Оборона Windows — HackZona.Ru

Оборона Windows

Оборона Windows

Тип статьи:
Со старой ХакЗоны.
Источник:
Эта статья посвящена юзерам и админам которые уже просто устали от всякого рода вирусняка и троянов. Мало кто задумывается о встроенной безопасности Windows, некоторые считают что ее просто нет. Так вот, пришло время открыть вам правду, безопасность в Windows существует, и скажу, очень даже не хилая. Статья не претендует на полноту освещения проблемы, расценивайте ее как информацию к размышлению.
Итак, основа основ защиты это ФС NTFS. Такие достоинства как права доступа в ней, просто бесценны. Но есть и минусы. Цикл жизни вашего HDD под NTFS меньше, нежели под FAT32. Ну о теперь собственно поговорим о всякой «нечести» которая прыгает в вашей системе, как и где она это делает. Излюбленные места любых вирусов это папка Windows, это знают все. Бороться с этим, не уповая на доброго дядю Кашпировского конечно можно. Самый простой способ это аудит этой папки стандартными средствами (на NTFS). Включается все достаточно просто: — Администрирование — Локальная политика безопасности Политика аудита Аудит доступа к объектам. Дальше уже на ваш вкус «успех» или «отказ». Я советую включить только «успех». Теперь нажимаем на папке Windows свойства и заходим во вкладку Аудит. Тут настраиваем на свой вкус Удаление, Создание, Перемещение и т.д., главное не переборщить. Все, аудит мы настроили, смотреть его можно в Администрирование Просмотр событий — Безопасность.
Как видите все очень просто и надежно, но порой малоинформативно. Есть еще один способ. Найти написать программу, которая следила бы за папкой Windows, что появилось что исчезло и т.д. Но тут тоже есть свои плюсы и минусы. Далее нам следует защитить папку Documents and Setting. Советую просто заблокировать доступ на всех пользователей и общую автозагрузку. Пользовательская — Documents and Settings/<<Имя_пользователя>>/Главное меню/Программы/Автозагрузка и общая: Documents and Settings/All Users/Главное меню/Программы/Автозагрузка. Если вы не хотите познакомится с макровирусами обратите внимание на файл Normal.dot, к слову, его несложно подменить файлом с макровирусом. Блокировать его не советую, т.к. Word этого вам не простит. Проще выключить макросы во всех екселях и вордах. Есть еще одна папка которую заценило не одно поколение вирусняка Temp. Даже не знаю что и посоветовать, делайте там иногда генеральную уборку вот и все. Советую также запретить запись в файлы SYSTEM.INI, WIN.INI, BOOT.INI, с последним по понятным причинам особенно аккуратно. Также защитите от удаления и изменения фалы загрузки Windows ntldr, ntdetect.com, boot.ini и bootsect.dos. Еще хотелось бы сказать про флешки. Хоть раз в жизни я думаю вы ловили на флешку загрузочный вирус. Состоит он как правило из файла autorun.inf и запускаемого тела, например d34v89.exe или 76vbns.bat. (да да exe файл можно переименовать в bat и даже cmd файл, тем самым скрыть от юзера характерную иконку в экзешниках, и запускаться он будет на ура) Даже если вы отключите в системе разного рода автозагрузки, вам это все равно в большинстве случаев не поможет. Выход есть, форматнуть флешку в NTFS создать autorun.inf (пустой) и заблокировать его всеми мыслимыми и немыслимыми способами. Имеет смысл самостоятельно удалить из системы такие опасные консольные проги как reg.exe, shutdown.exe и т.д.
Так, вроде ничего не упустил, теперь переходим к реестру Windows. Внимание! прежде чем притворять в жизнь все ниже сказанное, настоятельно рекомендую сделать резервную копию реестра, не программой, а ручками.
Загрузитесь с любого ремонтного диска и скопируйте все файлы реестра из папки Windows/System32/Config/* в любое удобное место на диске.
Защита реестра похожа на защиту файлов в NTFS, но только тут разумеется NTFS не требуется. Существует масса веток реестра куда любят совать свои носы вирусы и трояны это и автозагрузка и настройка проводника. Защитить их можно, выставив соответствующие параметры. Но учтите это достаточно опасно, т.к. вы можете сделать неработоспособной всю систему, своим незнанием.
Итак, начнем.
В начале защитим проводник от разного рода нежелательных изменений. Например излюбленных ход «нечести» — изменение отображения скрытых и системных файлов в проводнике. Запускаем Regedit. Блокируем на запись и изменение ветки:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced,
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced
теперь автозагрузку:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run и RunOnce
в HKEY_LOCAL_MACHINE тоже самое + RunOnceEx
Встречалось видеть такой парадокс в системе как не распознавание типа файла программы? Если вы не хотите повторений событий, блокируйте на изменение и удаление эту ветку:
HKEY_CLASSES_ROOT/.exe
Это касается и остальных жизненоважных системных файлов.
Вообще в Windows существует множество веток нуждающихся в защите от изменений, я не могу описать все. Потому как вам и самим будет несложно при желании отыскать их. Существуют параметр отвечающий за загрузку оболочки, т.е. ее можно саботировать, можно внести какие-то групповые политики (gpedit.msc) в систему и запретить к ним доступ из вне. В общем, степень защищенности системы зависит только от вашего желания, я перечислил лишь основные подходы, которые должны дать вам почву для размышлений.
Нравится
Не нравится

9 комментариев

16:54
5 баллов
01:50
Гуд! Гуд!
18:56
отлично написано, но читать всё равн осложновато 8)) спасибо за статью
IFK
11:46
Хорошая статья, но есть и другой вариант...
проще заходить по новой учётной записи, а ни как админ, по скольку нельзя изменять папку виндовс, вирус не сможет там ничего испортить, а если тебе надо что-то установить или изменить заходишь как админ.
04:19
"Итак, основа основ защиты это ФС NTFS. Такие достоинства как права доступа в ней, просто бесценны. Но есть и минусы. Цикл жизни вашего HDD под NTFS меньше, нежели под FAT32." полную чушь сморозил..

"а да exe файл можно переименовать в bat и даже cmd файл, тем самым скрыть от юзера характерную иконку в экзешниках, и запускаться он будет на ура" ну это вообще ни в какие ворота не лезет...

а так ничего впринципе.. нормальная статейка...
18:27
ОТ АВТОРА: Вот я ржал когда прочитал критику знатока под ником s0ul. Для особо одаренных, по буквам. NTFS имеет б-о-л-е-е с-л-о-ж-н-у-ю организацию и требует более интенсивных операций ввода-вывода нежели FAT32 и как следствие жиз.цикл HDD несколки ниже . Ну что знаток скажешь на это? Про bat и cmd было сказанно к слову, для общего "IT развития" читателей. Если терзают сомнения, берешь файлик программы, меняешь расширение и смотришь
что будет. Остальных, хотел бы поблагодарить за лестные отзывы. Скоро появится "Оборона Windows 2", вариант предложенный IFK я там рассмотрел подробно. Арривидерчи!
19:45
Неплохая статья для новичка. Есть конечно множество замечаний и недоговорённостей. Но впринципе не плохо было бы учесть указанные здесь советы начинающим админам под Вынь.
Теперь несколько замечаний:
1) иконку файла можно изменить, внеся изменения в первые 512 быйт файла (пример - широко известные ехе-файлы с картинкой папки)
2) форматировать флешку под NTFS нецелесообразно даже по той причине, что политика доступа к папкам хранится в реестре системы а не на флешке. Следовательно при наложенных запретах флешка на другом компьютере просто под вин не откроется (нет прав доступа) или же откроется абсолютно всё (потому что в новом реестре будет отсутствовать требуемая учётная запись)
3) Сделана попытка указать достаточно значимую попытку по защите системы, - это когда обычно пользователь работает БЕЗ прав администратора. Кстати, советую на встроеную учётную запись админа поставить пароль, тогда возможно бдует запускать приложения через "Запустить от имени...", что значительно удобнее чере перезаходить в учётную запись (да и память экономит)
4) Многие вирусы и пр.вредоносное ПО действует под правами system, от чего указанные методы уже не спасят
5) Самая главная защита системы - это голова на плечах. Если настраивать для др.пользователей, - то достаточно мощное средство защиты это постоянно обновляемый антивирусник + отсутствие прав админа (прав на внесение изменений в реестр, изменений в папку windows и установку/удаление/узменение ПО на компьютере). Это как минимум.
Желаю всем админам удачи!
00:55
ОТ АВТОРА: Неее ребят, я конечно люблю критику, но не всякую. Отвечаю:
1) Во-первых кто тебе сказал что иконка весит именно 512 байт и стартует с первого символа в экзешнике? Тебя дезинформировали уважаемый. 512 байт - если не ошибайюсь - это 256 цветов. Где ты видел сейчас такие иконки? Сейчас все иконки полноцветные! И весят не менее 2 КБ. Второе, говоришь первые 512 байт, это НЕВЕРНО! Первые 512 Байт - MZ - сигнатура exe программы и прочая "физика", но не как не иконка! На все сомнения есть гугл.
2) Есть группа "все" и так сказать отказ от наследования. Так что есть вероятность что файл, не удастся удалить под НЕ Админом. Шансы то есть хоть какие-то.
3) Полность согласен, моя вина. В новой статье будет, все рассмотренно в новом ракурсе.
4) Многие, но не все. Правами Админа они тоже не брезгуют. Для SYSTEM есть тоже своя группа, которой тоже можно управлять как и другими. Также SYSTEM входит в группу "ВСЕ".
5) Насчет головы на плечах, это очень точно подмеченно. Но ненужно на все 100% уповать на антивирь. Я как-то специально издевался над каспером, рисуя в визуалке вирусняк. "Подозрительные действия" он замечал в 50-60% случаев. Факты: Забрасывал в авторун батник (на этапе загрузки системы, пока он деловито грузился), который его выкидывал из автозагрузки. Делал копии проги в System32, заменял оболочку на вирь. Он НИЧЕГО этого не видел, со всеми своими обновлениями...
13:15
nu .. daje neznaiu sto skazati =| ; postavliu 4