Некоторые параметры конфигурирования
операционных систем MS Windows
автоматизированных рабочих мест
Исторически ОС Windows поставляется по-умолчанию в конфигурации с оптимальными параметрами, позволяющими немедленное ее применение неквалифицированному пользователю, владеющему лишь навыками чтения и письма. Естественно, подавляющее большинство "тонких" настроек защиты ОС либо установлены в состояние "вседозволенности", либо скрыты, либо вовсе недоступны даже пользователям с административными правами.
Нет смысла вспоминать встроенные шаблоны безопасности, как и рекомендованные настройки в современных ОС, т.к. сисадмины и "продвинутые" пользователи прекрасно осведомлены и о множестве недекларированных возможностях системы и приложений, бесконтрольно сливающих разработчикам неведомо какую информацию. Инет насыщен программными инструментами, частично закрывающих уязвимости операционных систем, однако применение инструментов неизвестного происхождения чревато последствиями.
Перечисленные обстоятельства привели к анализу темы в открытых документах т.н. «партнеров», включая NIST, NSA, DISA и т.п. Как выяснилось, в частности, настройки ОС АРМ чиновников этих ведомств зависят даже от подразделения структур! И эти настройки обеспечиваются именно недекларируемыми возможностями ОС, а реализуемы вне политик и/или только на уровне реестра. К примеру, в реестре по-умолчанию отсутствуют некоторые ключи и значимые ветки.)
Проведенная работа (без детализации) позволила «вскрыть» более сотни параметров, так или иначе влияющих на обеспечение уровня защищенности ОС, и определить некоторый конечный перечень параметров, удовлетворяющих корпоративным политикам и создать собственный шаблон безопасности, который безболезненно «накладывается» на образ корпоративной ОС при каждом обновлении MS Windows.
Перечень изменений применим ко всем версиям ОС, начиная от Windows XP. С некоторыми доработками применим и к серверным системам, однако, практика показала, что отдельные параметры неприменимы с некоторыми прикладными программами, т.к. вызывают конфликты, приводящие к отказам ПО, поэтому рекомендуется проведение тестового периода до распространения в корпоративной среде.
Обобщенные настройки АРМ, включая некоторые политики предназначены для конфигурирования АРМ пользователей и позволяют закрыть ряд штатных уязвимостей операционных систем семейства Windows. Примеры приведены в таблице ниже, наиболее совместимый комплекс настроек можно скачать в текстовом виде по ссылке. В настоящее время приведенные настройки используются некоторыми известными отечественными разработчиками АСУ ТП на платформе MS Windows.
ПРИНЯТЫЕ УСЛОВНОСТИ И ДОПУЩЕНИЯ
Отсутствующие ключи системного реестра и/или их неопределенные значения считаются установленными с параметром, несоответствующим требованиям стандартов безопасности и методикам их обеспечения.
Рекомендуемые параметры приведены в соответствии со стандартом ГОСТ Р ИСО/МЭК 17799-2005, при их отсутствии в российском стандарте – в соответствии с рекомендациями методических материалов.
Все необходимые изменения политик безопасности и ключей системного реестра приведены в соответствии с форматом их задания (изменения) и указанием полного пути (ветви) соответствующего ключа.
Приведенный документ не является исчерпывающим по составу необходимых настроек и требует проведения детального анализа для адаптации и приведения в соответствие требованиям корпоративной политике и прикладному ПО.
---
Отключение служб телеметрии и всевозможных штатных «бескорыстных» помощников – отдельная обязательная тема для анализа и предотвращения утечки информации в заморские страны. )
Страница 1 2
© Центр Сетевой Безопасности Арнис, 2014