Главная
страница 1
Лабораторная работа № 1

Настройка реестра ОС Windows NT 4.0



  1. Отключить возможность сетевой аутентификации в системе Windows NT с других типов систем


Объект доступа: Server (Windows NT Server)

Windows NT поддерживает два типа аутентификации:



  • LanManager

  • Windows NT

Чтобы сконфигурировать систему, которая будет поддерживать только аутентификацию Windows NT, необходимо с помощью редактора REGEDT32.EXE установить следующее значение параметра реестра:

Hive:

HKEY_LOCAL_MACHINE\SYSTEM

Key:

System\CurrentControlSet\Control\LSA

Name:

LMCompatibilityLevel

Type:

REG_DWORD

Value:

2 (по умолчанию - 0)

0 – LanManage и Windows NT

1 – послать парольные формы LanManage и Windows NT,

если сервер запрашивает их

2 – никогда не посылать LanManage парольную форму


Порядок проверки настройки:

  • Подключить к сети стенда компьютер с установленной на нем системой Windows 95 или Windows 3.11.

  • Произвести попытку регистрации на сервере домена. Доступ должен быть отвергнут.
  1. Выводить перед аутентификацией пользователей предупреждающее сообщение


Объект доступа: Workstation (Windows NT Workstation).

Перед появлением диалогового окна аутентификации пользователей в системе должно появиться предупреждение о несанкционированном доступе для посторонних лиц. С этой целью необходимо с помощью редактора REGEDT32.EXE установить следующие значения ключей реестра:




Hive:

HKEY_LOCAL_MACHINE\SOFTWARE

Key:

\Microsoft\WindowsNT\CurrentVersion\Winlogon

Name:

LegalNoticeCaption

Type:

REG_SZ

Value:

“Предупреждение пользователям”




Hive:

HKEY_LOCAL_MACHINE\SOFTWARE

Key:

\Microsoft\WindowsNT\CurrentVersion\Winlogon

Name:

LegalNoticeText

Type:

REG_SZ

Value:

“Система имеет ограничения на доступ. Посторонним доступ запрещен. Доступ без соответствующих прав влечет ответственность, предусмотренную законом”.


Для проверки настройки выполнить перезагрузку системы. В процессе загрузки ОС после нажатия клавиш Ctrl+Alt+Del должно появится предупреждающее сообщение.
  1. Скрыть идентификатор последнего пользователя, работавшего в системе, в диалоговом окне аутентификации


Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

Для предотвращения индикации идентификатора последнего пользователя, работавшего в системе, в диалоговом окне аутентификации необходимо с помощью редактора REGEDT32.EXE выполнить следующие настройки реестра:



Hive:

HKEY_LOCAL_MACHINE\SOFTWARE

Key:

\Microsoft\WindowsNT\CurrentVersion\Winlogon

Name:

DontDisplayLastUserName

Type:

REG_SZ

Value:

1

После перезагрузки системы визуально провести проверку маскировки идентификатора. В диалоговом окне аутентификации идентификатор должен отсутствовать.
  1. Использовать блокирующую заставку экрана терминала


Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

Блокирующая заставка позволяет защитить компьютер от несанкционированного доступа от постороннего в случае, если пользователь временно отсутсвует на рабочем месте.

Данная настройка позволяет сделать операционную систему доступной для пользователя после простоя компьютера только после ввода правильного пароля.

Последовательность действий при установке настройки:



  • Запустить ‘Панель управления’ ( ‘Control Panel’ ).

  • Выбрать опцию ‘Свойства: Экран’ ( ‘Display’ ).

  • Выбрать раздел ‘Заставка’ ( ‘Screen Saver' ).

  • Выбрать заставку.

  • Задать время простоя компьютера, предшествующее запуску заставки – 1 мин.

  • Установить флаг защиты паролем, который пользователь использует при входе в систему.

  • Выбрать опцию ‘Применить’ ( ‘Apply’ ).

Порядок проверки настройки:

  • Выполнить успешный вход с систему.

  • В течение 1-ой минуты до появления на компьютере заставки не производить ни каких действий на компьютере.

  • После появления на экране заставки нажать любую клавишу. На экране терминала должно появится диалоговое окно аутентификации.

  • Ввести правильный идентификатор текущего пользователя и неверный пароль. Доступ в систему должен быть отвергнут.

  • После ввода правильного идентификатора и пароля система должна быть доступна пользователю для продолжения работы.
  1. Запретить возможность перезагрузки системы из диалогового окна входа в систему (Login dialog)


Объект доступа: Workstation (Windows NT Workstation).

Для того, чтобы исключить возможность перезагрузки системы без аутентификации в ней пользователя, необходимо с помощью редактора REGEDT32.EXE установить следующие параметры реестра:



Hive:

HKEY_LOCAL_MACHINE\SOFTWARE

Key:

\Microsoft\WindowsNT\CurrentVersion\Winlogon

Name:

ShutdownWithoutLogon

Type:

REG_SZ

Value:

0

Для проверки настройки произвести перезагрузку компьютера и визуально проверить факт отключения опции “Перезагрузка” (“Shot Down”) в диалоговом окне входа в систему.
  1. Активизировать механизм очистки содержимого системного страничного файла (system page file) при завершении работы ОС


Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

В случае несанкционированного доступа к страничному файлу (PAGEFILE.SYS) можно получить идентификатор последнего пользователя, работавшего в системе. Для активизации режима очистки страничного файла необходимо задать следующий параметр реестра:



Hive:

HKEY_LOCAL_MACHINE\SYSTEM

Key:

System\CurrentControlSet\Control\SessionManager\Memory Management

Name:

ClearPageFileAtShutdown

Type:

REG_DWORD

Value:

1

Порядок проверки очистки страничного файла:

  • Установить на компьютере систему Windows NT на логическом диске со структурой FAT;

  • Зарегистрироваться в системе под идентификатором администратора.

  • Выполнить выход из системы.

  • С дискеты загрузить операционную систему MS DOS.

  • С помощью программы “Norton commander” в режиме просмотра открыть страничный файл и по операции поиска убедиться в наличии строки идентификатора администратора.

  • Зарегистрироваться в системе Windows NT под идентификатором администратора.

  • Установить режим очистки страничного файла.

  • Завершить работу в системе.

  • Под MS DOS повторно запустить “Norton commander” и просмотреть содержимое файла. Строки с именем идентификатора администратора не должны присутствовать в файле.
  1. Обеспечить защиту журналов регистрации от несанкционированного доступа


Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

Для предотвращения возможности гостевого доступа к журналам аудита “Система” (“System”) и “Приложения” (“Application”) следует установить следующие параметры реестра:



Hive:

HKEY_LOCAL_MACHINE

Key:

System\CurrentControlSet\Services\EventLog\[LogName]

Name:

RestrictGuestAccess

Type:

REG_DWORD

Value:

1

Изменения вступят в силу после перезагрузки системы.

Порядок проверки настройки реестра:



  • Войти в систему в качестве администратора.

  • Запустить программу “Диспетчер пользователей” (“User Manager”) и снять блокировку с учетной записи гостя.

  • После перезагрузки войти в систему под гостевым идентификатором.

  • С помощью программы EVENTWVR.EXE. выполнить попытку просмотра содержимого журналов. Доступ к журналам должен быть отклонен.
  1. Обеспечить полное выключение системы при заполнении журнала аудита (не выполнять)


Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

При установке данной настройки операционная система выполняет аварийное завершение работы в случае переполнения журнала безопасности. Благодаря этому после заполнения журнала не произойдет никаких действий, запись о которых не попадет в журнал. После перегрузки только администратор может войти в систему.

Выключение достигается посредством установки следующего параметра реестра:


Hive:

HKEY_LOCAL_MACHINE

Key:

System\CurrentControlSet\Control\LSA

Name:

CrashOnAuditFail

Type:

REG_DWORD

Value:

1

Порядок проверки настройки:

  • Произвести вход в систему в качестве администратора.

  • В меню “Журнал” (“Log”) программы EVENTWVR.EXE выбрать опцию “Настройка журнала” (”Log Settings”) и задать минимально возможный размер журнала безопасности - 64К.

  • Разрешить полный аудит каталога \WINNT\HELP с помощью опции “Свойства” меню “Файл” программы “Проводник”.

  • С помощью программы “Проводник” многократно просмотреть содержимое каталога до момента заполнения журнала. Система должна выйти на аварийное завершение работы.

  • Выполнить перезагрузку системы.

  • Произвести попытку аутентификации в системе под учетной записью обычного пользователя. Попытка должна быть отвергнута.

  • Попытка аутентификации в качестве администратора должна быть успешной.
  1. Отключить механизм кэширования паролей пользователей на рабочих станциях


Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

На рабочих станциях домена при включенном механизме кэширования паролей сохраняются в локальном реестре имена и пароли последних 10-ти пользователей, регистрировавшихся на данном компьютере. Это позволяет пользователю войти в систему даже при отсутствии связи с контроллером домена. Однако при этом возникает угроза возможности подбора паролей других пользователей.

Для отключения механизма кэширования паролей необходимо добавить следующий параметр реестра:


Hive:

HKEY_LOCAL_MACHINE

Key:

\Microsoft\WindowsNT\CurrentVersion\Winlogon

Name:

CachedLogonsCount

Type:

REG_DWORD

Value:

0

Порядок проверки настройки:

  • Войти на контроллере домена локально в систему в качестве администратора.

  • Запустить программу “User Manager”.

  • Создать новую учетную запись пользователя CACHE,.входящего в группу “Users”.

  • На рабочей станции выполнить успешную регистрацию в системе под идентификатором CACHE.

  • Отключить контроллер домена от сети.

  • На рабочей станции выполнить попытку регистрации в системе под идентификатором CACHE. Доступ должен быть отвергнут.
  1. Ввести в действие строгие пользовательские пароли


Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

C помощью динамической библиотеки Passfilt.dll проводится следующая политика в части фильтрации паролей:



  • Пароль должен содержать не менее 8 символов.

  • Пароль должен содержать символы, по крайней мере, 3-х классов из 4-х следующих:

Английские заглавные буквы A, B, C, ... Z

Английские строчные буквы a, b, c, ... z

Арабские цифры 0, 1, 2, ... 9

Не алфавитно-цифровые символы .,;:*&%!



  • Пароль не может включать идентификатор пользователя или какую либо из составных частей полного имени пользователя.

Для использования Passfit.dll в системном регистре с помощью редактора REGEDT32.EXE необходимо установить следующее значение ключа реестра:

Hive:

HKEY_LOCAL_MACHINE\SYSTEM

Key:

System\CurrentControlSet\Control\LSA

Name:

Notification Packages

Type:

REG_MULTI_SZ

Value:

Добавить параметр: “PASSFILT” (не удалять имеющиеся строки и параметры)

Вторым способом является запуск программы PASSPROP с ключом COMPLEX.

Способ проверки настройки:



  • Войти в систему в качестве администратора.

  • Запустить 'Диспетчер пользователей’ ('User Manager’).

  • В режиме редактирования учетной записи пользователя ввести простой пароль, состоящий из символов одного класса. Попытка должна быть отвергнута системой.

Попытка задания нового пароля, состоящего из символов 3-х классов, должна завершиться успешно.





Смотрите также:
Лабораторная работа №1 Настройка реестра ос windows nt 0
103.81kb.
1 стр.
Лабораторная работа. «Основы виртуальных машин. Инсталляция и настройка ос windows xp»
104.15kb.
1 стр.
Лабораторная работа Миграция приложений asp. Net на Windows Azure Содержание Упражнение 1: перенос веб-приложения в облако 3
596.27kb.
4 стр.
Методические указания и лабораторные задания по курсу основы информатики и
933.18kb.
11 стр.
Лабораторная работа №1 Введение в Windows. Работа с окнами и приложениями в Windows
61.99kb.
1 стр.
Лабораторная работа Введение в разработку Winrt-приложений на html/JavaScript
473.51kb.
4 стр.
Лабораторная работа №1 Установка и настройка сетевой карты. Лабораторная работа №2 Восстановление компьютера после сбоя.
58.29kb.
1 стр.
Установка и настройка Windows Server 2003. Служба каталогов Active Directory. Установка и настройка Windows Server 2003
80.27kb.
1 стр.
Лабораторная работа. Системный реестр Windows
74.22kb.
1 стр.
Лабораторная работа №2 «Система безопасности Windows xp» Цель работы: Изучить систему безопасности Windows xp описание работы
58.41kb.
1 стр.
Настройка общего доступа к ресурсам домашней группы Windows 7 для Vista и xp как объяснялось в статье «Создание и настройка сети с помощью домашней группы в Windows 7»
53.7kb.
1 стр.
Лабораторная работа № Файловые оболочки (файловые менеджеры, командиры) Общие сведения
113.66kb.
1 стр.