Информационная безопасность¶
В ПО ПроАТМ применяются дополнительные методы обеспечения информационной безопасности от внешнего воздействия. Безопасность системы обеспечивается настройкой ИБ. Ниже представлено подробное описание и порядок настройки ИБ, включая списки рекомендуемых значений настроек и прав доступа.
Настройка BIOS¶
Для обеспечения безопасности на уровне BIOS материнской платы:
Устанавливается пароль доступа к BIOS.
Отключаются порты ввода-вывода.
Опечатываются перемычки сброса состояния.
Пароль доступа к BIOS¶
Для блокировки доступа к загрузке компьютера или изменению параметров BIOS используется система защиты паролем. Для установки пароля:
Войдите в BIOS.
Выберете: Main > Security > Administrator password и нажмите Enter.
В открывшемся поле Create New Password введите свой пароль (буквенно-цифровую комбинацию латинского алфавита длиной не более восьми символов).
Если требуется изменить существующий пароль, то сначала введите его в поле Enter Current Password, затем нажмите Enter и в поле Create New Password наберите новый пароль.
Отключение портов в настройках BIOS¶
Войдите в BIOS.
В настройках BIOS найдите в меню Advanced опции для включения или отключения портов.
Отключите все порты (установите для них параметр DISABLED).
После того, как были сделаны изменения, сохраните настройки.
Защита от запуска внешних ОС¶
Для обеспечения защиты от запуска внешних операционных систем в BIOS устанавливается возможность загрузки ОС только с локального жесткого диска, альтернативные варианты загрузки отключаются. Для этого:
Войдите в BIOS.
В настройках BIOS найдите в меню Boot опции для включения или отключения следующих параметров:
USB Support (установите «DISABLED»);
Network Stack Driver Support (установите «DISABLED»);
PS/2 Keyboard and Mouse Support (установите «DISABLED»).
После того, как были сделаны изменения, сохраните настройки.
Разблокирование BIOS¶
Если же вы забыли пароль, то в этом случае следует обнулить текущие значения параметров BIOS с помощью переключателей на материнской плате или временного изъятия питающей батарейки.
Внимание
Для предотвращения несанкционированного размыкания цепи «батарейка-BIOS» соответствующие элементы цепи защищаются печатями(пломбируется).
Настройка учетных записей¶
Эксплуатация терминального ПО предусматривает:
Использование учетных записей ОС, необходимых для запуска и работы терминального ПО («Loader» и «Starter»). Для них настраиваются необходимые привилегии, ограничивающие возможности запуска и модификации работающих приложений.
Использование учетных записей ОС, необходимых для авторизации внутри терминального ПО с целью получения доступа к наборам функций: Администратор, Инкассатор и Сотрудник службы безопасности.
При настройке системы рекомендуется последовательно:
Удалить все неиспользуемые учетные записи.
Создать гостевую учетную запись для автоматического входа в систему («Loader»).
Создать пользовательскую учетную запись для запуска терминального ПО («Starter»).
Создать комплект учетных записей для работы в терминальном ПО (не обязательно).
Таким образом, должны остаться активными три учетные записи: с правами гостя, с правами пользователя и с правами администратора.
Для управления учетными записями выберите в окне Панель управления Администрирование > Управление компьютером > Локальные пользователи и группы.

Рисунок 78. Список активных пользователей после настройки¶
Отключение неиспользуемых учетных записей¶
Удалите все учетные записи, кроме предусмотренных регламентом банка и учетной записи администратора системы (учетная запись необходима для проведения инсталляции ПО ПроАТМ).
Создание пользователей Loader и Starter¶
Допускается автономная настройка гостевой и пользовательской учетных записей средсвами ОС с последующей настройкой входа в систему и запуска терминального ПО. Механизм автоматического создания учетных записей «Loader» и «Starter» возможен только средствами ПроАТМ.
Следует запустить утилиту Ogre.exe с параметром REGPOWERUSER
(параметр запуска). Запуск Ogre.exe с параметром REGPOWERUSER
имеет целью создание учетных записей «Loader» и «Starter», а также применение ряда настроек:
Создается учетная запись с именем «Loader» и помещается в группу «Гости», пароль создается с помощью генератора случайных чисел.
В разделе
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
реестра настраивается автозагрузка под учетной записью «Loader».Создается учетная запись с именем Starter и помещается в группу «Пользователи», пароль создается с помощью генератора случайных чисел.
В защищенное хранилище Windows прописывается логин и пароль учетной записи Starter.
Осуществляется перечисление всех локальных принтеров, установленных в системе (подсистема winspool). Каждому принтеру устанавливаются разрешения на печать и управление принтером всеми пользователями системы.
Внимание
Запуск Ogre.exe с параметром REGPOWERUSER должен производиться с правами локального администратора.
Создание пользователей ПроАТМ¶
Терминальное ПО предусматривает авторизацию для работы в режиме «Supervisor» с функциями Администратор, Инкассатор и Сотрудник службы безопасности. Авторизация выполняется с использованием учетных записей ОС, включенных в группы «ProAtmAdministrators», «ProAtmOperators» и «ProAtmSecurityManagers» соответственно. Предусмотрен режим использования доменных учетных записей, настроить который можно используя RopAuthentication. Логины и пароли пользователей хранятся в используемой ОС аналогично всем учетным данным. При вводе данных из терминального ПО предусмотрено использование хеш-функции к вводимому паролю.
Создание групп пользователей средствами WINDOWS¶
Для этого в окне локальных пользователей и групп для пункта «Группы» вызовите контекстное меню и выберите Создать группу…. Создайте группы пользователей «ProAtmAdministrators», «ProAtmOperators», «ProAtmSecurityManagers».
Создание групп инсталлятором ПроАТМ¶
Группы пользователей можно создать в процессе инсталляции ПроАТМ. Добавляются группы пользователей «ProAtmAdministrators», «ProAtmOperators», «ProAtmSecurityManagers». Производятся настройки локальных политик безопасности, раздел «Назначение прав пользователя», а именно, в ниже перечисленные элементы настройки добавляются три выше перечисленные группы:
Вход в качестве пакетного задания;
Запретить вход в систему через службы удаленных рабочих столов;
Запретить локальный вход;
Отказать в доступе к этому компьютеру из сети;
Отказать во входе в качестве службы.
Создание учетных записей средствами WINDOWS¶
Для этого в окне локальных пользователей и групп для пункта «Пользователи» вызовите контекстное меню и выберите Создать пользователя….
Создание учетных записей средствами ПроАТМ¶
При отсутсвии хотябы одной учетной записи в группах «ProAtmAdministrators», «ProAtmOperators», «ProAtmSecurityManagers» первый Перевод УС в РОП запросит регистрацию Сотрудник службы безопасности. Управление прочими учетными записями можно будет выполнить при помощи созданной согласно инструкциям по приведенной ссылке.
Журналы событий¶
Для настройки параметров системных журналов выберите Панель управления > Администрирование > Просмотр событий > Журналы Windows.

Рисунок 79. Список журналов Windows¶
ОС ведет три основных системных журнала:
Приложение – журнал событий работы приложений;
Система – журнал системных событий;
Безопасность – журнал событий системы безопасности.
Для установки параметров выберите журнал и в контекстном меню выберите пункт «Свойства». В появившемся окне установите значения в соответствии с таблицей:
Требования |
Значение |
---|---|
Журнал приложений: Максимальный размер журнала приложений |
2000 МБ |
Журнал безопасности: Максимальный размер журнала безопасности |
5000 МБ |
Системный журнал: Максимальный размер системного журнала |
2000 МБ |
Системный журнал: Сохранять старые события |
SYSTEM и члены группы «Администраторы» |
Если архивирование журнала выполняется через заданные промежутки времени, то необходимо установить параметр безопасности, который определяет, сколько дней должно храниться событие в журнале безопасности (если для журнала задан способ сохранения «По дням»). Для этого откройте окно Результирующая политика выполните: Пуск > Выполнить > rsop.msc.
В открывшемся окне выберите: Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Журнал событий.

Рисунок 80. Параметры журнала¶
Для установки параметров выберите журнал и в контекстном меню выберите пункт Свойства. В появившемся окне установите значения в соответствии с таблицей.
Требования |
Значение |
---|---|
Журнал приложений: Сохранять старые события |
365 дней |
Журнал безопасности: Сохранять старые события |
365 дней |
Системный журнал: Сохранять старые события |
365 дней |
Системные сервисы Windows¶
Для исключения несанкционированного использования ресурслужбов операционной системы, все неиспользуемые сервисы, устанавливаемые по умолчанию при инсталляции ОС, должны быть остановлены и их запуск заблокирован.
В процессе работы ПО ПроАТМ используется набор системных сервисов в соответствии с требованиями безопасности. Для работы ПО ПроАТМ использование каких-либо других системных сервисов Windows не предусмотрено.
Для настройки параметров системных сервисов выберите Панель управления > Администрирование > Службы.

Рисунок 81. Список служб¶
Выберите службу и в контекстном меню выберите пункт Свойства. В открывшемся окне «Тип запуска» установите значения в соответствии с таблицей 6.

Рисунок 82. Свойства выбранной службы¶
Служба |
Системное имя службы |
Тип запуска |
---|---|---|
ApplicationHostHelperService |
AppHostSvc |
отключена |
BranchCache |
PeerDistSvc |
отключена |
DHCP-клиент |
Dhcp |
отключена |
DNS-клиент |
Dnscache |
отключена |
Dialog Box Filter (Windows Embedded 2011) |
dialogfilter |
автоматически |
HTTP |
HTTP |
автоматически/вручную |
IndexingService |
CISVC |
отключена |
Intel(R) Content Protection HECI Service |
cphs |
отключена |
Intel(R) Integrated Clock Controller Service - Intel(R) ICCS |
iccs |
отключена |
Keyboard Filter (Windows Embedded 2011) |
KeyboardFilter |
автоматически |
KtmRm для координатора распределенных транзакций |
KtmRm |
отключена |
LPD Service |
LPDSVC |
отключена |
M3Agent |
M3Agent |
автоматически/вручную |
M3Update |
M3Update |
автоматически/вручную |
Microsoft .NET Framework NGEN v2.0…. |
clr_optimizatio… |
отключена |
Microsoft .NET Framework NGEN v2.0.50727_X86 |
clr_oprimisation_v2.0.50727_32 |
автоматически/вручную |
Mup |
Mup |
автоматически/вручную |
NSI proxy service driver |
nsiproxy |
автоматически/вручную |
Net.Msmq Listener Adapter |
NetMsmqActivator |
отключена |
Net.Pipe Listener Adapter |
NetPipeActivator |
отключена |
Net.Tcp Listener Adapter |
NetTcpActivator |
отключена |
Net.Tcp Port Sharing Service |
NetTcpPortSharing |
отключена |
Parental Controls |
WPCSvc |
отключена |
Plug-and-Play |
PlugPlay |
автоматически |
Point Of Service Performance Counters (Windows Embedded 2011) |
POSPerformanceCounters |
отключена |
Quality Windows Audio Video Experience |
QWAVE |
отключена |
Superfetch |
Superfetch |
отключена |
Superfetch |
SysMain |
вручную |
TCP/IP Protocol Driver |
tcpip |
автоматически/вручную |
Telnet |
TlntSvr |
отключена |
WMI Performance Adapter |
wmiApSrv |
отключена |
Windows Audio |
Audiosrv |
отключена |
Windows CardSpace |
idsvc |
вручную |
Windows Driver Foundation - User-mode Driver Framework |
wudfsvc |
вручную |
Windows Firewall Authorization Driver |
mpsdrv |
автоматически/вручную |
Windows Licensing Monitoring Service (Windows Embedded 2011) |
WLMS |
отключена |
Windows Search |
WSearch |
отключена |
Автонастройка WWAN |
WwanSvc |
отключена |
Автономные файлы |
CscService |
отключена |
Агент защиты сетевого доступа |
napagent |
вручную |
Адаптивная регулировка яркости |
SensrSvc |
отключена |
Архивация Windows |
SDRSVC |
отключена |
Биометрическая служба Windows |
WbioSrvc |
отключена |
Брандмауэр Windows |
MpsSvc |
автоматически (если нет других МЭ) |
Браузер компьютеров |
Browser |
отключена |
Веб-клиент |
WebClient |
отключена |
Виртуальный диск |
vds |
отключена |
Вспомогательная служба IP |
iphlpsvc |
отключена |
Вторичный вход в систему |
seclogon |
автоматически |
Группировка сетевых участников |
p2psvc |
отключена |
Дефрагментация диска |
defragsvc |
отключена |
Диспетчер автоматических подключений удаленного доступа |
RasAuto |
отключена |
Диспетчер печати |
Spooler |
отключена |
Диспетчер подключений удаленного доступа |
RasMan |
отключена |
Диспетчер сеансов диспетчера окон рабочего стола |
UxSms |
отключена |
Диспетчер удостоверения сетевых участников |
p2pimsvc |
вручную |
Диспетчер учетных данных |
VaultSvc |
вручную |
Диспетчер учетных записей безопасности |
SamSs |
автоматически |
Доступ к HID-устройствам |
hidserv |
отключена |
Драйвер AppID |
AppID |
|
Журнал событий Windows |
eventlog |
автоматически |
Журналы и оповещения производительности |
pla |
отключена |
Защита программного обеспечения |
sppsvc |
автоматически |
Защитник Windows |
WinDefend |
автоматически |
Защищенное хранилище |
ProtectedStorage |
автоматически |
Изоляция ключей CNG |
KeyIso |
вручную |
Инструментарий управления Windows |
Winmgmt |
вручную |
Информация о совместимости приложений |
AeLookupSvc |
вручную |
Клиент групповой политики |
gpsvc |
автоматически |
Клиент для NFS (Client for NFS) |
NfsClnt |
автоматически |
Клиент отслеживания изменившихся связей |
TrkWks |
отключена |
Координатор распределенных транзакций |
MSDTC |
отключена |
Кэш шрифтов Windows Presentation Foundation 3.0.0.0 |
FontCache3.0.0.0 |
отключена |
Ловушка SNMP |
SNMPTRAP |
отключена |
Локатор удаленного вызова процедур (RPC) |
RpcLocator |
отключена |
Маршрутизация и удаленный доступ |
RemoteAccess |
отключена |
Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности |
IKEEXT |
автоматически |
Модуль запуска процессов DCOM-сервера |
DcomLaunch |
автоматически |
Модуль поддержки NetBIOS через TCP/IP |
lmhosts |
отключена |
Настройка сервера удаленных рабочих столов |
SessionEnv |
отключена |
Немедленные подключения Windows - регистратор настройки |
wcncsvc |
отключена |
Обнаружение SSDP |
SSDPSRV |
отключена |
Обнаружение интерактивных служб |
UI0Detect |
отключена |
Общий доступ к подключению к Интернету (ICS) |
SharedAccess |
отключена |
Определение оборудования оболочки |
ShellHWDetection |
отключена |
Основные службы доверенного платформенного модуля |
TBS |
отключена |
Очередь сообщений |
MSMQ |
отключена |
Перенаправитель портов пользовательского режима служб удаленных рабочих столов |
UmRdpService |
отключена |
Перечислитель IP-шин PnP-X |
IPBusEnum |
отключена |
Питание |
Power |
автоматически |
Планировщик заданий (TaskScheduler) |
Schedule |
отключена |
Планировщик классов мультимедиа |
MMCSS |
отключена |
Поддержка элемента панели управления «Отчеты о проблемах и их решениях» |
wercplsupport |
отключена |
Политика удаления смарт-карт |
SCPolicySvc |
отключена |
Поставщик домашней группы |
HomeGroupProvider |
отключена |
Проводная автонастройка(Wired AutoConfig) |
dot3svc |
отключена |
Программный поставщик теневого копирования (Microsoft) |
swprv |
отключена |
Прослушиватель RIP (RIP Listener) |
iprip |
отключена |
Прослушиватель домашней группы |
HomeGroupListener |
отключена |
Простые службы TCP/IP (Simple TCP/IP Services) |
simptcp |
отключена |
Протокол PNRP |
PNRPsvc |
отключена |
Публикация ресурсов обнаружения функции |
FDResPub |
отключена |
Рабочая станция |
LanmanWorkstation |
отключена |
Распространение сертификата |
CertPropSvc |
отключена |
Расширяемый протокол проверки подлинности (EAP) |
EapHost |
отключена |
Сборщик событий Windows |
Wecsvc |
автоматически |
Сведения о приложении |
Appinfo |
вручную |
Сервер |
LanmanServer |
отключена |
Сервер упорядочения потоков |
THREADORDER |
отключена |
Сетевой вход в систему |
Netlogon |
отключена |
Сетевые подключения |
Netman |
вручную |
Система событий COM+ |
EventSystem |
автоматически |
Системное приложение COM+ |
COMSysApp |
отключена |
Служба FTP |
ftpsvc |
отключена |
Служба IIS Admin (IIS AdminService) |
IISADMIN |
отключена |
Служба SNMP (SNMP Service) |
SNMP |
отключена |
Служба SSTP |
SstpSvc |
отключена |
Служба автоматического обнаружения веб-прокси WinHTTP |
WinHttpAutoProxySvc |
отключена |
Служба автонастройки WLAN |
WlanSvc |
отключена |
Служба активации Windows(Windows Process Activation Service) |
WAS |
отключена |
Служба базовой фильтрации |
BFE |
автоматически |
Служба ввода планшетного ПК |
TabletInputService |
отключена |
Служба веб-публикаций (World Wide Web Publishing Service) |
W3SVC |
отключена |
Служба времени Windows |
W32Time |
автоматически |
Служба загрузки изображений Windows (WIA) |
StiSvc |
отключена |
Служба инициатора Майкрософт iSCSI |
msiscsi |
отключена |
Служба интерфейса сохранения сети |
nsi |
автоматически |
Служба кэша шрифтов Windows |
FontCache |
отключена |
Служба медиаприставки Media Center |
Mcx2Svc |
отключена |
Служба модуля архивации на уровне блоков |
wbengine |
отключена |
Служба общих сетевых ресурсов проигрывателя Windows Media |
WMPNetworkSvc |
отключена |
Служба перечислителя переносных устройств |
WPDBusEnum |
отключена |
Служба поддержки Bluetooth |
bthserv |
отключена |
Служба политики диагностики |
DPS |
автоматически |
Служба помощника по совместимости программ |
PcaSvc |
автоматически |
Служба профилей пользователей |
ProfSvc |
автоматически |
Служба публикации имен компьютеров PNRP |
PNRPAutoReg |
отключена |
Служба регистрации ошибок Windows |
WerSvc |
отключена |
Служба сведений о подключенных сетях |
NlaSvc |
автоматически |
Служба состояний ASP.NET |
aspnet_state |
отключена |
Служба списка сетей |
netprofm |
вручную |
Служба уведомления SPP |
sppuinotify |
вручную |
Служба уведомления о системных событиях |
SENS |
автоматически |
Служба удаленного управления Windows (WS-Management) |
WinRM |
отключена |
Служба управления сетью (Web Management Service) |
WMSVC |
отключена |
Служба шифрования дисков BitLocker |
BDESVC |
вручную |
Служба шлюза уровня приложения |
ALG |
отключена |
Службы IPSEC |
PolicyAgent |
отключена |
Службы криптографии |
CryptSvc |
автоматически |
Службы удаленных рабочих столов |
TermService |
отключена |
Смарт-карта |
SCardSvr |
отключена |
Сопоставитель конечных точек RPC |
RpcEptMapper |
отключена |
Средство построения конечных точек Windows Audio |
AudioEndpointBuilder |
отключена |
Телефония |
TapiSrv |
отключена |
Темы |
Themes |
отключена |
Теневое копирование тома |
VSS |
отключена |
Тополог канального уровня |
lltdsvc |
отключена |
Триггеры очереди сообщений |
MSMQTriggers |
отключена |
Удаленный вызов процедур (RPC) |
RpcSs |
автоматически |
Удаленный реестр |
RemoteRegistry |
отключена |
Удостоверение приложения |
AppIDSvc |
вручную |
Узел системы диагностики |
WdiSystemHost |
вручную |
Узел службы диагностики |
WdiServiceHost |
вручную |
Узел универсальных PNP-устройств |
upnphost |
отключена |
Управление приложениями |
AppMgmt |
отключена |
Управление сертификатами и ключом работоспособности |
hkmsvc |
вручную |
Установщик ActiveX (AxInstSV) |
AxInstSV |
отключена |
Установщик Windows |
msiserver |
вручную |
Установщик модулей Windows |
TrustedInstaller |
отключена |
Факс |
Fax |
отключена |
Фоновая интеллектуальная служба передачи (BITS) |
BITS |
отключена |
Хост поставщика функции обнаружения |
fdPHost |
отключена |
Цветовая система Windows (WCS) |
WcsPlugInService |
отключена |
Центр обеспечения безопасности |
wscsvc |
автоматически/вручную |
Центр обновления Windows(WindowsUpdate) |
wuauserv |
отключена |
Шифрованная файловая система (EFS) |
EFS |
отключена |
Локальная политика безопасности¶
Локальная политика безопасности настраивается в окне Панель управления > Администрирование > Локальная политика безопасности.

Рисунок 83. Окно «Локальная политика безопасности»¶
Настройка политики учетных записей¶
Для пользователей обязательно должны быть заданы пароли. Установить следующие параметры политики паролей на вкладке Политики учетных записей > Политика паролей:
Enforce password history (Вести журнал паролей) – 4 пароля;
Maximum password age (Максимальный срок действия пароля) – 0;
Minimum password age (Минимальный срок действия пароля) – 30 дней;
Minimum password length (Минимальная длина пароля) – не менее 12 символов;
Password must meet complexity requirements (Пароль должен отвечать требованиям сложности) – включен;
Store passwords using reversible encryption (Хранить пароли, используя обратимое шифрование) – отключен.
Установить следующие параметры политики блокировки учетных записей на вкладке Политики учетных записей > Политика блокировки учетной записи:
Account lockout duration (Продолжительность блокировки учетной записи) – 30 минут;
Account lockout threshold (Пороговое значение блокировки) – 6 попыток;
Reset account lockout counter after (Время до сброса счетчика блокировки) – 30 минут.
Настройка локальной политики¶
Установить следующие параметры политики аудита на вкладке Локальные политики > Политика аудита:
Audit account logon events (Аудит событий входа в систему) – успех, отказ;
Audit account management (Аудит управления учетными записями) – успех, отказ;
Audit directory service access (Аудит доступа к службе каталогов) – успех, отказ;
Audit logon events (Аудит входа в систему) – успех, отказ;
Audit object access (Аудит доступа к объектам) – успех, отказ;
Audit policy change (Аудит изменения политики) – успех, отказ;
Audit privilege use (Аудит использования привилегий) – успех, отказ;
Audit process tracking (Аудит отслеживания процессов) – успех, отказ;
Audit system events (Аудит системных событий) – успех, отказ.
Установить следующие параметры назначения прав пользователя на вкладке Локальные политики > Назначение прав пользователя:
Access Credential Manager as a trusted caller (Доступ к диспетчеру учетных данных от имени доверенного вызывающего) – значение по умолчанию;
Access this computer from the network (Доступ к компьютеру из сети) – значение по умолчанию;
Act as part of the operating system (Работа в режиме операционной системы) – значение по умолчанию;
Add workstations to domain (Добавление рабочих станций к домену) – значение по умолчанию;
Adjust memory quotas for a process (Настройка квот памяти для процесса) – Локальная служба, Сетевая служба;
Allow log on locally (Локальный вход в систему) – Администраторы, Пользователи;
Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов) – значение по умолчанию;
Back up files and directories (Архивация файлов и каталогов) – значение по умолчанию;
Bypass traverse checking (Обход перекрестной проверки) – Локальная служба, Сетевая служба;
Change the system time (Изменение системного времени) – Администраторы, Локальная служба;
Change the time zone (Изменение часового пояса) – Администраторы;
Create a pagefile (Создание файла подкачки) – Администраторы;
Create a token object (Создание маркерного объекта) – значение по умолчанию;
Create global objects (Создание глобальных объектов) – Локальная служба, Сетевая служба;
Create permanent shared objects (Создание постоянных общих объектов) – значение по умолчанию;
Create symbolic links (Создание символических ссылок) – значение по умолчанию;
Debug programs (Отладка программ) – Администраторы;
Deny access to this computer from the network (Отказать в доступе к этому компьютеру из сети) – Гость;
Deny log on as a batch job (Отказать во входе в качестве пакетного задания) – значение по умолчанию;
Deny log on as a service (Отказать во входе в качестве службы) – значение по умолчанию;
Deny log on locally (Запретить локальный вход) – Гость;
Deny log on through Remote Desktop Services (Запретить вход в систему через службу удаленных рабочих столов) – Администраторы, Пользователи, Гости;
Enable computer and user accounts to be trusted for delegation (Разрешение доверия к учетным записям компьютеров и пользователей при делегировании) – значение по умолчанию;
Force shutdown from a remote system (Принудительное удаленное завершение работы) – Администраторы;
Generate security audits (Создание аудитов безопасности) – Локальная служба, Сетевая служба;
Impersonate a client after authentication (Имитация клиента после проверки подлинности) – Администраторы, Локальная служба, Сетевая служба, Служба;
Increase a process working set (Увеличение рабочего набора процесса) – значение по умолчанию;
Increase scheduling priority (Увеличение приоритета выполнения) – Администраторы;
Load and unload device drivers (Загрузка и выгрузка драйверов устройств) – Администраторы;
Lock pages in memory (Блокировка страниц в памяти) – нет;
Log on as a batch job (Вход в качестве пакетного задания) – значение по умолчанию;
Log on as a service (Вход в качестве службы) – Локальная служба, Сетевая служба;
Manage auditing and security log (Управление аудитом и журналом безопасности) – Администраторы;
Modify an object label (Изменение метки объекта) – значение по умолчанию;
Modify firmware environment values (Изменение параметров среды изготовителя) – Администраторы;
Perform volume maintenance tasks (Выполнение задач по обслуживанию томов) – Администраторы;
Profile single process (Профилирование одного процесса) – Администраторы;
Profile system performance (Профилирование производительности системы) – Администраторы;
Remove computer from docking station (Отключение компьютера от стыковочного узла) – значение по умолчанию;
Replace a process level token (Замена маркера уровня процесса) – Локальная служба, Сетевая служба;
Restore files and directories (Восстановление файлов и каталогов) – значение по умолчанию;
Shut down the system (Завершение работы системы) – Администраторы, Пользователи;
Synchronize directory service data (Синхронизация данных службы каталогов) – значение по умолчанию;
Take ownership of files or other objects (Смена владельцев файлов и других объектов) – Администраторы.
Установить следующие параметры безопасности на вкладке Локальные политики > Параметры безопасности:
Accounts: Administrator account status (Учетные записи: Состояние учетной записи „Администратор“) – отключен;
Accounts: Guest account status (Учетные записи: Состояние учетной записи „Гость“) – отключен;
Accounts: Limit local account use of blank passwords to console logon only (Учетные записи: разрешить использование пустых паролей только при консольном входе) – отключен;
Accounts: Rename administrator account (Учетные записи: Переименование учетной записи администратора) – любая строка, не содержащая подстроки «Администратор» и «Administrator» (рекомендуется ZuperVisor);
Accounts: Rename guest account (Учетные записи: Переименование учетной записи гостя) – любая строка, не содержащая подстроки «Гость» и «Guest» (рекомендуется AnotherUser);
Audit: Audit the access of global system objects (Аудит: аудит доступа глобальных системных объектов) – включен;
Audit: Audit the use of Backup and Restore privilege (Аудит: аудит прав на архивацию и восстановление) – отключен;
Audit: Shut down system immediately if unable to log security audits (Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности) – отключен;
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings (Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)) – включен;
DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax (DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language)) – значение по умолчанию;
DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax (DCOM: Ограничения компьютера на запуск в синтаксисе SDDL (Security Descriptor Definition Language)) – значение по умолчанию;
Devices: Allow undock without having to log on (Устройства: разрешать отстыковку без входа в систему) – отключен;
Devices: Allowed to format and eject removable media (Устройства: разрешить форматирование и извлечение съемных носителей) – Администраторы, Интерактивные пользователи;
Devices: Prevent users from installing printer drivers (Устройства: запретить пользователям установку драйверов принтера) – включен;
Devices: Restrict CD-ROM access to locally logged-on user only (Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям) – включен;
Devices: Restrict floppy access to locally logged-on user only (Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям) – включен;
Domain controller: Allow server operators to schedule tasks (Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию) – отключен;
Domain controller: LDAP server signing requirements (Контроллер домена: требование цифровой подписи для LDAP-сервера) – нет;
Domain controller: Refuse machine account password changes (Контроллер домена: запретить изменение пароля учетных записей компьютера) – отключен;
Domain member: Digitally encrypt or sign secure channel data (always) (Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала) – включен;
Domain member: Digitally encrypt secure channel data (when possible) (Член домена: шифрование данных безопасного канала, когда это возможно) – включен;
Domain member: Digitally sign secure channel data (when possible) (Член домена: цифровая подпись данных безопасного канала, когда это возможно) – включен;
Domain member: Disable machine account password changes (Член домена: отключить изменение пароля учетных записей компьютера) – отключен;
Domain member: Maximum machine account password age (Член домена: максимальный срок действия пароля учетных записей компьютера) – 30 дней;
Domain member: Require strong (Windows 2000 or later) session key (Член домена: требовать стойкий ключ сеанса (Windows 2000 или выше)) – включен;
Interactive logon: Display user information when the session is locked (Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован) – не отображать сведений о пользователе;
Interactive logon: Do not display last user name (Интерактивный вход в систему: не отображать последнее имя пользователя) – включен;
Interactive logon: Do not require CTRL+ALT+DEL (Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL) – отключен;
Interactive logon: Message text for users attempting to log on (Интерактивный вход в систему: текст сообщения для пользователей при входе в систему) – значение по умолчанию;
Interactive logon: Message title for users attempting to log on (Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему) – значение по умолчанию;
Interactive logon: Number of previous logons to cache (in case domain controller is not available) (Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)) – 0;
Interactive logon: Prompt user to change password before expiration (Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее) – 7 дней;
Interactive logon: Require Domain Controller authentication to unlock workstation (Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера) – отключен;
Interactive logon: Require smart card (Интерактивный вход в систему: требовать смарт-карту) – отключен;
Interactive logon: Smart card removal behavior (Интерактивный вход в систему: поведение при извлечении смарт-карты) – блокировать рабочую станцию;
Microsoft network client: Digitally sign communications (always) (Клиент сети Microsoft: использовать цифровую подпись (всегда)) – включен;
Microsoft network client: Digitally sign communications (if server agrees) (Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)) – включен;
Microsoft network client: Send unencrypted password to third-party SMB servers (Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам) – отключен;
Microsoft network server: Amount of idle time required before suspending session (Сервер сети Microsoft: время бездействия до приостановки сеанса) – 15 минут;
Microsoft network server: Digitally sign communications (always) (Сервер сети Microsoft: использовать цифровую подпись (всегда)) – включен;
Microsoft network server: Digitally sign communications (if client agrees) (Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)) – включен;
Microsoft network server: Disconnect clients when logon hours expire (Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа) – включен;
Microsoft network server: Server SPN target name validation level (Сетевой сервер (Майкрософт): уровень проверки сервером имени участника-службы конечного объекта) – требовать;
Network access: Allow anonymous SID/Name translation (Доступ к сети: Разрешить трансляцию анонимного SID в имя) – отключен;
Network access: Do not allow anonymous enumeration of SAM accounts (Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями) – включен;
Network access: Do not allow anonymous enumeration of SAM accounts and shares (Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями) – включен;
Network access: Do not allow storage of passwords and credentials for network authentication (Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности) – отключен;
Network access: Let Everyone permissions apply to anonymous users (Сетевой доступ: разрешать применение разрешений «Для всех» к анонимным пользователям) – отключен;
Network access: Named Pipes that can be accessed anonymously (Сетевой доступ: разрешать анонимный доступ к именованным каналам) – значение по умолчанию;
Network access: Remotely accessible registry paths (Сетевой доступ: удаленно доступные пути реестра) – значение по умолчанию;
Network access: Remotely accessible registry paths and sub-paths (Сетевой доступ: удаленно доступные пути и вложенные пути реестра) – значение по умолчанию;
Network access: Restrict anonymous access to Named Pipes and Shares (Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам) – включен;
Network access: Shares that can be accessed anonymously (Сетевой доступ: разрешать анонимный доступ к общим ресурсам) – значение по умолчанию;
Network access: Sharing and security model for local accounts (Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей) – обычная (локальные пользователи удостоверяются как они сами);
Network security: Allow Local System to use computer identity for NTLM (Сетевая безопасность: разрешить учетной записи локальной системы использовать удостоверение компьютера для NTLM) – включен;
Network security: Allow LocalSystem NULL session fallback (Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы) – отключен;
Network Security: Allow PKU2U authentication requests to this computer to use online identities (Сетевая безопасность: разрешить использование сетевых удостоверений в запросах проверки подлинности PKU2U к этому компьютеру) – отключен;
Network security: Configure encryption types allowed for Kerberos (Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos) – AES128_HMAC_SHA256, AES128_HMAC_SHA512, AES256_HMAC_SHA256, AES256_HMAC_SHA512.
Network security: Do not store LAN Manager hash value on next password change Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля— включен;
Network security: Force logoff when logon hours expire (Сетевая безопасность: Принудительный вывод из сеанса по истечении допустимых часов работы) – включен;
Network security: LAN Manager authentication level (Сетевая безопасность: уровень проверки подлинности LAN Manager) – отправлять только NTLMv2-ответ, отказывать LM;
Network security: LDAP client signing requirements (Сетевая безопасность: требование цифровой подписи для LDAP-клиента) – согласование цифровой подписи;
Network security: Minimum session security for NTLM SSP based (including secure RPC) clients (Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)) – требовать сеансовую безопасность NTLMv2, требовать 128-битное шифрование;
Network security: Minimum session security for NTLM SSP based (including secure RPC) servers (Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC)) – требовать сеансовую безопасность NTLMv2, требовать 128-битное шифрование;
Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication (Сетевая безопасность: ограничения NTLM: добавить удаленные серверы в исключения проверки подлинности NTLM) – значение по умолчанию;
Network security: Restrict NTLM: Add server exceptions in this domain (Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене) – значение по умолчанию;
Network security: Restrict NTLM: Audit Incoming NTLM Traffic (Сетевая безопасность: ограничения NTLM: аудит входящего трафика NTLM) – для всех пользователей;
Network security: Restrict NTLM: Audit NTLM authentication in this domain (Сетевая безопасность: ограничения NTLM: аудит проверки подлинности NTLM в этом домене) – вкл все;
Network security: Restrict NTLM: Incoming NTLM traffic (Сетевая безопасность: ограничения NTLM: входящий трафик NTLM) – запретить для всех УЗ;
Network security: Restrict NTLM: NTLM authentication in this domain (Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене) – запретить для всех УЗ;
Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers (Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам) – запретить все;
Recovery console: Allow automatic administrative logon (Консоль восстановления: разрешить автоматический вход администратора) – отключен;
Recovery console: Allow floppy copy and access to all drives and all folders (Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам) – отключен;
Shutdown: Allow system to be shut down without having to log on (Завершение работы: разрешить завершение работы системы без выполнения входа в систему) – включен;
Shutdown: Clear virtual memory pagefile (Завершение работы: очистка файла подкачки виртуальной памяти) – включен;
System cryptography: Force strong key protection for user keys stored on the computer (Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере) – пользователь получает запрос при первом использовании ключа;
System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing (Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания) – включен;
System objects: Require case insensitivity for non-Windows subsystems (Системные объекты: учитывать регистр для подсистем, отличных от Windows) – включен;
System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) (Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок)— включен;
System settings: Optional subsystems (Параметры системы: необязательные подсистемы) – значение по умолчанию;
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies (Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ) – отключен;
User Account Control: Admin Approval Mode for the Built-in Administrator account (Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора) – включен;
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop (Контроль учетных записей: разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол) – отключен;
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode (Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором) – запрос учетных данных;
User Account Control: Behavior of the elevation prompt for standard users (Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей) – автоматически запретить запросы на повышение прав;
User Account Control: Detect application installations and prompt for elevation (Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав)— включен;
User Account Control: Only elevate executables that are signed and validated (Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов) – включен;
User Account Control: Only elevate UIAccess applications that are installed in secure locations (Контроль учетных записей: повышать права для UIAccess-приложений только при установке в безопасных местах) – включен;
User Account Control: Run all administrators in Admin Approval Mode (Контроль учетных записей: все администраторы работают в режиме одобрения администратором) – включен;
User Account Control: Switch to the secure desktop when prompting for elevation (Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав) – включен;
User Account Control: Virtualize file and registry write failures to per-user locations (Контроль учетных записей: при сбоях записи в файл или реестр виртуализация в место размещения пользователя) – включен;
This entry appears as MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended) in the Group Policy Object Editor. This entry determines whether the automatic logon feature is enabled. (This entry is separate from the Welcome screen feature; if you disable that feature, this entry is not affected.) By default, this entry is not enabled. Automatic logon uses the domain, user name, and password that is stored in the registry to log users on to the computer when the computer starts. The logon dialog box is not displayed. MSS: (AutoAdminLogon) (Разрешить автоматический вход в систему (не рекомендуется)) – включен;
This entry appears as MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) in the Group Policy Object Editor. IP source routing is a mechanism that allows the sender to determine the IP route that a datagram should follow through the network. MSS: (DisableIPSourceRouting) (Уровень защиты исходной IP-маршрутизации (защита от подделки пакетов)) – 2;
This entry appears as MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes in the Group Policy Object Editor. Internet Control Message Protocol (ICMP) redirects cause the stack to plumb host routes. These routes override the Open Shortest Path First (OSPF)-generated routes. MSS: (EnableICMPRedirect) (Разрешить перенаправлять ICMP-трафик в обход OSPF-маршрутизации) – 0;
Hiding the computer from the Browse List removes one method attackers might use to gether information about computers on the network. MSS: (Hidden) (Скрыть компьютер из списка обозрения (не рекомендуется включать, за исключением сред с очень надежной защитой)— включен;
This entry appears as MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended) in the Group Policy Object Editor and is stored in the HKLMSystemCurrentControlSetServices|TcpipParametersKeepAliveTime registry key. * This setting controls how often TCP sends a keep-alive packet to verify that an idle connection is still intact. If the remote computer is still reachable, it acknowledges the keep-alive packet. (MSS: Частота проверки активности соединения в миллисекундах) – 300 000;
NoDefaultExempt for IPSec Filtering (recommended) in the Group Policy Object Editor (MSS: (NoDefaultExempt) Настройка исключений IPSec для различных типов сетевого трафика) – значение по умолчанию;
Allow the computer to ignore NetBIOS name release requests except from WINS servers (Only recommended for servers) in the Group Policy Object Editor. (MSS: (NoNameReleaseOnDemand) Игнорировать запросы на освобождение NetBIOS-имени от всех, кроме серверов WINS) – включен;
Enable the computer to stop generating 8.3 style filenames (recommended) in the Group Policy Object Editor. (MSS: Отключить генерацию имен файлов по схеме 8.3 (8 символов имени и 3 символа расширения)) – включен;
This entry appears as MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) in the Group Policy Object Editor. It enables or disables the Internet Router Discovery Protocol (IRDP). IRDP allows the computer to detect and configure default gateway addresses automatically (as described in RFC 1256) on a per-interface basis. (MSS: (PerformRouterDiscovery) Разрешить IRDP определять и настраивать адреса «Шлюза по умолчанию» (может привести к отказу в обслуживании)) – отключен;
Enable Safe DLL search mode (recommended) in the Group Policy Object Editor. MSS: Включить безопасный режим поиска DLL— включен;
The time in seconds before the screen saver grace period expires (0 recommended) in the Group Policy Object Editor (MSS: Период времени в секундах с момента запуска хранителя экрана до блокировки компьютера) – значение по умолчанию;
This entry appears as MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default) in the Group Policy Object Editor. This entry controls the number of times that TCP retransmits an individual data segment (non-connect segment) before it aborts the connection. The retransmission timeout is doubled with each successive retransmission on a connection. It is reset when responses resume. The base timeout value is dynamically determined by the measured round-trip time on the connection. (MSS: (TCPMaxDataRetransmissions) Количество возможных попыток повторно передать данные (рекомендуется значение 3, стандартное значение – 5)) – 3;
Percentage threshold for the security event log at which the system will generate a warning in the Group Policy Object Editor. (MSS: Процент заполнения журнала событий безопасности, при достижении которого выдается предупреждение) – 70%;
This entry appears as MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) in the Group Policy Object Editor. IP source routing is a mechanism that allows the sender to determine the IP route that a datagram should follow through the network (MSS: (DisableIPSourceRouting IPv6) Уровень защиты исходной IP-маршрутизации (защита от подделки пакетов)) – значение по умолчанию;
MSS: (TcpMaxDataRetransmissions IPv6) Количество возможных попыток повторно передать данные (рекомендуется значение 3, стандартное значение – 5) – значение по умолчанию;
Настройка запуска приложений (AppLocker)¶
В окне «Локальная политика безопасности» панели управления выберите вкладку «Политика ограниченного использования программ» > «Дополнительные правила». Здесь описаны пути файлов, которые могут быть запущены. По умолчанию присутствуют два файла на запуск из системных директорий.
Внимание
Без необходимости не удаляйте и не изменяйте эти правила. В противном случае никакие программы, в том числе и Панель управления, запускаться не будут!
Установка запрета запуска файлов¶
В окне «Локальная политика безопасности» можно создать правило для запуска файлов:
Вызовите контекстное меню и выберите пункт Создать правило для пути….
В открывшемся окне «Создание правила» для пути в поле Путь поставьте звездочку, в поле Уровень безопасности – значение
Запрещено
.Нажмите кнопку ОК. Добавляется новое правило, которое запретит запуск любых файлов на ПК. При запуске любой программы будет выведено окно с сообщением «Эта программа заблокирована групповой политикой. За дополнительными сведениями обратитесь к системному администратору».
Создание исключений при запуске файлов¶
В окне дополнительных параметров вызовите контекстное меню и выберите пункт Создать правило для хеша….
В открывшемся окне «Создание правила для хеша», используя кнопку Обзор, добавьте все исполняемые файлы ПроАТМ (все файлы с расширением EXE). Файлы будут перечислены в поле Сведения о файле.
Уровень безопасности установите «Неограниченный». Новое правило будет добавлено к имеющемуся списку. Программы, для которых создано исключение, теперь будут запускаться.
Если требуется запускать программы с использованием ярлыков на рабочем столе, следует выполнить следующие действия:
Выберите пункт Политика ограниченного использования программ > Назначенные типы файлов. Вызовите контекстное меню и выберите пункт Свойства.
В окне «Свойства» выберите тип файлов «LNK Ярлык» и удалите его. Для сохранения изменений нажмите ОК.
Групповые параметры безопасности¶
Для учетной записи «Loader» возможно настроить групповые параметры безопасности. Откройте редактор локальной групповой политики (Пуск > Выполнить > gpedit.msc). Откроется окно редактора локальной групповой политики.

Рисунок 84. Редактор локальной групповой политики¶
Меню «Пуск»¶
В окне Редактор локальной групповой политики выберите Конфигурация пользователя à Административные шаблоны à Меню «Пуск» и панель задач. В окне настроек включить следующие настройки:
Запретить добавление и удаление панелей инструментов;
Удалить (все доступные элементы меню) – выбрать из списка.
Отключение политик автозапуска¶
В окне «Редактор локальной групповой политики» выберите пункты Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Политики автозапуска. В окне настроек включите следующие настройки:
Отключить автозапуск;
Не устанавливать флажок «Всегда выполнять выбранное действие»;
Отключить автозапуск устройств, не являющихся томами;
Вариант работы автозапуска по умолчанию (включена, выбран параметр 2Не исполнять команды автозапуска»).
Рабочий стол¶
В окне «Редактор локальной групповой политики» выберите пункты Конфигурация пользователя > Административные шаблоны > Рабочий стол. Опция «Скрыть и отключить все элементы рабочего стола» должна быть включена.
Настройка сочетания Ctrl+Alt+Del¶
В окне «Редактор локальной групповой политики» выберите пункты Конфигурация пользователя > Административные шаблоны > Система > Варианты действий после нажатия Ctrl+Alt+Del. Для изменений состояния дважды щелкните по нужной строке справа. В окне настроек поставьте требуемое состояние (включить/отключить). Все опции («Запретить изменение пароля», «Запретить блокировку компьютера», «Удалить диспетчер задач», «Запретить завершение сеанса») должны быть включены.
Примечание
При необходимости можно отключить настройки для текущего пользователя.
Связь через Интернет¶
В окне «Редактор локальной групповой политики» выберите пункты Конфигурация компьютера > Административные шаблоны > Управление связью через Интернет > Параметры связи через Интернет.. В окне настроек включите следующие настройки:
Отключение загрузки драйверов принтера по протоколу HTTP;
Отключить веб-публикацию в списке задач для файлов и папок;
Отключить загрузку из Интернета для мастеров веб-публикаций и заказа отпечатков;
Отключить печать по протоколу HTTP;
Отключить обновление информационных файлов «Помощника по поиску»»;
Отключить участие в программе улучшения поддержки пользователей Windows Messenger;
Отключение поиска драйверов устройств в Центре обновления Windows.
Службы терминалов¶
В окне «Редактор локальной групповой политики» выберите пункты Конфигурация компьютера > Административные шаблоны > Все параметры. В окне настроек поставьте требуемое состояние (включить/отключить) согласно таблице 7.
Требования |
Значение |
---|---|
Всегда запрашивать пароль при подключении |
Включен |
Разрешать удаленное подключение с использованием служб удаленных рабочих столов |
Отключен |
Дополнительные настройки безопасности¶
В окне «Редактор локальной групповой политики» выберите пункты Конфигурация компьютера > Административные шаблоны > Все параметры. В окне настроек поставьте требуемое состояние (включить/отключить) согласно таблице 8.
Требования |
Значение |
---|---|
Требовать пароль при выходе из спящего режима (Питание от батареи) |
Включен |
Требовать пароль при выходе из спящего режима (Питание от сети) |
Включен |
Разрешить доступ к удаленной оболочке |
Отключен |
Отключить предотвращение выполнения данных для проводника |
Отключен |
Не обрабатывать список запуска старых программ |
Включен |
Не обрабатывать список однократного запуска программ |
Включен |
Обработка политики реестра |
Включен: Обрабатывать, даже если объекты групповой политики не изменились |
Предложение удаленной помощи |
Отключен |
Запрос удаленной помощи |
Отключен |
Отключить автозапуск |
Включен: Все диски |
Отображать учетные записи администратора при повышении уровня прав |
Отключен |
Требовать достоверный путь для входа в учетную запись |
Включен |
Запретить присоединение компьютера к домашней группе |
Включен |
Примечание
Ряд настроек параметров безопасности доступны и в конфигурации компьютера, и в конфигурации пользователя.
Доступ и аудит файлов и папок¶
«Администратор» – учетная запись, от имени которой настраивают безопасность. «Локальный администратор» – группа локальных администраторов. Права доступа к папкам настраиваются с наследованием для всех дочерних элементов указанных разделов. Предполагается, что терминальное ПО установлено в папку C:\FS365.
Примечание
Вкладка «Безопасность» в свойствах папки отображается и доступна для изменения под учетной записью «Администратор» или члена группы «Администраторы» и только для файлов и папок на томах NTFS (использование файловой системы FAT на жестком диске управляющего УС компьютера недопустимо). Перед выбром файлы и папки для аудита включите аудит в компоненте «Групповая политика».
Настройка доступа к папкам¶
Откройте свойства нужной папки (контекстное меню папки > Свойства).
Перейдите на вкладку «Безопасность» и нажмите кнопку Изменить…. Откроется окно «Разрешения для <имя группы или пользователя>».
Для пользователей и групп пользователей в списке «Группы или пользователя» отредактируйте список разрешений и запретов («Разрешения для <имя группы или пользователя>»).
Для папки
C:\FS365
:«Администратор» – полный доступ;
«Система» – полный доступ;
«Локальный администратор» – полный доступ;
«Starter» – полный доступ;
«Loader» – чтение.
для всех остальных пользователей и групп доступ к файлам блокируется.
Для папки
C:\FS365\Starter
:«Администратор» – полный доступ;
«Система» – полный доступ;
«Локальный администратор» – полный доступ;
«Starter» – полный доступ;
«Loader» – чтение и выполнение;
для всех остальных пользователей и групп доступ к файлам блокируется.
Настройка аудита папок¶
Откройте свойства нужной папки (контекстное меню папки > Свойства).
Перейдите на вкладку «Безопасность» и нажмите кнопку Дополнительно. Откроется окно «Дополнительные параметры безопасности для <имя папки>».
Перейдите на вкладку «Аудит» и нажмите кнопку Изменить…. В открывшемся окне нажмите кнопку Добавить. Откроется окно «Выбора группы или пользователя».
В поле «Введите имена выбираемых объектов» введите букву «В» (русскую, заглавную) и нажмите кнопку Проверить имена. В указаном поле автоматически появится объект «Все». Нажмите кнопку OK. Откроется окно «Элемент аудита для <имя папки>».
Установите действия для каждого выбранного события:
флаг «Успех» – проводить/прекратить аудит успешных событий;
флаг «Отказ» – проводить/прекратить аудит неуспешных событий
кнопка Очистить все – прекратить аудит всех событий.
Для папки
C:\FS365
и ее вложенных папок установите все галочки «Успех и «Отказ» для группы «Все».
Примечание
Чтобы выбрать файлы и папки для аудита, а также настроить аудит реестра, необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы». В противном случае, не будет отображаться вкладка «Безопасность» или она будет доступна только для чтения.
Вкладка «Безопасность» отображается только для файлов и папок на томах NTFS (использование файловой системы FAT на жестком диске управляющего УС компьютера недопустимо). Прежде чем выбрать файлы и папки для аудита, необходимо включить аудит в компоненте «Групповая политика».
Настройка доступа к системному реестру¶
Права доступа к папкам реестра настраиваются с наследованием для всех дочерних элементов указанных разделов. Под «Администратором» понимается учетная запись, устанавливающая настройки безопасности. Под «Локальным администратором» понимается группа локальных администраторов.
Запустите редактор системного реестра (файл Regedit.exe).
В контекстном меню нужного раздела выберите пункт «Разрешения». Откроется окно «Разрешения для <имя раздела>».
Для пользователей и групп пользователей в списке «Группы или пользователя» отредактируйте список разрешений и запретов («Разрешения для <имя группы или пользователя>»). Для разделов
[HKEY_LOCAL_MACHINE\SOFTWARE\FS365]
,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print]
,[HKEY_LOCAL_MACHINE\SOFTWARE\XFS]
,[[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print]
и всех их дочерних элементов установите следующие разрешения:«Администратор» – полный доступ;
«Система» – полный доступ;
«Локальный администратор» – полный доступ;
«Starter» – полный доступ;
«Loader» – чтение;
для всех остальных пользователей и групп доступ к файлам блокируется.
Нажмите кнопку Дополнительно. В открывшемся окне поставьте флаг «Заменить все разрешения дочернего объекта на разрешения, наследуемые от объекта».
Настройка аудита параметров реестра¶
Запустите редактор системного реестра (файл Regedit.exe).
В контекстном меню нужного раздела выберите пункт «Разрешения». Откроется окно «Разрешения для <имя раздела>». Нажмите кнопку Дополнительно. Откроется окно «Дополнительные параметры безопасности».
Перейдите на вкладку «Аудит» и нажмите кнопку Добавить.
В поле «Введите имена выбираемых объектов» введите букву «В» (русскую, заглавную) и нажмите кнопку Проверить имена. В указаном поле автоматически появится объект «Все». Нажмите кнопку OK. Откроется окно «Элемент аудита для <имя раздела>».
Установите «галки» во флагах «Успех» и «Отказ» в строке «Полный доступ». Нажмите кнопку OK.
Запуск ПроАТМ¶
Для корректной загрузки ПроАТМ корневой сертификат необходимо устанавливать для всех пользователей:
Зайдите в Windows под учетной записью администратора.
Откройте консоль по команде cmd.
Введите команду mmc. Откроется «Корень консоли».
В меню Файл выберите «Добавить или удалить оснастку».
В списке выберите «Сертификаты», нажмите кнопку Добавить (в середине) и в диалоговом окне выберите «учетной записи компьютера»;
Нажмите кнопку Далее, потом Готово и ОК. Слева появится список «Сертификаты».
Перейдите в Доверенные корневые центры сертификации > Сертификаты.
Щелкните правой клавишей по пункту Сертификаты и выберите Все задачи > Импорт. Откроется стандартный мастер добавления сертификатов.
Добавьте сертификат. Теперь он будет добавлен для компьютера, а не только для той учетной записи, от которой добавляете.
Дополнительные настройки¶
Блокировка компьютера через 15 минут простоя:
Перейдите в Панель управления > Электропитание > Запрос пароля при пробуждении.
Установите опцию «Запрашивать пароль». Нажмите кнопку Сохранить изменения.
Перейдите по ссылке «Настройка отключения дисплея». Установите отключение дисплея через 15 минут. Нажмите кнопку Сохранить изменения.
Отключение залипания клавиш:
Перейдите в Панель управления > Центр специальных возможностей > Облегчение работы с клавиатурой. Откроется окно «Упростить набор текста».
Перейдите по ссылке «Настройка залипания клавиш». В открывшемся окне снимите галку «Включать залипание клавиш при пятикратном нажатии клавиши SHIFT» и нажмите кнопку OK.
Параметры обновления ОС Windows:
Перейдите в Панель управления > Центр обновления Windows > Настройка параметров.
Установите следующие параметры и нажмите кнопку OK:
«Настройка автоматического обновления» – отключено;
«Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows» – включено;
«Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи» – включено;
«Перенос запланированных автоматических установок обновлений» – отключено.
Брандмауэр ОС Windows 7:
Перейдите в Панель управления > Брандмауэр Windows > Включение и отключение брандмауэра Windows.
В открывшемся окне в полях Параметры размещения в доменной сети, Параметры размещения в домашней или рабочей (частной) сети, Параметры размещения в общественной сети установите переключатели в положение «Включение брандмауэра Windows» и отметьте опции «Уведомлять», когда брандмауэр Windows блокирует новую программу. Нажмите кнопку ОК.
Для настройки разрешения связи для программ через брандмауэр в окне брандмауэра Windows выберите Разрешить запуск программы или компонента через брандмауэр Windows. В открывшемся окне установите флаг слева от названия разрешенных программ и компонент. Выберите тип сети, установив флаг в поле Домен, Домашняя или рабочая (частная) или Публичные.
Для получения информации о программе или компоненте наведите на нее курсор и нажмите кнопку Сведения. Откроется окно с описанием программы/компоненты.
Для установки программ, не включенных в список, нажмите кнопку Разрешить другую программу…, выберите программу из списка. Для установки сетевого размещения выбранной программы нажмите кнопку Типы сетевых размещений… и в открывшемся окне выберите тип сети, включив соответствующую опцию.
Выберите тип сетевого размещения программы и нажмите кнопку ОК. Нажмите кнопку ОК.
Чтобы восстановить параметры брандмауэра по умолчанию, кликните Восстановить умолчания в левой части окна и в открывшемся окне нажмите кнопку Восстановить значения по умолчанию.