Лабораторная работа № 1

Настройка реестра ОС Windows NT 4.0

1. Отключить возможность сетевой аутентификации в системе Windows NT с других типов систем

Объект доступа: Server (Windows NT Server)

Windows NT поддерживает два типа аутентификации:

• 
  LanManager
  
• 
  Windows NT
  

Чтобы сконфигурировать систему, которая будет поддерживать только аутентификацию Windows NT, необходимо с помощью редактора REGEDT32.EXE установить следующее значение параметра реестра:

Hive:	HKEY_LOCAL_MACHINE\SYSTEM
Key:	System\CurrentControlSet\Control\LSA
Name:	LMCompatibilityLevel
Type:	REG_DWORD
Value:	2 (по умолчанию - 0) 0 – LanManage и Windows NT 1 – послать парольные формы LanManage и Windows NT, если сервер запрашивает их 2 – никогда не посылать LanManage парольную форму

Порядок проверки настройки:

• 
  Подключить к сети стенда компьютер с установленной на нем системой Windows 95 или Windows 3.11.
  
• 
  Произвести попытку регистрации на сервере домена. Доступ должен быть отвергнут.
  

2. Выводить перед аутентификацией пользователей предупреждающее сообщение

Объект доступа: Workstation (Windows NT Workstation).

Перед появлением диалогового окна аутентификации пользователей в системе должно появиться предупреждение о несанкционированном доступе для посторонних лиц. С этой целью необходимо с помощью редактора REGEDT32.EXE установить следующие значения ключей реестра:

Hive:	HKEY_LOCAL_MACHINE\SOFTWARE
Key:	\Microsoft\WindowsNT\CurrentVersion\Winlogon
Name:	LegalNoticeCaption
Type:	REG_SZ
Value:	“Предупреждение пользователям”

Hive:	HKEY_LOCAL_MACHINE\SOFTWARE
Key:	\Microsoft\WindowsNT\CurrentVersion\Winlogon
Name:	LegalNoticeText
Type:	REG_SZ
Value:	“Система имеет ограничения на доступ. Посторонним доступ запрещен. Доступ без соответствующих прав влечет ответственность, предусмотренную законом”.

Для проверки настройки выполнить перезагрузку системы. В процессе загрузки ОС после нажатия клавиш Ctrl+Alt+Del должно появится предупреждающее сообщение.

3. Скрыть идентификатор последнего пользователя, работавшего в системе, в диалоговом окне аутентификации

Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

Для предотвращения индикации идентификатора последнего пользователя, работавшего в системе, в диалоговом окне аутентификации необходимо с помощью редактора REGEDT32.EXE выполнить следующие настройки реестра:

Hive:	HKEY_LOCAL_MACHINE\SOFTWARE
Key:	\Microsoft\WindowsNT\CurrentVersion\Winlogon
Name:	DontDisplayLastUserName
Type:	REG_SZ
Value:	1

После перезагрузки системы визуально провести проверку маскировки идентификатора. В диалоговом окне аутентификации идентификатор должен отсутствовать.

4. Использовать блокирующую заставку экрана терминала

Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

Блокирующая заставка позволяет защитить компьютер от несанкционированного доступа от постороннего в случае, если пользователь временно отсутсвует на рабочем месте.

Данная настройка позволяет сделать операционную систему доступной для пользователя после простоя компьютера только после ввода правильного пароля.

Последовательность действий при установке настройки:

• 
  Запустить ‘Панель управления’ ( ‘Control Panel’ ).
  
• 
  Выбрать опцию ‘Свойства: Экран’ ( ‘Display’ ).
  
• 
  Выбрать раздел ‘Заставка’ ( ‘Screen Saver' ).
  
• 
  Выбрать заставку.
  
• 
  Задать время простоя компьютера, предшествующее запуску заставки – 1 мин.
  
• 
  Установить флаг защиты паролем, который пользователь использует при входе в систему.
  
• 
  Выбрать опцию ‘Применить’ ( ‘Apply’ ).
  

Порядок проверки настройки:

• 
  Выполнить успешный вход с систему.
  
• 
  В течение 1-ой минуты до появления на компьютере заставки не производить ни каких действий на компьютере.
  
• 
  После появления на экране заставки нажать любую клавишу. На экране терминала должно появится диалоговое окно аутентификации.
  
• 
  Ввести правильный идентификатор текущего пользователя и неверный пароль. Доступ в систему должен быть отвергнут.
  
• 
  После ввода правильного идентификатора и пароля система должна быть доступна пользователю для продолжения работы.
  

5. Запретить возможность перезагрузки системы из диалогового окна входа в систему (Login dialog)

Объект доступа: Workstation (Windows NT Workstation).

Для того, чтобы исключить возможность перезагрузки системы без аутентификации в ней пользователя, необходимо с помощью редактора REGEDT32.EXE установить следующие параметры реестра:

Hive:	HKEY_LOCAL_MACHINE\SOFTWARE
Key:	\Microsoft\WindowsNT\CurrentVersion\Winlogon
Name:	ShutdownWithoutLogon
Type:	REG_SZ
Value:	0

Для проверки настройки произвести перезагрузку компьютера и визуально проверить факт отключения опции “Перезагрузка” (“Shot Down”) в диалоговом окне входа в систему.

6. Активизировать механизм очистки содержимого системного страничного файла (system page file) при завершении работы ОС

Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

В случае несанкционированного доступа к страничному файлу (PAGEFILE.SYS) можно получить идентификатор последнего пользователя, работавшего в системе. Для активизации режима очистки страничного файла необходимо задать следующий параметр реестра:

Hive:	HKEY_LOCAL_MACHINE\SYSTEM
Key:	System\CurrentControlSet\Control\SessionManager\Memory Management
Name:	ClearPageFileAtShutdown
Type:	REG_DWORD
Value:	1

Порядок проверки очистки страничного файла:

• 
  Установить на компьютере систему Windows NT на логическом диске со структурой FAT;
  
• 
  Зарегистрироваться в системе под идентификатором администратора.
  
• 
  Выполнить выход из системы.
  
• 
  С дискеты загрузить операционную систему MS DOS.
  
• 
  С помощью программы “Norton commander” в режиме просмотра открыть страничный файл и по операции поиска убедиться в наличии строки идентификатора администратора.
  
• 
  Зарегистрироваться в системе Windows NT под идентификатором администратора.
  
• 
  Установить режим очистки страничного файла.
  
• 
  Завершить работу в системе.
  
• 
  Под MS DOS повторно запустить “Norton commander” и просмотреть содержимое файла. Строки с именем идентификатора администратора не должны присутствовать в файле.
  

7. Обеспечить защиту журналов регистрации от несанкционированного доступа

Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

Для предотвращения возможности гостевого доступа к журналам аудита “Система” (“System”) и “Приложения” (“Application”) следует установить следующие параметры реестра:

Hive:	HKEY_LOCAL_MACHINE
Key:	System\CurrentControlSet\Services\EventLog\[LogName]
Name:	RestrictGuestAccess
Type:	REG_DWORD
Value:	1

Изменения вступят в силу после перезагрузки системы.

Порядок проверки настройки реестра:

• 
  Войти в систему в качестве администратора.
  
• 
  Запустить программу “Диспетчер пользователей” (“User Manager”) и снять блокировку с учетной записи гостя.
  
• 
  После перезагрузки войти в систему под гостевым идентификатором.
  

• 
  С помощью программы EVENTWVR.EXE. выполнить попытку просмотра содержимого журналов. Доступ к журналам должен быть отклонен.
  

8. Обеспечить полное выключение системы при заполнении журнала аудита (не выполнять)

Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

При установке данной настройки операционная система выполняет аварийное завершение работы в случае переполнения журнала безопасности. Благодаря этому после заполнения журнала не произойдет никаких действий, запись о которых не попадет в журнал. После перегрузки только администратор может войти в систему.

Выключение достигается посредством установки следующего параметра реестра:

Hive:	HKEY_LOCAL_MACHINE
Key:	System\CurrentControlSet\Control\LSA
Name:	CrashOnAuditFail
Type:	REG_DWORD
Value:	1

Порядок проверки настройки:

• 
  Произвести вход в систему в качестве администратора.
  

• 
  В меню “Журнал” (“Log”) программы EVENTWVR.EXE выбрать опцию “Настройка журнала” (”Log Settings”) и задать минимально возможный размер журнала безопасности - 64К.
  

• 
  Разрешить полный аудит каталога \WINNT\HELP с помощью опции “Свойства” меню “Файл” программы “Проводник”.
  

• 
  С помощью программы “Проводник” многократно просмотреть содержимое каталога до момента заполнения журнала. Система должна выйти на аварийное завершение работы.
  
• 
  Выполнить перезагрузку системы.
  
• 
  Произвести попытку аутентификации в системе под учетной записью обычного пользователя. Попытка должна быть отвергнута.
  
• 
  Попытка аутентификации в качестве администратора должна быть успешной.
  

9. Отключить механизм кэширования паролей пользователей на рабочих станциях

Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

На рабочих станциях домена при включенном механизме кэширования паролей сохраняются в локальном реестре имена и пароли последних 10-ти пользователей, регистрировавшихся на данном компьютере. Это позволяет пользователю войти в систему даже при отсутствии связи с контроллером домена. Однако при этом возникает угроза возможности подбора паролей других пользователей.

Для отключения механизма кэширования паролей необходимо добавить следующий параметр реестра:

Hive:	HKEY_LOCAL_MACHINE
Key:	\Microsoft\WindowsNT\CurrentVersion\Winlogon
Name:	CachedLogonsCount
Type:	REG_DWORD
Value:	0

Порядок проверки настройки:

• 
  Войти на контроллере домена локально в систему в качестве администратора.
  
• 
  Запустить программу “User Manager”.
  
• 
  Создать новую учетную запись пользователя CACHE,.входящего в группу “Users”.
  

• 
  На рабочей станции выполнить успешную регистрацию в системе под идентификатором CACHE.
  
• 
  Отключить контроллер домена от сети.
  
• 
  На рабочей станции выполнить попытку регистрации в системе под идентификатором CACHE. Доступ должен быть отвергнут.
  

10. Ввести в действие строгие пользовательские пароли

Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).

C помощью динамической библиотеки Passfilt.dll проводится следующая политика в части фильтрации паролей:

• 
  Пароль должен содержать не менее 8 символов.
  
• 
  Пароль должен содержать символы, по крайней мере, 3-х классов из 4-х следующих:
  

Английские заглавные буквы A, B, C, ... Z

Английские строчные буквы a, b, c, ... z

Арабские цифры 0, 1, 2, ... 9

Не алфавитно-цифровые символы .,;:*&%!

• 
  Пароль не может включать идентификатор пользователя или какую либо из составных частей полного имени пользователя.
  

Для использования Passfit.dll в системном регистре с помощью редактора REGEDT32.EXE необходимо установить следующее значение ключа реестра:

Hive:	HKEY_LOCAL_MACHINE\SYSTEM
Key:	System\CurrentControlSet\Control\LSA
Name:	Notification Packages
Type:	REG_MULTI_SZ
Value:	Добавить параметр: “PASSFILT” (не удалять имеющиеся строки и параметры)

Вторым способом является запуск программы PASSPROP с ключом COMPLEX.

Способ проверки настройки:

• 
  Войти в систему в качестве администратора.
  

• 
  Запустить 'Диспетчер пользователей’ ('User Manager’).
  

• 
  В режиме редактирования учетной записи пользователя ввести простой пароль, состоящий из символов одного класса. Попытка должна быть отвергнута системой.
  

Попытка задания нового пароля, состоящего из символов 3-х классов, должна завершиться успешно.