Решена Настройка параметров безопасности MSS

Victoreva

Активный пользователь
Сообщения
57
Реакции
2
Доброго времени суток!
Подскажите как можно настроить параметры безопасности MSS в Windows 7 SP1? Как сделать, чтоб они отображались в локальной политике? Нашел статью, где написано про часть параметров как можно настроить через реестр, но для части нет необходимых указаний. Было бы проще если бы они отображались в консоли локальной\групповой политики.
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,244
Реакции
6,273
Добрый вечер.
Вы данный мануал читали?
Windows_7_Security_Guide.doc

Эти дополнительные параметры можно добавить в редактор SCE, внеся изменения в файл Sceregvl.inf (находится в папке %windir%\inf) и повторно зарегистрировав файл Scecli.dll. И оригинальные, и дополнительные параметры безопасности расположены в разделе....
 

Вложения

  • Windows_7_Security_Guide.doc
    1.3 MB · Просмотры: 11
Последнее редактирование:

Victoreva

Активный пользователь
Сообщения
57
Реакции
2
Да, читал. Но ведь там самих инструкций то нет по редактированию файла Sceregvl.inf . Поэтому по факту этот мануал бесполезен, да написано в общих чертах, но конкретно как сделать - ни слова.
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,244
Реакции
6,273
Victoreva, у меня уже полночь,если никто не ответит то с значениями реестра уже завтра будем разбираться.
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,244
Реакции
6,273
Victoreva, вроде разобрался.
Теперь сформулируйте конкретно вопрос,что именно вам не понятно.
 

Victoreva

Активный пользователь
Сообщения
57
Реакции
2
У меня стоит задача - настроить параметры безопасности, в том числе MSS. Мне не понятно, как это сделать. В оснастке в параметрах безопасности они не отображаются, а через реестр я не знаю какое значение присваивать некоторым переменным. Нашел нормативный документ, в котором, для примера, написано - присвоить параметру: Использовать защиту от Syn-атак значение: Время соединения сокращается при выявлении SYN-атаки, а какое это значение у переменной в реестре я без понятия. Поэтому мне хотелось бы узнать хотя бы одно из двух:
1 - как настроить эти параметры через реестр (конкретные значения переменных в какой настройке соответствуют)
2 - как сделать чтобы эти параметры отображались в консоли групповой политики безопасности\ анализ и настройка безопасности системы, так как оттуда их проще всего настроить.
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,244
Реакции
6,273
как сделать чтобы эти параметры отображались в консоли групповой политики безопасности\ анализ и настройка безопасности системы, так как оттуда их проще всего настроить.
Добавить эту запись настройки в Sceregvl.inf

как настроить эти параметры через реестр (конкретные значения переменных в какой настройке соответствуют)
Для того,что бы попытаться на это ответить необходимо знать какие именно параметры.
 

Victoreva

Активный пользователь
Сообщения
57
Реакции
2
Это я уже понял, что нужно изменять файл Sceregvl.inf. Можете тогда написать как это сделать для следующих параметров:

1 -MSS: (AutoAdminLogon) включить автоматический вход в систему (Enable Automatic Logon)
2 -MSS: (DisableIPSourceRouting) Уровень защиты IP-маршрутизации источника (IP source routing protection level)
3- MSS: (EnableDeadGWDetect) Разрешить автоматическое распознавание неработающих шлюзов (может привести к DoS) (Allow automatic detection of dead network gateways)
4-MSS: (EnableICMPRedirect) Разрешить ICMP-перенаправления для переопределения сформированных OSPF маршрутов (Allow ICMP redirects to override OSPF generated routes)
5-MSS: (KeepAliveTime) Какова частота (в миллисекундах) рассылки пакетов проверки активности (How often keep-alive packets are sent in milliseconds)
6- MSS: (Hidden) скрыть компьютер из списка ресурсов (рекомендуется использовать только в средах с высоким уровнем безопасности) (Hide Computer From the Browse List)
7-MSS: (NoDefaultExempt) настроить исключения IPSec для различных типов сетевого трафика (Configure IPSec exemptions for various types of network traffic)
8-MSS: (NoDriveTypeAutoRun) отключить автозапуск для всех драйверов (Disable Autorun for all drives)
9-MSS: (NoNameReleaseOnDemand) разрешить компьютеру игнорировать запросы на освобождение имен NetBIOS, кроме запросов, поступающих от WINS-серверов (Allow the computer to ignore NetBIOS name release requests except from WINS servers)
10-MSS: (NtfsDisable8dot3NameCreation) разрешить компьютеру прекратить формирование имен файлов в стиле 8.3 (Enable the computer to stop generating 8.3 style filenames)
11-MSS: (PerformRouterDiscovery) разрешить IRDP распознавать и настраивать адреса основных шлюзов (может привести к DoS) (Allow IRDP to detect and configure Default Gateway addresses)
12-MSS: (SafeDllSearchMode) включить безопасный порядок поиска DLL (рекомендован) (Enable Safe DLL search mode)
13-MSS: (ScreenSaverGracePeriod) продолжительность периода отсрочки заставки (в секундах) (рекомендованное значение – 0) (The time in seconds before the screen saver grace period expires)
14-MSS: (SynAttackProtect) использовать защиту от Syn-атак (защита от DoS)
15-MSS: (TCPMaxConnectResponseRetransmissions) повторные отправки SYN-ACK при запросе соединения не обрабатываются (SYN-ACK retransmissions when a connection request is not acknowledged)
16-MSS: (TCPMaxDataRetransmissions) количество повторных передач неподтвержденных данных (How many times unacknowledged data is retransmitted)
17-MSS: (WarningLevel) Предельный размер (в процентном соотношении) журнала событий, по достижении которого система будет формировать предупреждение (Percentage threshold for the security event log at which the system will generate a warning)
18 -MSS: Уровень защиты маршрутизации IP-v6 источника (IP source routing protection level)
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,244
Реакции
6,273
MSS: (AutoAdminLogon) включить автоматический вход в систему (Enable Automatic Logon)
Давайте попробуем.
Добавьте запись
оригинал
Код:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon

Код:
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon,1,%AutoAdminLogon%,0
0 -отключено,1 - включено
 
Последнее редактирование:

Victoreva

Активный пользователь
Сообщения
57
Реакции
2
Я так понимаю эту строчку я могу добавить в любом месте?
Не могу сохранить изменения. Пишет нет доступа к целевой папке. Через вкладку безопасность на диске С, переназначить права не получается. На отдельной папке inf тоже
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,244
Реакции
6,273
Victoreva, скопируйте оригинальный файл в удобное место,а потом замените своим,модифицированным.
Я так понимаю эту строчку я могу добавить в любом месте?
После этих строк:
INI:
[Register Registry Values]
;
; Syntax: RegPath,RegType,DisplayName,DisplayType,Options
; where
;         RegPath:      Includes the registry keypath and value
;         RegType:      1 - REG_SZ, 2 - REG_EXPAND_SZ, 3 - REG_BINARY, 4 - REG_DWORD, 7 - REG_MULTI_SZ
;         Display Name: Is a localizable string defined in the [strings] section
;         Display type: 0 - boolean, 1 - Number, 2 - String, 3 - Choices, 4 - Multivalued, 5 - Bitmask
;         Options:      If Displaytype is 3 (Choices) or 5 (Bitmask), then specify the range of values and corresponding display strings
;                       in value|displaystring format separated by a comma.

Не забудьте перерегистрировать scecli.dll
 

Victoreva

Активный пользователь
Сообщения
57
Реакции
2
Просто заменить тоже не получилось, сделал другим способом. Перерегистрировал,но не могу найти этот параметр. Я так понимаю он должен отобразиться в оснастке редактор локальной групповой политики в узле «Конфигурация компьютера» разделе «Конфигурация Windows» в папке «Параметры безопасности», локальные политики, параметры безопасности. Если так, то я не вижу параметра с префиксом MSS
 

Victoreva

Активный пользователь
Сообщения
57
Реакции
2
На другой машине отобразилось, но как то коряво - в названии политики : %AutoAdminLogon%. И описания тоже нет, просто опция включить\отключить. Или так и должно быть?
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,244
Реакции
6,273
Нет,там еще кое что дописывать надо,я попозже подробный пример дам.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,244
Реакции
6,273
Victoreva, итак.
Хотел написать вам единый батник,но оказалось слишком трудоемким процессом для меня,возможно @Dragokas впоследствии что то порекомендует.

Давайте дам вам подробную инструкцию.

1)Определяемся с записью,которую хотим добавить
2)Копируем 2 копии файла Sceregvl.inf ,один - для создания модифицированной версии,второй - для резервной копии исходника.
Открываем текстовым редактором скопированный Sceregvl.inf
3)В данном примере мы добавляем первый пункт из вашего списка.
Код:
1 -MSS: (AutoAdminLogon) включить автоматический вход в систему (Enable Automatic Logon)

Для этого в секцию [Register Registry Values] файла Sceregvl.inf записываем необходимый вариант модификации значения реестра.

В данном случае это

Код:
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon,4,%AutoAdminLogon%,0

Что содержит в себе данная строка:
Код:
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - раздел реестра,соответствует
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

\AutoAdminLogon - параметр,который вы хотите модифицировать.
%AutoAdminLogon% - эту переменную оставляем в соответствии с требуемым названием.

,0 - это значение параметра.
0 -отключено,1 - включено

Как задать тип параметра?

  • 1 - REG_SZ
  • 2 - REG_EXPAND_SZ
  • 3 - REG_BINARY
  • 4 - REG_DWORD
  • 7 - REG_MULTI_SZ

4)Перейти к секции [Strings] и записать название,которое будет соответствовать переменной %AutoAdminLogon%
  • Имя каждого из перечисляемых параметров должно быть представлено одной строкой, не содержащей разрывов
  • Каждое из возможных значений параметра также должно быть представлено отдельной строкой:

INI:
AutoAdminLogon = "MSS: (AutoAdminLogon) Enable Automatic Logon"

5) Сохраняем,выполняем замену старого Sceregvl.inf

6) Перерегистрируем scecli.dll
Для этого в командной строке ввести команду
CMD/BATCH:
regsvr32 scecli.dll

7) Открываем редактор объектов групповой политики

8) В окне редактора объектов групповой политики выбираем "Конфигурация компьютера" - "Конфигурация Windows".

9) Выделить "Параметры безопасности".

10) Рулим настройками

============================================================

По вашему списку.

Выберите данные по редактированию реестра тут:
https://technet.microsoft.com/en-us/library/dd349797(v=ws.10).aspx#BKMK_5

По категориям полистайте,там наверняка все что требуется найдется.


Если что,спрашивайте - не стесняйтесь,еще никому не отказали)
 
Последнее редактирование:

kmscom

Активный пользователь
Сообщения
270
Реакции
42
а что такое MSS ? так и не понял из темы
 

Victoreva

Активный пользователь
Сообщения
57
Реакции
2
Koza Nozdri, спасибо буду разбираться. Если что отпишу
kmscom, это дополнительные параметры безопасности, которые включают в себя записи значений реестра. Они не отображаются по умолчанию в редакторе конфигураций безопасности (SCE) и обозначаются префиксом MSS
 
Сверху Снизу