Настройка параметров безопасности Windows через реестр

Под катом будут перечислены ключи реестра, установка указанных параметров которых рекомендуется установить в защищаемых системах. Эти ключи также можно установить через групповые политики. Параметры ключей описаны в формате "x,y", где x - тип параметра (например, x=4 - параметр DWORD), а y - рекомендуемое значение параметра.

name='more'>

Отключение системного отладчика

Для отключения системного отладчика параметру «Debugger» присваивается значение «1,0» для ключа реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionAEDEBUG

Исключение нулевой сессии

Для исключения нулевой сессии создается в ключе реестра HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesLanManServerParameters параметр RestrictNullSessAccess со значением равным «4,1»

Исключение замены системных модулей DLL модулями DLL приложений

Для исключения замены системных модулей DLL одноименными модулями DLL приложений (изменения порядка поиска модулей DLL) создается в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager параметр SafeDllSearchMode со значением равным «4,1»

Выдача сообщения при заполнении журнала безопасности

Для информирования пользователя о заполнении журнала безопасности на 90% создается в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSecurity Eventlog параметр WarningLevel со значением равным «4,90»

Отключение аудита системных объектов

Для отключения аудита системных объектов устанавливается для параметра «AuditBaseObjects» значение «4,0» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

Отключение аудита дополнительных привилегий

Для отключения аудита дополнительных привилегий устанавливается для параметра «FullPrivilegeAuditing» значение «3,0» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

Запрет отключения системы при переполнении журнала безопасности

Для запрета отключения системы при переполнении журнала безопасности устанавливается для параметра «CrashOnAuditFile» значение «4,0» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

Принудительная очистка памяти при выключении компьютера

Для принудительной очистки памяти при выключении компьютера устанавливается для параметра «ClearPageFileAtShutdown» значение «4,0» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management

Установка защищенного режима

Установка защищенного режима для внутренних системных объектов (например, символических ссылок) обеспечивается установкой параметру «ProtectionMode» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager

Запрет установки пользователям локальных принтеров

Для запрета установки пользователям локальных принтеров устанавливается для параметра «AddPrinterDrivers» значение «4,1» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetPrintProvidersLanManPrintServicesServers

Запрет пользователям изменения паролей

Для запрета пользователям изменения паролей (разрешения изменения пароля учетной записи компьютера) устанавливается для параметра «DisablePasswordChange» значение «4,0» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
etlogonParameters

Разрешение передачи хэшированных паролей

Для передачи хэшированных паролей (запрета посылки незашифрованного пароля сторонним SMB-серверам) устанавливается для параметра «EnablePlainTextPassword» значение «4,0» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanWorkstation Parameters

Выдача предупреждения о смене паролей

Количество дней до истечения срока действия пароля, в течение которых выдается предупреждение о смене пароля, определяется установкой для параметра «PasswordExpiryWarning» значения (десятичного) «4,14» в ключе реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrectVersionWinlogon

Установка, количества кешированных учетных записей, разрешенных по умолчанию

Количество кешированных доменных учетных записей, разрешенных по умолчанию, определяется установкой для параметра «CachedLogonsCount» значения «1,0» в ключе реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrectVersionWinlogon

Разрешение (запрет) доступа к ГМД локальных пользователей

Разрешение (запрет) доступа к гибким магнитным дискам только локальных пользователей определяется установкой для параметра «AllocateFloppies» значения «1,0» (разрешение) и значение «0,0» (запрет) в ключе реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrectVersionWinlogon

Разрешение (запрет) доступа к CDROM локальных пользователей

Разрешение (запрет) доступа к CDROM только локальным пользователям определяется установкой для параметра «AllocateCDroms» значения «1,0» (разрешение) и значение «0,0» (запрет) в ключе реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrectVersionWinlogon

Отключение автоматического входа в консоль восстановления

Отключение автоматического входа в консоль восстановления определяется установкой для параметра «SetCommand» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrectVersionSetupRecoveryConcole

Разрешение (запрет) копирования на ГМД и доступа ко всем дискам и папкам из консоли восстановления

Разрешение (запрет) доступа к накопителям и папкам из консоли восстановления определяется установкой для параметра «SecurityLevel» значения «4,0» (разрешение) и значение «4,0» (запрет) в ключе реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrectVersion SetupRecoveryConcole

Определение заголовка сообщения пользователю

Заголовок сообщения пользователю при нажатии клавиш <Ctrl>+<Alt>+<Del> определяется установкой для параметра «LegalNoticeText» значения «“”» в ключе реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrectVersionPolicesSystem

Установка типа сообщения пользователю

Тип сообщения пользователю при нажатии клавиш <Ctrl>+<Alt>+<Del> определяется установкой для параметра «LegalNoticeCaption» значения «“”» в ключе реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrectVersionPolicesSystem

Запрет отображения имени последнего вошедшего пользователя

Запрет отображения имени последнего вошедшего пользователя определяется установкой для параметра «DontDisplayLastUserName» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrectVersionPolicesSystem

Отключение поддержки LANMANAGER-АУТЕНТИФИКАЦИИ и входа анонимного пользователя

Поддержка только LSA-аутентификации, удаление LanManager-сообщений из сети и исключение входа анонимного пользователя устанавливается значениями параметров «lmcompatibilityLevel» значения «4,5» и «restrictanonymous» значения «4,1» ключа реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA

Запрет образования административных сетевых ресурсов

Запрет образования административных сетевых ресурсов для сервера LanmanServer обеспечивается наличием по умолчанию параметра «AutoShareServer» (для сервера) и «AutoShareWks» (для рабочей станции) со значением «4,0» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanManServerParameters

Запрет запуска файлов типа AUTORUN

Запрет запуска файлов типа AUTORUN обеспечивается установкой параметру «NoDriveTypeAutorun» значения «255» в ключе реестра HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPolicesExplorer

Предупреждение при установке неподписанных драйверов

Предупреждение при установке неподписанных драйверов обеспечивается установкой параметру «Policy» значения «1,0» в ключе реестра HKEY_CURRENT_USERSoftwareMicrosoft Non-Driver Signing

Защита от сетевых атак протокола TCP/IP

Для защиты от сетевых атак протокола TCP/IP добавляются параметры, с установкой их значения и изменения значения существующих параметров в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

«EnableICMPRedirect» - значение «4,0»
«EnableSecurityFilters» - значение «4,1»
«KeepAliveTime» - значение «4,30000»
«SynAttackProtect» - значение «4,2»
«TcpMaxConnectResponseRetransmiissions» - значение «4,2»
«TcpMaxConnectRetransmiissions» - значение «4,3»
«TcpMaxDataRetransmiissions» - значение «4,3»
«TcpMaxPortsExhausted» - значение «4,3»
«DisableIPSourceRouting» - значение «4,2»

Примечание:

Для защиты от атак протокола IPv6 параметру «TcpMaxConnectRetransmiissions» устанавливается значение «4,3», а параметру «DisableIPSourceRouting» значение «4,2» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters.
Для защиты от атаки изменения маршрута отключается ICMP Router Discovery Protocol посредством установки параметру «PerformRouterDiscovery» значения «4,2» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters.
Выключение маршрутизации TCP/IP от источника выполняется посредством установки параметру «DisableIPSourceRouting» значения «4,2» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters.

Ограничение доступа к журналам событий

Ограничение доступа к журналам событий обеспечивается наличием по умолчанию параметра «RestrictGuestAccess» со значением «4,1» в ключах реестра, указанных ниже:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLogApplication
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLogSystem
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLogSecurity

Настройки контроля учетных записей User Account Control (UAC)

Контроль учетных записей пользователей обеспечивается установкой в разделе реестра HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem соответствующих параметров для следующих ключей реестра:

«PromptOnSecureDesktop» - Разрешение (запрет) переключения на безопасный рабочий стол при выполнении запроса на повышение прав - «4,1» («4,0»)
«ConsentPromptBehaviorAdmin» - Включить (выключить) реагирование на повышение прав администраторов - «4,0» («4,5»)
«ValidateAdminCodeSignatures» - Отключение повышения прав только для подписанных и проверенных исполняемых файлов - «4,0»
«EnableLUA» - Выключение контроля пользователей - «4,0»
«EnableInstallerDetection» - Выключение (включение) обнаружения установки приложений и запросов на повышение прав - «4,0» («4,1»)
«FilterAdministratorToken» - Включение (выключение) режима подтверждения администратором использования встроенной учетной записи администратора «4,1» («4,0»)
«ConsentPromptBehaviorUser» - Выключение (включение) контроля на запрос повышения прав для пользователей - «4,0» («4,3»)
«EnableSecureUIAPaths» - Выключение (включение) повышения прав для UIAccess-приложений только при установке в безопасных АРМ - «4,0» («4,1»)
«EnableVirtualization» - Разрешение (запрет) виртуализации на рабочем месте пользователя при сбоях записи в файл или реестр «4,1» («4,0»)
«EnableUIADesktopToggle» - Запрет UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол - «4,0»
«ShutdownWithoutLogon» - Запрет завершения работы системы без выполнения входа в систему «4,0»

Запрет операторам сервера задавать выполнение заданий по расписанию

Запрет операторам сервера задавать выполнение заданий по расписанию обеспечивается установкой параметру «SubmitControl» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetControlLsa

Запрет использования сетевых удостоверений в запросах проверки подлинности PKU2U к компьютеру

Запрет использования сетевых удостоверений в запросах проверки подлинности PKU2U к компьютеру обеспечивается установкой параметру «AllowOnlineID» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetControlLsa pku2u

Разрешение использования локальной учетной записью удостоверения компьютера для NTLM

Разрешение использования локальной учетной записью удостоверения компьютера для NTLM обеспечивается установкой параметру «UseMachineId» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetControlLsa

Запрет локальным пользователям использования нулевых сеансов

Запрет локальным пользователям использования нулевых сеансов обеспечивается установкой параметру «allownullsessionfallback» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetControlLsaMSV1_0

Учет регистра для подсистем, отличных от Windows

Учет регистра для подсистем, отличных от Windows, обеспечивается установкой параметру «ObCaseInsensitive» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetControl ControlSession ManagerKernel

Использование FIPS-совместимых алгоритмов для шифрования, хэширования и подписывания

Использование FIPS-совместимых алгоритмов для шифрования, хэширования и подписывания обеспечивается установкой параметру «Enabled» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetControl Control LsaFIPSAlgorithmPolicy

Отключение обязательного применения сильной защиты ключей пользователей, хранящихся на компьютере

Отключение обязательного применения сильной защиты ключей пользователей, хранящихся на компьютере, обеспечивается установкой параметру «ForceKeyProtection» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftCryptography

Минимальная сеансовая безопасность для серверов на базе NTLM SSP

Минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) обеспечивается установкой параметру «MSV1_0
TLMMinServerSec» значения «4,537395200» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetControlLsa

Наличие цифровой подписи для LDAP-клиента

Наличие цифровой подписи для LDAP-клиента обеспечивается установкой параметру «LDAPClientIntegrity» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSet ServicesLDAP.

Запрет хранения хэш-значения LAN Manager до следующей смены пароля

Запрет хранения хэш-значения LAN Manager до следующей смены пароля обеспечивается установкой параметру «NoLMHash» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetControlLsa

Отключение модели совместного доступа и безопасности для гостевых локальных учетных записей

Отключение модели совместного доступа и безопасности для гостевых локальных учетных записей обеспечивается установкой параметру «ForceGuest» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetControlLsa

Запрет анонимного доступа к общим ресурсам

Запрет анонимного доступа к общим ресурсам обеспечивается установкой параметру «NullSessionShares» значения «7,0» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSet ServicesLanManServerParameters

Определение удаленно доступных путей реестра

Определение удаленно доступных путей реестра обеспечивается установкой параметру «Machine» значения «7,SystemCurrentControlSetControlProductOptions,SystemCurrentControlSetControlServer Applications,SoftwareMicrosoftWindows NTCurrentVersion» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSet ControlSecurePipeServersWinregAllowedExactPaths

Определение удаленно доступных путей и вложенных путей реестра

Определение удаленно доступных и вложенных путей реестра обеспечивается установкой параметру «Machine» значения «7,SystemCurrentControlSetControlPrintPrinters,SystemCurrentControlSetServicesEventlog,SoftwareMicrosoftOLAP Server,SoftwareMicrosoftWindows NTCurrentVersionPrint,SoftwareMicrosoftWindows NTCurrentVersionWindows,SystemCurrentControlSetControlContentIndex,SystemCurrentControlSetControlTerminal Server,SystemCurrentControlSetControlTerminal ServerUserConfig,SystemCurrentControlSetControlTerminal ServerDefaultUserConfiguration,SoftwareMicrosoftWindows NTCurrentVersionPerflib,SystemCurrentControlSetServicesSysmonLog» в ключе реестра HKEY_LOCAL_MACHINESystemCurrentControlSet ControlSecurePipeServersWinregAllowedAllowedPaths

Запрет применения разрешений «Для всех» к анонимным пользователям

Запрет применения разрешений «Для всех» к анонимным пользователям обеспечивается установкой параметру «EveryoneIncludesAnonymous» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSet ControlLsa

Установка таймаута для ввода пароля после появления заставки

Установка таймаута для ввода пароля после появления заставки обеспечивается назначением параметру «ScreenSaverGracePeriod» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSet ControlLsa

Запрет просмотра учетных записей SAM анонимными пользователями

Запрет просмотра учетных записей SAM анонимными пользователями обеспечивается установкой параметру «RestrictAnonymousSAM» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSet ControlLsa

Отключение создания имен файлов в формате «8.3»

Отключение создания имен файлов в формате «8.3» обеспечивается установкой параметру «NtfsDisable8dot3NameCreation» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSet Control FileSystem

Защита машины от атак «NetBIOS name-release»

Защита машины от атак «NetBIOS name-release» обеспечивается установкой параметру «NoNameReleaseOnDemand» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSet Services
etbtParameters

Сделать компьютер «невидимым» другими пользователями в сети

Включение режима, при котором компьютер становится «невидимым» другими пользователями в сети обеспечивается установкой параметру «NoDefaultExempt» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSet Services LanmanserverParameters.

Отключение автоматического входа в систему под учетной записью администратора

Отключение автоматического входа в систему под учетной записью администратора обеспечивается установкой параметру «AutoAdminLogon» значения «1,0» в ключе реестра HKEY_LOCAL_MACHINE SoftwareMicrosoftWindows NTCurrentVersionWinlogon

Установка режима усиления защиты на сервере SMB

Установка режима усиления защиты на сервере SMB обеспечивается назначением параметру «SMBServerNameHardeningLevel» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesLanManServerParameters

Отключение клиентов по истечении разрешенного времени входа

Отключение клиентов по истечении разрешенного времени входа обеспечивается установкой параметру «enableforcedlogoff» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesLanManServerParameters

Использование цифровой подписи для клиента

Использование цифровой подписи (с согласия клиента или всегда ) обеспечивается установкой параметру «enablesecuritysignature» значения «4,1» (с согласия клиента) или параметру «requiresecuritysignature» значения «4,1» (всегда) в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesLanManServerParameters

Использование цифровой подписи для сервера

Использование цифровой подписи (с согласия сервера или всегда ) обеспечивается установкой параметру «EnableSecuritySignature» значения «4,1» (с согласия сервера) или параметру «RequireSecuritySignature» значения «4,1» (всегда) в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesLanmanWorkstationParameters

Время бездействия до приостановки сеанса

Установка времени бездействия до приостановки сеанса обеспечивается установкой параметру «autodisconnect» значения «4,15» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesLanManServerParameters

Запрет проверки на контроллере домена отмены блокировки компьютера

Запрет проверки на контроллере домена отмены блокировки компьютера обеспечивается установкой параметру «ForceUnlockLogon» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon

Требование нажатия CTRL+ALT+DEL до входа пользователя

Требование нажатия CTRL+ALT+DEL до входа пользователя обеспечивается установкой параметру «DisableCAD» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion PoliciesSystem

Требование стойкого ключа сеанса

Требование стойкого ключа сеанса обеспечивается установкой параметру «requirestrongkey» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServices
etlogonParameters

Установка максимального срока действия пароля учетной записи компьютера

Установка максимального срока действия пароля учетной записи компьютера обеспечивается назначением параметру «maximumpasswordage» значения «4,30» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetServices
etlogonParameters

Цифровая подпись данных безопасного канала

Цифровая подпись данных безопасного канала (при необходимости) обеспечивается назначением параметру «signsecurechannel» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetServices
etlogonParameters

Шифрование данных безопасного канала

Шифрование данных безопасного канала (при необходимости) обеспечивается назначением параметру «sealsecurechannel» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetServices
etlogonParameters

Требование цифровой подписи или шифрования данных безопасного канала

Цифровая подпись или шифрование данных безопасного канала обеспечивается назначением параметру «requiresignorseal» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetServices
etlogonParameters

Запрет форматирования и извлечения съемных носителей

Запрет форматирования и извлечения съемных носителей обеспечивается назначением параметру «AllocateDASD» значения «1,0» в ключе реестра HKEY_LOCAL_MACHINE SoftwareMicrosoftWindows NTCurrentVersionWinlogon

Принудительное переопределение политики аудита

Принудительное переопределение политики аудита обеспечивается назначением параметру «SCENoApplyLegacyAuditPolicy» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetControlLsa

Разрешение использования пустых паролей только при консольном входе

Разрешение использования пустых паролей только при консольном входе обеспечивается назначением параметру «LimitBlankPasswordUse» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SystemCurrentControlSetControlLsa

Запрет изменения пароля учетной записи компьютера

Запрет изменения пароля учетной записи компьютера обеспечивается назначением параметру «RefusePasswordChange» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINESystemCurrentControlSet Services
etlogonParameters

Требование цифровой подписи для LDAP-сервера

Требование цифровой подписи для LDAP-сервера обеспечивается назначением параметру «LDAPServerIntegrity» значения «4,2» в ключе реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServices NTDSParameters

Запрет отключения устройств без входа пользователя в систему

Запрет отключения устройств без входа пользователя в систему обеспечивается назначением параметру «UndockWithoutLogon» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

Использование сертификатов для исполняемых файлов

Использование сертификатов для исполняемых файлов (для политик ограниченного использования программ) обеспечивается назначением параметру «AuthenticodeEnabled=» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE SoftwarePoliciesMicrosoftWindowsSaferCodeIdentifiers