SHOW:
|
|
- or go back to the newest paste.
1 | Защита: | |
2 | 1. Установка сложного пароля (Символы верхнего и нижнего регистра, знаки препинания, минимальная длина 14 символов) | |
3 | 2. Настройка брандмауэра | |
4 | 1) правила для входящих подключений (блокировать) | |
5 | 2) правила для исходящих подключений (разрешить) | |
6 | 3) логирование пропущенных пакетов | |
7 | 4) логирование успешных подключений | |
8 | 3. Установка антивируса (поставил dr.web, но потом удалил, чтобы настроить брандмауэр) | |
9 | 4. Настройка админки | |
10 | 1) Запретил смену пароля администратора обычным ползователям | |
11 | 2) Смена логина админа для усложнения подбора (admin228) | |
12 | (Локальная политика безопасности) | |
13 | 6. Аудит политики безопасности. Включение следущих опций: | |
14 | 1) Аудит входа в систему | |
15 | 2) Аудит доступа к объектам | |
16 | 3) Аудит доступа к службе каталогов | |
17 | 4) Аудит измнения политики | |
18 | 5) Аудит использования привелегий | |
19 | 6) Аудит отслеживания процессов | |
20 | 7) Аудит системных событий | |
21 | 8) Аудит событий входа в систему | |
22 | 9) Аудит управления учетными записями | |
23 | 7. Настройка политики паролей | |
24 | 1) Вести журнал паролей (вкл) | |
25 | 2) Максимальный срок действия пароля (30 дней) | |
26 | 3) Минимальная длина пароля (14 символов) | |
27 | 4) Требования (андерскор и тд) | |
28 | 5) Хранение паролей в зашифрованном виде | |
29 | 8. Отключил LM HASH, т.к. LM является устаревшей технологией и использует очень нестойкий вид шифрования, | |
30 | который легко взломать. В сетевой среде эти пароли передаются на контроллер домена для аутентификации. | |
31 | Это означает, что кто-то может перехватить сетевой трафик, генерируемый приложением, | |
32 | применяемым механизмы LM аутентификации, и немного постаравшись, расшифровать пароли пользователей. | |
33 | 9. Включил опцию "Отправлять Do Not Track, чтобы уведомлять веб-сайты, что вы против отслеживания" в explorere | |
34 | 10. Настройка политики параметров безопасности | |
35 | 1) Аудит доступа глобальных системых объектов (мьютексы, семафоры и тд создаются | |
36 | с системным списком управления доступа по умолчанию) | |
37 | 2) Аудит прав на архивацию и восстановление | |
38 | 3) Кэшировани 10 последних входов юзера в систему | |
39 | 4) Не отображать последнее имя пользователя при входе в систему | |
40 | 5) Не отображать имена при логине, чтобы нельзя было подобрать пароль | |
41 | (работает в совокупности со сменой логина для админа? | |
42 | т.е. если будут пытаться брутить admin, а у него на самом деле другой логин) | |
43 | 6) Включил повышение прав только для подписанных и проверенных исполняемых файлов | |
44 | (Принудительно инициирует проверку пути сертификации PKI, | |
45 | прежде чем разрешить выполнение исполняемого файла) | |
46 | 7) Изменил время бездействия до приостановления системы (с 15 минут до 5 минут) | |
47 | 8) Включил аудит входящего трафика NTLM для всех учетных записей на | |
48 | 9) Разрешил форматирование и извлечение съемных носителей только администраторам и опытным пользователям | |
49 | 10) Переименование учетной записи Гость на Гость228 для защиты от брута | |
50 | 11) Блокировка после 3 неуспешных вводов паролей | |
51 | 11. Настройка обновлений по расписанию (т.к. с обновлениями закрываются некоторые старые дыры) | |
52 | 12. Попытался настроить шифрование BitLocker (для этого пришлось настроить TPM). | |
53 | Не получилось, потому что ключ, нужно хранить на другом диске, а уменя диск один. Флешку потерял | |
54 | пару дней назад. | |
55 | 13. Настройка брандмауэра внутри группы. Настроен белый лист. Между группой можем пинговаться. Извне - нет. | |
56 | 14. Настройка общей папки. Доступ есть только у членов группы. | |
57 | ||
58 | - | Пароль: |
58 | + | |
59 | На других двух ВМ почти одинаково: | |
60 | - | Взлом: |
60 | + | 1.сложный пароль админа (длина, разные классы, журнал паролей) |
61 | - | 1. Брут |
61 | + | 2.можно поставить кастомный АВ+файрволл, скорее всего это будут продукты Лаборатории Касперского, но это платно, поэтому на ВМ защитник Windows и брандмауэр |
62 | - | 2. Социальная инжнерия (попытался проникнуть к компам одногруппников) |
62 | + | 3.брандмауэр по дефолту, но созданы разрешения для своего отдела, чтобы работал пинг и доступ к общей папке |
63 | 4.gpedit.msc -> ЛП безопасности: | |
64 | парольная политика (требования к сложности, журнал паролей, макс срок, мин длина) | |
65 | блокировки (5 неуд попыток = бан на 30 мин) | |
66 | политика аудита: вход в систему, управление учетными записями, повышение привилегий | |
67 | расширенная политика аудита (...) | |
68 | политики автозапуска | |
69 | 5.расшаренная папка, доступ по ЛП учетной записи созданной специально для доступа к этой папке | |
70 | 6.обновы должны быть включены, но слишком долго ставить, так что не сделано | |
71 | 7.контроль учетных записей (3 уровень) | |
72 | 8.восстановление системы (точка восстановления) | |
73 | 9.юзер для работы (не админ) | |
74 | 10.гостевой вход отключен |