46161 (762239), страница 3
Текст из файла (страница 3)
2 - посылать только NT-ответ;
3 - использовать только аутентификацию NTLMv2;
4 - контроллеру домена отказывать в LM-аутентификации;
5 - контроллеру домена отказывать в LM- и NT-аутентификации (допустима только аутентификация NTLMv2).
o NtlmMinClientSec или NtlmMinServerSec типа DWORD в разделе
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaMSV1_0
Диапазон: объединенные по логическому ИЛИ любые из следующих значений:
0x00000010 - целостность сообщений;
0x00000020 - конфиденциальность сообщений;
0x00080000 - безопасность сеанса NTLMv2;
0x20000000 - 128-битное шифрование.
Подробнее об использовании NTLMv2 можно прочитать в статье KB147706 How to Disable LM Authentication on Windows NT;
* если в сети присутствуют только клиенты с Windows 2000/XP/2003, то рекомендуется использовать протокол аутентификации Kerberos;
* запретить отображение имени пользователя, который последним регистрировался в операционной системе, в диалоговом окне регистрации. Для этого нужно добавить в реестр строковый параметр DontDisplayLastUserName и установить его в 1 в разделе
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Диапазон: 0-1, по умолчанию - 0.
0 - отображать имя последнего пользователя;
1 - не отображать имя последнего пользователя.
Подробнее о запрещении отображения имени пользователя можно прочитать в статье KB114463 Hiding the Last Logged On Username in the Logon Dialog;
* запретить запуск экранной заставки при отсутствии регистрации пользователя операционной системы в течение некоторого времени. Для этого нужно в реестре значение строкового параметра ScreenSaveActive установить в 0 в разделе
HKEY_USERS.DEFAULTControl PanelDesktop
Подробнее о запрещении запуска экранной заставки можно прочитать в статье KB185348 HOW TO: Change the Logon Screen Saver in Windows;
* при выборе паролей Windows NT/2000/XP/2003 соблюдать следующие правила:
o не выбирать в качестве пароля или части пароля любое слово, которое может являться словом словаря или его модификацией;
o длина пароля в Windows NT должна быть не менее 7 символов (при максимально возможной длине пароля в 14 символов), в Windows 2000/XP/2003 - более 14 символов (при максимально возможной длине пароля в 128 символов);
o пароль должен содержать символы из возможно большого символьного набора. Нельзя ограничиваться только символами A-Z, желательнее использовать в пароле и буквы, и цифры, и специальные символы (причем в каждой из 7-символьных половин пароля, если длина пароля менее или равна 14);
o символы пароля, являющиеся буквами, должны быть как верхнего, так и нижнего регистра, что затруднит восстановление пароля, производимое по NT-хэшу;
* своевременно выполнять установку пакетов исправлений и обновлений операционной системы;
* переименовать административную и гостевую учетные записи, отключив при этом последнюю;
* избегать наличия учетной записи с именем и паролем, совпадающими с административной, на другом компьютере в качестве обычной учетной записи;
* иметь только одного пользователя с административными правами;
* задать политику учетных записей (блокировку учетных записей после определенного числа ошибок входа в систему, максимальный срок действия пароля, минимальную длину пароля, удовлетворение пароля требованиям сложности, требование неповторяемости паролей и т.д.);
* установить аудит неудачных входов;
* воспользоваться программами из пакета Microsoft Security Tool Kit, в частности HFNetChk и Microsoft Baseline Security Analyzer (написаны Shavlik Technologies LLC для Microsoft), проверяющими наличие установленных обновлений и имеющихся ошибок в настройке системы безопасности;
* периодически выполнять аудит паролей, используя программу LCP или подобные ей.
Шевлюга Анна
Список литературы
Для подготовки данной работы были использованы материалы с сайта http://www.nodevice.ru/
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
