Додаток № 1 від « » 2013 рокуppl33-35.com/doc/dodatok.pdf · Додаток № 1 до Договору про надання доступу до Інформаційної

Додаток № 1

до Договору про надання доступу

до Інформаційної

системи портового співтовариства

від «___» _______ 2013 року

Інструкція користувачу

автоматизованої системи класу «3» єдиної інформаційної системи портового співтовариства

(інформаційної системи портового співтовариства)

1. Електронно-обчислювальні машини (ЕОМ), які використовуються для обробки

конфіденційної інформації, відноситься до об’єктів електронно-обчислювальної техніки (ЕОТ).

2. Для забезпечення необхідного рівня захисту конфіденційної інформації від

несанкціонованого доступу (НСД) в автоматизованій системі (АС)використовуються організаційно-

технічні заходи.

3. Носії, які призначені для роботи з конфіденційною інформацією в АС та носії

ключової інформації повинні бути зареєстровані у “Журналі обліку магнітних носіїв інформації” і

зберігатися у сховищах, які призначені для збереження документів, справ, видань та інших

матеріальних носіїв конфіденційної інформації. На них розповсюджуються такі ж правила, які діють

для паперових документів з відповідним грифом.

4. Порядок обробки в АС документів, які містять конфіденційну інформацію, розроблено

відповідно до таких документів: – Перелік відомостей, що становлять конфіденційну інформацію в товаристві з обмеженою

відповідальністю "ППЛ 33-35"; – Інструкція про порядок обліку, зберігання, використання, та знищення носіїв конфіденційної

інформації в ТОВ «ППЛ 33-35». 5. Перед початком роботи в АС користувач зобов'язаний: – Мати особистий ключ, отриманий від Центру сертифікації ключів у встановленому порядку.

Перелік необхідних документів для отримання ЕЦП розміщений на веб-сторінці ЦСК. – Ознайомитись в частині, що його стосується, з організаційно-технічними документами, які

регламентують правила обробки конфіденційної інформації в АС. Дозволяється ознайомлення користувача з необхідними документами в електронному вигляді.

– Мати встановлену на ЕОМ Клієнтську частину програмного забезпечення єдиної інформаційної системи портового співтовариства.

Клієнтська частина програмного забезпечення єдиної інформаційної системи портового

співтовариства (далі – ПЗ) може бути встановлена на ЕОМ, яка відповідає наступним вимогам:

- на ЕОМ встановлена ліцензійна версія операційної системи (ОС) Windows XP Professional

Service Pack 2 або більш новітньої версії;

- настроювання параметрів безпеки ОС проведене у відповідності до Інструкції з інсталяції та

конфігурування параметрів безпеки для відповідної операційної системи;

- на ЕОМ встановлене ліцензійне антивірусне програмне забезпечення з переліку засобів

загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність

охорони якої визначено законодавством України. Вказаний перелік розміщений на веб-сторінці

Державної служби спеціального зв’язку та захисту інформації України (http://dstszi.kmu.gov.ua

Діяльність » Експертиза » Технічний захист інформації » Засоби ТЗІ, які мають експертний

висновок про відповідність до вимог технічного захисту інформації). Антивірусні бази повинні

регулярно оновлюватись. – Обов’язково повинен бути встановлений пароль на завантаження ЕОМ. 6. В процесі роботи в АС користувач зобов'язаний:

– Дотримуватися встановлених вимог нормативних документів щодо роботи з конфіденційною

інформацією. Користувачі несуть особисту відповідальність за дотримання ними встановлених

правил обробки конфіденційної інформації під час роботи в АС.

– Спостерігати, щоб дані, які виводяться на екран монітору не були доступні для спостереження

іншим особам.

– Дотримуватися Регламенту ЦСК та Договору про надання послуг ЕЦП.

7. Користувачеві категорично заборонено:

– Проводити роботи з обробки конфіденційної інформації без виконання всіх заходів щодо

захисту інформації.

– Обробляти конфіденційну інформацію при виявленні будь-яких несправностей або збоїв у

роботі програмного та апаратного забезпечення.

– Декомпілювати ПЗ або вносити будь-які зміни в файли ПЗ.

– Розголошувати відомості щодо заходів захисту від несанкціонованого доступу.

– Встановлювати будь-яке неліцензійне або стороннє програмне забезпечення, яке може

спричинити виток конфіденційної інформації, тобто комп’ютерних вірусів, клавіатурних шпигунів

тощо.

– Обробляти конфіденційну інформацію під час знаходження у приміщенні сторонніх осіб.

– Під час обробки конфіденційної інформації залишати робоче місце.

– Використовувати для роботи з конфіденційною інформацією змінні носії (дискети, оптичні

диски, flash-пам’яті тощо), які не пройшли відповідну реєстрацію.

– Залишати без нагляду та передавати іншим особам отримані змінні носії.

8. Правила використання ключа ЕЦП і пароля доступу до ключа:

– Носії з ключами ЕЦП реєструються в журналі за місцем роботи користувача.

– Після завершення роботи в АС завжди відключайте носій з ключем ЕЦП.

– У разі виникнення підозр на компрометацію ключа ЕЦП (копіювання чи втрата носія,

порушення правил зберігання особистих ключів, виникнення підозр на несанкціоноване

застосування особистого ключа, втрата контролю щодо особистого ключа через компрометацію

коду доступу до носія особистого ключа, випадки, коли не можна вірогідно встановити, що

відбулося з носієм, що містить ключову інформацію, наприклад, коли носій вийшов з ладу й

доказово не спростована можливість того, що даний факт відбувся в результаті несанкціонованих

дій зловмисника) або компрометацію середовища виконання (наявність в комп'ютері програм-

шпигунів) його власник повинен негайно повідомити про це співробітника Акредитованого центра

сертифікації ключів (АЦСК) та вжити заходів щодо скасування відповідного сертифікату

відкритого ключа.

– У разі крадіжки ключа ЕЦП зміна пароля доступу до ключа ЕЦП не захищає від використання

його зловмисниками. З метою дотримання безпеки необхідно заблокувати ключ ЕЦП та згенерувати

новий.

– Не зберігайте пароль доступу до ключа ЕЦП на носії ключової інформації або разом із носієм.

9. Про всі факти втручання в роботу ЕОМ або виявлення порушень вимог цієї Інструкції

користувач повинен повідомити про це відповідальному за технічний захист інформації (ТЗІ) в ТОВ

«ППЛ 33-35» (Центр обробки даних/ЦОД) на електронну пошту [email protected] та на

електронну пошту Адміністрації.

10. Користувач несе особисту відповідальність за дотримання правил обробки

конфіденційної інформації в автоматизованій системі та виконання цієї Інструкції та інших настанов

стосовно роботи в АС.

11. За порушення, що призвели до витоку конфіденційної інформації або її знищення, а

також за порушення вимог нормативних документів щодо роботи з конфіденційною інформацією,

цієї Інструкції та законодавства винні особи несуть відповідальність згідно з чинним законодавством

України.

ЦЕНТР ОБРОБКИ ДАНИХ:

КОРИСТУВАЧ

Товариство з обмеженою відповідальністю

«ППЛ 33-35»

Генеральний директор_________ І.Л.Ліптуга





від «___» _______ 2013 року

Інструкція з антивірусного захисту інформації в

автоматизованій системі класу «3» єдиної інформаційної системи портового співтовариства

(інформаційної системи портового співтовариства)

Вимоги до системи антивірусного захисту

mailto:[email protected]

Комп'ютерним вірусом є паразитуючий програмний код, який обумовлює виконання

несанкціонованих команд/програм на ураженому комп'ютері. Вірус розповсюджується у вигляді

програм, файлів та макросів. Він впливає на цілісність інформації, програмне забезпечення та (чи)

режим роботи обчислювальної техніки, що може привести до відмови комп'ютера, виконання ним

дій, що приховані від користувача, і відповідно, до порушення цілісності та доступності інформації

або її витоку.

Система антивірусного захисту повинна базуватися на антивірусних продуктах, що мають

експертний висновок Державної служби спеціального зв’язку та захисту інформації України для

забезпечення можливості контролю проникнення вірусів у максимально короткі строки після їх

появи. Перелік антивірусних продуктів, що мають експертний висновок, розміщений на веб-сторінці

Державної служби спеціального зв’язку та захисту інформації України (http://dstszi.kmu.gov.ua

Діяльність » Експертиза » Технічний захист інформації » Засоби ТЗІ, які мають експертний

висновок про відповідність до вимог технічного захисту інформації).

Система захисту файлових служб та служб баз даних повинна забезпечувати захист

автоматизованої системи (АС) від комп'ютерних вірусів шляхом перевірки файлів та процесів на цих

електронно-обчислювальних машинах (ЕОМ) антивірусним монітором, сканером, що

встановлюються на цих ЕОМ.

Найбільш ймовірними вірусними загрозами працездатності автоматизованого робочого

місця може бути: - пошкодження комп'ютерним вірусом файлової структури операційної системи та

програмного забезпечення автоматизованої системи;

- знищення даних в енергонезалежній пам'яті комп'ютера (Flash BIOS, СМОS), що може

привести до відмови роботи комп'ютера.

Система антивірусного захисту (САЗ) повинна забезпечувати: - можливість безупинного захисту об'єктів АС відповідно до встановлених вимог та політики

безпеки;

- можливість автоматизованого блокування проникнення комп'ютерних вірусів з усіх

можливих джерел;

- лікування комп'ютерних вірусів з занесенням інформації про це у відповідні протоколи

роботи для забезпечення моніторингу роботи. В разі підозри на зараження невідомими

комп'ютерними вірусами та неможливості лікування, САЗ повинна забезпечувати блокування

доступу користувачів до цієї інформації;

- можливість оперативного повідомлення відповідальних осіб щодо виникнення критичних чи

особливих ситуацій у АС, тобто: виявлення вірусу, збій у системі оновлень, зміна налаштувань САЗ;

- гнучке масштабування при появі нових об'єктів антивірусного захисту у АС;

- ліцензійність та підтримку постачальниками застосованого антивірусного програмного

забезпечення.

Обов'язки системного адміністратора АС Системний адміністратор відповідає за організаційне забезпечення задач керування САЗ та

здійснення контролю за її функціонуванням. Системний адміністратор зобов'язаний:

- забезпечувати функціонування САЗ, та контроль виконання її вимог;

- проводити моніторинг роботи антивірусних засобів захисту, та оперативно реагувати на

виникнення при цьому критичних ситуацій;

- контролювати своєчасне оновлювання антивірусного програмного забезпечення (оновлення

баз проводити не рідше ніж один раз кожні 7 діб);

- оперативно взаємодіяти з користувачами АС та системними адміністраторами організацій у

разі виникнення ситуацій, пов'язаних з антивірусним захистом;

- погоджувати свої дії з відповідальним по ТЗІ у разі необхідного внесення змін у роботу

програмно-апаратного забезпечення АС, що може бути пов'язано з вірусною загрозою;

- вести облік роботи САЗ.

Обов'язки користувачів АС

Користувачі АС відповідають за дотримання вимог САЗ.

Користувачі АС зобов'язані:

- дотримуватися вимог та рекомендацій щодо захисту інформації у АС від вірусного

зараження;

- регулярно оновлювати антивірусні бази (слідкувати за актуальністю антивірусних баз -

оновлення проводити не рідше ніж один раз кожні 7 діб);

- в роботі із зовнішніми накопичувачами (магнітні диски, CD-ROM, flash-пам’яті тощо)

обов'язково перевіряти їх антивірусною програмою до використання на об'єкті електронно-

обчислювальної техніки ЕОТ;

- інформувати системного адміністратора організації про будь-який виявлений вірус, зміни

конфігурації або незвичайне поводження комп'ютера або програми та припиняти роботу.

Огляди вірусів Використовуються різні типи огляду АС:

- огляд вручну або за запитом. Перевіряються обрані файли і папки на ЕОМ;

- огляд у реальному часі. Ця функція безупинно перевіряє на наявність відомих вірусів

файли, які читаються/записуються на ЕОМ;

- плановий огляд. Перевіряються обрані файли і папки на АС у запланований час.

Дії системного адміністратора у разі виявлення зараження вірусом Після одержання інформації про можливість зараження вірусом системний адміністратор:

- інформує системного адміністратора АС та всіх користувачів, що мають доступ до програм

або файлів даних, які можуть бути заражені вірусом, про таку ймовірність.

- проводить або ініціює (супроводжує) перевірку ЕОМ АС та зовнішніх накопичувачів

користувачів АС засобами САЗ (лікування інфікованого файлу / ізоляція інфікованого файлу /

видалення зараженого файлу).



Товариство з обмеженою відповідальністю

«ППЛ 33-35»






від «___» _______ 2013 року

І Н С Т Р У К Ц І Я

з інсталяції та конфігурування параметрів безпеки ОС

Windows 7 Professional Edition

Windows 7 Enterprise Edition

Windows 7 Ultimate Edition

Вступ

Корпорація Microsoft разом з носієм ОС Windows 7 постачає документацію, яка містить детальні

інструкції щодо установки ОС та додаткові відомості.

Інструкції щодо установки та інші відомості, які наведені в цих документах рекомендується

використовувати під час установки ОС Windows 7 на АРМ користувачів.

В документі розглядається конфігурування параметрів безпеки операційних систем Microsoft Windows

7.

Значення параметрів безпеки наведені в табл. 1-9. Для параметрів, які несуттєві для безпеки, значення

не вказані.

Назви параметрів безпеки, які описані у цьому документі, наведені російською та/або англійською

мовами.

1 Засоби, які використовуються для конфігурування параметрів безпеки

Для конфігурування параметрів безпеки застосовуються вбудовані системні компоненти ОC Windows 7

такі як:

- Редактор групових політик (далі редактор політики);

- Редактор реєстру.

1.1 Запуск редактора політик

Запуск редактора політики здійснюється шляхом виконання в командному рядку команди «gpedit.msc».

1.2 Запуск редактора реєстру

Запуск редактора реєстру здійснюється шляхом виконання в командному рядку команди «regedit.exe».

2 Політика облікових записів (Политика учетных записей)

Політика облікових записів містить параметри безпеки для паролів і блокування облікових записів.

2.1 Політика паролів (Политика паролей)

Параметри налаштовуються за допомогою редактора політики за адресою:

Политики учетных записей\ Политика паролей

Параметри наведені в табл. 1.

Таблиця 1

№

п/п

Назва

параметра

Параметр

(Установка)

1 Вести журнал паролей

(Enforce password history)

24 хранимых пароля

(24 passwords remembered)

2 Максимальный срок действия пароля

(Maximum password age)

31 дня

(31 days)

3 Минимальный срок действия пароля

(Minimum password age)

30 дней

(30 days)

4 Минимальная длина пароля

(Minimum password lengths) 1

8

5 Пароль должен отвечать требованиям сложности

(Password must meet complexity requirements)

Включен

(Enabled)

6 Хранить пароли, используя обратимое шифрование

(Store password using reversible encryption)

Отключен

(Disabled)

2.2 Політика блокування облікового запису (Политика блокировки учетной записи)

Політика блокування облікового запису використовується для блокування облікового запису, якщо

протягом заданого проміжку часу реєструється визначена кількість невдалих спроб входу до системи. Кількість

спроб і інтервал часу встановлюються за допомогою параметрів політики облікового запису.

Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною адресою:

Политики учетных записей\ Политика блокировки учетной записи

Рекомендовані параметри наведені в табл. 2.

Таблиця 2

№

п/п

Назва

параметра

Параметр


1 Время до сброса блокировки

(Account lockout duration)

30 минут

(30 minutes)

2 Пороговое значение блокировки

(Account lockout duration)2

10 ошибок входа в систему

(10 invalid logon attempts)

3 Продолжительность блокировки учетной записи

(Reset account lockout counter after)

30 минут

(30 minutes)

1 Слід зауважити, що довгі паролі, які складаються з восьми і більше символів, як правило, значно надійніші за

короткі, але застосування дуже довгих паролів приводить до збільшення кількості помилок при введенні

пароля, збільшенню кількості заблокованих облікових записів і, як наслідок, звернень в службу підтримки

користувачів мережі. Крім того, використання дуже довгих паролів може привести до фактичного зниження

безпеки, тому що користувачі через боязнь забути пароль вимушені його записувати. Фактичне значення

довжини пароля визначається відповідно до політики безпеки організації. 2 Стандартне граничне значення параметра “Пороговое значение блокировки”, яке рекомендується, дорівнює 50

невдалим спробам входу до системи, але насправді це значення залежить повністю від політики організації.

Невелике значення цього параметра підвищує імовірність проведення атаки типу “Відмова від обслуговування”

(DoS).

Більш детальну інформацію про налаштування параметрів політики облікових записів можна знайти в

Windows 7 Security Guide (Руководство по безопасности Windows 7). Microsoft Corporation, 2009.

3 Параметри локальної політики (Параметры локальной политики) До параметрів локальної політики відносять політику аудита, призначення прав користувачів та

параметри безпеки.

3.1 Політика аудиту (Политика аудита)

За допомогою політики аудита визначаються події безпеки, які заносяться в журнал реєстрації.

Адміністратор отримує можливість слідкувати за діями, які мають відношення до безпеки, наприклад доступом до об’єктів, входом (виходом) з системи.


Локальные политики\ Политика аудита


Таблиця 3

№

п/п

Назва

параметра

Параметр


1 Аудит входа в систему

(Audit account logon events)

Успех, Отказ (Success, Failure)

2 Аудит управления учетными записями

(Audit account management)


3 Аудит доступа к службе каталогов

(Audit directory service access)


4 Аудит событий входа в систему

(Audit logon events)


5 Аудит доступа к объектам

(Audit object access)


6 Аудит изменения политики

(Audit policy change)


7 Аудит использования привилегий

(Audit privilege use)


8 Аудит отслеживания процессов

(Audit process traking)


9 Аудит системных событий

(Audit system events)


3.2 Параметри призначення прав користувачів (Параметры назначения прав пользователя)

Параметри призначення прав користувачів дозволяють призначати привілеї користувачам і групам.


Локальные политики\ Назначение прав пользователей

При налаштуванні параметрів безпеки локального об’єкта групової політики комп’ютера, який не є

членом домену, значення „Не определено” (Not defined) і „Никто” (No One) не відрізняються та визначають,

що ніякому користувачу не надаються відповідні привілеї. Обидва значення задаються в редакторі „Локальна

політика безпеки” шляхом видалення всіх користувачів зі списку відповідного параметра.

При налаштуванні параметрів безпеки об’єктів групової політики Active Directory домену ці значення

мають наступний сенс:

„Не определено” (Not defined) – визначає, що при формуванні результуючої політики, даний об’єкт

групової політики не впливає на відповідний параметр політики. Це значення налаштовується

шляхом деактивування відповідного параметра інтерфейсу редактора групової політики Active

Directory;

„Никто” (No One) – визначає, що при формуванні результуючої політики, даний об’єкт групової

політики перекриває значення відповідного параметра попередніх об’єктів шляхом очищення списку

користувачів та груп користувачів. Це значення налаштовується шляхом активування параметра без

внесення в список користувачів, яким надаються відповідні привілеї, жодного з користувачів або

груп користувачів


Таблиця 4

№

п/п

Назва

параметра

Параметр


1 Архивирование файлов и каталогов

(Back up files and directories)

Администраторы

(Administrators)

2 Блокировка страниц в памяти Никто

№

п/п

Назва

параметра

Параметр


(Lock pages in memory) (None)

3 Восстановление файлов и каталогов

(Restore files and directories)


(Administrators)

4 Вход в качестве пакетного задания

(Log on as a batch job)

Никто

(None)

5 Вход в качестве службы

(Log on as a service)

Никто

(None)

6 Выполнение задач по обслуживанию томов

(Perform volume maintenance tasks)


(Administrators)

7 Добавление рабочих станций к домену

(Add workstations to domain)


(Administrators)

8 Доступ к диспетчеру учетных данных от имени доверенного

вызывающего

(Access credential Manager as a trusted caller)

Никто

(No One)

9 Доступ к компьютеру из сети

(Access this computer from the network)


(Administrators)

10 Завершение работы системы

(Shut down the system)

Администраторы,

Пользователи

(Administrators, Users)

11 Загрузка и выгрузка драйверов устройств

(Load and unload device drivers)


(Administrators)

12 Замена маркера уровня процесса

(Replace a process level token)

LOCAL SERVICE,

NETWORK SERVICE

13 Запретить вход в систему

через службу терминалов

(Deny logon through Terminal Services)

Гости, АНОНИМНЫЙ ВХОД

(Guests, ANONYOMUS

LOGON)

14 Запретить локальный вход

(Deny log on locally)


(Guests, ANONYOMUS

LOGON)

15 Изменение метки обьекта

(Modify an object label)

Никто

(No One)

16 Изменение параметров среды изготовителя

(Modify firmware environment values)


(Administrators)

17 Изменение системного времени

(Change the system time)

Администраторы, LOCAL

SERVICE

(Administrators)

18 Изменение часового пояса

(Change the time zone)


SERVICE

(Administrators)

19 Имитация клиента после проверки подлинности

(Impersonate a client after authentication)

Администраторы, СЛУЖБА,

LOCAL SERVICE,

NETWORK SERVICE

(Administrators, SERVICE)

20 Локальный вход в систему

(Allow log on locally)


Пользователи


21 Настройка квот памяти для процесса

(Adjust memory quotas to a process)

Администраторы, СЛУЖБА

(Administrators),

LOCAL SERVICE,

NETWORK SERVICE

22 Обход перекрестной проверки

(Bypass traverse checking)

Прошедшие проверку,

LOCAL SERVICE,

NETWORK SERVICE

23 Отказ в доступе к компьютеру из сети

(Deny access to this computer from the network)


(Guests, ANONYOMUS

LOGON)

24 Отказ во входе в качестве пакетного задания

(Deny logon as a batch job)


(Guests, ANONYOMUS

LOGON)

№

п/п

Назва

параметра

Параметр


25 Отказ во входе в качестве службы

(Deny log on as a service)

Не определено

( No defined)

26 Отключение компьютера от стыковочного узла

(Remove computer from docking station)


(Administrators)

27 Отладка программ

(Debug programs)

Никто

(No оne)

28 Принудительное удаленное завершение работы

(Force shutdown from a remote system)


(Administrators)

29 Профилирование одного процесса

(Profile single process)


(Administrators)

30 Профилирование производительности системы

(Profile system performance)


(Administrators)

31 Работа в режиме операционной системы

(Act as part of the operating system)

Никто

(No One)

32 Разрешать вход в систему

через службу удаленных рабочих столов

(Allow logon through Remote Desktop Services)


(Administrators)

33 Разрешения доверия к учетным записям при делегировании

(Enable computer and user accounts to be trusted for delegation)


(Not defined)

34 Синхронизация данных службы каталогов

(Synchronize directory service data)

Никто

(No One)

35 Смена владельцев файлов и других объектов

(Take ownership of files or other objects)


(Administrators)

36 Создание аудитов безопасности

(Generate security audits)

LOCAL SERVICE,

NETWORK SERVICE

37 Создание глобальных объектов

(Create global objects)


(Administrators), LOCAL

SERVICE,

NETWORK SERVICE

38 Создание маркерного объекта

(Create a token object)

Никто

(Nо one)

39 Создание постоянных общих объектов (Create permanent shared

objects)

Никто

(Nо one)

40 Создание символических ссылок

(Create symbolic links)

Никто

(Nо one)

41 Создание файла подкачки

(Create a pagefile)


(Administrators)

42 Увеличение приоритета выполнения (Increase scheduling

priority)


(Administrators)

43 Увеличение рабочего набора процесса

(Increase a process working set)


SERVICE

(Administrators)

44 Управление аудитом и журналом безопасности

(Manage auditing and security log)


(Administrators)

3.3 Параметри безпеки (Параметры безопасности)

Параметри безпеки дозволяють задіяти або відмінити ряд функцій наприклад, цифровий підпис даних,

ім’я облікових записів адміністратора і гостя, доступ к дисководам гнучких та компакт-дисків, установку

драйверів, повідомлення при вході в систему і та ін.


Конфигурация компьютера\ Конфигурация Windows\ Параметры безопасности\ Локальные

политики\ Параметры безопасности


Таблиця 5

№

п/п

Назва

параметра

Параметр


1 Учетные записи: состояние учетной записи «Администратор»

(Accounts: Administrator account status)

Отключен

(Disabled)

2 Учетные записи: состояние учетной записи «Гость» Отключен

№

п/п

Назва

параметра

Параметр


(Accounts: Guest account status) (Disabled)

3 Учетные записи: разрешить использование пустых паролей

только при консольном входе

(Accounts: Limit local account use of blank passwords to console

logon only)

Включен

(Enabled)

4 Учетные записи: Переименование учетной записи

администратора

(Accounts: Rename administrator account)

Рекомендуется3

(Recommend)

5 Учетные записи: Переименование учетной записи гостя

(Accounts: Rename guest account)

Рекомендуется4

(Recommend)

6 Аудит: Аудит доступа глобальных системных объектов

(Audit: Audit the access of global system objects)

Отключен

(Disabled)

7 Аудит: Аудит прав на архивацию и восстановление

(Audit: Audit the use of Backup and Restore privelege)

Отключен

(Disabled)

8 Аудит: Немедленное отключение системы, если невозможно

внести в журнал записи об аудите безопасности

(Audit: Shut down system immediately if unable to log security

audits)

Включен

(Enabled)

9 Аудит: принудительно переопределяет параметры

подкатегории политики аудита параметров категории политики

аудита

(Audit: Force audit policy subcategory settings to override audit

policy category settings)

Включен

(Enabled)

10 Устройства: Разрешать отстыковку без входа в систему

(Devices: Allow undock without having to log on)

Отключен

(Disabled)

11 Устройства: Разрешить форматирование и извлечение

съемных носителей

(Devices: Allowed format and eject removable media)


(Administrators)

12 Устройства: разрешить доступ к дисководам компакт-дисков

только локальным пользователям

(Devices: Restrict CD-ROM access to locally logged-on user only)5

Отключен

(Disabled)

13 Устройства: разрешить доступ к дисководам гибких дисков

только локальным пользователям

(Devices: Restrict floppy access to locally logged-on user only)

Отключен

(Disabled)

14 Устройства: запретить пользователям установку драйверов

принтера

(Devices: Prevent users from installing printer drivers)

Включен

(Enabled)

15 Контроллер домена: разрешить операторам сервера задавать

выполнение заданий по расписанию

(Domain controller: Allow server operators to schedule tasks)

Отключен

(Disabled)

16 Контроллер домена:

Требование цифровой подписи для LDAP сервера

(Domain controller: LDAP server signing requirements)

Нет

17 Контроллер домена:

Запретить изменение пароля учетных записей компьютера

(Domain controller: Refuse machine account password changes)

Отключен

(Disabled)

3 Корпорація Microsoft рекомендує вибрати для встроєного облікового запису «Адміністратор» інше ім’я і в

подальшому уникати використання імен з явно вираженими ознаками адміністративних повноважень облікових

записів 4 Майкрософт також рекомендує перейменувати цей обліковий запис так, щоб нове ім'я не відображало

призначення цього облікового запису. Навіть при відключенні цього облікового запису (рекомендується), в

цілях додаткової безпеки переконаєтеся в тому, що вона перейменована. 5 Якщо не планується надання користувачам права встановлювати програмне забезпечення на клієнтських

машинах, потрібно встановлювати для даного параметра значення “Включен”. Те ж саме стосується параметра

“Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям”.

№

п/п

Назва

параметра

Параметр


18 Член домена: Всегда требуется цифровая подпись или

шифрование потока данных безопасного канала

(Domain member: Digitaly encrypt or sign secure channel data

(always))

Включен

(Enabled)

19 Член домена: Шифрование данных безопасного канала, когда

это возможно

(Domain member: Digitally encrypt secure channel data (when

possible))

Включен

(Enabled)

20 Член домена: Максимальный срок действия пароля учетных

записей компьютера

(Domain member: Maximum machine account password age)

30 дней

(30 days)

21 Член домена: Цифровая подпись данных безопасного канала,

когда это возможно

(Domain member: Digitally sign secure channel data (when

possible))

Включен

(Enabled)

22 Член домена: Отключить изменение пароля учетных записей

компьютера (Domain member: Disable machine account password

changes)

Отключен

(Disabled)

23 Член домена: требовать стойкий ключа сеанса

(Windows 2000 или выше)

(Domain member: Require strong (Windows 2000 or later) session

key)

Включен

(Enabled)

24 Интерактивный вход в систему: Не отображать последнее имя

пользователя (Interactive logon: Do not display last user name)

Включен

(Enabled)

25 Интерактивный вход в систему: Не требовать

нажатия CTRL+ALT+DEL (Interactive logon: Do not

require CTRL+ALT+DEL)

Отключен

(Disabled)

26 Интерактивный вход в систему: Текст сообщения для

пользователей при входе в систему

(Interactive logon: Message text for users attempting to log on)

Вхід тільки для авторизованих

користувачів. Особи, які

здійснюють спроби

несанкціонованого доступу,

переслідуватимуться згідно

із законом

27 Интерактивный вход в систему: Заголовок сообщения для

пользователей при входе в систему (Interactive logon: Message

title for users attempting to log on)

ПРОДОВЖЕННЯ СПРОБ БЕЗ

НАЛЕЖНОЇ АВТОРИЗАЦІЇ Є

ЗЛОЧИНОМ

28 Интерактивный вход в систему: количество предыдущих

подключений к кэшу (в случае отсутствия доступа к

контроллеру домена)

(Interactive logon:

Number of previous logons to cache (in case domain controller is

not available))

0

29 Интерактивный вход в систему: напоминать пользователям об

истечении срока действия пароля заранее

(Interactive logon: Prompt user to change password before

expiration)

5 дней

(5 days)

30 Интерактивный вход в систему: требовать проверки на

контроллере домена для отмены блокировки компьютера

(Interactive logon: Require Domain controller authentication to

unlock workstation)

Включен

(Enabled)

31 Интерактивный вход в систему: требовать смарт-карту

(Interactive logon: Smart card removal behavior)

Отключен

(Disabled)

32 Интерактивный вход в систему: поведение при извлечении

смарт карты

(Interactive Logon: Smart card removal behavior)

Блокировка рабочей станции

33 Интерактивный вход в систему: отображать сведения о

пользователе если сеанс заблокирован

(Interactive Logon: Display user name when workstation locked)

Не отображать вседения о

пользователе

№

п/п

Назва

параметра

Параметр


34 Клиент сети Microsoft:

использовать цифровую подпись (всегда)

(Microsoft network client: Digitally sign communications (always))

Включен

(Enabled)

35 Клиент сети Microsoft:

использовать цифровую подпись (с согласия сервера)

(Microsoft network client: Digitally sign communications (if server

agrees))

Включен

(Enabled)

36 Клиент сети Microsoft: посылать незашифрованный пароль

сторонним SMB-серверам

(Microsoft network client: Send unencrypted password to third-

party SMB servers)

Отключен

(Disabled)

37 Сервер сети Microsoft:

Время бездействия до приостановки сеанса (Microsoft network

server: Amount of idle time required before suspending session)

10 минут

(10 minutes)


Использовать цифровую подпись (всегда)

(Microsoft network server: Digitally sign communications(always))

Включен

(Enabled)

39 Сервер сети Microsoft: Использовать цифровую подпись (с

согласия клиента)

(Microsoft network server: Digitally sign communications (if client

agrees))

Включен

(Enabled)


отключать клиентов по истечении разрешенных часов входа

(Microsoft network server:

Disconnect clients when logon hours expire )

Включен

(Enabled)

41 Доступ к сети: Разрешить трансляцию анонимного SID в имя

(Network access: Allow anonymous SID/Name translation)

Отключен

(Disabled)

42 Сетевой доступ: Не разрешать перечисление учетных записей

SAM анонимными пользователями (Network access: Do not

allow anonymous enumeration of SAM accounts)

Включен

(Enabled)

43 Сетевой доступ: не разрешать перечисление учетных записей

SAM и общих ресурсов анонимными пользователями

(Network access: Do not allow anonymous enumeration of SAM

accounts and shares)

Включен

(Enabled)

44 Сетевой доступ: не разрешать хранение паролей или учетных

данных для сетевой проверки подлинности

Включен

(Enabled)

45 Сетевой доступ: Разрешать применение разрешений «Для всех»

к анонимным пользователям

(Network access: Let Everyone permissions apply to anonymous

users)

Отключен

(Disabled)

46 Сетевой доступ: Разрешать анонимный доступ к именованным

каналам

(Network access: Named Pipes that can be accessed anonymously)

Ни для кого

(No one)

47 Сетевой доступ: Разрешать анонимный доступ к общим

ресурсам

(Network access: (Shares that can be accessed anonymously)

Ни для кого

(No one)

48 Сетевой доступ: удаленно доступные пути реестра (Network

access: Remotely accessible registry paths)

System\CurrentControlSet\Contr

ol\ProductOptions


ol\Server Applications

Software\Microsoft\Windows

NT\CurrentVersion

№

п/п

Назва

параметра

Параметр


49 Сетевой доступ: удаленно доступные пути и вложенные пути

реестра

(Network access: Remotely accessible registry paths and sub-paths)


NT\CurrentVersion\Print


NT\CurrentVersion\Windows


ol\Print\Printers

System\CurrentControlSet\Servic

es\Eventlog

Software\Microsoft\OLAP Server


ol\ContentIndex


ol\Terminal Server


ol\Terminal Server\UserConfig


ol\Terminal

Server\DefaultUserConfiguration


NT\CurrentVersion\Perflib

System\CurrentControlSet\Servic

es\SysmonLog

50 Сетевой доступ: Модель совместного доступа и безопасности

для локальных учетных записей

(Network access: Sharing and security model for local accounts)

Обычная –

локальные пользователи

удостоверяются как они сами

(Classic – local users

authenticate as

themselves)

51 Сетевой доступ: запретить анонимный доступ к именованным

каналам и общим ресурсам

(Network access: Restrict anonymous access to Named Pipes and

Shares)

Включен

(Enabled)

52 Сетевая безопасность: не хранить хеш - значений LAN Manager

при следующей смене пароля

(Network security: do not store LAN Manager hash value on next

password change )

Включен

(Enabled)

53 Сетевая безопасность: принудительный вывод из сеанса по

истечении допустимых часов работы

(Network security: Force logoff when logon hours expire)

Включен

(Enabled)

54 Сетевая безопасность: уровень проверки подлинности LAN

Manager

(Network security: LAN Manager authentication level )

NTLMv2 ответ, отказывать LM

и NTLM

(Send NTLMv2 response

only\refuse

LM and NTLM)

55 Сетевая безопасность: Требование цифровой подписи для

LDAP клиента

(Network security: LDAP client signing requirements)

Согласование цифровой

подписи

(Require signature)

56 Сетевая безопасность: Минимальная сеансовая безопасность

для клиентов на базе NTLM SSP (включая безопасность RPC)

(Network security: Minimum session security for NTLM SSP based

(including secure RPC) clients)

Требовать сеансовую

безопасность NTLMv2,

Требовать 128-битное

шифрование

(Require

NTLMv2 session security,

Require 128 bit Encryption)

57 Сетевая безопасность: Минимальная сеансовая безопасность

для серверов на базе NTLM SSP (включая безопасность RPC)


(including secure RPC)servers)

Требовать сеансовую

безопасность NTLMv2,

Требовать 128-битное

шифрование

( Require NTLMv2 session

security, Require 128 bit

№

п/п

Назва

параметра

Параметр


Encryption)

58 Сетевая безопасность: настройка типов шифрования,

разрешенных Kerberos

DES_CBC_CRC

DES_CBC_MD5

RC4_HMAC_MD5

AES128_HMAC_SHA1

AES256_HMAC_SHA1

Будущие типы шифрования

59 Сетевая безопасность: ограничения NTLM: аудит входящего

трафика NTLM


(Not defined)

60 Сетевая безопасность: ограничения NTLM: аудит проверки

подлинности NTLM в этом домене


(Not defined)

61 Сетевая безопасность: ограничения NTLM: входящий трафик

NTLM


(Not defined)

62 Сетевая безопасность: ограничения NTLM: добавить

исключения для серверов в этом домене


(Not defined)

63 Сетевая безопасность: ограничения NTLM: добавить

удаленные серверы в исключения проверки подлинности

NTLM


(Not defined)

64 Сетевая безопасность: ограничения NTLM: исходящий трафик

NTLM к удаленным серверам


(Not defined)

65 Сетевая безопасность: ограничения NTLM: проверка

подлинности NTLM в этом домене


(Not defined)

66 Сетевая безопасность: разрешить LocalSystem использовать

нулевые сеансы


(Not defined)

67 Сетевая безопасность: разрешить использование сетевых

удостоверений в запросах проверки подлинности PKU2U к

этому компьютеру

Отключен

(Disabled)

68 Сетевая безопасность: разрешить учетной записи локальной

системы использовать удостоверение компьютера для NTLM


(Not defined)

69 Консоль восстановления:

Разрешить Автоматическийй вход администратора

(Recovery console: Allow automatic administrative logon)

Отключен

(Disabled)

70 Консоль восстановления:

Разрешить копирование дискет и доступ ко всем дискам и

папкам

Администратора (Recovery console: Allow floppy copy and

access to all drives and all folders )

Отключен

(Disabled)

71 Завершение работы: разрешить завершение работы системы без

выполнения входа в систему

(Shutdown: Allow system to be shutdown without having to log on)

Отключен

(Disabled)

72 Завершение работы: Очистка файла подкачки виртуальной

памяти

(Shutdown: Clear virtual memory pagefile)

Включен

(Enabled)

73 Системная криптография: Использовать FIPS-совместимые

алгоритмы для шифрования, хеширования и подписывания

(System cryptography: Use FIPS compliant algorithms for

encryption, hashing, and signing)

Отключен

(Disabled)

74 Системная криптография: обязательное применение сильной

защиты ключей пользователей, хранящихся на компьютере

(System cryptography: Force strong key protection for user keys

Пользователь должен вводить

пароль при каждом

№

п/п

Назва

параметра

Параметр


stored on the computer) использовании ключа.

75 Системные объекты: учитывать регистр для подсистем,

отличных от Windows

(System objects: Require case insensitivity for non-Windows

subsystems)

Включен

(Enabled)

76 Системные объекты: усилить разрешения по умолчанию для

внутренних системных объектов

(System objects: Strengthen default permissions of internal system

objects (for example, Symbolic Links))

Включен

(Enabled)

77 DCOM: Ограничения компьютера на доступ в синтаксисе

SDDL (Security Descriptor Definition Language)


(Not defined)

78 DCOM: Ограничения компьютера на запуск в синтаксисе

SDDL (Security Descriptor Definition Language)


(Not defined)

79 Контроль учетных записей: все администраторы работают в

режиме одобрения администратором

(User Account Control: Run all administrators in Admin Approval

Mode)

Отключен

(Disabled)

80 Контроль учетных записей: обнаружение установки

приложений и запрос на повышение прав

(User Account Control: Detect application installations and prompt

for elevation)

Включен

(Enabled)

81 Контроль учетных записей: переключение к безопасному

рабочему столу при выполнении запроса на повышение прав

(User Account Control: Switch to the secure desktop when

prompting for elevation)

Отключен

(Disabled)

82 Контроль учетных записей: поведение запроса на повышение

прав для администраторов в режиме одобрения

администратором

(User Account Control: Behavior of the elevation prompt for

administrators in Admin Approval Mode)

Запрос учетных данных

83 Контроль учетных записей: поведение запроса на повышение

прав для обычных пользователей

(User Account Control: Behavior of the elevation prompt for

standard users)

Запрос учетных данных

84 Контроль учетных записей: повышать права для UIAccess-

приложений только при установке в безопасных местах

(User Account Control: Only elevate UIAccess applications that are

installed in secure locations)

Включен

(Enabled)

85 Контроль учетных записей: повышение прав только для

подписанных и проверенных исполняемых файлов

(User Account Control: Only elevate executables that are signed

and validated)

Отключен

(Disabled)

86 Контроль учетных записей: при сбоях записи в файл или реестр

виртуализация в место размещения пользователя

(User Account Control: Virtualize file and registry write failures to

per-user locations)

Включен

(Enabled)

87 Контроль учетных записей: разрешить UIAccess-приложениям

запрашивать повышение прав, не используя безопасный

рабочий стол

(User Account Control: Allow UIAccess applications to prompt for

elevation without using the secure desktop)

Отключен

(Disabled)

88 Контроль учетных записей: режим одобрения администратором

для встроенной учетной записи администратора

(User Account Control: Admin Approval Mode for the Built-in

Administrator account)

Отключен

(Disabled)

№

п/п

Назва

параметра

Параметр


89 Параметры системы: использовать правила сертификатов для

исполняемых файлов Windows для политик ограниченного

использования программ

(System settings: Use Certificate Rules on Windows Executables

for Software Restriction Policies)

Отключен

(Disabled)

90 Параметры системы: необязательные подсистемы

(System settings: Optional subsystems)

POSIX

91 Сетевой сервер (Майкрософт): уровень проверки сервером

имени участника-службы конечного объекта

Принимать, если предоставлено

клиентом

Більш детальну інформацію про налаштування параметрів локальної політики можна знайти в

наведених джерелах:

1) Windows 7 Security Guide (Руководство по безопасности Windows 7). Microsoft Corporation, 2009

2) http://go.microsoft.com/fwlink/?LinkId=144505.

4 Журнал подій (Журнал событий)

Параметри журналу подій використовуються для організації запису системних подій. В контейнері

“Журнал событий” групової політики задаються атрибути журналів, пов’язаних з застосуваннями, безпекою і

системними подіями, такі як максимальний розмір журналу, права доступу до кожного журналу, а також

тривалість та способи збереження.

4.1 Параметри безпеки журналу подій (Параметры безопасности журнала событий)


Конфигурация компьютера\ Конфигурация Windows\ Параметры безопасности\ Журнал событий


Таблиця 6

№

п/п

Назва

параметра

Параметр


1 Запретить доступ локальной группы гостей к журналу

приложений

(Prevent local guests group from accessing application log)

Включен

(Enabled)

2 Запретить доступ локальной группы гостей к журналу

безопасности

(Prevent local guests group from accessing security log)

Включен

(Enabled)

3 Запретить доступ локальной группы гостей к системному

журналу

(Prevent local guests group from accessing system log)

Включен

(Enabled)

4 Максимальный размер журнала приложений

(Maximum application log size)

32 768 Кбайт

32 768 KB

5 Максимальный размер журнала безопасности

(Maximum security log size)

81 920 Кбайт

81 920 KB

6 Максимальный размер системного журнала

(Maximum system log size)

32 768 Кбайт

32 768 KB

7 Метод сохранения событий в журнале приложений

(Retention method for application log)

Затирать старые события по

необходимости

(As Needed)

8 Метод сохранения событий в журнале безопасности

(Retention method for security log)



(As Needed)

9 Метод сохранения событий в системном журнале

(Retention method for system log)



(As Needed)

10 Сохранять события в журнале приложений (дней) Не определено

№

п/п

Назва

параметра

Параметр


(Retention method for application log) (Not defined)

11 Сохранять события в журнале безопасности (дней)



(Not defined)

12 Сохранять события в системном журнале (дней)

(Retention method for system log)1


(Not defined)

5 Системні служби (Системные службы)

5.1 Параметри налаштування системних служб для комп’ютерів (Параметры настройки

системных служб для компьютеров) Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною адресою:

Конфигурация компьютера\ Конфигурация Windows\ Параметры безопасности\ Системные службы


Таблиця 7

№

п/п

Назва

параметра

Параметр


1. BranchCache Не определено

2. DHCP-клиент Автоматический

3. DNS-клиент Не определено

4. KtmRm для координатора распределенных транзакций Не определено

5. Microsoft .NET Framework NGEN v2.0.50727_X86 Не определено




9. Parental Controls Не определено

10. Plug-and-Play Автоматический

11. Quality Windows Audio Video Experience Не определено

12. Superfetch Не определено

13. Windows Audio Не определено

14. Windows CardSpace Не определено

15. Windows Driver Foundation - User-mode Driver Framework Не определено

16. Windows Search Не определено

17. WMI Performance Adapter Не определено

18. Автонастройка WWAN Не определено

19. Автономные файлы Не определено

20. Агент защиты сетевого доступа Вручную

21. Агент политики IPsec Вручную

22. Адаптивная регулировка яркости Не определено

23. Архивация Windows Вручную

24. Биометрическая служба Windows Не определено

25. Брандмауэр Windows Автоматический

26. Браузер компьютеров Запрещен

27. Веб-клиент Вручную

28. Виртуальный диск Вручную

29. Вспомогательная служба IP Вручную

30. Вторичный вход в систему Вручную

31. Группировка сетевых участников Не определено

32. Дефрагментация диска Вручную

33. Диспетчер Автоматических подключений удаленного доступа Вручную

34. Диспетчер печати Автоматический

35. Диспетчер подключений удаленного доступа Автоматический

36. Диспетчер сеансов диспетчера окон рабочего стола Автоматический

№

п/п

Назва

параметра

Параметр


37. Диспетчер удостоверения сетевых участников Автоматический

38. Диспетчер учетных данных Вручную

39. Диспетчер учетных записей безопасности Автоматический

40. Доступ к HID-устройствам Вручную

41. Журнал событий Windows Автоматический

42. Журналы и оповещения производительности Вручную

43. Защита программного обеспечения Автоматический

44. Защитник Windows Автоматический

45. Защищенное хранилище Автоматический

46. Изоляция ключей CNG Не определено

47. Инструментарий управления Windows Не определено

48. Информация о совместимости приложений Вручную

49. Клиент групповой политики Автоматический

50. Клиент отслеживания изменившихся связей Автоматический

51. Координатор распределенных транзакций Автоматический

52. Кэш шрифтов Windows Presentation Foundation 3.0.0.0 Не определено

53. Ловушка SNMP Вручную

54. Локатор удаленного вызова процедур (RPC) Вручную

55. Маршрутизация и удаленный доступ Запрещен

56. Модули ключей IPsec для обмена ключами в Интернете и

протокола IP с проверкой подлинности

Автоматический

57. Модуль запуска процессов DCOM-сервера Автоматический

58. Модуль поддержки NetBIOS через TCP/IP Автоматический

59. Настройка сервера удаленных рабочих столов Вручную

60. Немедленные подключения Windows - регистратор настройки Вручную

61. Обнаружение SSDP Запрещен

62. Обнаружение интерактивных служб Вручную

63. Общий доступ к подключению к Интернету (ICS) Запрещен

64. Определение оборудования оболочки Автоматический

65. Основные службы доверенного платформенного модуля Вручную

66. Перенаправитель портов пользовательского режима служб

удаленных рабочих столов

Вручную

67. Перечислитель IP-шин PnP-X Запрещен

68. Питание Автоматический

69. Планировщик заданий Автоматический

70. Планировщик классов мультимедиа Вручную

71. Поддержка элемента панели управления "Отчеты о проблемах

и их решениях"

Вручную

72. Политика удаления смарт-карт Вручную

73. Поставщик домашней группы Вручную

74. Проводная автонастройка Вручную

75. Программный поставщик теневого копирования (Microsoft) Автоматический

76. Прослушиватель домашней группы Не определено

77. Протокол PNRP Не определено

78. Публикация ресурсов обнаружения функции Вручную

79. Рабочая станция Автоматический

80. Распространение сертификата Вручную

81. Расширяемый протокол проверки подлинности (EAP) Вручную

82. Сборщик событий Windows Вручную

83. Сведения о приложении Вручную

84. Сервер Автоматический

85. Сервер упорядочения потоков Вручную

86. Сетевой вход в систему Автоматический

87. Сетевые подключения Вручную

88. Система событий COM+ Автоматический

89. Системное приложение COM+ Вручную

90. Служба SSTP Вручную

№

п/п

Назва

параметра

Параметр


91. Служба автоматического обнаружения веб-прокси WinHTTP Вручную

92. Служба автонастройки WLAN Автоматический

93. Служба базовой фильтрации Автоматический

94. Служба ввода планшетного ПК Вручную

95. Служба времени Windows Автоматический

96. Служба загрузки изображений Windows (WIA) Автоматический

97. Служба инициатора Майкрософт iSCSI Вручную

98. Служба интерфейса сохранения сети Вручную

99. Служба кэша шрифтов Windows Автоматический

100. Служба медиаприставки Media Center Вручную

101. Служба модуля архивации на уровне блоков Автоматический

102. Служба общего доступа к портам Net.Tcp Запрещен

103. Служба общих сетевых ресурсов проигрывателя Windows

Media

Вручную

104. Служба перечислителя переносных устройств Вручную

105. Служба планировщика Windows Media Center Вручную

106. Служба поддержки Bluetooth Запрещен

107. Служба политики диагностики Автоматический

108. Служба помощника по совместимости программ Автоматический

109. Служба профилей пользователей Автоматический

110. Служба публикации имен компьютеров PNRP Вручную

111. Служба регистрации ошибок Windows Вручную

112. Служба ресивера Windows Media Center Вручную

113. Служба сведений о подключенных сетях Автоматический

114. Служба списка сетей Вручную

115. Служба технологий активации Windows Вручную

116. Служба уведомления SPP Вручную

117. Служба уведомления о системных событиях Автоматический

118. Служба удаленного управления Windows (WS-Management) Автоматический

119. Служба хранилища Вручную

120. Служба шифрования дисков BitLocker Вручную

121. Служба шлюза уровня приложения Вручную

122. Службы криптографии Автоматический

123. Службы удаленных рабочих столов Вручную

124. Смарт-карта Вручную

125. Сопоставитель конечных точек RPC Автоматический

126. Средство построения конечных точек Windows Audio Вручную

127. Телефония Вручную

128. Темы Не определено

129. Теневое копирование тома Вручную

130. Тополог канального уровня Вручную

131. Удаленный вызов процедур (RPC) Автоматический

132. Удаленный реестр Вручную

133. Удостоверение приложения Автоматический

134. Узел системы диагностики Вручную

135. Узел службы диагностики Вручную

136. Узел универсальных PNP-устройств Вручную

137. Управление приложениями Вручную

138. Управление сертификатами и ключом работоспособности Вручную

139. Установщик ActiveX (AxInstSV) Вручную

140. Установщик Windows Вручную

141. Установщик модулей Windows Вручную

142. Факс Вручную

143. Фоновая интеллектуальная служба передачи (BITS) Автоматический

144. Хост поставщика функции обнаружения Не определено

145. Цветовая система Windows (WCS) Не определено

146. Центр обеспечения безопасности Автоматический

147. Центр обновления Windows Вручную

148. Шифрованная файловая система (EFS) Вручную

6 Налаштування реєстру (Настройка реестра)

В даному підрозділі наведені значення ключів реєстру, які мають відношення до безпеки та можуть

бути налаштовані за допомогою редактора політики.


Таблиця 8

№

п/п

Назва

параметра

Subkey Registry

Value Entry Шлях Format

Зна-

чення

1 Отключить

Автоматическийй вход в

систему

(Disable Automatic Logon)

AutoAdminLogo

n

HKEY_LOCAL_MACHINE\Soft

ware\Microsoft\Windows

NT\CurrentVersion\Winlogon\

Параметр

DWORD

(32 бита)

REG_DWOR

D

0

2 Уровень защиты

маршрутизации IP-

источника

(DisableIPSourceRouting)

DisableIPSource

Routing

HKEY_LOCAL_MACHINE\Syst

em\CurrentControlSet\Services\Tc

pip\Parameters\

Параметр

DWORD

(32 бита)

REG_DWOR

D

0

3 Разрешить

автоматическое

обнаружение нерабочих

сетевых шлюзов (может

привести к отказу в

обслуживании)

(EnableDeadGWDetect)

DeadGWDetect

Default



pip\Parameters\

Параметр

DWORD

(32 бита)

REG_DWOR

D

0

4 Разрешить

переадресацию ICMP для

переопределения

созданных маршрутов

OSPF

(EnableICMPRedirect)

EnableICMPRed

irect



pip\Parameters\

Параметр

DWORD

(32 бита)

REG_DWOR

D

06

5 Отключить автозапуск

для всех дисков

(NoDriveTypeAutoRun)

NoDriveTypeAu

toRun

HKEY_LOCAL_MACHINE\SOF

TWARE\Microsoft\Windows\Curr

entVersion\Policies\Explorer\

Параметр

DWORD

(32 бита)

REG_DWOR

D

FF

6 Разрешить компьютеру не

создавать имена файлов в

формате 8.3

(рекомендуется)

(NtfsDisable8dot3NameCre

ation)

NtfsDisable8dot

3NameCreation


em\

CurrentControlSet\

Control\FileSystem\

Параметр

DWORD

(32 бита)

REG_DWOR

D

1

7 Файлова система (Файловая система)

Стандартні повноваження доступу для файлової системи NTFS підходять для більшості організацій.

Параметри налаштування файлової системи, які описані в цьому підрозділі, рекомендується використовувати в

першу чергу для систем з високим рівнем безпеки.

7.1. Параметри безпеки файлової системи (Параметры безопасности файловой системы)


Конфигурация компьютера\ Конфигурация Windows\ Параметры безопасности\ Файловая система


Таблиця 9

6 Зазначений параметр може бути змінено на «Не определен» у випадку використання протоколу маршрутизації

OSPF

Папка або файл

(Папка или файл)

Група

користувачів

(Группа

пользователей)

Рекомендований

Дозвіл

(Рекомендуемое

Разрешение)

Застосовуються до

(Применяются к)

Метод

Успадкування

(Метод

наследования)

C:\Users\

(Папка, яка містить

атрибути робочого

столу та профілів

усіх користувачів,

зазвичай)

Администраторы Полный доступ

Для этой папки, ее

подпапок и фалов

Распространение

Система Полный доступ Для этой папки, ее


Пользователи Чтение и

выполнение



C:\Progtam

Data\Microsoft\

(Містить дані

документів

застосувань

Майкрософт)

Администраторы Полный доступ Для этой папки, ее


Замена







%SystemDrive%\

(Диск, на якому

встановлена ОС

Windows,

містить важливі

файли завантаження

та налагодження

операційної

системи)



Распростране-

ние

Прошедшие

проверку

Траверс

папок/выполнение

файлов, содержание

папки/чтение

данных, чтение

атрибутов, чтение

дополнительных

атрибутов, создание

файлов/запись

даннях, создание

папок/дозапись

даннях, запись

атрибутов, запись


атрибутов,

удаление, чтение

разрешений

Только для папок и

файлов

Создание


данных

Только для этой

папка







%PROGRAMDATA

%\Microsoft\Window

s\DRM

Все Траверс

папок/выполнение

файлов, содержание

папки/чтение

данных, чтение

атрибутов, чтение


атрибутов, создание

файлов/запись

даннях, создание


даннях, запись

атрибутов, запись


атрибутов, удаление

папок и файлов,

Только для этой

папки

‘


(Папка или файл)

Група


(Группа

пользователей)


Дозвіл

(Рекомендуемое

Разрешение)

Застосовуються до

(Применяются к)

Метод

Успадкування

(Метод

наследования)

чтение разрешений,

смена разрешений,

смена владельца

Полный доступ Только для

подпапок и файлов

Система Полный доступ Только для этой

папки

Гость Все Запрещен Для этой папки, ее


Гости Все Запрещен Для этой папки, ее


Полный доступ Только для


Система Полный доступ Только для этой

папки

Гость Все Запрещен Для этой папки, ее


Гости Все Запрещен Для этой папки, ее


C:\windows\system3

2\appmgmt



Все Полный доступ Только для этой

папки



%Systemroot%\confi

g\default

Администраторы Полный доступ Для этого файла

Система Полный доступ Для этого файла

%Systemroot%\confi

g\sam



%Systemroot%\confi

g\security



%Systemroot%\confi

g\software



%Systemroot%\confi

g\system



8 Налаштування мережевого екрану

Для налаштування мережевого екрану необхідно створити (або завантажити) файл tune.bat та виконати

його з правами адміністратора. Після виконання командного файлу ЕОМ автоматично перезавантажиться.

Зміст файлу tune.bat:

@echo off

SET FFPATH=C:\OPCIS\ClientFF.exe

SET FAPATH=C:\OPCIS\ClientFA.exe

SET FCPATH=C:\OPCIS\ClientFC.exe

SET FDPATH=C:\OPCIS\ClientFD.exe

SET UPPATH=C:\OPCIS\Update.exe

SET SMC=HKLM\Software\Policies\Microsoft\WindowsFirewall

reg add %SMC% /f

reg add %SMC%\PrivateProfile /f

reg add %SMC%\PrivateProfile /v DisableStealthMode /t REG_DWORD /d 1 /f

reg add %SMC%\PublicProfile /f

reg add %SMC%\PublicProfile /v DisableStealthMode /t REG_DWORD /d 1 /f

reg add %SMC%\StandardProfile /f

reg add %SMC%\StandardProfile /v DisableStealthMode /t REG_DWORD /d 1 /f

netsh advfirewall firewall add rule name="PPL33-35 (Agent)" dir=in action=allow program=%FAPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Agent)" dir=out action=allow program=%FAPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Customs)" dir=in action=allow program=%FCPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Customs)" dir=out action=allow program=%FCPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Forwarder)" dir=in action=allow program=%FFPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Forwarder)" dir=out action=allow program=%FFPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Dispatcher)" dir=in action=allow program=%FDPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Dispatcher)" dir=out action=allow program=%FDPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Update)" dir=in action=allow program=%UPPATH%

netsh advfirewall firewall add rule name="PPL33-35 (Update)" dir=out action=allow program=%UPPATH%

shutdown /r /t 300



Товариство з обмеженою відповідальністю «ППЛ

33-35»


Додаток №4




від «___» _______ 2013 року

І Н С Т Р У К Ц І Я

з інсталяції та конфігурування параметрів безпеки ОС

Windows XP Professional SP2

Вступ

Корпорація Microsoft разом з носієм ОС Windows XP Professional SP2 постачає документацію, яка

містить детальні інструкції щодо установки ОС та додаткові відомості.

Інструкції щодо установки та інші відомості, які наведені в цих документах рекомендується

використовувати під час установки ОС Windows XP Professional SP2 на АРМ користувачів.

В документі розглядається конфігурування параметрів безпеки операційної системи Windows XP

Professional SP2.

Значення параметрів безпеки наведені в табл. 1-20. Для параметрів, які несуттєві для безпеки, значення

не вказані.

1 Засоби, які використовуються для конфігурування параметрів безпеки

Для конфігурування параметрів безпеки застосовуються вбудовані системні компоненти ОC Windows

XP Professional SP2 такі як:

- Редактор групових політик (далі редактор політики);

- Редактор реєстру.

1.3 Запуск редактора політик

Запуск редактора політики здійснюється шляхом виконання в командному рядку команди «gpedit.msc».

1.4 Запуск редактора реєстру

Запуск редактора реєстру здійснюється шляхом виконання в командному рядку команди «regedit.exe».

2 Політика облікових записів

Політика облікових записів містить параметри безпеки для паролів і блокування облікових записів.

2.1 Політика паролів


Конфігурація комп’ютера\ Конфігурація Windows\ Параметри безпеки\ Політика облікових записів\

Політика паролів


Таблиця 1

№

п/п

Назва

параметра

Параметр


1 Вимагати неповторюваність паролів

(Enforce password history)

24 збережених паролів

(24 passwords remembered)

2 Максимальний термін дії пароля

(Maximum password age)

42 дні

(42 days)

3 Мінімальний термін дії пароля

(Minimum password age)

30 днів

(30 days)

4 Мінімальна довжина пароля

(Minimum password lengths)

8

5 Пароль повинен відповідати вимогам складності (Password

must meet complexity requirements)

Включений

(Enabled)

6 Зберігати паролі всіх користувачів у домені, використовуючи

зворотне шифрування (Store password using reversible

encryption for all users in the domain)

Відключений

(Disabled)

2.2 Політика блокування облікового запису


Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Політики облікових записів\

Політика блокування облікового запису


Таблиця 2

№

п/п

Назва

параметра

Параметр


1 Блокування облікового запису на


30 хвилин

(30 minutes)

2 Граничне значення блокування


10 помилок входу до системи

(10 invalid logon attempts)

3 Скидання лічильника блокування через (Reset account lockout

counter after)

30 хвилин

(30 minutes)

3 Параметри локальної політики

3.1 Політика аудиту


Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Локальні політики\ Політика

аудиту


Таблиця 3

№

п/п

Назва

параметра

Параметр


1 Аудит входу до системи

(Audit account logon events)

Успіх, Відмова

(Success, Failure)

2 Аудит керування обліковими записами

(Audit account management)


(Success, Failure)

3 Аудит доступу до служби каталогів

(Audit directory service access)

Немає аудита

(No auditing)

4 Аудит подій входу в систему

(Audit logon events)


(Success, Failure)

5 Аудит доступу до об'єктів

(Audit object access)


(Success, Failure)

6 Аудит зміни політики

(Audit policy change)

Успіх

(Success)

7 Аудит використання привілеїв

(Audit privilege use)

Відмова

(Failure)

8 Аудит відстеження процесів

(Audit process traking)

Немає аудиту

(No auditing)

№

п/п

Назва

параметра

Параметр


9 Аудит системних подій

(Audit system events)


(Success, Failure)

3.2 Параметри призначення прав користувачів

Параметри налаштовуються за допомогою редактора політики за зазначеною адресою:

Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Локальні політики\ Призначення

прав користувачів


Таблиця 4

№

п/п

Назва

параметра

Параметр


1 Доступ до комп'ютера з мережі

(Access this computer from the network)

Не визначено (Not defined)

/Ніхто (No One)

2 Робота в режимі операційної системи

(Act as part of the operating system)

Ніхто

(No One)

3 Додавання робочих станцій до домену

(Add workstations to domain)

Не визначено (Not defined) /

Ніхто (No One)

4 Настроювання квот пам'яті для процесу

(Adjust memory quotas to a process)

Адміністратори

(Administrators),

LOCAL SERVICE

5 Дозволяти вхід у систему

через службу терміналів

(Allow logon through Terminal Service)

Не визначено

(Not defined) /

Ніхто (No One)

6 Архівування файлів і каталогів

(Back up files and directories)


(Administrators)

7 Обхід перехресної перевірки

(Bypass traverse checking)

Користувачі


(Users, Administrators)

8 Зміна системного часу

(Change the system time)


(Administrators)

9 Створення сторінкового файлу

(Create a pagefile)


(Administrators)

10 Створення маркерного об'єкта

(Create a token object)

Ніхто

(Nо one)

11 Створення постійних об'єктів спільного використання

(Create permanent shared objects)

Ніхто

(Nо one)

12 Налагодження програм

(Debug programs)

Ніхто

(Nо one)

13 Відмова в доступі до комп'ютера з мережі

(Deny access to this computer from the network)


(Not defined) /

Всі, АНОНІМНИЙ ВХІД

(Everyone, ANONYOMUS

LOGON)

14 Відмова у вході як пакетне завдання

(Deny logon as a batch job)


(Not defined)

15 Відмова у вході як служба

(Deny logon as a service)


(Not defined)

16 Відхилити локальний вхід

(Deny logon locally)

Support_388945a, Guest, Any

service accounts

17 Заборонити вхід у систему

через службу терміналів

(Deny logon through Terminal Services)


(Not defined)

Всі, АНОНІМНИЙ ВХІД

(Everyone, ANONYOMUS

LOGON)

18 Дозвіл довіри до облікових записів при делегуванні

(Eanble computer and user accounts to be trusted for delegation)

Ніхто

(Nо one)

19 Примусове вилучення завершення

(Force shutdown from a remote system)


Ніхто (No оne)

20 Створення журналів безпеки

(Generate security audits)

LOCAL SERVICE

21 Збільшення пріоритету диспетчерування Адміністратори

№

п/п

Назва

параметра

Параметр


(Increase scheduling priority) (Administrators)

22 Завантаження й вивантаження драйверів пристроїв

(Load and unload device drivers)


(Administrators)

23 Закріплення сторінок у пам'яті

(Lock pages in memory)


(Not defined)

24 Вхід як пакетне завдання

(Log on as a batch job)

Ніхто

(No оne)

25 Вхід як служба

(Log on as a service)

Ніхто

(No оne)

26 Локальний вхід у систему

(Log on locally)


Користувачі,


27 Керування аудитом і журналом безпеки

(Manage auditing and security log)


(Administrators)

28 Зміна параметрів середовища устаткування

(Modify firmware environment values)


(Administrators)

29 Запуск операцій по обслуговуванню тому

(Perform volume main tence tasks)


(Administrators)

30 Профілювання одного процесу

(Profile single process)


(Administrators)

31 Профілювання завантаженості системи

(Profile system performance)


(Administrators)

32 Витягання комп'ютера зі стикувального вузла

(Remove computer from docking station)

Не визначено (Not defined)




33 Заміна маркера рівня процесу

(Replace a process level token)

LOCAL SERVICE

34 Відновлення файлів і каталогів

(Restore files and directories)


(Administrators)

35 Завершення роботи системи

(Shut down the system)

Адміністратори,



36 Синхронізація даних служби каталогів

(Synchronize directory service data)


(Not defined)

37 Оволодіння файлами або іншими об’єктами

(Take ownership of files or other objects)


(Administrators)

3.3 Параметри безпеки


Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Локальні політики\ Параметри

безпеки


Таблиця 5

№

п/п

Назва

параметра

Параметр


1 Облікові записи: стан облікового запису Адміністратор

(Accounts: Administrator account status)


(Disabled)

2 Облікові записи: стан облікового запису Гість

(Accounts: Guest account status)


(Disabled)

3 Облікові записи: обмежити використання порожніх паролів

тільки для консольного входу

(Accounts: Limit local account use of blank passwords to console

logon only)

Включений

(Enabled)

4 Облікові записи: Перейменування облікового запису

адміністратора

(Accounts: Rename administrator account)

Рекомендується перейменування

облікового запису

5 Облікові записи: Перейменування облікового запису гостя Рекомендується перейменування

№

п/п

Назва

параметра

Параметр


(Accounts: Rename guest account) облікового запису

6 Аудит: Аудит доступу глобальних системних об'єктів

(Audit: Audit the access of global system objects)

Включений

(Enabled)

7 Аудит: Аудит прав на архівацію й відновлення

(Audit: Audit the use of Backup and Restore privilege)

Включений

(Enabled)

8 Аудит: Негайне відключення системи, якщо неможливо внести

в журнал запису про аудит безпеки

(Audit: Shut down system immediately if unable to log security

audits


(Disabled)

9 Пристрої: Дозволяти відстиковку без входу до системи

(Devices: Allow undock without having to log on)


(Disabled)

10 Пристрої: Дозволено форматувати й витягати знімні носії

(Devices: Allowed format and eject removable media)

Адміністратор

(Administrators)

12 Пристрої: дозволити доступ до дисководів компакт-дисків

тільки локальним користувачам

(Devices: Restrict CD-ROM access to locally logged-on user only)


(Disabled)

13 Пристрої: дозволити доступ до дисководів гнучких дисків

тільки локальним користувачам

(Devices: Restrict floppy access to lcocally logged-on user only)


(Disabled)

14 Пристрої: поводження при установці непідписного драйвера

(Devices: Unsigned driver installation behavior)

Не дозволяти установку

(Do not allow installation)

15 Контролер домену: дозволити операторам сервера задавати

виконання завдань за розкладом

(Domain controller: Allow server operators to schedule tasks)


(Not defined)

16 Контролер домену: Вимоги підписування для LDAP сервера

(Domain controller: LDAP server signing requirements)


(Not defined)

17 Контролер домену: Заборонити зміну пароля облікових записів

комп'ютера

(Domain controller: Refuse machine account password changes)


(Not defined)

18 Член домену: Завжди потрібний цифровий підпис або

шифрування потоку даних безпечного каналу

(Domain member: Digitaly encrypt or sign secure channel data

(always))


(Not defined)

19 Член домену: Шифрування даних безпечного каналу, коли це

можливо

(Domain member: Digitally encrypt secure channel data (when

possible))


(Not defined)

20 Член домену: Максимальний термін дії пароля облікових

записів комп'ютера

(Domain member: Maximum machine account password age)


(Not defined)

21 Член домену: Цифровий підпис даних безпечного каналу, коли

це можливо

(Domain member: Digitally sign secure channel data (when

possible))


(Not defined)

22 Член домену: Відключити заміну пароля облікових записів

комп'ютера

(Domain member: Disable machine account password changes)


(Not defined)

23 Член домену: вимагає стійкого ключа сеансу

(Domain member: Require strong (Windows 2000 or later) session

key)


(Not defined)

24 Інтерактивний вхід у систему: Не відображати останнього імені

користувача

(Interactive logon: Do not display last user name)

Включений

(Enabled)

№

п/п

Назва

параметра

Параметр


25 Інтерактивний вхід у систему: Не вимагати натискання

CTRL+ALT+DEL (Interactive logon: Do not require

CTRL+ALT+DEL)


(Disabled)

26 Інтерактивний вхід у систему: Текст повідомлення для

користувачів при вході в систему (Interactive logon: Message

text for users attempting to logon)

Вхід тільки для авторизованих

користувачів.

27 Інтерактивний вхід у систему: Заголовок повідомлення для

користувачів при вході в систему

(Interactive logon: Message title for users attempting to logon)

ПРОДОВЖЕННЯ СПРОБ БЕЗ

НАЛЕЖНОЇ АВТОРИЗАЦІЇ Є

ЗЛОЧИНОМ

28 Інтерактивний вхід у систему: кількість попередніх підключень

до кешу (у випадку відсутності доступу до контролера домену)

(Interactive logon: Number of previous logons to cache (in case

domain controller is not available))


(Not defined)

29 Інтерактивний вхід у систему: нагадувати користувачам про

витікання терміну дії пароля заздалегідь

(Interactive logon: Prompt user to change password before

expiration)

7 днів

(7 days)

30 Інтерактивний вхід у систему: вимагати перевірки на

контролері домену для скасування блокування робочої станції

(Interactive logon: Require Domain controller authentication to

unlock workstation)


(Disabled)

31 Інтерактивний вхід у систему: поводження при добуванні

смарт-карти

(Interactive logon: Smart card removal behavior

Блокування робочої станції

(Lock Workstation)

32 Клієнт мережі Microsoft:

використати цифровий підпис (завжди)

(Microsoft network client: Digitally sign communications (always))


(Not defined)

33 Клієнт мережі Microsoft: використати цифровий підпис (за

згодою сервера)

(Microsoft network client: Digitally sign communications (if server

agrees))


(Not defined)

34 Клієнт мережі Microsoft: посилати незашифрований пароль

стороннім SMB-серверам

(Microsoft network client: Send unencrypted password to third-

party SMB servers)


(Not defined)

35 Сервер мережі Microsoft: тривалість простою перед

відключенням сеансу

(Microsoft network server: Amount of idle time required before

suspending session)


(Not defined)

36 Сервер мережі Microsoft:

Використати цифровий підпис (завжди)

(Microsoft network server: Digitally sign communications (always))


(Not defined)

37 Сервер мережі Microsoft: Використати цифровий підпис (за

згодою клієнта)

(Microsoft network server: Digitally sign communications (if client

agrees))


(Not defined)

38 Сервер мережі Microsoft: відключати клієнтів після закінчення

дозволених годин входу

(Microsoft network server:

Disconnect clients when logon hours expire)


(Not defined)

39 Доступ до мережі: Дозволити трансляцію анонімного SID в ім'я

(Network access: Allow anonymous SID/Name translation)


(Not defined)

№

п/п

Назва

параметра

Параметр


40 Мережний доступ: Не дозволяти перерахування облікових

записів SAM анонімним користувачам


accounts)


Включений (Enabled)

41 Мережний доступ: не дозволяти перерахування облікових

записів SAM і загальних ресурсів анонімним користувачам


accounts and shares)


(Not defined) /


42 Мережний доступ: не дозволяти збереження облікових даних

або цифрових паспортів .NET для мережної перевірки

дійсності користувача

(Network access: Do not allow storage of credentials or .NET

Passports for network authentication )


(Not defined) /


43 Мережний доступ: Дозволяти застосування дозволів для всіх

до анонімних користувачів

(Network access: Let Everyone permissions apply to anonymous

users)


(Not defined) /


44 Мережний доступ: Дозволяти анонімний доступ до іменованих

каналів

(Network access: Named Pipes that can be accessed anonymously)


(Not defined)

45 Мережний доступ: Дозволяти анонімний доступ до загальних

ресурсів

(Network access: (Shares that can be accessed anonymously)


(Disabled)

46 Мережний доступ: Шляхи в реєстрі доступні через вилучене

підключення

(Network access: Remotely accessible registry paths)


(Not defined)

47 Мережний доступ: Модель спільного доступу й безпеки для

локальних облікових записів

(Network access: Sharing and security model for local accounts)


(Not defined)

48 Мережна безпека: не зберігати хеш - значень LAN Manager при

наступній зміні пароля

(Network security: do not store LAN Manager hash value on next

password change)


(Not defined)

49 Мережна безпека: примусовий вивід із сеансу після закінчення

припустимих годин роботи

(Network security: Force logoff when logon hours expire)


(Not defined)

50 Мережна безпека: рівень перевірки дійсності LAN Manager

(Network security: LAN Manager authentication level)


(Not defined)

51 Мережна безпека: Вимоги підписування для LDAP клієнта

(Network security: LDAP client signing requirements)


(Not defined)

52 Мережна безпека: Мінімальна сеансова безпека для клієнтів на

базі NTLM SSP (включаючи безпеку RPC)


(including secure RPC) clients)


(Not defined)

53 Мережна безпека: Мінімальна сеансова безпека для

серверів на базі NTLM SSP (включаючи безпеку RPC)


(including secure RPC) servers)


(Not defined)

54 Консоль відновлення: Дозволити автоматичний вхід

адміністратора

(Recovery console: Allow automatic administrative logon)


(Disabled)

55 Консоль відновлення: Дозволити копіювання дискет і доступ

до всіх дисків та папок Адміністратора

(Recovery console: Allow floppy copy and access to all drives and

all folders)


(Disabled)

56 Завершення роботи: дозволити завершення роботи системи без Відключений

№

п/п

Назва

параметра

Параметр


виконання входу в систему

(Shutdown: Allow system to be shutdown without having to log on)

(Disabled)

57 Завершення роботи: Очищення сторінкового файлу віртуальної

пам'яті

(Shutdown: Clear virtual memory pagefile)

Включений

(Enabled)

58 Системна криптографія: Використати FIPS-сумісні алгоритми

для шифрування, хеширування й підписування (System

cryptography: Use FIPS compliant algorithms for encryption,

hashing, and signing)


(Disabled)

59 Системні об'єкти: Власник за замовчуванням для об'єктів,

створених членами групи адміністраторів

(System objects: Default owner for objects created by members of

the Administrators group)

Творець об'єкта

(Object creator)

60 Системні об'єкти: Ураховувати регістр для підсистем,

відмінних від Windows

(Require case insensitivity for non-Windows subsystems)

Включений

(Enabled)

61 Системні об'єкти: Підсилити дозвіл за замовчуванням для

внутрішніх системних об'єктів (наприклад, символічних

посилань)

(System objects: Strengthen default permissions of internal system

objects (e.g. Symbolic links))

Включений

(Enabled)

4 Журнал подій

4.1 Параметри безпеки журналу подій


Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Журнал подій


Таблиця 6

№

п/п

Назва

параметра

Параметр


1 Максимальний розмір журналу додатків

(Maximum application log size)

100032 Кбайт

100032 KB

2 Максимальний розмір журналу безпеки

(Maximum security log size)

100032 Кбайт

100032 KB

3 Максимальний розмір системного журналу

(Maximum system log size)

100032 Кбайт

100032 KB

4 Заборонити доступ локальної групи гостей до журналу додатків

(Prevent local guests group from accessing application log)

Включений

(Enabled)

5 Заборонити доступ локальної групи гостей до журналу безпеки

(Prevent local guests group from accessing security log)

Включений

(Enabled)

6 Заборонити доступ локальної групи гостей до системного

журналу

(Prevent local guests group from accessing system log)

Включений

(Enabled)

7 Збереження подій у журналі додатків (днів)



(Not defined)

8 Збереження подій у журналі безпеки (днів)



(Not defined)

9 Збереження подій у системному журналі (днів)



(Not defined)

10 Збереження подій у журналі додатків


У міру потреби

(As Needed)

11 Збереження подій у журналі безпеки



(As Needed)

12 Збереження подій у системному журналі



(As Needed)

5 Системні служби

5.1 Параметри налаштування системних служб для комп'ютерів Параметри налаштовуються за допомогою редактора політики за адресою:

Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Системні служби


Таблиця 7

№

п/п

Назва

параметра

Параметр


1 Оповіщувач

(Alerter)

Відключено

(Disabled)

2 Служба шлюзу рівня додатків

(Application Layer Gateway Service)


(Disabled)

3 Керування додатками

(Application Management)

Вручну

(Manual)

4 Machine Debug Manager Відключено

(Disabled)

5 Автоматичне відновлення

(Automatic Updates)


(Disabled)

6 Фонова інтелектуальна служба передачі

(Background Intelligent Transfer Service)


(Disabled)

7 Сервер папки обміну

(ClipBook)


(Disabled)

8 Система подій COM+

(COM+ Event System )

Вручну

(Manual)

9 Системний додаток COM+

(COM+ System Application)

Вручну

(Manual)

10 Оглядач комп'ютерів

(Computer Browser)


(Disabled)

11 Служби криптографії

(Crytpographic Services)

Авто

(Auto)

12 DHCP-клієнт

(DHCP-client)

Відключено/Авто

(Disabled/Auto)

13 Клієнт відстеження зв'язків, що змінилися

(Distributed Link Tracking Client)

Вручну

(Manual)

14 Координатор розподілених транзакцій

(Distributed Transaction Coordinator)

Вручну

(Manual)

15 DNS – клієнт

(DNS Client)

Відключено/Авто

(Disabled/Auto)

16 Служба реєстрації помилок

(Error Reporting Service)

Авто

(Auto)

17 Журнал подій

(Event Log)

Авто

(Auto)

18 Сумісність швидкого перемикання користувачів

(Fast User Switching Compatibility


(Disabled)

19 Служба факсів

(Fax)


(Disabled)

20 Довідка й підтримка

(Help and Support)

Авто

(Auto)

21 Доступ до HID - пристроїв

(Human Interface Device Access)


(Disabled)

22 Служба COM запису компакт –дисків IMAPI

(IMAPI CD-Burning COM Service)


(Disabled)

23 Служба індексування

(Indexing Service)


(Disabled)

24 Брандмауер Інтернету (ICF)/Загальний доступ до Інтернету

(ICS)

(Internet Connection Firewall (ICF)/Internet Connection Sharing

(ICS))


(Disabled)

25 Служба IPSec

(IPSec Services)

Авто

(Auto)

26 Диспетчер логічних дисків

(Logical Disk Manager

Вручну

(Manual)

27 Служба адміністрування диспетчера логічних дисків Вручну

№

п/п

Назва

параметра

Параметр


(Logical Disk Manager Administrative Service) (Manual)

28 Служба повідомлень

(Messenger)


(Disabled)

29 Microsoft Software Shadow Copy Provider Вручну

(Manual)

30 Мережний вхід у систему

(Net logon)


(Disabled)

31 Вилучене керування робочим столом в NetMeeting

(NetMeeting Remote Desktop Sharing)


(Disabled)

32 Мережні підключення

(Network connections)

Вручну

(Manual)

33 Служба мережного DDE

(Network DDE)


(Disabled)

34 Диспетчер мережного DDE

(Network DDE DSDM)


(Disabled)

35 Служба мережного розташування (NLA)

(Network Location Awareness (NLA))

Вручну

(Manual)

36 Постачальник підтримки безпеки NTLM

(NTLM Security Support Provider)

Авто

(Auto)

37 Журнали оповіщення продуктивності

(Performance Logs and Alerts)

Вручну

(Manual)

38 Plug and Play

Авто

(Auto)

39 Серійний номер переносного медіа-пристрою

(Portable Media Serial Number)


(Disabled)

40 Диспетчер черги печатки

(Print Spooler)

Авто

(Auto)

41 Захищене сховище

(Protected Storage)

Авто

(Auto)

42 Qo RSVP


(Disabled)

43 Диспетчер Авто (Auto)- підключень вилученого доступу

(Remote Access Auto Connection Manager)


(Disabled)

44 Диспетчер підключень вилученого доступу

(Remote Access Connection Manager)


(Disabled)

45 Диспетчер сеансу довідки для вилученого робочого стола

(Remote Desktop Help Session Manager)


(Disabled)

46 Вилучений виклик процедур (RPC)

(Remote Procedure Call(RPC))

Авто

(Auto)

47 Локатор вилученого виклику процедур (RPC)

(Remote Procedure Call (RPC) Locator)

Вручну

(Manual)

48 Вилучений реєстр

(Remote Registry)


(Disabled)

49 Знімні ЗП

(Removable Storage)


(Disabled)

50 Маршрутизація й вилучений доступ

(Routing and Remote Access)


(Disabled)

51 Вторинний вхід у систему

(Secondary Logon)

Авто

(Auto)

52 Диспетчер облікових записів безпеки

(Security Accounts Manager)

Авто

(Auto)

53 Сервер

(Server)

Авто

(Auto)

54 Визначення встаткування оболонки

(Shell Hardware Detection)

Авто

(Auto)

55 Смарт-карти

(Smart Card)

Вручну

(Manual)

56 Модуль підтримки смарт-карт

(Smart Card Helper )

Вручну

(Manual)

57 Служба виявлення SSDP

(SSDP Discovery Service)


(Disabled)

№

п/п

Назва

параметра

Параметр


58 Повідомлення про системні події

(System Event Notification)

Авто

(Auto)

59 Служба відновлення системи

(System Restore Service)

Вручну

(Manual)

60 Планувальник завдань

(Task Scheduler)


(Disabled)

62 Телефонія

(Telephony)


(Disabled)

63 Telnet


(Disabled)

64 Служби терміналів

(Terminal Service)


(Disabled)

65 Теми

(Themes)

Авто

(Auto)

66 Джерело безперебійного живлення

(UPS)

Вручну

(Manual)

67 Вузол універсальних PnP-пристроїв

(Universal Plug and Play Device Host)


(Disabled)

68 Диспетчер відвантаження

(Upload Manager)

Вручну

(Manual)

69 Тіньове копіювання тому

(Volume Shadow Copy)

Вручну

(Manual)

70 Веб-клієнт

(WebClient)

Авто

(Auto)

71 Windows Audio

Вручну

(Manual)

72 Служба завантаження зображень (WIA)

(Windows Image Acquisition (WIA))


(Disabled)

73 Windows Installer

Вручну

(Manual)

74 Інструментарій керування Windows

(Windows Management Instrumentation)

Авто

(Auto)

75 Розширення драйверів WMI

(Windows Management Instrumentation Driver Extension)

Вручну

(Manual)

76 Служба часу Windows

(Windows Time)


(Disabled)

77 Бездротове настроювання

(Wireless Zero Configuration)


(Disabled)

78 Адаптер продуктивності WMI

(WMI Performance Adapter)


(Disabled)

79 Робоча станція

(Workstation)

Авто

(Auto)

80 Центр забезпечення безпеки

(Security Center)


(Disabled)

81 Протокол HTTP SSL

(HTTP SSL)

Авто

(Auto)

82 Служба забезпечення мережі

(Network Support)

Авто

(Auto)

6 Налаштування реєстру

Параметри налаштовуються за допомогою редактора реєстру.


Таблиця 8

№

п/п

Назва

параметра

Subkey Registry


Зна-

чення

1 Відключення

автозапуску для всіх

дисків

(Disable Autorun for all

drives)

NoDriveType

AutoRun

HKEY_LOCAL_MACHINE\SOFT

WARE\Microsoft\

Windows\Current

Version\Policies\

Explorer\ registry key

DWORD

0xFF

№

п/п

Назва

параметра

Subkey Registry


Зна-

чення

2 Час у секундах перед

завершенням пільгового

періоду екрана заставки

(The time in seconds

before the screen saver

grace period expires (0

recommended))

ScreenSaver

Grace

Period

HKEY_LOCAL_MACHINE\SYSTE

M\Software\

Microsoft\WindowsNT\CurrentVersi

on\

Winlogon\ registry key

STRING 0

3 Відсоток заповнення

журналу подій безпеки,

після якого система

починає видавати

повідомлення про

заповнення

(Percentage threshold for

the security event logat

which the system will

generate a warning)

Warning Level

HKEY_LOCAL_MACHINE\

SYSTEM\

CurrentControlSet\

Services\Eventlog\

Security\registry key

DWORD

90

4 Перевірка бібліотек

DLL

(Enable Safe DLL search

mode (recommended)

SafeDllSearh

Mode

HKEY_LOCAL_MACHINE\

SYSTEM\Current

ControlSet\Control\SessionManager\

registry key

DWORD

1

5 Відключити

автоматичний вхід до

системи

(Disable Automatic Logon)

AutoAdmin

Logon

HKEY_LOCAL_MACHINE\Softw

are\Microsoft\WindowsNT\CurrentV

ersion\Winlogon\ registry key.

DWORD

0

6 Видалення спільних

адміністративних

ресурсів

(Delete Administrative

Shares)

AutoShare

Wks

HKEY_LOCAL_MACHINE\Syste

m\CurrentControlSet\

Services\Lanman

Server\Parameters\ registry key

DWORD

1

7 Сховати комп'ютер у

списку перегляду

(Hide Computer From the

Browse List)

Hidden

HKEY_LOCAL_MACHINE\System

\CurrentControlSet\Services\Lanman

server\Parameters\ registry key.

DWORD

1

7 Файлова система

7.1. Параметри безпеки файлової системи


Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Файлова система


Таблиця 9


Група



Дозвіл Застосовуються до

Метод

успадку-

вання

%AllUsersProfile%

(Папка, яка зазвичай містить

атрибути робочого столу та

профілів усіх користувачів,

C:\Documents and Settings\All

Users)

Адміністратори Повний доступ

Папка, підпапки й

файли

Поши-

рення

Система Повний доступ Папка, підпапки

й файли

Користувачі Читання й

виконання

Папка, підпапки

й файли

%AllUsersProfile%\Application

Data\ Microsoft

(Містить дані документів

застосувань

Майкрософт)

Адміністратори Повний доступ Папка, підпапки й

файли

Заміна

Система Повний доступ Папка, підпапки й

файли

Заміна


виконання


файли


Група




Метод

успадку-

вання

Досвідчені

користувачі

Огляд папок,

Виконання файлів,

Список вмісту

папки, Читання

даних


файли

Читання атрибутів,

Читання додатко-вих

атрибутів, Створення

файлів, Запис даних,

Створення папок,

Додавання даних,

Запис атрибутів

%AllUsersProfile%\

ApplicationData\

Microsoft\Crypto\

DSS\Machine

Keys


Повний доступ Папка, підпапки й

файли

Заміна


файли

Заміна

Користувачі Список вмісту

папки,Читання

атрибутів, Читання

додаткових

атрибутів,

Створення файлів,


Запис атрибутів,

Запис додаткових

атрибутів,

Читання дозволів

Тільки папка

%AllUsersProfile%\ApplicationDat

a\

Microsoft\Crypto\

RSA\Machine Keys


файли

Заміна


файли

Заміна


Запис додатко-вих

атрибутів,


%AllUsersProfile%\

ApplicationData\

Microsoft\HTML Help


файли

Заміна


файли


виконання


файли



Зміна Папка, підпапки й

файли

%AllUsersProfile%\Application

Data\

Microsoft\Media Index


файли

Заміна


файли

Користувачі Створення файлів,




атрибутів,


Тільки папка

Користувачі Запис Папка, підпапки й

файли


виконання


файли


Група




Метод

успадку-

вання



Огляд папок,

Виконання файлів,

Список змісту папки,

Читання даних


файли

Читання атрибутів,

Читання додатко-

вих атрибутів,

Створення файлів,

Запис даних,


Додавання даних,



атрибутів

Видалення підпапок

і файлів, Видалення,


%AllUsersProfile%\ DRM Ігнорувати Ігнору-

вати

%SystemDrive%\

(Диск, на якому встановлена

ОС Windows XP,

містить важливі файли заванта-

ження та налагод-ження

операційної системи)

Адміністратори Повний доступ Папка, підпапки

й файли

Розповсюд

ження

Творець-власник Повний доступ Папка, підпапки

й файли


й файли


виконання


й файли

%SystemDrive%

\Documents

and Settings

(Папка містить профілі користу-

вачів та профілі за умовчанням)


й файли

Розповсюд

ження


й файли


виконання


файли



Читання й

виконання


й файли

%SystemDrive%\

Documents and ettings\Default

User

(Папка містить

атрибути робочого столу та

профілів користувачів, які

входять у систему перші, що

використовуються за

умовчанням.)


й файли

Заміна


й файли


виконання


й файли



Читання й

виконання


файли

%SystemRoot%

Installer


файли

Заміна


й файли


виконання


файли

8 Адміністративні шаблони

8.1 Параметри комп'ютера для Установника Windows


Конфігурація комп'ютера\ Адміністративні шаблони\ Компонента Windows\ Установник Windows


Таблиця 10

№

п/п

Назва

параметра

Параметр


1 Заборонити відкат Відключено

8.2 Параметри комп'ютера для системи

8.2.1 Параметри комп'ютера у вузлі Система


Настроювання комп'ютера\ Адміністративні шаблони\ Система


Таблиця 11

№

п/п

Назва

параметра

Параметр


1 Відключити автозапуск Включений -Всі диски

2 Відключити запит на використання Windows Update при пошуку

драйверів

Включено

8.2.2 Параметри комп'ютера у вузлі Система\вхід до системи


Настроювання комп'ютера\ Адміністративні шаблони\ Система\ вхід у систему


Таблиця 12

№

п/п

Назва

параметра

Параметр


1 Не відображати вікно “Перше знайомство” при вході в систему Включений

2 Не обробляти список автозапуска для старих версій Включений

3 Не обробляти список автозапуска програм, виконуваних один раз Включений

8.2.3 Параметри комп'ютера у вузлі Система\Групова політика


Настроювання комп'ютера\ Адміністративні шаблони\ Система\ Групова політика


Таблиця 13

№

п/п

Назва

параметра

Параметр


1 Обробка політики настроювання Internet Explorer Включений

2 Обробка політики реєстру Включений

8.2.4 Параметри комп'ютера у вузлі Система\Дискові квоти


Настроювання комп'ютера\ Адміністративні шаблони\ Система\ Дискові квоти


Таблиця 14

№

п/п

Назва

параметра

Параметр


1 Включити дискові квоти Включений

2 Задати межу дискової квоти Включений

3 Межа квоти за замовчуванням і рівень попередження Включений

4 Вести журнал навіть при перевищенні межі квоти Включений

5 Заносити подію перевищення рівня попередження квоти Включений

8.2.5 Параметри комп'ютера у вузлі Система\ Відновлення системи


Настроювання комп'ютера\ Адміністративні шаблони\ Система\ Відновлення системи


Таблиця 15

№

п/п

Назва

параметра

Параметр


1 Відключити відновлення системи Не заданий

2 Відключити конфігурацію Не заданий

8.2.6 Параметри користувача для Панелі керування


Конфігурація користувача\ Адміністративні шаблони\ Панель керування\Екран


Таблиця 16

№

п/п

Назва

параметра

Параметр


1 Використати екранні заставки Включений

2 Ім'я файлу екранної заставки, що виконує Включений

3 Використати парольний захист для екранних заставок Включений

4 Тайм-аут екранної заставки Включений

600 секунд

8.2.7 Параметри користувача для системи

Відповідні параметри налаштовуються за допомогою редактора політики за адресою: Конфігурація

користувача\ Адміністративні шаблони\ Система\ Провідник


Таблиця 17

№

п/п

Назва

параметра

Параметр


1 Видалити можливості запису компакт-дисків Включений

2 Видалити вкладку Безпека Включений

8.2.8 Параметри редагування реєстру

Відповідні параметри налаштовуються за допомогою редактора політики за адресою:

Конфігурація користувача\ Адміністративні шаблони\ Система\


Таблиця 18

№

п/п

Назва

параметра

Параметр


1 Зробити недоступними засіб редагування реєстру Включений

8.2.9 Параметри користувача у вузлі Система\Управління електроживленням


користувача\Адміністративні шаблони\Система\Керування електроживленням


Таблиця 19

№

п/п

Назва

параметра

Параметр


1 Запитувати пароль при виході зі сплячого або режиму, що чекає Включений

8.2.10 Параметри користувача для Диспетчера вкладень


користувача\ Адміністративні шаблони\ Диспетчер вкладень


Таблиця 20

№

п/п

Назва

параметра

Параметр


1 Не зберігати відомості про зону у вкладених файлах Відключений

2 Сховати можливість для видалення відомостей про зону Включений

3 Повідомляти антивірусну програму при відкритті вкладень Включений

9 Налаштування мережевого екрану

Для налаштування мережевого екрану необхідно:

- Перейменувати VPN-з’єднання до системи портового співтовариства на «PPL33-35»;

- створити (або завантажити) файл tune_XP.bat та виконати його з правами адміністратора.

Зміст файлу tune_XP.bat:

@echo off

SET FFPATH=C:\OPCIS\ClientFF.exe

SET FAPATH=C:\OPCIS\ClientFA.exe

SET FCPATH=C:\OPCIS\ClientFC.exe

SET FDPATH=C:\OPCIS\ClientFD.exe

SET UPPATH=C:\OPCIS\Update.exe

SET IFNAME=PPL33-35

netsh firewall set opmode mode=disable interface=%IFNAME%

netsh firewall add allowedprogram program=%FAPATH% name="PPL33-35 (Agent)" mode=enable

netsh firewall add allowedprogram program=%FFPATH% name="PPL33-35 (Forwarder)" mode=enable

netsh firewall add allowedprogram program=%FCPATH% name="PPL33-35 (Customs)" mode=enable

netsh firewall add allowedprogram program=%FDPATH% name="PPL33-35 (Dispatcher)" mode=enable

netsh firewall add allowedprogram program=%UPPATH% name="PPL33-35 (Update)" mode=enable



Товариство з обмеженою відповідальністю «ППЛ

33-35»
