Шаблоны MSS описание

Ну раз уж мы установили шаблоны MSS, посмотрим, что еще в них есть полезного.
Неспроста же это дополнительный пак шаблонов для безопасности.
AutoAdminLogon — позволяет включить функцию автологона по сохраненным в реестре учетным данным при запуске системы. По умолчанию (если политика не задана) выключено, как и рекомендуется.

AutoReboot — просто определяет, будет ли система автоматически перезагружаться после сбоя. Если ничего не менять — то будет.

AutoShareWks — дает возможность отключить административные шары на рабочей станции (типа ADMIN$, C$, IPC$). Но сие действо может привести к проблемам в работе софта или администрировании, так что даже стандарты по безопасности не требуют удалять административные шары.

DisableSavePassword — позволяет отключить возможность сохранения пароля для dial-up и VPN-подключений. Безопасники рекомендуют.

Hidden — компьютер перестает вещать о своих ресурсах. Что не особо смутит хакера, а для юзверей может быть неудобно.

NoDefaultExempt — определяет к каким типам трафика не применяются фильтры IPSec. Рекомендуется оставлять только IKE.

NoDriveTypeAutoRun — можно отключить автозапуск. Конечно, отключим! на всех, пожалуйста!

NoNameReleaseOnDemand — включить, чтобы защититься от спуфинга по NBT-NS. Но мы уже отключали NBT-NS, так что мало что изменится.

NtfsDisable8dot3NameCreation — возможность отключить использование имен файлов в стиле 8.3 (типа блабла~.doc). Рекомендуется отключить (т.е. поставить политику в Enabled), т.к. хакер порой может воспользоваться упрощенными наименованиями.

SafeDllSearchMode — определяет порядок поиска загружаемых библиотек. Значение Enabled определенно безопаснее.

ScreenSaverGracePeriod — фигня какая-то, определяет срок, когда экранная заставка может быть сброшена без пароля. Безопасники рекомендуют ставить 0, но вроде это ничего особо не меняет.

WarningLevel — полезен для предупреждения о заполнении лога безопасности, если в нем не настроена перезапись при заполнении.

EnableDeadGWDetect — контролирует переключение на запасной дефолтный гейтвэй. Для безопасников бесполезна.

PerformRouterDiscovery — включает автоматический поиск шлюза по протоколу IRDP. Обязательно отключаем!

SynAttackProtect — понижает тайм-ауты в условиях SYN-флуда, полезно.

TcpMaxConnectResponseRetransmissions — количество попыток отправить SYN для установки сессии. Для нормально работающих сетей просто оставить как есть.

TcpMaxDataRetransmissions — количество попыток передачи датаграмм TCP. Рекомендуется 3, по умолчанию 5, так что разница невелика.

Источник: https://t.me/informhardening

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40