Шаблоны MSS описание

Ну раз уж мы установили шаблоны MSS, посмотрим, что еще в них есть полезного.

Неспроста же это дополнительный пак шаблонов для безопасности.


AutoAdminLogon – позволяет включить функцию автологона по сохраненным в реестре учетным данным при запуске системы. По умолчанию (если политика не задана) выключено, как и рекомендуется.

AutoReboot – просто определяет, будет ли система автоматически перезагружаться после сбоя. Если ничего не менять – то будет.

AutoShareWks – дает возможность отключить административные шары на рабочей станции (типа ADMIN$, C$, IPC$). Но сие действо может привести к проблемам в работе софта или администрировании, так что даже стандарты по безопасности не требуют удалять административные шары.

DisableSavePassword – позволяет отключить возможность сохранения пароля для dial-up и VPN-подключений. Безопасники рекомендуют.

Hidden – компьютер перестает вещать о своих ресурсах. Что не особо смутит хакера, а для юзверей может быть неудобно.

NoDefaultExempt – определяет к каким типам трафика не применяются фильтры IPSec. Рекомендуется оставлять только IKE.

NoDriveTypeAutoRun – можно отключить автозапуск. Конечно, отключим! на всех, пожалуйста!

NoNameReleaseOnDemand – включить, чтобы защититься от спуфинга по NBT-NS. Но мы уже отключали NBT-NS, так что мало что изменится.

NtfsDisable8dot3NameCreation – возможность отключить использование имен файлов в стиле 8.3 (типа блабла~.doc). Рекомендуется отключить (т.е. поставить политику в Enabled), т.к. хакер порой может воспользоваться упрощенными наименованиями.

SafeDllSearchMode – определяет порядок поиска загружаемых библиотек. Значение Enabled определенно безопаснее.

ScreenSaverGracePeriod – фигня какая-то, определяет срок, когда экранная заставка может быть сброшена без пароля. Безопасники рекомендуют ставить 0, но вроде это ничего особо не меняет.

WarningLevel – полезен для предупреждения о заполнении лога безопасности, если в нем не настроена перезапись при заполнении.

EnableDeadGWDetect – контролирует переключение на запасной дефолтный гейтвэй. Для безопасников бесполезна.

PerformRouterDiscovery – включает автоматический поиск шлюза по протоколу IRDP. Обязательно отключаем!

SynAttackProtect – понижает тайм-ауты в условиях SYN-флуда, полезно.

TcpMaxConnectResponseRetransmissions – количество попыток отправить SYN для установки сессии. Для нормально работающих сетей просто оставить как есть.

TcpMaxDataRetransmissions – количество попыток передачи датаграмм TCP. Рекомендуется 3, по умолчанию 5, так что разница невелика.

Источник: https://t.me/informhardening



2018-01-30T11:23:59
Закрытие уязвимостей