Настройка механизмов защиты в Astra Linux 1.7

• Настройка парольных политик, блокировки экрана и других харизмов защиты.  

• Установка ядра Харден по умолчанию для загрузки системы.  

• Харден обеспечивает лучшую защиту, но работает медленнее.  

• Переход в панель управления, система, загрузчик Grub.  

• По умолчанию загружается ядро Дженерик, но нужно сделать Харден по умолчанию.  

• Ошибка при попытке изменить конфиг, нужно перемонтировать загрузочный раздел.  

• Перемонтирование раздела для чтения и записи.  

• Проверка корректности изменений после перезагрузки.  

• Ядро Харден загружается по умолчанию без выбора пользователя.  

• Настройка парольной политики в графике и консоли.  

• Создание пользователя и настройка пароля.  

• Глобальные и пользовательские настройки паролей, включая минимальную длину и срок действия.  

• Политика устаревания пароля применяется только при создании новых пользователей.  

• Изменение срока действия пароля для существующего пользователя.  

• Демонстрация работы политики при смене пароля.  

• Максимальное количество сложных символов в пароле.  

• Политика паролей соблюдается в соответствии с заданными параметрами.  

• Возможность включения истории паролей и настройки количества запоминаемых паролей.  

• По умолчанию блокировка после восьми неудачных попыток.  

• Рекомендуется оставить восемь попыток и включить период блокировки.  

• Период блокировки важен для предотвращения повторных попыток входа.  

• Пользователь вводит неправильный пароль дважды в течение пяти секунд.  

• Система блокирует пользователя сразу после второй попытки.  

• Если пользователь вводит пароль с интервалом более пяти секунд, блокировка не происходит.  

• Минимальная длина и количество символов в пароле настраиваются в файле.  

• Возможность изменения параметров через консоль.  

• Рекомендуется задавать минимальное и максимальное количество дней для хранения паролей.  

• Период бездействия и отключение монитора при блокировке.  

• Запрет переключения на другую консоль и подключения к графическому серверу.  

• Настройка блокировки консоли для пользователей, не входящих в группу "астро консоль".  

• Включение блокировки консоли для пользователей, не входящих в группу "астро консоль".  

• Возможность блокировки интерпретатора bash для пользователей.  

• Скрипты будут запускаться, но пользователь не сможет использовать интерпретатор.  

• Включение блокировки интерпретаторов, кроме bash, для пользователей.  

• Блокировка новых скриптов и файлов, чтобы предотвратить запуск вредоносных программ.  

• Важно знать, что старые исполняемые файлы останутся доступными.  

• Настройка запрещает создание исполняемых файлов и скриптов для всех пользователей.  

• Рекомендуется использовать на серверах и рабочих станциях.  

• Отключение настройки для установки обновлений и конфигураций.  

• Настройка предотвращает запуск вредоносных программ и шифровальщиков.  

• Действует на всех пользователей и файловые системы.  

• Рекомендуется для использования на чистых операционных системах.  

• Демонстрация запуска исполняемого файла в файловой системе с запретом исполнения.  

• Файл запускается только из разрешенных мест.  

• Пример с копированием файла в другую файловую систему для запуска.  

• После включения запрета установки бит исполнения, новые файлы не могут быть исполняемыми.  

• Пользователь root может дать права на исполнение файла.  

• Старые исполняемые файлы остаются доступными.  

• Включение блокировки интерпретаторов, кроме bash, для пользователей.  

• Пример с попыткой запуска Python.  

• Пользователи не могут запускать интерпретаторы, кроме bash.  

• Администраторы могут запускать любые интерпретаторы.  

• Эти настройки помогают защитить систему от уязвимостей.  

• Включение режима работы файловой системы только на чтение.  

• Изменения сохраняются только в оперативной памяти и очищаются при перезагрузке.  

• Рекомендуется для серверов, где изменения не должны сохраняться.  

• Межсетевой экран блокирует все подключения.  

• Блокировка системных команд предотвращает использование скрытых каналов.  

• Команды, такие как ip и df, будут запрещены.  

• Запрет монтирования носителей для пользователей, не входящих в группу admin.  

• Блокировка выключения при загрузке ПК для пользователей.  

• Рекомендуется включать для серверов, но не для рабочих станций.  

• Включение ЗПС подписывает все файлы в системе.  

• Неподписанные файлы не могут быть запущены.  

• ЗПС защищает систему от вредоносных файлов.  

• Включение очистки разделов подкачки и внешней памяти.  

• Гарантированное удаление файлов и папок.  

• Мандатное управление доступом будет рассмотрено в следующих роликах.  

• Перезагрузка системы для применения изменений.  

• Проверка работы системы после перезагрузки.  

• Установка программ проходит без проблем при включенном ЗПС.  

• Подключение к сетевому экрану через панель управления.  

• Включение сетевого экрана и проверка доступа к порту.  

• Создание правил для блокировки и разрешения входящих и исходящих соединений.  

• Добавление правил для разрешения соединений в категории "Сеть" и "Сервисы".  

• Перезапуск сеанса для проверки подключения.  

• Отключение сетевого экрана для дальнейшей настройки домена.  

• Проверка состояния безопасности и политики безопасности.  

• Включение блокировки макросов для чистоты эксперимента.  

• Включение блокировки макросов для защиты сервера.  

• Установка сетевых служб на защищенных серверах для проверки их работы.