|
Эта статья посвящена юзерам и админам которые уже просто устали от всякого рода вирусняка и троянов. Мало кто задумывается о встроенной безопасности Windows, некоторые считают что ее просто нет. Так вот, пришло время открыть вам правду, безопасность в Windows существует, и скажу, очень даже не хилая. Статья не претендует на полноту освещения проблемы, расценивайте ее как информацию к размышлению.
Итак, основа основ защиты это ФС NTFS. Такие достоинства как права доступа в ней, просто бесценны. Но есть и минусы. Цикл жизни вашего HDD под NTFS меньше, нежели под FAT32. Ну о теперь собственно поговорим о всякой «нечести» которая прыгает в вашей системе, как и где она это делает. Излюбленные места любых вирусов – это папка Windows, это знают все. Бороться с этим, не уповая на доброго дядю Кашпировского конечно можно. Самый простой способ – это аудит этой папки стандартными средствами (на NTFS). Включается все достаточно просто: - Администрирование - Локальная политика безопасности – Политика аудита – Аудит доступа к объектам. Дальше уже на ваш вкус – «успех» или «отказ». Я советую включить только «успех». Теперь нажимаем на папке Windows свойства и заходим во вкладку Аудит. Тут настраиваем на свой вкус – Удаление, Создание, Перемещение и т.д., главное не переборщить. Все, аудит мы настроили, смотреть его можно в Администрирование – Просмотр событий - Безопасность.
Как видите все очень просто и надежно, но порой малоинформативно. Есть еще один способ. Найти написать программу, которая следила бы за папкой Windows, что появилось что исчезло и т.д. Но тут тоже есть свои плюсы и минусы. Далее нам следует защитить папку Documents and Setting. Советую просто заблокировать доступ на всех пользователей и общую автозагрузку. Пользовательская - Documents and Settings/<<Имя_пользователя>>/Главное меню/Программы/Автозагрузка и общая: Documents and Settings/All Users/Главное меню/Программы/Автозагрузка. Если вы не хотите познакомится с макровирусами обратите внимание на файл Normal.dot, к слову, его несложно подменить файлом с макровирусом. Блокировать его не советую, т.к. Word этого вам не простит. Проще выключить макросы во всех екселях и вордах. Есть еще одна папка которую заценило не одно поколение вирусняка – Temp. Даже не знаю что и посоветовать, делайте там иногда генеральную уборку вот и все. Советую также запретить запись в файлы SYSTEM.INI, WIN.INI, BOOT.INI, с последним по понятным причинам особенно аккуратно. Также защитите от удаления и изменения фалы загрузки Windows ntldr, ntdetect.com, boot.ini и bootsect.dos. Еще хотелось бы сказать про флешки. Хоть раз в жизни я думаю вы ловили на флешку загрузочный вирус. Состоит он как правило из файла autorun.inf и запускаемого тела, например d34v89.exe или 76vbns.bat. (да да exe файл можно переименовать в bat и даже cmd файл, тем самым скрыть от юзера характерную иконку в экзешниках, и запускаться он будет на ура) Даже если вы отключите в системе разного рода автозагрузки, вам это все равно в большинстве случаев не поможет. Выход есть, форматнуть флешку в NTFS создать autorun.inf (пустой) и заблокировать его всеми мыслимыми и немыслимыми способами. Имеет смысл самостоятельно удалить из системы такие опасные консольные проги как reg.exe, shutdown.exe и т.д.
Так, вроде ничего не упустил, теперь переходим к реестру Windows. Внимание! прежде чем притворять в жизнь все ниже сказанное, настоятельно рекомендую сделать резервную копию реестра, не программой, а ручками.
Загрузитесь с любого ремонтного диска и скопируйте все файлы реестра из папки Windows/System32/Config/* в любое удобное место на диске.
Защита реестра похожа на защиту файлов в NTFS, но только тут разумеется NTFS не требуется. Существует масса веток реестра куда любят совать свои носы вирусы и трояны – это и автозагрузка и настройка проводника. Защитить их можно, выставив соответствующие параметры. Но учтите это достаточно опасно, т.к. вы можете сделать неработоспособной всю систему, своим незнанием.
Итак, начнем.
В начале защитим проводник от разного рода нежелательных изменений. Например излюбленных ход «нечести» - изменение отображения скрытых и системных файлов в проводнике. Запускаем Regedit. Блокируем на запись и изменение ветки:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced,
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced
теперь автозагрузку:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run и RunOnce
в HKEY_LOCAL_MACHINE тоже самое + RunOnceEx
Встречалось видеть такой парадокс в системе как не распознавание типа файла программы? Если вы не хотите повторений событий, блокируйте на изменение и удаление эту ветку:
HKEY_CLASSES_ROOT/.exe
Это касается и остальных жизненоважных системных файлов.
Вообще в Windows существует множество веток нуждающихся в защите от изменений, я не могу описать все. Потому как вам и самим будет несложно при желании отыскать их. Существуют параметр отвечающий за загрузку оболочки, т.е. ее можно саботировать, можно внести какие-то групповые политики (gpedit.msc) в систему и запретить к ним доступ из вне. В общем, степень защищенности системы зависит только от вашего желания, я перечислил лишь основные подходы, которые должны дать вам почву для размышлений.
Plutonium
|
Вход
FAQ
Поиск
