Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
Додаток № 1
до Договору про надання послуг з технічної
підтримки та обслуговування Інформаційної
системи портового співтовариства
від «___» _______ 2013 року
Інструкція користувачу
автоматизованої системи класу «3» єдиної інформаційної системи портового співтовариства
(інформаційної системи портового співтовариства)
1. Електронно-обчислювальні машини (ЕОМ), які використовуються для обробки
конфіденційної інформації, відноситься до об’єктів електронно-обчислювальної техніки (ЕОТ).
2. Для забезпечення необхідного рівня захисту конфіденційної інформації від
несанкціонованого доступу (НСД) в автоматизованій системі (АС)використовуються організаційно-
технічні заходи.
3. Носії, які призначені для роботи з конфіденційною інформацією в АС та носії
ключової інформації повинні бути зареєстровані у “Журналі обліку магнітних носіїв інформації” і
зберігатися у сховищах, які призначені для збереження документів, справ, видань та інших
матеріальних носіїв конфіденційної інформації. На них розповсюджуються такі ж правила, які діють
для паперових документів з відповідним грифом.
4. Порядок обробки в АС документів, які містять конфіденційну інформацію, розроблено
відповідно до таких документів: – Перелік відомостей, що становлять конфіденційну інформацію в товаристві з обмеженою
відповідальністю "ППЛ 33-35"; – Інструкція про порядок обліку, зберігання, використання, та знищення носіїв конфіденційної
інформації в ТОВ «ППЛ 33-35». 5. Перед початком роботи в АС користувач зобов'язаний: – Мати особистий ключ, отриманий від Центру сертифікації ключів у встановленому порядку.
Перелік необхідних документів для отримання ЕЦП розміщений на веб-сторінці ЦСК. – Ознайомитись в частині, що його стосується, з організаційно-технічними документами, які
регламентують правила обробки конфіденційної інформації в АС. Дозволяється ознайомлення користувача з необхідними документами в електронному вигляді.
– Мати встановлену на ЕОМ Клієнтську частину програмного забезпечення єдиної інформаційної системи портового співтовариства.
Клієнтська частина програмного забезпечення єдиної інформаційної системи портового
співтовариства (далі – ПЗ) може бути встановлена на ЕОМ, яка відповідає наступним вимогам:
- на ЕОМ встановлена ліцензійна версія операційної системи (ОС) Windows XP Professional
Service Pack 2 або більш новітньої версії;
- настроювання параметрів безпеки ОС проведене у відповідності до Інструкції з інсталяції та
конфігурування параметрів безпеки для відповідної операційної системи;
- на ЕОМ встановлене ліцензійне антивірусне програмне забезпечення з переліку засобів
загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність
охорони якої визначено законодавством України. Вказаний перелік розміщений на веб-сторінці
Державної служби спеціального зв’язку та захисту інформації України (http://dstszi.kmu.gov.ua
Діяльність » Експертиза » Технічний захист інформації » Засоби ТЗІ, які мають експертний
висновок про відповідність до вимог технічного захисту інформації). Антивірусні бази повинні
регулярно оновлюватись. – Обов’язково повинен бути встановлений пароль на завантаження ЕОМ. 6. В процесі роботи в АС користувач зобов'язаний:
– Дотримуватися встановлених вимог нормативних документів щодо роботи з конфіденційною
інформацією. Користувачі несуть особисту відповідальність за дотримання ними встановлених
правил обробки конфіденційної інформації під час роботи в АС.
– Спостерігати, щоб дані, які виводяться на екран монітору не були доступні для спостереження
іншим особам.
– Дотримуватися Регламенту ЦСК та Договору про надання послуг ЕЦП.
7. Користувачеві категорично заборонено:
– Проводити роботи з обробки конфіденційної інформації без виконання всіх заходів щодо
захисту інформації.
– Обробляти конфіденційну інформацію при виявленні будь-яких несправностей або збоїв у
роботі програмного та апаратного забезпечення.
– Декомпілювати ПЗ або вносити будь-які зміни в файли ПЗ.
– Розголошувати відомості щодо заходів захисту від несанкціонованого доступу.
– Встановлювати будь-яке неліцензійне або стороннє програмне забезпечення, яке може
спричинити виток конфіденційної інформації, тобто комп’ютерних вірусів, клавіатурних шпигунів
тощо.
– Обробляти конфіденційну інформацію під час знаходження у приміщенні сторонніх осіб.
– Під час обробки конфіденційної інформації залишати робоче місце.
– Використовувати для роботи з конфіденційною інформацією змінні носії (дискети, оптичні
диски, flash-пам’яті тощо), які не пройшли відповідну реєстрацію.
– Залишати без нагляду та передавати іншим особам отримані змінні носії.
8. Правила використання ключа ЕЦП і пароля доступу до ключа:
– Носії з ключами ЕЦП реєструються в журналі за місцем роботи користувача.
– Після завершення роботи в АС завжди відключайте носій з ключем ЕЦП.
– У разі виникнення підозр на компрометацію ключа ЕЦП (копіювання чи втрата носія,
порушення правил зберігання особистих ключів, виникнення підозр на несанкціоноване
застосування особистого ключа, втрата контролю щодо особистого ключа через компрометацію
коду доступу до носія особистого ключа, випадки, коли не можна вірогідно встановити, що
відбулося з носієм, що містить ключову інформацію, наприклад, коли носій вийшов з ладу й
доказово не спростована можливість того, що даний факт відбувся в результаті несанкціонованих
дій зловмисника) або компрометацію середовища виконання (наявність в комп'ютері програм-
шпигунів) його власник повинен негайно повідомити про це співробітника Акредитованого центра
сертифікації ключів (АЦСК) та вжити заходів щодо скасування відповідного сертифікату
відкритого ключа.
– У разі крадіжки ключа ЕЦП зміна пароля доступу до ключа ЕЦП не захищає від використання
його зловмисниками. З метою дотримання безпеки необхідно заблокувати ключ ЕЦП та згенерувати
новий.
– Не зберігайте пароль доступу до ключа ЕЦП на носії ключової інформації або разом із носієм.
9. Про всі факти втручання в роботу ЕОМ або виявлення порушень вимог цієї Інструкції
користувач повинен повідомити про це відповідальному за технічний захист інформації (ТЗІ) в ТОВ
«ППЛ 33-35» (Центр обробки даних/ЦОД) на електронну пошту [email protected] та на
електронну пошту Адміністрації.
10. Користувач несе особисту відповідальність за дотримання правил обробки
конфіденційної інформації в автоматизованій системі та виконання цієї Інструкції та інших настанов
стосовно роботи в АС.
11. За порушення, що призвели до витоку конфіденційної інформації або її знищення, а
також за порушення вимог нормативних документів щодо роботи з конфіденційною інформацією,
цієї Інструкції та законодавства винні особи несуть відповідальність згідно з чинним законодавством
України.
ЦЕНТР ОБРОБКИ ДАНИХ:
ЗАМОВНИК
Товариство з обмеженою відповідальністю
«ППЛ 33-35»
Директор комерційний_________ А.В.Шевчук
Додаток № 2
до Договору про надання послуг з технічної
підтримки та обслуговування Інформаційної
системи портового співтовариства
від «___» _______ 2013 року
Інструкція з антивірусного захисту інформації в
автоматизованій системі класу «3» єдиної інформаційної системи портового співтовариства
(інформаційної системи портового співтовариства)
Вимоги до системи антивірусного захисту Комп'ютерним вірусом є паразитуючий програмний код, який обумовлює виконання
несанкціонованих команд/програм на ураженому комп'ютері. Вірус розповсюджується у вигляді
програм, файлів та макросів. Він впливає на цілісність інформації, програмне забезпечення та (чи)
режим роботи обчислювальної техніки, що може привести до відмови комп'ютера, виконання ним
дій, що приховані від користувача, і відповідно, до порушення цілісності та доступності інформації
або її витоку.
Система антивірусного захисту повинна базуватися на антивірусних продуктах, що мають
експертний висновок Державної служби спеціального зв’язку та захисту інформації України для
забезпечення можливості контролю проникнення вірусів у максимально короткі строки після їх
появи. Перелік антивірусних продуктів, що мають експертний висновок, розміщений на веб-сторінці
Державної служби спеціального зв’язку та захисту інформації України (http://dstszi.kmu.gov.ua
Діяльність » Експертиза » Технічний захист інформації » Засоби ТЗІ, які мають експертний
висновок про відповідність до вимог технічного захисту інформації).
Система захисту файлових служб та служб баз даних повинна забезпечувати захист
автоматизованої системи (АС) від комп'ютерних вірусів шляхом перевірки файлів та процесів на цих
електронно-обчислювальних машинах (ЕОМ) антивірусним монітором, сканером, що
встановлюються на цих ЕОМ.
Найбільш ймовірними вірусними загрозами працездатності автоматизованого робочого
місця може бути: - пошкодження комп'ютерним вірусом файлової структури операційної системи та
програмного забезпечення автоматизованої системи;
- знищення даних в енергонезалежній пам'яті комп'ютера (Flash BIOS, СМОS), що може
привести до відмови роботи комп'ютера.
Система антивірусного захисту (САЗ) повинна забезпечувати: - можливість безупинного захисту об'єктів АС відповідно до встановлених вимог та політики
безпеки;
- можливість автоматизованого блокування проникнення комп'ютерних вірусів з усіх
можливих джерел;
- лікування комп'ютерних вірусів з занесенням інформації про це у відповідні протоколи
роботи для забезпечення моніторингу роботи. В разі підозри на зараження невідомими
комп'ютерними вірусами та неможливості лікування, САЗ повинна забезпечувати блокування
доступу користувачів до цієї інформації;
- можливість оперативного повідомлення відповідальних осіб щодо виникнення критичних чи
особливих ситуацій у АС, тобто: виявлення вірусу, збій у системі оновлень, зміна налаштувань САЗ;
- гнучке масштабування при появі нових об'єктів антивірусного захисту у АС;
- ліцензійність та підтримку постачальниками застосованого антивірусного програмного
забезпечення.
Обов'язки системного адміністратора АС Системний адміністратор відповідає за організаційне забезпечення задач керування САЗ та
здійснення контролю за її функціонуванням. Системний адміністратор зобов'язаний:
- забезпечувати функціонування САЗ, та контроль виконання її вимог;
- проводити моніторинг роботи антивірусних засобів захисту, та оперативно реагувати на
виникнення при цьому критичних ситуацій;
- контролювати своєчасне оновлювання антивірусного програмного забезпечення (оновлення
баз проводити не рідше ніж один раз кожні 7 діб);
- оперативно взаємодіяти з користувачами АС та системними адміністраторами організацій у
разі виникнення ситуацій, пов'язаних з антивірусним захистом;
- погоджувати свої дії з відповідальним по ТЗІ у разі необхідного внесення змін у роботу
програмно-апаратного забезпечення АС, що може бути пов'язано з вірусною загрозою;
- вести облік роботи САЗ.
Обов'язки користувачів АС
Користувачі АС відповідають за дотримання вимог САЗ.
Користувачі АС зобов'язані:
- дотримуватися вимог та рекомендацій щодо захисту інформації у АС від вірусного
зараження;
- регулярно оновлювати антивірусні бази (слідкувати за актуальністю антивірусних баз -
оновлення проводити не рідше ніж один раз кожні 7 діб);
- в роботі із зовнішніми накопичувачами (магнітні диски, CD-ROM, flash-пам’яті тощо)
обов'язково перевіряти їх антивірусною програмою до використання на об'єкті електронно-
обчислювальної техніки ЕОТ;
- інформувати системного адміністратора організації про будь-який виявлений вірус, зміни
конфігурації або незвичайне поводження комп'ютера або програми та припиняти роботу.
Огляди вірусів Використовуються різні типи огляду АС:
- огляд вручну або за запитом. Перевіряються обрані файли і папки на ЕОМ;
- огляд у реальному часі. Ця функція безупинно перевіряє на наявність відомих вірусів
файли, які читаються/записуються на ЕОМ;
- плановий огляд. Перевіряються обрані файли і папки на АС у запланований час.
Дії системного адміністратора у разі виявлення зараження вірусом Після одержання інформації про можливість зараження вірусом системний адміністратор:
- інформує системного адміністратора АС та всіх користувачів, що мають доступ до програм
або файлів даних, які можуть бути заражені вірусом, про таку ймовірність.
- проводить або ініціює (супроводжує) перевірку ЕОМ АС та зовнішніх накопичувачів
користувачів АС засобами САЗ (лікування інфікованого файлу / ізоляція інфікованого файлу /
видалення зараженого файлу).
ЦЕНТР ОБРОБКИ ДАНИХ:
ЗАМОВНИК
Товариство з обмеженою відповідальністю
«ППЛ 33-35»
Директор комерційний_________ А.В.Шевчук
Додаток № 3
до Договору про надання послуг з технічної
підтримки та обслуговування Інформаційної
системи портового співтовариства
від «___» _______ 2013 року
І Н С Т Р У К Ц І Я
з інсталяції та конфігурування параметрів безпеки ОС
Windows 7 Professional Edition
Windows 7 Enterprise Edition
Windows 7 Ultimate Edition
Вступ
Корпорація Microsoft разом з носієм ОС Windows 7 постачає документацію, яка містить детальні
інструкції щодо установки ОС та додаткові відомості.
Інструкції щодо установки та інші відомості, які наведені в цих документах рекомендується
використовувати під час установки ОС Windows 7 на АРМ користувачів.
В документі розглядається конфігурування параметрів безпеки операційних систем Microsoft Windows
7.
Значення параметрів безпеки наведені в табл. 1-9. Для параметрів, які несуттєві для безпеки, значення
не вказані.
Назви параметрів безпеки, які описані у цьому документі, наведені російською та/або англійською
мовами.
1 Засоби, які використовуються для конфігурування параметрів безпеки
Для конфігурування параметрів безпеки застосовуються вбудовані системні компоненти ОC Windows 7
такі як:
- Редактор групових політик (далі редактор політики);
- Редактор реєстру.
1.1 Запуск редактора політик
Запуск редактора політики здійснюється шляхом виконання в командному рядку команди «gpedit.msc».
1.2 Запуск редактора реєстру
Запуск редактора реєстру здійснюється шляхом виконання в командному рядку команди «regedit.exe».
2 Політика облікових записів (Политика учетных записей)
Політика облікових записів містить параметри безпеки для паролів і блокування облікових записів.
2.1 Політика паролів (Политика паролей)
Параметри налаштовуються за допомогою редактора політики за адресою:
Политики учетных записей\ Политика паролей
Параметри наведені в табл. 1.
Таблиця 1
№
п/п
Назва
параметра
Параметр
(Установка)
1 Вести журнал паролей
(Enforce password history)
24 хранимых пароля
(24 passwords remembered)
2 Максимальный срок действия пароля
(Maximum password age)
31 дня
(31 days)
3 Минимальный срок действия пароля
(Minimum password age)
30 дней
(30 days)
4 Минимальная длина пароля
(Minimum password lengths) 1
8
5 Пароль должен отвечать требованиям сложности
(Password must meet complexity requirements)
Включен
(Enabled)
6 Хранить пароли, используя обратимое шифрование
(Store password using reversible encryption)
Отключен
(Disabled)
2.2 Політика блокування облікового запису (Политика блокировки учетной записи)
Політика блокування облікового запису використовується для блокування облікового запису, якщо
протягом заданого проміжку часу реєструється визначена кількість невдалих спроб входу до системи. Кількість
спроб і інтервал часу встановлюються за допомогою параметрів політики облікового запису.
Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною адресою:
Политики учетных записей\ Политика блокировки учетной записи
Рекомендовані параметри наведені в табл. 2.
Таблиця 2
№
п/п
Назва
параметра
Параметр
(Установка)
1 Время до сброса блокировки
(Account lockout duration)
30 минут
(30 minutes)
2 Пороговое значение блокировки
(Account lockout duration)2
10 ошибок входа в систему
(10 invalid logon attempts)
3 Продолжительность блокировки учетной записи
(Reset account lockout counter after)
30 минут
(30 minutes)
Більш детальну інформацію про налаштування параметрів політики облікових записів можна знайти в
Windows 7 Security Guide (Руководство по безопасности Windows 7). Microsoft Corporation, 2009.
1 Слід зауважити, що довгі паролі, які складаються з восьми і більше символів, як правило, значно надійніші за
короткі, але застосування дуже довгих паролів приводить до збільшення кількості помилок при введенні
пароля, збільшенню кількості заблокованих облікових записів і, як наслідок, звернень в службу підтримки
користувачів мережі. Крім того, використання дуже довгих паролів може привести до фактичного зниження
безпеки, тому що користувачі через боязнь забути пароль вимушені його записувати. Фактичне значення
довжини пароля визначається відповідно до політики безпеки організації. 2 Стандартне граничне значення параметра “Пороговое значение блокировки”, яке рекомендується, дорівнює 50
невдалим спробам входу до системи, але насправді це значення залежить повністю від політики організації.
Невелике значення цього параметра підвищує імовірність проведення атаки типу “Відмова від обслуговування”
(DoS).
3 Параметри локальної політики (Параметры локальной политики) До параметрів локальної політики відносять політику аудита, призначення прав користувачів та
параметри безпеки.
3.1 Політика аудиту (Политика аудита)
За допомогою політики аудита визначаються події безпеки, які заносяться в журнал реєстрації.
Адміністратор отримує можливість слідкувати за діями, які мають відношення до безпеки, наприклад доступом до об’єктів, входом (виходом) з системи.
Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною адресою:
Локальные политики\ Политика аудита
Рекомендовані параметри наведені в табл. 3.
Таблиця 3
№
п/п
Назва
параметра
Параметр
(Установка)
1 Аудит входа в систему
(Audit account logon events)
Успех, Отказ (Success, Failure)
2 Аудит управления учетными записями
(Audit account management)
Успех, Отказ (Success, Failure)
3 Аудит доступа к службе каталогов
(Audit directory service access)
Успех, Отказ (Success, Failure)
4 Аудит событий входа в систему
(Audit logon events)
Успех, Отказ (Success, Failure)
5 Аудит доступа к объектам
(Audit object access)
Успех, Отказ (Success, Failure)
6 Аудит изменения политики
(Audit policy change)
Успех, Отказ (Success, Failure)
7 Аудит использования привилегий
(Audit privilege use)
Успех, Отказ (Success, Failure)
8 Аудит отслеживания процессов
(Audit process traking)
Успех, Отказ (Success, Failure)
9 Аудит системных событий
(Audit system events)
Успех, Отказ (Success, Failure)
3.2 Параметри призначення прав користувачів (Параметры назначения прав пользователя)
Параметри призначення прав користувачів дозволяють призначати привілеї користувачам і групам.
Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною адресою:
Локальные политики\ Назначение прав пользователей
При налаштуванні параметрів безпеки локального об’єкта групової політики комп’ютера, який не є
членом домену, значення „Не определено” (Not defined) і „Никто” (No One) не відрізняються та визначають,
що ніякому користувачу не надаються відповідні привілеї. Обидва значення задаються в редакторі „Локальна
політика безпеки” шляхом видалення всіх користувачів зі списку відповідного параметра.
При налаштуванні параметрів безпеки об’єктів групової політики Active Directory домену ці значення
мають наступний сенс:
„Не определено” (Not defined) – визначає, що при формуванні результуючої політики, даний об’єкт
групової політики не впливає на відповідний параметр політики. Це значення налаштовується
шляхом деактивування відповідного параметра інтерфейсу редактора групової політики Active
Directory;
„Никто” (No One) – визначає, що при формуванні результуючої політики, даний об’єкт групової
політики перекриває значення відповідного параметра попередніх об’єктів шляхом очищення списку
користувачів та груп користувачів. Це значення налаштовується шляхом активування параметра без
внесення в список користувачів, яким надаються відповідні привілеї, жодного з користувачів або
груп користувачів
Параметри наведені в табл. 4.
Таблиця 4
№
п/п
Назва
параметра
Параметр
(Установка)
1 Архивирование файлов и каталогов
(Back up files and directories)
Администраторы
(Administrators)
2 Блокировка страниц в памяти
(Lock pages in memory)
Никто
(None)
3 Восстановление файлов и каталогов Администраторы
№
п/п
Назва
параметра
Параметр
(Установка)
(Restore files and directories) (Administrators)
4 Вход в качестве пакетного задания
(Log on as a batch job)
Никто
(None)
5 Вход в качестве службы
(Log on as a service)
Никто
(None)
6 Выполнение задач по обслуживанию томов
(Perform volume maintenance tasks)
Администраторы
(Administrators)
7 Добавление рабочих станций к домену
(Add workstations to domain)
Администраторы
(Administrators)
8 Доступ к диспетчеру учетных данных от имени доверенного
вызывающего
(Access credential Manager as a trusted caller)
Никто
(No One)
9 Доступ к компьютеру из сети
(Access this computer from the network)
Администраторы
(Administrators)
10 Завершение работы системы
(Shut down the system)
Администраторы,
Пользователи
(Administrators, Users)
11 Загрузка и выгрузка драйверов устройств
(Load and unload device drivers)
Администраторы
(Administrators)
12 Замена маркера уровня процесса
(Replace a process level token)
LOCAL SERVICE,
NETWORK SERVICE
13 Запретить вход в систему
через службу терминалов
(Deny logon through Terminal Services)
Гости, АНОНИМНЫЙ ВХОД
(Guests, ANONYOMUS
LOGON)
14 Запретить локальный вход
(Deny log on locally)
Гости, АНОНИМНЫЙ ВХОД
(Guests, ANONYOMUS
LOGON)
15 Изменение метки обьекта
(Modify an object label)
Никто
(No One)
16 Изменение параметров среды изготовителя
(Modify firmware environment values)
Администраторы
(Administrators)
17 Изменение системного времени
(Change the system time)
Администраторы, LOCAL
SERVICE
(Administrators)
18 Изменение часового пояса
(Change the time zone)
Администраторы, LOCAL
SERVICE
(Administrators)
19 Имитация клиента после проверки подлинности
(Impersonate a client after authentication)
Администраторы, СЛУЖБА,
LOCAL SERVICE,
NETWORK SERVICE
(Administrators, SERVICE)
20 Локальный вход в систему
(Allow log on locally)
Администраторы,
Пользователи
(Administrators, Users)
21 Настройка квот памяти для процесса
(Adjust memory quotas to a process)
Администраторы, СЛУЖБА
(Administrators),
LOCAL SERVICE,
NETWORK SERVICE
22 Обход перекрестной проверки
(Bypass traverse checking)
Прошедшие проверку,
LOCAL SERVICE,
NETWORK SERVICE
23 Отказ в доступе к компьютеру из сети
(Deny access to this computer from the network)
Гости, АНОНИМНЫЙ ВХОД
(Guests, ANONYOMUS
LOGON)
24 Отказ во входе в качестве пакетного задания
(Deny logon as a batch job)
Гости, АНОНИМНЫЙ ВХОД
(Guests, ANONYOMUS
LOGON)
25 Отказ во входе в качестве службы
(Deny log on as a service)
Не определено
( No defined)
№
п/п
Назва
параметра
Параметр
(Установка)
26 Отключение компьютера от стыковочного узла
(Remove computer from docking station)
Администраторы
(Administrators)
27 Отладка программ
(Debug programs)
Никто
(No оne)
28 Принудительное удаленное завершение работы
(Force shutdown from a remote system)
Администраторы
(Administrators)
29 Профилирование одного процесса
(Profile single process)
Администраторы
(Administrators)
30 Профилирование производительности системы
(Profile system performance)
Администраторы
(Administrators)
31 Работа в режиме операционной системы
(Act as part of the operating system)
Никто
(No One)
32 Разрешать вход в систему
через службу удаленных рабочих столов
(Allow logon through Remote Desktop Services)
Администраторы,
(Administrators)
33 Разрешения доверия к учетным записям при делегировании
(Enable computer and user accounts to be trusted for delegation)
Не определено
(Not defined)
34 Синхронизация данных службы каталогов
(Synchronize directory service data)
Никто
(No One)
35 Смена владельцев файлов и других объектов
(Take ownership of files or other objects)
Администраторы
(Administrators)
36 Создание аудитов безопасности
(Generate security audits)
LOCAL SERVICE,
NETWORK SERVICE
37 Создание глобальных объектов
(Create global objects)
Администраторы
(Administrators), LOCAL
SERVICE,
NETWORK SERVICE
38 Создание маркерного объекта
(Create a token object)
Никто
(Nо one)
39 Создание постоянных общих объектов (Create permanent shared
objects)
Никто
(Nо one)
40 Создание символических ссылок
(Create symbolic links)
Никто
(Nо one)
41 Создание файла подкачки
(Create a pagefile)
Администраторы
(Administrators)
42 Увеличение приоритета выполнения (Increase scheduling
priority)
Администраторы
(Administrators)
43 Увеличение рабочего набора процесса
(Increase a process working set)
Администраторы, LOCAL
SERVICE
(Administrators)
44 Управление аудитом и журналом безопасности
(Manage auditing and security log)
Администраторы
(Administrators)
3.3 Параметри безпеки (Параметры безопасности)
Параметри безпеки дозволяють задіяти або відмінити ряд функцій наприклад, цифровий підпис даних,
ім’я облікових записів адміністратора і гостя, доступ к дисководам гнучких та компакт-дисків, установку
драйверів, повідомлення при вході в систему і та ін.
Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною адресою:
Конфигурация компьютера\ Конфигурация Windows\ Параметры безопасности\ Локальные
политики\ Параметры безопасности
Параметри наведені в табл. 5.
Таблиця 5
№
п/п
Назва
параметра
Параметр
(Установка)
1 Учетные записи: состояние учетной записи «Администратор»
(Accounts: Administrator account status)
Отключен
(Disabled)
2 Учетные записи: состояние учетной записи «Гость»
(Accounts: Guest account status)
Отключен
(Disabled)
3 Учетные записи: разрешить использование пустых паролей Включен
№
п/п
Назва
параметра
Параметр
(Установка)
только при консольном входе
(Accounts: Limit local account use of blank passwords to console
logon only)
(Enabled)
4 Учетные записи: Переименование учетной записи
администратора
(Accounts: Rename administrator account)
Рекомендуется3
(Recommend)
5 Учетные записи: Переименование учетной записи гостя
(Accounts: Rename guest account)
Рекомендуется4
(Recommend)
6 Аудит: Аудит доступа глобальных системных объектов
(Audit: Audit the access of global system objects)
Отключен
(Disabled)
7 Аудит: Аудит прав на архивацию и восстановление
(Audit: Audit the use of Backup and Restore privelege)
Отключен
(Disabled)
8 Аудит: Немедленное отключение системы, если невозможно
внести в журнал записи об аудите безопасности
(Audit: Shut down system immediately if unable to log security
audits)
Включен
(Enabled)
9 Аудит: принудительно переопределяет параметры
подкатегории политики аудита параметров категории политики
аудита
(Audit: Force audit policy subcategory settings to override audit
policy category settings)
Включен
(Enabled)
10 Устройства: Разрешать отстыковку без входа в систему
(Devices: Allow undock without having to log on)
Отключен
(Disabled)
11 Устройства: Разрешить форматирование и извлечение
съемных носителей
(Devices: Allowed format and eject removable media)
Администраторы
(Administrators)
12 Устройства: разрешить доступ к дисководам компакт-дисков
только локальным пользователям
(Devices: Restrict CD-ROM access to locally logged-on user only)5
Отключен
(Disabled)
13 Устройства: разрешить доступ к дисководам гибких дисков
только локальным пользователям
(Devices: Restrict floppy access to locally logged-on user only)
Отключен
(Disabled)
14 Устройства: запретить пользователям установку драйверов
принтера
(Devices: Prevent users from installing printer drivers)
Включен
(Enabled)
15 Контроллер домена: разрешить операторам сервера задавать
выполнение заданий по расписанию
(Domain controller: Allow server operators to schedule tasks)
Отключен
(Disabled)
16 Контроллер домена:
Требование цифровой подписи для LDAP сервера
(Domain controller: LDAP server signing requirements)
Нет
17 Контроллер домена:
Запретить изменение пароля учетных записей компьютера
(Domain controller: Refuse machine account password changes)
Отключен
(Disabled)
18 Член домена: Всегда требуется цифровая подпись или
шифрование потока данных безопасного канала
Включен
(Enabled)
3 Корпорація Microsoft рекомендує вибрати для встроєного облікового запису «Адміністратор» інше ім’я і в
подальшому уникати використання імен з явно вираженими ознаками адміністративних повноважень облікових
записів 4 Майкрософт також рекомендує перейменувати цей обліковий запис так, щоб нове ім'я не відображало
призначення цього облікового запису. Навіть при відключенні цього облікового запису (рекомендується), в
цілях додаткової безпеки переконаєтеся в тому, що вона перейменована. 5 Якщо не планується надання користувачам права встановлювати програмне забезпечення на клієнтських
машинах, потрібно встановлювати для даного параметра значення “Включен”. Те ж саме стосується параметра
“Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям”.
№
п/п
Назва
параметра
Параметр
(Установка)
(Domain member: Digitaly encrypt or sign secure channel data
(always))
19 Член домена: Шифрование данных безопасного канала, когда
это возможно
(Domain member: Digitally encrypt secure channel data (when
possible))
Включен
(Enabled)
20 Член домена: Максимальный срок действия пароля учетных
записей компьютера
(Domain member: Maximum machine account password age)
30 дней
(30 days)
21 Член домена: Цифровая подпись данных безопасного канала,
когда это возможно
(Domain member: Digitally sign secure channel data (when
possible))
Включен
(Enabled)
22 Член домена: Отключить изменение пароля учетных записей
компьютера (Domain member: Disable machine account password
changes)
Отключен
(Disabled)
23 Член домена: требовать стойкий ключа сеанса
(Windows 2000 или выше)
(Domain member: Require strong (Windows 2000 or later) session
key)
Включен
(Enabled)
24 Интерактивный вход в систему: Не отображать последнее имя
пользователя (Interactive logon: Do not display last user name)
Включен
(Enabled)
25 Интерактивный вход в систему: Не требовать
нажатия CTRL+ALT+DEL (Interactive logon: Do not
require CTRL+ALT+DEL)
Отключен
(Disabled)
26 Интерактивный вход в систему: Текст сообщения для
пользователей при входе в систему
(Interactive logon: Message text for users attempting to log on)
Вхід тільки для авторизованих
користувачів. Особи, які
здійснюють спроби
несанкціонованого доступу,
переслідуватимуться згідно
із законом
27 Интерактивный вход в систему: Заголовок сообщения для
пользователей при входе в систему (Interactive logon: Message
title for users attempting to log on)
ПРОДОВЖЕННЯ СПРОБ БЕЗ
НАЛЕЖНОЇ АВТОРИЗАЦІЇ Є
ЗЛОЧИНОМ
28 Интерактивный вход в систему: количество предыдущих
подключений к кэшу (в случае отсутствия доступа к
контроллеру домена)
(Interactive logon:
Number of previous logons to cache (in case domain controller is
not available))
0
29 Интерактивный вход в систему: напоминать пользователям об
истечении срока действия пароля заранее
(Interactive logon: Prompt user to change password before
expiration)
5 дней
(5 days)
30 Интерактивный вход в систему: требовать проверки на
контроллере домена для отмены блокировки компьютера
(Interactive logon: Require Domain controller authentication to
unlock workstation)
Включен
(Enabled)
31 Интерактивный вход в систему: требовать смарт-карту
(Interactive logon: Smart card removal behavior)
Отключен
(Disabled)
32 Интерактивный вход в систему: поведение при извлечении
смарт карты
(Interactive Logon: Smart card removal behavior)
Блокировка рабочей станции
33 Интерактивный вход в систему: отображать сведения о
пользователе если сеанс заблокирован
(Interactive Logon: Display user name when workstation locked)
Не отображать вседения о
пользователе
№
п/п
Назва
параметра
Параметр
(Установка)
34 Клиент сети Microsoft:
использовать цифровую подпись (всегда)
(Microsoft network client: Digitally sign communications (always))
Включен
(Enabled)
35 Клиент сети Microsoft:
использовать цифровую подпись (с согласия сервера)
(Microsoft network client: Digitally sign communications (if server
agrees))
Включен
(Enabled)
36 Клиент сети Microsoft: посылать незашифрованный пароль
сторонним SMB-серверам
(Microsoft network client: Send unencrypted password to third-
party SMB servers)
Отключен
(Disabled)
37 Сервер сети Microsoft:
Время бездействия до приостановки сеанса (Microsoft network
server: Amount of idle time required before suspending session)
10 минут
(10 minutes)
38 Сервер сети Microsoft:
Использовать цифровую подпись (всегда)
(Microsoft network server: Digitally sign communications(always))
Включен
(Enabled)
39 Сервер сети Microsoft: Использовать цифровую подпись (с
согласия клиента)
(Microsoft network server: Digitally sign communications (if client
agrees))
Включен
(Enabled)
40 Сервер сети Microsoft:
отключать клиентов по истечении разрешенных часов входа
(Microsoft network server:
Disconnect clients when logon hours expire )
Включен
(Enabled)
41 Доступ к сети: Разрешить трансляцию анонимного SID в имя
(Network access: Allow anonymous SID/Name translation)
Отключен
(Disabled)
42 Сетевой доступ: Не разрешать перечисление учетных записей
SAM анонимными пользователями (Network access: Do not
allow anonymous enumeration of SAM accounts)
Включен
(Enabled)
43 Сетевой доступ: не разрешать перечисление учетных записей
SAM и общих ресурсов анонимными пользователями
(Network access: Do not allow anonymous enumeration of SAM
accounts and shares)
Включен
(Enabled)
44 Сетевой доступ: не разрешать хранение паролей или учетных
данных для сетевой проверки подлинности
Включен
(Enabled)
45 Сетевой доступ: Разрешать применение разрешений «Для всех»
к анонимным пользователям
(Network access: Let Everyone permissions apply to anonymous
users)
Отключен
(Disabled)
46 Сетевой доступ: Разрешать анонимный доступ к именованным
каналам
(Network access: Named Pipes that can be accessed anonymously)
Ни для кого
(No one)
47 Сетевой доступ: Разрешать анонимный доступ к общим
ресурсам
(Network access: (Shares that can be accessed anonymously)
Ни для кого
(No one)
48 Сетевой доступ: удаленно доступные пути реестра (Network
access: Remotely accessible registry paths)
System\CurrentControlSet\Contr
ol\ProductOptions
System\CurrentControlSet\Contr
ol\Server Applications
Software\Microsoft\Windows
NT\CurrentVersion
№
п/п
Назва
параметра
Параметр
(Установка)
49 Сетевой доступ: удаленно доступные пути и вложенные пути
реестра
(Network access: Remotely accessible registry paths and sub-paths)
Software\Microsoft\Windows
NT\CurrentVersion\Print
Software\Microsoft\Windows
NT\CurrentVersion\Windows
System\CurrentControlSet\Contr
ol\Print\Printers
System\CurrentControlSet\Servic
es\Eventlog
Software\Microsoft\OLAP Server
System\CurrentControlSet\Contr
ol\ContentIndex
System\CurrentControlSet\Contr
ol\Terminal Server
System\CurrentControlSet\Contr
ol\Terminal Server\UserConfig
System\CurrentControlSet\Contr
ol\Terminal
Server\DefaultUserConfiguration
Software\Microsoft\Windows
NT\CurrentVersion\Perflib
System\CurrentControlSet\Servic
es\SysmonLog
50 Сетевой доступ: Модель совместного доступа и безопасности
для локальных учетных записей
(Network access: Sharing and security model for local accounts)
Обычная –
локальные пользователи
удостоверяются как они сами
(Classic – local users
authenticate as
themselves)
51 Сетевой доступ: запретить анонимный доступ к именованным
каналам и общим ресурсам
(Network access: Restrict anonymous access to Named Pipes and
Shares)
Включен
(Enabled)
52 Сетевая безопасность: не хранить хеш - значений LAN Manager
при следующей смене пароля
(Network security: do not store LAN Manager hash value on next
password change )
Включен
(Enabled)
53 Сетевая безопасность: принудительный вывод из сеанса по
истечении допустимых часов работы
(Network security: Force logoff when logon hours expire)
Включен
(Enabled)
54 Сетевая безопасность: уровень проверки подлинности LAN
Manager
(Network security: LAN Manager authentication level )
NTLMv2 ответ, отказывать LM
и NTLM
(Send NTLMv2 response
only\refuse
LM and NTLM)
55 Сетевая безопасность: Требование цифровой подписи для
LDAP клиента
(Network security: LDAP client signing requirements)
Согласование цифровой
подписи
(Require signature)
56 Сетевая безопасность: Минимальная сеансовая безопасность
для клиентов на базе NTLM SSP (включая безопасность RPC)
(Network security: Minimum session security for NTLM SSP based
(including secure RPC) clients)
Требовать сеансовую
безопасность NTLMv2,
Требовать 128-битное
шифрование
(Require
NTLMv2 session security,
Require 128 bit Encryption)
57 Сетевая безопасность: Минимальная сеансовая безопасность
для серверов на базе NTLM SSP (включая безопасность RPC)
(Network security: Minimum session security for NTLM SSP based
(including secure RPC)servers)
Требовать сеансовую
безопасность NTLMv2,
Требовать 128-битное
шифрование
( Require NTLMv2 session
security, Require 128 bit
№
п/п
Назва
параметра
Параметр
(Установка)
Encryption)
58 Сетевая безопасность: настройка типов шифрования,
разрешенных Kerberos
DES_CBC_CRC
DES_CBC_MD5
RC4_HMAC_MD5
AES128_HMAC_SHA1
AES256_HMAC_SHA1
Будущие типы шифрования
59 Сетевая безопасность: ограничения NTLM: аудит входящего
трафика NTLM
Не определено
(Not defined)
60 Сетевая безопасность: ограничения NTLM: аудит проверки
подлинности NTLM в этом домене
Не определено
(Not defined)
61 Сетевая безопасность: ограничения NTLM: входящий трафик
NTLM
Не определено
(Not defined)
62 Сетевая безопасность: ограничения NTLM: добавить
исключения для серверов в этом домене
Не определено
(Not defined)
63 Сетевая безопасность: ограничения NTLM: добавить
удаленные серверы в исключения проверки подлинности
NTLM
Не определено
(Not defined)
64 Сетевая безопасность: ограничения NTLM: исходящий трафик
NTLM к удаленным серверам
Не определено
(Not defined)
65 Сетевая безопасность: ограничения NTLM: проверка
подлинности NTLM в этом домене
Не определено
(Not defined)
66 Сетевая безопасность: разрешить LocalSystem использовать
нулевые сеансы
Не определено
(Not defined)
67 Сетевая безопасность: разрешить использование сетевых
удостоверений в запросах проверки подлинности PKU2U к
этому компьютеру
Отключен
(Disabled)
68 Сетевая безопасность: разрешить учетной записи локальной
системы использовать удостоверение компьютера для NTLM
Не определено
(Not defined)
69 Консоль восстановления:
Разрешить Автоматическийй вход администратора
(Recovery console: Allow automatic administrative logon)
Отключен
(Disabled)
70 Консоль восстановления:
Разрешить копирование дискет и доступ ко всем дискам и
папкам
Администратора (Recovery console: Allow floppy copy and
access to all drives and all folders )
Отключен
(Disabled)
71 Завершение работы: разрешить завершение работы системы без
выполнения входа в систему
(Shutdown: Allow system to be shutdown without having to log on)
Отключен
(Disabled)
72 Завершение работы: Очистка файла подкачки виртуальной
памяти
(Shutdown: Clear virtual memory pagefile)
Включен
(Enabled)
73 Системная криптография: Использовать FIPS-совместимые
алгоритмы для шифрования, хеширования и подписывания
(System cryptography: Use FIPS compliant algorithms for
encryption, hashing, and signing)
Отключен
(Disabled)
74 Системная криптография: обязательное применение сильной
защиты ключей пользователей, хранящихся на компьютере
(System cryptography: Force strong key protection for user keys
Пользователь должен вводить
пароль при каждом
№
п/п
Назва
параметра
Параметр
(Установка)
stored on the computer) использовании ключа.
75 Системные объекты: учитывать регистр для подсистем,
отличных от Windows
(System objects: Require case insensitivity for non-Windows
subsystems)
Включен
(Enabled)
76 Системные объекты: усилить разрешения по умолчанию для
внутренних системных объектов
(System objects: Strengthen default permissions of internal system
objects (for example, Symbolic Links))
Включен
(Enabled)
77 DCOM: Ограничения компьютера на доступ в синтаксисе
SDDL (Security Descriptor Definition Language)
Не определено
(Not defined)
78 DCOM: Ограничения компьютера на запуск в синтаксисе
SDDL (Security Descriptor Definition Language)
Не определено
(Not defined)
79 Контроль учетных записей: все администраторы работают в
режиме одобрения администратором
(User Account Control: Run all administrators in Admin Approval
Mode)
Отключен
(Disabled)
80 Контроль учетных записей: обнаружение установки
приложений и запрос на повышение прав
(User Account Control: Detect application installations and prompt
for elevation)
Включен
(Enabled)
81 Контроль учетных записей: переключение к безопасному
рабочему столу при выполнении запроса на повышение прав
(User Account Control: Switch to the secure desktop when
prompting for elevation)
Отключен
(Disabled)
82 Контроль учетных записей: поведение запроса на повышение
прав для администраторов в режиме одобрения
администратором
(User Account Control: Behavior of the elevation prompt for
administrators in Admin Approval Mode)
Запрос учетных данных
83 Контроль учетных записей: поведение запроса на повышение
прав для обычных пользователей
(User Account Control: Behavior of the elevation prompt for
standard users)
Запрос учетных данных
84 Контроль учетных записей: повышать права для UIAccess-
приложений только при установке в безопасных местах
(User Account Control: Only elevate UIAccess applications that are
installed in secure locations)
Включен
(Enabled)
85 Контроль учетных записей: повышение прав только для
подписанных и проверенных исполняемых файлов
(User Account Control: Only elevate executables that are signed
and validated)
Отключен
(Disabled)
86 Контроль учетных записей: при сбоях записи в файл или реестр
виртуализация в место размещения пользователя
(User Account Control: Virtualize file and registry write failures to
per-user locations)
Включен
(Enabled)
87 Контроль учетных записей: разрешить UIAccess-приложениям
запрашивать повышение прав, не используя безопасный
рабочий стол
(User Account Control: Allow UIAccess applications to prompt for
elevation without using the secure desktop)
Отключен
(Disabled)
88 Контроль учетных записей: режим одобрения администратором
для встроенной учетной записи администратора
(User Account Control: Admin Approval Mode for the Built-in
Administrator account)
Отключен
(Disabled)
№
п/п
Назва
параметра
Параметр
(Установка)
89 Параметры системы: использовать правила сертификатов для
исполняемых файлов Windows для политик ограниченного
использования программ
(System settings: Use Certificate Rules on Windows Executables
for Software Restriction Policies)
Отключен
(Disabled)
90 Параметры системы: необязательные подсистемы
(System settings: Optional subsystems)
POSIX
91 Сетевой сервер (Майкрософт): уровень проверки сервером
имени участника-службы конечного объекта
Принимать, если предоставлено
клиентом
Більш детальну інформацію про налаштування параметрів локальної політики можна знайти в
наведених джерелах:
1) Windows 7 Security Guide (Руководство по безопасности Windows 7). Microsoft Corporation, 2009
2) http://go.microsoft.com/fwlink/?LinkId=144505.
4 Журнал подій (Журнал событий)
Параметри журналу подій використовуються для організації запису системних подій. В контейнері
“Журнал событий” групової політики задаються атрибути журналів, пов’язаних з застосуваннями, безпекою і
системними подіями, такі як максимальний розмір журналу, права доступу до кожного журналу, а також
тривалість та способи збереження.
4.1 Параметри безпеки журналу подій (Параметры безопасности журнала событий)
Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною адресою:
Конфигурация компьютера\ Конфигурация Windows\ Параметры безопасности\ Журнал событий
Параметри наведені в табл. 6.
Таблиця 6
№
п/п
Назва
параметра
Параметр
(Установка)
1 Запретить доступ локальной группы гостей к журналу
приложений
(Prevent local guests group from accessing application log)
Включен
(Enabled)
2 Запретить доступ локальной группы гостей к журналу
безопасности
(Prevent local guests group from accessing security log)
Включен
(Enabled)
3 Запретить доступ локальной группы гостей к системному
журналу
(Prevent local guests group from accessing system log)
Включен
(Enabled)
4 Максимальный размер журнала приложений
(Maximum application log size)
32 768 Кбайт
32 768 KB
5 Максимальный размер журнала безопасности
(Maximum security log size)
81 920 Кбайт
81 920 KB
6 Максимальный размер системного журнала
(Maximum system log size)
32 768 Кбайт
32 768 KB
7 Метод сохранения событий в журнале приложений
(Retention method for application log)
Затирать старые события по
необходимости
(As Needed)
8 Метод сохранения событий в журнале безопасности
(Retention method for security log)
Затирать старые события по
необходимости
(As Needed)
9 Метод сохранения событий в системном журнале
(Retention method for system log)
Затирать старые события по
необходимости
(As Needed)
10 Сохранять события в журнале приложений (дней) Не определено
№
п/п
Назва
параметра
Параметр
(Установка)
(Retention method for application log) (Not defined)
11 Сохранять события в журнале безопасности (дней)
(Retention method for security log)
Не определено
(Not defined)
12 Сохранять события в системном журнале (дней)
(Retention method for system log)1
Не определено
(Not defined)
5 Системні служби (Системные службы)
5.1 Параметри налаштування системних служб для комп’ютерів (Параметры настройки
системных служб для компьютеров) Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною адресою:
Конфигурация компьютера\ Конфигурация Windows\ Параметры безопасности\ Системные службы
Параметри наведені в табл. 7.
Таблиця 7
№
п/п
Назва
параметра
Параметр
(Установка)
1. BranchCache Не определено
2. DHCP-клиент Автоматический
3. DNS-клиент Не определено
4. KtmRm для координатора распределенных транзакций Не определено
5. Microsoft .NET Framework NGEN v2.0.50727_X86 Не определено
6. Microsoft .NET Framework NGEN v4.0.30319_X86 Не определено
7. Microsoft .NET Framework NGEN v2.0.50727_X64 Не определено
8. Microsoft .NET Framework NGEN v4.0.30319_X64 Не определено
9. Parental Controls Не определено
10. Plug-and-Play Автоматический
11. Quality Windows Audio Video Experience Не определено
12. Superfetch Не определено
13. Windows Audio Не определено
14. Windows CardSpace Не определено
15. Windows Driver Foundation - User-mode Driver Framework Не определено
16. Windows Search Не определено
17. WMI Performance Adapter Не определено
18. Автонастройка WWAN Не определено
19. Автономные файлы Не определено
20. Агент защиты сетевого доступа Вручную
21. Агент политики IPsec Вручную
22. Адаптивная регулировка яркости Не определено
23. Архивация Windows Вручную
24. Биометрическая служба Windows Не определено
25. Брандмауэр Windows Автоматический
26. Браузер компьютеров Запрещен
27. Веб-клиент Вручную
28. Виртуальный диск Вручную
29. Вспомогательная служба IP Вручную
30. Вторичный вход в систему Вручную
31. Группировка сетевых участников Не определено
32. Дефрагментация диска Вручную
33. Диспетчер Автоматических подключений удаленного доступа Вручную
34. Диспетчер печати Автоматический
35. Диспетчер подключений удаленного доступа Автоматический
36. Диспетчер сеансов диспетчера окон рабочего стола Автоматический
№
п/п
Назва
параметра
Параметр
(Установка)
37. Диспетчер удостоверения сетевых участников Автоматический
38. Диспетчер учетных данных Вручную
39. Диспетчер учетных записей безопасности Автоматический
40. Доступ к HID-устройствам Вручную
41. Журнал событий Windows Автоматический
42. Журналы и оповещения производительности Вручную
43. Защита программного обеспечения Автоматический
44. Защитник Windows Автоматический
45. Защищенное хранилище Автоматический
46. Изоляция ключей CNG Не определено
47. Инструментарий управления Windows Не определено
48. Информация о совместимости приложений Вручную
49. Клиент групповой политики Автоматический
50. Клиент отслеживания изменившихся связей Автоматический
51. Координатор распределенных транзакций Автоматический
52. Кэш шрифтов Windows Presentation Foundation 3.0.0.0 Не определено
53. Ловушка SNMP Вручную
54. Локатор удаленного вызова процедур (RPC) Вручную
55. Маршрутизация и удаленный доступ Запрещен
56. Модули ключей IPsec для обмена ключами в Интернете и
протокола IP с проверкой подлинности
Автоматический
57. Модуль запуска процессов DCOM-сервера Автоматический
58. Модуль поддержки NetBIOS через TCP/IP Автоматический
59. Настройка сервера удаленных рабочих столов Вручную
60. Немедленные подключения Windows - регистратор настройки Вручную
61. Обнаружение SSDP Запрещен
62. Обнаружение интерактивных служб Вручную
63. Общий доступ к подключению к Интернету (ICS) Запрещен
64. Определение оборудования оболочки Автоматический
65. Основные службы доверенного платформенного модуля Вручную
66. Перенаправитель портов пользовательского режима служб
удаленных рабочих столов
Вручную
67. Перечислитель IP-шин PnP-X Запрещен
68. Питание Автоматический
69. Планировщик заданий Автоматический
70. Планировщик классов мультимедиа Вручную
71. Поддержка элемента панели управления "Отчеты о проблемах
и их решениях"
Вручную
72. Политика удаления смарт-карт Вручную
73. Поставщик домашней группы Вручную
74. Проводная автонастройка Вручную
75. Программный поставщик теневого копирования (Microsoft) Автоматический
76. Прослушиватель домашней группы Не определено
77. Протокол PNRP Не определено
78. Публикация ресурсов обнаружения функции Вручную
79. Рабочая станция Автоматический
80. Распространение сертификата Вручную
81. Расширяемый протокол проверки подлинности (EAP) Вручную
82. Сборщик событий Windows Вручную
83. Сведения о приложении Вручную
84. Сервер Автоматический
85. Сервер упорядочения потоков Вручную
86. Сетевой вход в систему Автоматический
87. Сетевые подключения Вручную
88. Система событий COM+ Автоматический
89. Системное приложение COM+ Вручную
90. Служба SSTP Вручную
№
п/п
Назва
параметра
Параметр
(Установка)
91. Служба автоматического обнаружения веб-прокси WinHTTP Вручную
92. Служба автонастройки WLAN Автоматический
93. Служба базовой фильтрации Автоматический
94. Служба ввода планшетного ПК Вручную
95. Служба времени Windows Автоматический
96. Служба загрузки изображений Windows (WIA) Автоматический
97. Служба инициатора Майкрософт iSCSI Вручную
98. Служба интерфейса сохранения сети Вручную
99. Служба кэша шрифтов Windows Автоматический
100. Служба медиаприставки Media Center Вручную
101. Служба модуля архивации на уровне блоков Автоматический
102. Служба общего доступа к портам Net.Tcp Запрещен
103. Служба общих сетевых ресурсов проигрывателя Windows
Media
Вручную
104. Служба перечислителя переносных устройств Вручную
105. Служба планировщика Windows Media Center Вручную
106. Служба поддержки Bluetooth Запрещен
107. Служба политики диагностики Автоматический
108. Служба помощника по совместимости программ Автоматический
109. Служба профилей пользователей Автоматический
110. Служба публикации имен компьютеров PNRP Вручную
111. Служба регистрации ошибок Windows Вручную
112. Служба ресивера Windows Media Center Вручную
113. Служба сведений о подключенных сетях Автоматический
114. Служба списка сетей Вручную
115. Служба технологий активации Windows Вручную
116. Служба уведомления SPP Вручную
117. Служба уведомления о системных событиях Автоматический
118. Служба удаленного управления Windows (WS-Management) Автоматический
119. Служба хранилища Вручную
120. Служба шифрования дисков BitLocker Вручную
121. Служба шлюза уровня приложения Вручную
122. Службы криптографии Автоматический
123. Службы удаленных рабочих столов Вручную
124. Смарт-карта Вручную
125. Сопоставитель конечных точек RPC Автоматический
126. Средство построения конечных точек Windows Audio Вручную
127. Телефония Вручную
128. Темы Не определено
129. Теневое копирование тома Вручную
130. Тополог канального уровня Вручную
131. Удаленный вызов процедур (RPC) Автоматический
132. Удаленный реестр Вручную
133. Удостоверение приложения Автоматический
134. Узел системы диагностики Вручную
135. Узел службы диагностики Вручную
136. Узел универсальных PNP-устройств Вручную
137. Управление приложениями Вручную
138. Управление сертификатами и ключом работоспособности Вручную
139. Установщик ActiveX (AxInstSV) Вручную
140. Установщик Windows Вручную
141. Установщик модулей Windows Вручную
142. Факс Вручную
143. Фоновая интеллектуальная служба передачи (BITS) Автоматический
144. Хост поставщика функции обнаружения Не определено
145. Цветовая система Windows (WCS) Не определено
146. Центр обеспечения безопасности Автоматический
147. Центр обновления Windows Вручную
148. Шифрованная файловая система (EFS) Вручную
6 Налаштування реєстру (Настройка реестра)
В даному підрозділі наведені значення ключів реєстру, які мають відношення до безпеки та можуть
бути налаштовані за допомогою редактора політики.
Параметри наведені в табл. 8.
Таблиця 8
№
п/п
Назва
параметра
Subkey Registry
Value Entry Шлях Format
Зна-
чення
1 Отключить
Автоматическийй вход в
систему
(Disable Automatic Logon)
AutoAdminLogo
n
HKEY_LOCAL_MACHINE\Soft
ware\Microsoft\Windows
NT\CurrentVersion\Winlogon\
Параметр
DWORD
(32 бита)
REG_DWOR
D
0
2 Уровень защиты
маршрутизации IP-
источника
(DisableIPSourceRouting)
DisableIPSource
Routing
HKEY_LOCAL_MACHINE\Syst
em\CurrentControlSet\Services\Tc
pip\Parameters\
Параметр
DWORD
(32 бита)
REG_DWOR
D
0
3 Разрешить
автоматическое
обнаружение нерабочих
сетевых шлюзов (может
привести к отказу в
обслуживании)
(EnableDeadGWDetect)
DeadGWDetect
Default
HKEY_LOCAL_MACHINE\Syst
em\CurrentControlSet\Services\Tc
pip\Parameters\
Параметр
DWORD
(32 бита)
REG_DWOR
D
0
4 Разрешить
переадресацию ICMP для
переопределения
созданных маршрутов
OSPF
(EnableICMPRedirect)
EnableICMPRed
irect
HKEY_LOCAL_MACHINE\Syst
em\CurrentControlSet\Services\Tc
pip\Parameters\
Параметр
DWORD
(32 бита)
REG_DWOR
D
06
5 Отключить автозапуск
для всех дисков
(NoDriveTypeAutoRun)
NoDriveTypeAu
toRun
HKEY_LOCAL_MACHINE\SOF
TWARE\Microsoft\Windows\Curr
entVersion\Policies\Explorer\
Параметр
DWORD
(32 бита)
REG_DWOR
D
FF
6 Разрешить компьютеру не
создавать имена файлов в
формате 8.3
(рекомендуется)
(NtfsDisable8dot3NameCre
ation)
NtfsDisable8dot
3NameCreation
HKEY_LOCAL_MACHINE\Syst
em\
CurrentControlSet\
Control\FileSystem\
Параметр
DWORD
(32 бита)
REG_DWOR
D
1
7 Файлова система (Файловая система)
Стандартні повноваження доступу для файлової системи NTFS підходять для більшості організацій.
Параметри налаштування файлової системи, які описані в цьому підрозділі, рекомендується використовувати в
першу чергу для систем з високим рівнем безпеки.
7.1. Параметри безпеки файлової системи (Параметры безопасности файловой системы)
Відповідні параметри налаштовуються за допомогою редактора політики за зазначеною адресою:
Конфигурация компьютера\ Конфигурация Windows\ Параметры безопасности\ Файловая система
Рекомендовані параметри наведені в табл. 9.
Таблиця 9
6 Зазначений параметр може бути змінено на «Не определен» у випадку використання протоколу маршрутизації
OSPF
Папка або файл
(Папка или файл)
Група
користувачів
(Группа
пользователей)
Рекомендований
Дозвіл
(Рекомендуемое
Разрешение)
Застосовуються до
(Применяются к)
Метод
Успадкування
(Метод
наследования)
C:\Users\
(Папка, яка містить
атрибути робочого
столу та профілів
усіх користувачів,
зазвичай)
Администраторы Полный доступ
Для этой папки, ее
подпапок и фалов
Распространение
Система Полный доступ Для этой папки, ее
подпапок и фалов
Пользователи Чтение и
выполнение
Для этой папки, ее
подпапок и фалов
C:\Progtam
Data\Microsoft\
(Містить дані
документів
застосувань
Майкрософт)
Администраторы Полный доступ Для этой папки, ее
подпапок и фалов
Замена
Система Полный доступ Для этой папки, ее
подпапок и фалов
Пользователи Чтение и
выполнение
Для этой папки, ее
подпапок и фалов
%SystemDrive%\
(Диск, на якому
встановлена ОС
Windows,
містить важливі
файли завантаження
та налагодження
операційної
системи)
Администраторы Полный доступ Для этой папки, ее
подпапок и фалов
Распростране-
ние
Прошедшие
проверку
Траверс
папок/выполнение
файлов, содержание
папки/чтение
данных, чтение
атрибутов, чтение
дополнительных
атрибутов, создание
файлов/запись
даннях, создание
папок/дозапись
даннях, запись
атрибутов, запись
дополнительных
атрибутов,
удаление, чтение
разрешений
Только для папок и
файлов
Создание
папок/дозапись
данных
Только для этой
папка
Система Полный доступ Для этой папки, ее
подпапок и фалов
Пользователи Чтение и
выполнение
Для этой папки, ее
подпапок и фалов
%PROGRAMDATA
%\Microsoft\Window
s\DRM
Все Траверс
папок/выполнение
файлов, содержание
папки/чтение
данных, чтение
атрибутов, чтение
дополнительных
атрибутов, создание
файлов/запись
даннях, создание
папок/дозапись
даннях, запись
атрибутов, запись
дополнительных
атрибутов, удаление
папок и файлов,
Только для этой
папки
‘
Папка або файл
(Папка или файл)
Група
користувачів
(Группа
пользователей)
Рекомендований
Дозвіл
(Рекомендуемое
Разрешение)
Застосовуються до
(Применяются к)
Метод
Успадкування
(Метод
наследования)
чтение разрешений,
смена разрешений,
смена владельца
Полный доступ Только для
подпапок и файлов
Система Полный доступ Только для этой
папки
Гость Все Запрещен Для этой папки, ее
подпапок и файлов
Гости Все Запрещен Для этой папки, ее
подпапок и файлов
Полный доступ Только для
подпапок и файлов
Система Полный доступ Только для этой
папки
Гость Все Запрещен Для этой папки, ее
подпапок и файлов
Гости Все Запрещен Для этой папки, ее
подпапок и файлов
C:\windows\system3
2\appmgmt
Администраторы Полный доступ Для этой папки, ее
подпапок и файлов
Все Полный доступ Только для этой
папки
Система Полный доступ Для этой папки, ее
подпапок и файлов
%Systemroot%\confi
g\default
Администраторы Полный доступ Для этого файла
Система Полный доступ Для этого файла
%Systemroot%\confi
g\sam
Администраторы Полный доступ Для этого файла
Система Полный доступ Для этого файла
%Systemroot%\confi
g\security
Администраторы Полный доступ Для этого файла
Система Полный доступ Для этого файла
%Systemroot%\confi
g\software
Администраторы Полный доступ Для этого файла
Система Полный доступ Для этого файла
%Systemroot%\confi
g\system
Администраторы Полный доступ Для этого файла
Система Полный доступ Для этого файла
8 Налаштування мережевого екрану
Для налаштування мережевого екрану необхідно створити (або завантажити) файл tune.bat та виконати
його з правами адміністратора. Після виконання командного файлу ЕОМ автоматично перезавантажиться.
Зміст файлу tune.bat:
@echo off
SET FFPATH=C:\OPCIS\ClientFF.exe
SET FAPATH=C:\OPCIS\ClientFA.exe
SET FCPATH=C:\OPCIS\ClientFC.exe
SET FDPATH=C:\OPCIS\ClientFD.exe
SET UPPATH=C:\OPCIS\Update.exe
SET SMC=HKLM\Software\Policies\Microsoft\WindowsFirewall
reg add %SMC% /f
reg add %SMC%\PrivateProfile /f
reg add %SMC%\PrivateProfile /v DisableStealthMode /t REG_DWORD /d 1 /f
reg add %SMC%\PublicProfile /f
reg add %SMC%\PublicProfile /v DisableStealthMode /t REG_DWORD /d 1 /f
reg add %SMC%\StandardProfile /f
reg add %SMC%\StandardProfile /v DisableStealthMode /t REG_DWORD /d 1 /f
netsh advfirewall firewall add rule name="PPL33-35 (Agent)" dir=in action=allow program=%FAPATH%
netsh advfirewall firewall add rule name="PPL33-35 (Agent)" dir=out action=allow program=%FAPATH%
netsh advfirewall firewall add rule name="PPL33-35 (Customs)" dir=in action=allow program=%FCPATH%
netsh advfirewall firewall add rule name="PPL33-35 (Customs)" dir=out action=allow program=%FCPATH%
netsh advfirewall firewall add rule name="PPL33-35 (Forwarder)" dir=in action=allow program=%FFPATH%
netsh advfirewall firewall add rule name="PPL33-35 (Forwarder)" dir=out action=allow program=%FFPATH%
netsh advfirewall firewall add rule name="PPL33-35 (Dispatcher)" dir=in action=allow program=%FDPATH%
netsh advfirewall firewall add rule name="PPL33-35 (Dispatcher)" dir=out action=allow program=%FDPATH%
netsh advfirewall firewall add rule name="PPL33-35 (Update)" dir=in action=allow program=%UPPATH%
netsh advfirewall firewall add rule name="PPL33-35 (Update)" dir=out action=allow program=%UPPATH%
shutdown /r /t 300
ЦЕНТР ОБРОБКИ ДАНИХ:
ЗАМОВНИК
Товариство з обмеженою відповідальністю «ППЛ
33-35»
Директор комерційний_________ А.В.Шевчук
Додаток №4
до Договору про надання послуг з технічної
підтримки та обслуговування Інформаційної
системи портового співтовариства
від «___» _______ 2013 року
І Н С Т Р У К Ц І Я
з інсталяції та конфігурування параметрів безпеки ОС
Windows XP Professional SP2
Вступ
Корпорація Microsoft разом з носієм ОС Windows XP Professional SP2 постачає документацію, яка
містить детальні інструкції щодо установки ОС та додаткові відомості.
Інструкції щодо установки та інші відомості, які наведені в цих документах рекомендується
використовувати під час установки ОС Windows XP Professional SP2 на АРМ користувачів.
В документі розглядається конфігурування параметрів безпеки операційної системи Windows XP
Professional SP2.
Значення параметрів безпеки наведені в табл. 1-20. Для параметрів, які несуттєві для безпеки, значення
не вказані.
1 Засоби, які використовуються для конфігурування параметрів безпеки
Для конфігурування параметрів безпеки застосовуються вбудовані системні компоненти ОC Windows
XP Professional SP2 такі як:
- Редактор групових політик (далі редактор політики);
- Редактор реєстру.
1.3 Запуск редактора політик
Запуск редактора політики здійснюється шляхом виконання в командному рядку команди «gpedit.msc».
1.4 Запуск редактора реєстру
Запуск редактора реєстру здійснюється шляхом виконання в командному рядку команди «regedit.exe».
2 Політика облікових записів
Політика облікових записів містить параметри безпеки для паролів і блокування облікових записів.
2.1 Політика паролів
Параметри налаштовуються за допомогою редактора політики за адресою:
Конфігурація комп’ютера\ Конфігурація Windows\ Параметри безпеки\ Політика облікових записів\
Політика паролів
Параметри наведені в табл. 1.
Таблиця 1
№
п/п
Назва
параметра
Параметр
(Установка)
1 Вимагати неповторюваність паролів
(Enforce password history)
24 збережених паролів
(24 passwords remembered)
2 Максимальний термін дії пароля
(Maximum password age)
42 дні
(42 days)
3 Мінімальний термін дії пароля
(Minimum password age)
30 днів
(30 days)
4 Мінімальна довжина пароля
(Minimum password lengths)
8
5 Пароль повинен відповідати вимогам складності (Password
must meet complexity requirements)
Включений
(Enabled)
6 Зберігати паролі всіх користувачів у домені, використовуючи
зворотне шифрування (Store password using reversible
encryption for all users in the domain)
Відключений
(Disabled)
2.2 Політика блокування облікового запису
Параметри налаштовуються за допомогою редактора політики за адресою:
Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Політики облікових записів\
Політика блокування облікового запису
Параметри наведені в табл. 2.
Таблиця 2
№
п/п
Назва
параметра
Параметр
(Установка)
1 Блокування облікового запису на
(Account lockout duration)
30 хвилин
(30 minutes)
2 Граничне значення блокування
(Account lockout duration)
10 помилок входу до системи
(10 invalid logon attempts)
3 Скидання лічильника блокування через (Reset account lockout
counter after)
30 хвилин
(30 minutes)
3 Параметри локальної політики
3.1 Політика аудиту
Параметри налаштовуються за допомогою редактора політики за адресою:
Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Локальні політики\ Політика
аудиту
Параметри наведені в табл. 3.
Таблиця 3
№
п/п
Назва
параметра
Параметр
(Установка)
1 Аудит входу до системи
(Audit account logon events)
Успіх, Відмова
(Success, Failure)
2 Аудит керування обліковими записами
(Audit account management)
Успіх, Відмова
(Success, Failure)
3 Аудит доступу до служби каталогів
(Audit directory service access)
Немає аудита
(No auditing)
4 Аудит подій входу в систему
(Audit logon events)
Успіх, Відмова
(Success, Failure)
5 Аудит доступу до об'єктів
(Audit object access)
Успіх, Відмова
(Success, Failure)
6 Аудит зміни політики
(Audit policy change)
Успіх
(Success)
7 Аудит використання привілеїв
(Audit privilege use)
Відмова
(Failure)
8 Аудит відстеження процесів
(Audit process traking)
Немає аудиту
(No auditing)
№
п/п
Назва
параметра
Параметр
(Установка)
9 Аудит системних подій
(Audit system events)
Успіх, Відмова
(Success, Failure)
3.2 Параметри призначення прав користувачів
Параметри налаштовуються за допомогою редактора політики за зазначеною адресою:
Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Локальні політики\ Призначення
прав користувачів
Параметри наведені в табл. 4.
Таблиця 4
№
п/п
Назва
параметра
Параметр
(Установка)
1 Доступ до комп'ютера з мережі
(Access this computer from the network)
Не визначено (Not defined)
/Ніхто (No One)
2 Робота в режимі операційної системи
(Act as part of the operating system)
Ніхто
(No One)
3 Додавання робочих станцій до домену
(Add workstations to domain)
Не визначено (Not defined) /
Ніхто (No One)
4 Настроювання квот пам'яті для процесу
(Adjust memory quotas to a process)
Адміністратори
(Administrators),
LOCAL SERVICE
5 Дозволяти вхід у систему
через службу терміналів
(Allow logon through Terminal Service)
Не визначено
(Not defined) /
Ніхто (No One)
6 Архівування файлів і каталогів
(Back up files and directories)
Адміністратори
(Administrators)
7 Обхід перехресної перевірки
(Bypass traverse checking)
Користувачі
Адміністратори
(Users, Administrators)
8 Зміна системного часу
(Change the system time)
Адміністратори
(Administrators)
9 Створення сторінкового файлу
(Create a pagefile)
Адміністратори
(Administrators)
10 Створення маркерного об'єкта
(Create a token object)
Ніхто
(Nо one)
11 Створення постійних об'єктів спільного використання
(Create permanent shared objects)
Ніхто
(Nо one)
12 Налагодження програм
(Debug programs)
Ніхто
(Nо one)
13 Відмова в доступі до комп'ютера з мережі
(Deny access to this computer from the network)
Не визначено
(Not defined) /
Всі, АНОНІМНИЙ ВХІД
(Everyone, ANONYOMUS
LOGON)
14 Відмова у вході як пакетне завдання
(Deny logon as a batch job)
Не визначено
(Not defined)
15 Відмова у вході як служба
(Deny logon as a service)
Не визначено
(Not defined)
16 Відхилити локальний вхід
(Deny logon locally)
Support_388945a, Guest, Any
service accounts
17 Заборонити вхід у систему
через службу терміналів
(Deny logon through Terminal Services)
Не визначено
(Not defined)
Всі, АНОНІМНИЙ ВХІД
(Everyone, ANONYOMUS
LOGON)
18 Дозвіл довіри до облікових записів при делегуванні
(Eanble computer and user accounts to be trusted for delegation)
Ніхто
(Nо one)
19 Примусове вилучення завершення
(Force shutdown from a remote system)
Не визначено (Not defined) /
Ніхто (No оne)
20 Створення журналів безпеки
(Generate security audits)
LOCAL SERVICE
21 Збільшення пріоритету диспетчерування Адміністратори
№
п/п
Назва
параметра
Параметр
(Установка)
(Increase scheduling priority) (Administrators)
22 Завантаження й вивантаження драйверів пристроїв
(Load and unload device drivers)
Адміністратори
(Administrators)
23 Закріплення сторінок у пам'яті
(Lock pages in memory)
Не визначено
(Not defined)
24 Вхід як пакетне завдання
(Log on as a batch job)
Ніхто
(No оne)
25 Вхід як служба
(Log on as a service)
Ніхто
(No оne)
26 Локальний вхід у систему
(Log on locally)
Адміністратори
Користувачі,
(Administrators, Users)
27 Керування аудитом і журналом безпеки
(Manage auditing and security log)
Адміністратори
(Administrators)
28 Зміна параметрів середовища устаткування
(Modify firmware environment values)
Адміністратори
(Administrators)
29 Запуск операцій по обслуговуванню тому
(Perform volume main tence tasks)
Адміністратори
(Administrators)
30 Профілювання одного процесу
(Profile single process)
Адміністратори
(Administrators)
31 Профілювання завантаженості системи
(Profile system performance)
Адміністратори
(Administrators)
32 Витягання комп'ютера зі стикувального вузла
(Remove computer from docking station)
Не визначено (Not defined)
Адміністратори
Користувачі
(Administrators, Users)
33 Заміна маркера рівня процесу
(Replace a process level token)
LOCAL SERVICE
34 Відновлення файлів і каталогів
(Restore files and directories)
Адміністратори
(Administrators)
35 Завершення роботи системи
(Shut down the system)
Адміністратори,
Користувачі
(Administrators, Users)
36 Синхронізація даних служби каталогів
(Synchronize directory service data)
Не визначено
(Not defined)
37 Оволодіння файлами або іншими об’єктами
(Take ownership of files or other objects)
Адміністратори
(Administrators)
3.3 Параметри безпеки
Параметри налаштовуються за допомогою редактора політики за адресою:
Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Локальні політики\ Параметри
безпеки
Параметри наведені в табл. 5.
Таблиця 5
№
п/п
Назва
параметра
Параметр
(Установка)
1 Облікові записи: стан облікового запису Адміністратор
(Accounts: Administrator account status)
Відключений
(Disabled)
2 Облікові записи: стан облікового запису Гість
(Accounts: Guest account status)
Відключений
(Disabled)
3 Облікові записи: обмежити використання порожніх паролів
тільки для консольного входу
(Accounts: Limit local account use of blank passwords to console
logon only)
Включений
(Enabled)
4 Облікові записи: Перейменування облікового запису
адміністратора
(Accounts: Rename administrator account)
Рекомендується перейменування
облікового запису
5 Облікові записи: Перейменування облікового запису гостя Рекомендується перейменування
№
п/п
Назва
параметра
Параметр
(Установка)
(Accounts: Rename guest account) облікового запису
6 Аудит: Аудит доступу глобальних системних об'єктів
(Audit: Audit the access of global system objects)
Включений
(Enabled)
7 Аудит: Аудит прав на архівацію й відновлення
(Audit: Audit the use of Backup and Restore privilege)
Включений
(Enabled)
8 Аудит: Негайне відключення системи, якщо неможливо внести
в журнал запису про аудит безпеки
(Audit: Shut down system immediately if unable to log security
audits
Відключений
(Disabled)
9 Пристрої: Дозволяти відстиковку без входу до системи
(Devices: Allow undock without having to log on)
Відключений
(Disabled)
10 Пристрої: Дозволено форматувати й витягати знімні носії
(Devices: Allowed format and eject removable media)
Адміністратор
(Administrators)
12 Пристрої: дозволити доступ до дисководів компакт-дисків
тільки локальним користувачам
(Devices: Restrict CD-ROM access to locally logged-on user only)
Відключений
(Disabled)
13 Пристрої: дозволити доступ до дисководів гнучких дисків
тільки локальним користувачам
(Devices: Restrict floppy access to lcocally logged-on user only)
Відключений
(Disabled)
14 Пристрої: поводження при установці непідписного драйвера
(Devices: Unsigned driver installation behavior)
Не дозволяти установку
(Do not allow installation)
15 Контролер домену: дозволити операторам сервера задавати
виконання завдань за розкладом
(Domain controller: Allow server operators to schedule tasks)
Не визначено
(Not defined)
16 Контролер домену: Вимоги підписування для LDAP сервера
(Domain controller: LDAP server signing requirements)
Не визначено
(Not defined)
17 Контролер домену: Заборонити зміну пароля облікових записів
комп'ютера
(Domain controller: Refuse machine account password changes)
Не визначено
(Not defined)
18 Член домену: Завжди потрібний цифровий підпис або
шифрування потоку даних безпечного каналу
(Domain member: Digitaly encrypt or sign secure channel data
(always))
Не визначено
(Not defined)
19 Член домену: Шифрування даних безпечного каналу, коли це
можливо
(Domain member: Digitally encrypt secure channel data (when
possible))
Не визначено
(Not defined)
20 Член домену: Максимальний термін дії пароля облікових
записів комп'ютера
(Domain member: Maximum machine account password age)
Не визначено
(Not defined)
21 Член домену: Цифровий підпис даних безпечного каналу, коли
це можливо
(Domain member: Digitally sign secure channel data (when
possible))
Не визначено
(Not defined)
22 Член домену: Відключити заміну пароля облікових записів
комп'ютера
(Domain member: Disable machine account password changes)
Не визначено
(Not defined)
23 Член домену: вимагає стійкого ключа сеансу
(Domain member: Require strong (Windows 2000 or later) session
key)
Не визначено
(Not defined)
24 Інтерактивний вхід у систему: Не відображати останнього імені
користувача
(Interactive logon: Do not display last user name)
Включений
(Enabled)
№
п/п
Назва
параметра
Параметр
(Установка)
25 Інтерактивний вхід у систему: Не вимагати натискання
CTRL+ALT+DEL (Interactive logon: Do not require
CTRL+ALT+DEL)
Відключений
(Disabled)
26 Інтерактивний вхід у систему: Текст повідомлення для
користувачів при вході в систему (Interactive logon: Message
text for users attempting to logon)
Вхід тільки для авторизованих
користувачів.
27 Інтерактивний вхід у систему: Заголовок повідомлення для
користувачів при вході в систему
(Interactive logon: Message title for users attempting to logon)
ПРОДОВЖЕННЯ СПРОБ БЕЗ
НАЛЕЖНОЇ АВТОРИЗАЦІЇ Є
ЗЛОЧИНОМ
28 Інтерактивний вхід у систему: кількість попередніх підключень
до кешу (у випадку відсутності доступу до контролера домену)
(Interactive logon: Number of previous logons to cache (in case
domain controller is not available))
Не визначено
(Not defined)
29 Інтерактивний вхід у систему: нагадувати користувачам про
витікання терміну дії пароля заздалегідь
(Interactive logon: Prompt user to change password before
expiration)
7 днів
(7 days)
30 Інтерактивний вхід у систему: вимагати перевірки на
контролері домену для скасування блокування робочої станції
(Interactive logon: Require Domain controller authentication to
unlock workstation)
Відключений
(Disabled)
31 Інтерактивний вхід у систему: поводження при добуванні
смарт-карти
(Interactive logon: Smart card removal behavior
Блокування робочої станції
(Lock Workstation)
32 Клієнт мережі Microsoft:
використати цифровий підпис (завжди)
(Microsoft network client: Digitally sign communications (always))
Не визначено
(Not defined)
33 Клієнт мережі Microsoft: використати цифровий підпис (за
згодою сервера)
(Microsoft network client: Digitally sign communications (if server
agrees))
Не визначено
(Not defined)
34 Клієнт мережі Microsoft: посилати незашифрований пароль
стороннім SMB-серверам
(Microsoft network client: Send unencrypted password to third-
party SMB servers)
Не визначено
(Not defined)
35 Сервер мережі Microsoft: тривалість простою перед
відключенням сеансу
(Microsoft network server: Amount of idle time required before
suspending session)
Не визначено
(Not defined)
36 Сервер мережі Microsoft:
Використати цифровий підпис (завжди)
(Microsoft network server: Digitally sign communications (always))
Не визначено
(Not defined)
37 Сервер мережі Microsoft: Використати цифровий підпис (за
згодою клієнта)
(Microsoft network server: Digitally sign communications (if client
agrees))
Не визначено
(Not defined)
38 Сервер мережі Microsoft: відключати клієнтів після закінчення
дозволених годин входу
(Microsoft network server:
Disconnect clients when logon hours expire)
Не визначено
(Not defined)
39 Доступ до мережі: Дозволити трансляцію анонімного SID в ім'я
(Network access: Allow anonymous SID/Name translation)
Не визначено
(Not defined)
№
п/п
Назва
параметра
Параметр
(Установка)
40 Мережний доступ: Не дозволяти перерахування облікових
записів SAM анонімним користувачам
(Network access: Do not allow anonymous enumeration of SAM
accounts)
Не визначено (Not defined) /
Включений (Enabled)
41 Мережний доступ: не дозволяти перерахування облікових
записів SAM і загальних ресурсів анонімним користувачам
(Network access: Do not allow anonymous enumeration of SAM
accounts and shares)
Не визначено
(Not defined) /
Включений (Enabled)
42 Мережний доступ: не дозволяти збереження облікових даних
або цифрових паспортів .NET для мережної перевірки
дійсності користувача
(Network access: Do not allow storage of credentials or .NET
Passports for network authentication )
Не визначено
(Not defined) /
Включений (Enabled)
43 Мережний доступ: Дозволяти застосування дозволів для всіх
до анонімних користувачів
(Network access: Let Everyone permissions apply to anonymous
users)
Не визначено
(Not defined) /
Включений (Enabled)
44 Мережний доступ: Дозволяти анонімний доступ до іменованих
каналів
(Network access: Named Pipes that can be accessed anonymously)
Не визначено
(Not defined)
45 Мережний доступ: Дозволяти анонімний доступ до загальних
ресурсів
(Network access: (Shares that can be accessed anonymously)
Відключений
(Disabled)
46 Мережний доступ: Шляхи в реєстрі доступні через вилучене
підключення
(Network access: Remotely accessible registry paths)
Не визначено
(Not defined)
47 Мережний доступ: Модель спільного доступу й безпеки для
локальних облікових записів
(Network access: Sharing and security model for local accounts)
Не визначено
(Not defined)
48 Мережна безпека: не зберігати хеш - значень LAN Manager при
наступній зміні пароля
(Network security: do not store LAN Manager hash value on next
password change)
Не визначено
(Not defined)
49 Мережна безпека: примусовий вивід із сеансу після закінчення
припустимих годин роботи
(Network security: Force logoff when logon hours expire)
Не визначено
(Not defined)
50 Мережна безпека: рівень перевірки дійсності LAN Manager
(Network security: LAN Manager authentication level)
Не визначено
(Not defined)
51 Мережна безпека: Вимоги підписування для LDAP клієнта
(Network security: LDAP client signing requirements)
Не визначено
(Not defined)
52 Мережна безпека: Мінімальна сеансова безпека для клієнтів на
базі NTLM SSP (включаючи безпеку RPC)
(Network security: Minimum session security for NTLM SSP based
(including secure RPC) clients)
Не визначено
(Not defined)
53 Мережна безпека: Мінімальна сеансова безпека для
серверів на базі NTLM SSP (включаючи безпеку RPC)
(Network security: Minimum session security for NTLM SSP based
(including secure RPC) servers)
Не визначено
(Not defined)
54 Консоль відновлення: Дозволити автоматичний вхід
адміністратора
(Recovery console: Allow automatic administrative logon)
Відключений
(Disabled)
55 Консоль відновлення: Дозволити копіювання дискет і доступ
до всіх дисків та папок Адміністратора
(Recovery console: Allow floppy copy and access to all drives and
all folders)
Відключений
(Disabled)
56 Завершення роботи: дозволити завершення роботи системи без Відключений
№
п/п
Назва
параметра
Параметр
(Установка)
виконання входу в систему
(Shutdown: Allow system to be shutdown without having to log on)
(Disabled)
57 Завершення роботи: Очищення сторінкового файлу віртуальної
пам'яті
(Shutdown: Clear virtual memory pagefile)
Включений
(Enabled)
58 Системна криптографія: Використати FIPS-сумісні алгоритми
для шифрування, хеширування й підписування (System
cryptography: Use FIPS compliant algorithms for encryption,
hashing, and signing)
Відключений
(Disabled)
59 Системні об'єкти: Власник за замовчуванням для об'єктів,
створених членами групи адміністраторів
(System objects: Default owner for objects created by members of
the Administrators group)
Творець об'єкта
(Object creator)
60 Системні об'єкти: Ураховувати регістр для підсистем,
відмінних від Windows
(Require case insensitivity for non-Windows subsystems)
Включений
(Enabled)
61 Системні об'єкти: Підсилити дозвіл за замовчуванням для
внутрішніх системних об'єктів (наприклад, символічних
посилань)
(System objects: Strengthen default permissions of internal system
objects (e.g. Symbolic links))
Включений
(Enabled)
4 Журнал подій
4.1 Параметри безпеки журналу подій
Параметри налаштовуються за допомогою редактора політики за адресою:
Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Журнал подій
Параметри наведені в табл. 6.
Таблиця 6
№
п/п
Назва
параметра
Параметр
(Установка)
1 Максимальний розмір журналу додатків
(Maximum application log size)
100032 Кбайт
100032 KB
2 Максимальний розмір журналу безпеки
(Maximum security log size)
100032 Кбайт
100032 KB
3 Максимальний розмір системного журналу
(Maximum system log size)
100032 Кбайт
100032 KB
4 Заборонити доступ локальної групи гостей до журналу додатків
(Prevent local guests group from accessing application log)
Включений
(Enabled)
5 Заборонити доступ локальної групи гостей до журналу безпеки
(Prevent local guests group from accessing security log)
Включений
(Enabled)
6 Заборонити доступ локальної групи гостей до системного
журналу
(Prevent local guests group from accessing system log)
Включений
(Enabled)
7 Збереження подій у журналі додатків (днів)
(Retention method for application log)
Не визначено
(Not defined)
8 Збереження подій у журналі безпеки (днів)
(Retention method for security log)
Не визначено
(Not defined)
9 Збереження подій у системному журналі (днів)
(Retention method for system log)
Не визначено
(Not defined)
10 Збереження подій у журналі додатків
(Retention method for application log)
У міру потреби
(As Needed)
11 Збереження подій у журналі безпеки
(Retention method for security log)
У міру потреби
(As Needed)
12 Збереження подій у системному журналі
(Retention method for system log)
У міру потреби
(As Needed)
5 Системні служби
5.1 Параметри налаштування системних служб для комп'ютерів Параметри налаштовуються за допомогою редактора політики за адресою:
Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Системні служби
Параметри наведені в табл. 7.
Таблиця 7
№
п/п
Назва
параметра
Параметр
(Установка)
1 Оповіщувач
(Alerter)
Відключено
(Disabled)
2 Служба шлюзу рівня додатків
(Application Layer Gateway Service)
Відключено
(Disabled)
3 Керування додатками
(Application Management)
Вручну
(Manual)
4 Machine Debug Manager Відключено
(Disabled)
5 Автоматичне відновлення
(Automatic Updates)
Відключено
(Disabled)
6 Фонова інтелектуальна служба передачі
(Background Intelligent Transfer Service)
Відключено
(Disabled)
7 Сервер папки обміну
(ClipBook)
Відключено
(Disabled)
8 Система подій COM+
(COM+ Event System )
Вручну
(Manual)
9 Системний додаток COM+
(COM+ System Application)
Вручну
(Manual)
10 Оглядач комп'ютерів
(Computer Browser)
Відключено
(Disabled)
11 Служби криптографії
(Crytpographic Services)
Авто
(Auto)
12 DHCP-клієнт
(DHCP-client)
Відключено/Авто
(Disabled/Auto)
13 Клієнт відстеження зв'язків, що змінилися
(Distributed Link Tracking Client)
Вручну
(Manual)
14 Координатор розподілених транзакцій
(Distributed Transaction Coordinator)
Вручну
(Manual)
15 DNS – клієнт
(DNS Client)
Відключено/Авто
(Disabled/Auto)
16 Служба реєстрації помилок
(Error Reporting Service)
Авто
(Auto)
17 Журнал подій
(Event Log)
Авто
(Auto)
18 Сумісність швидкого перемикання користувачів
(Fast User Switching Compatibility
Відключено
(Disabled)
19 Служба факсів
(Fax)
Відключено
(Disabled)
20 Довідка й підтримка
(Help and Support)
Авто
(Auto)
21 Доступ до HID - пристроїв
(Human Interface Device Access)
Відключено
(Disabled)
22 Служба COM запису компакт –дисків IMAPI
(IMAPI CD-Burning COM Service)
Відключено
(Disabled)
23 Служба індексування
(Indexing Service)
Відключено
(Disabled)
24 Брандмауер Інтернету (ICF)/Загальний доступ до Інтернету
(ICS)
(Internet Connection Firewall (ICF)/Internet Connection Sharing
(ICS))
Відключено
(Disabled)
25 Служба IPSec
(IPSec Services)
Авто
(Auto)
26 Диспетчер логічних дисків
(Logical Disk Manager
Вручну
(Manual)
27 Служба адміністрування диспетчера логічних дисків Вручну
№
п/п
Назва
параметра
Параметр
(Установка)
(Logical Disk Manager Administrative Service) (Manual)
28 Служба повідомлень
(Messenger)
Відключено
(Disabled)
29 Microsoft Software Shadow Copy Provider Вручну
(Manual)
30 Мережний вхід у систему
(Net logon)
Відключено
(Disabled)
31 Вилучене керування робочим столом в NetMeeting
(NetMeeting Remote Desktop Sharing)
Відключено
(Disabled)
32 Мережні підключення
(Network connections)
Вручну
(Manual)
33 Служба мережного DDE
(Network DDE)
Відключено
(Disabled)
34 Диспетчер мережного DDE
(Network DDE DSDM)
Відключено
(Disabled)
35 Служба мережного розташування (NLA)
(Network Location Awareness (NLA))
Вручну
(Manual)
36 Постачальник підтримки безпеки NTLM
(NTLM Security Support Provider)
Авто
(Auto)
37 Журнали оповіщення продуктивності
(Performance Logs and Alerts)
Вручну
(Manual)
38 Plug and Play
Авто
(Auto)
39 Серійний номер переносного медіа-пристрою
(Portable Media Serial Number)
Відключено
(Disabled)
40 Диспетчер черги печатки
(Print Spooler)
Авто
(Auto)
41 Захищене сховище
(Protected Storage)
Авто
(Auto)
42 Qo RSVP
Відключено
(Disabled)
43 Диспетчер Авто (Auto)- підключень вилученого доступу
(Remote Access Auto Connection Manager)
Відключено
(Disabled)
44 Диспетчер підключень вилученого доступу
(Remote Access Connection Manager)
Відключено
(Disabled)
45 Диспетчер сеансу довідки для вилученого робочого стола
(Remote Desktop Help Session Manager)
Відключено
(Disabled)
46 Вилучений виклик процедур (RPC)
(Remote Procedure Call(RPC))
Авто
(Auto)
47 Локатор вилученого виклику процедур (RPC)
(Remote Procedure Call (RPC) Locator)
Вручну
(Manual)
48 Вилучений реєстр
(Remote Registry)
Відключено
(Disabled)
49 Знімні ЗП
(Removable Storage)
Відключено
(Disabled)
50 Маршрутизація й вилучений доступ
(Routing and Remote Access)
Відключено
(Disabled)
51 Вторинний вхід у систему
(Secondary Logon)
Авто
(Auto)
52 Диспетчер облікових записів безпеки
(Security Accounts Manager)
Авто
(Auto)
53 Сервер
(Server)
Авто
(Auto)
54 Визначення встаткування оболонки
(Shell Hardware Detection)
Авто
(Auto)
55 Смарт-карти
(Smart Card)
Вручну
(Manual)
56 Модуль підтримки смарт-карт
(Smart Card Helper )
Вручну
(Manual)
57 Служба виявлення SSDP
(SSDP Discovery Service)
Відключено
(Disabled)
№
п/п
Назва
параметра
Параметр
(Установка)
58 Повідомлення про системні події
(System Event Notification)
Авто
(Auto)
59 Служба відновлення системи
(System Restore Service)
Вручну
(Manual)
60 Планувальник завдань
(Task Scheduler)
Відключено
(Disabled)
62 Телефонія
(Telephony)
Відключено
(Disabled)
63 Telnet
Відключено
(Disabled)
64 Служби терміналів
(Terminal Service)
Відключено
(Disabled)
65 Теми
(Themes)
Авто
(Auto)
66 Джерело безперебійного живлення
(UPS)
Вручну
(Manual)
67 Вузол універсальних PnP-пристроїв
(Universal Plug and Play Device Host)
Відключено
(Disabled)
68 Диспетчер відвантаження
(Upload Manager)
Вручну
(Manual)
69 Тіньове копіювання тому
(Volume Shadow Copy)
Вручну
(Manual)
70 Веб-клієнт
(WebClient)
Авто
(Auto)
71 Windows Audio
Вручну
(Manual)
72 Служба завантаження зображень (WIA)
(Windows Image Acquisition (WIA))
Відключено
(Disabled)
73 Windows Installer
Вручну
(Manual)
74 Інструментарій керування Windows
(Windows Management Instrumentation)
Авто
(Auto)
75 Розширення драйверів WMI
(Windows Management Instrumentation Driver Extension)
Вручну
(Manual)
76 Служба часу Windows
(Windows Time)
Відключено
(Disabled)
77 Бездротове настроювання
(Wireless Zero Configuration)
Відключено
(Disabled)
78 Адаптер продуктивності WMI
(WMI Performance Adapter)
Відключено
(Disabled)
79 Робоча станція
(Workstation)
Авто
(Auto)
80 Центр забезпечення безпеки
(Security Center)
Відключено
(Disabled)
81 Протокол HTTP SSL
(HTTP SSL)
Авто
(Auto)
82 Служба забезпечення мережі
(Network Support)
Авто
(Auto)
6 Налаштування реєстру
Параметри налаштовуються за допомогою редактора реєстру.
Параметри наведені в табл. 8.
Таблиця 8
№
п/п
Назва
параметра
Subkey Registry
Value Entry Шлях Format
Зна-
чення
1 Відключення
автозапуску для всіх
дисків
(Disable Autorun for all
drives)
NoDriveType
AutoRun
HKEY_LOCAL_MACHINE\SOFT
WARE\Microsoft\
Windows\Current
Version\Policies\
Explorer\ registry key
DWORD
0xFF
№
п/п
Назва
параметра
Subkey Registry
Value Entry Шлях Format
Зна-
чення
2 Час у секундах перед
завершенням пільгового
періоду екрана заставки
(The time in seconds
before the screen saver
grace period expires (0
recommended))
ScreenSaver
Grace
Period
HKEY_LOCAL_MACHINE\SYSTE
M\Software\
Microsoft\WindowsNT\CurrentVersi
on\
Winlogon\ registry key
STRING 0
3 Відсоток заповнення
журналу подій безпеки,
після якого система
починає видавати
повідомлення про
заповнення
(Percentage threshold for
the security event logat
which the system will
generate a warning)
Warning Level
HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\Eventlog\
Security\registry key
DWORD
90
4 Перевірка бібліотек
DLL
(Enable Safe DLL search
mode (recommended)
SafeDllSearh
Mode
HKEY_LOCAL_MACHINE\
SYSTEM\Current
ControlSet\Control\SessionManager\
registry key
DWORD
1
5 Відключити
автоматичний вхід до
системи
(Disable Automatic Logon)
AutoAdmin
Logon
HKEY_LOCAL_MACHINE\Softw
are\Microsoft\WindowsNT\CurrentV
ersion\Winlogon\ registry key.
DWORD
0
6 Видалення спільних
адміністративних
ресурсів
(Delete Administrative
Shares)
AutoShare
Wks
HKEY_LOCAL_MACHINE\Syste
m\CurrentControlSet\
Services\Lanman
Server\Parameters\ registry key
DWORD
1
7 Сховати комп'ютер у
списку перегляду
(Hide Computer From the
Browse List)
Hidden
HKEY_LOCAL_MACHINE\System
\CurrentControlSet\Services\Lanman
server\Parameters\ registry key.
DWORD
1
7 Файлова система
7.1. Параметри безпеки файлової системи
Параметри налаштовуються за допомогою редактора політики за адресою:
Конфігурація комп'ютера\ Конфігурація Windows\ Параметри безпеки\ Файлова система
Параметри наведені в табл. 9.
Таблиця 9
Папка або файл
Група
користувачів
Рекомендований
Дозвіл Застосовуються до
Метод
успадку-
вання
%AllUsersProfile%
(Папка, яка зазвичай містить
атрибути робочого столу та
профілів усіх користувачів,
C:\Documents and Settings\All
Users)
Адміністратори Повний доступ
Папка, підпапки й
файли
Поши-
рення
Система Повний доступ Папка, підпапки
й файли
Користувачі Читання й
виконання
Папка, підпапки
й файли
%AllUsersProfile%\Application
Data\ Microsoft
(Містить дані документів
застосувань
Майкрософт)
Адміністратори Повний доступ Папка, підпапки й
файли
Заміна
Система Повний доступ Папка, підпапки й
файли
Заміна
Користувачі Читання й
виконання
Папка, підпапки й
файли
Папка або файл
Група
користувачів
Рекомендований
Дозвіл Застосовуються до
Метод
успадку-
вання
Досвідчені
користувачі
Огляд папок,
Виконання файлів,
Список вмісту
папки, Читання
даних
Папка, підпапки й
файли
Читання атрибутів,
Читання додатко-вих
атрибутів, Створення
файлів, Запис даних,
Створення папок,
Додавання даних,
Запис атрибутів
%AllUsersProfile%\
ApplicationData\
Microsoft\Crypto\
DSS\Machine
Keys
Адміністратори
Повний доступ Папка, підпапки й
файли
Заміна
Система Повний доступ Папка, підпапки й
файли
Заміна
Користувачі Список вмісту
папки,Читання
атрибутів, Читання
додаткових
атрибутів,
Створення файлів,
Створення папок,
Запис атрибутів,
Запис додаткових
атрибутів,
Читання дозволів
Тільки папка
%AllUsersProfile%\ApplicationDat
a\
Microsoft\Crypto\
RSA\Machine Keys
Адміністратори Повний доступ Папка, підпапки й
файли
Заміна
Система Повний доступ Папка, підпапки й
файли
Заміна
Запис атрибутів,
Запис додатко-вих
атрибутів,
Читання дозволів
%AllUsersProfile%\
ApplicationData\
Microsoft\HTML Help
Адміністратори Повний доступ Папка, підпапки й
файли
Заміна
Система Повний доступ Папка, підпапки й
файли
Користувачі Читання й
виконання
Папка, підпапки й
файли
Досвідчені
користувачі
Зміна Папка, підпапки й
файли
%AllUsersProfile%\Application
Data\
Microsoft\Media Index
Адміністратори Повний доступ Папка, підпапки й
файли
Заміна
Система Повний доступ Папка, підпапки й
файли
Користувачі Створення файлів,
Створення папок,
Запис атрибутів,
Запис додаткових
атрибутів,
Читання дозволів
Тільки папка
Користувачі Запис Папка, підпапки й
файли
Користувачі Читання й
виконання
Папка, підпапки й
файли
Папка або файл
Група
користувачів
Рекомендований
Дозвіл Застосовуються до
Метод
успадку-
вання
Досвідчені
користувачі
Огляд папок,
Виконання файлів,
Список змісту папки,
Читання даних
Папка, підпапки й
файли
Читання атрибутів,
Читання додатко-
вих атрибутів,
Створення файлів,
Запис даних,
Створення папок,
Додавання даних,
Запис атрибутів,
Запис додаткових
атрибутів
Видалення підпапок
і файлів, Видалення,
Читання дозволів
%AllUsersProfile%\ DRM Ігнорувати Ігнору-
вати
%SystemDrive%\
(Диск, на якому встановлена
ОС Windows XP,
містить важливі файли заванта-
ження та налагод-ження
операційної системи)
Адміністратори Повний доступ Папка, підпапки
й файли
Розповсюд
ження
Творець-власник Повний доступ Папка, підпапки
й файли
Система Повний доступ Папка, підпапки
й файли
Користувачі Читання й
виконання
Папка, підпапки
й файли
%SystemDrive%
\Documents
and Settings
(Папка містить профілі користу-
вачів та профілі за умовчанням)
Адміністратори Повний доступ Папка, підпапки
й файли
Розповсюд
ження
Система Повний доступ Папка, підпапки
й файли
Користувачі Читання й
виконання
Папка, підпапки й
файли
Досвідчені
користувачі
Читання й
виконання
Папка, підпапки
й файли
%SystemDrive%\
Documents and ettings\Default
User
(Папка містить
атрибути робочого столу та
профілів користувачів, які
входять у систему перші, що
використовуються за
умовчанням.)
Адміністратори Повний доступ Папка, підпапки
й файли
Заміна
Система Повний доступ Папка, підпапки
й файли
Користувачі Читання й
виконання
Папка, підпапки
й файли
Досвідчені
користувачі
Читання й
виконання
Папка, підпапки й
файли
%SystemRoot%
Installer
Адміністратори Повний доступ Папка, підпапки й
файли
Заміна
Система Повний доступ Папка, підпапки
й файли
Користувачі Читання й
виконання
Папка, підпапки й
файли
8 Адміністративні шаблони
8.1 Параметри комп'ютера для Установника Windows
Параметри налаштовуються за допомогою редактора політики за адресою:
Конфігурація комп'ютера\ Адміністративні шаблони\ Компонента Windows\ Установник Windows
Параметри наведені в табл. 10.
Таблиця 10
№
п/п
Назва
параметра
Параметр
(Установка)
1 Заборонити відкат Відключено
8.2 Параметри комп'ютера для системи
8.2.1 Параметри комп'ютера у вузлі Система
Параметри налаштовуються за допомогою редактора політики за адресою:
Настроювання комп'ютера\ Адміністративні шаблони\ Система
Параметри наведені в табл. 11.
Таблиця 11
№
п/п
Назва
параметра
Параметр
(Установка)
1 Відключити автозапуск Включений -Всі диски
2 Відключити запит на використання Windows Update при пошуку
драйверів
Включено
8.2.2 Параметри комп'ютера у вузлі Система\вхід до системи
Параметри налаштовуються за допомогою редактора політики за адресою:
Настроювання комп'ютера\ Адміністративні шаблони\ Система\ вхід у систему
Параметри наведені в табл. 12.
Таблиця 12
№
п/п
Назва
параметра
Параметр
(Установка)
1 Не відображати вікно “Перше знайомство” при вході в систему Включений
2 Не обробляти список автозапуска для старих версій Включений
3 Не обробляти список автозапуска програм, виконуваних один раз Включений
8.2.3 Параметри комп'ютера у вузлі Система\Групова політика
Параметри налаштовуються за допомогою редактора політики за адресою:
Настроювання комп'ютера\ Адміністративні шаблони\ Система\ Групова політика
Параметри наведені в табл. 13.
Таблиця 13
№
п/п
Назва
параметра
Параметр
(Установка)
1 Обробка політики настроювання Internet Explorer Включений
2 Обробка політики реєстру Включений
8.2.4 Параметри комп'ютера у вузлі Система\Дискові квоти
Параметри налаштовуються за допомогою редактора політики за адресою:
Настроювання комп'ютера\ Адміністративні шаблони\ Система\ Дискові квоти
Параметри наведені в табл. 14.
Таблиця 14
№
п/п
Назва
параметра
Параметр
(Установка)
1 Включити дискові квоти Включений
2 Задати межу дискової квоти Включений
3 Межа квоти за замовчуванням і рівень попередження Включений
4 Вести журнал навіть при перевищенні межі квоти Включений
5 Заносити подію перевищення рівня попередження квоти Включений
8.2.5 Параметри комп'ютера у вузлі Система\ Відновлення системи
Параметри налаштовуються за допомогою редактора політики за адресою:
Настроювання комп'ютера\ Адміністративні шаблони\ Система\ Відновлення системи
Параметри наведені в табл. 15.
Таблиця 15
№
п/п
Назва
параметра
Параметр
(Установка)
1 Відключити відновлення системи Не заданий
2 Відключити конфігурацію Не заданий
8.2.6 Параметри користувача для Панелі керування
Параметри налаштовуються за допомогою редактора політики за адресою:
Конфігурація користувача\ Адміністративні шаблони\ Панель керування\Екран
Параметри наведені в табл. 16.
Таблиця 16
№
п/п
Назва
параметра
Параметр
(Установка)
1 Використати екранні заставки Включений
2 Ім'я файлу екранної заставки, що виконує Включений
3 Використати парольний захист для екранних заставок Включений
4 Тайм-аут екранної заставки Включений
600 секунд
8.2.7 Параметри користувача для системи
Відповідні параметри налаштовуються за допомогою редактора політики за адресою: Конфігурація
користувача\ Адміністративні шаблони\ Система\ Провідник
Параметри наведені в табл. 17.
Таблиця 17
№
п/п
Назва
параметра
Параметр
(Установка)
1 Видалити можливості запису компакт-дисків Включений
2 Видалити вкладку Безпека Включений
8.2.8 Параметри редагування реєстру
Відповідні параметри налаштовуються за допомогою редактора політики за адресою:
Конфігурація користувача\ Адміністративні шаблони\ Система\
Параметри наведені в табл. 18.
Таблиця 18
№
п/п
Назва
параметра
Параметр
(Установка)
1 Зробити недоступними засіб редагування реєстру Включений
8.2.9 Параметри користувача у вузлі Система\Управління електроживленням
Відповідні параметри налаштовуються за допомогою редактора політики за адресою: Конфігурація
користувача\Адміністративні шаблони\Система\Керування електроживленням
Параметри наведені в табл. 19.
Таблиця 19
№
п/п
Назва
параметра
Параметр
(Установка)
1 Запитувати пароль при виході зі сплячого або режиму, що чекає Включений
8.2.10 Параметри користувача для Диспетчера вкладень
Відповідні параметри налаштовуються за допомогою редактора політики за адресою: Конфігурація
користувача\ Адміністративні шаблони\ Диспетчер вкладень
Параметри наведені в табл. 20.
Таблиця 20
№
п/п
Назва
параметра
Параметр
(Установка)
1 Не зберігати відомості про зону у вкладених файлах Відключений
2 Сховати можливість для видалення відомостей про зону Включений
3 Повідомляти антивірусну програму при відкритті вкладень Включений
9 Налаштування мережевого екрану
Для налаштування мережевого екрану необхідно:
- Перейменувати VPN-з’єднання до системи портового співтовариства на «PPL33-35»;
- створити (або завантажити) файл tune_XP.bat та виконати його з правами адміністратора.
Зміст файлу tune_XP.bat:
@echo off
SET FFPATH=C:\OPCIS\ClientFF.exe
SET FAPATH=C:\OPCIS\ClientFA.exe
SET FCPATH=C:\OPCIS\ClientFC.exe
SET FDPATH=C:\OPCIS\ClientFD.exe
SET UPPATH=C:\OPCIS\Update.exe
SET IFNAME=PPL33-35
netsh firewall set opmode mode=disable interface=%IFNAME%
netsh firewall add allowedprogram program=%FAPATH% name="PPL33-35 (Agent)" mode=enable
netsh firewall add allowedprogram program=%FFPATH% name="PPL33-35 (Forwarder)" mode=enable
netsh firewall add allowedprogram program=%FCPATH% name="PPL33-35 (Customs)" mode=enable
netsh firewall add allowedprogram program=%FDPATH% name="PPL33-35 (Dispatcher)" mode=enable
netsh firewall add allowedprogram program=%UPPATH% name="PPL33-35 (Update)" mode=enable
ЦЕНТР ОБРОБКИ ДАНИХ:
ЗАМОВНИК
Товариство з обмеженою відповідальністю «ППЛ
33-35»
Директор комерційний_________ А.В.Шевчук
Додаток № 5
до Договору про надання послуг
з технічної підтримки та обслуговування
інформаційної системи портового співтовариства № _______________від «___» _______ 2013 року
ПЕРЕЛІК ПЛАТНИХ ПОСЛУГ, ЩО НАДАЮТЬСЯ ЦОД ЗАМОВНИКУ,
ТАРИФИ НА ПОСЛУГИ
№
№
з/п Вид послуги
Одиниця
виміру
Вартість за
одиницю, грн.
(не враховуючи
ПДВ)
1
1.
Інформаційні послуги при здійсненні оформлення
товарів у контейнерах (в електронній формі) 1 контейнер 40
На суму рахунку нараховується податок на додану вартість (ПДВ) відповідно до чинного
законодавства України.
ЦЕНТР ОБРОБКИ ДАНИХ (ЦОД): ЗАМОВНИК
ТОВАРИСТВО З ОБМЕЖЕНОЮ
ВІДПОВІДАЛЬНІСТЮ «ППЛ 33-35»
Найменування____________________________
__________________________________________
__________________________________________
Директор комерційний__________ А.В.Шевчук. Керівник ___________________ (_____________)
М.П. М.П.