» Реестр Windows 2000 / Windows XP [2]

Твик реестра от wanderer176 убрал полностью из меню Shut Down, Reboot, Log off!

Осталось только определить утилиту, которая будет выключать комп. Изучаю

Oleg_II
После перезагрузки пункт Завершение работы исчезнет из меню кнопки Пуск, также нелъзя будет выключить компьютер по Ctrl+Alt+Del.
Чтобы удалить пункт меню Выход из системы (Logoff):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD StartMenuLogoff, значение 1
Accessor
и насколько я знаю.

Oleg_II
Могу предложить свою поделку (280 KB)

Цитата:

А если попробовать отредактировать сам файл темы (тем же WordPad_ом)? Там такие же параметры.

пробовал и сам файл темы в блокноте править. тоже самое. цвет не меняеться.

Oleg_II
Кстатти, сказать, с помощью TweakUI (111 KB) можно реализовать много из того, что умеет твой скрипт, и ещё кое-что сверх того.

Sorry за

loat
Только что пробовал править, получилось... только в firefox, но не в эксплорере...

Sish
Это примитивнейший INF файл, который при запуске очищает/удаляет несколько разделов реестра, куда некоторые программы Винды делают временные записи (типа "10 последних открытых файлов", "10 последних набранных комманд в окошке RUN" и в том же духе).

Удобен он тем, что это текстовый файл, куда можно добавить и другие ветви от программ, которыми пользуешься конкретно ты.

Я уже и не помню что там было в TweakUI (надо бы глянуть), но его ведь нужно в систему инсталлировать. Да и за новыми программами он врядли будет реестр подчищать, поскльку просто с ними не знаком и под них не писался.

Хотя я гляну. Спасибо что напомнил

Abs62
Понятно - значит эксперементировать не буду.

Я тут после сканирования винды SP2 создал рег-файлик чтобы некоторые дыры уязвимости закрыть так сказать одним щелчком [more]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"TransportBindName"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LMCompatibilityLevel"=dword:00000002
"CrashOnAuditFail"=dword:00000001
"RestrictAnonymous"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer]
"RestrictNullSessionAccess"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rasman\Parameters]
"DisableSavePassword"=dword:00000001
"Logging"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rasman\PPP]
"ForceEncryptedData"=dword:00000001
"ForceEncryptedPassword"=dword:00000002
"SecureVPN"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]
"NtfsDisable8dot3NameCreation"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\Lanman Print Services\Servers]
"AddPrinterDrivers"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AllocateCDRoms"="1"
"AllocateFloppies"="1"
"CachedLogonsCount"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DontDisplayLastUserName"=dword:00000001

[/more]

Viktor Kisel
Там ты некоторые службы отрубаешь/меняешь статус запуска, - хоть комеенты поставь, если не сложно...

И вообще, патчей после SP2 вышло большое количество, у тебя они установлены?

Sish
Установлено 95 патчей, а прожка Belarc Advisor выдала что нужно еще около десяти обновлений установить. Кроме этого нужно отключить некоторые службы, чтобы закрыть открытые порты - хотя фаер вроде бы их блокирует, но (по крайней мере внутри винды показывает сканер Retina) они открыты. Вот этот список закрываемый рег-файликом [more]Внимание: чтобы закрыть нижеперечисленные уязвимости системы Windows просто запустите файл security.reg

135 и 445 необходимо закрыть - это серьёзные дырки

Если фаером не получается, а это бывает, то делаем следущее:

1. Закрываем порт 135 (Disabling Distributed COM (DCOM)).
Hive: HKEY_LOCAL_MACHINE
Path: SOFTWARE\Microsoft\Ole
Key: EnableDCOM
Type: REG_SZ
Value: N

2. Закрываем порт 445 TCP/UDP (NetBT).
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Key: TransportBindName
Type: REG_SZ
Value: \Device\ - удалить это значение

Доступ по нулевой сессии

Эта уязвимость существует только в том случае, если Вы не являетесь Администратором на проверяемом хосте.
Доступ по нулевой сессии представляет собой возможность неавторизованного подключения к хосту с операционной системой основанной на Windows NT с пустым логином и паролем. При включенной нулевой сессии анонимный пользователь может получить большое количество информации о конфигурации системы (список расшаренных ресурсов, список пользователей, список рабочих групп и т.д.). Полученная информация в дальнейшем может быть использованна для попыток несанкционированного доступа.

Рекомендуется отключить доступ по нулевой сессии и/или отключить гостевой логин на сервере:

Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Control\Lsa
Key: RestrictAnonymous
Type: REG_DWORD
Value: 1

Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Services\LanmanServer
Key: RestrictNullSessionAccess
Type: REG_DWORD
Value: 1

Планировщик задач

Если вы не используете планировщик задач, то разумным будет отключить его, т.к. данный сервис часто используется атакующими для запуска вредоносного кода.

Заблокируйте сервис следующим ключём реестра:
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Services\Schedule
Key: Start
Type: REG_DWORD
Value: 4

Registry: LM Hash

Слабое шифрование паролей в системе.
It is a security risk to send your passwords out over the network using LM (LanMan) authentication.
It is recommended that you only use NTLM, or if feasible, only NTLMv2.

Note: Disabling the LM Hash will break functionality with legacy systems, i.e. Windows 95/98 machines. To disable the LM Hash set the following Registry key settings:
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Control\Lsa
Key: LMCompatibilityLevel
Type: REG_DWORD
Value: 2

CrashonAuditFail

To make your system as secure as possible it is recommended that you use the crash on audit fail settings. When the system security log reaches its maximum size it will stop recording security events. By enabling the crash on audit fail system, your system will shutdown until an administrator logs in and clears the event log.

We only recommend using this if you want total security. Set the following Registry key settings:
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Control\Lsa
Key: CrashOnAuditFail
Type: REG_DWORD
Value: 1

Auto Sharing Drive Problem - NT Server

By Default, all drives on a machine are shared using hard coded Administrative ACL`s. Even if these shares are removed, they are recreated each time the system reboots.

To remove this functionality, set the following Registry key settings:
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Key: AutoShareServer
Type: REG_DWORD
Value: 0

Auto Sharing Drive Problem - NT Wks

By Default, all drives on a machine are shared using hard coded Administrative ACL`s. Even if these shares are removed, they are recreated each time the system reboots.

To remove this functionality, set the following Registry key settings:
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Key: AutoShareWks
Type: REG_DWORD
Value: 0

Dialup Save Password

It is recommended not to cache your Dial-up Networking passwords.

To disable the caching of the dial-up password set the following key:
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Services\Rasman\Parameters
Key: DisableSavePassword
Type: REG_DWORD
Value: 1

MS RAS Logging

The current MS RAS (Remote Access Server) is not logging connections. It is recommended to log all RAS connection information.

To enable logging, set the following Registry key settings:
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Services\Rasman\Parameters
Key: Logging
Type: REG_DWORD
Value: 1

MS RAS Encrypt

The current MS RAS (Remote Access Server) is not encrypting data transfers. It is recommended to encrypt all transfers between client and server.

To force encrypted transfers set the following Registry key settings:
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Services\Rasman\PPP
Key: ForceEncryptedData
Type: REG_DWORD
Value: 1

PPP Client Security

By default, users are permitted to make RAS connections without any sort of authentication. It is recommended that you require users authenticate themselves.

To require authentication set the following key:
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Services\Rasman\PPP
Key: ForceEncryptedPassword
Type: REG_DWORD
Value: 2

MSCHAPv2 VPN

It is recommended to enforce MSCHAP V2; this forces the server to drop any VPN (Virtual Private Network) connections that do not use MSCHAP V2 authentication.

To enforce MSCHAP V2 set the following key:
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Services\Rasman\PPP
Key: SecureVPN
Type: REG_DWORD
Value: 1

NTFS 8 Dot 3

NTFS has the ability to support backwards compatibility with older 16 bit apps. It is recommended not to use 16-bit apps on a secure server.

To disable 8.3 file names set the following Registry key settings:
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Control\FileSystem
Key: NtfsDisable8dot3NameCreation
Type: REG_DWORD
Value: 1

Printer Driver Security

By default, any low level user can bypass the security of the local NT system and install a trojan printer drivers.

To restrict the installation of printer drivers to only allow Administrators and Print Operators set the following Registry key settings:
Hive: HKEY_LOCAL_MACHINE
Path: SYSTEM\CurrentControlSet\Control\Print\Providers\Lanman Print Services\Servers
Key: AddPrinterDrivers
Type: REG_DWORD
Value: 1

Allocate CDROMS

The allocation of the CDROM drive should be restricted to only the currently logged in user. If an attacker has the ability to place a CDROM in your drive this registry fix will help to make sure they are not able to execute a malicious program from the CDROM.

Restrict the allocation of CDROMs to only the interactive user. Set the following Registry key settings:
Hive: HKEY_LOCAL_MACHINE
Path: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Key: AllocateCDRoms
Type: REG_SZ
Value: 1

Allocate floppies

The allocation of the floppy drive should be restricted to only the currently logged in user. If an attacker has the ability to place a disk in your drive this registry fix will help to make sure they are not able to execute a malicious program from the floppy.

Restrict the allocation of the floppy drive to only the interactive user. Set the following Registry key settings:
Hive: HKEY_LOCAL_MACHINE
Path: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Key: AllocateFloppies
Type: REG_SZ
Value: 1

Cached Logon Credentials

By default Windows NT will cache the last interactive logon (console logon) so in case your PDC or BDC are down you are still able to locally log into your machine. It is recommended that this feature not be used because its possible an attacker can gain access to this cached information therefore exposinq sensitive logon information.

To disable cached logon`s set the following Registry key settings:
Hive: HKEY_LOCAL_MACHINE
Path: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Key: CachedLogonsCount
Type: REG_SZ
Value: 0

Last Username

By default Windows NT will display the last user to log on to the server. This gives an attacker a starting
point to try to crack the password of the account last shown and therefore create a window into your network.

To disable the display of the last username change the following Registry key settings:
Hive: HKEY_LOCAL_MACHINE
Path: SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
Key: DontDisplayLastUserName
Type: REG_DWORD
Value: 1
[/more]
А эти закрываются вручную [more]Windows Application Events Logs Overwritten
Windows Security Events Logs Overwritten
Windows System Events Logs Overwritten

В системе разрешено затирать файлы событий Приложения, Безопасности и Системы, когда журнал полный. Рекомендуется отключить очистку журнала событий.

Чтобы запретить системе затирать файлы событий Приложения, Безопасности и Системы сделайте следующее:
Пуск -> Панель управления -> Администрирование -> Просмотр событий:
Приложение -> Свойства -> отмечаем - Не затирать события
Безопасность -> Свойства -> отмечаем - Не затирать события
Система -> Свойства -> отмечаем - Не затирать события

135 и 445 необходимо закрыть - это серьёзные дырки. Если фаером не получается а это бывает то делай следущее:

1. Закрываем порт 135 (Disabling Distributed COM (DCOM)).

Способ 1.
"Пуск" -> "Выполнить" -> и вводим "Dcomcnfg.exe"
Что бы выключить DCOM, открываем панель "Свойства по умолчанию" и убираем галочку "Разрешить использовать DCOM на этом компьютере".
Перезагружаемся.

2. Закрываем порт 445 TCP/UDP (NetBT).

Способ 1.
Открываем "Панель управления" -> "Система" -> "Оборудование" -> "Диспетчер устройств". В меню "Вид" выбираем "Показывать скрытые устройства".
В списке устройств появятся "Драйверы устройств не Plug and Play".
Открываем этот пункт, и в появившемся списке открываем "NetBios через TCP/IP" -> "Драйвер" -> и в "Автозагрузка" -> "Тип" -> ставим "Отключено".
Перезагружаемся.
[/more]

Viktor Kisel
Спасибо.

Весьма познавательно. А не подскажешь источник инфы вот этого?

привет всем мистерам! уже не первый раз сталкиваюсь с такой штукой постоянно меня спрашивают про удалённый рееестр, а вот как попасть на удалённой машине в реестр не пойму, телнетом что то не получатся, именно командной сторой

krasavec
Пуск -> Выполнить -> Regedit -> Реестр -> Подключить сетевой реестр...

Viktor Kisel

Цитата:

создал рег-файлик чтобы некоторые дыры уязвимости закрыть так сказать одним щелчком

добавил бы еще в свой постинг последствия применения этого reg-файла; а то сейчас народ кинется "дыры латать", недоверяя майкрософту ...

а в службах удалённого реестра учётную запись какую ставить?

krasavec

Цитата:

а в службах удалённого реестра учётную запись какую ставить?

Вход в систему для данной службы по умолчанию осуществляется с системной учётной записью, если ты это имел в виду.

А для подключения к удалённому реестру используюшь логин/пароль юзеря удалённой машины, который имеет на ней права админа.

krasavec
Чтобы рулить удалённым реестром тебе нужны админские права на подключение к удаленному компьютеру. А как этого добиться - вариантов, беглым взглядом, два.

Как убрать из трея иконку брандмауэра Win XP?

Vitus_Bering
Оключи бранбмауер в панели управления.

Sish
Он же спросил как иконку убрать, а не как отключить брэндмауер.
Хотя... тоже способ

Vitus_Bering
Если не ошибаюсь, в Control Panel->Security Center->Change the way Security Center alerts me, убрать там галочку с брэндмауера.

Sish, Elroir
Убрать иконку, не отключая брандмауэр

Vitus_Bering
Имеется ввиду эта иконка ?

Если да, то для того чтобы ее совсем убрать, надо убрать все галочки в "Change the way Security Center alerts me"

Elroir
Да, именно эта, спасибо огромное.

А можно ли убрать контекстное меню для системного трея, именно трея, а не для всей панели задач ?

PopovSergej
Есть только:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
REG_DWORD параметр NoTrayContextMenu = 1;
но это запрещает контекстное меню для трея, часов, кнопки Пуск и панели кнопок.

ИНТЕРЕСНО СУЩЕСТВУЕТ АРХИВАЦИЯ РЕЕСТРА - НУ ЕСЛИ ЧТО ТО НЕ ТО НАМУТИЛ - ЧТОБ ВОССТАНОВИТЬ ИСХОДНЫЕ ЗНАЧЕНИЯ - А СО СЛУЖБАМИ ЕСТЬ ТАКАЯ ФУНКЦИЯ,

krasavec

Цитата:

ИНТЕРЕСНО СУЩЕСТВУЕТ АРХИВАЦИЯ РЕЕСТРА

Свойства любого логического диска -> Сервис -> Архивация.

Сохраняешь архив состояния системы.

Как убрать из трея иконку удаленного соединения (два мигающих компа)? В настройках соединения и модема соотв. опции не нашел. Спасибо.

Vitus_Bering
Снять флажок в чек-боксе "вывести значок подключения на панель задач" в свойствах соединения.

А как это сделать в разрезе темы топика - не заню.

привет!
может кто нибудь скажет как отказаться от получения e-mail с этого форума, а то при каждом посте я получаю новый mail, и весь майлбокс забит рубордом. никак не могу найти как отказаться от подписки.

спасибо