Задайте значение для параметра RestrictAnonymous системного реестра, как об этом было сказано в главе 3. Кроме того, в статье Q246261 базы знаний компании Microsoft прочитайте о возможных недостатках задания значения для этого параметра, обеспечивающего наиболее жесткий уровень зашиты в системе Win 2000.
Удалите Everyone из списка групп, которым предоставлено право Access this computer from the network. Для этого в окне диспетчера пользователей выберите команду Policies>User Rights.
Установите самый свежий сервисный пакет Service Pack и дополнительные модули обновлений. В процессе выпуска обновлений компания Microsoft руководствуется требованиями обеспечения безопасности, поэтому очень часто оказывается, что без этих модулей обновлений невозможно противостоять некоторым изъянам на уровне ядра, используемых в таких утилитах, как getadmin. Модули обновления для системы NT можно найти по адресу http://www.microsoft.com/security. Конечно, самым полным "обновлением" будет переход на новую версию NT — Windows 2000, — в которой реализовано огромное, множество новых средств обеспечения безопасности. Более подробная информация по этому вопросу содержится в главе 6.
Введите жесткую политику задания паролей, реализуйте ее с использованием библиотеки passfilt и регулярно контролируйте соблюдение установленных требований. Да, правильно, — попробуйте взломать собственную базу данных SAM! Помните о числе 7, которое оказывается достаточно "волшебным", когда дело касается длины пароля в системе NT.
Переименуйте учетную запись Administrator и убедитесь в том, что запрещена учетная запись Guest. Хотя вы узнали, что учетную запись администратора можно идентифицировать, даже после ее переименования, тем не менее, эта мера усложнит задачу злоумышленника.
Убедитесь в том, что пароль администратора выбран достаточно сложным (при необходимости используйте специальные символы ASCII). He забывайте регулярно его менять.
Убедитесь в том, что простые администраторы не используют данных учетных записей администраторов домена для регистрации в качестве локальных администраторов.
