) логирование успешных подключений
- 3. Установка антивируса (поставил dr.web, но потом удалил, чтобы настроить брандмауэр)
- 4. Настройка админки
- 1) Запретил смену пароля администратора обычным ползователям
- 2) Смена логина админа для усложнения подбора (admin228)
- (Локальная политика безопасности)
- 6. Аудит политики безопасности. Включение следущих опций:
- 1) Аудит входа в систему
- 2) Аудит доступа к объектам
- 3) Аудит доступа к службе каталогов
- 4) Аудит измнения политики
- 5) Аудит использования привелегий
- 6) Аудит отслеживания процессов
- 7) Аудит системных событий
- 8) Аудит событий входа в систему
- 9) Аудит управления учетными записями
- 7. Настройка политики паролей
- 1) Вести журнал паролей (вкл)
- 2) Максимальный срок действия пароля (30 дней)
- 3) Минимальная длина пароля (14 символов)
- 4) Требования (андерскор и тд)
- 5) Хранение паролей в зашифрованном виде
- 8. Отключил LM HASH, т.к. LM является устаревшей технологией и использует очень нестойкий вид шифрования,
- который легко взломать. В сетевой среде эти пароли передаются на контроллер домена для аутентификации.
- Это означает, что кто-то может перехватить сетевой трафик, генерируемый приложением,
- применяемым механизмы LM аутентификации, и немного постаравшись, расшифровать пароли пользователей.
- 9. Включил опцию "Отправлять Do Not Track, чтобы уведомлять веб-сайты, что вы против отслеживания" в explorere
- 10. Настройка политики параметров безопасности
- 1) Аудит доступа глобальных системых объектов (мьютексы, семафоры и тд создаются
- с системным списком управления доступа по умолчанию)
- 2) Аудит прав на архивацию и восстановление
- 3) Кэшировани 10 последних входов юзера в систему
- 4) Не отображать последнее имя пользователя при входе в систему
- 5) Не отображать имена при логине, чтобы нельзя было подобрать пароль
- (работает в совокупности со сменой логина для админа?
- т.е. если будут пытаться брутить admin, а у него на самом деле другой логин)
- 6) Включил повышение прав только для подписанных и проверенных исполняемых файлов
- (Принудительно инициирует проверку пути сертификации PKI,
- прежде чем разрешить выполнение исполняемого файла)
- 7) Изменил время бездействия до приостановления системы (с 15 минут до 5 минут)
- 8) Включил аудит входящего трафика NTLM для всех учетных записей на
- 9) Разрешил форматирование и извлечение съемных носителей только администраторам и опытным пользователям
- 10) Переименование учетной записи Гость на Гость228 для защиты от брута
- 11) Блокировка после 3 неуспешных вводов паролей
- 11. Настройка обновлений по расписанию (т.к. с обновлениями закрываются некоторые старые дыры)
- 12. Попытался настроить шифрование BitLocker (для этого пришлось настроить TPM).
- Не получилось, потому что ключ, нужно хранить на другом диске, а уменя диск один. Флешку потерял
- пару дней назад.
- 13. Настройка брандмауэра внутри группы. Настроен белый лист. Между группой можем пинговаться. Извне - нет.
- 14. Настройка общей папки. Доступ есть только у членов группы.
- Пароль:
- Взлом:
- 1. Брут
- 2. Социальная инжнерия (попытался проникнуть к компам одногруппников)
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement