@домівка Віктора Чмеля

Настройка захищеного робочого місця на базі системи Windows 2000 Professional

Завдання - максимально захистити робочу станцію при роботі в локальній мережі та Internet.

@ Настройка системи.

1) Ставиться система + останній сервіс-пак; останній Internet Explorer(якщо треба) + останній сервіс-пак.

2) заходимо на Windows-Update http://windowsupdate.microsoft.com - закачуємо всі критичні оновлення які потрібні для даної системи та сервіс-паку.

3) вмикається служба "Автоматическое обновление" (Windows-Update) [Тип запуска: Авто] на автоматичне завантаження та встановлення оновлень за розкладом (краще десь в середині дня, або в інший час, коли машина точно працює).

4) Створюється і застосовується власний, або один з готових шаблонів безпеки (напр. hisecws.inf), що визначає:

1. Політики облікових записів: безпека паролів, блокування облікових записів і політики Kerberos;
2. Локальні політики: права користувачів і ведення журналу подій безпеки;
3. Журнал подій: параметри протоколювання подій;
4. Групи з обмеженим доступом: адміністрування членів локальних груп;
5. Системні служби: безпека і режими запуску локальних служб;
6. Реєстр: безпека розділів локального реєстру;
7. Файлова система: безпека локальної файлової системи.

При цьому рекомендую:
4.1) Пароль: довжина - від 10 символів, складний, змінюється раз на місяць;
4.2) Політика безпеки: обов'язково перейменувати стандартні записи для адміністратора та гостя, інше див. [1];
4.3) Заборонити непотрібні служби, що не лише підніме рівень безпеки, але й продуктивність. Для кожної конкретної робочої станції це може бути, щось своє, більш докладно див. [2];
4.4) В оснащенні "Шаблоны безопасности" визначаємо бажані параметри шаблона, створюємо базу в оснащенні "Анализ и настройка безопасности" (щоб було легше, з таким самим ім’ям як шаблон) і настроюємо комп’ютер згідно з нею.

@ Антивірус.

Будь-який, до якого ви маєте довіру, головне, щоб виконувались вимоги:
1) постійно включений монітор;
2) автоматичне оновленням баз та самого антивірусу щодня;
3) перевірка на віруси всього диску щотижня.

@ Персональний брандмауер (він же Firewall).

Основне правило: закрити всі входи на системні порти TCP/UDP (1-1024). Окрім тих, що вам потрібні.

@ Необхідні програми.

На розсуд адміністратора, але бажано:

• E-mail - The Bat! http://www.ritlabs.com
• Browser - Opera http://www.opera.com, Mozilla http://www.mozilla.org, FireFox http://www.mozilla.org/products/firefox/
• ICQ - Miranda  http://www.miranda-im.com

@  Інше.

1. Думати головою.
2. При встановленні кожної нової програми, подивитись на неї з точки зору безпеки. Як правило установки за замовчуванням - найбільш зручні для роботи, але найбільш небезпечні.
3. Слідкувати за інформацією про "дірки" в безпеці тих програм, які використовуєте. Вчасно їх оновлювати, якщо ця функція не виконується автоматично. Підписатись на розсилки виробників програм, та одну-дві тематичні розсилки присвячені безпеці.
   

@ Посилання.

[1] Guide to Windows Online Security & Privacy http://www.techspot.com/tweaks/windows_security/index.shtml
[2] Windows 2000 Professional and Server Services Configuration 411 http://www.blkviper.com/WIN2K/servicecfg.htm
[3] "Компьютер на замке", Елена Полонская (Издательский Дом "КОМИЗДАТ") - непагана стаття про все по-троху и не потребує глибокої попередьної підготовки.