Üdvözöljük! arrow Ismertetők arrow Windows biztonság arrow Útmutató a Microsoft Windows XP megerôsítéséhez
Útmutató a Microsoft Windows XP megerôsítéséhez

MTA SZTAKI
Hálózatbiztonsági osztály

Útmutató a Windows XP megerősítéséhez


2005. június

Tartalomjegyzék

1. Bevezetés
2. A Windows XP környezetei
2.1 Otthoni környezet illetve kisvállalkozások számítógépei (OKV)
2.2 A vállalati környezet
2.3 Fokozott biztonságú környezet
2.4 Elavult környezet
3. Windows XP mintabeállításainak áttekintése
3.1 Azonosítók és jelszavak beállításai
3.2 Helyi házirend
3.3 Eseménynaplózás
3.4 Kötött csoportok
3.5 Rendszerszolgáltatások
3.6 Fájl jogosultságok
3.7 Rendszerleíró-adatbázis engedélyezése
3.7.1 Nyomkövetéshez kapcsolódó rendszerleíró kulcsok
3.7.2 Automatikus funkciók
3.7.3 Hálózati munka
3.8 Javaslatok összefoglalása
4. Biztonsági mintabeállítások
4.1 Fiókházirend
4.2 Helyi házirend
4.3 Eseménynapló házirend
4.4 Kötött csoportok
4.5 Rendszerszolgáltatások
4.6 Fájl engedélyek beállítása
4.7 A rendszerleíró-adatbázis beállításai
4.8 A rendszerleíró-adatbázis értékei
5. A Windows XP biztonsági beállításainál alkalmazott eszközök
6. A Windows XP rendszerben használt portok

1. Bevezetés

A dokumentum célja, hogy a rendszergazdáknak a Windows XP munkaállomás beállításához segítséget nyújtson.

Az alábbi tanulmány a National Institute of Standards and Technology (NIST) 800-68 számú speciális kiadványa alapján készült. Az eredeti dokumentum címe: Guidance for Securing Microsoft Windows XP Systems for IT Professionals: A NIST Security Configuration Checklist. Azonban ez az anyag több vonatkozásban is eltér az eredeti tanulmánytól: részben lényeges fejezetek nem kerültek ide, mint például a telepítéssel, frissítéssel foglalkozó rész, valamint az alkalmazásokat elemző fejezet. A hangsúly itt a Windows XP lehetséges beállításaira került. Ugyanakkor bővebb is ez az anyag, mert bizonyos beállításokhoz magyarázatokat fűztek, s kiegészítették a magyar Windows XP-ben alkalmazott elnevezésekkel.

Az anyag csupán az első változat, az MTA SZTAKI-ban működő Hálózatbiztonsági csoport további kiegészítések elkészítését tervezi.

A dokumentumban lévő információkat különböző környezetben elhelyezkedő  Windows XP munkaállomások, mobil számítógépek és telekommunikációs rendszerek megvédésére használhatók. A lehetséges környezeteket a következő rész ismerteti.

A melléklet az egyes környezetekhez tartozó biztonsági mintabeállításokat tartalmazza. A sablonok a National Security Agency (NSA), a Defense Information Systems Agency (DISA) és a Microsoft által kifejlesztett mintabeállításokon alapulnak. A sablonok a Center for Internet Security (CIS), DISA, NSA, Microsoft és a NIST biztonsági szakembereivel történő egyeztetés alapján készültek.

A Windows XP számos lehetőséget nyújt a sablonok telepítéséhez. A  Security Configuration and Analysis Microsoft Management Console (MMC)  „snap-in”  funkciója kiválóan megfelel arra, hogy egy lokális gépen telepítse a sablont. Windows XP tartomány (domain) környezetben a Csoport házirend szerkesztő (Group Policy Editor) az erre alkalmas eszköz. A Microsoft a GPMC-t ajánlja a többszörös tartományban a csoportok beállításainak kezelésére. A biztonsági beállításoknál alkalmazott eszközök listája a 7. fejezetben található.

Az itt leírtakat sokan és alaposan tesztelték, de minden rendszer és környezet egyedinek számít, ezért a rendszeradminisztrátornak saját magának is tesztelnie kell azokat. A NIST Windows XP biztonsági sablonok kifejlesztését az motiválta, hogy egy sokkal biztonságosabb Windows XP munkaállomás konfiguráció  szülessen. Azonban egyes beállítások a rendszer működőképességét vagy használhatóságát csökkenthetik, ezért óvatosan alkalmazza azokat. Tesztelési módszernek javasolható, hogy a rendszeradminisztrátor egy frissen telepített rendszerből induljon ki, fokozatosan építse fel a kívánt rendszert.

2. A Windows XP környezetei

Ez a rész bemutatja azokat a környezeti típusokat, amelyekbe a Windows XP gazdagép kerülhet: otthoni illetve kisvállalkozási környezet (OKV),  vállalati környezet vagy fokozott biztonságot igénylő hely. Egy negyedik környezeti típus, az elavult környezet is ide sorolható, amikor is a Windows XP speciális igények kielégítését vállalja fel, vagyis azt, hogy a korábbi szerverekhez és alkalmazásokhoz történő, időben visszafelé mutató kompatibilitásnak tegyen eleget.

Feltétlenül meg kell említeni, hogy minden környezetben szükséges a biztonságot érintő dokumentumok elkészítése is, ilyenek mint a Elfogadható felhasználás irányelvei (acceptable use policy),  a biztonsági tudatosság növelését célzó dokumentumok, stb.
2.1 Otthoni környezet illetve kisvállalkozások számítógépei (OKV)

Az OKV kis, hétköznapi, egyedülálló számítógépet jelent, amit üzleti célra használnak. Az OKV ugyanakkor sokféle környezetet jelenthet, kezdve a csak alkalomszerűen munkára használt otthoni géptől egy cég kisebb részlegénél munka céljaira alkalmazott gépekig, amelyet technikai vagy üzleti okokból nem távolról kezelnek. Az alábbi ábra egy tipikus OKV környezetet mutat:

Image
1. ábra: Tipikus OKV hálózati architektúra

Általában az OKV környezet szokott a legkevésbé biztonságos lenni. Ugyanis az OKV rendszer adminisztrációjával foglalkozók keveset tudnak, keveset foglalkoznak a biztonsággal, sokkal inkább a működőképességet tartják szem előtt. Ilyen környezetben nem mindig alkalmaznak biztonsági szoftvereket, például vírusölőt, személyes tűzfalat. De a hálózatvédelemmel sem mindig törődnek, tehát az OKV-s gépek közvetlenül ki van téve  külső támadásoknak. És ezért sokszor támadási célpontokká is válnak, nem a rajtuk lévő információ megszerzése miatt, hanem inkább további támadások kiindulópontjául választják ezeket, vagy férgek által okozott károk mellékszereplőivé válnak.

Az OKV környezetben az elsődleges fenyegetések kívülről várhatók, ezért kevésbé szigorú felhasználói házirendet kell megfogalmazni, mint egy vállalati vagy fokozott biztonságú környezetben. A támadások főleg a hálózati szolgáltatások ellen irányulnak, vagy rosszindulatú programoknak (vírusok, férgek) a számítógépekre való felvitele történik. A támadások többnyire a rendszer elérhetőségét bénítják (rendszer-összeomlás, hálózati sávszélesség csökkenése, működőképesség korlátozása), de érintheti a sértetlenséget is (adatfájlok megfertőzése) és a bizalmasságot is (érzékeny adatok, elektronikus levelek távolról történő elérése).

Az OKV biztonsága a kicsi, olcsó, hardver-alapú tűzfal útvonalválasztók (routerek) elterjedésével javulni fog, mivel azok bizonyos mértékig a mögöttük lévő gépeket is védik. Személyes tűzfalak (BlackICE, ZoneAlarm, Internet Connection Firewall) szintén javítanak a helyzeten. Azonban az OKV megerősítésében kulcsfontosságú szerepet játszik a sebezhetőségek megszűntetése a megfelelő javítások telepítésével, a felesleges funkciók kiiktatásával, a beállítások megváltoztatásával.

2.2 A vállalati környezet

A vállalati környezet tipikusan egy menedzselt környezet, ami a hardver és szoftver konfiguráció szempontjából is strukturált. Általában egy kijelölt csoport  felelős a biztonságért. A gyakorlott munkatársak és a megtervezett környezet biztosíték arra, hogy mind a telepítésnél, mind pedig a működtetésnél a biztonság prioritást kap. A vállalati környezetre a tartományi modell a jellemző, mert abban hatékonyan végezhetők el a beállítások és az erőforrások megosztása (nyomtató, fájl szerver). A vállalatoknál csak a normál működéshez szükséges szolgáltatásokat engedélyezik, az egyéb, kockázatot jelentő alkalmazásokat törlik. A jogosultságot, a jelszavakat, a házirendek meghatározását központilag végzik, így az egész szervezeten belül azonos elvek érvényesülnek.

2. ábra: Tipikus vállalati környezeti architektúra

Az ilyen rendszereket belső és külső támadás is fenyegeti. Belső támadásra tipikus eset, amikor valaki a másik számítógépét jogosulatlanul használja. A külső támadás nemcsak a hálózaton kívülről érkezhet, hanem belső felhasználótól is, amikor a szervezet hálózatán keresztül egy belső rendszert támad (a strukturáltság miatt lehetséges). A leggyakoribb támadási mód, amikor a külső féltől rosszindulatú csomag (SPAM, kémszoftver, stb.) érkezik. A hálózati szolgáltatások elleni támadás ritkább, de belső és külső fél is okozhatja. Mindkét módszer a biztonság három alapelvét: a rendelkezésreállást, a titkosságot és az adatok sértetlenségét is érintheti.
   
A vállalati környezet sokkal inkább korlátozó, mint az OKV környezet. Többszintű védelmi rendszert szoktak kialakítani (tűzfalak, vírusölők, behatolásérzékelő rendszerek). Vállalati környezetben általában nem merül fel az elavult eszközökkel, rendszerekkel való együttműködés kérdése.
2.3 Fokozott biztonságú környezet
A fokozott biztonságú környezet az a környezet, amikor a támadás vagy az adatok napvilágra kerülésének kockázata igen nagy. Az ilyen környezet lehet hálózatba kötve, de állhat önmagában is. Tipikusan olyan számítógépek vannak itt, amelyek bizalmas információt tartalmaznak (személyes adatok, orvosi vagy pénzügyi rekordok, stb.) és ezeken valamilyen műveleteket végeznek (számlázás, forgalomirányítás, stb.) Elsősorban külső támadás érheti, de a belső sem kizárt. Az ilyen környezet lehet egy vállalati vagy OKV környezet része is (pl. a pénzügyi osztály rendszere, vagy egy mozgó munkatárs laptopja az otthoni hálózatban).

A fokozott biztonságú környezetnek ugyanazokkal a fenyegetésekkel kell szembe nézniük, mint a vállalatoknál. A kockázatok és az eredményes támadások következményei miatt azonban kevesebb funkciót szabad megengedni, és a beállításoknál szigorúbban kell eljárni. Itt még inkább szükség van tapasztalt biztonsági szakemberekre, aki a korlátozások mögötti tartalmat is érti.
2.4 Elavult környezet
Az elavult környezetekben régi rendszerek vagy alkalmazások futnak, amelyek idejétmúlt kommunikációs eljárásokat használnak. Emiatt aztán az ilyen környezetben működő rendszerek – biztonsági szempontból – sokkal nyitottabbak, s egyúttal védtelenebbek is. Ilyen környezet akár vállalati, akár otthoni környezetben előfordulhat, fokozott biztonságot igénylő környezetben nem valószínű.

3. Windows XP mintabeállításainak áttekintése

A biztonsági beállítások kerülnek felsorolásra ebben a fejezetben, melyek a NIST mintabeállításai között kaptak helyet. A beállításokat hét csoportba osztjuk: azonosítók és jelszavak, helyi házirend,  eseménynaplózás, kötött csoportok, rendszerszolgáltatások, fájl jogosultságok, rendszerleíró adatbázis.

Minden csoportnál az is megtalálható, hogy milyen eszközökkel végezzék el a beállítást. A javasolt értékek a 4.fejezet táblázataiban vannak. Az eszközök pedig az 5. fejezetben találhatók.

A Windows XP magyar és angol változatában használt kifejezéseket dőlt betűvel jelöljük. A / a lehetséges választást jelöli. 
3.1 Azonosítók és jelszavak beállításai  (Fiókházirend – Account Policies)
3.1.1 Jelszavak (Jelszóházirend – Password Policy)
A helyes jelszavak kiválasztására és használatára nemcsak a felhasználókat kell megtanítani, hanem az operációs rendszerben a jelszavakhoz kapcsolódó paramétereket úgy ajánlatos beállítani, hogy az az erős jelszavak használatát  segítse elő. Így a jelszó kitalálásának vagy feltörésének valószínűsége lényegesen csökkeni fog. A következő paraméterek beállítása kívánatos:

  • Jelszó maximális élettartama  - Maximum password age:  ez a felhasználót a rendszeres jelszócserére készteti. Minél kisebb ez az érték, annál valószínűbb, hogy gyenge jelszót választanak a felhasználók, mert azt könnyebb megjegyezni. Minél nagyobb az érték, annál inkább veszélyeztetett a jelszó, vagyis nagyobb az esélye, hogy jogosulatlanok megismerjék.
  • Jelszó minimális élettartama – Minimum Password Age: ez a beállítás arra vonatkozik, hogy a felhasználónak hány napot várnia kell, mielőtt újra megváltoztathatja a jelszavát. Sokan a jelszó maximális élettartamának lejárta után megváltoztatják a jelszavukat, majd azonnal vissza is változtatják a régire. Ezt küszöböli ki a „jelszó minimális élettartamának” beállítása. Hátránya, hogy  azokat a felhasználókat is korlátozza, akiknek új jelszava napvilágra került. Ilyenkor adminisztrátori beavatkozás szükséges.
  • Legrövidebb jelszó – Minimális Password Length: a jelszó minimális hossza karakterekben megadva. Ennek hátterében az a meggondolás áll, hogy hosszabb jelszót nehezebb kitalálni/feltörni. Hátránya viszont, hogy a hosszabb jelszót nehezebb megjegyezni.
  • A jelszónak meg kell felelnie a bonyolultsági feltételeknek – Password Must Meet ComplexityRequirements:   a minimális jelszóhosszhoz hasonlóan ez is a jelszó kitalálását nehezíti. A bonyolultság ellenőrzése azt jelenti, hogy a jelszó nem tartalmazza a felhasználó azonosítóját, és különféle karakterek (kis- és nagybetű, szám, speciális karakter) keverékéből áll össze.
  • Előző jelszavak megőrzése – Enforce Password History: a korábban használt jelszavak megőrizhetők a rendszerben, a megadott számú jelszó kerül tárolásra. Előnye, hogy a felhasználó korábbi jelszavait nem alkalmazhatja. Hátránya, hogy a régi jelszavak – a tárolás miatt – esetleg nyilvánosságra kerülnek.
  • A tartomány összes felhasználója jelszavának tárolása visszafejthető titkosítással - Store Password Using Reversible Encryption for All Users in the Domain: ha ezt a lehetőséget beállítják, akkor a jelszó visszakódolható formában kerül tárolásra, ami veszélyes lehet. Csak akkor állítsák be ezt a módot, ha egy régebbi autentikálási protokoll támogatása (CHAP – Challenge Handshake Authentication Protocol) szükséges.
3.1.2 Azonosítók (Fiókzárolási házirend – Account Lockout Policy Settings)
A támadók gyakran a felhasználók azonosítóját használják a jelszavak kitalálásához. A Windows XP-ben az azonosító letiltható, ha túl sok sikertelen kísérlet történik egy megadott időn belül. A NIST mintában a következő paramétereket állították be:
  • Fiókzárolás küszöbe – Account Lockout Threshold: a hibás kísérletek maximális számát mutatja ez az érték, ezután az azonosítót ideiglenes letiltják.
  • Fiókzárolás időtartama – Account Lockout Duration: az azonosító ideiglenes letiltásának idejét adja meg. Gyakran rövid, de azért lényeges időtartamra állítják be (pl. 15 perc), két okból. A jogos felhasználónak, aki véletlenül zárta ki magát a használatból, csak 15 percet kelljen várnia az újbóli belépésre, ahelyett, hogy az adminisztrátort kellene megkérnie az azonosító újbóli megnyitására. Másodszor, azok, akik a jelszót kívánják felderíteni, általában tömegesen próbálják ki a jelszavakat, és így ők egyszerre csak viszonylag kevés jelszóvak kísérletezhetnek, a folytatáshoz pedig 15 percet várniuk kell. Ez a beállítás csökkenti az ún. „brute force attack”, azaz a nyers erő használatát.
  • Fiókzárolási számláló nullázása - Reset Account Lockout Counter After: ezt a beállítást a „Fiókzárolás küszöbe”-vel együtt alkalmazzák. Ha például a „kísérletek száma” 10, és ez a paraméter 15 perc, akkor 15 percen belüli 10 hibás jelszó megadása után az azonosítót letiltják.
Az azonosítók és jelszavak beállításának nagy kérdése, hogy hogyan lehet egyensúlyt teremteni a biztonság, a működőképesség és a használhatóság között. Például ha egy azonosítót néhány hibás jelszó megadása után kizárunk, ez ugyan megnehezíti a jogosulatlan belépést, de  meglehetősen megnöveli az azonosítóval foglalkozó adminisztrátor munkáját a véletlen elütések miatti kizárások visszaállítása miatt. Másrészt emiatt a felhasználók papírra fogják leírni a jelszavukat, illetve könnyen megjegyezhető jelszavakat alkalmaznak. Ezért alaposan végig kell gondolni a beállításokat.

A beállítás módja:

Start -> Vezérlőpult -> Felügyeleti eszközök -> Helyi biztonsági beállítások  -> Fiókházirend -> Jelszóházirend illetve Fiókzárolási házirend

Start –> Control Panel -> Administrative Tools -> Local Security Policies -> Account Policies -> Password Policy illetve Account Lockout Policy

3.2 Helyi házirend

A helyi házirend (local policy) három témával foglalkozik: a naplózással, a felhasználói jogok kezelésével valamint a biztonsági beállításokkal.

3.2.1 A naplózás (Naplórend – Audit Policy)

A Windows XP hatékony eszközt biztosít a rendszer megfigyelésére, ellenőrzésére. A megfigyelés módszere a naplózás (log), a rendszeradminisztrátorok ezeket átnézve kiszűrhetik a jogosulatlan tevékenységeket. A naplók az incidensek felderítésénél is hasznos eszköznek bizonyulhatnak. A naplók rögzíthetik a bejelentkezéseket/kilépéseket, az azonosítók kezelését, a címtár-hozzáférést, a házirendek változtatását, a rendszerjogok módosítását, a folyamatok nyomon követését, stb. amint az az alábbi táblázatban látható. Minden naplózási fajtánál beállítható, hogy a sikeres, a sikertelen vagy mindkét típusú események bejegyzésre kerüljenek, vagy semmi se kerüljön bejegyzésre. A bejegyzéseket az Eseménynapló (Event viewer) segítségével nézhetjük meg.

Ellenőrzés beállítása  Leírás (Bejegyzés készülhet, ha... 
Bejelentkezés naplózása -
Audit account logon events		 a felhasználó erről a munkaállomásról egy távoli gépre be- vagy kilép.
Fiókkezelés naplózása -
Audit account management		 felhasználói vagy csoport-azonosítót hoznak létre, módosítanak vagy törölnek; felhasználói azonosítót átneveznek, letiltanak vagy visszaállítanak; jelszót állítanak be vagy módosítanak.
Címtárszolgáltatás-hozzáférés naplózása -
Audit directory service access
 a címtár egy olyan objektumához férnek hozzá, amelynek saját rendszer-hozzáférési listája (SACL) van.  
Fiókkezelés naplózása -
Audit logon events		 a felhasználó be- illetve kijelentkezik, vagy a lokális géppel hálózati kapcsolatot épít.
Objektum-hozzáférés naplózása
Audit object access		 a felhasználó saját rendszer-hozzáférési listával (SACL) rendelkező objektumhoz (fájl, könyvtár, rendszerleíróadatbázis-kulcs vagy nyomtató) fér hozzá. A sikertelen hozzáférések is bizonyos helyzetben normálisak lehetnek. Óvatosan használja!
Házirendváltozás naplózása -
Audit policy change		 a felhasználói jogokat, naplózást vagy egyéb házirendet érintő változtatás történik.
Rendszerjogok használatának naplózása -
Audit privilege use		 a felhasználó a jogait gyakorolja. Nagyon sok bejegyzés kerülhet a naplóba!
Folyamatok nyomon követésének naplózása -
Audit process tracking
egy program elindul, egy folyamat leáll, duplum kezeléskor vagy közvetett módon férnek hozzá egy objektumhoz.
Rendszeresemények naplózása
Audit system events		 a felhasználó a számítógépét indítja/leállítja vagy a rendszer biztonságát és a biztonsági bejegyzéseket érintő esemény történik.


3.2.2 Felhasználói jogok kiosztása – User right Assignment

A felhasználói jogok kiosztása meghatározza, hogy melyik csoportnak (adminisztrátor, felhasználó stb.) milyen jogosultsága legyen. A cél itt az, hogy minden csoport csak annyi jogot kapjon, amennyi feltétlenül szükséges, a felhasználók pedig abba a csoportba kerüljenek, ahol csak a nekik éppen szükséges jogok vannak. Ez „legkevesebb jog” elve. A jogok sokfélék lehetnek: a helyi vagy távoli rendszerekhez történő hozzáférés, mentések végrehajtása,  a dátum/időpont megváltoztatása, naplók kezelése, a rendszer leállítása.

A 4.2.2 táblázatban szereplő bejegyzések többsége az elnevezés alapján beazonosítható. Némelyik szerepe talán első olvasatra nem egészen világos. Ezekhez egy rövid magyarázatot talál itt (a név után a 4.2.2 táblázatban lévő sorszám található. A kiválasztás szempontja önkéntes):

Az operációs rendszer részeként való működés (2)

Egy process számára lehetséges, hogy bármelyik felhasználó nevében azonosíthassa magát, s így gyakorlatilag ugyanazokat az erőforrásat érje el, amit a felhasználó.
Szülőkönyvtár-jogosultság mellőzése (7)
Ez a jog azt biztosítja, hogy a felhasználó végigmehet a könyvtárak fa szerkezetén, anélkül, hogy bármilyen joga lenne a könyvtárakban. Tehát nem listázhatja ki egy könyvtár tartalmát, csak átkelhet rajta.
Lapozófájl létrehozása (9)
Melyik felhasználó illetve csoport hozhatja létre a lapozófájlt, illetve módosíthatja a méretét. 
Token objektum létrehozása (10)
Egy hozzáférési token létrehozására szolgáló jog. Az Active Directory-ban a felhasználó hitelesítése után a helyi biztonsági rendszer létrehoz a felhasználó számára egy tokent, azaz egy olyan speciális csomagot, amely tartalmazza a felhasználó nevét, SID-jét, a felhasználót tartalmazó globális csoportok SID-jeit (tartományvezérlőtől származik), a felhasználót tartalmazó lokális csoportok SID-jeit (helyi gépről származik), rendszerszintű jogosultságokat.
Számítógép- és felhasználói fiókok megbízhatóságának engedélyezése (19)
Ez a beállítás lehetővé teszi, hogy egy felhasználó egy másik felhasználót vagy objektumot megbízhatónak minősítsen, azaz a saját jogait továbbadhassa egy másik felhasználónak, objektumnak. (Beállítsa a “Trusted for Delegation” opciót.) Például egy számítógépen futó szerverprocessz esetén – amit a kliens megbízhatónak minősített – a szerverprocessz a kliens számítógépén lévő erőforrásokhoz a kliensre beállított jogokkal hozzáférhet.
Biztonsági naplózás létrehozása (21)
Meghatározza azokat a fiókokat, amelyeket használó processzek képesek a biztonsági naplóba bejegyzéseket tenni.
Számítógép eltávolítása tokjából (34)
Meghatározza, hogy egy felhasználó a laptopját bejelentkezés nélkül kiszedheti-e a dokkoló állomásról.
Folyamat token lecserélése (35)
Ennek a jogosultságnak a tulajdonosa kezdeményezhet egy olyan processzt, amely kicseréli egy másik futó processz hozzáférési tokenjét.
Könyvtárszolgáltatás-adatok szinkronizálása (38)

Meghatározza, hogy melyik felhasználónak illetve melyik csoportnak van joga a directory service adatainak szinkronizálására. Ez „Active Directory” szinkronizálás néven is ismert.

3.2.3 Biztonsági beállítások – Security Options

A helyi házirend kialakításánál a már korábban említettek mellett további beállítások is lehetségesek, ezekkel az ún. biztonsági beállításokkal jobb biztonsági körülményeket tudunk kialakítani, mint az alapértelmezéssel. A NIST minta több tucat ilyen beállítást ismertet, például: az üres jelszó használatának letiltása, a rendszergazda és a vendég azonosító átnevezése, a floppihoz és a CD-ROM eszközhöz távolról való hozzáférés korlátozása, egy tartományon belül a biztonságos csatorna kódolása, a bejelentkezési képernyő biztonságosabbá tétele (az előző azonosító elrejtése, figyelmeztető felirat megjelenítése, a jelszó lejárati ideje előtt a felhasználó figyelmeztetése), bizonyos típusú hálózati hozzáférés korlátozása, a hitelesítés típusának meghatározása (pl. NTLMv2).

A 4.2.3 táblázatban szereplő bejegyzések többsége az elnevezés alapján beazonosítható. Némelyik szerepe talán első olvasatra nem egészen világos. Ezekhez egy rövid magyarázatot talál itt (a név után a 4.2.3 táblázatban lévő sorszám található. A kiválasztás szempontja önkéntes):

Eszközök: Dokkolás megszüntethető bejelentkezés nélkül is (9)
Ez a biztonsági beállítás azt határozza meg, hogy egy hordozható számítógépet (laptopot) bejelentkezés nélkül is le lehet-e kapcsolni a dokkoló állomásról. Ha ez a beállítás engedélyezve van, bejelentkezés nélkül egy külső hardveres (kidobó) gomb hatására lekapcsolható a gép. Ha tiltva van, akkor először a felhasználónak be kell jelentkeznie, és a „Számítógép eltávolítása tokjából / Remove computer from docking station” privilégiummal kell rendelkeznie, hogy lekapcsolhassa a gépét.
Interaktív bejelentkezés: A munkaállomás zárolásának feloldásához tartományvezérlői hitelesítésre van szükség (28)
A Windows XP tárolhatja a felhasználók bejelentkezési információit, azért, hogy ha a tartományvezérlő elérhetetlen, a felhasználó akkor is be tudjon jelentkezni. A fenti beállítástól függően – a tartományvezérlő kiesése esetén is – sikeres lehet a bejelentkezés.
Interaktív bejelentkezés: Viselkedés intelligens kártya eltávolításakor (31)

Ez a beállítás meghatározza, hogy mi történjen, ha egy bejelentkezett felhasználó az intelligens kártyaolvasóból eltávolítja a kártyát. Lehetséges változatok: nincs művelet, munkaállomás zárolása, kényszerített kijelentkezés.
Hálózati hozzáférés: A névtelen helyazonosító-/névfordítás engedélyezése  (39)
Ez a biztonsági beállítás megadja, hogy egy névtelen felhasználó lekérdezheti-e egy másik felhasználó azonosítójának (biztonsági azonosítójának - SID) attribútumait. Ha beállítják, akkor az a felhasználó. aki ismeri az adminisztrátor SID-jét, a számítógéppel kommunikálhat és a SID segítségével az adminisztrátor nevét lekérdezheti.
Hálózati hozzáférés: SAM fiókok névtelen felsorolása nem engedélyezett (40)

Meghatározza, hogy egy névtelen felhasználó kilistázhatja-e a SAM fiókokat. A Windows bizonyos tevékenységeket, mint pl. a tartományfiókok neveinek listázását és a hálózaton történő megosztását, még a névtelen felhasználóknak is megengedheti. Erre például akkor lehet szükség, ha egy adminisztrátor egy másik megbízható tartományban a felhasználóknak jogokat szeretne adni, s ez a tartomány nem tekinti megbízhatónak a másik tartományt.
(SAM: Minden Windows szerveren vagy munkaállomáson van egy helyi SAM (Security Account Manager) adatbázis, amely a helyi felhasználók fiókjait illetve a csoportfiókokat tartalmazza.)
Hálózati hozzáférés: A névtelen felhasználókra a Mindenki csoportra vonatkozó engedélyek vonatkoznak (43)
Meghatározza, hogy milyen további jogosultságokat biztosítanak a számítógéphez csatlakozó névtelen felhasználóknak.
Hálózati hozzáférés: Névtelenül elérhető Named Pipe-ok (44)
Meghatározza, hogy melyik kommunikációs munkamenetnek (pipe) vannak olyan tulajdonságai illetve engedélye amely lehetővé teszi a névtelen felhasználói hozzáférést.
Hálózati hozzáférés: Távolról elérhető rendszerleíró elérési utak (45)
Ez a biztonsági beállítás meghatározza, hogy a rendszerleíróadatbázis melyik ágát lehet hálózaton keresztül elérni, függetlenül attól, hogy a felhasználó vagy a csoport szerepel-e a winreg rendszerleíró kulcs hozzáférési listáján.
Hálózati hozzáférés: Névtelenül elérhető megosztások (46)
Ez a biztonsági beállítás megadja, hogy melyik megosztást érhetik el a névtelen felhasználók.
Hálózati hozzáférés: Megosztási és biztonsági modell helyi felhasználói fiókok számára (47)
Meghatározza, hogy a helyi fiókokat használó hálózati bejelentkezések hogyan legyenek naplózva. Ha klasszikus beállítást használnak, akkor a helyi fiók hitelesítő adatait használó hálózati bejelentkezést a hitelesítő adatokkal naplózzák. Ha csak vendég  beállítást alkalmaznak, akkor a helyi fiókot használó hálózati bejelentkezést a vendég fiókhoz kötik. A klasszikus beállítás az erőforrásokhoz való hozzáférés finom vezérlését teszi lehetővé. A klasszikus modell használatával ugyanahhoz az erőforráshoz különböző felhasználók számára más-más típusú hozzáférést tud biztosítani.

A beállítás módja:

Start -> Vezérlőpult -> Felügyeleti eszközök -> Helyi biztonsági beállítások -> Helyi házirend -> Naplórend / Felhasználói jogok kiosztása / Biztonsági beállítások

Start –> Control Panel -> Administrative Tools -> Local Security Policy -> Local Policies -> Audit Policy / User right assignments / Security Options
3.3 Eseménynaplózás
A Windows XP a lényeges eseményekre vonatkozó információkat három naplóba jegyzi fel: az Alkalmazás naplóba, a Biztonsági naplóba és a Rendszernaplóba. A napló hibaüzeneteket, naplózási információkat és a rendszer tevékenységével kapcsolatos egyéb bejegyzéseket tartalmaz. A napló nemcsak a gyanús vagy rosszindulatú viselkedés beazonosítására és a biztonsági incidensek kivizsgálására szolgál, hanem a rendszerrel kapcsolatos hibaelhárítást és az alkalmazások problémáinak megoldását is segíti. Ezért fontos, hogy mindhárom naplót használják. A NIST mintabeállítás mindhárom naplófajtát minden környezetben alkalmazza, és a maximális naplóméretet is megadja. Ha ez utóbbi érték nagyon alacsony, akkor nem lesz elég hely arra, hogy a rendszertevékenységgel kapcsolatos információ tárolásra kerüljön. Bizonyos szervezeteknél előírhatják a naplózási házirendet és központi naplózást, ekkor a mintabeállítást ahhoz kell igazítani.

A beállítás módja:

Start -> Vezérlőpult -> Felügyeleti eszközök -> Eseménynapló -> Alkalmazás/Biztonság/Rendszer (jobb kattintás) -> Tulajdonságok

Start –> Control Panel -> Administrative Tools ->Event viewer -> Application/Security/System (rigth click) -> Properties
3.4 Kötött csoportok - Restricted users

Minden rendszerben és minden környezetben a távoli felhasználók (remote users) csoportjából minden felhasználót távolítsunk el, kivéve azokat, akiknek valóban oda kell tartozniuk! Így csökkenthető annak a valószínűsége, hogy valaki távoli felhasználóként jogosulatlanul a rendszerhez férjen. A kiemelt felhasználók (power users) csoportjában lévőket is szűrjük meg, mivel jogosultságuk majdnem megegyezik az rendszergazdák (administrators) csoport jogosultságaival. Ha egy felhasználónak további – de nem teljes adminisztrátori – jogosultságra van szüksége, akkor ahelyett, hogy a kiemelt felhasználók csoportjába betennék, egyedi jogosultságokat kell számára biztosítani. Alapértelmezésben a NIST mintabeállításai a kiemelt és a távoli felhasználók csoportjából mindenkit eltávolít.

A beállítás módja:

Start -> Vezérlőpult -> Felügyeleti eszközök -> Számítógép kezelése -> Rendszereszközök -> Helyi fiókok és csoportok -> Csoportok -> Kiemelt felhasználók / Távoli felhasználók

Start –> Control Panel -> Administrative Tools -> Computer Management -> System Tools -> Local Users and Groups -> Groups -> Power Users / Remote Desktop Users
3.5 Rendszerszolgáltatások
A Windows XP számos szolgáltatást nyújt, ezek többsége a rendszer indításával együtt automatikusan elindul. A szolgáltatások különféle erőforrásokat vesznek igénybe és a gyengeséget, sebezhetőséget is jelenthetnek a gazdagép számára. Minden felesleges szolgáltatást le kell állítani, hogy a rendszer elleni támadások számát csökkenthessék. Menedzselt környezetben a Csoport Házirend Objektumban kell a rendszeren lévő szolgáltatásokat konfigurálni; egyéb környezetben pedig minden rendszerben egyenként kell beállítani a szolgáltatásokat. Mindkét konfigurálási eljárás esetén minden szolgáltatás indítására három eset lehetőség közül lehet választani:

•    Automatikus – Automatic: A szolgáltatás automatikusan elindul. Ez azt jelenti, hogy a rendszer felállása után a szolgáltatás fut.

•    Kézi – Manual: Csak akkor indul a szolgáltatás, ha szükséges. A gyakorlatban ez nem azt jelenti, hogy ha igénybe kívánják venni a szolgáltatást, akkor az automatikusan elindul, hanem kézzel el kell indítani.
Megjegyzés: ha egy szolgáltatás egy másik szolgáltatástól függ, akkor az első – helytelenül – azt feltételezi, hogy a másik szolgáltatás már fut.

•    Letiltva – Disabled: A szolgáltatást nem lehet elindítani.

A NIST javaslata szerint az alábbi szolgáltatások mindegyikét minden környezetben tiltsuk le, hacsak valamilyen speciális ok nincs a futtatásukra.

  •  Riasztás
  • Vágókönyv
  •  FTP  publikációs szolgáltatás
  • IIS rendszerszolgáltatás
  • Üzenetkezelő
  • Netmeeting távoli asztalmegosztás
  • Útválasztás és távelérés
  • SMTP
  • SNMP szolgáltatás
  • SNMP csapda
  • Telnet
  • WWW publikációs szolgáltatás

A NIST mintabeállítások mindegyike letiltja ezeket a szolgáltatásokat. Ezenkívül - bizonyos környezetekben - még további szolgáltatásokat is letilt, mint a Számítógép-tallózó, Távoli rendszerleíró adatbázis, Feladatütemező és Terminálszolgáltatás. Különösen vállalati környezetben nagy kihívást jelent a szolgáltatások biztonságos beállítása.

A szolgáltatások letiltása:

Start -> Vezérlőpult -> Felügyeleti eszközök -> Szolgáltatások -> (Szolgáltatás nevére kétszer rákattintani) -> Indítás típusa: Automatikus / Kézi / Letiltva

Start –> Control Panel -> Administrative Tools -> Services -> (Double click the service name) -> Startup Type: Automatic / Manual /Disable

Az Universal Plug and Play eszközök (Universal Plug and Play) letiltásánál még két szolgáltatás le kell tiltani: SSDP keresőszolgáltatás (SSDP Discovery Services) és a Universal Plug and Play Device Host Services.

A távolról történő hozzáférés lehetőségét másképpen tiltják le. Bár ez egy nagyon hathatós tulajdonsága a rendszernek, sajnos ekkor a számítógép nagyon ki van téve a hálózati támadásoknak.

Saját gép (jobb klikk) -> Tulajdonságok -> Távoli használat -> (pipa mellőzése)A számítógépről lehet távsegítséget kérni / Távolról is kapcsolódhatnak a felhasználók ehhez a számítógéphez

My Computer (jobb klikk) -> Properties -> Remote (tab) -> (uncheck) Allow Remote Assistance invitation to be sent from this computer / Allow users to connect remotely to this computer
3.6 Fájl jogosultságok
Ebben a részben a Windows XP fájlrendszeréhez tartozó hozzáférési szabályok (ACE – access control entries) és hozzáférés-szabályozási listák (ACL – access control lists) általános beállításáról lesz szó. A NIST mintabeállítása csak 25 végrehajtható, de jogosulatlan módosításoktól és jogosulatlan felhasználástól védeni kívánt fájlra korlátozódik. Egy adott környezetben működő Windows XP rendszerhez további beállítások is szükségesek lehetnek.

Egy adott erőforráshoz (fájl, könyvtár) tartozó ACL lista módosítása három féleképp történhet:
  • Az Intézőben (Windows Explorer) – vagy az asztalon,... - az erőforráshoz tartozó Tulajdonságok (Properties) elnevezésű ablak megnyitása után a Biztonság (Security) fülre rákattintva látható, hogy az erőforráshoz melyik felhasználónak és melyik csoportnak milyen jogosultsága van. A Speciális (Advanced) Megjegyzés: Ha a Windows XP operációs rendszer nem tartozik tartományhoz, valamint NTFS fájlrendszere van, akkor a Biztonság (Security) fül alapértelmezésben nem látható. Bekapcsolása: Intéző -> Eszközök -> Mappa beállításai -> Nézet -> Egyszerű fájlmegosztás használata (ne legyen pipa); Windows Explorer -> Tools -> Folder Options -> View -> Use simple file sharing (ne legyen pipa)
    –t megnyitva még finomabb beállítás végezhető, például az erőforrás tulajdonosának beállítása vagy a naplózás.
  • a %SystemRoot%\system32 –ben található cacls.exe -vel. Ez a parancs módban használható program a fájlok ACL-jeit állítja, de nem módosítja a Windows XP „Security descriptor”-ait. (Megjegyzés: az MFT (Master File Table)-ban minden fájlhoz tartozik egy rekord, s a rekord mindenféle attribútumot tartalmaz, többek között az ún. „security descriptor”-t is, ami a fájlhoz tartozó ACL-eket tárolja.)
  • az MMC segítségével egy biztonsági mintasablon (security template) betöltésével.

A Windows XP a hozzáférési szabályok öröklési modelljét alkalmazza, vagyis egy objektum ACL-je tartalmazza a szülő-objektumtól örökölt ACE-t. Például az NTFS fájlrendszerben lévő fájl az őt tartalmazó könyvtár ACE-jét örökli. Ugyanakkor a fájlrendszer egy objektumára vonatkozó közvetlen ACE beállítás magasabb prioritású az örökölt ACE-nél.

3.7 Rendszerleíró-adatbázis engedélyezése

A Windows XP rendszerleíró-adatbázisának módosítása engedélyhez van kötve. A NIST mintabeállításai a legtöbb rendszerleíró-kulcs és érték beállítását szabályozza, hogy megvédje azokat a jogosulatlan hozzáférésektől és módosításoktól. Alapértelmezésben a teljes rendszerleíró-adatbázissal való műveletek is csak korlátozottan végezhetők el, de nagyon fontos annak ellenőrzése, hogy ez valóban így is van:

Start -> Futtat ->Regedit -> HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg (jobb klikk) -> Permissions

Start -> Run -> Regedit -> HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg (right click) -> Permissions

Gondoskodjon arról, hogy csak a Rendszergazdák rendelkezzenek teljes joggal, a Backup operátor csoportnak alig legyen valamiféle joga (bizonyos értékek lekérdezése, alkulcsok felsorolása, értesítés, olvasás) és a „Helyi szolgáltatás” pedig csak olvasási joggal rendelkezzen.

A következőkben néhány rendszerleíró-kulcs neve, elérési útja, feladata kerül felsorolásra, valamint a javasolt beállítás. Az alkalmazott rövidítések:

HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
HKU = HKEY_USERS
3.7.1 Nyomkövetéshez kapcsolódó rendszerleíró kulcsok
HKLM\Software\Microsoft\DrWatson\CreateCrashDump
Értékét 0-ra állítva a Dr. Watson nyomkövető program nem készít a memória tartalmáról másolatot (dump). A memória ugyanis érzékeny információkat is tartalmazhat, mint például jelszavak.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Auto
Értékét 0-ra állítva a Dr. Watson nyomkövető program nem működik.
3.7.2 Automatikus funkciók
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
HKU\.DEFAULT\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
Az autorun (automatikus indulás) funkció megpróbálja a CD tartalmát azonnal lefuttatni, mihelyt a CD-t a meghajtóba teszik. Ha a CD tartalma kétes, akkor ez a beállítás nem helyes. A kulcs értékét 255-re állítva az automatikus indulás funkció egyik meghajtón sem fog működni.
HKLM\System\CurrentControlSet\Services\Cdrom\Autorun
Értékét nullára állítva a CD automatikus indulás funkciója nem működik.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon
Ha ezt engedélyezik (azaz az értéke 1), akkor a rendszerleíró-adatbázisban tárolt jelszóval – jelszó megadása nélkül - be lehet jelentkezni a rendszerbe. Ez nagyon veszélyes, ugyanis a rendszerleíró-adatbázisban nyílt szövegként jelenik meg a jelszó, és a helyi felhasználók is láthatják azt. Másrészt bárki, aki fizikailag hozzáfér a rendszerhez, ugyancsak – jogosultság ellenőrzése nélkül – beléphet a rendszerbe.

Megjegyzés: A jelszó a „DefaultPassword” bejegyzésben található. Ha akár a „DeafultPassword”, akár az „AutoAdminLogon” bejegyzés nincs meg az adatbázisban, akkor azok létrehozhatóak.
HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot

Az „AutoReboot” engedélyezése esetén egy hiba vagy fennakadás esetén a rendszer automatikusan újraindul. Egyesek szerint ez biztonsági és működési szempontból nem kívánatos. Például, ha egy hiba történik és a rendszer automatikusan újraindul, nem lehet tudni, hogy működési hiba történt vagy a rendszert feltörték. Kikapcsolása az érték 0-ra állításával megy.

3.7.3 Hálózati munka
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\AutoShareWks
Ha a Microsoft hálózaton belül fájl- vagy nyomtatómegosztást használnak, a Windows XP minden fix helyi meghajtót, mint rejtett adminisztratív erőforrást (pl. C$, D$) megoszt. Hacsak nem okvetlenül szükséges ez a megosztás, szüntessük meg! Szükség lehet erre például olyan alkalmazásoknál, amelyek számítanak az ilyen megosztásokra; továbbá a távolról karbantartott rendszerek igénylik az ilyen megosztásokat. A megosztást az érték 0-ra állításával szüntetik meg.
HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset
Ezt a paramétert 1-re állítva elérhető, hogy a rendszer a ResetBrowser frame-t mellőzi. Ez utóbbit arra lehet használni, hogy a NetBIOS-t és az eddigi master browsert leállítsa, és egy másik számítógépet nevezzen ki master browsernek. A Windows korábbi változataiban ez biztonsági lyuk volt.

(Megjegyzés: a Browse Service külön hálózati szolgáltatás, mely még manapság is alapvető fontosságú a hálózati erőforrások megtalálásában (Network Neighborhood). Ez az úgynevezett Master Browser friss, illetve nagyobb hálózatok esetén a Backup Browserek esetleg elavult erőforráslistájában való kattingatással kérdezhető le. A Browser a lekérdezéshez az UDP szolgáltatást használja.)
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
Ezt a paramétert 2-re beállítva lehetetlenné válik a küldő által beállított útvonalválasztás, az ún. source routing. Tulajdonképpen nincs is rá igazán szükség, de arra felhasználható, hogy egy támadó egy IP csomagot egy közbülső hoszton átküldjön, s így megnézze vagy módosítsa a hálózati kommunikációt.

(Megjegyzés: Source routing: A feladó által megadott útvonalon, állomások megadott listáján halad végig a csomag. Két vállfaja van, a szigorú (strict) és a laza (loose). Az első esetben csak a listán felsorolt állomásokon haladhat végig a csomag és ha két szomszédosnak felsorolt állomás nem szomszédos, akkor a csomag elvész és egy „Source routing failed" ICMP csomag küldődik a feladóhoz. A második esetben ha a listán két szomszédosnak feltüntetett állomás a valóságban nem szomszédos, akkor is továbbmegy a csomag a lista következő eleméhez, de a routerek által kijelölt útvonalon.)
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect
Ha ennek értéke 1, akkor  a TCP észleli a nem működő átjárót. A TCP kérheti az IP-t, hogy álljon át a tartalék átjáróra, ha adott számú kapcsolatnál problémát észlel. A támadó ezt a lehetőséget arra tudja felhasználni, hogy a rendszer egy rosszindulatú átjáró felé irányítsa a forgalmat, s így megnézze, módosítsa az adatokat vagy szolgáltatásmegtagadást idézzen elő. A helyes beállítás: 0.
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
Ha ez a beállítás érvényben van, akkor a Windows XP a hálózati eszközöktől (pl. router) kapott ICMP Redirect üzenet hatására az útvonalválasztó tábláját átírja. A támadó ekkor egy hamisított ICMP redirect üzenettel elérheti, hogy az ő rendszerébe (vagy bárhová máshova) irányítsák a csomagokat, s így érzékeny információkat foghat el, betörhet a rendszerbe vagy szolgáltatásmegtagadást idézhet elő.
 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
Ha ez a paraméter be van állítva, akkor a TCP megpróbálja felderíteni az MTU –t (Maximal Transmission Unit – a legnagyobb fizikai csomag mérete bájtban, amit a hálózat még át tud vinni). A NIST javaslata alapján kapcsoljuk ki ezt a lehetőséget, azaz állítsuk 0-ra az értéket, és így minden kapcsolatban 576 bájtos csomagot küld a lokális hálózaton kívüli hosztokra.
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime
Az itt beállított érték azt mutatja meg, hogy a TCP milyen gyakran küldjön egy ún. keep-alive csomagot egy éppen nem forgalmazó kapcsolatra, hogy megnézze, hogy még él-e a kapcsolat. Élő kapcsolat esetén a távoli hoszt nyugtát küld. Alapértelmezésben ilyen csomagot nem küld a rendszer. A NIST javaslata 500000  msec, azaz 5 perc.
HKLM\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
Ez a paraméter határozza meg, hogy a hálózatról érkező kérésre megadja-e a számítógép a NetBIOS nevet. Ha 1-re állították, akkor nem adja meg a nevet, ez a rosszindulatú, névvel kapcsolatos támadásoktól védi a rendszert. A NIST mintabeállításaiban ez nem található meg.
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery
Ez a paraméter ellenőrzi, hogy a rendszer az RFC 1256 szerint keresi-e az útválasztóját (routerét). Minden NIST mintabeállításban 0 az értéke. (A RFC 1256 az ICMP üzenet kibővítését tartalmazza, vagyis amikor a rendszer egy multicast vagy broadcast hálózatban a szomszédos routerek IP címét keresi meg.)
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
Az ún. SYN elárasztás (Synflood) ellen véd ez a paraméter. Két további paraméter játszik még itt szerepet: az ugyanitt található TcpMaxHalfOpen (ld. következő) és a TcpMaxHalfOpenRetried (ld. innen a második) Ha a kísérletek száma eléri e két paraméter értékének bármelyikét, és a SynAttackProtect értéke 1 vagy 2, akkor a Syn elárasztás ellen védelem életbe lép. (A NIST a 2-es értéket javasolja, mert az erőteljesebb védelmet biztosít.)
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
Ez a megengedett SYN-RCVD állapotban lévő kapcsolatok számát határozza meg (vagyis a félig felépített TCP kapcsolatok számát), ha ezt az értéket eléri a rendszer, akkor a SynAttackProtect életbe lép. A NIST alapértelmezésben 100-t javasol.
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetried
Ez azon SYN-RCVD állapotban lévő kapcsolatok számát határozza meg, amelyekre legalább egy válaszcsomag már elment. A NIST által javasolt érték 80. (Érthetően ez kisebb érték, mint az előző.)
HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt
Alapértelmezésként a Windows XP-ben az IPsec a házirendben előírt szűrések alól kivételt képezhet. (ld. http://support.microsoft.com/?id=810207) A paraméter értékét 1-re állítva ez a kivételezés megszűnik a Kerberosra és a RSVP forgalomra.
HKLM\System\CurrentControlSet\Services\Lanmanserver\Parameters\Hidden
A paraméter 1-re állítva megakadályozható, hogy a rendszer egy ún. „browser” bejelentést tegyen, tehát így a hálózaton lévő Browserek elől rejtve marad. Ezáltal csökken annak a valószínűsége, hogy a Microsoft hálózaton keresztül hozzáférjenek ehhez a géphez.
HKLM\System\CurrentControlSet\Control\Session Manager\SafeDIISearchMode
A Windows XP a könyvtárakat megadott sorrendben keresi végig, amikor egy végrehajtandó fájlt keres. Alapértelmezésben először a kurrens könyvtárban keres, majd a Windows és rendszerkönyvtárakban. Ha ezt 1-re állítjuk, akkor a kurrens könyvtárban csak az előbbiek után keres. Biztonsági szempontból ez jobb megoldás, mert a kurrens könyvtár kevésbé védett lehet. Például ha valaki egy trójait helyez el egy megosztott könyvtárban, az alapértelmezésként használt keresési sorrendnél a trójait a megosztott könyvtárat elérő felhasználó – a névazonosság miatt - véletlenül lefuttathatja, míg a második esetben ez nem történik meg.
3.8 Javaslatok összefoglalása
  • Készítsen jelszó-házirendet, hogy a jelszó kitalálásával vagy feltörésével történő jogosulatlan hozzáférést megakadályozza! A házirendnek a biztonság, a működőképesség és a használhatóság között kell egyensúlyoznia.
  • Készítsen napló-házirendet, hogy bizonyos típusú tevékenységet rögzíteni lehessen, így a rendszergazda megnézheti a naplót és észlelheti a jogosulatlan aktivitást!
  • A „legkevesebb jog” elvének figyelembevételével adjon a felhasználóknak jogokat!
  • A nagyobb biztonság eléréséért az alapértelmezések állítsa át, ahol szükséges; például a jelszó nélküli belépés ne engedélyezzen, a „Rendszergazda” és a „Vendég” azonosítót nevezze át, és határozza meg, milyen típusú azonosítást alkalmaz!
  • Állítsa be az „Alkalmazás”, a „Biztonság” és a „Rendszer” naplózást!
  • Törölje ki a távoli felhasználók és a kiemelt felhasználók csoportjából az összes olyan felhasználót, akinknek nem kell ott szerepelniük!
  • Töröljön minden felesleges szolgáltatást!
  • Töröljön minden Univerzális plug and play eszközt és Távoli segítséget!
  • Korlátozza a hozzáférési lista (ACL) beállításait és a rendszerleíró-adatbázis bejegyzéseit!

4. Biztonsági mintabeállítások

Az alábbi, a NIST által készített mintabeállítások a CIS, DISA, NIST, NSA és a Microsoft szakembereinek egyetértésével készült el. Az itteni beállítások az 3. fejezet¬ben leírt csoportosításon alapulnak.
4.1 Fiókházirend
4.1.1 Jelszóházirend

 Házirend Javasolt érték  
    Fokozott biztonság Vállalat OKV Idejétmúlt  
1. Jelszó maximális élettartama
Maximum password age 		90 nap  
2. Jelszó minimális élettartama
Minimum password age 		1 nap  
3. Legrövidebb jelszó
Minimum password length 		12 karakter 8 karakter *
4. A jelszónak meg kell felelnie a bonyolultsági feltételeknek
Password must meet complexity requirements 		engedélyezve  
5. Előző jelszavak megőrzése
Enforce password history 		24 jelszó megőrzése  
6. A tartomány összes felhasználója jelszavának tárolása visszafejthető titkosítással
Store password using reversible encryption for all users in the domain 		letiltva  

* Jelszó helyett inkább jelmondatot használjanak!

4.1.2 Fiókzárolási házirend

 Házirend Javasolt érték  
    Fokozott biztonság Vállalat OKV Idejétmúlt  
1. Fiókzárolás küszöbe
Account lockout threshold 		10 kísérlet 50 kísérlet
2. Fiókzárolás időtartama
Account lockout duration 		15 perc
  
3. Fiókzárolási számláló nullázása
Reset account lockout counter after
 15 perc
  

4.2 Helyi házirend
4.2.1 Naplórendrend

 Házirend Javasolt érték  
    Fokozott biztonság Vállalat OKV Idejétmúlt  
1. Bejelentkezés naplózása
Audit logon events 		sikeres/sikertelen  
2. Fiókkezelés naplózása
Audit account management  		sikeres/sikertelen  
3. Címtárszolgáltatás-hozzáférés naplózása
Audit directory service access  		nem definiált  
4. Fiókkezelés naplózása
Audit account logon events 		sikeres/sikertelen  
5. Objektum-hozzáférés naplózása
Audit object access  		sikeres/sikertelen sikertelen  
6. Házirendváltozás naplózása
Audit policy change  		sikeres  
7. Rendszerjogok használatának naplózása
Audit privilege use  		sikertelen  
8. Folyamatok nyomon követésének naplózása
Audit process tracking  		nem definiált  *
9. Rendszeresemények naplózása
Audit system events 		sikeres  
  * Nagy sok esemény kerülhet a naplóba, csak ha feltétlenül szükséges, akkor használja!
4.2.2 Felhasználói jogok kiosztása

 Házirend Javasolt érték  
    Fokozott biztonság Vállalat OKV Idejétmúlt  
1. A számítógép elérése a hálózatról
Access this computer from the network 		rendszergazdák felhasználó/rendszergazdák  
2. Az operációs rendszer részeként való működés
Act as part of the operating system 		nincs beállítás
  
3. Munkaállomás felvétele a tartományba
Add workstation to domain 		nem definiált (nem alkalmazható)
  
4. Memóriakvóták beállítása folyamat számára
Adjust memory quotas for a process 		nem definiált
  
5. Be lehessen jelentkezni terminálszolgáltatások használatával
Allow logon through Terminal Services 		nincs beállítás
 rendszergazdák
  
6. Biztonsági másolat készítése fájlokról és könyvtárakról
Back up files and directories 		rendszergazdák
  
7. Szülőkönyvtár-jogosultság mellőzése
Bypass traverse checking 		felhasználó
  
8. Rendszeridő megváltoztatása
Change the system time 		rendszergazdák  *
9. Lapozófájl létrehozása
Create a pagefile 		rendszergazdák
  
10. Token objektum létrehozása
Create a token object 		nincs beállítás
  
11. Globális objektumok létrehozása
Create global objects 		rendszergazdák
  
12. Állandó megosztott objektumok létrehozása
Create permanent shared objects 		nincs beállítás
  
13. Programok hibakeresése
Debug programs 		 egyik sem
 rendszergazdák
egyik sem
 
14.  A számítógép hálózati elérésének megtagadása
Deny access to this computer from the network 		 vendég  
15.  Kötegelt munka bejelentkezésének megtagadása
Deny logon a a batch job 		 nem definiált  
16.  Szolgáltatásként bejelentkezés megtagadása
Deny logon as service 		 nem definiált  
17.  Helyi bejelentkezés megtagadása
Deny logon locally 		 nem definiált  
18.  Ne lehessen bejelentkezni terminálszolgáltatások használatával
Deny logon through Terminal Services 		 nem definiált  
19.  Számítógép- és felhasználói fiókok megbízhatóságának engedélyezése
Enable computer and user accounts to be trusted for delegation 		 nem definiált (nem alkalmazható)
  
20.  Távirányított rendszerleállítás
Force shutdown from a remote system 		 rendszergazdák  
21.  Biztonsági naplózás létrehozása
Generate security audits 		 helyi szolgáltatás, hálózati szolgáltatás
  
22.  Ügyfél megszemélyesítése hitelesítés után
Impersonate a client after authentication 		 nem definiált  
23.  Ütemezési prioritás növelése
Increase scheduling priority 		 rendszergazdák  
24.  Szolgáltatók betöltése és eltávolítása
Load and unload device drivers 		 rendszergazdák  
25.  Memórialapok zárolása a memóriában
Lock pages in memory 		 nincs beállítás
  
26.  Bejelentkezés kötegfájlfolyamatként
Log on as a batch job

  nem definiált  
27.  Bejelentkezés szolgáltatásként
Log on as a service 		 nem definiált  
28.  Helyi bejelentkezés
Log on locally 		 felhasználó, rendszergazdák
  
29.  Naplózás felügyelete
Manage auditing and security log 		 rendszergazdák  
30.  Beégetett programok környezeti értékeinek megváltoztatása
Modify firmware environment values 		 rendszergazdák  
31.  Kötetkarbantartási feladatok végrehajtása
Perform volume maintenance tasks 		 rendszergazdák  
32.  Folyamatok teljesítményadatainak figyelése
Profile single process 		 rendszergazdák  
33.  A rendszer teljesítményadatainak figyelése
Profile system performance 		 rendszergazdák  
34.  Számítógép eltávolítása tokjából
Remove computer from docking station 		 felhasználó, rendszergazdák  
35.  Folyamat token lecserélése
Replace a process level token 		 helyi szolgáltatás, hálózati szolgáltatás
  
36.  Fájlok és könyvtárak helyreállítása
Restore files and directories 		 rendszergazdák  
37.  A rendszer leállítása
Shut down the system 		 felhasználó, rendszergazdák  
38.  Könyvtárszolgáltatás-adatok szinkronizálása
Synchronize directory service data 		 nem definiált (nem alkalmazható)
  
39.  Fájlok és egyéb objektumok saját tulajdonba vétele
Take ownership of files or other objects 		 rendszergazdák  
4.2.3 Biztonsági beállítások

 Házirend Javasolt érték  
    Fokozott biztonság Vállalat OKV Idejétmúlt  
1.  Fiókok: A Rendszergazdák fiókok állapota
Accounts: Administrator account status 		nem definiált  
2.  Fiókok: A vendég fiók állapota
Accounts: Guest account status 		letiltva
  
3. Fiókok: Az üres jelszó használatának konzolbejelentkezésekre korlátozása a helyi fiókoknál
Accounts: Limit local account use of blank passwords to console logon
 engedélyezve
  
4.  Fiókok: A rendszergazdai fiók átnevezése
Accounts: Rename administrator account 		nem definiált  
5.  Fiókok: a vendégfiók átnevezése
Accounts: Rename guest account 		nem definiált  
6.  Naplózás: Globális rendszerobjektumokhoz való hozzáférés naplózása
Audit: Audit the access of global systems object 		nem definiált  
7.  Naplózás: A biztonsági mentés és helyreállítás jogának naplózása
Audit: Audit the use of Backup and Restore privilege  		nem definiált  
8.  Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket
Audit: Shut down system immediately if unable to log security audit  		  engedélyezve nem definiált  
9.  Eszközök: Dokkolás megszüntethető bejelentkezés nélkül is
Devices: Allow undock without having to log on 		  tiltva nem definiált  
10.  Eszközök: Cserélhető adathordozó formázása és kiadása a következő csoportok tagjainak engedélyezve
Devices: Allowed to format and eject removable media 		  rendszergazdák Rendszergazdák, interaktív felhasználó  
11.  Eszközök: A felhasználók nem telepíthetnek nyomtatókat
Devices: Prevent users from installing printer drivers 		  engedélyezve nem definiált  
12.  Eszközök: A CD-ROM használatához kötelező bejelentkezni a helyi számítógépre
Devices: Restrict CD-ROM access to locally logged-on user only 		  engedélyezve nem definiált  
13.  Eszközök: A hajlékonylemez használatához kötelező bejelentkezni a helyi számítógépre
Devices: Restrict floppy access to locally logged-on user only 		  engedélyezve nem definiált  
14.  Eszközök: Viselkedés nem aláírt illesztőprogram telepítésekor
Devices: Unsigned driver installation behavior 		értesítés után engedélyezve
  
15.  Tartományvezérlő: A kiszolgálófelelősök ütemezhetnek feladatokat
Domain controller: Allow server operator to schedule tasks 		nem definiált (nem alkalmazható)  
16.  Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei
Domain controller: LDAP server signing requirements 		nem definiált (nem alkalmazható)  
17.  Tartományvezérlő: Számítógépfiók jelszómódosításának visszautasítása
Domain controller: Refuse machine account password changes
 nem definiált (nem alkalmazható)  
18.  Tartományi tag: A biztonságos csatornák adatainak digitális titkosítása vagy aláírása (mindig)
Domain member: Digitally encrypt or sign secure channel data (always) 		 engedélyezve  tiltva  
19.  Tartományi tag: az adatok digitális titkosítása (ha lehet)
Domain member: Digitally encrypt secure channel data (when possible) 		 engedélyezve  
20.  Tartományi tag: az adatok digitális aláírása (ha lehet)
Domain member: Digitally sing secure channel data (when possible) 		 engedélyezve  
21.  Tartományi tag: Számítógépfiók jelszómódosításainak tiltása
Domain member: Disable machine account password changes 		 tiltva  
22.  Tartományi tag: Számítógépfiók jelszavának maximális élettartama
Domain member: Maximum machine account password age 		 30nap  
23.  Tartományi tag: erős (Windows 2000 vagy frissebb rendszerű) munkamenetkulcs megkövetelése
Domain member: Require strong (Windows 2000 or later)session key 		 engedélyezve  tiltva  
24.  Interaktív bejelentkezés: Ne jelenjen meg a legutóbb bejelentkezett felhasználó neve
Interactive logon: Do not display last user name 		 engedélyezve  
25.  Interaktív bejelentkezés: Nincs szükség CTRL+ALT+DEL billentyűkombinációra
Interactive logon: Do not require CTRL+ALT+DEL 		 letiltva  
26.  Interaktív bejelentkezés: Bejelentkezési üzenet a felhasználónak
Interactive logon: Message text for users attempting to log on 		 <jogi részleg jóváhagyásával>  
27.  Interaktív bejelentkezés: Bejelentkezési üzenet címe
Interactive logon: Message title for users attempting to log on 		 <jogi részleg jóváhagyásával>  
28.  Interaktív bejelentkezés: Tartományvezérlő nélküli bejelentkezés helyileg tárolt információval
Interactive logon: Number of previous logons to cache (in case domain controller is not available) 		 0  1  2  
29.  Interaktív bejelentkezés: A felhasználó figyelmeztetése a jelszó lejárta előtt
Interactive logon: Prompt use to change password before expiration 		 14 nap
  
30.  Interaktív bejelentkezés: A munkaállomás zárolásának feloldásához tartományvezérlői hitelesítésre van szükség
Interactive logon: Require Domain Controller authentication to unlock workstation 		 nem definiált
  engedélyezve  letiltva  nem definiált
  
31.  Interaktív bejelentkezés: Viselkedés intelligens kártya eltávolitásakor
Interactive logon: Smart card removal behavior 		 munkaállomás zárolása
  
32.  Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (mindig)
Microsoft network client: Digitally sign communications (always) 		engedélyezve
  nem definiált
  1
33.  Microsoft hálózati ügyfél: Kommunikáció digitális aláírása (ha a kiszolgáló egyetért)
Microsoft network client: Digitally sign communications (if server agrees) 		 engedélyezve  
34.  Microsoft hálózati ügyfél:Titkosítatlan jelszavak küldése egyéb SMB kiszolgálóknak
Microsoft network client: Send unencrypted password to third-party SMB servers 		letiltva
 2
35.  Microsoft hálózati ügyfél: Ügyfelek leválasztása a nyilvántartási idő végén
Microsoft network server: Amount of idle time required before suspending session 		 15 perc
  
36.  Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig)
Microsoft network server: Digitally sign communications (always) 		engedélyezve
  nem definiált  
37.  Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (ha az ügyfél egyetért)
Microsoft network server: Digitally sign communications (if client agrees) 		 engedélyezve  
38.  Microsoft hálózati kiszolgáló: Ügyfelek leválasztása a nyilvántartási idő végén
Microsoft network server: Disconnect clients when logon hours expired 		engedélyezve
  letiltva  engedélyezve  
39.  Hálózati hozzáférés: A névtelen helyazonosító-/névfordítás engedélyezése
Network access: Allow anonymous SID/Name translation 		 letiltva  
40.  Hálózati hozzáférés: SAM fiókok névtelen felsorolása nem engedélyezett
Network access: Do not allow anonymous enumeration of SAM accounts 		 engedélyezve  
41.  Hálózati hozzáférés: SAM fiókok és –megosztása névtelen felsorolása nem engedélyezett
Network access: Do not allow anonymous enumeration of SAM accounts and shares 		 engedélyezve  
42.  Hálózati hozzáférés: Nem lehet hitelesítő adatokat vagy .NET passportot tárolni hálózati hitelesítéshez
Network access: Do not allow storage of credentials or .NET Passports for network authentication
 engedélyezve
  nem definiált
  
43.  Hálózati hozzáférés: A névtelen felhasználókra a Mindenki csoportra vonatkozó engedélyek vonatkoznak
Network access: Let Everyone permissions apply to anonymous users 		 letiltva  
44.  Hálózati hozzáférés: Névtelenül elérhető Named Pipe-ok
Network access: Named Pipes that can be access anonymously 		nincs beállítás
  nem definiált
  
45.  Hálózati hozzáférés: Távolról elérhető rendszerleíró elérési utak
Network access: Remotely accessible registry paths 		 nem definiált
  
46.  Hálózati hozzáférés: Névtelenül elérhető megosztások
Network access: Shares that can be accessed anonymously  		nincs beállítás
  
47.  Hálózati hozzáférés: Megosztási és biztonsági modell helyi felhasználói fiókok számára
Network access: Sharing and security model for local account 		 klasszikus  
48.  Hálózati biztonság: A következő jelszómódosításkor ne tárolja a LAN-kezelő üzenetkivonatát
Network security: Do not store LAN manager hash value on next password change 		engedélyezve
  nem definiált
  
49.  Hálózati biztonság: Kötelező kijelentkezés a nyitvatartási óra lejártakor
Network security: Force logoff when logon hours expire  		engedélyezve
  nem definiált
  
50.  Hálózati biztonság: LAN-kezelő hitelesítési szintje
Network security: LAN Manager authentication level 		NTLMv2 küldés LM és NTLM elutasítva
  NTLMv2 küldés,
LM elutasítva		  NTLMv2 küldés  3
51.  Hálózati biztonság: LDAP ügyfél aláírási követelményei
Network security: LDAP client signing requirements 		 aláírás megkövetelve  
52.  Hálózati biztonság: Minimális biztonság az NTLM SSP alapú (a biztonságos RPC is) ügyfelekkel
Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
 az üzenet sértetlensége, titkossága, az NTLMv2 munkamenet biztonság, 128-bites titkosítás megkövetelve  nem definiált  3
53.  Hálózati biztonság: Minmális munkamenet-biztonság az NTLM SSP (a biztonságos RPC is) kiszolgálókkal
Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
 az üzenet sértetlensége, titkossága, az NTLMv2 munkamenet biztonság, 128-bites titkosítás megkövetelve  nem definiált
  3
54.  Helyreállítási konzol: Automatikus rendszergazdai bejelentkezés
Recovery console: Allow automatic administrative logon
 letiltva  
55.  Helyreállítási konzol: Hajlékonylemez másolása és hozzáférés minden meghajtóhoz és mappához
Recovery console: Allow floppy copy and access to all drives and all folders 		 nem definiált
  
56.  Leállítás: A rendszer leállítható bejelentkezés nélkül
Shutdown: Allow system to be shutdown without having to log on  		letiltva
 
57.  Leállítás: Virtuális memória lapozófájljainak törlése
Shutdown: Clear virtual memory pagefile 		engedélyezve
  4
58.  Rendszerkriptográfia: FIPS szabványnak megfelelő algoritmus használata titkosításhoz, kivonatoláshoz és aláíráshoz
System crypthography: Use FIPS compliant algorithms for encryption, hashing and signing
  engedélyezve nem definiált
  
59.  Rendszerobjektumok: A Rendszergazdák csoport tagjai által létrehozott objektumok alapértelmezett tulajdonosa
System objects: Default owner for objects created by members of the Administrators group
 az objektum létrehozója
  
60.  Rendszerobjektumok: A nem-Windows alrendszerek esetén a kis- és nagybetűk megkülönböztetésének megkövetelése
System objects: Require case sensitivity for non-Windows subsystem
  engedélyezve nem definiált
  
61.  Rendszerobjektumok: A belső rendszerobjektumok (pl. szimbolikus hivatkozások) alapértelmezett engedélyezésének megerősítése  
System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)
 engedélyezve  nem definiált  

1    Windows 2000 előtti szerverekkel történő kommunikációt megakadályozza
2    Windows NT előtti szerverekkel történő kommunikációt megakadályozza
3    Bizonyos kliensekkel és kiszolgálókkal való kapcsolattartást megakadályozza
4    Emiatt az újrabootolás hosszabb ideig tarthat, különösen a több RAM-mal rendelkező

4.3 Eseménynaplóházirend

 Házirend Javasolt érték  
    Fokozott biztonság Vállalat OKV Idejétmúlt  
1. Maximális alkalmazási napló fájlméret
Maximum application log size 		16 MB  
2. Maximális biztonsági napló fájlméret
Maximum security log size 		80 MB
  
3. Maximális rendszernapló fájlméret
Maximum system log size 		16 MB
  
4.4 Kötött csoportok

 Kötött csoportok
 Javasolt érték  
 
Fokozott biztonság Vállalat OKV Idejétmúlt  
1. Kiemelt felhasználók
Power Users 		nincs beállítás
  
2. Távoli felhasználók
Remote Desktop Users 		nincs beállítás
  
4.5 Rendszerszolgáltatások

 A szolgáltatás neve
 Javasolt érték  
 
Fokozott biztonság Vállalat OKV Idejétmúlt  
1. Riasztás
Alerter 		letiltva
  
2. Vágókönyv
Clipbook 		letiltva
  
3. Számítógép tallózó
Computer Browser 		 letiltva  nem definiált  letiltva  nem definiált  
4. Faxszolgáltatás
Fax Service 		 letiltva nem definiált
  
5. FTP publikációs szolgáltatás
FTP Publishing Service 		letiltva
  
6. IIS rendszerszolgáltatás
IIS Admin Service 		letiltva
  
7. Indexelő szolgáltatás
Indexing Service 		 letiltva nem definiált
  
8. Üzenetkezelő
Messenger 		letiltva
  
9. Hálózati bejelentkezés
Netlogon 		nem definiált
  
10. Netmeeting távoli asztalmegosztás
Netmeeting Remote Desktop Sharing 		letiltva
  
11. Távoli asztal súgó-munkamenetkezelő
Remote Desktop Help Session Manager 		 letiltva nem definiált
  letiltva  
12. Távoli rendszerleíró adatbázis
Remote Registry 		 letiltva  nem definiált letiltva  nem definiált  
13. Útválasztás és távelérés
Routing and Remote Access		 letiltva
  
14. Egyszerű levélátviteli protokoll (SMTP)
Simple Mail Transfer Protocol (SMTP)		 letiltva
  
15. Egyszerű Hálózatkezelő protokoll (SNMP) szolgáltatás
Simple Network Management Protocol (SNMP) Service		 letiltva
  
16. Egyszerű hálózatkezelő protokoll (SNMP) csapda
Simple Network Management Protocol (SNMP) Trap		 letiltva
  
17. Feladatütemező
Task Scheduler		 letiltva nem definiált
  
18. Telnet
Telnet		 letiltva
  
19. Terminálszolgáltatások
Teminal Services		 letiltva nem definiált
  
20. Univerzális Plug and Play eszközök
Universal Plug and Play Device Host		 letiltva
 nem definiált
  
21. World Wide Web publikációs szolgáltatás
World Wide Web Publishing Services		 letiltva
  
4.6 Fájl engedélyek beállítása

 A szolgáltatás neve
 Javasolt érték  
 
Fokozott biztonság Vállalat OKV Idejétmúlt  
1.  %SystemRoot% \system32\at.exe  Adminisztrátorok: teljes; Rendszer: teljes
  
2.  %SystemRoot% \system32\attrib.exe  Adminisztrátorok: teljes; Rendszer: teljes
  
3.  %SystemRoot% \system32\cacls.exe  Adminisztrátorok: teljes; Rendszer: teljes
  
4.  %SystemRoot% \system32\debug.exe  Adminisztrátorok: teljes; Rendszer: teljes
  
5.  %SystemRoot% \system32\drwatson.exe  Adminisztrátorok: teljes; Rendszer: teljes
  
6.  %SystemRoot% \system32\drwtsn32.exe  Adminisztrátorok: teljes; Rendszer: teljes
  
7.  %SystemRoot% \system32\edlin.exe  Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt
  
8.  %SystemRoot% \system32\eventcreate.exe  Adminisztrátorok: teljes; Rendszer: teljes  
9.  %SystemRoot% \system32\eventtriggers.exe  Adminisztrátorok: teljes; Rendszer: teljes  
10.  %SystemRoot% \system32\ftp.exe  Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt
  
11.  %SystemRoot% \system32\net.exe  Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt
  
12.  %SystemRoot% \system32\net1.exe  Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt
  
13.  %SystemRoot% \system32\netsh.exe  Adminisztrátorok: teljes; Rendszer: teljes  
14.  %SystemRoot% \system32\arcp.exe  Adminisztrátorok: teljes; Rendszer: teljes  
15.  %SystemRoot% \system32\reg.exe  Adminisztrátorok: teljes; Rendszer: teljes ** 
16.  %SystemRoot% \system32\regedit.exe  Adminisztrátorok: teljes; Rendszer: teljes  **
17.  %SystemRoot% \system32\regedt32.exe  Adminisztrátorok: teljes; Rendszer: teljes  **
18.  %SystemRoot% \system32\regsvr32.exe  Adminisztrátorok: teljes; Rendszer: teljes  
19.  %SystemRoot% \system32\rexec.exe  Adminisztrátorok: teljes; Rendszer: teljes  
20.  %SystemRoot% \system32\rsh.exe  Adminisztrátorok: teljes; Rendszer: teljes  
21.  %SystemRoot% \system32\runas.exe  Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt  ***
22.  %SystemRoot% \system32\sc.exe  Adminisztrátorok: teljes; Rendszer: teljes  
23.  %SystemRoot% \system32\subst.exe  Adminisztrátorok: teljes; Rendszer: teljes  ****
24.  %SystemRoot% \system32\telnet.exe  Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt  
25.  %SystemRoot% \system32\tftp.exe  Adminisztrátorok: teljes; Rendszer: teljes; interaktív*: olvas és végrehajt  
26.  %SystemRoot% \system32\tlntsvr.exe  Adminisztrátorok: teljes; Rendszer: teljes  

* Interaktív: bejelentkezett felhasználó
** Mivel a felhasználók ezeket az eszközöket már nem használhatják, a beállítások hátrányosan befolyásolhatják a műveleteket.
*** Néhány szervezet inkább a felhasználóknak biztosítja a runas.exe futtatási jogát, mintsem az adminisztrátorok kapjanak teljes jogosultságot.
**** Alkalmazás-kompatibilitási kérdéseket vethet fel; például egy nem-privilegizált felhasználó egy login script-en keresztül behívhatja.

4.7 Rendszerleíró-adatbázis beállításai

 A rendszerleíró-adatbázis kulcs
 Javasolt érték  
 
Fokozott biztonság Vállalat OKV Idejétmúlt  
1. HKLM\Software
  Rendszergazdák:teljes,
Rendszer: teljes,
Létrehozó tulaj: teljes,
Felhasználó: olvasás		  nem meghatározott  
2. HKLM\Software\Microsoft\Windows\CurrentVersion\Installer
  Rendszergazdák:teljes,
Rendszer: teljes,
Felhasználó: olvasás		  Rendszergazdák: teljes,
Rendszer: teljes,
Felhasználó: olvasás		  
3. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
  Rendszergazdák:teljes,
Rendszer: teljes,
Jogosult felh.: olvasás		  Rendszergazdák: teljes,
Rendszer: teljes,
Jogosult felh.: olvasás		  
4. HKLM\System
  Rendszergazdák:teljes,
Rendszer: teljes,
Létrehozó tulaj: teljes,
Felhasználó: olvasás		  nem meghatározott  
5. HKLM\System\CurrentControlSet\Enum
  Rendszergazdák:teljes,
Rendszer: teljes,
Jogosult felh.: olvasás		  Rendszergazdák: teljes,
Rendszer: teljes,
Jogosult felh.: olvasás		  
6. HKLM\System\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers
  Rendszergazdák:teljes,
Rendszer: teljes,
Létrehozó tulaj: teljes		  Rendszergazdák: teljes,
Rendszer: teljes,
Létrehozó tulaj: teljes		  
7. HKLM\System\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities
  Rendszergazdák:teljes,
Rendszer: teljes,
Létrehozó tulaj: teljes		  Rendszergazdák: teljes,
Rendszer: teljes,
Létrehozó tulaj: teljes		  
8. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings
  Rendszergazdák:teljes,
Felhasználó: olvasás		  nem meghatározott  
9. HKLM\Software\Microsoft\MSDTC
  Rendszergazdák:teljes,
Rendszer: teljes,
Hálózati szolgáltatás: érték lekérdezés, - beállítás, alkulcs generálás, alkulcs felsorolás, értesítés. olvasás
Felhasználó: olvasás		  nem meghatározott  
10. HKU\.Default\Software\Microsoft\SystemCertificates\Root\ProtectedRoots
  Rendszergazdák:teljes,
Rendszer: teljes,
Felhasználó: olvasás		  Rendszergazdák: teljes,
Rendszer: teljes,
Felhasználó: olvasás		  
11. HKLM\Software\Microsoft\Windows NT\CurrentVersion\SecEdit
  Rendszergazdák:teljes,
Rendszer: teljes,
Felhasználó: olvasás		  Rendszergazdák: teljes,
Rendszer: teljes,
Felhasználó: olvasás		  

 

4.8 A rendszerleíró-adatbázis értékei

A rendszerleíró-adatbázis  kulcs
 Javasolt érték  
 
Fokozott biztonság Vállalat OKV Idejétmúlt  
1. HKLM\Software\Microsoft\|DrWatson\CreateCrashDump
  0  
2. HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Auto
  0  
3. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
  255  
4. HKU\.DEFAULT\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
  255  
5. HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\AutoAdminLogon
  0  
6. HKLM\System\CurrentControlSet\Control\CashControl\AutoReboot
  0  
7. HKLM\System\CurrentControlSet\Services\Cdrom\Autorun
  0  
8. HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareWks
  0 nem definiált
0
nem definiált
 
9. HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset
  1  
10. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
  2  
11. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect
  0  
12. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
  0  
13. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
  0  
14. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime
  300000  
15. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery
  0  
16. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ynAttackProtect
  2  
17. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
  100  
18. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetired
  80  
19. HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt
  1  
20. HKLM\System\CurrentControlSet\Services\Lanmanserver\Parameters\Hidden
  1  
21. HKLM\System\CurrentControlSet\Control\Session Manager\SafeDIISearchMode
  1  

 

5. A Windows XP biztonsági beállításainál alkalmazott eszközök

(konfigurálás, üzemeltetés, monitorozás)
Az eszköz neve  Feladata  Helye
Automatikus frissítés
Automatic Update		  Ellenőrzi, hogy van-e Microsoft szolgáltatógépen frissítés; letölti és telepíti.  Windows XP rendszerben
Kódolás
Cipher		  A diszkek üres területeiről véglege¬sen letörli az adatokat (/w opció)  
 cipher.exe
 Windows XP rendszerben
Eseménynapló
Event Viewer		  Az alkalmazási, a biztonsági és a rendszernapló bejegyzéseit mutatja meg.  eventvwr.exe
Windows XP rendszerben
Csoportházirendobjektum-kezelő konzol MMC modul
Group Policy Management Console (GPMC) MMC snap-in		  Csoport házirend kezelése több¬szörös tartományban  http://www.microsoft.com/
windowsserver2003/gpmc/default.mspx
 Csoportházirend modellező varázsló MMC modul
Group Policy Modeling Wizard MMC snap-in		  Egy adott felhasználóra vagy számítógépre alkalmazott csoportházirend-kombináció hatását határozza meg.  http://www.microsoft.com/
windowsserver2003/gpmc/default.mspx
 Csoportházirend objektum szerkesztő MMC modul
Group Policy Object Editor MMC snap-in		  A biztonsági mintabeállításokat a csoportházirend objektumba importálja.  Windows XP rendszerben
 HFNetChk.exe  A rendszerhez tartozó biztonsági javítások telepítését ellenőrzi.  http://www.microsoft.com/
technet/security/tools/hfnetchk.mspx
 Helyi biztonsági házirend
Local Security Policy		  A helyi biztonsági házirendet mutatja meg és a rendszergazda meg is változtathatja.  Windows XP rendszerben (Vezérlőpult
-> Felügyeleti eszközök)
 Microsoft Baseline Security Analyzer (MBSA)  Biztonsági szempontból végignézi a számítógépet.  http://www.microsoft.com/
technet/security/tools/mbsahome.mspx
 Felügyeleti konzol
Microsoft Management Console (MMC)		  Modulok tárolóhelye  mmc.exe
Windows XP rendszerben
 Port Reporter  A TCP és UDP portok használatát naplózza  http://www.microsoft.com/downloads/
details.aspx?displaylang=en&FamilyID=
69BA779B-BAE9-4243-B9D6-63E62B4BCD2E
 Rendszerleíró-adatbázis szerkesztő
Registry Editor		  A rendszerleíró-adatbázis bejegyzéseit a rendszergazda megnézheti és módosíthatja.  regedit.exe és regedt32.exe
Windows XP rendszerben
 Távoli telepítés
Remote Installation Services		  A Windows XP automatikus telepítése távoli rendszerből.  Windows 2000 és Windows 2003 rendszerekben
 Biztonsági konfiguráció és elemzés MMC modul
Security Configuration and Analysis MMC snap-in		  Összehasonlítja a rendszer jelenlegi biztonsági beállításait a mintabeállításokkal.  Windows XP rendszerben
 Biztonsági mintabeállítás MMC modul
Security Template MMC snap-in		  A biztonsági mintabeállítások megtekintését, megváltoztatását és alkalmazását teszi lehetővé a rendszergazdák számára.  Windows XP rendszerben
 Rendszerelőkészítő-eszköz
Sysprep		  Az XP képet más rendszerekre klónozza.  sysprep.exe
Windows XP rendszerben
 Windows Update  Megnézi, hogy van-e frissítés, lehozza és telepíti azt.  http://windowsupdate.microsoft.com
 Windows Firewall  Tűzfal  Windows XP rendszerben
 Microsoft AntiSpyware  Kémszoftverek elleni védelem  


6. A Windows XP rendszerben használt portok

 PortProtokoll
Szolgáltatás
Leírás
21 TCP FTP File Transfer Protocol service
23 TCP Telnet Telnet service
68 UDP DHCP Dynamic Host Configuration Protocol client
80 TCP HTTP HyperText Transfer Protocol service
123 UDP NTP Network Time Protocol client (Windows Time)
135 TCP epmap DCE Endpoint Resolution (remote procedure call)
137 UDP NetBIOS-ns NetBIOS Name Service
138 UDP NetBIOS-dgm NetBIOS Datagram Service
139 TCP NetBIOS-ssn NetBIOS Session Service
161 UDP SNMP Simple Network Management Protocol
213 UDP IPX over IP
 Client Service for Netware Service
443 TCP HTTPS HTTP over SSL server
445 TCP/UDP
 microsoft-ds (SMB)
 Microsoft Common Internet File System (CIFS)
500 UDP IKE Internet Key Exchange (gyakran az IPSec-kel együtt alkalmazzák)
515 TCP LPR Print Spooler service
522 TCP  NetMeeting client
1503 TCP  NetMeeting client
1701 UDP L2TP Layer 2 Tunneling Protocol client
1720 TCP  NetMeeting client
1723 TCP/UDP PPTP Point-to-Point Tunneling Protocol client
1731 TCP  NetMeeting client
1900 UDP SSDP Simple Service Discovery Protocol
2001 - 2120
 UDP  Windows Messenger voice calls
2869 TCP UpnP Universal Plug and Play
3002 TCP  Internet Connection Firewall/Sharing
3003 TCP  Internet Connection Firewall/Sharing
3389 TCP RDP Remote Protocol Desktop service
5000 TCP UpnP Universal Plug and Play
6801 UDP  Windows Messenger voice calls
6891-6900 TCP  Windows Messenger file transfers
6901 TCP/UDP  Windows Messenger voice calls

 
<Previous