shein-lab

Лабораторная работа № 1
Настройка реестра ОС Windows NT 4.0
1. Отключить возможность сетевой аутентификации в системе Windows NT с других типов систем
Объект доступа: Server (Windows NT Server)
Windows NT поддерживает два типа аутентификации:
 LanManager
 Windows NT
Чтобы сконфигурировать систему, которая будет поддерживать только аутентификацию Windows NT,
необходимо с помощью редактора REGEDT32.EXE установить следующее значение параметра реестра:
Hive:
Key:
Name:
Type:
Value:
HKEY_LOCAL_MACHINE\SYSTEM
System\CurrentControlSet\Control\LSA
LMCompatibilityLevel
REG_DWORD
2 (по умолчанию - 0)
0 – LanManage и Windows NT
1 – послать парольные формы LanManage и Windows NT,
если сервер запрашивает их
2 – никогда не посылать LanManage парольную форму
Порядок проверки настройки:
 Подключить к сети стенда компьютер с установленной на нем системой Windows 95 или Windows
3.11.
 Произвести попытку регистрации на сервере домена. Доступ должен быть отвергнут.
2. Выводить перед аутентификацией пользователей предупреждающее сообщение
Объект доступа: Workstation (Windows NT Workstation).
Перед появлением диалогового окна аутентификации пользователей в системе должно появиться
предупреждение о несанкционированном доступе для посторонних лиц. С этой целью необходимо с помощью
редактора REGEDT32.EXE установить следующие значения ключей реестра:
Hive:
Key:
Name:
Type:
Value:
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\WindowsNT\CurrentVersion\Winlogon
LegalNoticeCaption
REG_SZ
“Предупреждение пользователям”
Hive:
Key:
Name:
Type:
Value:
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\WindowsNT\CurrentVersion\Winlogon
LegalNoticeText
REG_SZ
“Система имеет ограничения на доступ. Посторонним доступ
запрещен. Доступ без соответствующих прав влечет
ответственность, предусмотренную законом”.
Для проверки настройки выполнить перезагрузку системы. В процессе загрузки ОС после нажатия
клавиш Ctrl+Alt+Del должно появится предупреждающее сообщение.
3. Скрыть идентификатор последнего пользователя, работавшего в системе, в диалоговом окне
аутентификации
Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).
Для предотвращения индикации идентификатора последнего пользователя, работавшего в системе, в
диалоговом окне аутентификации необходимо с помощью редактора REGEDT32.EXE выполнить следующие
настройки реестра:
Hive:
Key:
Name:
Type:
Value:
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\WindowsNT\CurrentVersion\Winlogon
DontDisplayLastUserName
REG_SZ
1
После перезагрузки системы визуально провести проверку маскировки идентификатора. В диалоговом
окне аутентификации идентификатор должен отсутствовать.
4. Использовать блокирующую заставку экрана терминала
Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).
1
Блокирующая заставка позволяет защитить компьютер от несанкционированного доступа от
постороннего в случае, если пользователь временно отсутсвует на рабочем месте.
Данная настройка позволяет сделать операционную систему доступной для пользователя после
простоя компьютера только после ввода правильного пароля.
Последовательность действий при установке настройки:
 Запустить ‘Панель управления’ ( ‘Control Panel’ ).
 Выбрать опцию ‘Свойства: Экран’ ( ‘Display’ ).
 Выбрать раздел ‘Заставка’ ( ‘Screen Saver' ).
 Выбрать заставку.
 Задать время простоя компьютера, предшествующее запуску заставки – 1 мин.
 Установить флаг защиты паролем, который пользователь использует при входе в систему.
 Выбрать опцию ‘Применить’ ( ‘Apply’ ).
Порядок проверки настройки:
 Выполнить успешный вход с систему.
 В течение 1-ой минуты до появления на компьютере заставки не производить ни каких действий на
компьютере.
 После появления на экране заставки нажать любую клавишу. На экране терминала должно
появится диалоговое окно аутентификации.
 Ввести правильный идентификатор текущего пользователя и неверный пароль. Доступ в систему
должен быть отвергнут.
 После ввода правильного идентификатора и пароля система должна быть доступна пользователю
для продолжения работы.
5. Запретить возможность перезагрузки системы из диалогового окна входа в систему (Login dialog)
Объект доступа: Workstation (Windows NT Workstation).
Для того, чтобы исключить возможность перезагрузки системы без аутентификации в ней пользователя,
необходимо с помощью редактора REGEDT32.EXE установить следующие параметры реестра:
Hive:
Key:
Name:
Type:
Value:
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\WindowsNT\CurrentVersion\Winlogon
ShutdownWithoutLogon
REG_SZ
0
Для проверки настройки произвести перезагрузку компьютера и визуально проверить факт отключения опции
“Перезагрузка” (“Shot Down”) в диалоговом окне входа в систему.
6. Активизировать механизм очистки содержимого системного страничного файла (system page file)
при завершении работы ОС
Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).
В случае несанкционированного доступа к страничному файлу (PAGEFILE.SYS) можно получить
идентификатор последнего пользователя, работавшего в системе. Для активизации режима очистки
страничного файла необходимо задать следующий параметр реестра:
Hive:
Key:
Name:
Type:
Value:
HKEY_LOCAL_MACHINE\SYSTEM
System\CurrentControlSet\Control\SessionManager\Memory Management
ClearPageFileAtShutdown
REG_DWORD
1
Порядок проверки очистки страничного файла:
 Установить на компьютере систему Windows NT на логическом диске со структурой FAT;
 Зарегистрироваться в системе под идентификатором администратора.
 Выполнить выход из системы.
 С дискеты загрузить операционную систему MS DOS.
 С помощью программы “Norton commander” в режиме просмотра открыть страничный файл и по
операции поиска убедиться в наличии строки идентификатора администратора.
 Зарегистрироваться в системе Windows NT под идентификатором администратора.
 Установить режим очистки страничного файла.
 Завершить работу в системе.
 Под MS DOS повторно запустить “Norton commander” и просмотреть содержимое файла. Строки с
именем идентификатора администратора не должны присутствовать в файле.
7. Обеспечить защиту журналов регистрации от несанкционированного доступа
Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).
2
Для предотвращения возможности гостевого доступа к журналам аудита “Система” (“System”) и
“Приложения” (“Application”) следует установить следующие параметры реестра:
Hive:
Key:
Name:
Type:
Value:
HKEY_LOCAL_MACHINE
System\CurrentControlSet\Services\EventLog\[LogName]
RestrictGuestAccess
REG_DWORD
1
Изменения вступят в силу после перезагрузки системы.
Порядок проверки настройки реестра:
 Войти в систему в качестве администратора.
 Запустить программу “Диспетчер пользователей” (“User Manager”) и снять блокировку с учетной
записи гостя.
 После перезагрузки войти в систему под гостевым идентификатором.
 С помощью программы EVENTWVR.EXE. выполнить попытку просмотра содержимого журналов.
Доступ к журналам должен быть отклонен.
8. Обеспечить полное выключение системы при заполнении журнала аудита (не выполнять)
Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).
При установке данной настройки операционная система выполняет аварийное завершение работы в случае
переполнения журнала безопасности. Благодаря этому после заполнения журнала не произойдет никаких
действий, запись о которых не попадет в журнал. После перегрузки только администратор может войти в
систему.
Выключение достигается посредством установки следующего параметра реестра:
Hive:
Key:
Name:
Type:
Value:
HKEY_LOCAL_MACHINE
System\CurrentControlSet\Control\LSA
CrashOnAuditFail
REG_DWORD
1
Порядок проверки настройки:
 Произвести вход в систему в качестве администратора.
 В меню “Журнал” (“Log”) программы EVENTWVR.EXE выбрать опцию “Настройка журнала” (”Log
Settings”) и задать минимально возможный размер журнала безопасности - 64К.
 Разрешить полный аудит каталога \WINNT\HELP с помощью опции “Свойства” меню “Файл”
программы “Проводник”.
 С помощью программы “Проводник” многократно просмотреть содержимое каталога до момента
заполнения журнала. Система должна выйти на аварийное завершение работы.
 Выполнить перезагрузку системы.
 Произвести попытку аутентификации в системе под учетной записью обычного пользователя.
Попытка должна быть отвергнута.
 Попытка аутентификации в качестве администратора должна быть успешной.
9. Отключить механизм кэширования паролей пользователей на рабочих станциях
Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).
На рабочих станциях домена при включенном механизме кэширования паролей сохраняются в локальном
реестре имена и пароли последних 10-ти пользователей, регистрировавшихся на данном компьютере. Это
позволяет пользователю войти в систему даже при отсутствии связи с контроллером домена. Однако при этом
возникает угроза возможности подбора паролей других пользователей.
Для отключения механизма кэширования паролей необходимо добавить следующий параметр реестра:
HKEY_LOCAL_MACHINE
Hive:
\Microsoft\WindowsNT\CurrentVersion\Winlogon
Key:
CachedLogonsCount
Name:
REG_DWORD
Type:
0
Value:
Порядок проверки настройки:
 Войти на контроллере домена локально в систему в качестве администратора.
 Запустить программу “User Manager”.
 Создать новую учетную запись пользователя CACHE,.входящего в группу “Users”.
 На рабочей станции выполнить успешную регистрацию в системе под идентификатором CACHE.
 Отключить контроллер домена от сети.
3

На рабочей станции выполнить попытку регистрации в системе под идентификатором CACHE. Доступ
должен быть отвергнут.
10.
Ввести в действие строгие пользовательские пароли
Объекты доступа: Server (Windows NT Server), Workstation (Windows NT Workstation).
C помощью динамической библиотеки Passfilt.dll проводится следующая политика в части фильтрации
паролей:
 Пароль должен содержать не менее 8 символов.
 Пароль должен содержать символы, по крайней мере, 3-х классов из 4-х следующих:
Английские заглавные буквы
A, B, C, ... Z
Английские строчные буквы
a, b, c, ... z
Арабские цифры
0, 1, 2, ... 9
Не алфавитно-цифровые символы
.,;:*&%!

Пароль не может включать идентификатор пользователя или какую либо из
составных частей полного имени пользователя.
Для использования Passfit.dll в системном регистре с помощью редактора REGEDT32.EXE необходимо
установить следующее значение ключа реестра:
Hive:
Key:
Name:
Type:
Value:
HKEY_LOCAL_MACHINE\SYSTEM
System\CurrentControlSet\Control\LSA
Notification Packages
REG_MULTI_SZ
Добавить параметр: “PASSFILT” (не удалять имеющиеся строки и
параметры)
Вторым способом является запуск программы PASSPROP с ключом COMPLEX.
Способ проверки настройки:
 Войти в систему в качестве администратора.
 Запустить 'Диспетчер пользователей’ ('User Manager’).
 В режиме редактирования учетной записи пользователя ввести простой пароль, состоящий из
символов одного класса. Попытка должна быть отвергнута системой.
Попытка задания нового пароля, состоящего из символов 3-х классов, должна завершиться успешно.
4