Настройка параметров безопасности MSS

Victoreva

Участник
Сообщения
57
Реакции
2
Доброго времени суток!
Подскажите как можно настроить параметры безопасности MSS в Windows 7 SP1? Как сделать, чтоб они отображались в локальной политике? Нашел статью, где написано про часть параметров как можно настроить через реестр, но для части нет необходимых указаний. Было бы проще если бы они отображались в консоли локальной\групповой политики.
 
Добрый вечер.
Вы данный мануал читали?
Windows_7_Security_Guide.doc

Эти дополнительные параметры можно добавить в редактор SCE, внеся изменения в файл Sceregvl.inf (находится в папке %windir%\inf) и повторно зарегистрировав файл Scecli.dll. И оригинальные, и дополнительные параметры безопасности расположены в разделе....
 

Вложения

  • Windows_7_Security_Guide.doc
    1.3 MB · Просмотры: 11
Последнее редактирование:
Да, читал. Но ведь там самих инструкций то нет по редактированию файла Sceregvl.inf . Поэтому по факту этот мануал бесполезен, да написано в общих чертах, но конкретно как сделать - ни слова.
 
У меня стоит задача - настроить параметры безопасности, в том числе MSS. Мне не понятно, как это сделать. В оснастке в параметрах безопасности они не отображаются, а через реестр я не знаю какое значение присваивать некоторым переменным. Нашел нормативный документ, в котором, для примера, написано - присвоить параметру: Использовать защиту от Syn-атак значение: Время соединения сокращается при выявлении SYN-атаки, а какое это значение у переменной в реестре я без понятия. Поэтому мне хотелось бы узнать хотя бы одно из двух:
1 - как настроить эти параметры через реестр (конкретные значения переменных в какой настройке соответствуют)
2 - как сделать чтобы эти параметры отображались в консоли групповой политики безопасности\ анализ и настройка безопасности системы, так как оттуда их проще всего настроить.
 
как сделать чтобы эти параметры отображались в консоли групповой политики безопасности\ анализ и настройка безопасности системы, так как оттуда их проще всего настроить.
Добавить эту запись настройки в Sceregvl.inf

как настроить эти параметры через реестр (конкретные значения переменных в какой настройке соответствуют)
Для того,что бы попытаться на это ответить необходимо знать какие именно параметры.
 
Это я уже понял, что нужно изменять файл Sceregvl.inf. Можете тогда написать как это сделать для следующих параметров:

1 -MSS: (AutoAdminLogon) включить автоматический вход в систему (Enable Automatic Logon)
2 -MSS: (DisableIPSourceRouting) Уровень защиты IP-маршрутизации источника (IP source routing protection level)
3- MSS: (EnableDeadGWDetect) Разрешить автоматическое распознавание неработающих шлюзов (может привести к DoS) (Allow automatic detection of dead network gateways)
4-MSS: (EnableICMPRedirect) Разрешить ICMP-перенаправления для переопределения сформированных OSPF маршрутов (Allow ICMP redirects to override OSPF generated routes)
5-MSS: (KeepAliveTime) Какова частота (в миллисекундах) рассылки пакетов проверки активности (How often keep-alive packets are sent in milliseconds)
6- MSS: (Hidden) скрыть компьютер из списка ресурсов (рекомендуется использовать только в средах с высоким уровнем безопасности) (Hide Computer From the Browse List)
7-MSS: (NoDefaultExempt) настроить исключения IPSec для различных типов сетевого трафика (Configure IPSec exemptions for various types of network traffic)
8-MSS: (NoDriveTypeAutoRun) отключить автозапуск для всех драйверов (Disable Autorun for all drives)
9-MSS: (NoNameReleaseOnDemand) разрешить компьютеру игнорировать запросы на освобождение имен NetBIOS, кроме запросов, поступающих от WINS-серверов (Allow the computer to ignore NetBIOS name release requests except from WINS servers)
10-MSS: (NtfsDisable8dot3NameCreation) разрешить компьютеру прекратить формирование имен файлов в стиле 8.3 (Enable the computer to stop generating 8.3 style filenames)
11-MSS: (PerformRouterDiscovery) разрешить IRDP распознавать и настраивать адреса основных шлюзов (может привести к DoS) (Allow IRDP to detect and configure Default Gateway addresses)
12-MSS: (SafeDllSearchMode) включить безопасный порядок поиска DLL (рекомендован) (Enable Safe DLL search mode)
13-MSS: (ScreenSaverGracePeriod) продолжительность периода отсрочки заставки (в секундах) (рекомендованное значение – 0) (The time in seconds before the screen saver grace period expires)
14-MSS: (SynAttackProtect) использовать защиту от Syn-атак (защита от DoS)
15-MSS: (TCPMaxConnectResponseRetransmissions) повторные отправки SYN-ACK при запросе соединения не обрабатываются (SYN-ACK retransmissions when a connection request is not acknowledged)
16-MSS: (TCPMaxDataRetransmissions) количество повторных передач неподтвержденных данных (How many times unacknowledged data is retransmitted)
17-MSS: (WarningLevel) Предельный размер (в процентном соотношении) журнала событий, по достижении которого система будет формировать предупреждение (Percentage threshold for the security event log at which the system will generate a warning)
18 -MSS: Уровень защиты маршрутизации IP-v6 источника (IP source routing protection level)
 
Последнее редактирование:
MSS: (AutoAdminLogon) включить автоматический вход в систему (Enable Automatic Logon)
Давайте попробуем.
Добавьте запись
оригинал
Код:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon

Код:
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon,1,%AutoAdminLogon%,0
0 -отключено,1 - включено
 
Последнее редактирование:
Я так понимаю эту строчку я могу добавить в любом месте?
Не могу сохранить изменения. Пишет нет доступа к целевой папке. Через вкладку безопасность на диске С, переназначить права не получается. На отдельной папке inf тоже
 
Последнее редактирование:
Victoreva, скопируйте оригинальный файл в удобное место,а потом замените своим,модифицированным.
Я так понимаю эту строчку я могу добавить в любом месте?
После этих строк:
INI:
[Register Registry Values]
;
; Syntax: RegPath,RegType,DisplayName,DisplayType,Options
; where
;         RegPath:      Includes the registry keypath and value
;         RegType:      1 - REG_SZ, 2 - REG_EXPAND_SZ, 3 - REG_BINARY, 4 - REG_DWORD, 7 - REG_MULTI_SZ
;         Display Name: Is a localizable string defined in the [strings] section
;         Display type: 0 - boolean, 1 - Number, 2 - String, 3 - Choices, 4 - Multivalued, 5 - Bitmask
;         Options:      If Displaytype is 3 (Choices) or 5 (Bitmask), then specify the range of values and corresponding display strings
;                       in value|displaystring format separated by a comma.

Не забудьте перерегистрировать scecli.dll
 
Просто заменить тоже не получилось, сделал другим способом. Перерегистрировал,но не могу найти этот параметр. Я так понимаю он должен отобразиться в оснастке редактор локальной групповой политики в узле «Конфигурация компьютера» разделе «Конфигурация Windows» в папке «Параметры безопасности», локальные политики, параметры безопасности. Если так, то я не вижу параметра с префиксом MSS
 
На другой машине отобразилось, но как то коряво - в названии политики : %AutoAdminLogon%. И описания тоже нет, просто опция включить\отключить. Или так и должно быть?
 
Нет,там еще кое что дописывать надо,я попозже подробный пример дам.
 
Последнее редактирование:
Victoreva, итак.
Хотел написать вам единый батник,но оказалось слишком трудоемким процессом для меня,возможно @Dragokas впоследствии что то порекомендует.

Давайте дам вам подробную инструкцию.

1)Определяемся с записью,которую хотим добавить
2)Копируем 2 копии файла Sceregvl.inf ,один - для создания модифицированной версии,второй - для резервной копии исходника.
Открываем текстовым редактором скопированный Sceregvl.inf
3)В данном примере мы добавляем первый пункт из вашего списка.
Код:
1 -MSS: (AutoAdminLogon) включить автоматический вход в систему (Enable Automatic Logon)

Для этого в секцию [Register Registry Values] файла Sceregvl.inf записываем необходимый вариант модификации значения реестра.

В данном случае это

Код:
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon,4,%AutoAdminLogon%,0

Что содержит в себе данная строка:
Код:
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - раздел реестра,соответствует
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

\AutoAdminLogon - параметр,который вы хотите модифицировать.
%AutoAdminLogon% - эту переменную оставляем в соответствии с требуемым названием.

,0 - это значение параметра.
0 -отключено,1 - включено

Как задать тип параметра?

  • 1 - REG_SZ
  • 2 - REG_EXPAND_SZ
  • 3 - REG_BINARY
  • 4 - REG_DWORD
  • 7 - REG_MULTI_SZ

4)Перейти к секции [Strings] и записать название,которое будет соответствовать переменной %AutoAdminLogon%
  • Имя каждого из перечисляемых параметров должно быть представлено одной строкой, не содержащей разрывов
  • Каждое из возможных значений параметра также должно быть представлено отдельной строкой:

INI:
AutoAdminLogon = "MSS: (AutoAdminLogon) Enable Automatic Logon"

5) Сохраняем,выполняем замену старого Sceregvl.inf

6) Перерегистрируем scecli.dll
Для этого в командной строке ввести команду
CMD/BATCH:
regsvr32 scecli.dll

7) Открываем редактор объектов групповой политики

8) В окне редактора объектов групповой политики выбираем "Конфигурация компьютера" - "Конфигурация Windows".

9) Выделить "Параметры безопасности".

10) Рулим настройками

============================================================

По вашему списку.

Выберите данные по редактированию реестра тут:
https://technet.microsoft.com/en-us/library/dd349797(v=ws.10).aspx#BKMK_5

По категориям полистайте,там наверняка все что требуется найдется.


Если что,спрашивайте - не стесняйтесь,еще никому не отказали)
 
Последнее редактирование:
Koza Nozdri, спасибо буду разбираться. Если что отпишу
kmscom, это дополнительные параметры безопасности, которые включают в себя записи значений реестра. Они не отображаются по умолчанию в редакторе конфигураций безопасности (SCE) и обозначаются префиксом MSS
 
Назад
Сверху Снизу