Операционная система - моя крепость / безопасности в сети
 Каждому из нас требуется заботиться о своей безопасности в сети. Оставим тему взлома и заметания следов, и позаботимся о безопасности собственной операционной системы. Не каждый из нас знает, насколько коварны могут быть дефолтные настройки винды. А потому рассмотрим элементарные методы защиты ОС, которые должен знать каждый.
Речь пойдёт о самой распростронённой ОС - Windows.
Как бы мы её не ругали и ненавидели её и папу её =] , всё же большинство весьма полезного и самого разнообразного ПО написано под неё. Людям, пересаживающиеся на Линукс и др., знакомо чувство некоторого дискомфорта в связи с отсутствием многих вкусностей. Потому научимся оборонять наши глючные окошки.
Наверное каждый согласиться, что чем популярнее опрационная система (да и вообще любая программа) ,тем больше находиться желающих использовать её ошибки для получения выгоды\морального удовлетворения. Таким образом с ростом количества компьютеров сети, открытием новых ошибок в любимой Windows, встает вопрос, как правильно и 100 процентно обеспечить стабильность и надежность этой самой любимой...
Предварительные советы.
Вы не можете на 100% быть уверены, заражен ли ваш компьютер или нет. Поэтому:
1. Выдерните сетевой кабель.
2. Желательно переустановить систему для 100% уверенности с уже проверенного диска(без вирусов). Метод радикальный, согласен. Зато надёжный.
Желательно, чтоб это была WinXP(SP1\SP2\SP3), как наиболее универсальная система(поддержка сети, подавляющего кол-ва программ, наличие драйверов под неё имеется у всех современных устройств).
Так же можно поставить Win2000(SP3\SP4), Win2003(SP1), WinWistaLonghorn, ну или на крайний случай Win98\ME, WinNT.
3. Советую поставить драйверы(DirectX, видео, аудио) ДО установки обновлений.
Установка обновлений.
Итак, что же такое ОБНОВЛЕНИЕ и зачем оно нужно.
Обновление – это патч(заплатка), который устраняет\закрывает ошибку в программе. Хакеры используют такие ошибки(дыры) для получения несанкционированного доступа к вашему компьютеру. Поэтому чем больше обновлений у вас стоит – тем меньше вероятность взлома вашей машины.
Для каждой системы выпускается своя собственная заплатка. Microsoft (разработчик Windows) выпускает эти обновления абсолютно бесплатно. Вам лишь требуется их скачать\взять у друга и установить. Замечу, что для Win98\ME, WinNT выпуск заплаток прекращен, так как они признаны устаревшими(иными словами там дыр столько, что размер патчей равен весу новой винды :-] ).
Если вы всётаки решили установить именно такую операционную систему, боюсь разговор о безопасности здесь уже не уместен.
В Win2000(SP3\SP4) обнаружены некоторые критические НЕУСТРАНИМЫЕ ошибки, поэтому устанавливать её весьма рискованно.
Если вы еще не представляете себе всей серьезности ситуации взгляните СЮДА . История Майкрософта в дырках. Вуаля. Всего одна дырочка и вы – жертва.
Обновления по мере накопления организуют в сервис-паки(SP) – наборы обновлений, чтобы пользователь устанавливал не 20 отдельных патчей, а один. Например, для Windows2000 - это SP1\2\3\4, для XP – SP1\2\3. . Более новый сервис пак, включает в себя все старые, поэтому необходимости ставить все SP нет.
Итак, раздобыв SP для своей системы необходимо их установить. (все патчи скачиваються с мелкософта)
1. Выгрузите все программы.
2. Будет не лишним создать контрольную точку восстановления системы, если что то пойдет не так.
“Пуск” -> “Все программы” -> “Стандартные” -> “Служебные” -> “Восстановление системы” -> “Создать точку восстановления” -> “Имя точки (можно от балды)” -> “Создать”.
“Аминь” :-]
Если система после дальнейших наших настроек вдруг наотрез откажется загружаться, или начнет дико глючить – можно сделать откат.
При загрузке компьютера жмите F8 . Выползет меню. Выбирайте самый верхний пункт “загрузка в безопасном режиме”.
Потом выползет табличка с каким-то вопросом – жмите “Да!!” и идите в
“Пуск” -> “Все программы” -> “Стандартные” -> “Служебные” -> “Восстановление системы” -> “Восстановление более раннего состояния компьютера”.
Выберите свою точку восстановления и долго думайте какого фига так глюкануло…
3. И начинайте устанавливать ваш SP и остальные заплатки.
Сначало поставьте SP. Он захочет перегрузиться, соглашаемся. Затем остальные заплатки, начиная с самых младших. Многие из них так же будут требовать перезагрузки. Можно отказываться(если у тебя 20 заплаток, не перегружаться же 20 раз), и ставить следующую, и лишь закончив их ставить – перегрузись.
Если какая либо заплатка старее чем уже установленная, она сама скажет об этом и не станет устанавливаться.
Ты теперь типа самый крутой и мега защищенный чел ))
Однако безопасность отнюдь не ограничивается патчами Майкрософта.
Сервисы:
1. Кликаем правой кнопкой мыши по "Мой компьютер" -> "Управление" -> "Службы и приложения" ->"Службы"
Либо “Пуск” -> “Панель управления” -> “Администрирование” -> “Службы” .
2. Двойным щелчком мыши кликаем указанным ниже службам и изменяем "Тип запуска".
3. Здесь список служб, связанных с сетью, которые ДОЛЖНЫ иметь статус "отключено" :
Звездочкой " * " отображены желательные, но не обязательные службы (см. её Описание, т.е. чё она делает).
Telnet
*Автоматическое обновление (вы качаете заплатки от майкрософт?)
*Беспроводная настройка (вы используете беспроводную сеть?)
*Брандмауэр Windows/Общий доступ к Интернету (Встроенный в винду фаервол, жалкое подобие, лучше отключить и поставить нормальный)
Оповещатель
*Служба времени Windows (ваши часы на компе отстают в день на два часа?)
Служба сообщений
Удаленный реестр
*Центр обеспечения безопасности(фигня… задаёт кучу вопросов, не более)
Настройка прав доступа.
1. Отлючить DCOM на компьютере:
Для Windows2000 набрать в командной строке("WIN"+"R") следующее: "DCOMCNFG", и во вкладке "Свойтсва по умолчанию", убрать галочку с "разрешить DCOM на этом компьютере".
Для WindowsXP лезем в "Пуск"->"Настройка"->"Панель управления"->"Администрирование"->"Служба комнонентов"->"Мой компьютер" правой кнопкой по значку компа и выбираем "свойства". Находим вкладку "Свойства по умолчанию" и убираем галку "Использовать ДКОМ на данном компе".
Зачем мы это сделали? Сетевой червь "Lovesan", "MsBlast" и его потомки ипользуя уязвимость в DCOM, заходит на машину жертвы, позволяя получить доступ к жестким дискам компьютера, а следовательно и ко всему компьютеру, по сети. Даже если вы установили обновление против него – престраховка не помешает. Дыру в этой службе Мелкософт закрывала уже два раза )).
2. Рабочая группа.
Знаете, какая самая большая распространённая ошибка после установки системы? Вы забываете сменить рабочую группу. Это ОЧЕНЬ ОПАСНАЯ ОШИБКА. Объясняю, почему.
- Во-первых, из-за вас у всей локальной сети тормозит дмесс(лан-болталки), сетевое окружение, а у вас самих и то и другое может вообще не работать.
- Во-вторых, вы идеальная мишень для сетевой хакерской атаки, выдавая свою свежепоставленную непропатченную систему с потрохами. Это всё равно, что встать на поле боя с мишенью на груди.
3. И как ты думаешь, скока пользователей в твоей системе? Ты один? Фига.
Идём в "Мой компьютер" -> "Управление" -> "Локальные пользователи и группы" ->"Пользователи".
Нет, это не глюк. Помимо тебя в системе ещё есть Администратор, Гость, HelpAssistant, SUPPORT_хххххххх, и мож даже ещё кто-нить. Можешь отключать\удалять всех кроме Админа, тебя самого, и гостя (если хочешь закрыть доступ к твоим папкам из сети).
Кстати, даже включив учетку гостя, доступ по сети будет возможен только, если в реестре есть спец. запись (так называемый доступ по нулевой сессии). Её можно проверить, а лучше создать вот как.
Создай текстовый документ и помести туда вот эти строчки:
Windows Registry Editor Version 5.00
HKLMSYSTEMCurrentControlSetControlLsa
SetValue "RestrictAnonymous"=dword:00000000 (0)
Сохрани его и измени расширение файла на *.reg, например 123.reg Запускай файлик и ответь “Да!!” на вопрос. Потребуется перезагрузка для вступления изменений в силу.
Да, кстати, включив учетку гостя, ты предоставляешь не только доступ к своим расшаренным папкам, но и много другой информации(время на компе, список пользователей и др.), которую можно использовать против тебя. Так что вот оно как….
Для любителей анонимности ОЧЕНЬ РЕКОМЕНДУЮ НАОБОРОТ ЗАКРЫТЬ ДОСТУП ПО НУЛЕВОЙ СЕССИИ.
4. Пароль ты конечно поставил мега-сложный?“123”? “asd”? “вася”?
Современные переборщики паролей подбирают со скоростью 1 000 000 вариантов в сек (!!!).
Придумай что нить посложнее. Например “123в@ся”. А изменить его можно через панель управления или по предыдущему пункту (надо на учетке жать не свойства, а “Задать пароль”).
5. И твоя учетка конечно же имеет адмистраторские привелегии.
Да, это удобно, не спорю. Но это ещё одна из основных ошибок. Можно понизить свои права, переведя себя в другую пользовательскую групу, ниже админа. Изменить привелегии или надеется на лучшее.. - выбирать тебе.
6. А теперь расскажи ка, сколько открыто у тебя папок на доступ в сеть? Ни одной? Ты уверен?
Тогда иди в "Мой компьютер" -> "Управление" -> "Общие папки" ->" Общие ресурсы ". Угу. Тык вот. По умолчанию винда расшаривает на доступ все(!!!) твои диски. Однако доступ к ним возможен не всегда, и лишь зная пароль Администратора. Не надо нам такого счастья.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic eslanmanserverparameters]
"AutoShareWks"=dword:00000000
"AutoShareServer"=dword:00000000 ”
После перезагрузки из общих ресурсов останется лишь IPC$. Его нельзя отключить, и вообще ето никакой не ресурс, а система аутентификации…
Полезный совет
На дорогих сетевых картах имеется дополнительный сопроцессор, выполняющий основные функции по обработке сетевых пакетов, призванный дополнительно разгрузить CPU, однако по умолчанию в Windows 2000\XP он не задействован. Чтобы включить его, надо:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic esTcpipParameters]
"DisableTaskOffload"=dword:00000000
Если твоя карточка за сотню-две сотни тебе это не светит. Но попробовать стоит. Даже если не сработает – оставь, глюков не будет.
=======Полезный совет
7. Усиленное шифрование паролей в системе
Это чтоб плохие дяди дольше грызли ногти ))) Пригодиться
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro lLsa]
"lmcompatibilitylevel"=dword:00000002
Уточню полезные правила установкиэксплуатации любого антивирусафаервола:
1. Сам инсталлятор и обновляемые базы желательно скачивать из проверенных источников.
2. Установку желательно не делать в папку по умолчанию. Достаточно изменить пару символов в пути. Это полезно, так как в некоторые вирусы встроен механизм отключения\порчи антивируса. Изменение стандартных путей установки помешает вирю найти цель.
3. Задавайте пароль на изменение настроек. “123” – вполне достаточно для того, чтобы вирус не смог их изменить.
4. Чем актуальнее (новее) антивирусные базы, тем больше шансов, что вирус будет найден, если он есть на машине.
5. Нужно регулярно проверять машину на вирусы.
6. Прежде, чем запустить незнакомый файл – трижды подумайте.
Разумеется, серьёзного виря такие ламерские методы не остановят.
Следует помнить, что помимо антивирей и фаеров есть другие программы, борющиеся с гораздо более серьёзным и продвинутыми творениями вирмейкеров.
AntiSpy-приложения – служат для выслеживания всяких шпионских модулей, таких как keyloger(клавиатурный шпион), мышиные и видео шпионы
AntiTroyan – противодействует troyan (отсылка ваших паролей хакеру), backdoor(удалённое управление вашим ПК),
AntiRootkit – обнаружение скрытых вирусных программ\процессов\директорий\ключей реестра rootkit(скрытие вредоносного ПО в системе).
2. Ставьте сложные пароли, набранные на разных раскладках, разными языками с использованием цифр и символов. Например, “PaR@N()YA” или “V1t@LiK”.
3. Не используйте один и тот же пароль для всех объектов (хакеру достаточно взломать один из них и получить доступ к остальным).
4. Если вам дороги накопленные долгими месяцами\годами данные, то делайте РЕЗЕРВНОЕ КОПИРОВАНИЕ на СД\ДВД. Будьте уверены, что в самый неподходящий момент их сожрёт гадкий вирь или жесткий диск прикажет долго жить(закон подлости).(Secura Backup, Nero, RestoreIT, FullSync, azguard). Бэкапить хак-тулзы без шифрования - плохая идея и удачная находка для отдела "K".
5. Если вы хотите обезопасить документы от чужого взгляда – используйте шифрование. В WinXP есть служба позволяющая шифровать от папки до всего диска. Однако, это не надежный способ. В Интернете давно имеються проги ломающими НТФС-шифрование. Есть конечно же програмы с криптостойкими алгаритмами(BestCrypt, AxCrypt, PGP9).
6. И, наоборот, если необходимо уничтожить что-то без возможности восстановления, это не проблема(secure_delete, eteraser,drivecleanser,F-Erase).
7. Не запускайте незнакомые программы.
8. Не лазайте по сомнительным сайтам =] .
Для брождений по Интернету используйте Оперу, ФаерФокс или Мозилу, но никак не IE Майкрософта.
9. Не общайтесь в сети с незнакомцами =].
(можно вообще забить дверь гвоздями ))) )
Напутствие.
Если у вас есть что-то действительно ценное – вас обязательно как-нибудь да поломают. Если не виртуально, то физически выкрав системник :-]
Автор статьи: MTFX
|