Перейти к содержимому

блог r2d2

  • записи
    2
  • комментариев
    10
  • просмотров
    6 189

win7(winXP) - настройки безопастности

r2d2

2 587 просмотров

1. Работа только под обычным пользователем

2. Обязательно используем SRP

Первые два пункта обязательны , все что ниже, по желанию(дополнительные барьеры для заразы).

3. Возможно использование виртуальных машин - например ходить в инет чз браузер на линукс машине,установленной в виртуалку.(испытано - недорогой 2-х ядерный пенек g2020 + одна из разновидностей

PuppyRus в качестве ОС - тормозов в виртуальной машине при брожении по инету не замечено ).Если еще разгрузить гостевую ОС от отрисовки интерфейса(гуи) - переложив эту задачу на плечи хоста - быстродействие еще повысится. Именно так поступили кстати в майкрософт сделав режим WinXP-mode в Win7 - взаимодействие с виртуальной винХП осуществляется с помощью RDP(удаленного доступа)

(если использовать(правильно) хотя бы эти три рекомендации вы получите непробиваемую для вирусов систему даже на базе винХП B) )

4. еще кое-какие мелочи :

4.1 переименовать встроенную учетку Администратора(и естественно длиннющий пароль на нее),

на учетку обычного пользователя(под которым будем работать,играть...) пароль думаю не нужен поскольку sudo в системе нет

4.2 запретить запись в ветку реестра HKLM (после установки драйверов и необходимого софта) делал в винХР, как сделать в вин7 не знаю :(

4.3 отключить не нужные а зачастую и опасные службы,сам первым делом отключаю

1.удаленный реестр

2. .....

========================================

SRP - Software Restriction Policies(политики ограниченного использования программ) - полезный инструмент

для защиты от вирусов , совершенно бесплатный,встроен в :

Windows XP Professional, Windows XP Media Center.

Windows Vista Business, Windows Vista Enterprise & Ultimate.

Windows 7 Professional, Windows 7 Enterprise & Ultimate.

Windows Server 2003 и выше.

для пользователей использующих линейку операционных систем "Домашняя"(Windows Home) оно не доступно :'( .

100% защита не гарантируется но использование SRP сильно увеличивает стойкость системы.

Механизм защиты прост и эффективен, суть его в том что пользователю разрешено запускать только явно разрешенные приложения, это избавляет от всяческих неприятностей с установкой зловредов и прочей мути в профиль пользователя.

Но помните, это – не панацея, а создание достаточно серьёзных барьеров на пути различного вредоносного ПО

===================

более изощреннаядополнительная защита(для параноиков вроде меня):

1.заменим расширение exe у исполняемого на любое другое(например bin) - запустить напрямую не получится,с помощью bat'ника - легко.Вирусы часто ищут жертвы по расширению(поскольку проще) и пройдут мимо переименнованного.

2.в свойствах папки(где находятся наши проги)открываем вкладку безопасность и ставим галку "запретить" напротив "список содержимого папки".

Что даст : заглянуть внутрь папки(без админских прав)станет невозможно,т.е. файлы внутри не увидим ни мы,ни запускаемые нами программы, ни запускаемые нами вирусы,при этом запись в папку разрешена(а лучше запись запретить).Однако если мы знаем название файла то опять же с помощью bat'ника мы легко его запустим.Фактически вирусы не смогут искать жертвы внутри такой папки,а у нас доступ к ним будет!.Админу(м) кстати тоже можно "запретить" "список содержимого..."

3.запускать исполняемые с носителей(мест) доступных только для чтения :

а) ISO-файлы - потребуется прога для монтирования (напр Daemon )

б) VHD-файлы - в Win7 есть встроенные механизмы (для монтирования в RO-режиме)

в) на SD-карточках есть переключатель - переводит карточку в режим только для чтения

----------------------------

еще рецептик:

скачиваем файлики мы обычно браузерами или довнлоад-менеджерами,

предлагаю для скачивания использовать wget - утилитка из мира UNIX-осей,

для винды можно взять из набора cygwin.

И скачивать в папку недоступную для просмотра(см. выше).

Причины :

1.открытый исходный код(99.999% отсутствие вредоносных закладок)

2.крайне малораспространена (в винде) - соответственно хакеры интереса к ней не проявляют,

можно запускать или из под админа или(лучше)из под пользователя с более высокими привилегиями - скачиваемые файлы сразу становятся недоступными для обычных пользователей(и их вирусов).

ЗЫ: можно и простеньким vbs-скриптом скачивать, см. тут:

http://forum.script-...topic.php?id=40

-----------------------

и еще рецептик :

создать не одну учетную запись(пользовательскую - НЕадминскую) а несколько.

И каждой проге - своя учетка,что даст: дополнительная безопастность,при работе(одновременной) из под разных учеток приложения просто напросто не будут видеть друг друга.обмен данными - не проблема - общие ресурсы.



10 комментариев


Рекомендуемые комментарии

для полного спокойствия нам нужны утилитки проверки системы.
Мысли:
1.скопировать все бинарники(*.exe , *.dll ... ) свежеустановленной системы на RO файл(носитель) , например ISO или VHD , в дальнейшем можно время от времени сравнивать .
2. создать списки файлов системы(с хэш-суммами) опять же для сравнения в дальнейшем как списка файлов на предмет обнаружения посторонних так и списка хэш-сумм на предмет целостности существующих.
утилитки для сравнения файлов:
1. fc (встроена ) ( http://ab57.ru/cmdlist/fc.html   -  неплохая справка )
2.можно самописную (сложного ничего нет)
  сравнивать по содержимому файлов довольно утомительно, можно сравнивать хэши(md5 например), думаю процесс более быстрый.
3.инструменты для расчета хэшей:
много их, (опять же можно самописные)
а) http://www.pc-tools.net/win32/md5sums/ - хорошая маленькая утилитка для расчета md5
б) md5sum из набора cugwin
в)в Win7 можно написать(раздобыть готовые где нибудь) скрипты на PS(PowerShell)

Поделиться комментарием


Ссылка на комментарий

антивирусы фтопку. все.

про песочницы забыл.

Пробовал Sandboxie.

После запуска  Sandboxie  создает еще одну пользовательскаю учетку и приложения запускаются под ней(можете сами проверить - в диспетчере задач видно под какой учетной записью что запущено) - ничего необычного. вердикт - не нужны(лишняя посторонняя прога), лучше руками учетку сделать и настроить.

Поделиться комментарием


Ссылка на комментарий

по вышесказанному:

минусы - при установке новой проги придется  вводить длиннющий пароль,возможно переключать режимы в SRP.

плюсы - практически стопроцентная защита от вирусни.

спросите каким боком это относится к крипте - отвечу - прямым, мы же не хотим потерять битки, лайты и прочие коины хранящиеся у нас на компе.

================

 

 

0xBE98712a156654B54A9D9a6791f0f3D16b92ed02

 

 

Поделиться комментарием


Ссылка на комментарий

Добавлю сюда отдельную виртуалку для кошельков-хранилищ (её же можно использовать для PoS, если она не на домашнем компе, а на сервере в сети). Сам так и сделал, а на домашней XP x64 не храню в кошельках больше, чем используется для текущих операций (пул-биржа как правило).

 

А антивирусы в топку это факт - от зловредов не спасают, а ресурсы жрут. Ну и ещё фаер/роутер перед вендокомпом просто must have.

Поделиться комментарием


Ссылка на комментарий

забыл совсем - при использовании и правильной настройке SRP вирусы с флэшек становятся не страшны, система просто не разрешит их запускать(даже если пытаться запускать их вручную).

Поделиться комментарием


Ссылка на комментарий

ну и последнее - лучше все же поставить линукс, если вы не геймер конечно.

Поделиться комментарием


Ссылка на комментарий

А если геймер - надо попытаться излечиться. )

Поделиться комментарием


Ссылка на комментарий

А если геймер - надо попытаться излечиться. )

+1. но думаю изредка расслабится можно :) , не все же время вкалывать.

Поделиться комментарием


Ссылка на комментарий

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×