В данной статье будут рассмотрены 16 правил, которые необходимо использовать администратору при подключению компьютера к Интернет.
Практика показывает, что при выполнении всех правил описанных ниже, возможность заражения вирусами уменьшается на 30 – 50 %. Защита от НСД уменьшается в 20 – 40% (многое зависит от используемого ПО, в частности нелицензионного).
1. Использовать ОС со встроенной системой разграничения доступа – MS Windows XP SP2 RUS (при возможности подключить компьютер к серверу WSUS).
2. Отключить возможность выбора конфигурации ОС при загрузке: отредактировать файл boot.ini, оставить только запись об ОС Windows XP, установить timeout=0:
[boot loader]
timeout=0
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=”Microsoft Windows XP Professional RU” /fastdetect /NoExecute=OptIn
3. Настроить Windows XP и установить специальные программные продукты (антивирусное ПО Доктор WEB, Касперский и т.д), обеспечивающие целостность используемых на компьютере технических и программных средств.
4. Обязательно должен быть включен и настроен брандмауэр сторонних производителей (например OutPost). Брандмауэр Windows должен быть отключен.
5. Проводить администрирование должны только ИТ-специалисты вашей организации, Возможность удалённого доступа (Telnet, RDP и т.д.) к компьютеру должна быть отключена.
6. Создать только две локальные взаимно-неперекрывающиеся группы пользователей: администраторы (1 учетная запись для каждого специалиста из службы сопровождения) и пользователи (кол-во учетных записей – по числу пользователей). При увольнении сотрудника необходимо провести внеплановую замену паролей известных уволенному сотруднику.
7. Для каждого пользователя назначить персональный идентификатор (имя) и пароль (вход в ОС каждого пользователя только под своим именем и со своим паролем!).
8. Переименовать учетную запись с Администратор на любую другую.
9. Всех пользователей включить в группу «Пользователи». Для обычных пользователей наличие в группах «Администраторы» и «Опытные пользователи» недопустимы.
10. Длина паролей для администраторов должна быть не менее 14 символов. Смена паролей администратора должна производиться не реже одного раза в год.
11. Настроить Windows XP на работу с файловой системой NTFS, при этом установить только следующие NTFS-разрешения для группы «Пользователи»:
- читать и выполнять программы из каталогов, содержащих файлы используемого пользователями ПО
- изменять каталоги (содержимое каталогов), содержащие файлы с данными.
- Исключить возможность создания на ПК разделяемых сетевых ресурсов, для чего в свойствах сетевого подключения удалить сетевой компонент – «Служба доступа к файлам и принтерам сетей Microsoft».
12. Все устанавливаемые на компьютере программные средства должны иметь лицензию (Настройка Windows XP с нелицензионным ПО не желательна).
13. Создать ярлык на рабочем столе для быстрого запуска хранителя экрана (файл «scrnsave.scr» находится в папке \Windows\System32).
14. Используя редактор реестра проверить (в случае несоответствия изменить) следующие параметры:
ВНИМАНИЕ! НЕКОРРЕКТНОЕ ИЗМЕНЕНИЕ ДАННЫХ МОЖЕТ ПРИВЕСТИ К НЕРАБОТОСПОСОБНОСТИ СИСТЕМЫ!
- ограничить доступ к реестру, для чего установить разрешение (Permissions) для ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecuritePipeServers\winreg только для Administrators – Full Control, остальные записи должны быть убраны.
15. Не реже 1 раза в неделю должна проводиться очистка удаленных/временных файлов в рабочих каталогов на дисках ПК.
16. После окончания использования Интернет сеанс работы должен быть закрыт, а кэш браузера должен быть очищен.
В IE это можно сделать, зайдя в «Свойствах обозревателя» на закладке «Дополнительно» выбрать опцию «Удалять все файлы из папки временных файлов Интернета при закрытии обозревателя».
Пипец жоско..)))