4. Зачем ограничивать доступ к информации Анонимному Пользователю? Как это сделать? И чем это грозит?

Чтобы ограничить возможность сбора информации о вашей системе через нуль сессию, не обязательно отключать административный специальный ресурс IPC$, что приведет к недоступности компьютера из сети. Достаточно ограничить доступ Анонимному пользователю.
Для этого:
1. Запустите Редактор системного реестра (regedit.exe).
2. Откройте следующий ключ в системном реестре:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro­l\LSA]
3. В меню "Правка" выберете "Создать параметр". Используйте следующие данные:
Параметр: RestrictAnonymous Тип: REG_DWORD Значение: 1 или 2.
4. Выйдите из Редактора системного реестра, и перезагрузите компьютер для того, чтобы изменения вступили в силу.

Значение 1 запрещает анонимным юзерам просматривать учетные записи и общие ресурсы удаленно (т.е. для защиты от null-session этого достаточно, саму сессию установить по-прежнему можно, но вот получить информацию через нее уже нельзя).
Когда значение системного реестра RestrictAnonymous установлено в 2, маркер доступа для непроверенных пользователей, не включает их в группу Все (Everyone). Учитывая, что существуют программы (GetAcct, user2sid, и т.п.), с помощью которых можно собрать информацию даже при параметре restrictanonymous, установленном в 1, рекомендуется выставить его значение в 2 (если, нет сервисов Windows 2000, а также сторонних программ, полагающихся на анонимный доступ при выполнении законных задач.). При этом машина исчезает из "сетевого окружения" и получить доступ к ней можно только, обратившись по UNC-имени или по \\айпи-адресу.

Следующие задачи ограничены, когда значение системного реестра RestrictAnonymous установлено в 2 на контроллере домена Windows 2000:

- Рабочие станции или сервера, члены нижнего уровня не способны установить соединение с каналом безопасности.
- Контроллеры домена нижнего уровня в доверяющих доменах не могут установить соединение с каналом безопасности.
- Microsoft Windows NT пользователи не могут изменить свои пароли после того, как закончилось их время действия. Также, пользователи Macintosh вообще не могут изменить свои пароли.
- Служба обозревателя не может восстановить списки домена или список серверов с резервных, главных обозревателей или главных обозревателей домена, которые выполняются на компьютерах с установленным значения системного реестра RestrictAnonymous в 2. Из-за этого, любая программа, которая использует службу обозревателя не функционирует.

Из-за возникновения выше перечисленных проблем, не рекомендуется устанавливать значение системного реестра RestrictAnonymous в 2 в средах смешенного режима, которые включают клиентов низкого уровня. Установка значения системного реестра RestrictAnonymous в 2 должна быть рассмотрена только в средах Windows, и после того, как были проведены достаточно качественные испытания, что соответствующие сервисные уровни и функциональные возможности программ поддерживаются

6. Нужно ли отключать службу удаленного доступа к реестру?

Для повышения безопасности NT систем рекомендуется отключать службу RemoteRegistry (Удаленный реестр), которая позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере. Сделать это можно используя оснастку services.msc или через реестр: HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegis­try параметр Start = 4.
Однако следует быть готовым к тому, что некоторые административные оснастки управления перестанут работать. Например оснастка RRAS, хотя сама служба при этом работает нормально.

8. В общем - проблема состоит в следующем: компу срочно требуется переустановка Форточки, а пароли на доступ на некоторые сайты в инете у меня стоят на сохранении, сооствеССнА я их не помню....расскажите, в каком файле они могут находиться и как их можно оттуда выудить?

Они не в файле! А в ключе реестра! В зашифрованном виде! Ключ - HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider
Для просмотра - используй -
Cain & Abel

Теперь, что касается вопросов в этой ветке по первому способу (удаление SAM). Способ хорош, в случае, если на вашей машине есть только администраторская учётная запись. Ибо все остальные аккаунты будут утеряны. Для тех, кто не въехал по поводу того, какой нужно вводить пароль - пароль пустой.

Второй способ универсален (можно поменять пароль кому угодно). Но требует изготовления загрузочной дискетки и наличия флопповода на машине.

Теперь по поводу предложенного 7 вопроса - как отключить автозапуск сидирома. Лечше как описано не делать ибо ОС не будет понимать, что вы сменили диск и что у вас вообще в приводе. Лучше отключить автозапуск через групповую политику как это наисано здесь.

Цитата
Inck-Vizitor пишет: это чем же лучше автозагрузку отключать только на CDROM, а на остальных дисках оставлять? лучше потому что это написано там? в том факе не написано, что это лучше, там написано, что это правильнее, если ты хочешь отключить автозагрузку только сидирома. а в целях безопасности, лучше как раз отключать полностью автозагрузку.

разговор идёт именно о приводах компакт дисков. И, если это сделать упомянутым Вами способом система ничего не будет видеть до момента обращения к диску.

Цитата
Inck-Vizitor пишет: С точки зрения безопасности, самое лучшее если "система ничего не будет видеть до момента обращения к диску". а зачем ей что то видеть без моего желания? как я уже сказал, в чистовом варианте будут даны более подробные разъяснения.

Кроме безопасности есть ещё такое понятие как функциональность. Если бы мне захотелось исключить такой случай - я бы создал в корнях разделов файл autorun.inf, поставил на него нужный доступ и забыл бы о проблеме, не коверкая при этом ОС. Но - у каждого - свои методы...

>Чтобы програма автоматически загружалась необязательно иметь право на запись в реестр. Что уже AT (планировщик заданий) отменили? Там даже можно запускать програму при входе в систему.

а кто говорит, что защита реестра на 100% исключает возможность загрузки зловредных программ?
я думаю, в последствии напишу, как предотвращаться от запуска ентих прог через эт. или может еще кто-нить напишет?

Ухх. Ещё идея, про запуск зловредных програм. Можно использовать ключи RestrictRun, DisallowRun у меня было описание ключей, если надо пишите в форум, приват не читаю.

Кто то спрашивал:
Вопрос: В Outlook XP по умолчанию включена блокировка потенциально опасных приложений к письму (таких, как файлы .exe, .mdb и др.) В качестве решения Microsoft предлагает использовать Интернет ресурсы для передачи таких файлов. Можно ли как-нибудь отключить эту функцию?


Ответ:

I. Блокировку можно отключить в реестре.
1. Пуск - Выполнить - Regedit - OK.
2. Найти раздел
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Security
* Если данного раздела не существует - его необходимо создать.
3. Меню Правка - Создать - Строковый параметр
4. Ввести имя параметра - Level1Remove
5. Правый клик мыши на имени созданного параметра - Изменить
6. Теперь нужно ввести названия расширений файлов, для которых отменяется блокирование. Синтаксис таков:
.exe;.mdb и т.д.
* Для справки. По умолчанию блокируются следующие типы файлов:
*.ade,*.adp,*.asx,*.bas,*.bat,*.chm,*.cmd,*.com,*.cpl,*.crt,*.exe,*.hlp,*.hta,
*.inf,*.ins,*.isp,*.js,*.jse,*.lnk,*.mdb,*.mde,*.msc,*.msi,*.msp,*.mst,*.pcd,
*.pif,*.prf,*.reg,*.scf,*.scr,*.sct,*.shb,*.shs,*.url,*.vb,*.vbe,*.vbs,*.wsc,
*.wsf,*.wsh.
II. Если не хочется возиться с реестром, то можно воспользоваться
утилитой DetachXP (98/nt/ME/2000/XP, Free)
http://www.securitylab.ru/tools/?ID=40197

или Attachment Options COM Add-in for Outlook 2002 / 2003 1.8.6 (98/nt/ME/2000/XP, Shareware)