Решена Настройка параметров безопасности MSS

Тема в разделе "Microsoft Windows 7", создана пользователем Victoreva, 3 мар 2015.

  1. Victoreva
    Оффлайн

    Victoreva Новый пользователь

    Сообщения:
    57
    Симпатии:
    2
    Доброго времени суток!
    Подскажите как можно настроить параметры безопасности MSS в Windows 7 SP1? Как сделать, чтоб они отображались в локальной политике? Нашел статью, где написано про часть параметров как можно настроить через реестр, но для части нет необходимых указаний. Было бы проще если бы они отображались в консоли локальной\групповой политики.
     
  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Добрый вечер.
    Вы данный мануал читали?
    Windows_7_Security_Guide.doc

     

    Вложения:

    Последнее редактирование: 3 мар 2015
  3. Victoreva
    Оффлайн

    Victoreva Новый пользователь

    Сообщения:
    57
    Симпатии:
    2
    Да, читал. Но ведь там самих инструкций то нет по редактированию файла Sceregvl.inf . Поэтому по факту этот мануал бесполезен, да написано в общих чертах, но конкретно как сделать - ни слова.
     
  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Victoreva, у меня уже полночь,если никто не ответит то с значениями реестра уже завтра будем разбираться.
     
  5. Victoreva
    Оффлайн

    Victoreva Новый пользователь

    Сообщения:
    57
    Симпатии:
    2
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Victoreva, вроде разобрался.
    Теперь сформулируйте конкретно вопрос,что именно вам не понятно.
     
  7. Victoreva
    Оффлайн

    Victoreva Новый пользователь

    Сообщения:
    57
    Симпатии:
    2
    У меня стоит задача - настроить параметры безопасности, в том числе MSS. Мне не понятно, как это сделать. В оснастке в параметрах безопасности они не отображаются, а через реестр я не знаю какое значение присваивать некоторым переменным. Нашел нормативный документ, в котором, для примера, написано - присвоить параметру: Использовать защиту от Syn-атак значение: Время соединения сокращается при выявлении SYN-атаки, а какое это значение у переменной в реестре я без понятия. Поэтому мне хотелось бы узнать хотя бы одно из двух:
    1 - как настроить эти параметры через реестр (конкретные значения переменных в какой настройке соответствуют)
    2 - как сделать чтобы эти параметры отображались в консоли групповой политики безопасности\ анализ и настройка безопасности системы, так как оттуда их проще всего настроить.
     
  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Добавить эту запись настройки в Sceregvl.inf

    Для того,что бы попытаться на это ответить необходимо знать какие именно параметры.
     
  9. Victoreva
    Оффлайн

    Victoreva Новый пользователь

    Сообщения:
    57
    Симпатии:
    2
    Это я уже понял, что нужно изменять файл Sceregvl.inf. Можете тогда написать как это сделать для следующих параметров:

    1 -MSS: (AutoAdminLogon) включить автоматический вход в систему (Enable Automatic Logon)
    2 -MSS: (DisableIPSourceRouting) Уровень защиты IP-маршрутизации источника (IP source routing protection level)
    3- MSS: (EnableDeadGWDetect) Разрешить автоматическое распознавание неработающих шлюзов (может привести к DoS) (Allow automatic detection of dead network gateways)
    4-MSS: (EnableICMPRedirect) Разрешить ICMP-перенаправления для переопределения сформированных OSPF маршрутов (Allow ICMP redirects to override OSPF generated routes)
    5-MSS: (KeepAliveTime) Какова частота (в миллисекундах) рассылки пакетов проверки активности (How often keep-alive packets are sent in milliseconds)
    6- MSS: (Hidden) скрыть компьютер из списка ресурсов (рекомендуется использовать только в средах с высоким уровнем безопасности) (Hide Computer From the Browse List)
    7-MSS: (NoDefaultExempt) настроить исключения IPSec для различных типов сетевого трафика (Configure IPSec exemptions for various types of network traffic)
    8-MSS: (NoDriveTypeAutoRun) отключить автозапуск для всех драйверов (Disable Autorun for all drives)
    9-MSS: (NoNameReleaseOnDemand) разрешить компьютеру игнорировать запросы на освобождение имен NetBIOS, кроме запросов, поступающих от WINS-серверов (Allow the computer to ignore NetBIOS name release requests except from WINS servers)
    10-MSS: (NtfsDisable8dot3NameCreation) разрешить компьютеру прекратить формирование имен файлов в стиле 8.3 (Enable the computer to stop generating 8.3 style filenames)
    11-MSS: (PerformRouterDiscovery) разрешить IRDP распознавать и настраивать адреса основных шлюзов (может привести к DoS) (Allow IRDP to detect and configure Default Gateway addresses)
    12-MSS: (SafeDllSearchMode) включить безопасный порядок поиска DLL (рекомендован) (Enable Safe DLL search mode)
    13-MSS: (ScreenSaverGracePeriod) продолжительность периода отсрочки заставки (в секундах) (рекомендованное значение – 0) (The time in seconds before the screen saver grace period expires)
    14-MSS: (SynAttackProtect) использовать защиту от Syn-атак (защита от DoS)
    15-MSS: (TCPMaxConnectResponseRetransmissions) повторные отправки SYN-ACK при запросе соединения не обрабатываются (SYN-ACK retransmissions when a connection request is not acknowledged)
    16-MSS: (TCPMaxDataRetransmissions) количество повторных передач неподтвержденных данных (How many times unacknowledged data is retransmitted)
    17-MSS: (WarningLevel) Предельный размер (в процентном соотношении) журнала событий, по достижении которого система будет формировать предупреждение (Percentage threshold for the security event log at which the system will generate a warning)
    18 -MSS: Уровень защиты маршрутизации IP-v6 источника (IP source routing protection level)
     
    Последнее редактирование: 4 мар 2015
  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Давайте попробуем.
    Добавьте запись
    оригинал
    Код (Microsoft Registry):
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon

    Код (Microsoft Registry):
    MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon,1,%AutoAdminLogon%,0
    0 -отключено,1 - включено
     
    Последнее редактирование: 5 мар 2015
  11. Victoreva
    Оффлайн

    Victoreva Новый пользователь

    Сообщения:
    57
    Симпатии:
    2
    Я так понимаю эту строчку я могу добавить в любом месте?
    Не могу сохранить изменения. Пишет нет доступа к целевой папке. Через вкладку безопасность на диске С, переназначить права не получается. На отдельной папке inf тоже
     
    Последнее редактирование: 4 мар 2015
  12. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Victoreva, скопируйте оригинальный файл в удобное место,а потом замените своим,модифицированным.
    После этих строк:
    Код (INI):
    [Register Registry Values]
    ;
    ; Syntax: RegPath,RegType,DisplayName,DisplayType,Options
    ; where
    ;         RegPath:      Includes the registry keypath and value
    ;         RegType:      1 - REG_SZ, 2 - REG_EXPAND_SZ, 3 - REG_BINARY, 4 - REG_DWORD, 7 - REG_MULTI_SZ
    ;         Display Name: Is a localizable string defined in the [strings] section
    ;         Display type: 0 - boolean, 1 - Number, 2 - String, 3 - Choices, 4 - Multivalued, 5 - Bitmask
    ;         Options:      If Displaytype is 3 (Choices) or 5 (Bitmask), then specify the range of values and corresponding display strings
    ;                       in value|displaystring format separated by a comma.
     
    Не забудьте перерегистрировать scecli.dll
     
  13. Victoreva
    Оффлайн

    Victoreva Новый пользователь

    Сообщения:
    57
    Симпатии:
    2
    Просто заменить тоже не получилось, сделал другим способом. Перерегистрировал,но не могу найти этот параметр. Я так понимаю он должен отобразиться в оснастке редактор локальной групповой политики в узле «Конфигурация компьютера» разделе «Конфигурация Windows» в папке «Параметры безопасности», локальные политики, параметры безопасности. Если так, то я не вижу параметра с префиксом MSS
     
  14. Victoreva
    Оффлайн

    Victoreva Новый пользователь

    Сообщения:
    57
    Симпатии:
    2
    На другой машине отобразилось, но как то коряво - в названии политики : %AutoAdminLogon%. И описания тоже нет, просто опция включить\отключить. Или так и должно быть?
     
  15. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Нет,там еще кое что дописывать надо,я попозже подробный пример дам.
     
    Последнее редактирование: 5 мар 2015
  16. Victoreva
    Оффлайн

    Victoreva Новый пользователь

    Сообщения:
    57
    Симпатии:
    2
    Хорошо, жду.
     
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
  18. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Victoreva, итак.
    Хотел написать вам единый батник,но оказалось слишком трудоемким процессом для меня,возможно @Dragokas впоследствии что то порекомендует.

    Давайте дам вам подробную инструкцию.

    1)Определяемся с записью,которую хотим добавить
    2)Копируем 2 копии файла Sceregvl.inf ,один - для создания модифицированной версии,второй - для резервной копии исходника.
    Открываем текстовым редактором скопированный Sceregvl.inf
    3)В данном примере мы добавляем первый пункт из вашего списка.
    Код (Text):
    1 -MSS: (AutoAdminLogon) включить автоматический вход в систему (Enable Automatic Logon)
    Для этого в секцию [Register Registry Values] файла Sceregvl.inf записываем необходимый вариант модификации значения реестра.

    В данном случае это

    Код (Microsoft Registry):

    MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon,4,%AutoAdminLogon%,0
     
    Что содержит в себе данная строка:
    Код (Microsoft Registry):
    MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - раздел реестра,соответствует
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

    \AutoAdminLogon - параметр,который вы хотите модифицировать.
    %AutoAdminLogon% - эту переменную оставляем в соответствии с требуемым названием.

    ,0 - это значение параметра.
    0 -отключено,1 - включено
     
    Как задать тип параметра?

    • 1 - REG_SZ
    • 2 - REG_EXPAND_SZ
    • 3 - REG_BINARY
    • 4 - REG_DWORD
    • 7 - REG_MULTI_SZ

    4)Перейти к секции [Strings] и записать название,которое будет соответствовать переменной %AutoAdminLogon%
    • Имя каждого из перечисляемых параметров должно быть представлено одной строкой, не содержащей разрывов
    • Каждое из возможных значений параметра также должно быть представлено отдельной строкой:

    Код (INI):
    AutoAdminLogon = "MSS: (AutoAdminLogon) Enable Automatic Logon"
    5) Сохраняем,выполняем замену старого Sceregvl.inf

    6) Перерегистрируем scecli.dll
    Для этого в командной строке ввести команду
    Код (DOS):
    regsvr32 scecli.dll
    7) Открываем редактор объектов групповой политики

    8) В окне редактора объектов групповой политики выбираем "Конфигурация компьютера" - "Конфигурация Windows".

    9) Выделить "Параметры безопасности".

    10) Рулим настройками

    ============================================================

    По вашему списку.

    Выберите данные по редактированию реестра тут:
    https://technet.microsoft.com/en-us/library/dd349797(v=ws.10).aspx#BKMK_5

    По категориям полистайте,там наверняка все что требуется найдется.


    Если что,спрашивайте - не стесняйтесь,еще никому не отказали)
     
    Последнее редактирование: 5 мар 2015
    Victoreva и Chinaski нравится это.
  19. kmscom
    Оффлайн

    kmscom Пользователь

    Сообщения:
    271
    Симпатии:
    43
    а что такое MSS ? так и не понял из темы
     
  20. Victoreva
    Оффлайн

    Victoreva Новый пользователь

    Сообщения:
    57
    Симпатии:
    2
    Koza Nozdri, спасибо буду разбираться. Если что отпишу
    --- Объединённое сообщение, 5 мар 2015, Дата первоначального сообщения: 5 мар 2015 ---
    kmscom, это дополнительные параметры безопасности, которые включают в себя записи значений реестра. Они не отображаются по умолчанию в редакторе конфигураций безопасности (SCE) и обозначаются префиксом MSS
     
    Kиpилл нравится это.

Поделиться этой страницей