Системы обнаружения атак на сетевом уровне



         

Каким образом я могу улучшить обнаружение атак/защиту под ОС Windows NT? - часть 2


Иногда нарушители могут получить доступ к файлам, если они знают название файла. Еще лучше, инсталлируйте все в C:\WINNT, затем переинсталлируйте всю в какую-нибудь другую директорию, затем запустите аудит внутри директории C:\WINNT, чтобы он предупредил вас, когда люди будут получать доступ к инсталлированным файлам.
  • ИНСТАЛЛЯЦИЯ: Используйте загрузочный раздел (boot partition) только для загрузочных и системных файлов. Разместите данные и приложения на отдельном логическом диске. Также неплохая идея - отделить приложения от данных.
  • ПАНЕЛЬ УПРАВЛЕНИЯ: Сделайте доступным функцию "Password Protected" в хранителе экрана. Самый лучший хранитель экрана - это "Blank Screen". Вы, возможно, думаете, что хранители экранов запускаются в процессе ожидания, но это не всегда так, поэтому вы можете улучшить характеристику вашего сервера, используя "Blank Screen". Это также снизит потребление мощности у монитора, особенно в тех, которые могут обнаруживать blank screen и самостоятельно отключаться. И, наконец, некоторые хранители экрана (например, PointCast) являются уязвимыми для атак.
  • REGEDT32: Отключите автоматическое включаемое совместное использование ADMIN$, C$, D$, и т.д. через параметр "AutoShare" в реестре. Этот параметр находится в ключе "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters", и представляет "AutoShareServer" для Windows NT Server или "AutoShareWks" для Windows NT Workstation. Он имеет тип DWORD со значением '1' - доступно (default), или значением '0' - недоступно. Вам придется добавить значение самостоятельно, потому что его нет в реестре.
  • REGEDT32: Отключите информацию об учетных записях и разделяемых ресурсах через анонимный доступ. Добавьте "RestrictAnonymous" типа DWORD со значением "1" к ключу "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA". Заметим, что если вы видите ошибку "Could not find domain controller for this domain." в момент установки доверенных связей с доменом, вам придется изменить их обратно.
  • USRMGR: Если вы используете домен (а не рабочую группу), измените права пользователя "Access this computer from the network" на "Authenticated Users", а не на "Everyone".


    Содержание  Назад  Вперед