Чтото было скучно...перечитал книжичку "Microsoft Windows Server 2003. Полное руководство, 2-е издание" на 1312 страниц. (Это от скуки, ага) Крутая штука скажу я вам. Главное умело воспользоваться возможностями. И это не только к винде...Если правильно сделать\настроить систему (любую Unix, Mac ,Windows) причем использовать это все с умом то можно удивится стабильности систем.
А вообще штука хоть и неудобная но полезная, сидеть в винде под пользователем с ограниченными правами. Поймал через баннерную сеть вирус...но он ничего не смог сделать, так как папочка виндовс закрыта для юзера (и для вируса тоже). А админом зашел и удалил все что там нашалил вирусняк.
Также интересную нашел вещь - прочтите на досуге.
Optimal SolutionsА также этот текст (взятый с луркмора) и цензурной форме отредактирован:
читать дальшеНа одном небезызвестном форуме есть очень опытные аксакалы, которые путём долгого секаса мозгов себе и друг другу выработали политику огораживания NT-системы, настолько сильную и эффективную, что она позволяет не только навсегда забыть об антивирусах, но даже пускать за компьютер школьников и представителей интеллектуальных меньшинств.
Краткое изложение самых основных мер огораживания своей системы от вирусов:
* Полная переустановка всей системы. Выделение системе отдельного логического диска, который не будет захламляться для последующего удобного сноса системы ускорения восстановления, дефрагментирования, бекапов и прочих нужностей.
* Отключение автозапуска на всех съёмных дисках (Обязательно! Делается стандартной утилитой gpedit.msc, кому-то проще скачать AVZ4, но тру-одмины делают это вручную через regedit),но это не защитит от двойного щелчка по значку флэшки с последующим срабатыванием авторана, для предотвращения этого нужно установить скрипт VirusVaccine.
Или запрещаем автозапуск по двойному клику мыши или клавишей Enter на ярлыках дисков: в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf (если нет то создать ее) создаем параметр: Название "По умолчанию" (Без кавычек, по идее должен быть), тип REG_SZ, значение @SYS
oesNotExist).
* Создание пользователя с ограниченными правами (Если не в состоянии их настроить, ставьте права гостя)
* Пользование кошерным браузером, запущенным из-под пользователя с ограниченными правами (Это делается из-под любого пользователя батником с одной строчкой, удивительно? Аффтар запускает браузер из-под рута батнегом с содержимым runas /user:%название пользователя% /savecred «%ProgramFiles%\Opera\opera.exe» и напоминает всем, что сидеть под пользователем с уже ограниченными правами, имея батник на запуск под администратором какого-нибудь тотал коммандера гораздо кошернее). Ещё лучше — браузером с сильно огороженными яваскриптами(Под лисой делается плагином NoScript), ибо нефиг всяким там левым сайтам жрать ценнейшие ресурсы вашей любимой машинки и запускать на них руткиты, это следует разрешать только веками проверенным.
* Не запускать что попало, появившееся на компьютере. Если сильно жмёт, то для проверки появившегося как раз и используется антивирус, в этом случае антивирус должен обновляться хотя бы раз в неделю и иметь включенный мониторинг файлов. Можно также политикой запретить исполняемые файлы, да.
* Иметь включенное автоматическое обновление критических апдейтов системы. Фактически на домашнем компьютере не критично.
* Желательно также иметь нормально настроенный стандартный фаерволл.
* Запускать непроверенные программы внутри виртуалки (Виртуал машин например)
Если же вы желаете уберечь себя от страшных и ужасных уязвимостей типа 0-day, вредоносного кода типа сассера, кидо и т. д. помогут следующие действия, при условиии наличия домашнего компутера с интернетом и отсутствие Active Directory, средств разработки ПО, СУБД или еще каких то специфических програм. После применения некоторых пунктов, особенно касающихся DCOM и отключения анонимного доступа к именованным каналам, проверить работоспособность специфических програм.
* При соблюдении условия повседневной работы под пользователем с ограниченными правами необходимо также задать пароль встроенному админу позаковыристее
* Отключите следующие службы: Модуль поддержки NetBIOS через TCP/IP (в домашней сети без AD не нужна), Обозреватель компьютеров, Удаленный реестр, Определение оборудования оболочки (тот самый пресловутый автозапуск именно ей обрабатывается)
* Для общего доступа к файлам и принтерам в настройках брандмауэра оставить только порт TCP 445 (если никому свои шары предоставлять не планируете, то закрывайте и этот порт, а в настройках сети на всех интерфейсах снимайте галки на «общем доступе к файлам и принтерам»)
* Отключить в диспетчере устройств драйвер NetBIOS over TCP/IP (Диспетчер устройств — Вид — Показать скрытые устройства — Драйверы устройств не Plug and Play — NetBIOS over TCP/IP — заходим в свойства и устанавливаем состояние «Отключено» и перезагружаемся)
* Через соответствующую оснастку запретите анонимный доступ к DCOM (c:\WINDOWS\system32\dcomcnfg.exe — Службы компонентов — Компьютеры — Мой компьютер — на нем правой кнопкой — Свойства — Безопасность COM. Там же можно пройтись по отдельным компонентам системы)
* Разрешить политику Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями (через gpedit.msc, раздел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности)
* Настроить политику Сетевой доступ: разрешать анонимный доступ к именованным каналам (открыть ее и удалить все, что там перечислено: COMNAP, COMNODE, SQL\QUERY, SPOOLSS, LLSRPC, browser)
* Настроить политику Сетевой доступ: разрешать анонимный доступ к общим ресурсам (открыть ее и удалить все, что там перечислено)
* Настроить политику Сетевой доступ: пути в реестре доступны через сетевое подключение (открыть ее и удалить все, что там перечислено)
Асло, как известно, настоящая компьютерная безопасность начинается с перерубленных проводов связи с внешним миром, закатывания компьютера в бетон и отправке его на орбиту. Все остальное - полумеры, разве что переход на другую ос.После создание поста перечитал избранное. Да, вижу чтото айтишники оживились.
Хотя наверное осень, вирусов полно... =)
Спасибо DDD за хороший мануал. =)
Как сделать неубиваемую Windows. Статья для пользователей и админов.