Глобальные параметры безопасности системы.

4. Пункт Отладка программ позволяет указать пользователей, которые смогут подсоединять свой отладчик к процессам и производить их отладку. Следует включать в этот пункт только тех пользователей, которым это действи­тельно нужно, например, системный админи­стратор и системные программисты. Не следует давать это право другим пользователям, так как этой возможностью могут воспользоваться вирусы для заражения системы, запущенные под одной из пользовательских записей, имеющей право на отладку процессов.

5. Пункт Отказ в доступе к компьютеру из сети содержит пользователей и их группы, которым запрещен вход в систему по компьютерной сети. При необходимости можно добавить пользователей, которым запрещен доступ к компьютеру с помощью кнопки Добавить пользователя или группу (рис.1.6.).

Рис. 1.5. Окно Отказ в доступе к компьютеру из сети

Отключение учетной записи системного администратора может быть полезно, т.к. это дает гарантированную защиту от атак взломщиков на эту учетную запись. Если необходимо включить учетную запись системного администратора, то это можно сделать под учетной записью другого пользователя, принадлежащего к группе системных администраторов, или в защищенном режиме работы операци­онной системы.

Пункт Учетные записи: Состояние учетной записи 'Гость’ позволяет отключать учетную запись гостя, т.к. для входа под данной учетной записью не требуется пароль, что может нарушить политику прав доступа пользователями. Учетная запись Гость по умолчанию отключена.

Пункт Accounts: Limit local account use of blank passwords to console logon only, в случае включения позволяет ограничить доступ к незащищен­ным паролями консольным учетным записям локальных пользователей со стороны различных сетевых сервисов, например: терминал-сервера, Telnet и FTP. По умолчанию, в целях за­щиты системы от сетевых атак, данный пункт включен.

Пункт Accounts: Rename administrator account позволяет переименовать встро­енную учетную запись администратора системы. Это делается в целях защиты от атаки методом подбора паролей. Чтобы изменить имя учетной записи администратора, нужно дважды щелкнуть мышью по имени этого пункта и в появившемся окне ввести новое имя этой учетной записи.

Пункт Audit: Audit the use of Backup and Restore privilege позволяет кон­тролировать выполнение всех операций сохранения и восстановления дан­ных. Система будет сохранять сообщения обо всех резервируемых и восстанавливаемых файлах и папках. Это очень удобно для проведения контроля за операциями резервирования и восстановления дан­ных. Для работы данного пункта необходимо включение в политике аудита опции Аудит использования привилегий. По умолчанию данный пункт локальной политики безопасности отключен.

Пункт Audit: Shut down system immediately if unable to log security audits явля­ется очень полезным и позволяет после своего включения, в случае обнару­жения операционной системой невозможности производить запись событий аудита, произвести автоматическое выключение системы. Невозможность записи аудита событий системы обычно связана с переполнением хранили­ща этих сообщений. Для продолжения нормальной работы системы не­обходимо войти в нее под учетной записью администратора и произвести в программе:

Пуск\Панель управления\Администрирование\Просмотр событий

очистку всех этих сообщений, возможно, предварительно их сохранив. Это является гарантией того, что все действия системы или пользователей будут контролироваться администратором.

Пункт Devices: Prevent users from installing printer drivers – позволяет запретить пользователям устанавливать драйвера принтеров под их учетными запися­ми.

Пункт Devices: Restrict CD-ROM access to locally logged-on user only позволяет ограничить доступ сетевых пользователей к локальному CD-ROM -приводу системы. Это может быть полезно, когда нужно чтобы сетевые пользо­ватели имели доступ только к тем ресурсам, к которым они должны его иметь.

Пункт Devices: Restrict floppy access to locally logged-on user only позволяет ограничить доступ сетевых пользователей к локальному CD-ROM -приводу системы. Это может быть полезно, когда вы хотите, чтобы сетевые пользо­ватели имели доступ только к тем ресурсам, к которым они должны его иметь. Это позволит локальным пользователям приватно работать с их лич­ными носителями.

Пункт Devices: Unsigned driver installation behavior позволяет указать поведе­ние системе, при попытке пользователей установить драйвер, не прошед­ший процедуру сертификации Microsoft. Он может иметь три значения:

- Silent succeed – происходит инсталляция этого драйвера и никаких сообщений не выдается;

- Warn but allow installation – происходит предупреждение пользователя о том, что драйвер не прошел сертификацию, но инсталля­ция продолжается. Данный пункт используется по умолчанию;

- Do not allow installation – накладывается запрет на установку драйверов системы, не прошедших сертификацию.

Пункт Interactive logon: Do not display last user name, в случае своего включе­ния, запрещает показ системе имени пользователя, который в ней работал последним. Это удобно в тех случаях, когда нужно избежать подбора па­ролей взломщиками к учетным записям пользователей системы, т.к. если у них не будет не только пароля, но и имени учетной записи пользова­теля, то их задача может стать в два раза сложнее. Данный пункт работает только в том случае, если отключен экран приветствия системы.

Пункт Interactive logon: Do not require CTRL+ALT+DEL, в случае его вы­ключения, производит отображение на экране таблички, требующей от пользователя нажатия комбинации клавиш CTRL+ALT+DEL для входа в систему. В случае включения этого пункта данное сообщение системы по­являться не будет. Данный пункт работает только в том случае, если отклю­чен экран приветствия. Смысл ввода этой комбинации клавиш для входа в систему заключается в том, что она обрабатывается только системой. И это гарантирует то, что в операционную систему входит человек, а не программа по подбору паролей пользователей. Таким образом, данное сообщение может быть дополнительным барьером, охраняющим сис­тему от взломщиков.

Пункт Interactive logon: Prompt user to change password before expiration уста­навливает количество дней до конца срока действия пароля пользователя, когда система будет предупреждать пользователя об этом. Данный пункт имеет смысл только в том случае, если пароли пользователей имеют определенный срок действия.

Пункт Recovery console: Allow automatic administrative logon устанавливает автоматический вход системного администратора в консоль восстановления системы. Это удобно тем, что не требует ввода пароля администратора, но по той же причине, создает большие проблемы с безопасностью, так как консолью восстановления с администраторскими правами сможет восполь­зоваться любой желающий.

Пункт Recovery console: Allow floppy copy and access to all drives and all folders, в случае его включения, позволяет вам использовать команду SET консоли восстановления, которая может помочь установить следующие значения переменных:

- AllowWildCards – переменная включает поддержку масок у команд, например, DEL;

- AllowAllPath – переменная позволяет получить доступ ко всем файлам и папкам системы.

- AllowRemovableMedia – переменная позволяет копировать файлы на сменные носители, например, гибкие диски;

- NoCopyPrompt – переменная запрещает системе выдавать допол­нительные сообщения при перезаписи существующего файла.

С помощью данного пункта можно скопировать или удалить информацию с жесткого диска системы. Поэтому не рекомендуется совмещать его ис­пользование с включенным предыдущим пунктом, позволяющим вход в кон­соль восстановления системы без администраторского пароля, т.к. можно лишиться всей информации.

Пункт Shutdown: Allow system to be shut down without having to log on позволя­ет, в случае его включения, производить выключение операционной систе­мы до непосредственного входа в нее пользователями. Если вы не хотите, чтобы пользователи, не имеющие на это прав, выключали систему, устано­вите данный пункт в положение Отключен.

Пункт Shutdown: Clear virtual memory pagefile является чрезвычайно важным в обеспечении безопасности вашей системы. При выключении системы в ее файле подкачки остаются данные, которые использовались в работе различ­ными пользовательскими приложениями. Среди этих данных могут быть, частично или полностью, ваши документы, с которыми вы работали в тече­ние сеанса работы с системой. Впоследствии, во время вашего отсутствия, эти данные могут быть кем-либо извлечены из файла подкачки. Таким об­разом, возможна утечка информации. И чтобы этого не случилось, системе может потребоваться очищать свой файл подкачки. Это можно сделать, включив данный пункт. Однако учтите, время очистки файла займет неко­торое дополнительное время, и система будет выключаться чуть дольше.

Если пользователь работает на домашнем компьютере, достаточно производить обнов­ления системы раз в неделю. Если система является корпоративной или часто находится в Интернете, рекомендуется проводить каждодневное обновление, чтобы надежно защититься от сетевых взломщиков. Если система скачает обновления, и они будут готовы к инстал­ляции, система сообщит об этом. Если же за время вы­хода в Интернет система не успеет скачать все обновления, они будут скачаны в следующий раз. Все скачанные и установленные обновления можно удалить, воспользовавшись для этого программой Установка и удаление программ: Пуск\Панель управлениях Установка и удаление программ.

2. Загружать обновления, пользователь назначит время установки, Download updates for me, but let me choose when to install them оп­ция позволяет операционной системе самостоятельно скачивать обновле­ния, но для их установки она должна спросить разрешения у пользователя.

3. Уведомлять, но не загружать и не устанавливать их автоматически, Notify me but don't automatically download or install them опция
позволяет операционной системе проверять наличие обновлений,
но запрещает их непосредственное скачивание или установку. Эта опция полезна, если пользователь сам устанавливаете обновления, например с компакт-диска, также она позволяет сэкономить на интернет-трафике.

4. Отключить автоматическое обновление, Turn off Automatic Updates опция запрещает работу системы обновления Windows XP.