daily pastebin goal
62%
SHARE
TWEET

OS_Rakin_Shukanova_Musatov

a guest Dec 19th, 2018 53 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. Защита:
  2. 1. Установка сложного пароля (Символы верхнего и нижнего регистра, знаки препинания, минимальная длина 14 символов)
  3. 2. Настройка брандмауэра
  4.     1) правила для входящих подключений (блокировать)
  5.     2) правила для исходящих подключений (разрешить)
  6.     3) логирование пропущенных пакетов
  7.     4) логирование успешных подключений
  8. 3. Установка антивируса (поставил dr.web, но потом удалил, чтобы настроить брандмауэр)
  9. 4. Настройка админки
  10.     1) Запретил смену пароля администратора обычным ползователям
  11.     2) Смена логина админа для усложнения подбора (admin228)
  12. (Локальная политика безопасности)
  13. 6. Аудит политики безопасности. Включение следущих опций:
  14.     1) Аудит входа в систему
  15.     2) Аудит доступа к объектам
  16.     3) Аудит доступа к службе каталогов
  17.     4) Аудит измнения политики
  18.     5) Аудит использования привелегий
  19.     6) Аудит отслеживания процессов
  20.     7) Аудит системных событий
  21.     8) Аудит событий входа в систему
  22.     9) Аудит управления учетными записями
  23. 7. Настройка политики паролей
  24.     1) Вести журнал паролей (вкл)
  25.     2) Максимальный срок действия пароля (30 дней)
  26.     3) Минимальная длина пароля (14 символов)
  27.     4) Требования (андерскор и тд)
  28.     5) Хранение паролей в зашифрованном виде  
  29. 8. Отключил LM HASH, т.к. LM является устаревшей технологией и использует очень нестойкий вид шифрования,
  30. который легко взломать. В сетевой среде эти пароли передаются на контроллер домена для аутентификации.
  31. Это означает, что кто-то может перехватить  сетевой трафик, генерируемый приложением,
  32. применяемым механизмы LM аутентификации, и немного постаравшись, расшифровать пароли пользователей.   
  33. 9. Включил опцию "Отправлять Do Not Track, чтобы уведомлять веб-сайты, что вы против отслеживания" в explorere
  34. 10. Настройка политики параметров безопасности
  35.     1) Аудит доступа глобальных системых объектов (мьютексы, семафоры и тд создаются
  36.                             с системным списком управления доступа по умолчанию)
  37.     2) Аудит прав на архивацию и восстановление
  38.     3) Кэшировани 10 последних входов юзера в систему
  39.     4) Не отображать последнее имя пользователя при входе в систему
  40.     5) Не отображать имена при логине, чтобы нельзя было подобрать пароль
  41.         (работает в совокупности со сменой логина для админа?
  42.         т.е. если будут пытаться брутить admin, а у него на самом деле другой логин)
  43.     6) Включил повышение прав только для подписанных и проверенных исполняемых файлов
  44.         (Принудительно инициирует проверку пути сертификации PKI,
  45.         прежде чем разрешить выполнение исполняемого файла)
  46.     7) Изменил время бездействия до приостановления системы (с 15 минут до 5 минут)
  47.     8) Включил аудит входящего трафика NTLM для всех учетных записей на
  48.     9) Разрешил форматирование и извлечение съемных носителей только администраторам и опытным пользователям
  49.     10) Переименование учетной записи Гость на Гость228 для защиты от брута
  50.     11) Блокировка после 3 неуспешных вводов паролей
  51. 11. Настройка обновлений по расписанию (т.к. с обновлениями закрываются некоторые старые дыры)
  52. 12. Попытался настроить шифрование BitLocker (для этого пришлось настроить TPM).
  53. Не получилось, потому что ключ, нужно хранить на другом диске, а уменя диск один. Флешку потерял
  54. пару дней назад.
  55. 13. Настройка брандмауэра внутри группы. Настроен белый лист. Между группой можем пинговаться. Извне - нет.
  56. 14. Настройка общей папки. Доступ есть только у членов группы.
  57.  
  58.  
  59. На других двух ВМ почти одинаково:
  60. 1.сложный пароль админа (длина, разные классы, журнал паролей)
  61. 2.можно поставить кастомный АВ+файрволл, скорее всего это будут продукты Лаборатории Касперского, но это платно, поэтому на ВМ защитник Windows и брандмауэр
  62. 3.брандмауэр по дефолту, но созданы разрешения для своего отдела, чтобы работал пинг и доступ к общей папке
  63. 4.gpedit.msc -> ЛП безопасности:
  64.     парольная политика (требования к сложности, журнал паролей, макс срок, мин длина)
  65.     блокировки (5 неуд попыток = бан на 30 мин)
  66.     политика аудита: вход в систему, управление учетными записями, повышение привилегий
  67.     расширенная политика аудита (...)
  68.     политики автозапуска
  69. 5.расшаренная папка, доступ по ЛП учетной записи созданной специально для доступа к этой папке
  70. 6.обновы должны быть включены, но слишком долго ставить, так что не сделано
  71. 7.контроль учетных записей (3 уровень)
  72. 8.восстановление системы (точка восстановления)
  73. 9.юзер для работы (не админ)
  74. 10.гостевой вход отключен
RAW Paste Data
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy. OK, I Understand
 
Top