Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
FAQ
 
Предлагаю всем принять участие в составлении FAQ для форума Администрирование Windows.

Примеры:

1. Утерян пароль локального администратора на своем компьютере. Что делать?

Удалите файлы %Windir%\system32\config\sam*. Если W2k установлен на FAT/FAT32, то из Win9x или с дискеты, если на NTFS - придется установить параллельную копию системы или снять жесткий диск и поставить его на другую машину с W2k. Если есть возможность, используйте NTFS for DOS. После удаления файлов возможен вход с логином Administrator/Администратор и пустым паролем.
Другой способ - скачать с сайта http://home.eunet.no/~pnordahl/ntpasswd/ образ Linux-дискеты и программу для записи этого образа. Загрузившись с этой дискеты, с помощью записанной на неё программы Offline NT Password & Registry Editor можно установить новый пароль администратора, даже не зная старого.

2. Стоит ли отключать скрытые общие ресурсы (ADMIN$, C$, D$ и т.д.)?

Известно, что скрытые общие ресурсы ADMIN$, C$, D$ легко отключаются правкой реестра:
 HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Paramete­ rs
AutoShareServer = 0 - для Windows NT/2000 Server
AutoShareWks = 0 - для Windows NT/2000 Professional
или помещением в автозагрузку батника с командами типа:
net share c$ /delete
Однако стоит ли, с точки зрения информационной безопасности, отключать эти ресурсы?
Однозначного ответа здесь нет.
Если у вас один сервер и с десяток компьютеров, находящиеся в одном помещении, то вам не составит труда проводить все действия по администрированию с физических консолей и, отключив автошары, вы тем самым повысите уровень информационной безопасности, запретив возможность подключаться к дискам по сети кому бы, то ни было. Однако в сети, где несколько десятков/сотен/тысяч машин, отключение автошар приведет к уменьшению управляемости сети, а значит и безопасности. Вы не сможете централизованно проталкивать патчи, управлять антивирусами, проводить аудит, инвентаризацию, да и много чего.
Таким образом, я рекомендую отключать автошары только на тех серверах, где политикой безопасности определен запрет удаленного администрирования.
В остальных случаях, лучше позаботиться о защите административных учетных записей, но это уже другая тема.
 
3. Как отключить специальный административный ресурс IPC$ и чем это грозит?

Cпециальный ресурс IPC$ (Inter Process Communication) предназначен для создания именованных каналов, которые компьютеры в сети используют для обмена различной служебной информацией (кроме того, именованные каналы применяются для дистанционного управления сервером).

Закрытие IPC$ (команда net share IPC$ /delete) приведет к прекращению работы компьютера в качестве сервера. к нему будет невозможно достучаться по сети. т.е. это практически равнозначно остановки сервиса "server".
- для конфиденциальных рабочих станций это может быть полезным.
- для рабочих станций, которыми нужно управлять удаленно это будет вредно.
- для сервера это будет убийственно.
 
4. Зачем ограничивать доступ к информации Анонимному Пользователю? Как это сделать? И чем это грозит?

Чтобы ограничить возможность сбора информации о вашей системе через нуль сессию, не обязательно отключать административный специальный ресурс IPC$, что приведет к недоступности компьютера из сети. Достаточно ограничить доступ Анонимному пользователю.
Для этого:
1. Запустите Редактор системного реестра (regedit.exe).
2. Откройте следующий ключ в системном реестре:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]
3. В меню "Правка" выберете "Создать параметр". Используйте следующие данные:
Параметр: RestrictAnonymous  Тип: REG_DWORD  Значение: 1 или 2.
4. Выйдите из Редактора системного реестра, и перезагрузите компьютер для того, чтобы изменения вступили в силу.

Значение 1 запрещает анонимным юзерам просматривать учетные записи и общие ресурсы удаленно (т.е. для защиты от null-session этого достаточно, саму сессию установить по-прежнему можно, но вот получить информацию через нее уже нельзя).
Когда значение системного реестра RestrictAnonymous установлено в 2, маркер доступа для непроверенных пользователей, не включает их в группу Все (Everyone). Учитывая, что существуют программы (GetAcct, user2sid, и т.п.), с помощью которых можно собрать информацию даже при параметре restrictanonymous, установленном в 1, рекомендуется выставить его значение в 2 (если, нет сервисов Windows 2000, а также сторонних программ, полагающихся на анонимный доступ при выполнении законных задач.). При этом машина исчезает из "сетевого окружения" и получить доступ к ней можно только, обратившись по UNC-имени или по \\айпи-адресу.

Следующие задачи ограничены, когда значение системного реестра RestrictAnonymous установлено в 2 на контроллере домена Windows 2000:

- Рабочие станции или сервера, члены нижнего уровня не способны установить соединение с каналом безопасности.
- Контроллеры домена нижнего уровня в доверяющих доменах не могут установить соединение с каналом безопасности.
- Microsoft Windows NT пользователи не могут изменить свои пароли после того, как закончилось их время действия. Также, пользователи Macintosh вообще не могут изменить свои пароли.
- Служба обозревателя не может восстановить списки домена или список серверов с резервных, главных обозревателей или главных обозревателей домена, которые выполняются на компьютерах с установленным значения системного реестра RestrictAnonymous в 2. Из-за этого, любая программа, которая использует службу обозревателя не функционирует.

Из-за возникновения выше перечисленных проблем, не рекомендуется устанавливать значение системного реестра RestrictAnonymous в 2 в средах смешенного режима, которые включают клиентов низкого уровня. Установка значения системного реестра RestrictAnonymous в 2 должна быть рассмотрена только в средах Windows, и после того, как были проведены достаточно качественные испытания, что соответствующие сервисные уровни и функциональные возможности программ поддерживаются
 
5. Как взломать и как защитить пароли в Windows 2000?

Рекомендуем прочесть статью Рэнди Франклин Смит "Защита паролей в Windows 2000".
Вот несколько ссылок:
http://www.osp.ru/win2000/2000/06/066_print.htm
http://www.ncn.ru/~bsn/hitech/progs/win2k_secur.htm
http://www.sdteam.com/articles/hack040.html
 
6. Нужно ли отключать службу удаленного доступа к реестру?

Для повышения безопасности NT систем рекомендуется отключать службу RemoteRegistry (Удаленный реестр), которая позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере. Сделать это можно используя оснастку services.msc или через реестр: HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry параметр Start = 4.
Однако следует быть готовым к тому, что некоторые административные оснастки управления перестанут работать. Например оснастка RRAS, хотя сама служба при этом работает нормально.
 
7. Чем опасна автозагрузка CD ROM? И как от нее избывиться?

Если включена автозагрузка, то когда вставляешь CD в дисковод, (это возможно и для других дисков), запускается файл, находящийся на CD, прописанный в файле autorun.inf:

[autorun]
OPEN=AUTORUN.EXE

Переправить строку с autorun.exe на troyan.exe не составит труда (ну или подготовить троян с именем autorun.exe :).
Предположим, что злоумышленник имеет кратковременный физический доступ к вашему серверу. Он вставляет заранее подготовленный сидюк с троянчиком в CD драйвер, и троян запускается с правами пользователя, под которым запущен компьютер.

Решение проблемы: для отключения автозапуска программ при загрузке CD нужно поставить ключ реестра в значение 0: HKLM\SYSTEM\CurrentControlSet\Services\CDRom\Autorun
 
8. В общем - проблема состоит в следующем: компу срочно требуется переустановка Форточки, а пароли на доступ на некоторые сайты в инете у меня стоят на сохранении, сооствеССнА я их не помню....расскажите, в каком файле они могут находиться и как их можно оттуда выудить?

Они не в файле! А в ключе реестра! В зашифрованном виде!  Ключ - HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider
Для просмотра - используй  -
Cain & Abel
 
9. Какие ключи реестра нужно защищать, чтобы превентивно защитится от вирусов и троянов?

Когда злоумышленник имеет возможность записать вам на компьтер троян, ему нужно, чтобы вы этот троян запустили. Для этого нередко используется реестр.
Кроме того, чаще всего вирусу для работы, а точнее, для выполнения своих прямых деструктивных обязанностей, необходимо запускаться не один раз, а постоянно, для этого опять таки часто используется реестр.
Если ваша система уже настроена, то на многие ключи реестра можно смело отменить право на запись кому бы то ни было, тем самым можно затруднить, а порой и предотвратить деятельность злоумышленника даже тогда, когда он использует совершенно свежие вирусы или трояны.
Многие вири и трои любят записываться в:
HKLM\Software\Microsoft\Windows\CurrentVersion в разделах: \Run, \RunOnce, \RunServices, \RunServices Once,
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Us­erinit, а также в
HKCU\Software\Microsoft\Windows\CurrentVersion в разделах \Run, \RunOnce, \RunServices, \RunServicesOnce
Также троян может запустится, если в ветке HKCR его привязать к определенному типу файлов на открытие или редактирование. Например, если выбрать любой bat-файл, кликнуть его правой кнопкой и выбрать "Изменить", по умолчанию запускается notepad.exe. Это задается в HKCR\batfile\shell\edit\command. Таким образом, ничто не мешает присвоить этим параметрам C:\WINDOWS\troyan. exe %1, что будет запускать troyan.exe всегда, когда редактируется bat-файл.
Таким образом на всю ветвь HKCR также можно отменить право на запись.
Изменение прав доступа к реестру производится с помощью regedt32 во вкладке permissions (безопасность).
 
Теперь, что касается вопросов в этой ветке по первому способу (удаление SAM). Способ хорош, в случае, если на вашей машине есть только администраторская учётная запись. Ибо все остальные аккаунты будут утеряны. Для тех, кто не въехал по поводу того, какой нужно вводить пароль - пароль пустой.

Второй способ универсален (можно поменять пароль кому угодно). Но требует изготовления загрузочной дискетки и наличия флопповода на машине.

Теперь по поводу предложенного 7 вопроса - как отключить автозапуск сидирома. Лечше как описано не делать ибо ОС не будет понимать, что вы сменили диск и что у вас вообще в приводе. Лучше отключить автозапуск через групповую политику как это наисано здесь.
 
>Теперь по поводу предложенного 7 вопроса - как отключить автозапуск сидирома. Лечше как описано не делать ибо ОС не будет понимать, что вы сменили диск и что у вас вообще в приводе. Лучше отключить автозапуск через групповую политику как это наисано здесь.

это чем же лучше автозагрузку отключать только на CDROM, а на остальных дисках оставлять? лучше потому что это написано там?
в том факе не написано, что это лучше, там написано, что это правильнее, если ты хочешь отключить автозагрузку только сидирома. а в целях безопасности, лучше как раз отключать полностью автозагрузку.
 
Цитата
Inck-Vizitor пишет:
это чем же лучше автозагрузку отключать только на CDROM, а на остальных дисках оставлять? лучше потому что это написано там?
в том факе не написано, что это лучше, там написано, что это правильнее, если ты хочешь отключить автозагрузку только сидирома. а в целях безопасности, лучше как раз отключать полностью автозагрузку.

разговор идёт именно о приводах компакт дисков. И, если это сделать упомянутым Вами способом система ничего не будет видеть до момента обращения к диску.
 
>разговор идёт именно о приводах компакт дисков. И, если это сделать упомянутым Вами способом система ничего не будет видеть до момента обращения к диску.

С точки зрения безопасности, самое лучшее если "система ничего не будет видеть до момента обращения к диску". а зачем ей что то видеть без моего желания? как я уже сказал, в чистовом варианте будут даны более подробные разъяснения.
 
Цитата
Inck-Vizitor пишет:

С точки зрения безопасности, самое лучшее если "система ничего не будет видеть до момента обращения к диску". а зачем ей что то видеть без моего желания? как я уже сказал, в чистовом варианте будут даны более подробные разъяснения.

Кроме безопасности есть ещё такое понятие как функциональность. Если бы мне захотелось исключить такой случай - я бы создал в корнях разделов файл autorun.inf, поставил на него нужный доступ и забыл бы  о проблеме, не коверкая при этом ОС. Но - у каждого - свои методы...
 
Чтобы програма автоматически загружалась необязательно иметь право на запись в реестр. Что уже AT (планировщик заданий) отменили? Там даже можно запускать програму при входе в систему.
 
>Чтобы програма автоматически загружалась необязательно иметь право на запись в реестр. Что уже AT (планировщик заданий) отменили? Там даже можно запускать програму при входе в систему.

а кто говорит, что защита реестра на 100% исключает возможность загрузки зловредных программ? :)
я думаю, в последствии напишу, как предотвращаться от запуска ентих прог через эт. или может еще кто-нить напишет?
 
>Кроме безопасности есть ещё такое понятие как функциональность. Если бы мне захотелось исключить такой случай - я бы создал в корнях разделов файл autorun.inf, поставил на него нужный доступ и забыл бы о проблеме, не коверкая при этом ОС. Но - у каждого - свои методы...

я не вижу ничего предосудительного в том, чтобы отказываться от некоторой функциональности, которая не нужна для работы, но ухудшает безопасность.
а как в этом случае поступать с флэшками? :)
т.е. отменить автозагрузку на сиди и все последуюшие буквы, а на существующих разделах защитить autorun.inf? это, конечно, способ, но ради чего эти усложнения? ну зачем мне нужна эта автозагрузка?
 
Ухх. Ещё идея, про запуск зловредных програм. Можно использовать ключи RestrictRun, DisallowRun у меня было описание ключей, если надо пишите в форум, приват не читаю.
 
Цитата
Inck-Vizitor пишет:
>я не вижу ничего предосудительного в том, чтобы отказываться от некоторой функциональности, которая не нужна для работы, но ухудшает безопасность.
а как в этом случае поступать с флэшками? :)
т.е. отменить автозагрузку на сиди и все последуюшие буквы, а на существующих разделах защитить autorun.inf? это, конечно, способ, но ради чего эти усложнения? ну зачем мне нужна эта автозагрузка?

Зачем отказываться от функциональности, если всё можно сделать проще.

По моему - осложнения будут как раз при методе редактировании реестра. Если эта автозагрузка не нужна Вам, это ж не значит, что она не нужна всем...
 
Кто то спрашивал:
Вопрос: В Outlook XP по умолчанию включена блокировка потенциально опасных приложений к письму (таких, как файлы .exe, .mdb и др.) В качестве решения Microsoft предлагает использовать Интернет ресурсы для передачи таких файлов. Можно ли как-нибудь отключить эту функцию?


Ответ:

I. Блокировку можно отключить в реестре.
1. Пуск - Выполнить - Regedit - OK.
2. Найти раздел
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Security
* Если данного раздела не существует - его необходимо создать.
3. Меню Правка - Создать - Строковый параметр
4. Ввести имя параметра - Level1Remove
5. Правый клик мыши на имени созданного параметра - Изменить
6. Теперь нужно ввести названия расширений файлов, для которых отменяется блокирование. Синтаксис таков:
.exe;.mdb и т.д.
* Для справки. По умолчанию блокируются следующие типы файлов:
*.ade,*.adp,*.asx,*.bas,*.bat,*.chm,*.cmd,*.com,*.cpl,*.crt,*.exe,*.hlp,*.hta,
*.inf,*.ins,*.isp,*.js,*.jse,*.lnk,*.mdb,*.mde,*.msc,*.msi,*.msp,*.mst,*.pcd,
*.pif,*.prf,*.reg,*.scf,*.scr,*.sct,*.shb,*.shs,*.url,*.vb,*.vbe,*.vbs,*.wsc,
*.wsf,*.wsh.
II. Если не хочется возиться с реестром, то можно воспользоваться
утилитой DetachXP (98/nt/ME/2000/XP, Free)
http://www.securitylab.ru/tools/?ID=40197

или Attachment Options COM Add-in for Outlook 2002 / 2003 1.8.6 (98/nt/ME/2000/XP, Shareware)
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Добавлю про Remote Registry Service: если его отключить, то это сделает невозможным удаленный мониторинг параметров производительности с помощью оснастки System Monitor Control.
Страницы: 1 2 След.
Читают тему