Статья: Аудит и восстановление паролей в Windows

3 - использовать только аутентификацию NTLMv2;

4 - контроллеру домена отказывать в LM-аутентификации;

5 - контроллеру домена отказывать в LM- и NT-аутентификации (допустима только аутентификация NTLMv2).

o NtlmMinClientSec или NtlmMinServerSec типа DWORD в разделе

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaMSV1_0

Диапазон: объединенные по логическому ИЛИ любые из следующих значений:

0x00000010 - целостность сообщений;

0x00000020 - конфиденциальность сообщений;

0x00080000 - безопасность сеанса NTLMv2;

0x20000000 - 128-битное шифрование.

Подробнее об использовании NTLMv2 можно прочитать в статье KB147706 How to Disable LM Authentication on Windows NT;

* если в сети присутствуют только клиенты с Windows 2000/XP/2003, то рекомендуется использовать протокол аутентификации Kerberos;

* запретить отображение имени пользователя, который последним регистрировался в операционной системе, в диалоговом окне регистрации. Для этого нужно добавить в реестр строковый параметр DontDisplayLastUserName и установить его в 1 в разделе

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Диапазон: 0-1, по умолчанию - 0.

0 - отображать имя последнего пользователя;

1 - не отображать имя последнего пользователя.

Подробнее о запрещении отображения имени пользователя можно прочитать в статье KB114463 Hiding the Last Logged On Username in the Logon Dialog;

* запретить запуск экранной заставки при отсутствии регистрации пользователя операционной системы в течение некоторого времени. Для этого нужно в реестре значение строкового параметра ScreenSaveActive установить в 0 в разделе

HKEY_USERS.DEFAULTControl PanelDesktop

Подробнее о запрещении запуска экранной заставки можно прочитать в статье KB185348 HOW TO: Change the Logon Screen Saver in Windows;

* при выборе паролей Windows NT/2000/XP/2003 соблюдать следующие правила:

o не выбирать в качестве пароля или части пароля любое слово, которое может являться словом словаря или его модификацией;

o длина пароля в Windows NT должна быть не менее 7 символов (при максимально возможной длине пароля в 14 символов), в Windows 2000/XP/2003 - более 14 символов (при максимально возможной длине пароля в 128 символов);

o пароль должен содержать символы из возможно большого символьного набора. Нельзя ограничиваться только символами A-Z, желательнее использовать в пароле и буквы, и цифры, и специальные символы (причем в каждой из 7-символьных половин пароля, если длина пароля менее или равна 14);

o символы пароля, являющиеся буквами, должны быть как верхнего, так и нижнего регистра, что затруднит восстановление пароля, производимое по NT-хэшу;

* своевременно выполнять установку пакетов исправлений и обновлений операционной системы;

* переименовать административную и гостевую учетные записи, отключив при этом последнюю;

* избегать наличия учетной записи с именем и паролем, совпадающими с административной, на другом компьютере в качестве обычной учетной записи;