- Детальная настройка всего хозяйства
- Embedded:
- Записываем модули ядра в папку /boot/kernel/
- Perormance tests
- Encrypted swap
- Другие разновидности
- HTTPS и HSTS
- FreeNAS FC Target
- Делаем доступ к FC-дискам для FreeNAS
- FreeNAS изменение карты разделов корневого диска
- FreeNAS replication tasks
- PFSense and Ubiquiti
- Редактируем менюхи Web-GUI
- Старые версии приложений
- BHYVE and Pass-thru NIC
- Postgresql in freenas Jail
- Jails in PFSense
- FreeNAS rc.conf modification
- Embedded
- У свитчей Ubiquiti дефолтный админ называется ubnt
- PFSense Traffic Shaper
- PFSense. L2TP over IPSec
- Plex Home Theater embedded
- FreeNAS не грузится с флешки
- adv
- FreeBSD
- FreeBSD FUSE+ExFAT
- FreeBSD and NFS
- IPFW
- Install VirtalBox to FreeBSD and FreeNAS
- Выявляем состояние дисков
- FreeBSD: IPv6 setup
- Мониторинг RAID из командной строки
- FreeBSD Hardware Info
- FreeBSD pkg2ng and ports
- Unicode и Русский язык в FreeBSD 7.0 и выше
- FreeBSD 8.X - 9.X - 10.X Unicode Support
- Mellanox Infiniband Driver FreeBSD
- FreeBSD Network tuning
- VirtualBox 5 на Freebsd 10
- Установка времени и зоны
- Пароль на Single User
- OpenVPN
- UPS and nut
- FreeBSD iSCSI
- jails
- Diskless FreeBSD, iSCSI NetBoot
- Разрешение монитора
- Root on ZFS
- IPFW + NATD
- No buffer space available
- Работа с ZFS
- FreeBSD GEOM Recovery
- Postfix LDAP Sasl
- Links
- FreeBSD get sources
- Link Aggregation
- 10 Gb Ethernet Drivers
- Highpoint RocketRAID 2680 FreeBSD
- Webmin not starts, miniserv got an error (opt)
- Mount iso and other tips
- Работа с дисками
- LSI Pre-boot USB and CD installation instructions, EULA, and sources
- Выявляем состояние дисков
- MegaCli and tw_cli commands. Add drive to LSI RAID Volume
- Создание большого диска на FreeBSD
- Windows. OS not found Fix
- HPT Commands
- Resize EXT4
- Fsck
- Quantum StorNext
- RAID Basics
- Disk Recovery tools
- Выбор SSD
- RAID Basics
- Mac OS X: Manage GPT structure
- FreeBSD GEOM Recovery
- WD: Red, Green
- FreeNAS не грузится с флешки
- Create bsd slice
- Восстановление прошивки RAID-контроллеров LSI
- ZFS Administration
- EFI / UEFI
- Телефония
- Security Lab
- SSL Cert Auth
- Advanced IPFW rules
- Crypto Locker
- Astra Linux install Redis with SSL/TLS support
- Boot Password
- Default Passwords
- SSL A+
- Crypto Locker. Short English version
- Уязвимость OpenSSL
- SSL Auth Process
- Crypto Locker. Часть 2
- IPFW
- Скрипт диагностики сети
- Шьерт побьери
- SMS-оповещение
- Port Knock
- Козлизм
- NTP amplification attack
- Openssl create self-signed cert
- Социальная инженерия
- Постановление № 1119 от 02.11.2012
- Subject Alternate Name Certificate
- Switch Flood
- Видеонаблюдение
- DCP Checksum
- UDP Punch Attack
- Настройки общих для POSIX-систем служб
- Windows
- Linux
- RHEL / CentOS Install and inital configuration
- Linux Links
- Boot Linux into text mode
- GFS2
- Срубаем пароли
- Linux Hardware info
- Linux chroot
- DNSMASQ
- Ограничиваем память
- Bash history search like tsch
- NFS on RedHAT 5
- Делаем репозиторий для локалки
- ifcfg в RHEL/CentOS
- RHEL / CentOS UPGRADE: (6.3 -> 6.4, 6.4 -> 6.5)
- Openvpn
- Linux Security: systemd
- Mac OS X
- Скрыть юзера
- TLS server engine: cannot load CA data
- Mac Keeper
- IPv6 в Safari
- Mac OS create user
- Sudo repair
- XSAN
- Сбросить пароль
- DNS
- Rebuild System Cache
- CrossOver и русский кызя
- Хакинтош
- iTunes ip port
- Неофициальная поддержка LSI RAID
- Отобрать админские полномочия у пользователя
- Mac OS X: Manage GPT structure
- PF in Mac OS 10.7-10.9
- Расшарить папку по NFS
- ML (10.8) change hostname
- OpenDirectory passwd
- Open Directory SSL
- Cсылки afp://ip.addr/Share/Folder
- Legacy AFP
- sha1 checksum
- WiFi 5GHz
- Time Machine
- Network
- Виртуалки
Yet another one sysadsmin wiki.
Windows Security Config
Введение
Я всем рекомендую на винде использовать следующую схему безопасности:
Краткое описание
- не работать под админским аккаунтом;
- те места, куда пользователь может иметь право на запись, зпрещены для исполнения;
- в те места, где лежат исполняемые файлы, пользователь не может ничего записывать.
Формализованное описание
- На компьютеры под управлением ОС семейства Windows администратором устанавливается только то программное обеспечение, которое обеспечивает выполнение компьютером или рабочей станцией только тех функций, для выполнения которых данный компьютер или рабочая станция предназначены. Все дополнительное программное обеспечение, в том числе предустановленное, подлежит удалению.
- Обычным пользователям ОС Windows разрешается к запуску только то, что находится в
c:\windows,c:\windows\system32,c:\program files\*,c:\Documents and Settings\all users\desktop,c:\documents and settings\Start menu, за исключением того, что для них вводится запрет на запуск прикладной программы редактирования реестра. - Обычным пользователям запрещаются запуск и исполнение скриптов и прикладных программ из любых каталогов, не перечисленных в п.2, в том числе из каталога
c:\documens and settings\All users\*, куда разрешена запись всем пользователям. Обычным пользователям запрещена запись вc:\documents and settings\all users\desktop, так как этот каталог используется администратором для создания ярлыков программ, которые пользователь должен иметь право запускать на исполнение с рабочего стола. - Обычному пользователю ОС Windows запрещена запись данных в любые каталоги, за исключением их личных каталогов
c:\documens and settings\Userи тех сетевых каталогов, использование которых для записи с данной рабочей станции предусмотрено производственным процессом. - Обычному пользователю ОС Windows с помощью отредактированных ключей реестра Windows запрещены запуск и исполнение прикладных программ и скриптов, расположенных в любых каталогах, не упомянутых в пункте 2. В частности, запрещены запуск и исполнение прикладных программ и скриптов из корня диска и с любых сетевых томов, которые могли бы быть подмонтированы к данной рабочей станции исходя из конфигурации доступных сетей.
- В целях обеспечения безопасности от возможных стандартных атак, системный пользователь Administrator, имеющий по умолчанию административные права, переименовывается в другое имя, например GreatUser.
- Пункты 2, 3, и 4 реализуются администратором следующим образом:
- на сервере, в том числе на сервере терминалов, запрет на исполнение прописывается в групповой политике сервера с loopback processing;
- на рабочей станции запрет на исполнение прописывается в локальной политике безопасности с помощью инструмента gpedit.msc
- Если gpedit.msc нельзя найти на компьютере, т.к. установлена “домашняя” версия Windows, файл установки можно взять здесь: add_gpedit_msc_by_jwils876-d3kh6vm.zip
- путь к политике — Computer Configuration → Windows Settings → Security Settings → Software Restriction Policies. При первом использовании их нужно создать — правой кнопкой на Software Restriction Policies, «New Software Policies». Запрет включается в два этапа — сначала в security levels (Disallowed), потом в корне Software Restriction Policy в Enforcement — в «All software files» и «All users»
- Пункт 5 (частично) выполняется на Windows 7 автоматически после установки хотфикса: windows6.1-kb2532445-v2-x64.msu.zip
- Пункт 6 реализуется следующим образом:
- открываем gpedit.msc
- Заходим по пути: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options
- Там находим: “Accounts: Rename administrator account”
- Дабл-кликом открываем и пишем нечто типа
0дмин - Англоязычное описание процесса описано здесь: http://www.mechbgon.com/srp/
Воплощение
В качестве референсной системы принято решение использовать виртуальную машину VirualBox с установленной системой Windows 7 Home Premium 64 bit.
Система не имеет доступа к сети, за исключением доступа “только для чтения” по виртуальной сети к папке Windows Share на не-Windows машине, на которой запущен VirtualBox.
На референсной системе нвстроена система безопасности в точном соответствии с формализованным описанием, приведенным выше.
На референсной системе сделаны дополнительные настройки для 64-битной ОС, как указано в http://www.mechbgon.com/srp/
На референсной системе не включен никакой антивирус.
