Технические требования

Программное обеспечение УЦ работает под управлением операционной системы WINDOWS (2000 (SP2)/XP/Server 2003, для ПО ViPNet [Клиент] допускается использования NT 4.0 (SP6)). Допускается установка пакетов обновлений: ОС Windows XP: Service Pack 1 (SP1), Service Pack 1a (SP1a); Windows 2000: Service Pack 2 (SP2), Service Pack 3 (SP3), Service Pack 4 (SP4); Windows NT 4.0: Service Pack 6, Service Pack 6a.

При установке и эксплуатации программ должны соблюдаться следующие правила:

-Пользоваться только стандартными версиями Windows 2000/XP (Не следует пользоваться измененными или отладочными версиями ОС, такими, например, как Debug/Checked Build). На всех жестких дисках установить файловую систему NTFS.

-Переименовать или удалить пользователя с именем «Administrator» («Администратор» в русской версии). Должен быть зарегистрирован только один пользователь, обладающий правами администратора, на которого и возлагается обязанность конфигурировать Windows NT.

-Удалить у группы Everyone все привилегии.

-Отключить учетную запись для гостевого входа (Guest).

-Использовать автоматическую блокировку компьютера при отсутствии активности пользователя свыше 15 мин.

-Установить ограничения на доступ пользователей к системному реестру в соответствии с принятой в организации политикой безопасности, что реализуется при помощи ACL или установкой прав доступа.

-Ограничить использование Scheduler.

-Устанавливать атрибуты SECURITY_ATTRIBUTES процессов и потоков в соответствии с требованиями безопасности всей системы в целом.

-Для предотвращения стороннего анализа остаточной информации желательно использовать дополнительные ограничения по доступу к временным файлам.

-Отказаться от использования режима автоматического входа пользователя при ее загрузке.

-Исключить возможность удаленного редактирования системного реестра через общедоступные каналы передачи данных.

-Удалить все общие ресурсы на компьютере с установленным ПО СКЗИ «Домен-К» (в том числе и создаваемые по умолчанию при установке ОС), которые не используются. Права доступа к используемым общим ресурсам задать в соответствии с политикой безопасности, принятой в организации.

-Устанавливать выпускаемые Microsoft исправления ошибок ОС, позволяющих получать привилегии администратора

-Отключить сервис DCOM при использовании общедоступных каналов передачи данных.

-Запретить вход в ОС через общедоступные каналы передачи данных для всех пользователей, включая группу Administrators. Закрыть доступ к не используемым портам.

-Включать фильтры паролей, устанавливаемые вместе с пакетами обновлений ОС.

-Ограничить доступ пользователей в каталог %SystemRoot%.

-Установить права доступа к каталогам %Systemroot%\System32\Config, %Systemroot%\System32\SPOOL, %Systemroot%\Repair, %Systemroot%\COOKIES, %Systemroot%\FORMS, %Systemroot%\HISTORY, %Systemroot%\SENDTO, %Systemroot%\PROFILES, %Systemroot%\OCCACHE, \TEMP, а также файлам boot.ini, autoexec.bat, config.sys, ntdetect.com и ntldr в соответствии с политикой безопасности, принятой в организации.

-После установки операционной системы удалить из каталога %Systemroot%\System32\Config файл sam.sav.

-Использовать систему аудита в соответствии с политикой безопасности, принятой в организации.

-При работе через общедоступные каналы передачи данных отказаться от использования протокола SMB, либо в случае необходимости установить в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\ Parameters параметр EnableSecuritySignature (REG_DWORD) со значением 1 и параметр RequireSecuritySignature (REG_DWORD) со значением 1.

-Рекомендуется внести следующие изменения в системном реестре:

-в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa установить параметр RestrictAnonymous (REG_DWORD) со значением 1 для исключения доступа анонимного пользователя к списку разделяемых ресурсов, а также для исключения доступа к содержимому системного реестра;

-удалить имя SPOOLSS из ключа HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes для исключения утечки информации при передаче данных по именованному каналу \\server\PIPE\SPOOLSS;

-в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ LanManServer\Parameters установить параметры AutoShareWks (для Windows NT Workstation) и AutoShareServer (для Windows NT Server), имеющие тип REG_DWORD, со значением 0 для запрета автоматического создания скрытых совместных ресурсов;

-в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon установить параметр CachedLogonsCount (REG_DWORD) со значением 0 для отключения кэширования паролей последних десяти пользователей, вошедших в систему;

- в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\ < LogName> (LogName – имя журнала, для которого следует ограничить доступ пользователям группы Everyone) установить параметр RestrictedGuestAccess (REG_DWORD) со значением 1 для исключения доступа группы Everyone к системному журналу и журналу приложений;

- в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ SessionManager\MemoryManagement установить параметр ClearPageFileAtShutDown (REG_DWORD) со значением 1 для включения механизма затирания файла подкачки при перезагрузке;

- в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ SecurePipeServers установить параметр winreg (REG_DWORD) со значением 1 для ограничения удаленного доступа к реестру;

- в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ СurrentVersion\Winlogon установить параметр AllocateFloppies (REG_SZ) со значением 1 для исключения параллельного использования дисковода для гибких дисков;

- в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon установить параметр DontDisplayLastUserName (REG_SZ) со значением 1 для отключения отображения имени последнего зарегистрированного пользователя;

- в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa установить параметр AuditBaseObjects (REG_DWORD) со значением 1 для включения аудита базовых объектов системы;

- в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

-установить параметр FullPrivilegeAuditing (REG_BINARY) со значением 1 для включения аудита привилегий;

- в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\ Parameters установить параметр EnablePlainTextPassword (REG_DWORD) со значением 0 для исключения передачи пароля пользователей по сети в открытом виде.

-Дополнительно при использовании Windows XP следует произвести дополнительные настройки:

-Запретить использование функции резервного копирования паролей.

-Отключить режимы отображения окна всех зарегистрированных на компьютере пользователей и быстрого переключения пользователей.

-Отключить возможность удаленного администрирования компьютера.