Статья: Аудит и восстановление паролей в Windows

* использовать встроенную в операционные системы Windows 2000/XP/2003 возможность шифрования файлов посредством EFS (Encrypting File System (англ.) - файловая система с шифрованием), являющейся частью NTFS5;

* запретить удаленное управление реестром, остановив соответствующую службу;

* запретить использовать право отладки программ SeDebugPrivilege. Для этого в оснастке "Локальная политика безопасности" нужно выбрать элемент "Параметры безопасностиЛокальные политикиНазначение прав пользователя" и в свойствах политики "Отладка программ" удалить из списка всех пользователей и все группы;

* отменить использование особых общих папок ADMIN$, C$ и т.д., позволяющих пользователю с административными правами подключаться к ним через сеть. Для этого необходимо добавить в реестр параметр AutoShareWks (для версий Workstation и Professional) или AutoShareServer (для версии Server) типа DWORD и установить его в 0 в разделе

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

Диапазон: 0-1, по умолчанию - 1.

0 - не создавать особые общие ресурсы;

1 - создавать особые общие ресурсы.

Подробнее об удалении особых общих ресурсов можно прочитать в статье KB314984 HOW TO: Create and Delete Hidden or Administrative Shares on Client Computers (для версий Workstation и Professional) и в статье KB318751 HOW TO: Remove Administrative Shares in Windows 2000 (для версии Server);

* запретить или максимально ограничить количество совместно используемых сетевых ресурсов;

* ограничить анонимный доступ в операционных системах Windows NT/2000, позволяющий при анонимном подключении получать информацию о пользователях, политике безопасности и общих ресурсах. В Windows NT/2000 нужно добавить в реестр параметр RestrictAnonymous типа DWORD в разделе

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

Диапазон: 0-2, по умолчанию - 0 для Windows NT/2000, 1 - для Windows XP/2003.

0 - не ограничивать, положиться на заданные по умолчанию разрешения;

1 - не разрешать получать список учетных записей и имен пользователей;

2 - не предоставлять доступ без явных анонимных разрешений (недоступно в Windows NT).

Подробнее об ограничении анонимного доступа можно прочитать в статье KB143474 Restricting Information Available to Anonymous Logon Users (для Windows NT) и в статье KB246261 How to Use the RestrictAnonymous Registry Value in Windows 2000 (для Windows 2000);

* запретить хранение LM-хэшей в операционных системах Windows 2000/XP/2003 для затруднения восстановления паролей злоумышленником, вынуждая использовать для этого NT-хэши. Для этого необходимо добавить в реестр параметр NoLMHash типа DWORD и установить его в 1 в разделе

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

Диапазон: 0-1, по умолчанию - 0.

0 - хранить LM-хэши;

1 - не хранить LM-хэши.

Подробнее о запрещении хранения LM-хэшей можно прочитать в статье KB299656 How to Prevent Windows from Storing a LAN Manager Hash of Your Password in Active Directory and Local SAM Databases;

* если в сети отсутствуют клиенты с Windows for Workgroups и Windows 95/98/Me, то рекомендуется отключить LM-аутентификацию, так как это существенно затруднит восстановление паролей при перехвате аутентификационных пакетов злоумышленником. Если же такие клиенты присутствуют, то можно включить использование LM-аутентификации только по запросу сервера. Это можно сделать, активизировав расширение механизма аутентификации NTLMv2. Для его активизации необходимо добавить в реестр следующие параметры:

o LMCompatibilityLevel типа DWORD в разделе

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

Диапазон: 0-5, по умолчанию - 0.

0 - посылать LM- и NT-ответы, никогда не использовать аутентификацию NTLMv2;

1 - использовать аутентификацию NTLMv2, если это необходимо;