Аудит.
Войдите в систему как Администратор (член группы администраторов) и выполните следующее:
Start - Programs - Administrative Tools - User Manager
В меню Policies выберите Audit
Включите аудит тех событий, которые вам нужны, OK
Выйдите из User Manager
Также возможно сконфигурировать аудит для файлов/директорий. Кликните правой клавишей на файле/папке, выберите Properties и выберите вкладку Security, далее выбирайте Auditing.
Просмотр и очистка файла регистрации (security log).
Инструкция (должны иметь права администратора):
Start - Programs - Administrative Tools - Event Viewer
В меню Log выберите Security
Даблкликните на любой записи для получения информации
Закройте окно просмотра
Для очистки файла регистрации (лога), выберите необходимый файл/запись (Log) и удалите все события, на вопрос о сохранении можете ответить No.
На повторный запрос ответьте Yes
Закройте Event Viewer
Восстановление, заданных по умолчанию, разрешений.
Для этого потребуется Windows NT Resource Kit SUpplement 2:
Войдите в систему с Account`ом, имеющим разрешения "Backup files and folders"
Запустите утилиту FIXACLS.EXE (Start - run - fixacls)
Нажмите кнопку Continue
По звершении операции, кликните OK.
FIXACLS устанавливает разрешения, сохраняющиеся в файле %SYSTEMROOT%INFPERMS.INF. Проследите, что бы у вас был доступ к этому файлу.
Копирование файлов с сохранением security и permissions.
Это возможно с применением программы SCOPY из Ресурс Кита.
SCOPY c:kukarachasecure.dat d:temp /o /a
копирует с сохранением владельца и информации об аудите. С использованием ключа /s копируется информация о поддректориях.
Разделы д.б. с NTFS.
Новые возможности защиты после применения Service Pack 3 (шифрование SAM).
Service Pack 3 добаляет возможность увеличения защиты базы данных SAM, путем применения нового ключа для шифрования SAM, имеющего три "моды" (состояния)
Секретный ключ генерируется системой, используется для шифрования SAM, и сохраняется на локальном жестком диске
Секретный ключ генерируется системой и используется для шифрования SAM, и сохраняется на гибком диске, который вставляется во время загрузки
Пароль пользователя используется для шифрования SAM и вводится во время загрузки
Для генерации ключа, для шифрования SAM, используется прорамма syskey.exe, учтите, что однажды активированное шифрование невозможно отменить без применения восстановления системы с помощью ERD (диска аврийного восстановления), созданного до применения syskey. Для включения шифрования:
Войдите в систему как Администратор
Создайте новый диск ERD (rdisk /s), спячьте его, пометив "До шифрования" :)
Запустите System Key (Start - Run - syskey.exe)
В окне диалога выберите "Encryption enabled" и OK
Еще раз OK
Выберите режим шифрования (если последний, то понадобится флопик) и OK.
Еще раз OK, после успешного завершения операции еще раз OK
Перезагрузите компьютер
Обязательно создайте новый диск ERD (rdisk /s)
Изменить режим шифрования можно запустив syskey.exe и выбрав Update.
Дополнительная информация по проблемам безопасности в NT.
http://www.ntsecurity.com
http://www.ntsecurity.net
http://www.microsoft.com/security
NT: проблемы безопасности (статья)
Q143475
Подробное описание Event Viewer`а.
Frank Heyne: Windows NT Eventlog (English).
Отмена шифрования SAM.
Инструкция:
Загрузитесь с установочных дискет
после диска 2 выберите R для восстановления
В появившемся меню выберите только "Inspect registry files" и выберите Continue
Дальше будете вставлять диск 3 и наконец ERD (тот, который спрятали в предыдущей статье:), т.е. созданный до включения шифрования SAM)
После перезагрузки все будет выключено (шифрование)
Остановка системы при переполнении файла регистрации (лога) Security.
В этом случае войти в систему для очистки и архивирования лога могут только Администраторы:
Regedit.exe
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
Если ключ CrashOnAuditFail есть, то идем дальше, если нет , в меню Edit выбираем New - DWORD и вводим имя CrashOnAuditFail. OK
Даблкликните на CrashOnAuditFail и вводите значение:
1 - Остановка системы когда лог заполнен
2 - Тоже самое, но войти может только Администратор.
Закройте редакор реестра
ну и теперь в случае переполнения лога получите BSOD.
Очистка (удаление) pagefile`а при выключении компьютера.
Инструкция:
Regedit.exe
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management
ClearPageFileAtShutdown тип DWORD
Значение 1
Перезагрузиться, в дальнейшем при выключении pagefile будет удаляться и создаваться при включении
Применение только сложных паролей.
В сервис паке содержится файл passfilt.dll (новый фильтр для паролей), который вводит новые ограничения для выбора паролей:
Пароль длиной не менее 6 знаков
В пароле д.б. не менее трех, следующих признаков:
- Заглавные (прописные) буквы A-Z
- маленькие буквы a-z
- числа 0-9
- символы (напимер "!", и т.п.)
пароль не может содержать имя пользователя или любую его часть
Для включения этой возможности на PDC (и одиночном сервере), это не надо делать на BDC, но при поднятии его до PDC сделать надо, выполните следующее:
Regedt32.exe
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
Даблкликните на "Notification Packages"
Введите PASSFILT в новой строке (линии) (здесь может находится FPNWCLNT, так что добавьте после). OK
Закройте редактор реестра
Перезагрузитесь