Форум OlegON > Компьютеры и Программное обеспечение > Операционные системы и программное обеспечение > Windows

Советы по обеспечению максимальной безопасности Windows : Windows

25.04.2024 19:17


12.04.2014 11:47
OlegON
 
Итак, случилось несчастье и в зону вашей ответственности попал Windows-хост, на который имеют доступ больше одного человека. Ввиду отсутствия принципиальной разницы между сервером и десктопом по обсуждаемой теме, предлагаю обсуждать их тут одновременно, просто подчеркивая, для чего предлагается то или иное. Цель - недопустить зловредов, несанкционированного доступа и идиотских действий тех, кто имеет учетку на компе. Понимаю, что трудно без точного описания необходимых прав этой учетки описать, что же именно ей можно отрезать, но давайте все же попробуем?
12.04.2014 12:10
OlegON
 
Да, антивирус и прочие стенки на этом хосте отсутствуют. Это условие добавляю, чтобы флуд про антивирусы не разводить.
Итак, что я первым делом бы сделал для сервера.
  1. Обновления, дефендер, фаервол, восстановление системы и снимки должны быть отключены.
  2. Юзерская учетка не имеет прав писать в папки на системном диске кроме каталога windows, appdata, desktop, documents и temp
  3. Реестр восстанавливается из резервной копии при каждом запуске.
  4. Юзерская учетка не имеет прав на выполнение файлов и ярлыков из папок с правами на запись включая temp.
  5. Из папок windows и Program Files можно выполнять только подписанные файлы или файлы явно указанные в белом списке.
  6. На терминальные сессии установлен лимит времени бездействия, после которого сессия закрывается
  7. Пользователи не имеют права устанавливать софт

Расплывчатая и очень объемная у меня тема получилась, но, надеюсь, вы поймете о чем я..
12.04.2014 13:02
Iggy
 
RemoteRegistry (Удаленный реестр) отключение автозапуска
01.05.2014 19:18
Tema
 
хотелось бы примеров, кто как решает пункты 3,4,5 (допустим что AD в данном варианте отсутствует)
10.05.2014 09:04
OlegON
 
AD тут вообще не в тему, винда работает с локальными политиками и без нее. В аттаче пример .reg файла, который запрещает выполнение программ с диска C: за исключением системных папок windows, Program Files и папки UserSoft.
Для возврата в первоначальное состояние различных системных областей можно пользоваться EWF.
Вложения
Тип файла: 7z group-policy.7z (1.4 Кб, 113 просмотров)
Часовой пояс GMT +3, время: 19:17.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.