Перейти к содержимому

YoBit.Net





* * * * * 1 голосов

win7(winXP) - настройки безопастности

Написано r2d2, 30 May 2015 · 2485 Просмотров

windows безопастность настройки
1. Работа только под обычным пользователем
2. Обязательно используем SRP
Первые два пункта обязательны , все что ниже, по желанию(дополнительные барьеры для заразы).
3. Возможно использование виртуальных машин - например ходить в инет чз браузер на линукс машине,установленной в виртуалку.(испытано - недорогой 2-х ядерный пенек g2020 + одна из разновидностей
PuppyRus в качестве ОС - тормозов в виртуальной машине при брожении по инету не замечено ).Если еще разгрузить гостевую ОС от отрисовки интерфейса(гуи) - переложив эту задачу на плечи хоста - быстродействие еще повысится. Именно так поступили кстати в майкрософт сделав режим WinXP-mode в Win7 - взаимодействие с виртуальной винХП осуществляется с помощью RDP(удаленного доступа)
(если использовать(правильно) хотя бы эти три рекомендации вы получите непробиваемую для вирусов систему даже на базе винХП B) )
4. еще кое-какие мелочи :
4.1 переименовать встроенную учетку Администратора(и естественно длиннющий пароль на нее),
на учетку обычного пользователя(под которым будем работать,играть...) пароль думаю не нужен поскольку sudo в системе нет
4.2 запретить запись в ветку реестра HKLM (после установки драйверов и необходимого софта) делал в винХР, как сделать в вин7 не знаю :(
4.3 отключить не нужные а зачастую и опасные службы,сам первым делом отключаю
1.удаленный реестр
2. .....
========================================
SRP - Software Restriction Policies(политики ограниченного использования программ) - полезный инструмент
для защиты от вирусов , совершенно бесплатный,встроен в :
Windows XP Professional, Windows XP Media Center.
Windows Vista Business, Windows Vista Enterprise & Ultimate.
Windows 7 Professional, Windows 7 Enterprise & Ultimate.
Windows Server 2003 и выше.
для пользователей использующих линейку операционных систем "Домашняя"(Windows Home) оно не доступно :'( .
100% защита не гарантируется но использование SRP сильно увеличивает стойкость системы.
Механизм защиты прост и эффективен, суть его в том что пользователю разрешено запускать только явно разрешенные приложения, это избавляет от всяческих неприятностей с установкой зловредов и прочей мути в профиль пользователя.
Но помните, это – не панацея, а создание достаточно серьёзных барьеров на пути различного вредоносного ПО
===================
более изощреннаядополнительная защита(для параноиков вроде меня):
1.заменим расширение exe у исполняемого на любое другое(например bin) - запустить напрямую не получится,с помощью bat'ника - легко.Вирусы часто ищут жертвы по расширению(поскольку проще) и пройдут мимо переименнованного.
2.в свойствах папки(где находятся наши проги)открываем вкладку безопасность и ставим галку "запретить" напротив "список содержимого папки".
Что даст : заглянуть внутрь папки(без админских прав)станет невозможно,т.е. файлы внутри не увидим ни мы,ни запускаемые нами программы, ни запускаемые нами вирусы,при этом запись в папку разрешена(а лучше запись запретить).Однако если мы знаем название файла то опять же с помощью bat'ника мы легко его запустим.Фактически вирусы не смогут искать жертвы внутри такой папки,а у нас доступ к ним будет!.Админу(м) кстати тоже можно "запретить" "список содержимого..."
3.запускать исполняемые с носителей(мест) доступных только для чтения :
а) ISO-файлы - потребуется прога для монтирования (напр Daemon )
б) VHD-файлы - в Win7 есть встроенные механизмы (для монтирования в RO-режиме)
в) на SD-карточках есть переключатель - переводит карточку в режим только для чтения
----------------------------
еще рецептик:
скачиваем файлики мы обычно браузерами или довнлоад-менеджерами,
предлагаю для скачивания использовать wget - утилитка из мира UNIX-осей,
для винды можно взять из набора cygwin.
И скачивать в папку недоступную для просмотра(см. выше).
Причины :
1.открытый исходный код(99.999% отсутствие вредоносных закладок)
2.крайне малораспространена (в винде) - соответственно хакеры интереса к ней не проявляют,
можно запускать или из под админа или(лучше)из под пользователя с более высокими привилегиями - скачиваемые файлы сразу становятся недоступными для обычных пользователей(и их вирусов).
ЗЫ: можно и простеньким vbs-скриптом скачивать, см. тут:
http://forum.script-...topic.php?id=40
-----------------------
и еще рецептик :
создать не одну учетную запись(пользовательскую - НЕадминскую) а несколько.
И каждой проге - своя учетка,что даст: дополнительная безопастность,при работе(одновременной) из под разных учеток приложения просто напросто не будут видеть друг друга.обмен данными - не проблема - общие ресурсы.

  • 1



для полного спокойствия нам нужны утилитки проверки системы.
Мысли:
1.скопировать все бинарники(*.exe , *.dll ... ) свежеустановленной системы на RO файл(носитель) , например ISO или VHD , в дальнейшем можно время от времени сравнивать .
2. создать списки файлов системы(с хэш-суммами) опять же для сравнения в дальнейшем как списка файлов на предмет обнаружения посторонних так и списка хэш-сумм на предмет целостности существующих.
утилитки для сравнения файлов:
1. fc (встроена ) ( http://ab57.ru/cmdlist/fc.html   -  неплохая справка )
2.можно самописную (сложного ничего нет)
  сравнивать по содержимому файлов довольно утомительно, можно сравнивать хэши(md5 например), думаю процесс более быстрый.
3.инструменты для расчета хэшей:
много их, (опять же можно самописные)
а) http://www.pc-tools.net/win32/md5sums/ - хорошая маленькая утилитка для расчета md5
б) md5sum из набора cugwin
в)в Win7 можно написать(раздобыть готовые где нибудь) скрипты на PS(PowerShell)

    • 0

антивирусы фтопку. все.

про песочницы забыл.

Пробовал Sandboxie.

После запуска  Sandboxie  создает еще одну пользовательскаю учетку и приложения запускаются под ней(можете сами проверить - в диспетчере задач видно под какой учетной записью что запущено) - ничего необычного. вердикт - не нужны(лишняя посторонняя прога), лучше руками учетку сделать и настроить.

    • 0

по вышесказанному:

минусы - при установке новой проги придется  вводить длиннющий пароль,возможно переключать режимы в SRP.

плюсы - практически стопроцентная защита от вирусни.

спросите каким боком это относится к крипте - отвечу - прямым, мы же не хотим потерять битки, лайты и прочие коины хранящиеся у нас на компе.

================

Скрытый текст
    • 0

Добавлю сюда отдельную виртуалку для кошельков-хранилищ (её же можно использовать для PoS, если она не на домашнем компе, а на сервере в сети). Сам так и сделал, а на домашней XP x64 не храню в кошельках больше, чем используется для текущих операций (пул-биржа как правило).

 

А антивирусы в топку это факт - от зловредов не спасают, а ресурсы жрут. Ну и ещё фаер/роутер перед вендокомпом просто must have.

    • 0

Настольная книга
http://sysadminz.ru/...php?topic=114.0

    • 0

Настольная книга
http://sysadminz.ru/...php?topic=114.0

да , у Губаревича есть чему поучится, про srp кстати у него и узнал

    • 0

забыл совсем - при использовании и правильной настройке SRP вирусы с флэшек становятся не страшны, система просто не разрешит их запускать(даже если пытаться запускать их вручную).

    • 0

ну и последнее - лучше все же поставить линукс, если вы не геймер конечно.

    • 0
Фотография
Rabinovitch
19 Oct 2015 20:43

А если геймер - надо попытаться излечиться. )

    • 4

А если геймер - надо попытаться излечиться. )

+1. но думаю изредка расслабится можно :) , не все же время вкалывать.

    • 0

Август 2017

В П В С Ч П С
  12345
6789101112
13141516171819
2021 22 23242526
2728293031  

Последние записи

Поиск по блогу

Категории