15.3. Настроювання параметрів безпеки

У розділ Локальні політики (Локальные политики або Local Policies) входить вузол Параметри безпеки (Security Options). Він надає 60 додаткових параметрів безпеки, об'єднаних у наступні категорії: аудит, доступ до мережі, завершення роботи, інтерактивний вхід у систему, клієнт мережі Microsoft, консоль відновлення, контролер домена, сервер мережі Microsoft, мережна безпека, мережний доступ, системна криптографія, системні об'єкти, пристрої, облікові записи і член домена.

Перейменування облікового запису Адміністратор (Administrator)

Ви не можете видалити обліковий запис Адміністратор (Administrator), але ви можете перейменувати вбудований обліковий запис, щоб забезпечити додатковий захист системи. Ви можете використовувати ім'я, що не асоціюється з обліковим записом адміністратора, щоб утруднити неавторизованим користувачам злом облікового запису. Один з параметрів у групі Облікові записи дозволяє вам ввести ім'я для автоматичного перейменування облікового запису Адміністратор (Administrator).

Щоб автоматично перейменувати обліковий запис Адміністратор (Administrator), зверніться до параметрів безпеки, використовуючи оснащення Групова політика (Групповая политика або Group Policy), розгорніть розділ Локальні політики (Локальные политики або Local Policies) і натисніть вузол Параметри безпеки (Security Options). Натисніть правою кнопкою миші елемент Облікові записи: перейменування облікового запису адміністратора (Accounts: Rename The Administrator Account), а потім натисніть у контекстному меню пункт Властивості (Свойства або Properties). Введіть нове ім'я, яке ви хочете використовувати для облікового запису Адміністратор (Administrator), і натисніть ОК..

Примітка. Для автоматичного перейменування облікового запису гостя використовуйте параметр Облікові записи: перейменування облікового запису гостя (Accounts: Rename Guest Account).

Порада. Для безпеки вашого комп'ютера також важливий параметр Інтерактивний вхід у систему: кількість попередніх підключень до кешу (Interactive Logon: Number Of Previous Logons To Cache). Значення параметра визначає, скільки разів користувач може зареєструватися в домені Windows, використовуючи кешовану інформацію облікового запису. Реєстраційна інформація кешується локально, тому у випадку, якщо контролер домена недоступний, користувач все рівно зможе зареєструватися в домені. Параметр задає кількість можливих реєстрацій з використанням кешованої інформації. Значення за замовчуванням — 10. Встановивши цей параметр рівним 0, ви забороните кешування інформації. Інший важливий параметр — Мережний доступ: не дозволяти збереження облікових даних або цифрових паспортів .NET для мережної перевірки автентичності користувача (Network Access: Do Not Allow Stored User Names And Passwords To Save Passwords Or Credentials For Domain Authentication). Дозвіл цього параметра запобігає збереження сертифікатів користувачів і цифрових паспортів .NET.

Завершення роботи комп'ютера без реєстрації в системі

За замовчуванням Windows XP Professional не вимагає, щоб для завершення роботи комп'ютера в системі був зареєстрований користувач. Один з параметрів безпеки дозволяє змусити користувачів реєструватися для відключення комп'ютера.

Використовуючи оснащення Групова політика (Групповая политика або Group Policy), ви отримаєте доступ до параметрів безпеки так само, як за допомогою оснащення Політика облікових записів (Account Policy).

Запустивши оснащення Групова політика (Групповая политика або Group Policy), розгорніть розділ Локальні політики (Локальные политики або Local Policies) і виберіть вузол Параметри безпеки (Security Options).

Натисніть правою кнопкою миші параметр Завершення роботи: Дозволити завершення роботи системи без виконання входу в систему (Shutdown: Allow System To Be Shut Down Without Having To Log On) і натисніть пункт Властивості (Свойства або Properties) у контекстному меню.

На рис. 15.5 зображене діалогове вікно Властивості (Свойства або Properties) для параметра Завершення роботи: дозволити завершення роботи системи без виконання входу в систему (Shutdown: Allow System To Be Shut Down Without Having To Log On). Даний параметр або включений (значення за замовчуванням), або відключений.

Щоб змусити користувача реєструватися для завершення роботи системи, виберіть значення Відключений (Disabled).

Рис. 15.5. Настроювання параметра Завершення роботи: дозволити завершення роботи системи  без виконання входу в систему (Shutdown: Allow System To Be Shut Down Without Having To Log On)

Примітка. Щоб використовувати цей параметр, ваш комп'ютер повинен входити в домен або ви повинні відключати його, використовуючи екран вітання (Welcome screen).

d Очищення файлу підкачування віртуальної пам'яті при вимиканні комп'ютера

За замовчуванням Windows XP Professional не очищає файл підкачування віртуальної пам'яті при виході із системи. У деяких організаціях це може привести до уразливості системи безпеки, оскільки дані з файлу підкачування можуть бути отримані неавторизованими користувачами для перегляду. Щоб включити цю функцію й очищати файл підкачування щораз, коли система виключається, запустіть оснащення Групова політика (Групповая политика або Group Policy), розгорніть розділ Локальні політики (Локальные политики або Local Policies) і натисніть вузол Параметри безпеки ( Параметры безопасности або Security Options).

Натисніть правою кнопкою миші параметр Завершення роботи: очищення сторінкового файлу віртуальної пам'яті (Shutdown: Clear Virtual Memory Pagefile) і потім — пункт меню Властивості (Свойства або Properties). Як видно з рис. 15.6, дана функція може бути або включена, або відключена. За замовчуванням вона відключена. Щоб змусити Windows XP Professional очищати файл підкачування при виході із системи, натисніть перемикач Включений (Enabled).

Рис. 15.6. Установка параметра Завершення роботи: очищення сторінкового  файлу віртуальної пам'яті (Shutdown: Clear Virtual Memory Pagefile)

Скасування вимоги натискати Ctrl + Alt + Del при вході в систему

Windows XP Professional дозволяє настроїти ваш комп'ютер таким чином, щоб користувачам було потрібно натискати комбінацію Ctrl+Alt+Del при вході в систему. Тим самим ви використовуєте комбінацію клавіш, що розпізнається тільки Windows. Завдяки цьому ви будете впевнені, що ввели пароль саме у вікні Windows, а не у вікні троянської програми, що намагається перехопити ваш пароль.

Якщо ви працюєте в середовищі, де безпека не настільки важлива, можете залишити значення за замовчуванням Не визначене (Not Defined) або дозволити параметр Інтерактивний вхід у систему: не вимагати натискання Ctrl+Alt+Del (Interactive Logon: Do Not Require Ctrl+Alt+Del).

З кожним з цих значень параметра користувачу не доведеться використовувати цю комбінацію клавіш при реєстрації в системі. Щоб указати необхідність вимагати від користувача натискання комбінації клавіш при вході в систему, запустіть оснащення Групова політика (Групповая политика або Group Policy), розгорніть розділ Локальні політики (Локальные политики або Local Policies) і натисніть вузол Параметри безпеки (Security Options).

Правою кнопкою миші натисніть параметр Інтерактивний вхід у систему: не вимагати натискання Ctrl+Alt+Del (Interactive Logon: Do Not Require Ctrl+Alt+Del), потім натисніть пункт меню Властивості (Свойства або Properties) і перемикач Відключений (Disabled). Відключайте цей параметр, якщо для вас важлива безпека системи.

Запобігання виведення останнього імені користувача у вікні реєстрації

За замовчуванням Windows XP Professional відображає останнє введене при реєстрації ім'я користувача в діалоговому вікні Безпека Windows (Windows Security). У деяких ситуаціях це веде до ризику злому системи безпеки, оскільки неавторизований користувач може побачити дані облікового запису та одержати несанкціонований доступ до комп'ютера.

Включіть параметр Інтерактивний вхід у систему: не відображати останнього імені користувача (Interactive Logon. Do Not Display Last User Name), щоб останнє ім'я користувача більш не відображалося в діалоговому вікні Безпека Windows (Windows Security).

В оснащенні Групова політика (Групповая политика або Group Policy) натисніть розділ Локальні політики (Локальные политики або Local Policies), потім — пункт Параметри безпеки (Security Options).

У правій частині вікна консолі натисніть правою кнопкою миші параметр Інтерактивний вхід у систему: не відображати останнього імені користувача (Interactive Logon: Do Not Display Last User Name), натисніть пункт меню Властивості (Свойства або Properties) і установіть перемикач Включений (Enabled). Ця функція може бути або включена, або відключена (рис. 15.7).

Рис. 15.7. Настроювання параметра Інтерактивний вхід у систему: не відображати останнього  імені користувача (Interactive Logon: Do Not Display Last User Name)