Baby©
13.02.2005, 21:38
Защита Windows XP и некоторые специфические настройки.
Я давно хотел суммировать все, что прочитал, попробовал, нашел и придумал сам или подсказали грамотные люди. В статье я попробую, опираясь на свой опыт рассказать о возможностях защиты Win XP от различного рода вредоносных вторжений и других гадостях, получаемых нами из инета. Некоторые приемы осуществимы и в других операционных системах Microsoft, но большинство доступны только в XP.
Сейчас я предложу некоторые манипуляции – некоторые из них обязательны, некоторые желательны. Какие вы решите применить, а какие нет – дело ваше, но я бы посоветовал хотя бы все это попробовать, чтобы иметь возможность выбирать.
Итак, начнем.
Для начала, хотелось бы, чтобы все манипуляции производились на свежевскормленной системе). Только в этом случае по окончании настройки мы будем более-менее уверены в том, что защищены от всякого рода напастей – ведь ты не можешь гарантировать, что у тебя абсолютно все чисто, если система не свежа и юзалась не будучи правильно настроена!
Для начала надо поставить ВСЕ КРИТИЧЕСКИЕ ОБНОВЛЕНИЯ!!!(и что бы кто ни говорил – sp2 тоже, при чем обязательно). К моменту переустановки они должны быть все на вашей тачке, так как пока что система не готовы к выходу в Интернет. Как минимум sp2 должен быть установлен, хотя, повторюсь, желательно все.
Перезагружаемся (в дальнейшем я так разжевывать не буду, если что-то не понятно – спросите, поясню).
Теперь идем в Control Panel - Administrative Tools – Services (точно не помню, но в русскоговорящей винде это дело зовется типа Панель Управления, далее Администрирование, далее Службы).
Внизу переключаемся на закладку Extended (расширенные) и смотрим на список по умолчанию запущенных служб. Некоторые из них нужно обязательно отключить!!
Для отключения дважды кликаем по службе и на первой закладке (General) меняем Starttype на disable/
Прежде чем начать все это дело отключать можно на всякий случай бэкапнуть ветвь реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serviс es.
• Automatic Updates (Автоматическое обновление). Если у вас не выделенка, то лучше обновлять систему вручную. Идем в Contol Panel - Automatic Updates и там тоже отменяем.
• Messenger. Отвечает за прием и отправку сообщений, посланных администратором. При отсутствии сети (и администратора) абсолютно бесполезна. А так как существуют автоматизированные черви, рассылающие таким образом спам, этот сервис надо тоже отключить (firewall может и не помочь – ведь паршивцы могут спуфить ip)
• Remote Registry Service. Предназначена для удалённого управления реестром (нужна только администраторам сети). Можете себе представить, что произойдет, если кто-то узнает пароль админа (или юзера с большими правами) в вашей системе и удаленно подключится к реестру??
• Telnet. Обеспечивает возможность соединения и удалённой работы по протоколу telnet. Когда последний раз вашей системой управляли удаленно?
• Terminal Service (Служба терминалов) - услуга Remote Desktop. То же самое, что и c telnet – надо??
• NetMeeting Remote Desktop Sharing – туда же
Теперь советую покопаться, посмотреть остальные службы – там еще много ненужного. Не буду сейчас на этом подробнее останавливаться – ведь мы говорим о безопасности, а не об оптимизации.
Так вот. Подумайте, какие службы вам принципиально нужны? Дважды кликнете на них и в закладке Recovery (Восстановление наверное, если по-русски) выберите, что делать, если сервис остановлен? Задумайтесь о таких сервисах как драйвер антивируса и сервис фаервола. Если вы никогда не отключаете их для каких-либо целей – выберите restart service во всех 3 случаях. Естественно, эти манипуляции вы сможете делать только после установки этих самых антивируса и фаервола.
Теперь поговорим о firewallе. По статистике незащищенный фаерволом комп при соеднении с сетью остается незараженным в среднем 20 минут! И это время от года к году сокращается!
Говорят, что firewall, который появляется вместе с установкой sp2, в отличае от своего младшего брата вполне неплох. Не знаю – я за 2 минуты не смог разобраться с его настройками (да и не хотел особенно уж, слишком я к outpost привык ) и установил полюбившийся мне брандмауэр. Касательно настроек. Для начала необходимо ВСЕ ЗАПРЕТИТЬ! Потом идем сюда http://www.outpostfirewall.com/guide/rules/preset_rules/index.htm, даже если у вас не outpost.
Там смотрите какие порты, какие протоколы и т.д. нужны конкретным прогам для работы.
Вот их и разрешаете) Далее, советую поставить пароль на изменение параметров работы брандмауэра. То же самое и с антивирусом – тоже советую поставить пароль. ПАРОЛИ ДОЛЖНЫ СОСТОЯТЬ ИЗ минимум 6 ЗНАКОВ (123456 не подойдет, нужны буквы, цифры и знаки вперемешку – тогда брутфорснуть его будет малореально в условиях ограниченного времени )
Далее, идите в свойства своих локальных дисков и во вкладке Sharing выбираете Do Not Share this Folder. В локалке надо пользоваться другими, более безопасными сервисами для файлообмена.
Теперь о главном!!
НУ КОГДА ЖЕ ВЫ ПРЕКРАТИТЕ СИДЕТЬ ПОД АДМИНИСТРАТОРОМ???
Зачем вам рутовые права постоянно? Их ведь пользуют Трояны!
С этого момента начинаем учиться сидеть не под рутом. Создаете новый аккаунт с лимитированными правами. Перезагружаетесь в безопасном режиме под Админом. Клик правой кнопкой по папке c:\windows. Во вкладке Security(безопасность) удаляете созданный акканут из владельцев папки. Та же манипуляция с папкой c:\Program Files.
С этого момента, когда вы будете работать под тем аккаунтом записать в эти папки какую-нить инфу Троянам будет гораздо сложнее.
Если понадобиться установить какую-нить прогу (надеюсь, ты уверен, что в ней нет гадостей) – просто жми правой кнопко1 по инсталлятору и запускай его от имени администратора, вводи его пароль(надеюсь, ты догадался поставить сложный пароль на рутового юзера) и прога сможет записать все, что ей надо куда ей надо.
Теперь постараемся помешать Троянам записать в автозагрузку. Запускай regedit под рутом. Идем в HKLM\software\Microsft\Windows\Current Version\Run. Тут ты можешь посмотреть какие проги запускаются при загрузке. Также взгляните на папочки пониже (все, в которых есть слово Run) – это все наши клиенты.
На всех этих папках давим правой кнопкой мышки, идем в Permission и убираем свой рабочий аккаунт из владельцев веток.
Есть еще некоторые вещи, которые можно сделать:
Переименовать cmd.exe
Переместить hosts и lmhosts
И многое другое.
Очень важно быть защищенным, да. Только будьте осторожны: как бы ваши потуги не стали напоминать один из моих любимых анекдотов:
- Что такое безопасный секс?
- Это презерватив, изолента, презерватив, изолента, презерватив, изолента и никаких сношений.
Удачи, Если что непонятно – спрашивайте, постараюсь помочь. Ваш babyc
Я давно хотел суммировать все, что прочитал, попробовал, нашел и придумал сам или подсказали грамотные люди. В статье я попробую, опираясь на свой опыт рассказать о возможностях защиты Win XP от различного рода вредоносных вторжений и других гадостях, получаемых нами из инета. Некоторые приемы осуществимы и в других операционных системах Microsoft, но большинство доступны только в XP.
Сейчас я предложу некоторые манипуляции – некоторые из них обязательны, некоторые желательны. Какие вы решите применить, а какие нет – дело ваше, но я бы посоветовал хотя бы все это попробовать, чтобы иметь возможность выбирать.
Итак, начнем.
Для начала, хотелось бы, чтобы все манипуляции производились на свежевскормленной системе). Только в этом случае по окончании настройки мы будем более-менее уверены в том, что защищены от всякого рода напастей – ведь ты не можешь гарантировать, что у тебя абсолютно все чисто, если система не свежа и юзалась не будучи правильно настроена!
Для начала надо поставить ВСЕ КРИТИЧЕСКИЕ ОБНОВЛЕНИЯ!!!(и что бы кто ни говорил – sp2 тоже, при чем обязательно). К моменту переустановки они должны быть все на вашей тачке, так как пока что система не готовы к выходу в Интернет. Как минимум sp2 должен быть установлен, хотя, повторюсь, желательно все.
Перезагружаемся (в дальнейшем я так разжевывать не буду, если что-то не понятно – спросите, поясню).
Теперь идем в Control Panel - Administrative Tools – Services (точно не помню, но в русскоговорящей винде это дело зовется типа Панель Управления, далее Администрирование, далее Службы).
Внизу переключаемся на закладку Extended (расширенные) и смотрим на список по умолчанию запущенных служб. Некоторые из них нужно обязательно отключить!!
Для отключения дважды кликаем по службе и на первой закладке (General) меняем Starttype на disable/
Прежде чем начать все это дело отключать можно на всякий случай бэкапнуть ветвь реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serviс es.
• Automatic Updates (Автоматическое обновление). Если у вас не выделенка, то лучше обновлять систему вручную. Идем в Contol Panel - Automatic Updates и там тоже отменяем.
• Messenger. Отвечает за прием и отправку сообщений, посланных администратором. При отсутствии сети (и администратора) абсолютно бесполезна. А так как существуют автоматизированные черви, рассылающие таким образом спам, этот сервис надо тоже отключить (firewall может и не помочь – ведь паршивцы могут спуфить ip)
• Remote Registry Service. Предназначена для удалённого управления реестром (нужна только администраторам сети). Можете себе представить, что произойдет, если кто-то узнает пароль админа (или юзера с большими правами) в вашей системе и удаленно подключится к реестру??
• Telnet. Обеспечивает возможность соединения и удалённой работы по протоколу telnet. Когда последний раз вашей системой управляли удаленно?
• Terminal Service (Служба терминалов) - услуга Remote Desktop. То же самое, что и c telnet – надо??
• NetMeeting Remote Desktop Sharing – туда же
Теперь советую покопаться, посмотреть остальные службы – там еще много ненужного. Не буду сейчас на этом подробнее останавливаться – ведь мы говорим о безопасности, а не об оптимизации.
Так вот. Подумайте, какие службы вам принципиально нужны? Дважды кликнете на них и в закладке Recovery (Восстановление наверное, если по-русски) выберите, что делать, если сервис остановлен? Задумайтесь о таких сервисах как драйвер антивируса и сервис фаервола. Если вы никогда не отключаете их для каких-либо целей – выберите restart service во всех 3 случаях. Естественно, эти манипуляции вы сможете делать только после установки этих самых антивируса и фаервола.
Теперь поговорим о firewallе. По статистике незащищенный фаерволом комп при соеднении с сетью остается незараженным в среднем 20 минут! И это время от года к году сокращается!
Говорят, что firewall, который появляется вместе с установкой sp2, в отличае от своего младшего брата вполне неплох. Не знаю – я за 2 минуты не смог разобраться с его настройками (да и не хотел особенно уж, слишком я к outpost привык ) и установил полюбившийся мне брандмауэр. Касательно настроек. Для начала необходимо ВСЕ ЗАПРЕТИТЬ! Потом идем сюда http://www.outpostfirewall.com/guide/rules/preset_rules/index.htm, даже если у вас не outpost.
Там смотрите какие порты, какие протоколы и т.д. нужны конкретным прогам для работы.
Вот их и разрешаете) Далее, советую поставить пароль на изменение параметров работы брандмауэра. То же самое и с антивирусом – тоже советую поставить пароль. ПАРОЛИ ДОЛЖНЫ СОСТОЯТЬ ИЗ минимум 6 ЗНАКОВ (123456 не подойдет, нужны буквы, цифры и знаки вперемешку – тогда брутфорснуть его будет малореально в условиях ограниченного времени )
Далее, идите в свойства своих локальных дисков и во вкладке Sharing выбираете Do Not Share this Folder. В локалке надо пользоваться другими, более безопасными сервисами для файлообмена.
Теперь о главном!!
НУ КОГДА ЖЕ ВЫ ПРЕКРАТИТЕ СИДЕТЬ ПОД АДМИНИСТРАТОРОМ???
Зачем вам рутовые права постоянно? Их ведь пользуют Трояны!
С этого момента начинаем учиться сидеть не под рутом. Создаете новый аккаунт с лимитированными правами. Перезагружаетесь в безопасном режиме под Админом. Клик правой кнопкой по папке c:\windows. Во вкладке Security(безопасность) удаляете созданный акканут из владельцев папки. Та же манипуляция с папкой c:\Program Files.
С этого момента, когда вы будете работать под тем аккаунтом записать в эти папки какую-нить инфу Троянам будет гораздо сложнее.
Если понадобиться установить какую-нить прогу (надеюсь, ты уверен, что в ней нет гадостей) – просто жми правой кнопко1 по инсталлятору и запускай его от имени администратора, вводи его пароль(надеюсь, ты догадался поставить сложный пароль на рутового юзера) и прога сможет записать все, что ей надо куда ей надо.
Теперь постараемся помешать Троянам записать в автозагрузку. Запускай regedit под рутом. Идем в HKLM\software\Microsft\Windows\Current Version\Run. Тут ты можешь посмотреть какие проги запускаются при загрузке. Также взгляните на папочки пониже (все, в которых есть слово Run) – это все наши клиенты.
На всех этих папках давим правой кнопкой мышки, идем в Permission и убираем свой рабочий аккаунт из владельцев веток.
Есть еще некоторые вещи, которые можно сделать:
Переименовать cmd.exe
Переместить hosts и lmhosts
И многое другое.
Очень важно быть защищенным, да. Только будьте осторожны: как бы ваши потуги не стали напоминать один из моих любимых анекдотов:
- Что такое безопасный секс?
- Это презерватив, изолента, презерватив, изолента, презерватив, изолента и никаких сношений.
Удачи, Если что непонятно – спрашивайте, постараюсь помочь. Ваш babyc