IT формат электронный журнал
changemoney.me
«    Ноябрь 2017    »
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 

Установка Windows. Безопасность - «Обязательный минимум».

  Windows установлена.  Системные драйвера загружены. Самое время заняться безопасностью.  К сожалению,  даже в минимальном варианте настроек, без правки реестра и изменения состояния системных служб обойтись не получится.  Дабы хоть как-то скрасить этот не весёлый процесс, постараемся максимально автоматизировать его.

К слову сказать:  сколько бы внимания мы не уделяли безопасности, какие бы продвинутые антивирусы не устанавливали,  это всего лишь защита от хулиганов, нахватавшихся азов программирования, и решивших поэкспериментировать на чужих компьютерах. Хотя, и это не маловажно на сегодняшний день, ибо их количество и уровень, благодаря общедоступности информации,  постоянно растут. И если раньше максимум к чему могли привести действия таких «экспериментаторов»  – к плохому настроению и бессонным ночам, во время восстановления утраченных данных, то теперь последствия часто бывают намного серьёзнее.

Для профессиональных же хакеров, при необходимости, получить управление практически любым компьютером не составляет особого труда. По статистике, даже в программах, прошедших строгий контроль качества (Quality AssuranceQA), на каждые 1000 строк присутствует 5 ошибок .  Windows XP насчитывает 40 миллионов строк…

И вот мы, понимая «тщетность» наших действий, но вместе с тем с твёрдым намерением дать отпор, начинаем «кромсать» систему, что бы за нас это не сделали хулиганы. smile

Но давайте всё по порядку, то есть сначала…

 

Пароль.

 Защита паролем – самая распространённое средство безопасности, из-за своей простоты реализации.  Следующей по популярности является защита с помощью отпечатков пальцев, затем - идентификация по радужной оболочке глаза.

Мы, конечно же, рассмотрим вариант защиты паролем. Для этого – немного статистики c ресурса Lenta.ru:

«Согласно исследованиям специалистов Инженерной школы Джеймса Кларка при Университете Мэрилэнда, хакерские атаки в Глобальной сети осуществляются каждые 39 секунд, и самым часто употребляемым для взлома паролем является "1234". Звания самого популярного логина, используемого хакерами при попытках взлома, удостоился "root", сообщается на сайте TG Daily.

Примечательно, что логин "root" и пароль "1234" остаются самой распространенной комбинацией для большинства пользователей, не считая тех, кто вообще не знает, как сменить пароль. Другие распространенные "догадки" хакеров включают пароли наподобие "12345", "1", "123" и так далее, а также "password" (слово "пароль", наверное, кажется вполне логичным решением, когда программа просит ввести пароль), "passwd" и "test". Самыми популярными логинами являются "admin", "administrator", "user", "oracle", "mysql" и "info". В целях безопасности пользователям настоятельно рекомендуется не пользоваться ни одним из подобных логинов и паролей».

Здесь комментарии излишни, поэтому просто с учётом вышеописанной информации создайте более или менее безопасный пароль… например «543» smile

Но, даже если Вы подобрали, на Ваш взгляд, нерасшифровываемое сочетание букв и цифр, велика вероятность, что злоумышленники смогут их обойти, воспользовавшись официально распространяемыми, бесплатными программами, с помощью которых подбор паролей требует минимального количества времени и усилий, не говоря уже о том, что умеют продвинутые хакеры…

Пара примеров, первое, что приходит на память из вышеуказанных программ:

Бесплатная программа «John the Ripper password cracker»

(http://www.openwall.com/john/)

- самая быстрая программа для перебора паролей.

Бесплатная программа  «Offline NT Password & Registry Editor» (http://home.eunet.no/~pnordahl/ntpasswd/ ).

Утилита сбрасывает пароли даже при отключении всех, включая администратора, учётных записей, то есть при невозможности входа в систему.

Этот бесплатный софт создан в первую очередь для пользователей, которые могут в случае утери пароля или проблем с учётной записью легко поправить ситуацию. «Злоумышленный» пример их использования приведён лишь для того, что бы показать, насколько просто обойти все преграды даже не подготовленному человеку. Но, имея в арсенале как минимум: «Предупреждён - значит, вооружен!», можно избежать многих неприятностей, связанных с излишним доверием к технологиям защиты.

Для того, что бы хоть как то насолить всё тем же хулиганам, устанавливаем  более продвинутый протокол передачи пароля:

 

Панель Управления - Администрирование - Локальные параметры Безопасности  - Локальные политики - Параметры безопасности, и ищем в появившемся списке строку "Сетевая безопасность: уровень проверки подлинности LAN Manager"

В выпадающем меню выбираем "Отправлять только NTLMv2 ответ" – «Применить» - «ОК»

 

Разбираемся с учетными записями.

 Во время установки Windows обычно пользователи создают свою учётную запись. Независимо от этого, на компьютере автоматически создаётся аккаунт «Администратор», обладающий полным доступом ко всем функциям системы.

По рекомендации Microsoft, учётную запись «Администратор» нужно отключить, создав взамен другую, с правами администратора, которой, в свою очередь, постоянно пользоваться не рекомендуется. Для повседневного сёрфинга нужна учётная запись с ограниченными правами…

Для неопытных пользователей сложновато написано, но это только на первый взгляд. Всё встанет на свои места в процессе настройки.

Если у Вас, по какой-либо причине,  нет учётной записи с правами администратора, создаём её:

Идём: Панель управленияУчетные записи пользователейСоздание учетной записи – выбираем «Администратор компьютера» и, следуя указаниям помощника, создаём учётную запись.

То же самое делаем для ограниченной учётной записи, выбрав вместо «Администратор компьютера»  пункт «Ограниченная запись».

Подробнее об учетных записях можно прочитать здесь:

http://www.microsoft.com/rus/protect/computer/advanced/useraccount.mspx

Раз у нас будет два аккаунта на компьютере, то включаем быстрое переключение пользователей:

Пуск - Панель инструментов - Учётные записи пользователей - Изменение входа пользователей в систему - Использовать быстрое переключение пользователей - Применение параметров

 

Удаляем не нужные учётные записи.

 Идём: Правой кнопкой мыши на значок "Мой компьютер" - Управление - Локальные пользователи и группы - Пользователи

По умолчанию будет так:

HelpAssistant

SUPPORT_388945a0

Администратор

Гость

Х – (Созданная нами ограниченная запись)

У – (Запись с правами администратора, созданная пользователем в процессе или после установки системы ).

Первые две удаляем (HelpAssistant - запись для входа в систему удалённого помощника - по умолчанию отключена, но, как и SUPPORT_388945a0, может быть активирована через сеть. Надеюсь, большинству такая перспектива не совсем по нраву, и поэтому удаляем их обе).

 На записи "Администратор" кликаем левой кнопкой мыши два раза и ставим галочку "Отключить учётную запись".

 То же самое делаем с записью «Гость»

У нас остались записи Х и У , одна с правами администратора, другая с ограниченными правами, как и рекомендует Microsoft.

Здесь всё!

 

Разбираемся с локальной политикой.

 Что бы настроить безопасный сервис по удалённой помощи средствами Windows, нужно обладать достаточными знаниями и не менее достаточным терпением, поэтому для домашнего компьютера лучше использовать софт сторонних производителей, коего имеется большое количество в интернете.

Вот, например, бесплатная программа: Ammyy Admin

(  http://www.ammyy.com/ru/index.html ),

 

Ammyy-admin
Ammyy-admin

Следовательно, поскольку удалённое управление компьютером средствами Windows дело столь сложное и не безопасное, мы ( всеми известными мне способами ), будем его отключать.

 Идём: Панель Управления - Администрирование - Локальные политики  - Назначение прав пользователя

 Ищем строку:

Отказ в доступе к компьютеру из сети.

 Эта настройка безопасности определяет, каким пользователям запрещается доступ к данному компьютеру через сеть.

Если вы не собираетесь заходить на свой компьютер удалённо ( имеется ввиду средствами Windows, стороннему софту и вирусам, сумевшим пролезть на Ваш компьютер, это ни каким боком не помешает ), то кликаем два раза левой кнопкой мыши на найденной строке и выставляем «Все».

 Для этого нажимаем кнопку «Добавить пользователя» -«Дополнительно» - «Поиск» Внизу в колонке «Имя (RD)» выбираем «Все» - «ОК» - «ОК» - «Применить» - «ОК».

 Предполагается, что те, кто всё-таки использует «запретные технологии» laughing , разбирается в настройках безопасности и подберут соответствующие на своё усмотрение.

 

Следующая строка: Отказ во входе в качестве пакетного задания.

 Данные с http://technet.microsoft.com:

"Эта настройка безопасности позволяет пользователю входить в систему с помощью средства обработки пакетных заданий.

Например, если пользователь инициирует задание с помощью планировщика заданий, планировщик обеспечивает ему вход в систему как пакетному пользователю, а не как интерактивному.

Примечание

•          В операционных системах Windows 2000 Server, Windows 2000 Professional, Windows XP Professional. и семейства Windows Server 2003 планировщик заданий автоматически предоставляет это право как обязательное".

Само собой, неважно, как к нам в систему вторгнуться: при помощи планировщика заданий или ещё каким-либо способом. Поэтому, если вы не используете удалённое управление компьютером, да ещё и с помощью вышеупомянутой службы, устанавливаем в данном параметре "Все", как и в предыдущем случае, иначе - по обстоятельствам.

Кое-где советуют вообще отключить планировщик заданий. На Vista отключение этой службы приводит к проблемам с языковой панелью и ещё к кое-каким неудобствам. Поэтому, наверное, достаточно будет ограничиться установкой данной политики.

 

Переходим: Панель Управления - Администрирование - Локальные политики  - параметры безопасности

 Находим:

Учётные записи: Переименование учётной записи Администратор.

 Кликаем левой кнопкой мыши на этом пункте два раза и пишем в строке редактирования придуманное тут же имя, например, «иклмн»  – дальше нажимаем кнопки: "Применить" и "Ок"

То же проделываем со строкой:

Учётные записи: Переименование учётной записи Гость

Ищем:

Сетевой доступ: пути в реестре доступны через удаленное подключение

 Удаляем, всё что получится…

 

Исправляем ещё:

Сетевой доступ:  разрешать анонимный доступ к именованным каналам - удалям всё, что имеется

Сетевой доступ: разрешать анонимный доступ к общим ресурсам - удаляем всё, что можем

Доступ к сети: Разрешить трансляцию анонимного SID в имя - должно быть по умолчанию отключено, если нет, то отключаем.

 

Политика установлена. Займемся делами попроще. 

 Для этого нам понадобится небольшая, бесплатная программка, от лаборатории Касперского под названием «avz».

Скачать её можно здесь: http://www.z-oleg.com/secur/avz/download.php

Утилита не требует установки, поэтому, скачав программу, запускаем её. Сканирование только что установленной системы вряд ли принесёт какой-либо улов, а вот  распечатка уязвимостей в конце листинга  - то, что нам нужно. 

 avz
avz

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

В главном окне avz можете отметить пункты на своё усмотрение ( советую вообще не отмечать ни чего, кроме нужных нам пунктов). Для наших целей понадобится только вкладка «Параметры поиска». Там отмечаем: «Автоматически исправлять ошибки в SPI/LSP» и «Автоматически исправлять системные ошибки».  Возвращаемся на вкладку «Область поиска», где не забудте отметить галочкой в главном окне диск с установленной системой, и нажимаем «Пуск»

После окончания сканирования в окне «Протокол» появится отчёт. Нас интересует текст пунктов 8 и 9.

Для любых только что установленных систем эти пункты  выглядят практически одинаково.

 

Пункт 9.  Если Вы не забыли отметить вышеописанный пункт: «Автоматически исправлять системные ошибки» smile , то в пункте 9 появятся три надписи:

«- исправлено»…

 

Займёмся пунктом 8.

 

AVZ «Службы».

 Идём: ПускПанель управленияПереход к классическому виду (если установлен вид по категориям) – Службы.

Служба RemoteRegistry (Удаленный реестр) – находим её в списках и левой кнопкой мыши кликаем два раза. В появившемся окне, на вкладке «Общие», в выпадающем меню выбираем «Отключено» - «Применить» - «ОК»

То же самое проделываем со всеми службами, указанными в пункте 8.

Единственное исключение в списке, это служба Schedule (Планировщик заданий). При отключении этой службы в Windows Vista могут возникнуть проблемы с языковой панелью. В XP возможно тоже появятся неприятности, поэтому правильней будет её не трогать совсем.

С отключением служб рекомендованных avz, разобрались, но раз мы находимся в менеджере служб, подправим ещё парочку…

Служба «Вторичный вход в систему» - рекомендуется отключить, но…

В Windows XP может появиться проблема при использовании функции контекстного меню «Запуск от имени» - она попросту перестаёт работать. Лечится только включением службы. Так, что на ваш выбор: безопасность или ...

В Vista этой проблемы не наблюдается.

Служба: «Службы терминалов» - если включена, отключаем.

 

AVZ «Безопасность».

 Правка реестра всегда чревата не предвиденными изменениями в системе, даже если изменяются, на первый взгляд, не значительные параметры. Поэтому примем меры предосторожности в виде резервной копии тех кустов, которые мы собираемся изменять.

Для этого идем:

Пуск Выполнить - в окне редактирования пишем, или копируем туда, приведённые ниже строки:

 

reg export hklm C:\HKLM.reg

reg export hu C:\HU.reg

 

После этого в корне диска С:\ появиться два файла HKLM.reg и HU.reg - резервные копии, соответственно: HKEY_LOCAL_MACHINE и HKEY_USERS разделов реестра. Другие ветки мы править не будем, значит и сохранять их незачем. В случае возникновения проблем с системой, восстановить их можно, кликнув на каждом левой кнопкой мыши два раза.

Возвращаемся к AVZ.

1. Разрешен автозапуск программ с CDROM.   

Чтобы отключить автозапуск компакт дисков идём:

ПускВыполнить – в командной строке пишем: «regedit» и нажимаем «ОК». Дальше в редакторе реестра идём по пути:

HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Cdrom

DWORD AutoRun, значение 0 - автозапуск отключен, 1 - включен.

2. Разрешен административный доступ к локальным дискам (C$, D$ ...) : 

HKLM\SYSTEM\CurrentControlSet\ Services\LanmanServer\Parameters - измените (или добавьте) параметр: AutoShareWks (тип - REG_DWORD) значение 0

Чтобы добавить в редакторе реестра параметр нужно: выбрать слева раздел, куда нужно добавлять параметр, – кликнуть на нем правой кнопкой мыши – во всплывшем меню выбрать «Создать» - выбрать нужный формат параметра – в окне справа в появившемся пункте вписать имя параметра – нажать «Enter»

Чтобы изменить имя параметра нужно: кликнуть правой кнопкой мыши на созданном или уже существующем параметре – во всплывшем меню выбрать «Переименовать» – внести нужные изменения – нажать «Enter»

Чтобы изменить значение параметра нужно: кликнуть два раза левой кнопкой мыши на созданном или уже существующем параметре – во всплывшем окне вписать нужное значение – нажать кнопку «ОК»

3. К ПК разрешен доступ анонимного пользователя: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - измените параметр "restrictanonymous"= dword:00000000 на 00000001.

4. Разрешена отправка приглашений удаленному помощнику:

Правой кнопкой мыши кликаем на «Мой компьютер». Далее:  «Свойства» - «Удалённые сеансы».

 В разделе «Удалённый помощник»  выбираем: «дополнительно».

Уубираем галочку с пункта «Разрешить удалённое управление этим компьютером» - «ОК».

Убираем галочку с «Разрешить отправку приглашения удалённому помощнику» - «Применить» - «ОК»

 

Если Вы ещё не закрыли редактор реестра, то по горячим следам исправим ещё парочку пунктов  

5.      Следующая проблема в безопасности заключается в стандартном хранителе экрана (Screen Saver).

По умолчанию в ветке реестра: 

 HKEY_USERS\DEFAULT\Control Panel\Desktop - параметр "ScreenSaveActive" установлен в "1", исправляем на «0» - так как существует опасность подмены файла login.scr, который стартует в случае если не был выбран хранитель экрана.

6. Очистка файла подкачки : 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory

Измените или создайте значение параметра "ClearPageFileAtShutdown", находящегося в вышеуказанном разделе реестра, на "1"

Данная настройка на любителя. При установке в значение «1» перед каждым выключением системы файл подкачки будет очищаться, что будет серьёзным испытанием для людей с нетренированной нервной системой. Многие утверждают, что вполне достаточно правильно настроенного фаервола. Кого замучила паранойя – лечимся единичкой… smile

Что бы проверить правильность выполненных действий, запустим ещё раз avz. Если все строки в пунктах  8 и 9 лога утилиты исчезли, то всё сделано правильно. В противном случае ищем соответствующие инструкции для сигнализирующей надписи и, выполнив их, возвращаемся к строкам: «Что бы проверить правильность…», и так до победного конца.

В довершение ко всему, после установки программ и обновлений, нам не помешает бесплатная программа от Microsoft: Microsoft Baseline Security Analyzer (MBSA)”. Утилита применяется для проверки на компьютере наличия обновлений.

Интерфейс на английском языке, но интуитивно понятен, поэтому не вызовет проблем с использованием.

Скачать MBSA можно отсюда:

http://technet.microsoft.com/ru-ru/security/cc184924.aspx


 MBSA
MBSA

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Всё, теперь хулиганам остаётся либо стать хакерами, либо оставить нас в покое! smile

 

 

 

 

 

 

  Теги: Установка, Windows, Безопасность, Обязательный, минимум
Обсудить на форуме
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
  • 0
 (голосов: 0)
Комментарии (3)  Распечатать
#1 написал: kir_vik 21 декабря 2009 20:34



Группа: Главные редакторы
Регистрация: 9.10.2008
ICQ: 192392141
Хорошая статья. Полезная.
AVZ не докторвэбовская случайно?
ИМХО статья особенно полезная для Интернет-экстремалов. Лично я не особо суюсь туда, куда не нужно, и мой авось зиждится на: ДрВЭБ, тот же АВЗ, AdAware (давно не обновлявшийся), Spybot - Search & Destroy, a-squared Free. Несмотря на относительную аккуратность, спайбот, "а" в квадрате и эдваре регулярно вычисляют всякую шушару, а вот антивирусники крайне редко. Давно хочу Касперского он-лайн запустить, пусть пошуршит моими винтами, да вот их сервис временно не доступен. А интересно было бы сравнить, да и вообще.
Ну и спасибо Артфулу за опус. smile
Публикаций: 19 | Комментариев: 22    
#2 написал: artful 22 декабря 2009 09:00



Группа: Журналисты
Регистрация: 18.05.2009
ICQ: 361364414
Цитата: kir_vik
AVZ не докторвэбовская случайно?
- ответвление Касперского.

AVZ

Кстати, в низу на скрине форум: http://virusinfo.info/
на котором могут со сложными вариантами заражений помочь. Там целый процесс, с дополнительными утилитами и шаманством...

Цитата: kir_vik
Лично я не особо суюсь туда, куда не нужно

Настройки, в основном, не от того куда ты залезешь, а от того, кто к тебе попытается залезть...
С другой стороны согласен, чем "относительно аккуратнее", тем вероятность подцепить, что то, уменьшается...
Кстати, Касперский тоже после установки выводит лог уязвимостей, или правильней сказать, что AVZ выводит такой же лог, как у Касперского.
Интересно Доктор Веб уязвимости показывает? Вроде программка тоже не плохая.
Правда, за несколько раз использования бесплатного её варианта не нашёл ни одного вируса. Касперский и avz всегда, что нибудь да найдёт...
Публикаций: 683 | Комментариев: 60    
#3 написал: artful 9 апреля 2010 11:23



Группа: Журналисты
Регистрация: 18.05.2009
ICQ: 361364414
2. Разрешен административный доступ к локальным дискам (C$, D$ ...)

После применения инструкций, описанных в статье останется еще один канал общего доступа к компьютеру - ipc$
Этот канал создан для административного удаленного управления компьютером, как впрочем и остальные, указанные в этом пункте.
Описание :
IPC$ (Inter Process Communication) предназначен для создания именованных каналов, которые компьютеры в сети используют для обмена различной служебной информацией (кроме того, именованные каналы применяются для дистанционного управления сервером).

В общем, если "Алекс-Юстасу", то закрываем эту лазейку, а закрыть её можно только отключением службы "Сервер", со всеми отсюда вытекающими...

p.s. отключить этот ресурс можно командой:
net share ipc$ /delete
но после перезагрузки компьютера он вернётся на место. Можно конечно создать .bat файл и добавить его в автозагрузку, но, чтобы команда выполнилась, нужно обладать правами администратора, а так как всех "администраторов" положено отключать, то этот способ вызовет ряд проблем.

Служба "Сервис" отключается следующим образом:
Пуск – Панель управления – Переход к классическому виду (если установлен вид по категориям) – Службы - находим строку "Сервис", кликаем на ней левой кнопкой мыши два раза и в пункте - "Тип запуска", устанавливаем - "Отключено"
(паровозом можно отключить службу "Рабочая станция", тем самым освободив немного ресурсов компьютера)

После перезагрузки кликаем правой кнопкой мыши на "Мой компьютер", выбираем "Управление" -> "Общие папки" -> "Общие ресурсы" и получаем сообщение об ошибке: "Не запущена служба сервера", что подтвердит отсутствие какого либо доступа из сети к компьютеру.
Можно вообще не править реестр, а сразу отключить службу "Сервис" и все расшаренные ресурсы исчезнут...

Стоит заметить, что отключение ipc$ через службу "Сервис", чревато неприятными последствиями, например, на ХР может перестать работать переключение раскладки клавиатуры и т.д. и т.п (з.ы. проблемы могут и не возникнуть, всё зависит от "железной" и софтварной комплектации вашего компьютера).
Специалисты утверждают, что для нейтрализации этого канала достаточно отключить:
Сетевой доступ: разрешать анонимный доступ к именованным каналам
в локальных политиках (в статье есть инструкции как это сделать)...
Публикаций: 683 | Комментариев: 60    
Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.









Электронный журнал ITФормат 2006-2010 ©
Редакция          Реклама у нас
Windows 2012 скидка !
Dr. web
Моментальный обмен WebMoney WMR WMZ WME WMU WMB