Информационная безопасность

В ПО ПроАТМ применяются дополнительные методы обеспечения информационной безопасности от внешнего воздействия. Безопасность системы обеспечивается настройкой ИБ. Ниже представлено подробное описание и порядок настройки ИБ, включая списки рекомендуемых значений настроек и прав доступа.

Настройка BIOS

Для обеспечения безопасности на уровне BIOS материнской платы:

  1. Устанавливается пароль доступа к BIOS.

  2. Отключаются порты ввода-вывода.

  3. Опечатываются перемычки сброса состояния.

Пароль доступа к BIOS

Для блокировки доступа к загрузке компьютера или изменению параметров BIOS используется система защиты паролем. Для установки пароля:

  1. Войдите в BIOS.

  2. Выберете: Main > Security > Administrator password и нажмите Enter.

  3. В открывшемся поле Create New Password введите свой пароль (буквенно-цифровую комбинацию латинского алфавита длиной не более восьми символов).

Если требуется изменить существующий пароль, то сначала введите его в поле Enter Current Password, затем нажмите Enter и в поле Create New Password наберите новый пароль.

Отключение портов в настройках BIOS

  1. Войдите в BIOS.

  2. В настройках BIOS найдите в меню Advanced опции для включения или отключения портов.

  3. Отключите все порты (установите для них параметр DISABLED).

  4. После того, как были сделаны изменения, сохраните настройки.

Защита от запуска внешних ОС

Для обеспечения защиты от запуска внешних операционных систем в BIOS устанавливается возможность загрузки ОС только с локального жесткого диска, альтернативные варианты загрузки отключаются. Для этого:

  1. Войдите в BIOS.

  2. В настройках BIOS найдите в меню Boot опции для включения или отключения следующих параметров:

    • USB Support (установите «DISABLED»);

    • Network Stack Driver Support (установите «DISABLED»);

    • PS/2 Keyboard and Mouse Support (установите «DISABLED»).

  3. После того, как были сделаны изменения, сохраните настройки.

Разблокирование BIOS

Если же вы забыли пароль, то в этом случае следует обнулить текущие значения параметров BIOS с помощью переключателей на материнской плате или временного изъятия питающей батарейки.

Внимание

Для предотвращения несанкционированного размыкания цепи «батарейка-BIOS» соответствующие элементы цепи защищаются печатями(пломбируется).

Настройка учетных записей

Эксплуатация терминального ПО предусматривает:

  • Использование учетных записей ОС, необходимых для запуска и работы терминального ПО («Loader» и «Starter»). Для них настраиваются необходимые привилегии, ограничивающие возможности запуска и модификации работающих приложений.

  • Использование учетных записей ОС, необходимых для авторизации внутри терминального ПО с целью получения доступа к наборам функций: Администратор, Инкассатор и Сотрудник службы безопасности.

При настройке системы рекомендуется последовательно:

  • Удалить все неиспользуемые учетные записи.

  • Создать гостевую учетную запись для автоматического входа в систему («Loader»).

  • Создать пользовательскую учетную запись для запуска терминального ПО («Starter»).

  • Создать комплект учетных записей для работы в терминальном ПО (не обязательно).

Таким образом, должны остаться активными три учетные записи: с правами гостя, с правами пользователя и с правами администратора.

Для управления учетными записями выберите в окне Панель управления Администрирование > Управление компьютером > Локальные пользователи и группы.

../_images/list_of_active_users.png

Рисунок 78. Список активных пользователей после настройки

Отключение неиспользуемых учетных записей

Удалите все учетные записи, кроме предусмотренных регламентом банка и учетной записи администратора системы (учетная запись необходима для проведения инсталляции ПО ПроАТМ).

Создание пользователей Loader и Starter

Допускается автономная настройка гостевой и пользовательской учетных записей средсвами ОС с последующей настройкой входа в систему и запуска терминального ПО. Механизм автоматического создания учетных записей «Loader» и «Starter» возможен только средствами ПроАТМ.

Следует запустить утилиту Ogre.exe с параметром REGPOWERUSER (параметр запуска). Запуск Ogre.exe с параметром REGPOWERUSER имеет целью создание учетных записей «Loader» и «Starter», а также применение ряда настроек:

  • Создается учетная запись с именем «Loader» и помещается в группу «Гости», пароль создается с помощью генератора случайных чисел.

  • В разделе [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] реестра настраивается автозагрузка под учетной записью «Loader».

  • Создается учетная запись с именем Starter и помещается в группу «Пользователи», пароль создается с помощью генератора случайных чисел.

  • В защищенное хранилище Windows прописывается логин и пароль учетной записи Starter.

  • Осуществляется перечисление всех локальных принтеров, установленных в системе (подсистема winspool). Каждому принтеру устанавливаются разрешения на печать и управление принтером всеми пользователями системы.

Внимание

Запуск Ogre.exe с параметром REGPOWERUSER должен производиться с правами локального администратора.

Создание пользователей ПроАТМ

Терминальное ПО предусматривает авторизацию для работы в режиме «Supervisor» с функциями Администратор, Инкассатор и Сотрудник службы безопасности. Авторизация выполняется с использованием учетных записей ОС, включенных в группы «ProAtmAdministrators», «ProAtmOperators» и «ProAtmSecurityManagers» соответственно. Предусмотрен режим использования доменных учетных записей, настроить который можно используя RopAuthentication. Логины и пароли пользователей хранятся в используемой ОС аналогично всем учетным данным. При вводе данных из терминального ПО предусмотрено использование хеш-функции к вводимому паролю.

Создание групп пользователей средствами WINDOWS

Для этого в окне локальных пользователей и групп для пункта «Группы» вызовите контекстное меню и выберите Создать группу…. Создайте группы пользователей «ProAtmAdministrators», «ProAtmOperators», «ProAtmSecurityManagers».

Создание групп инсталлятором ПроАТМ

Группы пользователей можно создать в процессе инсталляции ПроАТМ. Добавляются группы пользователей «ProAtmAdministrators», «ProAtmOperators», «ProAtmSecurityManagers». Производятся настройки локальных политик безопасности, раздел «Назначение прав пользователя», а именно, в ниже перечисленные элементы настройки добавляются три выше перечисленные группы:

  • Вход в качестве пакетного задания;

  • Запретить вход в систему через службы удаленных рабочих столов;

  • Запретить локальный вход;

  • Отказать в доступе к этому компьютеру из сети;

  • Отказать во входе в качестве службы.

Создание учетных записей средствами WINDOWS

Для этого в окне локальных пользователей и групп для пункта «Пользователи» вызовите контекстное меню и выберите Создать пользователя….

Создание учетных записей средствами ПроАТМ

При отсутсвии хотябы одной учетной записи в группах «ProAtmAdministrators», «ProAtmOperators», «ProAtmSecurityManagers» первый Перевод УС в РОП запросит регистрацию Сотрудник службы безопасности. Управление прочими учетными записями можно будет выполнить при помощи созданной согласно инструкциям по приведенной ссылке.

Журналы событий

Для настройки параметров системных журналов выберите Панель управления > Администрирование > Просмотр событий > Журналы Windows.

../_images/windows_log_list.png

Рисунок 79. Список журналов Windows

ОС ведет три основных системных журнала:

  • Приложение – журнал событий работы приложений;

  • Система – журнал системных событий;

  • Безопасность – журнал событий системы безопасности.

Для установки параметров выберите журнал и в контекстном меню выберите пункт «Свойства». В появившемся окне установите значения в соответствии с таблицей:

Таблица 4. Журнал событий

Требования

Значение

Журнал приложений: Максимальный размер журнала приложений

2000 МБ

Журнал безопасности: Максимальный размер журнала безопасности

5000 МБ

Системный журнал: Максимальный размер системного журнала

2000 МБ

Системный журнал: Сохранять старые события

SYSTEM и члены группы «Администраторы»

Если архивирование журнала выполняется через заданные промежутки времени, то необходимо установить параметр безопасности, который определяет, сколько дней должно храниться событие в журнале безопасности (если для журнала задан способ сохранения «По дням»). Для этого откройте окно Результирующая политика выполните: Пуск > Выполнить > rsop.msc.

В открывшемся окне выберите: Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Журнал событий.

../_images/log_params.png

Рисунок 80. Параметры журнала

Для установки параметров выберите журнал и в контекстном меню выберите пункт Свойства. В появившемся окне установите значения в соответствии с таблицей.

Таблица 5. Журнал событий

Требования

Значение

Журнал приложений: Сохранять старые события

365 дней

Журнал безопасности: Сохранять старые события

365 дней

Системный журнал: Сохранять старые события

365 дней

Системные сервисы Windows

Для исключения несанкционированного использования ресурслужбов операционной системы, все неиспользуемые сервисы, устанавливаемые по умолчанию при инсталляции ОС, должны быть остановлены и их запуск заблокирован.

В процессе работы ПО ПроАТМ используется набор системных сервисов в соответствии с требованиями безопасности. Для работы ПО ПроАТМ использование каких-либо других системных сервисов Windows не предусмотрено.

Для настройки параметров системных сервисов выберите Панель управления > Администрирование > Службы.

../_images/list_of_services.png

Рисунок 81. Список служб

Выберите службу и в контекстном меню выберите пункт Свойства. В открывшемся окне «Тип запуска» установите значения в соответствии с таблицей 6.

../_images/service_features.png

Рисунок 82. Свойства выбранной службы

Таблица 6. Список настраиваемых служб (для ОС Microsoft Windows 7, если не указано другое)

Служба

Системное имя службы

Тип запуска

ApplicationHostHelperService

AppHostSvc

отключена

BranchCache

PeerDistSvc

отключена

DHCP-клиент

Dhcp

отключена

DNS-клиент

Dnscache

отключена

Dialog Box Filter (Windows Embedded 2011)

dialogfilter

автоматически

HTTP

HTTP

автоматически/вручную

IndexingService

CISVC

отключена

Intel(R) Content Protection HECI Service

cphs

отключена

Intel(R) Integrated Clock Controller Service - Intel(R) ICCS

iccs

отключена

Keyboard Filter (Windows Embedded 2011)

KeyboardFilter

автоматически

KtmRm для координатора распределенных транзакций

KtmRm

отключена

LPD Service

LPDSVC

отключена

M3Agent

M3Agent

автоматически/вручную

M3Update

M3Update

автоматически/вручную

Microsoft .NET Framework NGEN v2.0….

clr_optimizatio…

отключена

Microsoft .NET Framework NGEN v2.0.50727_X86

clr_oprimisation_v2.0.50727_32

автоматически/вручную

Mup

Mup

автоматически/вручную

NSI proxy service driver

nsiproxy

автоматически/вручную

Net.Msmq Listener Adapter

NetMsmqActivator

отключена

Net.Pipe Listener Adapter

NetPipeActivator

отключена

Net.Tcp Listener Adapter

NetTcpActivator

отключена

Net.Tcp Port Sharing Service

NetTcpPortSharing

отключена

Parental Controls

WPCSvc

отключена

Plug-and-Play

PlugPlay

автоматически

Point Of Service Performance Counters (Windows Embedded 2011)

POSPerformanceCounters

отключена

Quality Windows Audio Video Experience

QWAVE

отключена

Superfetch

Superfetch

отключена

Superfetch

SysMain

вручную

TCP/IP Protocol Driver

tcpip

автоматически/вручную

Telnet

TlntSvr

отключена

WMI Performance Adapter

wmiApSrv

отключена

Windows Audio

Audiosrv

отключена

Windows CardSpace

idsvc

вручную

Windows Driver Foundation - User-mode Driver Framework

wudfsvc

вручную

Windows Firewall Authorization Driver

mpsdrv

автоматически/вручную

Windows Licensing Monitoring Service (Windows Embedded 2011)

WLMS

отключена

Windows Search

WSearch

отключена

Автонастройка WWAN

WwanSvc

отключена

Автономные файлы

CscService

отключена

Агент защиты сетевого доступа

napagent

вручную

Адаптивная регулировка яркости

SensrSvc

отключена

Архивация Windows

SDRSVC

отключена

Биометрическая служба Windows

WbioSrvc

отключена

Брандмауэр Windows

MpsSvc

автоматически (если нет других МЭ)

Браузер компьютеров

Browser

отключена

Веб-клиент

WebClient

отключена

Виртуальный диск

vds

отключена

Вспомогательная служба IP

iphlpsvc

отключена

Вторичный вход в систему

seclogon

автоматически

Группировка сетевых участников

p2psvc

отключена

Дефрагментация диска

defragsvc

отключена

Диспетчер автоматических подключений удаленного доступа

RasAuto

отключена

Диспетчер печати

Spooler

отключена

Диспетчер подключений удаленного доступа

RasMan

отключена

Диспетчер сеансов диспетчера окон рабочего стола

UxSms

отключена

Диспетчер удостоверения сетевых участников

p2pimsvc

вручную

Диспетчер учетных данных

VaultSvc

вручную

Диспетчер учетных записей безопасности

SamSs

автоматически

Доступ к HID-устройствам

hidserv

отключена

Драйвер AppID

AppID

Журнал событий Windows

eventlog

автоматически

Журналы и оповещения производительности

pla

отключена

Защита программного обеспечения

sppsvc

автоматически

Защитник Windows

WinDefend

автоматически

Защищенное хранилище

ProtectedStorage

автоматически

Изоляция ключей CNG

KeyIso

вручную

Инструментарий управления Windows

Winmgmt

вручную

Информация о совместимости приложений

AeLookupSvc

вручную

Клиент групповой политики

gpsvc

автоматически

Клиент для NFS (Client for NFS)

NfsClnt

автоматически

Клиент отслеживания изменившихся связей

TrkWks

отключена

Координатор распределенных транзакций

MSDTC

отключена

Кэш шрифтов Windows Presentation Foundation 3.0.0.0

FontCache3.0.0.0

отключена

Ловушка SNMP

SNMPTRAP

отключена

Локатор удаленного вызова процедур (RPC)

RpcLocator

отключена

Маршрутизация и удаленный доступ

RemoteAccess

отключена

Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности

IKEEXT

автоматически

Модуль запуска процессов DCOM-сервера

DcomLaunch

автоматически

Модуль поддержки NetBIOS через TCP/IP

lmhosts

отключена

Настройка сервера удаленных рабочих столов

SessionEnv

отключена

Немедленные подключения Windows - регистратор настройки

wcncsvc

отключена

Обнаружение SSDP

SSDPSRV

отключена

Обнаружение интерактивных служб

UI0Detect

отключена

Общий доступ к подключению к Интернету (ICS)

SharedAccess

отключена

Определение оборудования оболочки

ShellHWDetection

отключена

Основные службы доверенного платформенного модуля

TBS

отключена

Очередь сообщений

MSMQ

отключена

Перенаправитель портов пользовательского режима служб удаленных рабочих столов

UmRdpService

отключена

Перечислитель IP-шин PnP-X

IPBusEnum

отключена

Питание

Power

автоматически

Планировщик заданий (TaskScheduler)

Schedule

отключена

Планировщик классов мультимедиа

MMCSS

отключена

Поддержка элемента панели управления «Отчеты о проблемах и их решениях»

wercplsupport

отключена

Политика удаления смарт-карт

SCPolicySvc

отключена

Поставщик домашней группы

HomeGroupProvider

отключена

Проводная автонастройка(Wired AutoConfig)

dot3svc

отключена

Программный поставщик теневого копирования (Microsoft)

swprv

отключена

Прослушиватель RIP (RIP Listener)

iprip

отключена

Прослушиватель домашней группы

HomeGroupListener

отключена

Простые службы TCP/IP (Simple TCP/IP Services)

simptcp

отключена

Протокол PNRP

PNRPsvc

отключена

Публикация ресурсов обнаружения функции

FDResPub

отключена

Рабочая станция

LanmanWorkstation

отключена

Распространение сертификата

CertPropSvc

отключена

Расширяемый протокол проверки подлинности (EAP)

EapHost

отключена

Сборщик событий Windows

Wecsvc

автоматически

Сведения о приложении

Appinfo

вручную

Сервер

LanmanServer

отключена

Сервер упорядочения потоков

THREADORDER

отключена

Сетевой вход в систему

Netlogon

отключена

Сетевые подключения

Netman

вручную

Система событий COM+

EventSystem

автоматически

Системное приложение COM+

COMSysApp

отключена

Служба FTP

ftpsvc

отключена

Служба IIS Admin (IIS AdminService)

IISADMIN

отключена

Служба SNMP (SNMP Service)

SNMP

отключена

Служба SSTP

SstpSvc

отключена

Служба автоматического обнаружения веб-прокси WinHTTP

WinHttpAutoProxySvc

отключена

Служба автонастройки WLAN

WlanSvc

отключена

Служба активации Windows(Windows Process Activation Service)

WAS

отключена

Служба базовой фильтрации

BFE

автоматически

Служба ввода планшетного ПК

TabletInputService

отключена

Служба веб-публикаций (World Wide Web Publishing Service)

W3SVC

отключена

Служба времени Windows

W32Time

автоматически

Служба загрузки изображений Windows (WIA)

StiSvc

отключена

Служба инициатора Майкрософт iSCSI

msiscsi

отключена

Служба интерфейса сохранения сети

nsi

автоматически

Служба кэша шрифтов Windows

FontCache

отключена

Служба медиаприставки Media Center

Mcx2Svc

отключена

Служба модуля архивации на уровне блоков

wbengine

отключена

Служба общих сетевых ресурсов проигрывателя Windows Media

WMPNetworkSvc

отключена

Служба перечислителя переносных устройств

WPDBusEnum

отключена

Служба поддержки Bluetooth

bthserv

отключена

Служба политики диагностики

DPS

автоматически

Служба помощника по совместимости программ

PcaSvc

автоматически

Служба профилей пользователей

ProfSvc

автоматически

Служба публикации имен компьютеров PNRP

PNRPAutoReg

отключена

Служба регистрации ошибок Windows

WerSvc

отключена

Служба сведений о подключенных сетях

NlaSvc

автоматически

Служба состояний ASP.NET

aspnet_state

отключена

Служба списка сетей

netprofm

вручную

Служба уведомления SPP

sppuinotify

вручную

Служба уведомления о системных событиях

SENS

автоматически

Служба удаленного управления Windows (WS-Management)

WinRM

отключена

Служба управления сетью (Web Management Service)

WMSVC

отключена

Служба шифрования дисков BitLocker

BDESVC

вручную

Служба шлюза уровня приложения

ALG

отключена

Службы IPSEC

PolicyAgent

отключена

Службы криптографии

CryptSvc

автоматически

Службы удаленных рабочих столов

TermService

отключена

Смарт-карта

SCardSvr

отключена

Сопоставитель конечных точек RPC

RpcEptMapper

отключена

Средство построения конечных точек Windows Audio

AudioEndpointBuilder

отключена

Телефония

TapiSrv

отключена

Темы

Themes

отключена

Теневое копирование тома

VSS

отключена

Тополог канального уровня

lltdsvc

отключена

Триггеры очереди сообщений

MSMQTriggers

отключена

Удаленный вызов процедур (RPC)

RpcSs

автоматически

Удаленный реестр

RemoteRegistry

отключена

Удостоверение приложения

AppIDSvc

вручную

Узел системы диагностики

WdiSystemHost

вручную

Узел службы диагностики

WdiServiceHost

вручную

Узел универсальных PNP-устройств

upnphost

отключена

Управление приложениями

AppMgmt

отключена

Управление сертификатами и ключом работоспособности

hkmsvc

вручную

Установщик ActiveX (AxInstSV)

AxInstSV

отключена

Установщик Windows

msiserver

вручную

Установщик модулей Windows

TrustedInstaller

отключена

Факс

Fax

отключена

Фоновая интеллектуальная служба передачи (BITS)

BITS

отключена

Хост поставщика функции обнаружения

fdPHost

отключена

Цветовая система Windows (WCS)

WcsPlugInService

отключена

Центр обеспечения безопасности

wscsvc

автоматически/вручную

Центр обновления Windows(WindowsUpdate)

wuauserv

отключена

Шифрованная файловая система (EFS)

EFS

отключена

Локальная политика безопасности

Локальная политика безопасности настраивается в окне Панель управления > Администрирование > Локальная политика безопасности.

../_images/wLocal_security_policy.png

Рисунок 83. Окно «Локальная политика безопасности»

Настройка политики учетных записей

  1. Для пользователей обязательно должны быть заданы пароли. Установить следующие параметры политики паролей на вкладке Политики учетных записей > Политика паролей:

    • Enforce password history (Вести журнал паролей) – 4 пароля;

    • Maximum password age (Максимальный срок действия пароля) – 0;

    • Minimum password age (Минимальный срок действия пароля) – 30 дней;

    • Minimum password length (Минимальная длина пароля) – не менее 12 символов;

    • Password must meet complexity requirements (Пароль должен отвечать требованиям сложности) – включен;

    • Store passwords using reversible encryption (Хранить пароли, используя обратимое шифрование) – отключен.

  2. Установить следующие параметры политики блокировки учетных записей на вкладке Политики учетных записей > Политика блокировки учетной записи:

    • Account lockout duration (Продолжительность блокировки учетной записи) – 30 минут;

    • Account lockout threshold (Пороговое значение блокировки) – 6 попыток;

    • Reset account lockout counter after (Время до сброса счетчика блокировки) – 30 минут.

Настройка локальной политики

  1. Установить следующие параметры политики аудита на вкладке Локальные политики > Политика аудита:

    • Audit account logon events (Аудит событий входа в систему) – успех, отказ;

    • Audit account management (Аудит управления учетными записями) – успех, отказ;

    • Audit directory service access (Аудит доступа к службе каталогов) – успех, отказ;

    • Audit logon events (Аудит входа в систему) – успех, отказ;

    • Audit object access (Аудит доступа к объектам) – успех, отказ;

    • Audit policy change (Аудит изменения политики) – успех, отказ;

    • Audit privilege use (Аудит использования привилегий) – успех, отказ;

    • Audit process tracking (Аудит отслеживания процессов) – успех, отказ;

    • Audit system events (Аудит системных событий) – успех, отказ.

  2. Установить следующие параметры назначения прав пользователя на вкладке Локальные политики > Назначение прав пользователя:

    • Access Credential Manager as a trusted caller (Доступ к диспетчеру учетных данных от имени доверенного вызывающего) – значение по умолчанию;

    • Access this computer from the network (Доступ к компьютеру из сети) – значение по умолчанию;

    • Act as part of the operating system (Работа в режиме операционной системы) – значение по умолчанию;

    • Add workstations to domain (Добавление рабочих станций к домену) – значение по умолчанию;

    • Adjust memory quotas for a process (Настройка квот памяти для процесса) – Локальная служба, Сетевая служба;

    • Allow log on locally (Локальный вход в систему) – Администраторы, Пользователи;

    • Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов) – значение по умолчанию;

    • Back up files and directories (Архивация файлов и каталогов) – значение по умолчанию;

    • Bypass traverse checking (Обход перекрестной проверки) – Локальная служба, Сетевая служба;

    • Change the system time (Изменение системного времени) – Администраторы, Локальная служба;

    • Change the time zone (Изменение часового пояса) – Администраторы;

    • Create a pagefile (Создание файла подкачки) – Администраторы;

    • Create a token object (Создание маркерного объекта) – значение по умолчанию;

    • Create global objects (Создание глобальных объектов) – Локальная служба, Сетевая служба;

    • Create permanent shared objects (Создание постоянных общих объектов) – значение по умолчанию;

    • Create symbolic links (Создание символических ссылок) – значение по умолчанию;

    • Debug programs (Отладка программ) – Администраторы;

    • Deny access to this computer from the network (Отказать в доступе к этому компьютеру из сети) – Гость;

    • Deny log on as a batch job (Отказать во входе в качестве пакетного задания) – значение по умолчанию;

    • Deny log on as a service (Отказать во входе в качестве службы) – значение по умолчанию;

    • Deny log on locally (Запретить локальный вход) – Гость;

    • Deny log on through Remote Desktop Services (Запретить вход в систему через службу удаленных рабочих столов) – Администраторы, Пользователи, Гости;

    • Enable computer and user accounts to be trusted for delegation (Разрешение доверия к учетным записям компьютеров и пользователей при делегировании) – значение по умолчанию;

    • Force shutdown from a remote system (Принудительное удаленное завершение работы) – Администраторы;

    • Generate security audits (Создание аудитов безопасности) – Локальная служба, Сетевая служба;

    • Impersonate a client after authentication (Имитация клиента после проверки подлинности) – Администраторы, Локальная служба, Сетевая служба, Служба;

    • Increase a process working set (Увеличение рабочего набора процесса) – значение по умолчанию;

    • Increase scheduling priority (Увеличение приоритета выполнения) – Администраторы;

    • Load and unload device drivers (Загрузка и выгрузка драйверов устройств) – Администраторы;

    • Lock pages in memory (Блокировка страниц в памяти) – нет;

    • Log on as a batch job (Вход в качестве пакетного задания) – значение по умолчанию;

    • Log on as a service (Вход в качестве службы) – Локальная служба, Сетевая служба;

    • Manage auditing and security log (Управление аудитом и журналом безопасности) – Администраторы;

    • Modify an object label (Изменение метки объекта) – значение по умолчанию;

    • Modify firmware environment values (Изменение параметров среды изготовителя) – Администраторы;

    • Perform volume maintenance tasks (Выполнение задач по обслуживанию томов) – Администраторы;

    • Profile single process (Профилирование одного процесса) – Администраторы;

    • Profile system performance (Профилирование производительности системы) – Администраторы;

    • Remove computer from docking station (Отключение компьютера от стыковочного узла) – значение по умолчанию;

    • Replace a process level token (Замена маркера уровня процесса) – Локальная служба, Сетевая служба;

    • Restore files and directories (Восстановление файлов и каталогов) – значение по умолчанию;

    • Shut down the system (Завершение работы системы) – Администраторы, Пользователи;

    • Synchronize directory service data (Синхронизация данных службы каталогов) – значение по умолчанию;

    • Take ownership of files or other objects (Смена владельцев файлов и других объектов) – Администраторы.

  3. Установить следующие параметры безопасности на вкладке Локальные политики > Параметры безопасности:

    • Accounts: Administrator account status (Учетные записи: Состояние учетной записи „Администратор“) – отключен;

    • Accounts: Guest account status (Учетные записи: Состояние учетной записи „Гость“) – отключен;

    • Accounts: Limit local account use of blank passwords to console logon only (Учетные записи: разрешить использование пустых паролей только при консольном входе) – отключен;

    • Accounts: Rename administrator account (Учетные записи: Переименование учетной записи администратора) – любая строка, не содержащая подстроки «Администратор» и «Administrator» (рекомендуется ZuperVisor);

    • Accounts: Rename guest account (Учетные записи: Переименование учетной записи гостя) – любая строка, не содержащая подстроки «Гость» и «Guest» (рекомендуется AnotherUser);

    • Audit: Audit the access of global system objects (Аудит: аудит доступа глобальных системных объектов) – включен;

    • Audit: Audit the use of Backup and Restore privilege (Аудит: аудит прав на архивацию и восстановление) – отключен;

    • Audit: Shut down system immediately if unable to log security audits (Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности) – отключен;

    • Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings (Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)) – включен;

    • DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax (DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language)) – значение по умолчанию;

    • DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax (DCOM: Ограничения компьютера на запуск в синтаксисе SDDL (Security Descriptor Definition Language)) – значение по умолчанию;

    • Devices: Allow undock without having to log on (Устройства: разрешать отстыковку без входа в систему) – отключен;

    • Devices: Allowed to format and eject removable media (Устройства: разрешить форматирование и извлечение съемных носителей) – Администраторы, Интерактивные пользователи;

    • Devices: Prevent users from installing printer drivers (Устройства: запретить пользователям установку драйверов принтера) – включен;

    • Devices: Restrict CD-ROM access to locally logged-on user only (Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям) – включен;

    • Devices: Restrict floppy access to locally logged-on user only (Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям) – включен;

    • Domain controller: Allow server operators to schedule tasks (Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию) – отключен;

    • Domain controller: LDAP server signing requirements (Контроллер домена: требование цифровой подписи для LDAP-сервера) – нет;

    • Domain controller: Refuse machine account password changes (Контроллер домена: запретить изменение пароля учетных записей компьютера) – отключен;

    • Domain member: Digitally encrypt or sign secure channel data (always) (Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала) – включен;

    • Domain member: Digitally encrypt secure channel data (when possible) (Член домена: шифрование данных безопасного канала, когда это возможно) – включен;

    • Domain member: Digitally sign secure channel data (when possible) (Член домена: цифровая подпись данных безопасного канала, когда это возможно) – включен;

    • Domain member: Disable machine account password changes (Член домена: отключить изменение пароля учетных записей компьютера) – отключен;

    • Domain member: Maximum machine account password age (Член домена: максимальный срок действия пароля учетных записей компьютера) – 30 дней;

    • Domain member: Require strong (Windows 2000 or later) session key (Член домена: требовать стойкий ключ сеанса (Windows 2000 или выше)) – включен;

    • Interactive logon: Display user information when the session is locked (Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован) – не отображать сведений о пользователе;

    • Interactive logon: Do not display last user name (Интерактивный вход в систему: не отображать последнее имя пользователя) – включен;

    • Interactive logon: Do not require CTRL+ALT+DEL (Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL) – отключен;

    • Interactive logon: Message text for users attempting to log on (Интерактивный вход в систему: текст сообщения для пользователей при входе в систему) – значение по умолчанию;

    • Interactive logon: Message title for users attempting to log on (Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему) – значение по умолчанию;

    • Interactive logon: Number of previous logons to cache (in case domain controller is not available) (Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)) – 0;

    • Interactive logon: Prompt user to change password before expiration (Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее) – 7 дней;

    • Interactive logon: Require Domain Controller authentication to unlock workstation (Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера) – отключен;

    • Interactive logon: Require smart card (Интерактивный вход в систему: требовать смарт-карту) – отключен;

    • Interactive logon: Smart card removal behavior (Интерактивный вход в систему: поведение при извлечении смарт-карты) – блокировать рабочую станцию;

    • Microsoft network client: Digitally sign communications (always) (Клиент сети Microsoft: использовать цифровую подпись (всегда)) – включен;

    • Microsoft network client: Digitally sign communications (if server agrees) (Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)) – включен;

    • Microsoft network client: Send unencrypted password to third-party SMB servers (Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам) – отключен;

    • Microsoft network server: Amount of idle time required before suspending session (Сервер сети Microsoft: время бездействия до приостановки сеанса) – 15 минут;

    • Microsoft network server: Digitally sign communications (always) (Сервер сети Microsoft: использовать цифровую подпись (всегда)) – включен;

    • Microsoft network server: Digitally sign communications (if client agrees) (Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)) – включен;

    • Microsoft network server: Disconnect clients when logon hours expire (Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа) – включен;

    • Microsoft network server: Server SPN target name validation level (Сетевой сервер (Майкрософт): уровень проверки сервером имени участника-службы конечного объекта) – требовать;

    • Network access: Allow anonymous SID/Name translation (Доступ к сети: Разрешить трансляцию анонимного SID в имя) – отключен;

    • Network access: Do not allow anonymous enumeration of SAM accounts (Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями) – включен;

    • Network access: Do not allow anonymous enumeration of SAM accounts and shares (Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями) – включен;

    • Network access: Do not allow storage of passwords and credentials for network authentication (Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности) – отключен;

    • Network access: Let Everyone permissions apply to anonymous users (Сетевой доступ: разрешать применение разрешений «Для всех» к анонимным пользователям) – отключен;

    • Network access: Named Pipes that can be accessed anonymously (Сетевой доступ: разрешать анонимный доступ к именованным каналам) – значение по умолчанию;

    • Network access: Remotely accessible registry paths (Сетевой доступ: удаленно доступные пути реестра) – значение по умолчанию;

    • Network access: Remotely accessible registry paths and sub-paths (Сетевой доступ: удаленно доступные пути и вложенные пути реестра) – значение по умолчанию;

    • Network access: Restrict anonymous access to Named Pipes and Shares (Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам) – включен;

    • Network access: Shares that can be accessed anonymously (Сетевой доступ: разрешать анонимный доступ к общим ресурсам) – значение по умолчанию;

    • Network access: Sharing and security model for local accounts (Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей) – обычная (локальные пользователи удостоверяются как они сами);

    • Network security: Allow Local System to use computer identity for NTLM (Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM) – включен;

    • Network security: Allow LocalSystem NULL session fallback (Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы) – отключен;

    • Network Security: Allow PKU2U authentication requests to this computer to use online identities (Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру) – отключен;

    • Network security: Configure encryption types allowed for Kerberos (Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos) – AES128_HMAC_SHA256, AES128_HMAC_SHA512, AES256_HMAC_SHA256, AES256_HMAC_SHA512.

    • Network security: Do not store LAN Manager hash value on next password change Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля— включен;

    • Network security: Force logoff when logon hours expire (Сетевая безопасность: Принудительный вывод из сеанса по истечении допустимых часов работы) – включен;

    • Network security: LAN Manager authentication level (Сетевая безопасность: уровень проверки подлинности LAN Manager) – отправлять только NTLMv2-ответ, отказывать LM;

    • Network security: LDAP client signing requirements (Сетевая безопасность: требование цифровой подписи для LDAP-клиента) – согласование цифровой подписи;

    • Network security: Minimum session security for NTLM SSP based (including secure RPC) clients (Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)) – требовать сеансовую безопасность NTLMv2, требовать 128-битное шифрование;

    • Network security: Minimum session security for NTLM SSP based (including secure RPC) servers (Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC)) – требовать сеансовую безопасность NTLMv2, требовать 128-битное шифрование;

    • Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication (Сетевая безопасность: ограничения NTLM: добавить удаленные серверы в исключения проверки подлинности NTLM) – значение по умолчанию;

    • Network security: Restrict NTLM: Add server exceptions in this domain (Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене) – значение по умолчанию;

    • Network security: Restrict NTLM: Audit Incoming NTLM Traffic (Сетевая безопасность: ограничения NTLM: аудит входящего трафика NTLM) – для всех пользователей;

    • Network security: Restrict NTLM: Audit NTLM authentication in this domain (Сетевая безопасность: ограничения NTLM: аудит проверки подлинности NTLM в этом домене) – вкл все;

    • Network security: Restrict NTLM: Incoming NTLM traffic (Сетевая безопасность: ограничения NTLM: входящий трафик NTLM) – запретить для всех УЗ;

    • Network security: Restrict NTLM: NTLM authentication in this domain (Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене) – запретить для всех УЗ;

    • Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers (Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам) – запретить все;

    • Recovery console: Allow automatic administrative logon (Консоль восстановления: разрешить автоматический вход администратора) – отключен;

    • Recovery console: Allow floppy copy and access to all drives and all folders (Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам) – отключен;

    • Shutdown: Allow system to be shut down without having to log on (Завершение работы: разрешить завершение работы системы без выполнения входа в систему) – включен;

    • Shutdown: Clear virtual memory pagefile (Завершение работы: очистка файла подкачки виртуальной памяти) – включен;

    • System cryptography: Force strong key protection for user keys stored on the computer (Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере) – пользователь получает запрос при первом использовании ключа;

    • System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing (Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания) – включен;

    • System objects: Require case insensitivity for non-Windows subsystems (Системные объекты: учитывать регистр для подсистем, отличных от Windows) – включен;

    • System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) (Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок)— включен;

    • System settings: Optional subsystems (Параметры системы: необязательные подсистемы) – значение по умолчанию;

    • System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies (Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ) – отключен;

    • User Account Control: Admin Approval Mode for the Built-in Administrator account (Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора) – включен;

    • User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop (Контроль учетных записей: разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол) – отключен;

    • User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode (Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором) – запрос учетных данных;

    • User Account Control: Behavior of the elevation prompt for standard users (Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей) – автоматически запретить запросы на повышение прав;

    • User Account Control: Detect application installations and prompt for elevation (Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав)— включен;

    • User Account Control: Only elevate executables that are signed and validated (Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов) – включен;

    • User Account Control: Only elevate UIAccess applications that are installed in secure locations (Контроль учетных записей: повышать права для UIAccess-приложений только при установке в безопасных местах) – включен;

    • User Account Control: Run all administrators in Admin Approval Mode (Контроль учетных записей: все администраторы работают в режиме одобрения администратором) – включен;

    • User Account Control: Switch to the secure desktop when prompting for elevation (Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав) – включен;

    • User Account Control: Virtualize file and registry write failures to per-user locations (Контроль учетных записей: при сбоях записи в файл или реестр виртуализация в место размещения пользователя) – включен;

    • This entry appears as MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended) in the Group Policy Object Editor. This entry determines whether the automatic logon feature is enabled. (This entry is separate from the Welcome screen feature; if you disable that feature, this entry is not affected.) By default, this entry is not enabled. Automatic logon uses the domain, user name, and password that is stored in the registry to log users on to the computer when the computer starts. The logon dialog box is not displayed. MSS: (AutoAdminLogon) (Разрешить автоматический вход в систему (не рекомендуется)) – включен;

    • This entry appears as MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) in the Group Policy Object Editor. IP source routing is a mechanism that allows the sender to determine the IP route that a datagram should follow through the network. MSS: (DisableIPSourceRouting) (Уровень защиты исходной IP-маршрутизации (защита от подделки пакетов)) – 2;

    • This entry appears as MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes in the Group Policy Object Editor. Internet Control Message Protocol (ICMP) redirects cause the stack to plumb host routes. These routes override the Open Shortest Path First (OSPF)-generated routes. MSS: (EnableICMPRedirect) (Разрешить перенаправлять ICMP-трафик в обход OSPF-маршрутизации) – 0;

    • Hiding the computer from the Browse List removes one method attackers might use to gether information about computers on the network. MSS: (Hidden) (Скрыть компьютер из списка обозрения (не рекомендуется включать, за исключением сред с очень надежной защитой)— включен;

    • This entry appears as MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended) in the Group Policy Object Editor and is stored in the HKLMSystemCurrentControlSetServices|TcpipParametersKeepAliveTime registry key. * This setting controls how often TCP sends a keep-alive packet to verify that an idle connection is still intact. If the remote computer is still reachable, it acknowledges the keep-alive packet. (MSS: Частота проверки активности соединения в миллисекундах) – 300 000;

    • NoDefaultExempt for IPSec Filtering (recommended) in the Group Policy Object Editor (MSS: (NoDefaultExempt) Настройка исключений IPSec для различных типов сетевого трафика) – значение по умолчанию;

    • Allow the computer to ignore NetBIOS name release requests except from WINS servers (Only recommended for servers) in the Group Policy Object Editor. (MSS: (NoNameReleaseOnDemand) Игнорировать запросы на освобождение NetBIOS-имени от всех, кроме серверов WINS) – включен;

    • Enable the computer to stop generating 8.3 style filenames (recommended) in the Group Policy Object Editor. (MSS: Отключить генерацию имен файлов по схеме 8.3 (8 символов имени и 3 символа расширения)) – включен;

    • This entry appears as MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) in the Group Policy Object Editor. It enables or disables the Internet Router Discovery Protocol (IRDP). IRDP allows the computer to detect and configure default gateway addresses automatically (as described in RFC 1256) on a per-interface basis. (MSS: (PerformRouterDiscovery) Разрешить IRDP определять и настраивать адреса «Шлюза по умолчанию» (может привести к отказу в обслуживании)) – отключен;

    • Enable Safe DLL search mode (recommended) in the Group Policy Object Editor. MSS: Включить безопасный режим поиска DLL— включен;

    • The time in seconds before the screen saver grace period expires (0 recommended) in the Group Policy Object Editor (MSS: Период времени в секундах с момента запуска хранителя экрана до блокировки компьютера) – значение по умолчанию;

    • This entry appears as MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default) in the Group Policy Object Editor. This entry controls the number of times that TCP retransmits an individual data segment (non-connect segment) before it aborts the connection. The retransmission timeout is doubled with each successive retransmission on a connection. It is reset when responses resume. The base timeout value is dynamically determined by the measured round-trip time on the connection. (MSS: (TCPMaxDataRetransmissions) Количество возможных попыток повторно передать данные (рекомендуется значение 3, стандартное значение – 5)) – 3;

    • Percentage threshold for the security event log at which the system will generate a warning in the Group Policy Object Editor. (MSS: Процент заполнения журнала событий безопасности, при достижении которого выдается предупреждение) – 70%;

    • This entry appears as MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) in the Group Policy Object Editor. IP source routing is a mechanism that allows the sender to determine the IP route that a datagram should follow through the network (MSS: (DisableIPSourceRouting IPv6) Уровень защиты исходной IP-маршрутизации (защита от подделки пакетов)) – значение по умолчанию;

    • MSS: (TcpMaxDataRetransmissions IPv6) Количество возможных попыток повторно передать данные (рекомендуется значение 3, стандартное значение – 5) – значение по умолчанию;

Настройка запуска приложений (AppLocker)

В окне «Локальная политика безопасности» панели управления выберите вкладку «Политика ограниченного использования программ» > «Дополнительные правила». Здесь описаны пути файлов, которые могут быть запущены. По умолчанию присутствуют два файла на запуск из системных директорий.

Внимание

Без необходимости не удаляйте и не изменяйте эти правила. В противном случае никакие программы, в том числе и Панель управления, запускаться не будут!

Установка запрета запуска файлов

В окне «Локальная политика безопасности» можно создать правило для запуска файлов:

  1. Вызовите контекстное меню и выберите пункт Создать правило для пути….

  2. В открывшемся окне «Создание правила» для пути в поле Путь поставьте звездочку, в поле Уровень безопасности – значение Запрещено.

  3. Нажмите кнопку ОК. Добавляется новое правило, которое запретит запуск любых файлов на ПК. При запуске любой программы будет выведено окно с сообщением «Эта программа заблокирована групповой политикой. За дополнительными сведениями обратитесь к системному администратору».

Создание исключений при запуске файлов

  1. В окне дополнительных параметров вызовите контекстное меню и выберите пункт Создать правило для хеша….

  2. В открывшемся окне «Создание правила для хеша», используя кнопку Обзор, добавьте все исполняемые файлы ПроАТМ (все файлы с расширением EXE). Файлы будут перечислены в поле Сведения о файле.

  3. Уровень безопасности установите «Неограниченный». Новое правило будет добавлено к имеющемуся списку. Программы, для которых создано исключение, теперь будут запускаться.

Если требуется запускать программы с использованием ярлыков на рабочем столе, следует выполнить следующие действия:

  1. Выберите пункт Политика ограниченного использования программ > Назначенные типы файлов. Вызовите контекстное меню и выберите пункт Свойства.

  2. В окне «Свойства» выберите тип файлов «LNK Ярлык» и удалите его. Для сохранения изменений нажмите ОК.

Групповые параметры безопасности

Для учетной записи «Loader» возможно настроить групповые параметры безопасности. Откройте редактор локальной групповой политики (Пуск > Выполнить > gpedit.msc). Откроется окно редактора локальной групповой политики.

../_images/local_security_policy_editor.png

Рисунок 84. Редактор локальной групповой политики

Меню «Пуск»

В окне Редактор локальной групповой политики выберите Конфигурация пользователя à Административные шаблоны à Меню «Пуск» и панель задач. В окне настроек включить следующие настройки:

  • Запретить добавление и удаление панелей инструментов;

  • Удалить (все доступные элементы меню) – выбрать из списка.

Отключение политик автозапуска

В окне «Редактор локальной групповой политики» выберите пункты Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Политики автозапуска. В окне настроек включите следующие настройки:

  • Отключить автозапуск;

  • Не устанавливать флажок «Всегда выполнять выбранное действие»;

  • Отключить автозапуск устройств, не являющихся томами;

  • Вариант работы автозапуска по умолчанию (включена, выбран параметр 2Не исполнять команды автозапуска»).

Рабочий стол

В окне «Редактор локальной групповой политики» выберите пункты Конфигурация пользователя > Административные шаблоны > Рабочий стол. Опция «Скрыть и отключить все элементы рабочего стола» должна быть включена.

Настройка сочетания Ctrl+Alt+Del

В окне «Редактор локальной групповой политики» выберите пункты Конфигурация пользователя > Административные шаблоны > Система > Варианты действий после нажатия Ctrl+Alt+Del. Для изменений состояния дважды щелкните по нужной строке справа. В окне настроек поставьте требуемое состояние (включить/отключить). Все опции («Запретить изменение пароля», «Запретить блокировку компьютера», «Удалить диспетчер задач», «Запретить завершение сеанса») должны быть включены.

Примечание

При необходимости можно отключить настройки для текущего пользователя.

Связь через Интернет

В окне «Редактор локальной групповой политики» выберите пункты Конфигурация компьютера > Административные шаблоны > Управление связью через Интернет > Параметры связи через Интернет.. В окне настроек включите следующие настройки:

  • Отключение загрузки драйверов принтера по протоколу HTTP;

  • Отключить веб-публикацию в списке задач для файлов и папок;

  • Отключить загрузку из Интернета для мастеров веб-публикаций и заказа отпечатков;

  • Отключить печать по протоколу HTTP;

  • Отключить обновление информационных файлов «Помощника по поиску»»;

  • Отключить участие в программе улучшения поддержки пользователей Windows Messenger;

  • Отключение поиска драйверов устройств в Центре обновления Windows.

Службы терминалов

В окне «Редактор локальной групповой политики» выберите пункты Конфигурация компьютера > Административные шаблоны > Все параметры. В окне настроек поставьте требуемое состояние (включить/отключить) согласно таблице 7.

Таблица 7. Службы терминалов

Требования

Значение

Всегда запрашивать пароль при подключении

Включен

Разрешать удаленное подключение с использованием служб удаленных рабочих столов

Отключен

Дополнительные настройки безопасности

В окне «Редактор локальной групповой политики» выберите пункты Конфигурация компьютера > Административные шаблоны > Все параметры. В окне настроек поставьте требуемое состояние (включить/отключить) согласно таблице 8.

Таблица 8. Дополнительные настройки безопасности

Требования

Значение

Требовать пароль при выходе из спящего режима (Питание от батареи)

Включен

Требовать пароль при выходе из спящего режима (Питание от сети)

Включен

Разрешить доступ к удаленной оболочке

Отключен

Отключить предотвращение выполнения данных для проводника

Отключен

Не обрабатывать список запуска старых программ

Включен

Не обрабатывать список однократного запуска программ

Включен

Обработка политики реестра

Включен: Обрабатывать, даже если объекты групповой политики не изменились

Предложение удаленной помощи

Отключен

Запрос удаленной помощи

Отключен

Отключить автозапуск

Включен: Все диски

Отображать учетные записи администратора при повышении уровня прав

Отключен

Требовать достоверный путь для входа в учетную запись

Включен

Запретить присоединение компьютера к домашней группе

Включен

Примечание

Ряд настроек параметров безопасности доступны и в конфигурации компьютера, и в конфигурации пользователя.

Доступ и аудит файлов и папок

«Администратор» – учетная запись, от имени которой настраивают безопасность. «Локальный администратор» – группа локальных администраторов. Права доступа к папкам настраиваются с наследованием для всех дочерних элементов указанных разделов. Предполагается, что терминальное ПО установлено в папку C:\FS365.

Примечание

Вкладка «Безопасность» в свойствах папки отображается и доступна для изменения под учетной записью «Администратор» или члена группы «Администраторы» и только для файлов и папок на томах NTFS (использование файловой системы FAT на жестком диске управляющего УС компьютера недопустимо). Перед выбром файлы и папки для аудита включите аудит в компоненте «Групповая политика».

Настройка доступа к папкам

  1. Откройте свойства нужной папки (контекстное меню папки > Свойства).

  2. Перейдите на вкладку «Безопасность» и нажмите кнопку Изменить…. Откроется окно «Разрешения для <имя группы или пользователя>».

  3. Для пользователей и групп пользователей в списке «Группы или пользователя» отредактируйте список разрешений и запретов («Разрешения для <имя группы или пользователя>»).

    Для папки C:\FS365:

    • «Администратор» – полный доступ;

    • «Система» – полный доступ;

    • «Локальный администратор» – полный доступ;

    • «Starter» – полный доступ;

    • «Loader» – чтение.

    • для всех остальных пользователей и групп доступ к файлам блокируется.

    Для папки C:\FS365\Starter:

    • «Администратор» – полный доступ;

    • «Система» – полный доступ;

    • «Локальный администратор» – полный доступ;

    • «Starter» – полный доступ;

    • «Loader» – чтение и выполнение;

    • для всех остальных пользователей и групп доступ к файлам блокируется.

Настройка аудита папок

  1. Откройте свойства нужной папки (контекстное меню папки > Свойства).

  2. Перейдите на вкладку «Безопасность» и нажмите кнопку Дополнительно. Откроется окно «Дополнительные параметры безопасности для <имя папки>».

  3. Перейдите на вкладку «Аудит» и нажмите кнопку Изменить…. В открывшемся окне нажмите кнопку Добавить. Откроется окно «Выбора группы или пользователя».

  4. В поле «Введите имена выбираемых объектов» введите букву «В» (русскую, заглавную) и нажмите кнопку Проверить имена. В указаном поле автоматически появится объект «Все». Нажмите кнопку OK. Откроется окно «Элемент аудита для <имя папки>».

  5. Установите действия для каждого выбранного события:

    • флаг «Успех» – проводить/прекратить аудит успешных событий;

    • флаг «Отказ» – проводить/прекратить аудит неуспешных событий

    • кнопка Очистить все – прекратить аудит всех событий.

    Для папки C:\FS365 и ее вложенных папок установите все галочки «Успех и «Отказ» для группы «Все».

Примечание

Чтобы выбрать файлы и папки для аудита, а также настроить аудит реестра, необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы». В противном случае, не будет отображаться вкладка «Безопасность» или она будет доступна только для чтения.

Вкладка «Безопасность» отображается только для файлов и папок на томах NTFS (использование файловой системы FAT на жестком диске управляющего УС компьютера недопустимо). Прежде чем выбрать файлы и папки для аудита, необходимо включить аудит в компоненте «Групповая политика».

Настройка доступа к системному реестру

Права доступа к папкам реестра настраиваются с наследованием для всех дочерних элементов указанных разделов. Под «Администратором» понимается учетная запись, устанавливающая настройки безопасности. Под «Локальным администратором» понимается группа локальных администраторов.

  1. Запустите редактор системного реестра (файл Regedit.exe).

  2. В контекстном меню нужного раздела выберите пункт «Разрешения». Откроется окно «Разрешения для <имя раздела>».

  3. Для пользователей и групп пользователей в списке «Группы или пользователя» отредактируйте список разрешений и запретов («Разрешения для <имя группы или пользователя>»). Для разделов [HKEY_LOCAL_MACHINE\SOFTWARE\FS365], [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print], [HKEY_LOCAL_MACHINE\SOFTWARE\XFS], [[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print] и всех их дочерних элементов установите следующие разрешения:

    • «Администратор» – полный доступ;

    • «Система» – полный доступ;

    • «Локальный администратор» – полный доступ;

    • «Starter» – полный доступ;

    • «Loader» – чтение;

    • для всех остальных пользователей и групп доступ к файлам блокируется.

  4. Нажмите кнопку Дополнительно. В открывшемся окне поставьте флаг «Заменить все разрешения дочернего объекта на разрешения, наследуемые от объекта».

Настройка аудита параметров реестра

  1. Запустите редактор системного реестра (файл Regedit.exe).

  2. В контекстном меню нужного раздела выберите пункт «Разрешения». Откроется окно «Разрешения для <имя раздела>». Нажмите кнопку Дополнительно. Откроется окно «Дополнительные параметры безопасности».

  3. Перейдите на вкладку «Аудит» и нажмите кнопку Добавить.

  4. В поле «Введите имена выбираемых объектов» введите букву «В» (русскую, заглавную) и нажмите кнопку Проверить имена. В указаном поле автоматически появится объект «Все». Нажмите кнопку OK. Откроется окно «Элемент аудита для <имя раздела>».

  5. Установите «галки» во флагах «Успех» и «Отказ» в строке «Полный доступ». Нажмите кнопку OK.

Запуск ПроАТМ

Для корректной загрузки ПроАТМ корневой сертификат необходимо устанавливать для всех пользователей:

  1. Зайдите в Windows под учетной записью администратора.

  2. Откройте консоль по команде cmd.

  3. Введите команду mmc. Откроется «Корень консоли».

  4. В меню Файл выберите «Добавить или удалить оснастку».

  5. В списке выберите «Сертификаты», нажмите кнопку Добавить (в середине) и в диалоговом окне выберите «учетной записи компьютера»;

  6. Нажмите кнопку Далее, потом Готово и ОК. Слева появится список «Сертификаты».

  7. Перейдите в Доверенные корневые центры сертификации > Сертификаты.

  8. Щелкните правой клавишей по пункту Сертификаты и выберите Все задачи > Импорт. Откроется стандартный мастер добавления сертификатов.

  9. Добавьте сертификат. Теперь он будет добавлен для компьютера, а не только для той учетной записи, от которой добавляете.

Дополнительные настройки

Блокировка компьютера через 15 минут простоя:

  1. Перейдите в Панель управления > Электропитание > Запрос пароля при пробуждении.

  2. Установите опцию «Запрашивать пароль». Нажмите кнопку Сохранить изменения.

  3. Перейдите по ссылке «Настройка отключения дисплея». Установите отключение дисплея через 15 минут. Нажмите кнопку Сохранить изменения.

Отключение залипания клавиш:

  1. Перейдите в Панель управления > Центр специальных возможностей > Облегчение работы с клавиатурой. Откроется окно «Упростить набор текста».

  2. Перейдите по ссылке «Настройка залипания клавиш». В открывшемся окне снимите галку «Включать залипание клавиш при пятикратном нажатии клавиши SHIFT» и нажмите кнопку OK.

Параметры обновления ОС Windows:

  1. Перейдите в Панель управления > Центр обновления Windows > Настройка параметров.

  2. Установите следующие параметры и нажмите кнопку OK:

  • «Настройка автоматического обновления» – отключено;

  • «Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows» – включено;

  • «Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи» – включено;

  • «Перенос запланированных автоматических установок обновлений» – отключено.

Брандмауэр ОС Windows 7:

  1. Перейдите в Панель управления > Брандмауэр Windows > Включение и отключение брандмауэра Windows.

  2. В открывшемся окне в полях Параметры размещения в доменной сети, Параметры размещения в домашней или рабочей (частной) сети, Параметры размещения в общественной сети установите переключатели в положение «Включение брандмауэра Windows» и отметьте опции «Уведомлять», когда брандмауэр Windows блокирует новую программу. Нажмите кнопку ОК.

  3. Для настройки разрешения связи для программ через брандмауэр в окне брандмауэра Windows выберите Разрешить запуск программы или компонента через брандмауэр Windows. В открывшемся окне установите флаг слева от названия разрешенных программ и компонент. Выберите тип сети, установив флаг в поле Домен, Домашняя или рабочая (частная) или Публичные.

  4. Для получения информации о программе или компоненте наведите на нее курсор и нажмите кнопку Сведения. Откроется окно с описанием программы/компоненты.

  5. Для установки программ, не включенных в список, нажмите кнопку Разрешить другую программу…, выберите программу из списка. Для установки сетевого размещения выбранной программы нажмите кнопку Типы сетевых размещений… и в открывшемся окне выберите тип сети, включив соответствующую опцию.

  6. Выберите тип сетевого размещения программы и нажмите кнопку ОК. Нажмите кнопку ОК.

  7. Чтобы восстановить параметры брандмауэра по умолчанию, кликните Восстановить умолчания в левой части окна и в открывшемся окне нажмите кнопку Восстановить значения по умолчанию.