На сегодняшний день домашние компьютеры имеются практически в каждом доме. Об этом известно и разного рода злоумышленникам, которые всяческими способами пытаются причинить вред нашим железным помощникам. В большинстве случаев это вирусы, как безвредные, выводящие безобидные сообщения на рабочий стол, так и весьма опасные Sality или Kido (Conficker), уничтожающие ценную информацию с носителей и делающие дальнейшее использование операционной системы невозможным. В борьбе с вирусами используется значительная часть программного обеспечения. Это антивирусные пакеты, антивирусные утилиты, брандмауры и файрволлы. В этой статье я поделюсь с вами своими практическими навыками, как обезопасить себя от вторжения в вашу информационную жизнь нежелательного и вредоносного программного обеспечения, не прибегая к помощи больших антивирусных пакетов, на основе операционной системы Microsoft Windows XP Professional Edition 32bit. Эта статья будет актуальна для маломощных компьютеров, ведь любой мало-мальски хороший антивирусный монитор требует очень много системных ресурсов (а также материальных, в виде национальной валюты за лицензионные версии). Все пункты проверялись неоднократно, уровень защиты возрастает в разы. Начнём пожалуй
Предупреждение!!! Все действия производятся в трезвом уме и твёрдой памяти! Если сомневаетесь, лучше закройте статью и ничего не делайте! Всю отвественность за выполнение предложенных действий, в частности, последних пунктов, берёте на себя!
1. Установка системы на отдельный физический диск небольшого объёма и с большой производительностью. На другом диске создать папку Program Files, в неё устанавливать весь софт. Для быстроты использования в оригинальной папке создать ярлык, ссылающийся на новую папку. При открытии диалогового окна установки программы по умолчанию место установки будет указано в системной папке. Кликаем на ярлык и в один миг переносимся в нашу папку. Этот метод позволит избежать больших потерь при крахе системы, если он всё же случится, и значительно экономит время на переустановку, т.к. практически все программы запускаются из своего каталога без переустановки. Так же системные операции дефрагментации, бэкапа или восстановления системы будут проходить очень быстро.
2. Создание пользователей с ограниченными правами (при наличии братьев/сестёр/мам/пап/ строго обязательно!). С настройками разрешений и доступов из консоли управления компьютером можно не заморачиваться. Для этого существуют твики (правки реестра). Почти всё можно найти здесь.
Для администратора пароль задаётся не девичьей фамилией матери или датой рождения, а сложной комбинацией букв и цифр в разном регистре. Самый простой способ создания такого пароля, это отечественная поэзия. Например, берём книжку "Снегирь" Агнии Барто, открываем третью страницу и читаем четвёртое четверостишие:
Тучки в небе ни одной.
Он ворчит: - Надень галоши,
Будет дождик проливной!
Берём отсюда первые буквы слов из первых 2-х строчек, и набираем их в английской раскладке, соблюдая регистр. Между строчками вставляем страницу, откуда взяли текст, и номер четверостишия. Получается Yln[34Ndyyj. Согласитесь, такой пароль даже самый мощный компьютер будет подбирать не один десяток лет. Такой же способ паролирования можно и нужно применять для защиты электронной почты, различных аккаунтов соцсетей и т.п. И паролей таких можно создать тьму великую, благо стихами нас Родина снабдила сполна.
3. Отключение автозапуска на всех дисках (строго обязательно!). Делается стандартной утилитой gpedit.msc (пуск-выпонить- gpedit.msc), можно скачать Flash Guard и воспользоваться им, а можно сделать и вручную через редактор реестра (regedit), в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionIniFileMappingAutorun.inf (если нет, то создать ее) создаем параметр: название "По умолчанию", тип REG_SZ, значение @SYS:DoesNotExist).
4. Использование панельных файловых менеджеров (Total Commander, FAR Manager, Freegate и т.д.) позволяет вовремя увидеть скрытые файлы, маскирующиеся под системные, и удалить их. Благодаря видимому расширению файлов Вы сразу заметите, что файл IloveU.jpeg.vbs совсем не картинка с любовным посланием, а Visual Basic Script, который может доставить вам много весёлых минут по разгребанию кучи текстовых файлов, разбросанных по всему компу. В стандартном проводнике он отобразился бы как IloveU.jpeg. На такое клюют очень часто
5. Не запускайте новые файлы из непроверенных источников. Для начала неплохо прогнать их антивирусной утилитой, например, Dr. Web CureIT. И вобще, лучше пользоваться только проверенными источниками.
6. Использование браузера, отвечающего современным требованиям безопасности, с применением различных дополнений в виде скриптов для резки баннеров и ява-скриптов. Для Firefox есть плагин NoScript, аналог для Opera называется BlockIt (всё легко ищется, скачаивается и устанавливается), позволяющие разрешать определённые и запрещать ненужные скрипты.
А теперь артиллерия. Данные методы информационной защиты были "позаимствованы" у одной крупной компании, которые служат там в качестве единого стандарта информационой безопасности.
Использовать на свой страх и риск! Проверять работоспособность сети и интернет после каждого шага!
Итак, если ваш компьютер одомашнен по максимуму (интернет, игры, мультимедиа), отсутствует Active Directory, нет средств разработки ПО, СУБД или еще каких то специфических програм, делаем следующее:
Отключите следующие службы: Модуль поддержки NetBIOS через TCP/IP (в домашней сети без AD не нужна), Обозреватель компьютеров, Удаленный реестр, Определение оборудования оболочки (тот самый пресловутый автозапуск именно ей обрабатывается)
Для общего доступа к файлам и принтерам в настройках брандмауэра оставить только порт TCP 445 (если никому свои шары предоставлять не планируете, то закрывайте и этот порт, а в настройках сети на всех интерфейсах снимайте галки на «общем доступе к файлам и принтерам»)
Отключить в диспетчере устройств драйвер NetBIOS over TCP/IP (Диспетчер устройств - Вид - Показать скрытые устройства - Драйверы устройств не Plug and Play - NetBIOS over TCP/IP - заходим в свойства и устанавливаем состояние «Отключено» и перезагружаемся)
Через соответствующую оснастку запретите анонимный доступ к DCOM (Пуск-Выполнить comcnfg.exe - Службы компонентов - Компьютеры - Мой компьютер - на нем правой кнопкой - Свойства - Безопасность COM. Там же можно пройтись по отдельным компонентам системы)
Разрешить политику Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями (через gpedit.msc, раздел Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности)
Настроить политику Сетевой доступ: разрешать анонимный доступ к именованным каналам (открыть ее и удалить все, что там перечислено: COMNAP, COMNODE, SQLQUERY, SPOOLSS, LLSRPC, browser)
Настроить политику Сетевой доступ: разрешать анонимный доступ к общим ресурсам (открыть ее и удалить все, что там перечислено)
Настроить политику Сетевой доступ: пути в реестре доступны через сетевое подключение (открыть ее и удалить все, что там перечислено)
Вот такая вот тонкая доработка напильником, в нашем мире по другому никак нельзя. Желаю всем успехов в настройке. И упаси вас малварь
У меня такое ощущение, что никто не понимает, о чём эта статья. А жаль.
Юзеров можно разделить на три категории:
1. Юзают антивир и считают себя защищёнными по самое не могу. При этом не задумываются, как пополняются базы антивирусов, а ведь сами могут словить партию новоиспечённых виров, отсутствующих в базе. Ну и, разумеется, никому не интересно, что антивиры жрут ресурсы.
2. Сидят без антивира, и верят, что пока они ничего не запустят - ни одна дрянь на их комп не пролезет. Типа, "я ж не дурак вирусы запускать". И пофигу, что есть сетевые атаки, скрипты на сайтах, и тот самый великий виндозный АВТОЗАПУСК сменных носителей - самая идиотская функция, на 99% способствующая нормальному размножению вирусов.
3. Сидят без антивира, и знают, что пока они дрянь какую не запустят - ничего не случится, поскольку все длинные руки виндов, которые так и норовят помочь бедному вирусу запуститься, давно отбиты.
Статья рассчитана именно на третью категорию, поскольку, по сути, если человек имеет мозг, чтобы понимать, что нельзя запускать что попало, особенно если оно имеет значок JPG и расширение EXE, то при правильной настройке виндов будет счастье.
Я сам на ноуте использовал процентов 70 от этой статьи (при чём до выхода статьи ещё) - и мне не страшны ни сетевые атаки, ни флешки с кучей мусора, ни хитрые сайты. Ибо все левые порты и сервисы отключены, автозапуск убит на корню, а сайты получат возможность выполнить скрипт лишь те, которым я разрешу. В итоге вероятность заражения та же, но при этом никакого гемора с базами, кряками, тормозами и прочими радостями антивиров.
0 ответить