Сапожник одел сапоги

Точнее, только начал их натягивать.
Готовя программу курса по пользовательской безопасности, я вдруг решил начинать с себя и, повинуясь благому порыву, немного почистил свой компьютер, а именно:
1. Всех пользователей и себя, в первую очередь, перевел в группу Users, и никаких Administrators! Нужны административные полномочия — запускай программу от имени админа, но работать нужно от имени обычного непривилегированного пользователя. Да, придется привыкать, что за пределами папки "Мои документы" права стоят преимущественного "Только чтение" — но это правильно
2. Нафиг снес Ahead Nero! Ибо в основном из-за него у моих юзеров были административные полномочия. Нынче для прожига дисков мы пользуемся симпатичной французской прогой VSO CopyToDVD
3. Пароли пользователям поставил не менее 8 — 10 символов
4. Запретил удаленный доступ к реестру, остановив соответствующую службу
5. Убрал все административные ресурсы — "шары": ADMIN$, C$ и т.д. и запретил из автоматическое создание: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareWks = 0 (DWORD)
6. Закрыл анонимный сетевой доступ: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa restrictanonymous = 2
7. Запретил хранение LM хешей паролей: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa nolmhash = 1 (DWORD)
8. Прошелся по всем папкам и профилям пользователей и запретил всем пользователям лазить по чужим доукментам. Есть Общие документы и папки temp на каждом из дисков, куда права на запись есть у всех

Как говорится, "доктор, излечи себя сам". Ну-с, приступим и посмотрим что из этого выйдет…

Комментариев: 5
  1. Черт, как же я теперь буду узнавать про новые материалы, подготовленные Иван Геннадьевичем, вы бы хоть об учениках подумали. )
    Кокуркин Юрий, php, seo.

  2. > Черт, как же я теперь буду узнавать про новые материалы, подготовленные Иван Геннадьевичем…
    Такое впечатление, что вы все это узнавали из открытых шар моего домашнего компьютера :) А я вам взял все и закрыл :)
    То, что написано в заметке — это все касается моего компьютера, а не блога :)

  3. Только вот через реестр править то, что доступно через Local Security Policy — ахтунг. :). Двойной ахтунг — это рубить анонимный доступ на домашней машине; там проще застопить сервисы Server и Workstation, а также прибить на сетевых интерфейсах File & Printer Sharing fow Microsoft Networks. И не к чему доступ будет устраивать. А так вообще в локальной групповой политике много чего интересного есть…

  4. To Я
     
    А вот нет, Руслан Владимирович!
    > а также прибить на сетевых интерфейсах File & Printer Sharing fow Microsoft Networks
    Как раз это у меня активно используется: DVD на одном из компов расшарен, папки с фотками на обоих расшарены, принтер вот расшарен также.
     
    > А так вообще в локальной групповой политике много чего интересного есть…
    Здесь соглашусь, политики вещь невероятно мощная!
     
    > Двойной ахтунг — это рубить анонимный доступ на домашней машине
    Положим приходит ко мне товарищ с ноутом и я выдаю ему PSK от домашней Wifi сети. Вот чтобы он не лазил по компам! :)

  5. Это была шутка такая, Иван Генадьевич, на занятиях мне нравилось ваше чувство юмора.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *