Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Защита:
- 1. Установка сложного пароля (Символы верхнего и нижнего регистра, знаки препинания, минимальная длина 14 символов)
- 2. Настройка брандмауэра
- 1) правила для входящих подключений (блокировать)
- 2) правила для исходящих подключений (разрешить)
- 3) логирование пропущенных пакетов
- 4) логирование успешных подключений
- 3. Установка антивируса (поставил dr.web, но потом удалил, чтобы настроить брандмауэр)
- 4. Настройка админки
- 1) Запретил смену пароля администратора обычным ползователям
- 2) Смена логина админа для усложнения подбора (admin228)
- (Локальная политика безопасности)
- 6. Аудит политики безопасности. Включение следущих опций:
- 1) Аудит входа в систему
- 2) Аудит доступа к объектам
- 3) Аудит доступа к службе каталогов
- 4) Аудит измнения политики
- 5) Аудит использования привелегий
- 6) Аудит отслеживания процессов
- 7) Аудит системных событий
- 8) Аудит событий входа в систему
- 9) Аудит управления учетными записями
- 7. Настройка политики паролей
- 1) Вести журнал паролей (вкл)
- 2) Максимальный срок действия пароля (30 дней)
- 3) Минимальная длина пароля (14 символов)
- 4) Требования (андерскор и тд)
- 5) Хранение паролей в зашифрованном виде
- 8. Отключил LM HASH, т.к. LM является устаревшей технологией и использует очень нестойкий вид шифрования,
- который легко взломать. В сетевой среде эти пароли передаются на контроллер домена для аутентификации.
- Это означает, что кто-то может перехватить сетевой трафик, генерируемый приложением,
- применяемым механизмы LM аутентификации, и немного постаравшись, расшифровать пароли пользователей.
- 9. Включил опцию "Отправлять Do Not Track, чтобы уведомлять веб-сайты, что вы против отслеживания" в explorere
- 10. Настройка политики параметров безопасности
- 1) Аудит доступа глобальных системых объектов (мьютексы, семафоры и тд создаются
- с системным списком управления доступа по умолчанию)
- 2) Аудит прав на архивацию и восстановление
- 3) Кэшировани 10 последних входов юзера в систему
- 4) Не отображать последнее имя пользователя при входе в систему
- 5) Не отображать имена при логине, чтобы нельзя было подобрать пароль
- (работает в совокупности со сменой логина для админа?
- т.е. если будут пытаться брутить admin, а у него на самом деле другой логин)
- 6) Включил повышение прав только для подписанных и проверенных исполняемых файлов
- (Принудительно инициирует проверку пути сертификации PKI,
- прежде чем разрешить выполнение исполняемого файла)
- 7) Изменил время бездействия до приостановления системы (с 15 минут до 5 минут)
- 8) Включил аудит входящего трафика NTLM для всех учетных записей на
- 9) Разрешил форматирование и извлечение съемных носителей только администраторам и опытным пользователям
- 10) Переименование учетной записи Гость на Гость228 для защиты от брута
- 11) Блокировка после 3 неуспешных вводов паролей
- 11. Настройка обновлений по расписанию (т.к. с обновлениями закрываются некоторые старые дыры)
- 12. Попытался настроить шифрование BitLocker (для этого пришлось настроить TPM).
- Не получилось, потому что ключ, нужно хранить на другом диске, а уменя диск один. Флешку потерял
- пару дней назад.
- 13. Настройка брандмауэра внутри группы. Настроен белый лист. Между группой можем пинговаться. Извне - нет.
- 14. Настройка общей папки. Доступ есть только у членов группы.
- На других двух ВМ почти одинаково:
- 1.сложный пароль админа (длина, разные классы, журнал паролей)
- 2.можно поставить кастомный АВ+файрволл, скорее всего это будут продукты Лаборатории Касперского, но это платно, поэтому на ВМ защитник Windows и брандмауэр
- 3.брандмауэр по дефолту, но созданы разрешения для своего отдела, чтобы работал пинг и доступ к общей папке
- 4.gpedit.msc -> ЛП безопасности:
- парольная политика (требования к сложности, журнал паролей, макс срок, мин длина)
- блокировки (5 неуд попыток = бан на 30 мин)
- политика аудита: вход в систему, управление учетными записями, повышение привилегий
- расширенная политика аудита (...)
- политики автозапуска
- 5.расшаренная папка, доступ по ЛП учетной записи созданной специально для доступа к этой папке
- 6.обновы должны быть включены, но слишком долго ставить, так что не сделано
- 7.контроль учетных записей (3 уровень)
- 8.восстановление системы (точка восстановления)
- 9.юзер для работы (не админ)
- 10.гостевой вход отключен
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement