категории | RSS

На сегодняшний день домашние компьютеры имеются практически в каждом доме. Об этом известно и разного рода злоумышленникам, которые всяческими способами пытаются причинить вред нашим железным помощникам. В большинстве случаев это вирусы, как безвредные, выводящие безобидные сообщения на рабочий стол, так и весьма опасные Sality или Kido (Conficker), уничтожающие ценную информацию с носителей и делающие дальнейшее использование операционной системы невозможным. В борьбе с вирусами используется значительная часть программного обеспечения. Это антивирусные пакеты, антивирусные утилиты, брандмауры и файрволлы. В этой статье я поделюсь с вами своими практическими навыками, как обезопасить себя от вторжения в вашу информационную жизнь нежелательного и вредоносного программного обеспечения, не прибегая к помощи больших антивирусных пакетов, на основе операционной системы Microsoft Windows XP Professional Edition 32bit. Эта статья будет актуальна для маломощных компьютеров, ведь любой мало-мальски хороший антивирусный монитор требует очень много системных ресурсов (а также материальных, в виде национальной валюты за лицензионные версииsmile). Все пункты проверялись неоднократно, уровень защиты возрастает в разы. Начнём пожалуйsmile

Предупреждение!!! Все действия производятся в трезвом уме и твёрдой памяти! Если сомневаетесь, лучше закройте статью и ничего не делайте! Всю отвественность за выполнение предложенных действий, в частности, последних пунктов, берёте на себя!

1. Установка системы на отдельный физический диск небольшого объёма и с большой производительностью. На другом диске создать папку Program Files, в неё устанавливать весь софт. Для быстроты использования в оригинальной папке создать ярлык, ссылающийся на новую папку. При открытии диалогового окна установки программы по умолчанию место установки будет указано в системной папке. Кликаем на ярлык и в один миг переносимся в нашу папку. Этот метод позволит избежать больших потерь при крахе системы, если он всё же случится, и значительно экономит время на переустановку, т.к. практически все программы запускаются из своего каталога без переустановки. Так же системные операции дефрагментации, бэкапа или восстановления системы будут проходить очень быстро.

2. Создание пользователей с ограниченными правами (при наличии братьев/сестёр/мам/пап/ строго обязательно!). С настройками разрешений и доступов из консоли управления компьютером можно не заморачиваться. Для этого существуют твики (правки реестра). Почти всё можно найти здесь.
Для администратора пароль задаётся не девичьей фамилией матери или датой рождения, а сложной комбинацией букв и цифр в разном регистре. Самый простой способ создания такого пароля, это отечественная поэзия. Например, берём книжку "Снегирь" Агнии Барто, открываем третью страницу и читаем четвёртое четверостишие:

Нынче день такой хороший,
Тучки в небе ни одной.
Он ворчит: - Надень галоши,
Будет дождик проливной!

Берём отсюда первые буквы слов из первых 2-х строчек, и набираем их в английской раскладке, соблюдая регистр. Между строчками вставляем страницу, откуда взяли текст, и номер четверостишия. Получается Yln[34Ndyyj. Согласитесь, такой пароль даже самый мощный компьютер будет подбирать не один десяток лет. Такой же способ паролирования можно и нужно применять для защиты электронной почты, различных аккаунтов соцсетей и т.п. И паролей таких можно создать тьму великую, благо стихами нас Родина снабдила сполна.

3. Отключение автозапуска на всех дисках (строго обязательно!). Делается стандартной утилитой gpedit.msc (пуск-выпонить- gpedit.msc), можно скачать Flash Guard и воспользоваться им, а можно сделать и вручную через редактор реестра (regedit), в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionIniFileMappingAutorun.inf (если нет, то создать ее) создаем параметр: название "По умолчанию", тип REG_SZ, значение @SYS:DoesNotExist).

4. Использование панельных файловых менеджеров (Total Commander, FAR Manager, Freegate и т.д.) позволяет вовремя увидеть скрытые файлы, маскирующиеся под системные, и удалить их. Благодаря видимому расширению файлов Вы сразу заметите, что файл IloveU.jpeg.vbs совсем не картинка с любовным посланием, а Visual Basic Script, который может доставить вам много весёлых минут по разгребанию кучи текстовых файлов, разбросанных по всему компу. В стандартном проводнике он отобразился бы как IloveU.jpeg. На такое клюют очень часто

5. Не запускайте новые файлы из непроверенных источников. Для начала неплохо прогнать их антивирусной утилитой, например, Dr. Web CureIT. И вобще, лучше пользоваться только проверенными источниками.

6. Использование браузера, отвечающего современным требованиям безопасности, с применением различных дополнений в виде скриптов для резки баннеров и ява-скриптов. Для Firefox есть плагин NoScript, аналог для Opera называется BlockIt (всё легко ищется, скачаивается и устанавливается), позволяющие разрешать определённые и запрещать ненужные скрипты.

А теперь артиллерия. Данные методы информационной защиты были "позаимствованы" у одной крупной компании, которые служат там в качестве единого стандарта информационой безопасности.
Использовать на свой страх и риск! Проверять работоспособность сети и интернет после каждого шага!

Итак, если ваш компьютер одомашнен по максимуму (интернет, игры, мультимедиа), отсутствует Active Directory, нет средств разработки ПО, СУБД или еще каких то специфических програм, делаем следующее:

Отключите следующие службы: Модуль поддержки NetBIOS через TCP/IP (в домашней сети без AD не нужна), Обозреватель компьютеров, Удаленный реестр, Определение оборудования оболочки (тот самый пресловутый автозапуск именно ей обрабатывается)

Для общего доступа к файлам и принтерам в настройках брандмауэра оставить только порт TCP 445 (если никому свои шары предоставлять не планируете, то закрывайте и этот порт, а в настройках сети на всех интерфейсах снимайте галки на «общем доступе к файлам и принтерам»)

Отключить в диспетчере устройств драйвер NetBIOS over TCP/IP (Диспетчер устройств - Вид - Показать скрытые устройства - Драйверы устройств не Plug and Play - NetBIOS over TCP/IP - заходим в свойства и устанавливаем состояние «Отключено» и перезагружаемся)

Через соответствующую оснастку запретите анонимный доступ к DCOM (Пуск-Выполнить comcnfg.exe - Службы компонентов - Компьютеры - Мой компьютер - на нем правой кнопкой - Свойства - Безопасность COM. Там же можно пройтись по отдельным компонентам системы)

Разрешить политику Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями (через gpedit.msc, раздел Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности)

Настроить политику Сетевой доступ: разрешать анонимный доступ к именованным каналам (открыть ее и удалить все, что там перечислено: COMNAP, COMNODE, SQLQUERY, SPOOLSS, LLSRPC, browser)

Настроить политику Сетевой доступ: разрешать анонимный доступ к общим ресурсам (открыть ее и удалить все, что там перечислено)

Настроить политику Сетевой доступ: пути в реестре доступны через сетевое подключение (открыть ее и удалить все, что там перечислено)

Вот такая вот тонкая доработка напильником, в нашем мире по другому никак нельзя. Желаю всем успехов в настройке. И упаси вас малварьsmile

DimonVideo
2010-10-06T17:13:05Z

Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 21

#21   EQ    

У меня такое ощущение, что никто не понимает, о чём эта статья. А жаль.
Юзеров можно разделить на три категории:
1. Юзают антивир и считают себя защищёнными по самое не могу. При этом не задумываются, как пополняются базы антивирусов, а ведь сами могут словить партию новоиспечённых виров, отсутствующих в базе. Ну и, разумеется, никому не интересно, что антивиры жрут ресурсы.
2. Сидят без антивира, и верят, что пока они ничего не запустят - ни одна дрянь на их комп не пролезет. Типа, "я ж не дурак вирусы запускать". И пофигу, что есть сетевые атаки, скрипты на сайтах, и тот самый великий виндозный АВТОЗАПУСК сменных носителей - самая идиотская функция, на 99% способствующая нормальному размножению вирусов.
3. Сидят без антивира, и знают, что пока они дрянь какую не запустят - ничего не случится, поскольку все длинные руки виндов, которые так и норовят помочь бедному вирусу запуститься, давно отбиты.

Статья рассчитана именно на третью категорию, поскольку, по сути, если человек имеет мозг, чтобы понимать, что нельзя запускать что попало, особенно если оно имеет значок JPG и расширение EXE, то при правильной настройке виндов будет счастье.
Я сам на ноуте использовал процентов 70 от этой статьи (при чём до выхода статьи ещё) - и мне не страшны ни сетевые атаки, ни флешки с кучей мусора, ни хитрые сайты. Ибо все левые порты и сервисы отключены, автозапуск убит на корню, а сайты получат возможность выполнить скрипт лишь те, которым я разрешу. В итоге вероятность заражения та же, но при этом никакого гемора с базами, кряками, тормозами и прочими радостями антивиров.


0 ответить

#21   agentsmitt    

По моему автор статьи немного сгущает краски. Например у меня самое ценное в компьютере это семейные фото, которые так же записаны на дисках. И я сильно сомневаюсь что они кому либо еще интересны кроме моей семьи, ну и родственников. Ну ломанули у меня учетку в контакте и ящик. Ну и что? На ящик приходили в основном рассылки, я зарегил новый, теперь они приходят туда, а в контакте сделал другую регистрацию с тем же именем, фамилией и так далее кроме ящика. Все равно она мне нужна была для просмотра групп по моим интересам, ничего нового я для себя не нашел. Так что для злоумышленников я думаю что интереса не представляю. А винда со всеми прогами ставится за час. Так что я особо не заморачиваюсь.


0 ответить

#21   Slim2SLim    

veritas_victim
да? Я его смотрел в году 92м на видео ..не хочу лезть в инет и портить впечатления . . .
Косательно дверей- тут важны :с) Никривыя руки и Непрямые извилины . . Вот у Нас в городе двери входные стоят 6..12тыс, недавно знакомый устанавливал за 10 +установка 1, 2тыс . . . так вот Их уронили при транспортировке (косяк вааще мелкий поврежден) и Стали двери Ценою уже в 6тыс
-------------
Добавлено в 17.24: Read_only_
кто сказал что ХР устаревшая?
Конечно будущее за 7мь, но пока вроде па статистике Лидирует ХР в мире установленных платформ на РС & Еtс.
Всё упомянуть невозможно в данной теме, иначе получится уже Книга.. Автор затронул Основы безопасности + ручной способ папильником вкратце
В Итоге: всё гениальное просто == чем проще тем надежней
-------------
Добавлено в 17.35: ..и об Актуальном ^
Мою страницу вконтакте.ру Взломали около месяца назад . . (мне как бы ДОфонаря эта помойка рунета) но важен сам факт. Ходил я тока со Смарта ЮСвэб, изредка Опера мини 4..
Долго думал как меня ЛОМанули.. Моя страница была ЗАблокирована Админцией сайта за Массовые рассылки.. [послед.время Странные вещи тварились] Я вступал в группы и добавлял друзей ДАЖЕ! без Запросов и Без моего ведома..
Так вот подумав я пришел тока к Одному варианту-- Меня ломанули ЧЕРЕЗ 6рутфорс . . Все это Знают-читали, но Меня ПОДВЕЛА Лень
делайте выводы
-------------
Добавлено в 19.21: ...и Не в тему [фильм Unfоrgivеn] . . Всётаки не удержался и глянул в инети.. Я неошибся хоть и самый полный ресурс о картине нашел в википедии -не люблю Её :(
Фильм оказался Знаменит, много разных наград и премий
так о чём это Я? ?
В Тему как сказал персонаж — Уильям Манни, я Не знаю Как это у меня получаетца, обычно па пьяне выходит
.. так что Люди защищайте что Вам дорого, Любыми доступными способами . .


0 ответить

#21   Read_only_    

Хорошая статейка, но много моментов опущено, да и ось устаревшая. Но сделав ето один раз и сделав после бекап системного раздела можно не заморачиватся с переустановкой оси не создавать на других дисках папки програм файлс, мои документы, зе бат и т.д. О полном бекапе зря не упомянул в статье, кстати.


0 ответить

#21   veritas_victim    

Цитата: destyner
нет невзламываемых систем. Есть иллюзия, способная защитить лишь от мелких хулиганов.

Конечно, почти не существует невзламываемых систем (про PitBull LX не забываем, да). Но ты, с твоей коллекцией порно фильмов, музыки и крякнутого софта, никому не сдался. Специальные атаки для взлома твоей системы, как и большинства из нас, никто проводить не собирается. А уберечься от вездесущих ботнетов и бакдоров можно с вероятностью 99, 9%.
Цитата: destyner
Вроде как дверь за 50 тыр в квартиру.

В этой статье как раз таки говорится о том, что не надо никому платить денюжку за защиту собственной информации. Немного извилин и прямые руки помогут.
Цитата: Slim2SLim
Фильм: Не прощённый в ролях- Клинт Иствуд, Джин Хэкман, Хуба Гьюдинг младший

Там ещё Морган Фриман был. Хорошее киноsmile


0 ответить

#21   Slim2SLim    

Usernokiamen
как раз об Этом и хотел написать Автору, это Может привести к Краху Системы даже со временем . .
destyner, уважаемы Ненада тут Памойку делать.... так Почему Незастрелили ДЖО? видать когда Он палил направо и на лево с Обоих рук smile Не в кого не попал, даж Случайно.. Иначеп БЫЛ Другой расклад
и в Вашу тему.. Можно дать попробывать Партнерше постояннай Посасать в призирвативи . . в качестве разнообразия, бываеть даж Жёны хотят этого {ПИСЕЦъ} но после опыта Вкус ОТшибает.
-------------
Добавлено в 06.52: ..и ещё, НЕ в Тему жанр {вестерн}
данные беру из памяти (старые) не из инета, хотя Для точности мог и глянуть, фильм древний но не Как БЫСТРЫЙ & МЕРТВЫЙ
Фильм: Не прощённый
в ролях- Клинт Иствуд, Джин Хэкман, Хуба Гьюдинг младший
. . и Никакого ДЖО! м.ля..


0 ответить

#21   destyner    

Ога. На ум сразу анекдот приходит:
Городок в западно-американской степи. Салун. За столом сидят два ковбоя и пьют виски. Вдруг по улице кто-то проносится на огромной скорости, паля во все стороны из пистолетов. Один ковбой другому:
— Что это было, Билл?
— Это был Неуловимый Джо, Гарри.
— А почему его зовут Неуловимым Джо, Билл?
— Потому что его никто ещё не поймал, Гарри.
— А почему его никто ещё не поймал, Билл?
— Потому что он нахрен никому не нужен, Гарри.

И допишу известный факт: нет невзламываемых систем. Есть иллюзия, способная защитить лишь от мелких хулиганов. Вроде как дверь за 50 тыр в квартиру. А зубов бояться - в рот не давать fellow


0 ответить

#21   Usernokiamen    

Определение оборудования оболочки, если не ошибаюсь, если эту службу отключить, пк грузится в два раза больше.


0 ответить

#21   veritas_victim    

KPACAB4uK87, даже сама винда есть портабл;)


0 ответить

#21   Slim2SLim    

veritas_victim
да.. Как раз про игры я и имел ввиду, извиняюсь что забыл упомянуть [начиная с СS -регистрация ключа и заканчивая более тесной интеграцией с ОСью].
Добавлю всё это применительно к ХР, так же сохранив части реестра можно в последующем Импортировать целиком вид рабочего стола и внешний вид, да и многое остальное -практически всё.. Реестр это 'СЕРДЦЕ' Винды, я осознал это ещё в 2001м :с)


0 ответить

Яндекс.Метрика