Безопасность системы
Эта статья касается общих вопросов обеспечения безопасности ОС
Проблема защиты информации является на данный момент одной из наиболее глобальных для большинства пользователей любимого всеми Internet. Особенно в свете лавинообразного роста обнаружаемых уязвимостей, в наиболее распространенном программном обеспечении от клиента ICQ до Операционной Системы.
На прошедшей недавно в Лос-Анджелесе конференции Microsoft для профессиональных разработчиков (PDC) Билл Гейтс ещё раз подчеркнул, что именно безопасность станет для его компании приоритетной задачей на ближайшие годы. И сообщил, что во втором пакете обновлений SP2 для Windows XP предполагается внедрить функцию автоматического включения брандмауэра при запуске таких интернет-приложений, как браузер или почтовый клиент. Если так пойдёт и дальше, то очень скоро в систему будут интегрированы неотключаемые антивирусы и отказаться от автоматической закачки многомеговых патчей станет практически невозможно…
Каких-то универсальных рекомендаций по настройке безопасности не существует. Эта проблема слишком сильно связана с задачами, выполняемыми на том или ином конкретном компьютере. На мой взгляд, при настройке домашних и офисных систем можно выделить пять основных конфигураций, настройки безопасности которых коренным образом различаются (в порядке ужесточения требований):
· одиночный пользователь;
· многопользовательская конфигурация;
· наличие подключения к Интернету;
· наличие подключения к локальной сети;
· наличие строго конфиденциальной информации.
При этом, если ваша конфигурация подпадает сразу под две категории - например, вы одиночный пользователь, имеющий подключение к Интернету - то все настройки следует производить согласно наиболее жёсткому сценарию, равному сумме настроек обеих категорий.
Одиночный пользователь
Даже в наше время повсеместного распространения интернет-технологий пользователь ПК, не подключённый к Мировой Паутине - далеко не редкость. Кто-то ещё просто не осознал необходимость и неизбежность вовлечения в глобальный информационный поток, а до кого-то в нашей умом непонятной стране ещё даже не дошло счастье обычной проводной телефонизации. При таком раскладе задача обеспечения безопасности, как ни странно, сводится только к обеспечению защиты операционной системы от этого самого одиночного пользователя. Если нет Интернета или локальной сети, то никакой хакер в вашу систему не проникнет. Если нет других пользователей, то никто не подсмотрит ваши приватные файлы. Если нет документов «двойной» бухгалтерской отчётности, то «маски-шоу» вам не грозит. От чего же в таком случае надо защищаться? Только от собственных необдуманных и неосторожных действий. Уничтожить плоды своего многомесячного труда проще простого - достаточно вставить в дисковод чужую дискету с заражённым макро-вирусом документом или запустить купленный в ближайшем ларьке пиратский компакт-диск с каким-нибудь очередным «Чихом», перезаписывающим BIOS мусорными байтами.
Таким образом, главная задача одиночного пользователя - не допустить проникновения в систему вирусов. Решение её, казалось бы, элементарное - установил антивирус и спи спокойно… Но мы ведь условились, что Интернета у нас пока нет, а как без него обновлять антивирусные базы? Окажись хитрый вирус хотя бы на один день более «свежим», чем имеющиеся базы «Касперского» или DrWeb, и пиши пропало… Конечно, если есть хороший приятель, у которого можно хотя бы раз в неделю разжиться обновлениями антивируса, то проблема практически снимается, например, для антивируса Касперского достаточно скопировать папку C:Program Files Common Files KAV Shared Files Bases, а для DrWeb можно просто взять всю директорию C:Program FilesDrWeb (разумеется, свои лицензионные файлы необходимо оставить). Если же ситуация такова, что до Сети добраться невозможно ни в каком виде, и даже интернет-кафе на горизонте не наблюдается, то выход один. Вернее - два, которые в обязательном порядке должны дополнять друг друга. А именно - включение эвристического анализа в настройках антивируса (очень требовательная к ресурсам штука…) и полный бекап (резервное копирование) системы. В этом случае появляется шанс, что антивирус благодаря своим интеллектуальным возможностям вовремя выявит отсутствующую в его базе инфекцию, а если такое и не произойдёт, то останется хотя бы возможность восстановить важные документы, а то и всю ОС из своевременно сделанной резервной копии. К тому же, при этом вы оказываетесь защищены и от других видов разрушения ОС, связанных, например, с установкой некачественных программ. Только учтите, что делать резервные копии на том же самом жёстком диске бессмысленно - в случае заражения они с такой же лёгкостью окажутся «убиты», как и основная система. Всё самое важное копируйте на CD-RW (или DVD), например, раз в неделю, а также после серьёзных изменений в важных документах, перед тем, как установить в ПК чужой носитель, новый компакт-диск, перед инсталляцией программного обеспечения. И всегда помните, что уничтожить ваши данные способен не только вирус, но и сбой электропитания, жёсткого диска или даже некачественный модуль оперативной памяти. Если на вашем ПК есть хоть что-то, что жаль потерять, будь то докторская диссертация или «сейвы» GTA Vice City, то это обязательно надо сохранять на сменных носителях. Программ для резервного копирования множество, например, создание полной копии жёсткого диска возможно с помощью таких утилит, как Norton Ghost, Paragon Drive Backup, PowerQuest Drive Image Pro, Acronis TrueImage, и др. Лично я предпочитаю последнее из-за нескольких очень удобных фишек, типа создания полного образа системного раздела без перезагрузки, классный bootmanager, который ловит огромное количество сетевых карт без дополнительных драйверов, и позволяет пользоваться всеми преимуществами сети для восстановления образа, даже если система полегла полностью, и т.д.
Вторая задача, которая обычно встаёт перед одиночным пользователем, не менее странная. А именно - защита самого пользователя от излишней опеки со стороны операционной системы. Дело в том, что изначальные настройки Windows XP нацелены на какой-то усредненный вариант конфигурации ОС. А потому в них изначально задействованы механизмы безопасности, подчас совершенно излишние при отсутствии многопользовательского режима или интернет-соединения. Всё это только доставляет пользователю немало лишних неудобств, а потому снижает эффективность его работы за компьютером. Например, нужна ли вам аутентификация пользователя, если кроме вас к ПК больше никто не подходит? Чтобы избавиться от процедуры ввода пароля при загрузке Windows, можно, например, сделать автоматический ввод пароля с помощью утилиты TweakUI - вкладка «Logon». Вручную же для этого следует в разделе реестра HKEY_LOCAL_MACHINE Software Microsoft WindowsNT CurrentVersion WinLogon задать параметры строкового типа (REG_SZ):
"AutoAdminLogon"="1"
"DefaultUserName"=Имя
"DefaultPassword"=Пароль
Можно также вообще отключить использование пароля. В Windows XP для этого следует в меню «Панель Управления» - «Учетные записи пользователей» - «Изменение учетной записи» - [имя пользователя] выбрать пункт «Удаление пароля» («Control Panel» - «User Accounts» - «Change an Account» - «Remove my password»). А чтобы избавиться ещё и от необходимости нажимать клавиши CTRL-ALT-DEL при загрузке ПК, откройте диалог «Панель управления» - «Администрирование» - «Локальная политика безопасности» - «Параметры безопасности» («Control Panel» - «Administrative Tools» - «Local Security Policy» - «Local Policies» - «Security Options») и установите параметр «Interactive logon: Do not require CTRL+ALT+DEL» в положение «Enabled».
Многопользовательская конфигурация
Операционные системы семейства Windows NT - это, в первую очередь, многопользовательские системы, задача которых - грамотное разделение прав доступа. В таких системах необходимо полностью исключить ситуацию, когда один пользователь имеет шанс каким-то образом навредить другому: прочитать чужой документ или изменить настройки чужой конфигурации. Поэтому в таких системах применение нескольких учётных записей с разными полномочиями и файловой системы NTFS обсуждению не подлежит. Для каждого пользователя необходимо завести специальную «рабочую» учётную запись с минимальными привилегиями, например, входящую в группу «Пользователи» - именно под этими записями все и будут осуществлять повседневную работу. В качестве же Администратора (им назначается наиболее ответственный и знающий товарищ) можно регистрироваться в системе только по особым случаям - при установке нового ПО, например.
Также необходимо, используя возможности NTFS, жёстко разграничить документы, к которым имеют доступ пользователи. Тут есть два варианта - можно каждому пользователю выделить отдельную папку (подойдёт даже стандартная «Мои документы»), полностью закрыв к ней доступ для других пользователей. А можно сделать на диске несколько разделов, по числу пользователей, и также назначить соответствующие права. При этом получится даже некоторая разновидность квотирования дискового пространства - каждый будет ограничен объёмом выделенного лично ему раздела, с которым сможет делать что угодно, не рискуя нанести ущерб другим пользователям. А чтобы чужие разделы не мозолили глаза, их можно ещё и скрыть с помощью известной утилиты TweakUI. Установите также права доступа к папкам таким образом, чтобы обычные пользователи не могли изменять содержимое директорий WinNT и Program Files (исключением могут быть отдельные файлы с настройками пользовательских программ) - к системным файлам полный доступ должен иметь только Администратор.
В Windows XP Home, к сожалению, отсутствует возможность удобного назначения прав доступа к папкам и файлам - там для этого придётся прибегать к консольным программам типа cacls.exe. Даже в Windows XP Pro для нормальной работы с правами доступа придётся совершить дополнительные телодвижения - вернуть к «нормальному» виду закладку «Доступ» («Sharing») в свойствах папок и вкладку «Безопасность» («Security») на томах NTFS. Для этого надо в свойствах папок («Folder Options») на странице «Вид» («View») снять флажок «Использовать простой общий доступ к файлам (рекомендуется)» («Use simple file sharing (Recommended)»).
Кроме того, создано немало утилит для ещё большего ужесточения политики разграничения полномочий, например, программа DeviceLock позволяет закрывать отдельным индивидуумам даже доступ к определённым устройствам, вплоть до WiFi и Bluetooth.
Вообще же, если в системе зарегистрирован пользователь, откровенно не разбирающийся в Windows или, наоборот, желающий самолично поковыряться в её внутренностях, невзирая на последствия для её жизнедеятельности, то необходимо уделить должное внимание и запрету изменения настроек Windows. И тут как нельзя лучше подходят всевозможные программы-твикеры, которые умеют «прятать» от неблагонадёжного пользователя почти все апплеты Панели Управления, а также вкладки и команды различных меню, например - WinBoost или бесплатный X-Tech Setup. Имеются и программы, созданные специально для этого, например, XP Protector, Security Administrator. И, разумеется, не стоит забывать о стандартных, чуть менее удобных, чем специализированные «твикеры», оснастках - Редакторе групповых политик (Group Policy Editor) (gpedit.msc) и Редакторе Политик Безопасности (secpol.msc): при настройке системы надо пройти буквально по каждому пункту этих программ.
При наличии нескольких пользовательских профилей нелишним будет организовать и автоматическую зачистку временных файлов, поскольку Windows и программы для неё оставляют на диске слишком много следов, которые могут содержать приватную информацию. Для этого неплохо подходит программа Evidence Eliminator. Впрочем, частично чистить следы на диске и в реестре умеет и почти стандартная утилита TweakUI, но её возможности гораздо скромнее.
Интернет
При подключении к Интернету кардинально меняется вся политика безопасности, так как основная угроза теперь исходит из Сети. Даже если информация (info) на вашем ПК не представляет серьёзного интереса для кого-то постороннего, всё равно угроза потери важных для вас файлов или вывода Windows из строя будет иметь место. Если и не найдётся хакера, позарившегося на ваши файлы, то уж безмозглых интернет-червей, эксплуатирующих многочисленные уязвимости ОС - пруд пруди. Поэтому главными условиями защиты любого веб-серфера являются своевременная установка сервис-паков и «горячих» обновлений Windows и прикладных программ, а также качественный и хорошо настроенный файерволл и антивирус.
В качестве файерволла можно попробовать такие продукты:
Sygate Personal Firewall, BlackICE PC Protection, Zone Alarm, McAfee Personal Firewall, Agnitum Outpost, Norton Internet Security, Kaspersky Anti-Hacker. Что касается моих личных предпочтений, я люблю Outpost за его расширяемость, и возможность очень тонкой настройки.
Файерволл желательно включить ещё до первого выхода в Сеть, так как в противном случае (если не установлен соответствующий патч) высок риск оказаться поражённым тем самым MSBlast, перегружающим компьютер спустя пару минут после подключения к Интернету. Подобные вирусы просто не дадут вам скачать файерволл и заплатки к ОС! Кстати говоря, патч от уязвимости DCOM не всегда устанавливается удачно, а потому рекомендуется проверить свою систему специальной утилитой DCOMbobulator - она точно покажет, уязвим ли ваш ПК, и поможет закрыть эту брешь в защите.
К счастью, в Windows XP уже встроен простейший файерволл, и на начальном этапе его будет достаточно - главное не забыть его активировать. В общем же случае брандмауэр должен блокировать весь входящий трафик через порты 135, 137, 138 и 139 - именно благодаря им злоумышленникам и интернет-червям удаётся получить доступ к вашим файлам. Крайне желательно, чтобы файерволл ещё умел блокировать и потенциально опасное активное содержимое веб-страниц: JAVA-апплеты и элементы ActiveX. Качество же настройки персонального файерволла можно проверить с помощью специальных сайтов:
https://grc.com/default.htm
https://security2.norton.com/us/intro.. … ;langid=us
https://www.dslreports.com/scan/
https://scan.sygatetech.com
Эти сайты просканируют ваши порты в поисках возможных брешей в системе безопасности. Но процесс этот довольно длительный, особенно при не очень хорошей связи.
- Подпись автора
Я Хранитель Свеч на границе Тьмы Свет ковал мой меч для своей войны…
www.prizrak.ws Аниме Форум - для общения любителей аниме (японской анимации), манги и хентая. Новости, статьи по темам: безопасность, хакерство, программы. Игры и софт для WinOS, PocketPC, Linux/Unix и др. Архив игр, фильмов DVD, музыки mp3 и программного обеспечения. Теги: скачать anime, скачать мангу, скачать хентай, скачать яой, скачать юри, скачать аниме обои картинки, скачать музыку mp3, скачать фильмы dvd, скачать софт, скачать программы, скачать игры ^__^