Некоторые параметры конфигурирования

операционных систем MS Windows

Исторически ОС Windows поставляется по-умолчанию в конфигурации с оптимальными параметрами, позволяющими немедленное ее применение неквалифицированному пользователю, владеющему лишь навыками чтения и письма. Естественно, подавляющее большинство "тонких" настроек защиты ОС либо установлены в состояние "вседозволенности", либо скрыты, либо вовсе недоступны даже пользователям с административными правами.

Нет смысла вспоминать встроенные шаблоны безопасности, как и рекомендованные настройки в современных ОС, т.к. сисадмины и "продвинутые" пользователи прекрасно осведомлены и о множестве недекларированных возможностях системы и приложений, бесконтрольно сливающих разработчикам неведомо какую информацию. Инет насыщен программными инструментами, частично закрывающих уязвимости операционных систем, однако применение инструментов неизвестного происхождения чревато последствиями внедрения вредносного ПО или задания параметров, конфликтующих с прикладным ПО (крайне опасно в АСУ ТП и недопустимо в системах КИИ).

Перечисленные обстоятельства привели к анализу темы в открытых документах т.н. «партнеров», включая NIST, NSA, DISA и т.п. Как выяснилось, в частности, настройки ОС АРМ чиновников этих ведомств зависят даже от подразделения структур! И эти настройки обеспечиваются именно недекларируемыми возможностями ОС, а реализуемы вне политик и/или только на уровне реестра. К примеру, в реестре по-умолчанию отсутствуют некоторые ключи и значимые ветки.)

Проведенная работа (без детализации) позволила «вскрыть» более сотни параметров, так или иначе влияющих на обеспечение уровня защищенности ОС, и определить некоторый конечный перечень параметров, удовлетворяющих корпоративным политикам и создать собственный шаблон безопасности, который безболезненно «накладывается» на образ корпоративной ОС при каждом обновлении MS Windows.

Перечень изменений применим ко всем версиям ОС, начиная от Windows XP. С некоторыми доработками применим и к серверным системам, однако, практика показала, что отдельные параметры неприменимы с некоторыми прикладными программами, т.к. вызывают конфликты, приводящие к отказам ПО, поэтому рекомендуется проведение тестового периода до распространения в корпоративной среде.

Обобщенные настройки АРМ, включая некоторые политики предназначены для конфигурирования АРМ пользователей и позволяют закрыть ряд штатных уязвимостей операционных систем семейства Windows. Примеры приведены в таблице ниже, наиболее совместимый комплекс настроек можно скачать в текстовом виде по ссылке.

В настоящее время приведенные рекомендованные настройки используются некоторыми известными отечественными разработчиками АСУ ТП на платформе MS Windows.

ПРИНЯТЫЕ УСЛОВНОСТИ И ДОПУЩЕНИЯ

Отсутствующие ключи системного реестра и/или их неопределенные значения считаются установленными с параметром, не соответствующим требованиям стандартов безопасности и методикам их обеспечения.

Рекомендуемые параметры приведены в соответствии со стандартом ГОСТ Р ИСО/МЭК 17799-2005, при их отсутствии в российском стандарте – в соответствии с рекомендациями методических материалов.

Все необходимые изменения политик безопасности и ключей системного реестра приведены в соответствии с форматом их задания (изменения) и указанием полного пути (ветви) соответствующего ключа.

Приведенный документ не является исчерпывающим по составу необходимых настроек и требует проведения детального анализа для адаптации и приведения в соответствие требованиям корпоративной политике и прикладному ПО.

---

Отключение служб телеметрии и всевозможных штатных «бескорыстных» помощников – отдельная обязательная тема для анализа и предотвращения утечки информации в заморские страны. )

 

В.Б.

Страница 1 2

© Центр Сетевой Безопасности Арнис, 2014