Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Мячин Д.А.

ОС в безопасности

Рекомендованные сообщения

Внимание! Статью я писал для другого форума и довольно давно. Некоторые ссылки устарели. Так же устарела информация обо мне чуть-чуть. :rolleyes:

 

Не секрет, что в базовой поставке любая версия Windows уязвима. Лозунги о превосходстве Linux можно опустить - она тоже уязвима. Разница в том, что MS раздает все необходимые обновления своим стандартным сервисом Windows Update, только мало кто им пользуется. В основном такие как я - понимающие необходимость, сидящие на лицензионной Windows и с дешевым трафиком. Линуксоиды же практически постоянно тянут патчи. Для них это "само-собой" (анекдот ниже). У них же не случится такого, что после очередного апдейта ОС обнаружит, что она пиратская и потребует активацию. Кроме того, зачастую патчи Линукса весят меньше, чем патчи Windows. Потому организациям следует задуматься о поднятии WSUS. Если у вас есть большая сеть и не напряг с Интернетом, то в ней тоже можно выделить сервер под WSUS.

 

Анекдот:

- Папа, папа, а правда, что Линукс - самая безопасная ОС?

- Правда, сынок.

- Папа, а что ты сейчас делаешь?

- Я качаю патчи, чтобы наша самая безопасная ОС стала еще безопаснее.

 

Но это все касается безопасности самой ОС. Т.е. достаточно пользоваться стандартным сервисом и, на крайний случай, использовать "виртуальные патчи" (это когда, например, фаервол закрывает дыру, которую должен окончательно устранить KBXXXXXXXX). А вот что делать с установленным сторонним софтом? Это тоже проблема как для Windows, так и для Linux.

 

Сейчас я попробую дать общие рекомендации, которые позволят обезопасить себя при работе в Интернете, в сетях и за ПК вообще. Линуксоиды зачастую выполняют их на подсознательном уровне :D

 

1. Само-собой, первое правило - обновлять ОС.

2. Отключите ненужные службы, закройте лишние порты. Подробно об этом можете прочитать в книге Николая Головко "Безопасный Интернет. Универсальная защита для Windows ME - Vista". Вообще, в этой книге дано практически все, что необходимо знать.

3. Используйте либо сторонние браузеры (Firefox, Opera), либо постоянно следите за обновлениями IE. Сторонние браузеры тоже нужно постоянно обновлять.

4. Если вы используете Firefox, то не лишним будет установить дополнения:

- Adblock plus

- Extended Cookie Manager

- Flashblock

- NoScript

Затем отключите принятие куков с сайтов. Если вы доверяете сайту, а без куков он работает некорректно, то поможет как раз Extended Coockie Manager - два клика и куки с него принимаются. Тоже касается и NoScript. Только не нужно в последнем разрешать скрипты третьих сайтов. Все равно, кроме рекламы, ничего они не дадут. Если только уж очень необходимо.

5. Никогда, никогда не занимайтесь повседневными делами под учетной записью с правами Администратора. Это самая большая беда Windows. Только в Vista ей уделено более-менее должное внимание. Поверьте, практически все современное ПО может работать и под учеткой User. Если программа все-таки ругается при запуске, то есть 2 варианта. Либо зайти под Админом и дать учетке Пользователя необходимые права на папку (и, редко, в реестре), либо запускать ПО от имени администратора. Скажу, что все "вредные" программы у меня работают по первому принципу, а два бесплатных продукта от Auslogics (дефрагментатор файловой системы и реестра) запускаю от имени Админа. Не следует использовать учетку Power User. Она оставлена для совместимости с особо "вредными" программами (древний Автокад, например). Права в этой учетке можно поднять до прав Админа. Чем легко воспользуется зловред.

Кстати, работа под User - это единственная возможность защитить NOD32, Avira, Avast и пр. от зловредов. Батник покажу позже.

6. Следует переименовать стандартного Администратора во что угодно и повесить на него пароль. Зловред тоже может попробовать (под User) запустить свою копию от имени стандартного Администратора.

7. Удалите неиспользуемые профили пользователей.

8. Повесьте на свою учетку пароль. И отходя нажимайте Win+L. Дома это может быть глупо, но когда это войдет в привычку, то она будет на пользу.

9. Банальные правила:

- Не запускайте принятые по почте файлы, даже если они пришли от известных людей. Уточните, присылали ли вам вложения и какие именно. Заимейте хорошую привычку указывать в тексте письма о вложениях. Пользователи The Bat! могут сделать шаблон, который автоматом будет вставлять данные об аттачах. За пользователей других почтовиков не знаю (хотя сам не на Bat :lol: ). Даже после уточнения нелишним будет проверить файл на http://virustotal.com. Ведь может быть заражен сам почтовый ящик на сервере.

- Постоянно обновляйте антивирусные базы. Не имейте привычку отключать АВ "когда он не нужен". Обновляйте и сам АВ. Да и фаервол. Для защитного ПО это очень важно.

- Реже бегайте по сомнительным сайтам. Например, по сайтам Бори Моисеева - иначе о вас будут плохо думать :lol:

- Не разговаривайте с набитым ртом

- Строго относитесь к приватным данным. Старайтесь избегать утечки. Я, вот, в свое время поплатился за это.

- Для ввода очень важных паролей не используйте реальную клавиатуру - только виртуальную. И не ту, что встроена в ОС. У пользователей Kaspersky Internet Security 2009 она уже есть.

- Не используйте простых паролей. Он должен содержать не менее 8-ми символов, 3-4 из которых - это цифры. Буквы должны быть в обоих регистрах. Крайне желательно использовать спецсимволы. И смените, наконец, пароль "дата рождения" на что-то серьезное! Учитывайте, что пароль не должен подбираться по словарю. А словари для брутфорса - это не файлики с парой сотен слов. Это огромные, на несколько гигабайт, текстовые файлы. Как вы думаете, сколько там слов? Если пароль запомнить очень сложно, используйте псевдобуквы и созвучные буквам цифры. Например: Et0+m0I_s@Mb|i*kryt0i=5@p01b ("Это мой самый крутой пароль"). Неплохо, если пароль на ваш сеанс Windows будет более 18-ти символов (если конфиденциальность критична). Благодаря ошибке разработчиков, он сохраняется как пароль нулевой длины.

- критично важные данные прячьте, шифруйте. TrueCrypt в помощь.

10. Если вы - пользователь Антивируса или Комбайна Касперского - переходите на линейку 2009. Если пользуетесь Доктором - 4.44, никаких 4.43. 4.44 - победитель тестов на лечение активного заражения независимого портала Anti-Malware. Если пользователь другого АВ, изучите ссылки:

- для фаерволов и комбайнов

- для антивирусов и комбайнов

- для антивирусов и комбайнов

11. Следите за уязвимостями в используемом вами софте: http://secunia.com/ (пользователям Касперского 2009 достаточно поставить галочку "Сигнатурный поиск уязвимостей"). Например, недавно обнаружена уязвимость во Flash, которая совершенно не зависит от типа ОС.

12. Отключите автозапуск сменных носителей и с жесткого диска. Это большая дыра, которой активно пользуются самые разные виды вредоносов. Сделать это можно так:

- пользователям Касперского 2009: Контроль приложений - Анализ безопасности

- пользователям других АВ, но имеющих под рукой AVZ можно выполнить скрипт:

procedure DisableAutorun;
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
RegKeyIntParamWrite('HKLM', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
end;

begin
DisableAutorun;
end.

Впрочем, должен быть более элегантный способ. :D

- всегда можно вырубить самому через групповые политики или в реестре:

Пуск - Выполнить - gpedit.msc - Конфигурация компьютера - Административные шаблоны - Система - Отключить автозапуск (выберите, где отключать).
Это там, где есть групповые политики. Если их нет, либо просто желание в реестре покопаться, то вот:

 

1) Пуск -> Выполнить -> regedit

2) Открыть ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

3) Создать новый раздел

4) Переименовать созданный раздел в Explorer

5) В этом разделе создать ключ NoDriveTypeAutoRun

 

Допустимые значения ключа:

0x1 - отключить автозапуск на приводах неизвестных типов

0x4 - отключить автозапуск сьемных устройств

0x8 - отключить автозапуск НЕсьемных устройств

0x10 - отключить автозапуск сетевых дисков

0x20 - отключить автозапуск CD-приводов

0x40 - отключить автозапуск RAM-дисков

0x80 - отключить автозапуск на приводах неизвестных типов

0xFF - отключить автозапуск вообще всех дисков.

 

Значения могут комбинироваться суммированием их числовых значений.

 

Значения по умолчанию:

0x95 - Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)

0x91 - Windows XP (отключен автозапуск сетевых и неизвестных дисков)

Комментарий: в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому выше описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто исправьте его.

 

Пока, вроде, все. Дальше посмотрим. На вопросы отвечу с удовольствием.

 

Батник. Убитие НОД32 двумя строчками. Работает на линейке 2.х. По понятным причинам под 3-ку я его не стал подгонять. Не сработает, если вы работаете под Пользователем или Гостем. Не сработает под Power User, скорее всего, т.к. такой задачи я перед собой не поставил:

sc config nod32krn start= disabled
taskkill /f /im nod32krn.exe

 

Ядро будет убито, а GUI продолжать работать. Куда уж хуже? Чтобы НОД заработал корректно вновь, запустите его службу, а тип запуска сделайте Auto. Тоже касается и других АВ, кроме Касперского, Доктора (его тоже можно убить, но иначе) и, как я слышал, Панды с Авастом. За другие не знаю вообще. Можете проверить на своих АВ. Только поставте нужные названия.

 

Для тех, кто поставил(ит) продукт ЛК линейки 2009. Включите Почтовый АВ, даже если у вас нет почтового клиента. В настройках у ПА есть галочка, которая позволит проверять на вредоносы ссылки в протоколах ICQ и MSN, не зависимо от используемого асько и мсн-овского клиента. По умолчанию эта проверка выключена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хорошая статья! :rolleyes: Только вот ничего не сказано о том, что вирусы могут попасть и через флешку или другой сменный носитель. И заражение произойдет при автозапуске. Соответственно, для предотвращения этого хорошо бы отключить автозапуск со сменных носителей. Способов тут много. Можно самому через реестр, можно через программы, например, утилиту AVZ. В Каспере 2009 тоже есть возможность этот автозапуск отключить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Точно! Еще думал, пока правлю, надо про сменные носители написать. Спасибо! Дополняю статью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хочется добавить про программное обеспечение.

не устанавливайте на компьютер ничего лишнего.

дистрибутивы продуктов скачивайте только с официальных сайтов разработчиков.

все файлы скачанные с файло-помоек должны быть проверены на virustotal.com , при малейшем подозрении откажитесь от установки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VladimirSS,

может стоит закрепить тему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Внимание! Статью я писал для другого форума и довольно давно. Некоторые ссылки устарели. Так же устарела информация обо мне чуть-чуть. ;)

И что же помешало подредактировать статью и привести ее в соответствие ? :read:

Для тех, кто поставил(ит) продукт ЛК линейки 2009. Включите Почтовый АВ, даже если у вас нет почтового клиента. В настройках у ПА есть галочка, которая позволит проверять на вредоносы ссылки в протоколах ICQ и MSN, не зависимо от используемого асько и мсн-овского клиента. По умолчанию эта проверка выключена.

А вот этого лучше не делать.

И правильно, что он выключен, потому что способен вызвать очень сильные тормоза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Validator,

Так я немного подредактировал. Тормоза она создает во время проверки по требованию. Вы часто делаете ее? :lol: В принципе, полный анализ безопасности и так сделает поиск уязвимостей. Но он ищет их в папке Виндов и в Програм Файлс. Эта галочка ищет везде, где пользователь скажет сделать проверку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Validator,

Тормоза она создает во время проверки по требованию. Вы часто делаете ее? :lol: В принципе, полный анализ безопасности и так сделает поиск уязвимостей. Но он ищет их в папке Виндов и в Програм Файлс. Эта галочка ищет везде, где пользователь скажет сделать проверку.

То есть Вы хотите сказать, что проверка почтового трафика (в том случае, если она включена) происходит не постоянно, а лишь по требованию ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проверка почтового начинается с момента попытки установки соединения на порты из списка контролируемых портов (в настройках) и до его разъединения. Но это никак не связано с поиском уязвимостей. Эта опция есть только у ODS (On Demand Scanner).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Проверка почтового начинается с момента попытки установки соединения на порты из списка контролируемых портов (в настройках) и до его разъединения. Но это никак не связано с поиском уязвимостей. Эта опция есть только у ODS (On Demand Scanner).

Хорошо, разобрались, что проверка почтового трафика и "поиск уязвимостей" и "проверки по требованию" - это разные задачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поиск уязвимостей - это:

1. Опция ODS всех уровней. Отличается тем, что проверяет по базе, лицензированной у secunia все, что встретит и везде, где встретит

post-343047-1219896696_thumb.png

2. Один из пунктов проверки (пункты выбирать нельзя, они скрыты) Анализа безопасности системы. Отрабатывает в режиме полного анализа и только на "Windows\*" и "Programm Files\*". Т.е. в Programm Files (32Bit) на 64х разрядных он не ищет. Не спрашивайте почему - не знаю. Может банальное разработчиков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
VladimirSS,

может стоит закрепить тему?

пусть пока тут висит, может еще кто-нибудь выскажется, потом почищу (про linux :) ) и прилепим

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ммм... С этого дня на форуме ЛК я переведен в группу KL Team... Думаю, понимаете что это значит. Обращаюсь к VladimirSS. Я продолжу в том же духе, это нормально будет? Тем более сегодня я подниму тему перехода на лицензионное ПО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ммм... С этого дня на форуме ЛК я переведен в группу KL Team... Думаю, понимаете что это значит. Обращаюсь к VladimirSS. Я продолжу в том же духе, это нормально будет? Тем более сегодня я подниму тему перехода на лицензионное ПО.

Мячин Д.А., поздравляю с переходом. Да нормально, мы же в личке все решили.

Ждем материальчик по последнему продукту ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С ним не так все просто. Это сложный комплекс, не имеющий аналогов. С КАВ все проще :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ммм... С этого дня на форуме ЛК я переведен в группу KL Team... Думаю, понимаете что это значит.

несовсем, т.е. я могу обращаться к вам если у меня возникнут какие либо проблемы или вопросы с касперским?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так и до этого могли. :D Но и тогда, и сейчас это неформальное общение. Я - не служба поддержки. Просто за время тестирования на форуме наработал некий опыт, которым могу поделиться. В общем, это вопрос относился к модератору только.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах