Защита Xp

Защита Windows XP и некоторые специфические настройки.

Я давно хотел суммировать все, что прочитал, попробовал, нашел и придумал сам или подсказали грамотные люди. В статье я попробую, опираясь на свой опыт рассказать о возможностях защиты Win XP от различного рода вредоносных вторжений и других гадостях, получаемых нами из инета. Некоторые приемы осуществимы и в других операционных системах Microsoft, но большинство доступны только в XP.

Сейчас я предложу некоторые манипуляции – некоторые из них обязательны, некоторые желательны. Какие вы решите применить, а какие нет – дело ваше, но я бы посоветовал хотя бы все это попробовать, чтобы иметь возможность выбирать.

Итак, начнем.
Для начала, хотелось бы, чтобы все манипуляции производились на свежевскормленной системе). Только в этом случае по окончании настройки мы будем более-менее уверены в том, что защищены от всякого рода напастей – ведь ты не можешь гарантировать, что у тебя абсолютно все чисто, если система не свежа и юзалась не будучи правильно настроена!

Для начала надо поставить ВСЕ КРИТИЧЕСКИЕ ОБНОВЛЕНИЯ!!!(и что бы кто ни говорил – sp2 тоже, при чем обязательно). К моменту переустановки они должны быть все на вашей тачке, так как пока что система не готовы к выходу в Интернет. Как минимум sp2 должен быть установлен, хотя, повторюсь, желательно все.
Перезагружаемся (в дальнейшем я так разжевывать не буду, если что-то не понятно – спросите, поясню).

Теперь идем в Control Panel - Administrative Tools – Services (точно не помню, но в русскоговорящей винде это дело зовется типа Панель Управления, далее Администрирование, далее Службы).
Внизу переключаемся на закладку Extended (расширенные) и смотрим на список по умолчанию запущенных служб. Некоторые из них нужно обязательно отключить!!
Для отключения дважды кликаем по службе и на первой закладке (General) меняем Starttype на disable/

Прежде чем начать все это дело отключать можно на всякий случай бэкапнуть ветвь реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serviс es.

• Automatic Updates (Автоматическое обновление). Если у вас не выделенка, то лучше обновлять систему вручную. Идем в Contol Panel - Automatic Updates и там тоже отменяем.
• Messenger. Отвечает за прием и отправку сообщений, посланных администратором. При отсутствии сети (и администратора) абсолютно бесполезна. А так как существуют автоматизированные черви, рассылающие таким образом спам, этот сервис надо тоже отключить (firewall может и не помочь – ведь паршивцы могут спуфить ip)
• Remote Registry Service. Предназначена для удалённого управления реестром (нужна только администраторам сети). Можете себе представить, что произойдет, если кто-то узнает пароль админа (или юзера с большими правами) в вашей системе и удаленно подключится к реестру??
• Telnet. Обеспечивает возможность соединения и удалённой работы по протоколу telnet. Когда последний раз вашей системой управляли удаленно?
• Terminal Service (Служба терминалов) - услуга Remote Desktop. То же самое, что и c telnet – надо??
• NetMeeting Remote Desktop Sharing – туда же
Теперь советую покопаться, посмотреть остальные службы – там еще много ненужного. Не буду сейчас на этом подробнее останавливаться – ведь мы говорим о безопасности, а не об оптимизации.
Так вот. Подумайте, какие службы вам принципиально нужны? Дважды кликнете на них и в закладке Recovery (Восстановление наверное, если по-русски) выберите, что делать, если сервис остановлен? Задумайтесь о таких сервисах как драйвер антивируса и сервис фаервола. Если вы никогда не отключаете их для каких-либо целей – выберите restart service во всех 3 случаях. Естественно, эти манипуляции вы сможете делать только после установки этих самых антивируса и фаервола.

Теперь поговорим о firewallе. По статистике незащищенный фаерволом комп при соеднении с сетью остается незараженным в среднем 20 минут! И это время от года к году сокращается!
Говорят, что firewall, который появляется вместе с установкой sp2, в отличае от своего младшего брата вполне неплох. Не знаю – я за 2 минуты не смог разобраться с его настройками (да и не хотел особенно уж, слишком я к outpost привык ) и установил полюбившийся мне брандмауэр. Касательно настроек. Для начала необходимо ВСЕ ЗАПРЕТИТЬ! Потом идем сюда http://www.outpostfirewall.com/guide...ules/index.htm, даже если у вас не outpost.
Там смотрите какие порты, какие протоколы и т.д. нужны конкретным прогам для работы.
Вот их и разрешаете) Далее, советую поставить пароль на изменение параметров работы брандмауэра. То же самое и с антивирусом – тоже советую поставить пароль. ПАРОЛИ ДОЛЖНЫ СОСТОЯТЬ ИЗ минимум 6 ЗНАКОВ (123456 не подойдет, нужны буквы, цифры и знаки вперемешку – тогда брутфорснуть его будет малореально в условиях ограниченного времени )


Далее, идите в свойства своих локальных дисков и во вкладке Sharing выбираете Do Not Share this Folder. В локалке надо пользоваться другими, более безопасными сервисами для файлообмена.

Теперь о главном!!
НУ КОГДА ЖЕ ВЫ ПРЕКРАТИТЕ СИДЕТЬ ПОД АДМИНИСТРАТОРОМ???
Зачем вам рутовые права постоянно? Их ведь пользуют Трояны!
С этого момента начинаем учиться сидеть не под рутом. Создаете новый аккаунт с лимитированными правами. Перезагружаетесь в безопасном режиме под Админом. Клик правой кнопкой по папке c:\windows. Во вкладке Security(безопасность) удаляете созданный акканут из владельцев папки. Та же манипуляция с папкой c:\Program Files.
С этого момента, когда вы будете работать под тем аккаунтом записать в эти папки какую-нить инфу Троянам будет гораздо сложнее.
Если понадобиться установить какую-нить прогу (надеюсь, ты уверен, что в ней нет гадостей) – просто жми правой кнопко1 по инсталлятору и запускай его от имени администратора, вводи его пароль(надеюсь, ты догадался поставить сложный пароль на рутового юзера) и прога сможет записать все, что ей надо куда ей надо.

Теперь постараемся помешать Троянам записать в автозагрузку. Запускай regedit под рутом. Идем в HKLM\software\Microsft\Windows\Current Version\Run. Тут ты можешь посмотреть какие проги запускаются при загрузке. Также взгляните на папочки пониже (все, в которых есть слово Run) – это все наши клиенты.
На всех этих папках давим правой кнопкой мышки, идем в Permission и убираем свой рабочий аккаунт из владельцев веток.

Есть еще некоторые вещи, которые можно сделать:
Переименовать cmd.exe
Переместить hosts и lmhosts
И многое другое.
Очень важно быть защищенным, да. Только будьте осторожны: как бы ваши потуги не стали напоминать один из моих любимых анекдотов:
- Что такое безопасный секс?
- Это презерватив, изолента, презерватив, изолента, презерватив, изолента и никаких сношений.
Удачи, Если что непонятно – спрашивайте, постараюсь помочь. Ваш babyc

[мультяша]

Решила добавить к вышеизложенному списку еще немного советов, как закрыть прорехи, существующие в Windоws
1. По умолчанию через каждое соединение с интернетом разрешен общий доступ к файлам и принтерам, что, как правило, редко кому требуется. Такой доступ обычно разрешают во внутренней сети. Поэтому его лучше отключить:кликаем правой кнопкой мыши на значке, соответствующем соединению и в контекстном меню выбираем свойства -> общие сбрасываем флажок (Служба доступа к файлам и принтерам сетей Майкрософт) -> ок
Если у вас несколько соединений, повторяем процедуру для каждого из них.
2.Еще одним потенциально уязвимым местом вашей системы является механизм (UPnP) Uniwersal Plug and Play. Этот механизм имеет дело только с сетевыми устройствами. UPnP - это набор стандартов, в соответствии с которыми сетевые устройства сообщают о своем присутствии серверам UPnP. Это напоминает работу обычного РnP, когда новое подключенное к системе устройство сообщает о своем присутствии Windоws. В системе поддержка UPnP включена по умолчанию, однако большинство пользователей его не используют. Если вы не подключаете к своей сети какие-либо устройства UPnP, вы должны его отключить. Ведь вы не хотите чтоб кто-нибудь забрел к вам без разрешения. Отключается механизм в службах. Находим там в списке - Служба обнаружения SSDP (SSDP Discovery Servise) и делаем двойной щелчок - стоп(останавливаем службу) - изменяем тип запуска на отключено, чтоб не загружалась при следующей загрузке системы -и на ОК. Повторите эти действия для записи
Узел универсальных PnP-устройств (Universal Plug and Play Device Host)

[WIZARD MAN]

Странно, постоянно сижу на админе, но трояны особо не досаждают. Фейрвол+Ограничение прав для админа( так, кое что) и никаких проблем. Политики здорово облегчили жизнь под админом.

Цитата: Сообщение от wizard Man Странно, постоянно сижу на админе, но трояны особо не досаждают. Фейрвол+Ограничение прав для админа( так, кое что) и никаких проблем. Политики здорово облегчили жизнь под админом.

Если ты сидишь не под рутом, то трояном тяжелее записаться к тебе, скажем в реестр

[WIZARD MAN]

Горе сканеры достали, фаер постоянно флаги выбрасывает. Вот с этим нужно что-то делать...

[WIZARD MAN]

Извиняюсь если непонятно объяснил.. У меня NIS 2005, один и тот-же ip на сканировании моего компа палит. Я его и выключать пробовал.. После последней атаки на бэкдор, я просто озверел.. Теперь если сунется дам ему по мягкому месту, KIL HDD например.. (вольный перевод, Sorry)

От себя хочу добавить, что если нет никакой пущей необходимости, то можно отключить сервисы Server, RPC (со всеми зависимостями) а также WebClient. Ну и конечно старый добрый firewall должен присутствовать. Причем желательно не встроенный, а третьих фирм.

[WIZARD MAN]

Службы труднее остановить чем запустить. Вот еслиб сразу не трогать.. Я пытался отключить сервер.. Только тормоза пошли.. Запомнил что-ли.. Гдеб найти програмку со значением, например: Total Default..?? Есть ли такие в природе? А то анти-мигрени фсякие попдаются на каждом шагу..

Цитата: Сообщение от sdav От себя хочу добавить, что если нет никакой пущей необходимости, то можно отключить сервисы Server, RPC (со всеми зависимостями) а также WebClient. Ну и конечно старый добрый firewall должен присутствовать. Причем желательно не встроенный, а третьих фирм.

От встроенного фаера пользы я точно не заметил,хоть и активизнул его по всем инструкциям.Поставил Outpost Firewall pro -теперь хоть вижу,что он работает

[inzaf]

На форуме пишут,что комп заражается примерно через 20 минут, будучи
не защищенным.Недавно проверил на практике.Мне пришлось отключить
Zone Alarm и Avast, т.к кто-то из них не давал залезть на один сайт.
Что-то связанно было с блокировкой cooki.Примерно минут через 15 востанавил защиту, и антивирусник заверещал, что троян сидит в папке
System 32. Будьте бдительны!

[Yohiru]

Отключаю небезопасные сервисы + все патчи (те, конечно, которые безглючные ) + AVP+ firewall + antispy = OK

Не я еще настраиваю политики локальной безопастности... Учетку администратора переименовываю в первую очередь....

[emulty]

Аналогично:
1) Updates
2) Antivirus
3) FireWall

Проблем после как то уже не возникало, живу так более 3х лет. С учеткой админа не заморачивался, просто пароль посложнее.
windowsupdate.microsoft.com+Dr.Web+Outpost - не забывать обновлять все это вмете взятое

[lastmylove]

1. Критические Updates
2. Firefall (Outpost) + adware + Updates
3. AVP (Nod 32) + Updates базы
4. Тонкая настройка браузера (использую Оперу)
5. Конечно бэкап

Вот вроде и все ...

[yuwik]

Outpost+Nod32+Ad-Aware( в режиме мониторинга) и забыл, что какая то нечисть существует в сети.