Оборона Windows II — HackZona.Ru

Оборона Windows II

Оборона Windows II

Тип статьи:
Со старой ХакЗоны.
Источник:
Юзеры и админы наносят ответный удар! Это статья необходимый довесок к основной статье. В ней я постараюсь восполнить некоторые пробелы безопасности и расписать ранее непонятные места. Итак, пожалуй, начну с доводки малоинформативных нравоучений предыдущей статьи. Что есть права доступа из NTFS? Это несколько сложная и молодая (для Win) концепция, введенная в NT системы. Если вы пользовались или пользуетесь Unix подобными пингвинами, вы поймете, почему я говорю, что она именно сложная. В Linux с этими вещами куда проще и на мой взгляд логичней, но это я отвлекся.
В NTFS существует понятие наследования, т.е. если вы создаете в корневой папке файл my.doc то он будет наследовать разрешения от разрешений самого раздела (диска). Это не всегда нужно, и поэтому, если вам НЕ нужно сие безобразие (наследование) смело снимайте галочку Св-ва файла / Безопасность / Дополнительно / Разрешения / Наследовать от родительского объекта в появившемся окне жмем «удалить».
Теперь собственно о самих правах и группах пользователей. Если вы хотите защитить, скажем, файл от удаления любым из пользователей или групп, то вам необязательно их всех добавлять в таблицу «Элементы разрешений» и каждого подробно обрабатывать. Для всех существует группа «Все»
Задайте свойства «Разрешить» и «Запретить» на свой вкус, кстати, заметьте, казалось бы, мы запрещаем удаление от ВСЕХ групп и пользователей, но сами все же удалить можем (и все кто входит в Админскую группу и любая из программ которая висит в памяти у юзера этих групп), но изменить тело файла не сможем. Как то не очень логично получается в Линукс например, если мы ставим на создателя «нет доступа» то его полностью и не будет =)
То есть, как видите выставить права — этого еще недостаточно. Теперь делаем из Windows Linux. Я имею ввиду, по устоявшимся концепциям пингвина. Для этого мы оставляем одного общесистемного пользователя «Администратор» в группе админов, все остальные пользователи НЕ должны быть в группе Администраторов. Далее отключаем страницу приветствия, чтоб стандартный администратор был доступен не только в безопасном режиме. Находится это тут Панель управ. / Учетные записи юзеров / Изменение входа пользов. в систему. А вот теперь штампуем других юзеров с любыми из групп, кроме админов и запрещаем им все что нужно. После этого все очень удобно будет настраиваться, если вы, конечно, не поленитесь все организовать таким макаром. Разумеется, для себя тоже следует сделать соответствующую ограниченную учетку, и никогда не работать под Администратором, а только раздавать права. Если у вас, появляются какие-то вопросы, то ответы можно получить в стандартной справке Windows.
Далее хочу дать несколько советов не очень опытным сисадминам. Вспомните «милое» лицо своего шефа. Вспомнили? =) У него обязательно есть свой почтовый ящик, и даже не один, с которым(и) он активно работает. Можно вполне обоснованно предположить, что когда-нибудь кто-то из его партнеров, коллег и пр. рано или поздно, захочет «заказать» его ящик. =))) И если таковой взлом пройдет удачно, то вам, скорее всего, будет, как минимум сделан выговор. Отмаза вроде «А я то тут причем???» не прокатит, потому как одна из главных задач админа это безопасность. Так вот, если вам не нужны проблемы такого рода, советую это обсудить со всеми коллегами по работе. Пресловутое удлинение или усложнение пароля ящика не выход, когда контрольный вопрос звучит приблизительно так «Имя моей собачки?». Ибо, это не слишком сложно узнать в задушевной беседе с жертвой. Эти азы должны знать все в вашей конторе, кто имеет свои ящики. Все выше сказанное применимо и к ICQ и к регистрации на сайтах и прочим. Взломав аську можно общаться выдавая себя за партнера по бизнесу и т.п., регистрируясь на сайте, вы вводите адрес своего ящика и тот же регистрационный пароль ящика. Было же так? А если авторы сайта специализируются на взломе? Да им и ломать то ничего не надо, им все уже дали для безпроблемного проникновения. А если на аське и почте и сервере SQL один и тот же пароль?
Но вернемся к нашим баранам, итак вам нужно закачать какую-нибудь ну очень нужную программу. Вы ее получаете. И вот она перед вами, вы будете наивным простачком, если просто доверитесь результатам антивируса «вирусов нет». Антивирусная эвристика срабатывает не всегда для новых вирусов, а только иногда, да и только для модификаций этих самых вирусов. Чтобы быть достаточно спокойным за ее деятельность в системе, советую скачать две программы Filemon и Regmon с сайта www.sysinternals.com. Кто не знает, объясняю эти программы являются мониторами файловой системы и реестра соответственно, к слову, излюбленные инструменты крякеров всего мира. Запустив программу можно будет отследить ВСЕ дисковые операции и ВСЕ обращения этой программы к реестру. Эти исчерпывающие сведения, я советую внимательно изучить и на всякий случай куда-нибудь сохранить. Если программа сделает вам нехороший сюрприз, у вас будут шансы исправить его последствия и выйти в этой схватке победителем. Мониторы имеют фильтры программ, используйте их, чтобы не иметь посторонних логов.
Теперь хочу дать пару простых советов о Диспетчере задач, во-первых можно защитить его от отключения (что иногда делают трояны и вирусняк), блокировав ветку в реестре HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System (DisableTaskMgr = 1) К сожалению в реестре нельзя блокировать отдельные параметры как например DisableTaskMgr, только разделы и вот тут кроется один неприятный сюрприз. Заблокировав раздел вы не сможете внести или изменить другие политики которые, так или иначе, прописываются в этом же разделе. Иными словами, прежде чем блокировать ветки, выставите все необходимые политики в системе. Блокирование реестра это с одной стороны смелый шаг, с другой опасный. Блокируйте реестр, только тогда, когда уже все проги установлены и абсолютно ВСЕ настроено, включая Windows. Ладно, что качается диспетчера задач, советую также не уповать на стандартный и найти сторонний, например ProceXP. Он кстати гораздо информативней стандартного. Бывает, что «нечисть» скрывается в диспетчере под фальшивым именем какой-нибудь из служб, самый простой и банальный выход: после конфигурирования служб, просто посчитать их и куда-нибудь записать, вот и все.
Если вы хотите знать описание большинства тонких настроек Windows. Выполните: Пуск Выполнить gpedit.msc Там содержится много информации о параметрах системы. Информация черпается из adm файлов, которые можно добавлять в эту консоль. Можно также почитать справку к программе XPTweaker там все предельно детально раскрыто.
Что касается служб, то наиболее опасные из них это Telnet и Удаленный реестр. Telnet это бэкдор, не самый продвинутый, но все таки его можно тайно запустить на каком-нибудь добром 666 порту (в обход стандартного 23) и зная пасс или имея админку управлять компьютером удаленно. Telnet вообще лучше вынести из системы. Про удаленный реестр полагаю, тоже понятно.
Откажитесь от любимых Internet Explorer и Outlook Express про причине их бесконечных уязвимостей и пристального внимания взломщиков. На худой конец следите за выпускаемыми для них обновлениями. Я не так давно решил провести эксперементик с IE. Написал HTMLку и добавил к ней немного VBScriptа. Код должен был удалить один из файлов загрузки Windows. Тест прошел УСПЕШНО. Такие браузеры как FireFox, Navigator не поддерживают VBScript и поэтому более безопасные и работают пошустрее. Так что, делайте выводы.
Хотелось бы сказать немного про файрволы. Стандартный файрвол Windows годится разве, что для домашних нужд. Раскрученный бренд, как например Agnitum Outpost Firewall в некоторых своих редакциях на деле оказался, не очень устойчивым к локальным атакам. Так что лучше применять что-то среднее и не очень «знаменитое». Мне, например, понравился Norton Firewall. Кстати, насчет пассивной сетевой защиты, советую, просто, запомнить ряд открытых TCP/UDP портов в системе. Команда netstat /a.
В наше время появилось множество вариаций макровирусов. Поскольку язык VBA (на котором они пишутся) является достаточно мощным языком, то макровирусы могут если не все, так очень многое. В офисных программах (Word, Excel) недостаточно просто их отключить, необходимо еще и заблокировать эти параметры, хранящиеся не в зашифрованном виде (!), а просто в виде набора ключей реестра. То есть, «зловредная» программка может просто все эту «защиту» вырубить и подменить файл normal.dot (общий для всех документов). Вот этот раздел реестра отвечающий за макросы (для Word 2003): HKCU/Software/Microsoft/Office/11.0/Word/Security и его ключи: AccessVBOM, DontTrustInstalledFiles и Level. Блокируйте их на здоровье. Что касается защиты от изменения или чтения фалов doc, xls, docx то на них можно ставить пароль (это я думаю почти все знают), предварительно выбрав алгоритм шифрования. Этому, прежде всего нужно научить суетливых теток бухгалтерш =) И вообще если нужна просто параноидальная защита от всех и вся, пользуйтесь WinRarом + пароли на архивы, для почты и прочего. Для прогерров хотел бы напомнить, что у WinRarа есть и консольный вариант сжатия+шифровки, что иногда особенно ценно.
Советую также почитать в довесок моей второй статьи, встроенную справку Windows по безопасности.
Ну, вот пожалуй и все, что я хотел вам сегодня рассказать. Если есть вопросы пишите в приват или на мыло. Удачи!
Нравится
Не нравится

3 комментария

13:19
Увы всё вразброс, как говориться вопрос освещён не полностью. Но статья гуд, 4.
15:30
ОТ АВТОРА: Нельзя объять необъятное мой друг ... P.S. Только ущипнуть :)
23:10
спасибо за статью.