Настройка Windows XP стандартними засобами

Будь-яку операціонку необхідно грамотно захищати від зовнішніх напастей. Якщо про це вчасно не подбати, то твоя система буде живою мішенню для вірусів, троянів, хробаків і т.д.

Зрозуміло, захищати систему має сенс відразу після установки. Тільки тоді ти можеш бути впевнений в тому, що, крім тебе, на машині ніхто не живе:). Але якщо ти спочатку забив на захист, ніхто не заважає виправитися і надолужити згаяне. Тобі не доведеться вдаватися до допомоги сторонніх програм - вся настройка проводиться за допомогою стандартних засобів.

Відчуй себе адміністратором

Перше, що необхідно зробити, - це зайти в розділ «Адміністрування» на панелі керування. Саме з нього починається організація безпеки твоєї системи. Кликай на ярличок «Служби» і уважно ознайомлюють зі списком дефолтових сервісів. Багато хто з них повинні бути відключені через непотрібність. К примеру, рекомендується вирубати службу розсилки системних сповіщень. Справа в тому, що останнім часом цей сервіс юзается злобными спамерами, які розсилають свої повідомлення за допомогою автоматизованих черв'яків. Причому фаєрволи не завжди захищає від настирливих рекламщик - хакери навчилися спуфіть IP-адресу і тим самим пробиватися через брандмауер.

Далі побач, що в тебе вимкнено сервіс віддаленого керування Windows і Telnet. Для робочої станції ці демони абсолютно марні. Тільки уяви, що твоєї машиною керує злий хакер, який випадково (або навмисно) підібрав пароль до адміністраторських профілю.

І, нарешті, відключивши віддалене управління реєстром. Якщо Зломщик по каким-то причинам дізнається пароль адміністратора (або будь-якого користувача з підвищеними правами), то зможе віддалено підключитися до реєстру. Хакеру будуть доступні три перші гілки. Зловмисник може так напортачіть, що тобі доведеться зносити всю систему.

Саме час подбати про майбутню безпеку. Виділимо найбільш важливі служби, які не повинні бути раптово зупинені. Зайди в пункт «Відновлення» і виберіть «Перезапустити служби» після першого, другого та третього збоїв. Якщо хакер спробує атакувати кривий сервіс, він без проблем перезапустіть.

Безпечний файловий архів

Деякі «розумні» особистості рекомендують відключити сервіс захисту файлів. Цього не варто робити з однієї простої причини - багато троянцы люблять маскуватися під нібито системний файл, після чого WinXP повільно, але впевнено перетворюється на плацдарм для черевиків. При включеному сервіс служба перезапішет важливий файл його копією і тим самим ліквідує червячка. Якщо закралось підозра, що вірус якимось чином проник на машину, запустив програму SFC з параметром / SCANNOW, яка моментально просканірует всі системні каталоги.

Заповітна мудрість лінуксоідов: не сиди під рутом! Те ж саме рекомендуємо і тобі. Коли у тебе непоказний права (яких цілком вистачає для нормальної роботи), троянів не під силу відформатувати винт, переслати системні паролі і т.п. Але часом переїзд на звичайний акаунт неможливий (якщо юзер працює з додатками, які вимагають додаткових привілеїв). У цьому випадку доводиться вдаватися до додаткових заходів безпеки. Побач, що WinXP стоїть на файловому розділі NTFS. Тільки в цьому випадку ти можеш контролювати права на каталоги. Якщо це так, запустив проводник, увійди в «Сервіс -> Властивості папки -> Вид» і прибери галочку «Використання простого спільного доступу до файлів».

Погодьтеся, тобі не завжди потрібен повний доступ до системних файлів. А своїм правом на запис в віндовий каталог часто користуються троянцы, які хитрим чином проникли на машину. Щоб ніяка зараза не могла записати себе в c: \ windows, тобі потрібно перезавантажити комп'ютер і зайти в безпечному режимі під обліковим записом адміністратора. Запускати провідник і топа в властивості c: \ windows. Кликай з безпеки і видаляти свій ідентифікатор зі списку власників. Те ж саме рекомендується зробити і з каталогом c: \ Program Files. Тепер, коли ти машину, у тебе буде право тільки на перегляд і виконання системних файлів.

Ти можеш озадачить питанням: а як тепер ставити новий софт? Адже сетапу потрібно записати дані в Program Files, а іноді і закинути конфігі в віндовий каталог. Доведеться запускати інсталятор від імені адміністратора. Для цього Кликни правою кнопкою по виконуваний файл і виберіть пункт «Запустити від імені». Досить ввести пароль для облікового запису адміна, і установник коректно запише будь-який файл в будь-яке місце. Будь обережний: запускав лише перевірені інсталлери, адже троян дуже люблять маскуватися під нешкідливі програми:).

Довірся фаєрволи

Страшно подумати про те, що буде, якщо вивести WinXP в інтернет без запущеного фаєрволи. На машину тут же нападуть хробаки, які базуються на вразливості DCOM/ASN.1. Ми порахували, скільки нечисти запишеться в середньому на незахищене машину - за один день 450 троянцев і кілька десятків FTP-скриптів! Вражає, чи не так? А тепер уяви, що ці черв'яки живуть і здравствуют на твоїй рідній тачке. При такому розкладі легше перевстановити систему, ніж жити серед небезпечних вірусів.

Незважаючи на убогі можливості стандартного фаєрволи йому цілком можна довіряти (особливо в SP2, який обов'язково слід встановити, - прим. Ред.). Не слухай тих, хто рекомендує поставити наворочений брандмауер на робочу станцію. Якщо ти используешь вбудований сервіс, то виграє в швидкості і часу. Адже налаштувати ICS, як два байти переслати! Щоб убезпечити себе від усіляких червячков, зайди в властивості з'єднання, виберіть вкладку «Додатково» і відзначив відповідну опцію. Далі жми на «Параметри» і відзначають всі служби, які необхідно вирішити. Доцільно додати в дозволені Web-, FTP-і SMTP-служби (якщо такі є). Все інше автоматично скроет за Вогняна стіна. Для моніторингу обов'язково журналіруй всі пропущені пакети в окремий лог. За бажанням можеш дозволити або заборонити ICMP - все в твоїх руках.

Єдиним недоліком ICS в "доSP2ческой" XP є нездатність розмежування прав за IP-адресами. Але в деяких випадках це не потрібно.

Контролює реєстр

Тепер, коли в тебе є встановлений фаєрволи і захищений файловий архів, настав час покопатися в реєстрі. Різними параметрами та розділам слід приділяти особливу увагу, бо пошкодження реєстру може призвести до втрати всіх важливих даних.

Запускати стандартний редактор реєстру regedit.exe від імені адміністратора. Його можливостей вистачить для грамотної установки. В першу чергу, зайди під вкладку «HKLM \ software \ Microsoft \ Windows \ Current Version \ Run» та побач, що там живуть лише довірені програми. Звичайно, якщо ти тільки що поставив систему (або постійно моніторити список автозавантаження), хвилюватися не про що. Зайди в меню «Правка -> Дозволи» і здіймеш права зі свого логіна. Тепер, навіть при великому бажанні, запущені від тебе троянцы НЕ пропішутся в автозавантаження. Те ж саме проробляти з розділами Run Once і Run Services в HKLM і HKCU.

cmd під ударом

Різна Хакерська нечисть намагається запустити cmd.exe для віддаленого управління системою. У тебе ніколи не було бажання перешкодити цьому? Саме час перейменувати cmd.exe на довільне ім'я. Назви його, скажімо, cmx.exe. Не забувай, що копія інтерпретатора знаходиться в c: \ windows \ dllcache \ cmd.exe, і її також потрібно перейменувати. Але це ще не все. Тепер Закрепи всі зміни в реєстрі та не дай хакеру ні найменшого шансу:). Зроби так, щоб, якщо хакер намагається звернутися до cmd.exe, замість Шелл запускався звичайний блокнот, поява якого буде сигналом про небезпеку. Перейди на вкладку «HKLM \ Software \ Microsoft \ Windows \ Current Version \ App Patch», создай там вкладений розділ cmd.exe і зміни значення параметра дефолтового на шлях до блокнот. Тепер спробуй запустити cmd.exe;).

Не секрет, що хакери люблять сканувати мережі на предмет расшаренних ресурсів. Якщо у тебе є загальні папки користувачів, варто замислитися над резонне запитання, чи потрібно світити список куля назовні. Можна відключити NULL-сесію, тобто відображення загальних папок для анонімних користувачів. Зайди у вкладку «HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa» і виставимо значення 1 у строкового параметра RestrictAnonymous. Тепер, щоб побачити список расшаренних каталогів, потрібно залогініться під системним юзером.

Часто буває, що троянець записує в файл hosts посилання виду «microsoft.com hacker-ip-address». Після звернення до сайту MS на комп'ютер жертви заливається ще один троян (як правило, через дірку в браузері). Щоб цього не сталося, зміни місцезнаходження файлу hosts (і lmhosts). Це можна зробити в розділі «HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters2 - смени значення DataBasePath на інший шлях.

Локальна безпека понад усе

Погодьтеся, що якщо на твоїй машині живуть ще й інші користувачі, гріх не обмежити їх у можливостях. Для цього необхідно замутити локальну політику безпеки. Заходи в «Адміністрування» і вибирай відповідний розділ. Тут ти можеш поставити обмеження на доступ до расшаренним ресурсів, заборонити юзером вирубують XP, відключити можливість звернення до реєстру і багато чого іншого. Хочеш більшого? Зовсім необов'язково викачувати какой-нибудь функціональний твікер, достатньо запустити скрипт групової політики gpedit.msc. Він допоможе здійснити заборона до вкладки стартового меню, панелі управління і багатьом іншим речам. Тут же ти можеш заборонити запуск файлів з довільними назвами та розширеннями, а також взагалі закрити локальний вхід. Все в твоїх руках:).

Без шансів

Look #62