— Гость (27/02/2013 23:31)   
Безопасная настройка Windows 7:

• Шаг 1: изучить лин.
• Шаг 2: снести вин.
• Шаг 3: установить нормальный дистр лин без рюшечек и privacy-unfriendly-фич (можно выбрать Debian, например).
• Шаг 4: настроить лин под себя и свои нужды с пониманием сути происходящего.

Всё, на этом безопасная настрока Windows 7 завершена. Всего 4 простых шага.

— Гость (27/02/2013 23:39)   
Чем богаты, тем и рады^[link1]. Это всё, что есть по теме. Слишком экзотическая ОС, чтобы было больше.

— Гость (28/02/2013 08:19)   
Большое спасибо товарищи что отписались,это все очень хорошо,жду еще "эстетов" в теме.

— unknown (28/02/2013 10:28, исправлен 28/02/2013 10:29)   

Не говоря за всех, но здесь мало кто пользуется Win. Пользователям, заботящимся о своей приватности, рекомендуется свободное ПО. Пользователи альтернативных по отношению к свободным ОС могут ждать советов по большей части разве что от троллей или в лучшем случае отстаться без ответа.

— Гость (28/02/2013 11:10)   
ради объективности:

Уязвимость в ядре Linux^[link2]
волна взломов серверов на базе Linux^[link3]

— Гость (28/02/2013 11:11)   
"Linux Foundation заявила о дефиците специалистов по разработке Linux"

— Гость (28/02/2013 11:53)   

волна взломов серверов на базе Linux

Это не объективность, там судя по форумам закончилось тем, что нашли кейлогера на вин машине пользователя путти.

— Гость (28/02/2013 12:47)   
Что скажите об этом debian https://tails.boum.org/index.en.html стоит ли доверять?Жду пользователей windows с годными советами и предложениями.

— unknown (28/02/2013 13:26)   
Поищите его обсуждения, которые неоднократно возникали в форуме.

— Eridan (28/02/2013 13:55, исправлен 28/02/2013 14:03)   

Для начала вам придется привыкнуть доверять программ, потому что никакой проверки большинство не проходило. Выбрать максимально распространенные, такие даже при закрытом коде попадают в руки хороших программистов и шанс на обнаружение трояна высок поэтому обычно трояны встраивать стесняются.

1. COMODO https://www.pgpru.com/chernowi.....ojjki/comodofirewall^[link4]

2. Постоянно мониторить с помощью проактивной защиты все процессы (но это гемор).

3. Настроить песочницу и использовать.

4. Отключить автозагрузку с флэшек.

Для отключения автозагрузки карт памяти, флеш-накопителей и дисков в командной строке наберите gpedit.msc. Откроется окно «Групповая политика», в котором щелкните левой клавишей мыши по компоненту «Конфигурация компьютера». Затем нажмите последовательно «Административные шаблоны» – «Система» – «Отключить автозапуск». Теперь вы можете отключить автозагрузку флешки или диска.

5. Поставить антивирус, которому доверяете. На Windows без этого никак. Наверное лучший это nod.

6. Использовать твикеры:
а) xp-AntiSpy – закрывает лазейки.
б) GIGATweaker – тоже гляньте.
в) Autoruns – контроль автозагрузки.
д) Есть еще куча твикеров например TrashReg – поиск и удаление счетчиков, в том числе триалов.

7. Для truecrypt есть инструкция по шифрованию диска. Создается 2 ОС – одна обманка "чистая", вторая основная.
Что то типа этого http://www.mmouse.ru/2010/04/0.....ozdayom-skrytuyu-os/^[link5]
можно погуглить и другие инструкции.

8. При необходимости пускать весь трафик через Tor (в том числе и uTorrent, хотя для сети Tor это вредно, но хоть попа в тюрьме не будет):
а) Используя privoxy – там где программы поддерживают прокси.
б) Используя Advanced Onion Router – где нет.
http://forum.ru-board.com/topi.....opic=34633&start=440^[link6]
(как вариант можно поискать проксификатор которому доверяете)

9. Настроить firefox и при необходимости TorBrowser. Для анонимности настройки лучше не менять, но работать повседневно на чистом TorBrowser не удобно.
https://www.pgpru.com/soft/rasshirenijafirefox
https://www.pgpru.com/soft/ras.....firefox/rekomendacii^[link7]

10. Что ставится на windows, совет продвинутого пользователя:

1. Поставить.
2. Программой Xp-Anti-Spy поотключать лазейки.
3. GIGATweaker – настроить под себя.
4. Поставить фаервол COMODO.
5. Поставить антивирус.
6. Запустить партативный софт и некоторый добавить в автозагрузку
7. Поставить Total comander Power User с программами на все случаи жизни http://rutracker.org/forum/viewtopic.php?t=2196256
8. Запустить SlimDriver – автоматический поиск и установка самых новых версий драйверов (но лучше качать и ставить с официального сайта).
9. Еще .NET Framework поставить, directX, PhysX, Word, Photoshop, Adobe Integrated Runtime (AIR), vcredist_x86 – библиотеки Microsoft Visual C++ 2010 (x86), офис какой-нить

11. Сам я с групповыми политиками не знаком, но рекомендую покопаться с ними и правами пользователя.

12. Выбирать программы с открытым кодом, шифрованием и отсутствие всяких привязок к фэйсбукам/вконтактам/гуглу.
Если например выбираете переводчик, то только оффлайн.
Много open source программ есть только под linux, можно использовать Cygwin https://ru.wikipedia.org/wiki/Cygwin для их запуска под windows.

— Гость (28/02/2013 14:08)   
Одного человека^[link8] как-то раз посещала умная мысль, которую он застенчиво высказал мелким^[link9] шрифтом. Но на него сразу же все зашикали. Если у него хватит смелости реализовать ее, тогда сексменьшинства этого форума смогут все разумное, доброе, вечное^[link10] собирать в одном месте. Писать же советы в недружественные разделы форума, большого смысла нет, как и задавать в них вопросы. Возможно тогда и ntldr^[link11] перестанет отмалчиваться^[link12]. Давайте попросим Дедушку Мороза создать нам такой раздел.

— Гость (28/02/2013 14:13)   

Много open source программ есть только под linux

Это не верно^[link13].

— Гость (28/02/2013 14:24)   
Вот спасибо так спасибо,отлично расписали.Может еще кто-нибудь пояснит что можно отключить или нельзя и стандартных приложений и сервисов windows.Вот нашел скудное описание.

Потенциально-опасные службы, которыми может пользоваться злоумышленник
RemoteRegistry (Удаленный реестр) – служба отвален управления реестром
NetMeeting Remote Desktop Sharing (mnmsrvc) – служба позволяет удаленное управление рабочим столом
Telnet – удаленное подключение при помощи командной строки
RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Определение оборудования оболочки (Shell Hardware Detection) – позволяет автозапуск с флешек
Сетевой вход в систему – позволяет выполнить вход в систему через сеть
TermService Службы терминалов – позволяет удаленно подключаться к компьютеру
SSDPSRV (Служба обнаружения SSDP) – служба поиска UPnP устройств в сети
Schedule (Планировщик заданий)
Messenger (Служба сообщений)

Если Вы явно ими не пользуетесь, то рекомендую их отключить. Отключаются они через службы в администрировании:
Пуск => Выполнить, пишем Control admintools, нажимаем Enter => Службы и отключаем перечисленные.
Или можно легче.
Пуск => Выполнить, пишем msconfig, вкладка Службы

— Гость (28/02/2013 18:56)   
Bolgenos + Антивирус Immunele от Бабушкина.
Вот так бывает, накатаешь простыни на полстраницы, а тебя митмють с 64.237.42.138. кэш обнулился, заново набирать не охота. Извините. Выше основы и так написаны.

— Гость (28/02/2013 21:23)   
еще отрубить учетную запись Администратор и Гость.
и пользоваться UAC.
запускать приложения согласно профилям работы (типа как в Qubes) от разных не привилегированных пользователей, если не требуется запуск от имени Админа.

— Гость (28/02/2013 21:27)   

Много open source программ есть только под linux
Гость
Это не верно.

На http://portableapps.com/ есть и программы с закрытыми исходниками и "много" это значит много, а не все.

— Гость (28/02/2013 21:42)   

еще отрубить учетную запись Администратор и Гость.
и пользоваться UAC.
запускать приложения согласно профилям работы (типа как в Qubes) от разных не привилегированных пользователей, если не требуется запуск от имени Админа.

Можно это более подробно раскрыть,если не затруднит

— Konstantine (28/02/2013 22:24)   
Интересная тема, можно и обсудить.
Вы не указали конфигурацию своей сети, версию системы, битность сборки.
Могу временами кидать сюда несистематизированную инфу на примере своей системы.
PS: Настроена давно, поэтому все будет в разнобой.

— Konstantine (28/02/2013 22:43)   
1. Справка и поддержка – Поиск в справке – Отключение параметров, рекомендуемых во время установки Windows

— Konstantine (28/02/2013 22:44)   
2. Справка и поддержка – Параметры – Параметры – Настройка справки – снять флажки

— Konstantine (28/02/2013 22:45)   
3. Панель управления – Центр обновления Windows – Настройка параметров – Не проверять наличие обновлений (не рекомендуется)
Запускайте поиск вручную и устанавливайте обновления после прочтения описания обновления

— Konstantine (28/02/2013 22:45)   
4. Никогда не устанавливайте Средство удаления вредоносных программ

— Гость (28/02/2013 22:52)   
Напишу в ближайшее время некоторые отправные точки, добавлю поправки к вышеприведенным комментариям и пр. Себя специалистом не считаю. Хотя интересуюсь тематикой ИБ применительно к Винде в том числе.

Считаете это аксиомой? Как минимум наполовину. Антивирус не нужен.


Уязвимости сами по себе не критичны. Плохо, когда их эксплуатриует ББ или слоумышленник злоумышленник. К тому же Майкрософт – это младший брат большого брата. Но ничего, из танка утюг можно сделать, наоборот нельзя.
Винда как ОС для анонимности и безопасности подходит. Кто бы что ни говорил. Просто уровень будет ниже, чем при использовании альтернативных свободных ОС.
Еще момент. Не столь важно "что" используешь, сколь важно "как".
Человеческий фактор – главная угроза ИБ и анонимности. Куда критичней, чем технические аспекты.
И еще. Если Линух плохо знаете, а Винду лучше, лучше работать в ней, в Винде. Собственный ранний опыт.
При сборке "анонимной Винды" лучше потестить ее с недельку-месяц, снимая и анализируя траф, мониторить процессы и соединения, целостность системных файлов и реестра. Работать с ограниченной в правах учетки. Убрать хлам типа ВМплееров и прочего скама. Закрыть доступ в сеть всем приложениям кроме нужных. Убрать из системы все лишнее. Обновления добавлять мануально и выборочно. Не все заплатки одинаково полезны.
Звонят в дверь. Всем пока, за мной пришли, видно что-то упустил;)

— ressa (28/02/2013 22:53)   
Интересно, что вообще людей держит в винде, ну если они конечно не реверсеры. Хотя и те под виртуалкой реверсят.

— Гость (28/02/2013 22:56)   
Konstantinewindows 7, ultimate 64 например,версия и разрядность в 7 наверно не так пренципиальны

— ressa (28/02/2013 22:58)   
Добавил опрос на тему использования винды и посещения данного ресурса. Переходим на главную и голосуем. Подведем итоги для статистики, а то только одни холивары.

— Гость (28/02/2013 23:11)   
1. Отключение учетных записей.
– запускаете Управление компьютером (потребуются административные права).
– локальные пользователи и группы: выбираете Потзователи.
– ПКМ на учетной записи Администратор (встроенная учетная запись) – выбираем Свойства – Общие – Отключить учетную запись.
– аналогично с Гостем
2. Включение UAC
– Панель управления -> Учетные записи пользователей -> Изменение параметров контроля учетных записей (UAC) -> Выбор из 4 вариантов.
– рекомендую: Всегда уведомлять
3. Запуск приложений по профилям
– определяете перечень задач и разбиваете на группы (работа, банк, игры, инет и т.д.)
– создаете учетные записи пользователей для каждой группы
– определяете для каждой группы перечень программного обеспечения, которое будет запускаться из под пользователя этой группы.
– работаете либо в профиле пользователя, либо при необходимости запуска приложения из другой группы (всякое бывает), используйте Shift+ПКМ -> в контекстном меню "Запуск от имени другого пользователя".

пункт номер 3 может быть реализован как в Qubes, т.е. путем запуска для каждой группы задач своей Гостевой системы в вирт машине. придупреждаю, в Винде для этого потребуются значительные ресурсы, если только вы не будете в качестве Гостя использовать unix систему.

если много времени и сил)) можно попробовать через Xenolinux (создать самому подобие Qubes) установить Win-гостей по группам. Xen должен уменьшить требования к ресурсам. об этом можно посмотреть Здесь^[link14]

— Konstantine (28/02/2013 23:44)   
2ОП
От версии зависит набор лишних служб, которые придется отключать. От разрядности – установка неподписанных драйверов, наличие или отсутствие сборок нужных Вам программ, способ запуска программ с отличающейся разрядностиью, структура папок файловой системы. От способа активации – исключение из установки некоторых обновлений и степень риска перезаписи загрузчика ТС некорректными модулями программ активации.

— Konstantine (28/02/2013 23:45)   
5. Панель управления – Центр управления сетями и общим доступом – выбирайте Общественную сеть
Если не планируете соединять домашние компы в локальную сеть

— Konstantine (28/02/2013 23:46)   
6. Панель управления – Центр управления сетями и общим доступом – Изменить дополнительные параметры общего доступа
Отключить сетевое обнаружение
Отключить общий доступ к файлам и принтерам
Отключить общий доступ к общим папкам
Отключить потоковую передачу мультимедиа
Использовать 128-битное шифрование
Включить общий доступ с парольной защитой
Не разрешать Windows управлять подключениями домашней группы

— Konstantine (28/02/2013 23:47)   
7. Панель управления – Центр управления сетями и общим доступом – Изменение параметров адаптера – Свойства адаптера
Отключить Клиент для сетей Microsoft
Отключить Службу доступа к файлам и принтерам сетей Microsoft
Отключить Протокол Интернета версии 6
Отключить Драйвер в/в тополога канального уровня
Отключить Ответчик обнаружения топологии канального уровня

— Гость (28/02/2013 23:51)   
В win7 учетная запись администратора уже изначально ограничена на уровне токена. Фактически даже у администратора он уже весьма куцый. Именно это и приводит к срабатыванию UAC, когда приложение запущенное пытается воспользоваться администраторскими привилегиями. Именно по этому даже работая под учетной записью входящей в группу администраторов приходится ряд приложений запускать явно указав системе, что именно сейчас это приложение надо "запустить из под админстратора".
Однако, всё равно имеет смысл работать из под учетной записи обычного пользователя.

Установка антивирусов полезна не только сама по себе, но и в том случае если они совмещены с файерволом. Такие пакеты ловят не только попытки взлома браузера при посещении сомнительных сайтов, но и блокируют некоторые кукисы – "tracking cookie".
Хороший антивирус всегда содержит в себе IDS и потому позволяет создавать правила не только на сетевую активность приложений, но и для контроля куда именно лезут в системе. На предмет чтения/изменения данных о пользователе, конфигурации в ветках реестра или попытки доступа к системным файлам.

Нет смысла полагаться сугубо на настройки групповых политик в плане запрета автозапуска всякой хрени со сменных носителей (типа cd/dvd/blueray дисков и usb mass storage девайсов, сродни флешек, карт памяти), т.к. настройки могут быть изменены тихой сапой в ходе установки какого-нибудь из обновлений. Антивирусы же подходят именно как дополнительный уровень контроля. В том числе позволяют не только запретить автозапуск, но можно в них вообще запретить запуск каких либо приложений со сменных носителей. При этом профиль настроек антивируса для разных пользователей системы может быть разным. Например, при логоне под аккаунтом жены система сама по себе, да и антивирус будут запрещать практически всё, что только можно. А из под аккаунта мужа – будет уже несколько другой колленкор.

Настройки обновления имеет смысл выставить в "загружать, но сам решу когда устанавливать" или "не загружать автоматически". В таком случае система будет оповещать о выходе обновлений, но у пользователя будет возможность устанавливать лишь то, что сочтет нужные.

Учетная запись Гость нужна для возможности захода на сетевые шары этого компьютера без логина. При этом, у Гостя может быть отключена возможность интерактивного логона на машину. Т.е. ни по RDP, ни физически сев за машину никто не сможет использовать Гостя.

Если нет доверия к какому-то приложению, то его можно запустить из под специальной сильно ограниченной учетной записи. Зажимаем shift + правая кнопка на мыши – будет видно более расширенный вариант меню, с пунктом "Run as different user".

Ну вроде на первое время должно хватить, дальше уже нужно более детальное погружение.

— Гость (01/03/2013 00:05)   

Учетная запись Гость нужна для возможности захода на сетевые шары этого компьютера без логина

а зачем это нужно? необходимо явно указать кому и как разрешен доступ к расшаренным ресурсам. автоматика здесь неуместна. если уж говорить фундаментально о защите компа.

— Гость (01/03/2013 00:07)   

то его можно запустить из под специальной сильно ограниченной учетной записи

врядли это сильно ущемит приложение. скорее всего эффективно запустить его в песочнице из под пользователя с ограниченными правами.

— Konstantine (01/03/2013 00:13)   
8. Если Вы под юзером (а иначе и быть не должно), то Запуск от имени администратора – C:\Windows\system32\gpedit.msc
Конфигурация пользователя – Административные шаблоны – Меню Пуск и Панель задач
Не хранить сведения о недавно открывавшихся документах
Удалить меню Недавние документы из меню Пуск

Затем удалить все прежние ярлыки из
C:\Users\%USERPROFILE%\Recent

— Гость (01/03/2013 00:16)   
Konstantine (28/02/2013 23:46)
6. Панель управлени

имхо, сказанное в этом пункте справедливо, если включена учетная запись Гость. в таком случае допускается автоматический доступ к расшаренным ресурсам и справедливо, как вы пишите, рубить это все. НО если Гостя убрать, то к расшаренным ресурсам просто так не доберешься.

— Гость (01/03/2013 00:19)   

Удалить меню Недавние документы из меню Пуск

коль пошла такая пьянка, то вы достигнете неотображение явное, но здесь Recent все ссылки будут видны.

— Гость (01/03/2013 00:20)   
ЗЫ пардоньте ((((( не дочитал

C:\Users\%USERPROFILE%\Recent

еще раз сорри.

— Гость (01/03/2013 00:23)   
IPv6 можно вырубить как в Свойствах адаптера, так и целиком в системе.

— Гость (01/03/2013 00:28)   

7. Панель управления

есть смысл ОБЯЗАТЕЛЬНО оговариваться в каких случаях это отрубать. если пользователь возьмет предложенное бездумно, могут возникнуть проблемы в существующей локальной/домашней (если существует) сети.
наверно лучше оговорится изначально, что компьютер не является частью локальной/домашней сети и имеет прямое подключение к инету. есть ведь еще разные сетевые устройства, через которые возможен доступ к инет.

— Гость (01/03/2013 00:39)   

Учетная запись Гость нужна для возможности захода на сетевые шары этого компьютера без логина

Автоматика лишь в том, что это банальный автологон на те шары, которые были оттопырены с компа с правом доступа "для всех". Например, так может быть оттопырена папка с видео файлами. Дабы можно было скаченное с торрентов смотреть с ноута или планшета в другой комнате. Не вводя каждый раз имя пользователя и пароль.

то его можно запустить из под специальной сильно ограниченной учетной записи

Очередной линуксойд пытающийся что-то вещать относительно ОСь в системе безопасности которой не разбирается? Ну так сходи поучи, что такое MAC/DAC, ACL, ACE и как это используется в windows'ах.

— Гость (01/03/2013 01:07)   

Автоматика лишь в том

понеслись частности и оговорки. ну тогда нечего отключать Удаленный рабочий стол, а вдруг это кому то надо. да и про профилирование можно забыть, так же как и о UAC, если комп используется как игровая приставка или печатная машинка.. ну и т.д.

— Гость (01/03/2013 01:20)   
ну вот что за люди такие.. сразу хамить.

Ну так сходи поучи

не говорите что мне делать и я не скажу куда вам идти.

по поводу MAC/DAC, конечно знаю и вам советую почитать^[link15]
и что вы хотите сказать что в Линуксе нет аналога ACL? ))) даже в Маках есть.
дальше продолжать расшифровывать аббревиатуры? ))) смешно.

— Гость (01/03/2013 01:30)   
Konstantine, интересно излагаете.
В особенности, 1 комментарий = 1 пункт.
Наверное, лучше от общего к частному, чтобы детали вытекали из общей картины. И компрессию увеличть, хотя бы до 10 пунктов на 1 камент. Но это так, личное видение вопроса.


Думаю, лучше вот так: Установка фаерволов не только полезна сама по себе, но и в том случае, если в них есть модуль проактивной защиты.


При таком подходе лучше сразу чисто сердечное написать.
Один комп, ноут, телефон – один пользователь.


Его не надо запускать вообще.
Ребята, эксперименты и тесты делаются на тестовых машинах. В работе импровизация подобного рода явно лишняя.


Как-то не очень стыкуется с анонимностью и безопасностью. Торренты, видео, шары, wi-fi в общем случае.

— Гость (01/03/2013 01:58)   
имхо, если говорить в общем случае о безопасности и о рядовом пользователе, коими являются, грубо, более 80 % всех пользователей ПК, то размышлять об установке антивируса и файервола неуместно. для означенных пользователей они нужны 100%, даже с настройками по умолчанию (!) ибо, практически все эти пользователи сидят под учеткой Administrator.

— Гость (01/03/2013 02:25)   

Смешно – это когда с умным видом несут откровенную ахинею вальяжно так постукивая себя пяткой в грудь.
Тебе же дали понять, что коли не знаешь – так и не лезь к людям со своими суждениями.
Ежели не разбираешься в возможностях и реализации разграничения доступа на windows'ах – так сходи хотя бы почитай про то на базе каких моделей и как это реализовано. И пока не разберешься с работой ACE в SACL, DACL и тем что такое MIC, то и не фиг встревать в разговоры по вопросам настройки windows'ов.

— Гость (01/03/2013 03:04)   

так и не лезь к людям со своими суждениями

кто здесь люди то? ты что ль чел? нагуглил букв иностранческих и думаешь что понимаешь что то?? умный не показывает, что умный. а болван – щеки надувает )) наличие мозгов оценивают другие или ты продиагностировал их наличие у себя в черепе?? )) ты ошибаешься юнец!!
пля все такие блатные и крепкие, когда за 1000 км перед монитором, а в натуре плевком перешибить можно)))
иди настраивай мозг на позитив! клоун..

— Гость (01/03/2013 05:07)   

Чудило, не позорил бы линуксячью тусовку. Ведь именно ложка дёгтя в лице таких имбецилов и портит впечатления от всей этой вашей тусовки.

И сходи всё же почитай – разберись с тем, что прячется за упомянутыми буковками.
Хотя бы знать будешь, почему вояки штатовские с госдепом столько лет сидели целиком и полностью на WindowsNT. Категорически отказываясь как либо пользоваться линухами. До тех пор, пока штатовское АНБ не создал то, что ныне зовется SELinux.

— Гость (01/03/2013 12:34)   
Товарищи при всем уважении,давайте пока не будем затрагивать линукс,а поговорим про виндовс7

— Гость (01/03/2013 13:09)   

И пока не разберешься с работой ACE в SACL, DACL и тем что такое MIC, то и не фиг встревать в разговоры по вопросам настройки windows'ов.

Расскажите про это. Это как раз по теме, автор топика спрашивает в том числе и про это.

— Гость (01/03/2013 14:04)   

митмють с 64.237.42.138

Этот перец митмит всё. Прервал удовольствие от чтения лора. Сертификат свой подписывает неким виртуальным "Main Authority" УЦ из Невады.

— Гость (01/03/2013 21:42)   

Расскажите про это

да он сам не знает про это. причем половина этого, может и не относится к локальной машине ))) пис доо бол.. мир дверь мяч!

— Гость (01/03/2013 21:47)   

Этот перец митмит всё

о чем вы? вроде здесь об этом не писалось.

— Гость (01/03/2013 23:08)   

причем половина этого, может и не относится к локальной машине )))

Типичный образчикк воинствующего имбецила-линуксойда. Конечно же предпочтет анонимно материться на форуме, вместо того чтобы понять почему его любимый линух столько лет уже толчется возле параши.

Расскажите про это. Это как раз по теме, автор топика спрашивает в том числе и про это.

Рассказывать о средствах имеет смысл, когда обозначены задачи. Если топикстартер так и не обозначил задачи, то как он поймет какие средства ему следует использовать и как именно?
Когда дома обычная локальная сетка, компы которой ходят в интернет через роутер – это один расклад. Нежели когда один комп, с воткнутым в него евернет кабелем провайдера.

Это же всё со времен 4-ой NT почти никак не менялось, в 2000-ой лишь чутка расширилось. Да начиная с vist'ы только что-то более менее новое стало появляться(песочница/уровни, UAC).
И в конечном итоге все действия по настройке сводятся к тому, чтобы создать несколько аккаунтов, распихать их по группам. После этого ограничить права доступа к объектам(DACL). Включить аудит на факты доступа к этим объектам(SACL). Так, чтобы в евентлоге были записи как об успешных, так и неуспешных попытках. Закрались подозрения или что-то не работает – пошел смотреть в эвентлоге – кто, когда и куда лез.
Групп полиси и группы аккаунтов крутить надо на тот предмет, чтобы в токенах запускаемых процессов не было потенциально опасных пермисий. Поскольку ими определяются полномочия на ряд действий в системе. Помнить, что у пермисии три состояния – либо она есть в токене, либо нет. Когда есть, то либо включена, либо выключена.
Чтобы при ползанье по интернетам дырявым браузером с дырявыми плагинами уязвимости выполнения произвольного кода не смогли привести ни к утечке/удалению чувствительной информации, ни тем более к заражению системы.

В любом случае держать DEP включенным, не забывать чистить не только обычные кукисы, но и те которые flash cookie.
Знать что получается в результате сложения прав доступа на шаре и объектов файловой системы, ради доступа к которым она оттопырена.
Помнить что аккаунт Local System имеет больше полномочий, чем мемберы группы локальных администраторов. Однако при этом не имеет пермисий для какой либо сетевой активности и именно потому ряд сервисов вращаются из под Network Service. И как посмотреть разницу его полномочий с теми, что наделены самостоятельно созданные аккаунты.

— Гость (02/03/2013 04:18)   
/comment61371^[link16]:

Давайте попросим Дедушку Мороза создать нам такой раздел.

В сети были какие-то сайты по составлению петиций. Предлагаете устроить голосование? Так вроде оное уже имело место, поглядите архив опросов.

Возможно тогда и ntldr перестанет отмалчиваться.

Не перестанет. У каждого в жизни наступает момент, когда он перерастает возраст, при котором ещё пишут абстрактным анонимам на абстрактных форумах чисто ради абстрактных идей.

Вот так бывает, накатаешь простыни на полстраницы, а тебя митмють с 64.237.42.138. кэш обнулился, заново набирать не охота.

F5 же...^[link17]

Добавил опрос на тему использования винды и посещения данного ресурса. Переходим на главную и голосуем

Судя по результатам некоторых опросов, половина здешних голосующих вообще на сайт впервые только что наткнулась и решила вдруг проголосовать.

/comment61407^[link18]:

Удалить меню Недавние документы из меню Пуск

Пипец! Если из менюшки что-то перестало быть видно, значит, оно действительно безпасно исчезло с ПК? От младшей сестры защищаетесь, которая всё, что может — это по окошкам щёлкать?

И пока не разберешься с работой ACE в SACL, DACL и тем что такое MIC, то и не фиг встревать в разговоры по вопросам настройки windows'ов.

А я должен на честное слово верить, что оно именно так и работает, как в рекламных документах написано? Код-то есть, чо? Куда смотреть в исходниках?

Хотя бы знать будешь, почему вояки штатовские с госдепом столько лет сидели целиком и полностью на WindowsNT. Категорически отказываясь как либо пользоваться линухами. До тех пор, пока штатовское АНБ не создал то, что ныне зовется SELinux.

А ссылку на это событие можно посмотреть? В WindowsNT было столь инновационное умное изобретение, как SeLinux? Или что-то, являющееся его точным аналогом? :) Вам самому не смешно?

Рассказывать о средствах имеет смысл, когда обозначены задачи. Если топикстартер так и не обозначил задачи, то как он поймет какие средства ему следует использовать и как именно?

Верите, что ваш ритуал настройки действительно помогает?

Чтобы при ползанье по интернетам дырявым браузером с дырявыми плагинами уязвимости выполнения произвольного кода не смогли привести ни к утечке/удалению чувствительной информации, ни тем более к заражению системы.

Возможность заражения винды уже преодолена? Вирусов и троев больше не существует? Не знал.

— Гость (02/03/2013 05:19)   

А я должен на честное слово верить, что оно именно так и работает, как в рекламных документах написано? Код-то есть, чо? Куда смотреть в исходниках?

С умным видом листать сорцы может любая обезьяна, которая с трудом себе представляет во что на самом деле они собираются и как на самом деле это работает. Так что смотреть имеет смысл лишь листинги дизасма.

А ссылку на это событие можно посмотреть? В WindowsNT было столь инновационное умное изобретение, как SeLinux? Или что-то, являющееся его точным аналогом? :) Вам самому не смешно?

Внимание на дату выхода NT4 и изучаем что в нем уже было на тот момент. После этого будет откровенно стыдно смотреть на основную ветку своего столь горячо любимого линуха и не только тех годов, но и вообще до 2008-го года. Линух всегда отставал и даже не на десять лет. И тенденция такого отставания продолжает сохраняться – то в одних вопросах, то в других. Крайне куцая и убогая подсистема безопасности в нём отнюдь не исключение, а один из множества примеров.
Как бы дауншифтеры не хвалились своей свободой, но их пища из мусорных баков как была, так и останется всего лишь объедками.

А троянцы с руткитами – они везде есть, вот недавний шухер на линухах http://www.securitylab.ru/news/438088.php

— Гость (02/03/2013 06:03)   

С умным видом листать сорцы может любая обезьяна, которая с трудом себе представляет во что на самом деле они собираются и как на самом деле это работает.

Из 100 обезьян есть вероятность, что найдётся одна более внимательная, квалифицированная и непредвзятая, которая что-то найдёт, раструбит и всем расскажет. Кстати, о том, как фатальные баги в винде не фиксились годами, несмотря на багрепорты, вы, наверное, в курсе.

Внимание на дату выхода NT4 и изучаем что в нем уже было на тот момент.

Не уходите от поставленного вопроса. Я вас попросил подтвердить ссылкой ваши слова о том, что госдеповские сидели долгое время на NT именно из-за отсутствия в линухах SeLinux, а не из-за чего-либо ещё. Т.е. я прошу подтвердить как сам факт, так и причину ссылками на источники такого мнения.

Линух всегда отставал и даже не на десять лет. И тенденция такого отставания продолжает сохраняться – то в одних вопросах, то в других.

Замечательно. Значит, вы можете местной публике ответить на ряд волнующих её вопросов в плане возможностей винды. Скажите, как фильтровать трафик в зависимости от юзера? Я хочу всё пакеты от учётной записи «аноним» слать на один VPN-сервер, а от другой учётной записи — напрямую (или на другой VPN-сервер). Как это сделать? Как сделать раскраску трафика? Какой встроенный firewall это умеет, и где я могу об этом прочитать? Умеет ли винда из коробки делать простейший port forwarding и nat?

— Konstantine (02/03/2013 10:13)   
9. Отключение IPv6 в Windows 7 (haltIPv6.reg)

Windows Registry Editor Version 5.00 ;Файл сценария Реестра (.reg-файл) ;Отключение некоторых компонентов протокола IP версии 6 в Windows 7 ;Создание параметра DisabledComponents ;Задание значения 0xffffffff, чтобы отключить все компоненты IP версии 6, кроме интерфейса замыкания на себя [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters] "DisabledComponents"=dword:ffffffff ;Варианты значений параметра: ;Значение 0x20, чтобы использовать в политиках префикса IP версии 4 вместо IP версии 6 ;Значение 0x10, чтобы отключить собственные интерфейсы IP версии 6 ;Значение 0x01, чтобы отключить все туннельные интерфейсы IP версии 6 ;Значение 0x11, чтобы отключить все интерфейсы IP версии 6, кроме интерфейса замыкания на себя ;Значение 0, чтобы ВКЛЮЧИТЬ все компоненты IP версии 6 ;Значение "0" используется по умолчанию ;Примечания: ;Использование других значений (кроме 0x0 или 0x20) может вызвать сбой в работе службы маршрутизации и удаленного доступа ;Чтобы изменения вступили в силу, необходимо перезагрузить компьютер ;Проверка эффекта ;ipconfig

— Konstantine (02/03/2013 10:15)   
Есть маленькая просьба к членам группы "модераторы".
Не сочтите за труд.
Не хотелось бы чтоб нитка ушла в бамплимит в таком виде.

— Eridan (02/03/2013 10:32)   
Konstantine
Предлагаю постить сюда (жмите на значок карандаша в верхнем левом углу) — https://www.pgpru.com/chernowi.....ostiwindows#h61483-2^[link19]

— Konstantine (02/03/2013 12:38)   
Займемся локальной групповой политикой

Если Вы под юзером (а причин быть под админом у Вас просто нет), то ПКМ на файле и Запуск от имени администратора
C:\Windows\System32\gpedit.msc

Посмотреть результирующую политику после внесения всех изменений аналогичными действиями на этом файле
C:\Windows\System32\rsop.msc

PS: Ни одна учетка на машине не должна иметь пустого или словарного пароля. Diceware^[link20] в помощь. 12 английских слов будете набирать без бумажки уже через 3-5 дней активного юза.

— Konstantine (02/03/2013 12:39)   
10. Конфигурация компьютера – Административные шаблоны – Компоненты Windows – RSS-каналы
Отключить синхронизацию веб-каналов и веб-фрагментов в фоновом режиме
Отключить загрузку вложений
Отключить добавление и удаление веб-каналов и веб-фрагментов
Отключить обнаружение веб-каналов и веб-фрагментов
Отключить список веб-каналов

— Konstantine (02/03/2013 12:39)   
11. Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Windows Messenger
Запретить запуск Windows Messenger
Не запускать Windows Messenger автоматически при входе

— Konstantine (02/03/2013 12:40)   
12. Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Отчеты об ошибках Windows
Отключить отчеты об ошибках Windows

— Konstantine (02/03/2013 12:40)   
13. Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Проигрыватель Windows Media
Запретить автоматические обновления

— Konstantine (02/03/2013 12:40)   
14. Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Управление цифровыми правами Windows Media
Запретить доступ к Интернету для Windows Media DRM

— Konstantine (02/03/2013 12:41)   
15. Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Защитник Windows
Отключить Защитника Windows

Опционально. При наличии сторонних средств.

— Konstantine (02/03/2013 12:41)   
16. Конфигурация компьютера – Административные шаблоны – Система – Управление связью через Интернет – Параметры связи через Интернет
Отключить программу по улучшению качества программного обеспечения Windows
Отключить отчеты об ошибках Windows
Отключить участие в программе улучшения поддержки пользователей Windows Messenger

— Konstantine (02/03/2013 12:42)   
17. Конфигурация пользователя – Административные шаблоны – Компоненты Windows – Проигрыватель Windows Media
Запретить получение сведений о компакт-диске и диске DVD
Запретить получение сведений о музыкальных файлах
Предотвращение получения настроек радиостанций

— Konstantine (02/03/2013 12:42)   
18. Конфигурация пользователя – Административные шаблоны – Система – Управление связью через Интернет – Параметры связи через Интернет
Отключение программы улучшения справки
Отключить участие в программе улучшения поддержки пользователей Windows Messenger

— Гость (02/03/2013 13:20)   

C:\Windows\System32\gpedit.msc
C:\Windows\System32\rsop.msc

А что делать тем пользователям, у которых этих файлов нет? По крайней мере в версии Home Premium они отсутствуют. Не пиратку же ставить. Где-нибудь есть документация, какие параметры реестра правят все эти настройки?

— Гость (02/03/2013 16:55)   

А что делать тем пользователям, у которых этих файлов нет?

Смотри как открыть через mmc snap-ip

— Гость (02/03/2013 17:14)   
mmc snapip что это?

— Гость (02/03/2013 18:45)   

Не пиратку же ставить.

А чем плохо установить с оригинального образа,и крякнуть общеизвестным "активатором"

— Гость (02/03/2013 20:29)   

mmc snapip что это?

mmc snap-in, http://en.wikipedia.org/wiki/M.....t_Management_Console^[link21]

C:\Windows\System32\gpedit.msc
C:\Windows\System32\rsop.msc

Не надо их искать по полному пути, есть нюансы с расположением и от того как искать и от разрядности ОСи (32 или 64 бита).
Просто жмем на клаве Win+R и запускаем gpedit.msc
Если не запускается, значит имеем дело с урезанной версией винды. Придется идти другим путем:
Win+R и запустить mmc
откроется "Microsoft Management Console"
в меню "File"–"Add/Remove Snap-in" или по же Ctrl+M
и добавляем snap-in ("остнастку") зовущийся "Group Policy Object Editor".
Если же редакция виндоуса настолько урезенная, что этого нет в системе, то можно доустановить – скопирвав с другой машины.
В целом же, то чем Konstantine засрал ветку по большей части довольно спорно. Да и любой нормальный файервол наглухо перекрывает все исходящие соединения с компа.

А чем плохо установить с оригинального образа,и крякнуть общеизвестным "активатором"

Если знаешь что именно в системе делает этот самый активатор и как это сказывается на вопросах безопасности – то пожалуйста. Обычно же никто понятия не имеет какие мотивы были у тех, кто создавал этот активатор. С одной стороны он может решать вопрос активации, а с другой приоткрывать некоторые двери для упрощения создания ботнетов.

— SATtva (02/03/2013 20:57)   
Konstantine, убедительная просьба: пишите ОДИН связный пост вместо той порнографии, которую делали выше. Если и дальше будете составлять пост из одного абзаца/пункта и через минуту постить следующий, придётся принимать меры.

— Гость (02/03/2013 21:44)   
Konstantine
Вот страница, редактируйте:
https://www.pgpru.com/chernowi.....ibezopasnostiwindows^[link22]

— Konstantine (02/03/2013 22:37)   
2SATtva Убоялся страхом великим. OK! Хозяин-барин (но как Вы узнали про порнографию?!) Покоряюсь, хотя и неудобно будет давать прямые ссылки.

19. Пуск – Панель управления – Параметры папок – Вид
Отключить Скрывать расширения для зарегистрированных типов файлов

Защитит от запуска даблкликом зловредного сценария c множеством пробелов в имени файла и измененной иконкой.

Пример имени файла:

"D:\Images\Russian Slut Get Deep Anal.JPG[_на_этом_месте_много-много_пробелов_].vbs"

20. Пуск – Панель управления – Программы по умолчанию – Сопоставление типов файлов или протоколов конкретным программам
Задайте ассоциацию с C:\Windows\System32\notepad.exe вместо Windows Based Script Host для следующих типов файлов:

.vbs
.vbe
.js
.jse
.wsh

Защитит от нечаянного запуска системой зловредного сценария.

21. Полное отключение возможности запуска сценариев в системе. Удалить или переименовать файлы:

C:\Windows\System32\cscript.exe
C:\Windows\System32\wscript.exe

2Гость (02/03/2013 13:20) (извините, не разберу Вашего имени)

С тех пор как В 1996 году Руссинович поймал Майкрософт на халтурке и обнаружил, что разница между настольными и серверными версиями Windows NT заключается в двух записях в системном реестре, игры закончились и теперь за бОльшие деньги продается продукт с действительно большей функциональностью.

С другой стороны, если Вас так беспокоит вопрос лицензионной чистоты, значит Ваша модель угрозы вполне укладывается в уровень защищенности, предоставляемый домашней редакцией. Копание в реестре пользы Вам не добавит, так как объекты групповой политики хранятся в .adm-файлах (также отсутствующих в home), содержимое которых периодически переписывается в реестр. Число строк в данных файлах очень велико, а синтаксис их сложен. Руками Вы свой реестр никогда не улучшите.

Пиратку же ставить и правда не стоит. Если Вы купили home-версию, то скорее всего сделали это вместе с ноутом. Значит у Вас уже есть компьютер, имеющий в БИОС'е SLIC-таблицу версии 2.1. Тогда поставьте лучше pro-версию со стандартными законными (почти) средствами активации, разработанными Майкрософт для подобных компьютеров. Монкрус^[link23] в помощь.

— Гость (02/03/2013 23:18)   

/comment61478^[link24]: Умеет ли винда из коробки делать простейший port forwarding и nat?

Это делается, но пипец, как тупо. Там нет вообще никаких настроек (включено/выключено и всё). Если что-то работает не так как хотелось, ничего нельзя сделать. Например, можно хотеть, чтобы форвардилось только с определенного адаптера, а не с какого попало, или чтобы нат направлял пакеты на определенный адаптер, а не куда Бог положит. А такое не сделаешь, никакие настройки не предусмотрены... Форвардинг принимает соединения откуда попало. В принципе, можно как-то криво сделать через wipfw с жутким набором правил, блокирующих потенциально вредный трафик. Можно сказать, что это общий минус винды: слабая кастомизируемость всего, что связано с низкоуровневой работой tcp/ip-стека, это касается таких вещей, как NAT, таблицы маршрутизации, слаборазвитого фаерволла. Частично это обходится сторонними программами, частично нет.

Еще минус, но это трудно назвать минусом винды, — отсутствие высокопроизводительного серверного софта. Такой софт пишется сразу под никсы, а виндовые порты обычно делают без оптимизации под винду. К пример, nginx под никсами супер-быстрый, а под виндой он вообще ни на что не годен. Apache, правда, под виндой работает более-менее, но он сам по себе тормоз.^* Есть microsoft iis, вроде быстрый, но доверять серверному софту от MS — себе дороже. В принципе, nginx и apache достаточно безопасны, но, если нужно обрабатывать десятки тысяч запросов в секунду, под винду вариант только один — писать свой сервер, чего не приходится делать под никсы, т.к. есть nginx и lighthttpd. И, да, на самом деле, многие большие порталы имеют в составе свои узкоспециализированные сервера (свой сервер, решающий конкретную задачу, может быть на три порядка быстрее).

Ещё одна проблема — отсутствие поддержки современных ФС. NTFS находится примерно на уровне ext4, а в никсах есть куда более современные и актуальные ФС.

^*В apache всё, что можно, настраивается, расширяется, поддерживается, вообще всё, имеется куча разных модулей. Из этого следует толстая архитектура, в которой оптимизация отдана в жертву универсальности.

— Гость (02/03/2013 23:22)   

Покоряюсь, хотя и неудобно будет давать прямые ссылки.

Никто не запрещает сделать через кластеры ссылку на любое конкретное место в wiki-документе. Читайте документацию на wiki.

— Гость (03/03/2013 00:17)   
Konstantine
с 10 по 18: а если параметры не заданы?
тогда что?

— Гость (03/03/2013 03:44)   

походу очередной тролль спецом кидает безграмотные провакационные мессаги. лишь бы на него обратили внимание, начав развеивать его заблуждения.
господа, не стоит на него внимание обращать, авось сам уйдет. иначе опять весь тред засрёте оффтопом.

Konstantine,
не надо трогать Script Host с его wscript/cscript – из под пользовательского аккаунта скрипты мало что могут. да и к тому же есть ведь ещё и netsh, и powershell.

— Гость (03/03/2013 05:23)   
Гость (03/03/2013 03:44), кончай троллить.

— Гость (03/03/2013 15:10)   
Кстати, неплохое дополнение к ПК под любой виндой:легендарная классика жанра^[link25]

— sentaus (03/03/2013 17:29)   

не надо трогать Script Host с его wscript/cscript – из под пользовательского аккаунта скрипты мало что могут. да и к тому же есть ведь ещё и netsh, и powershell.

Да и с учётом наличия обычных exe-файлов это вообще бесползно выглядит. Родной бинарный код в любом случае опаснее скриптов.

— Гость (03/03/2013 17:43)   

В общем интересуют все настройки винды из коробки,которые сами настраиваите,дабы обезопасить себя от уязвимостей,большого брата и злоумышленников

Тебе тут уже правильно сказали, что надо бы вначале обрисовать ситуацию. Мол чего конкретно хотишь. Вот у меня дома один десктоп на win8, ноут и нетбук на winxp home, планшета на winrt(не прижился ipad), пара коммуникаторов и еще один планшет на android'е.

Все это за исключением десктопа ходит в интернет по wi-fi и взаимодействует друг с другом. NAS'а нет, в его роли выступает десктоп.
Каждую из windows'ов приходится настраивать по своему. Во-первых, потому что winxp и win8 солидно различаются. Во-вторых, у нота и нетбука задачи отличаются от тех ради которых используется десктоп.
Домашняя сеть соединяется интернетом через два роутера, в каждом из которых nat и firewall. Так получилось, да и нет повода менять – этот вариант подключения локальных сетей уже везде стал стандартом.

Не существует универсальной настройки. Есть задачи которые ставятся перед компом и настройка делается уже исходя из них.
Для походам в стремные места интернетов можно вообще обойтись виртуальной машиной, которая после выключения ревертится до снапшота. Т.е. жесткий диск которой откатывается до какого-то зафиксированного состояния/образа.

Да и зачастую не столько важна настройка самой windows сколько важен выбор и настройка софта, хотя бы того же браузера.

— Гость (03/03/2013 18:32)   
Модераторы! Исправьте, наконец, ошибку в слове темы "Безопастная"!
Всякие кретины, которые еще даже русский язык не выучили, а лезут туда же, в криптографию, блин :(

— Гость (03/03/2013 20:13)   
Извиняюсь за свою невнимательность,кого это задело,поторопился,пропустил орфографию.

Модераторы! Исправьте, наконец, ошибку в слове темы "Безопастная"!

Свои знания русского языка проявляйте в надлежащих местах,где это уместно.
Насчет этого.

Тебе тут уже правильно сказали, что надо бы вначале обрисовать ситуацию.

Имеется:ноутбук,windows 7 64,интернет адсл,раздается чере роутер wifi,сеть запароленна.
Задача самая обыденная:"максимально возможного обезопасить себя,от уязвимостей,слежки,злоумышленников,большого брата"до установку антивирусов и фаерволлов,тут мы не будем это затрагивать,исключительно интересна настройка только виндовс (возможно вы скажите "Кому ты нужен?Делай что хочешь,грабь корованы").Сам лично не каких корыстных целей не приследую,противозаконным не занимаюсь,сугубо интерес,с дальнейшим воплощением.
И да,самое главное спасибо что здесь описали настройки,думаю что они будут полезны всем.

Всякие кретины, которые еще даже русский язык не выучили, а лезут туда же, в криптографию, блин :(

Будь повнимательнее,тут про криптографию не кто не затрагивал кроме тебя.

— наёмник (03/03/2013 21:27)   

Вопрос задач для которых используется ноут можно, условно говоря, разделить на два типа:

1. Какие сервисы подняты и нужны в твоей домашней сети? Иначе говоря, либо у тебя ноут только лишь для выхода в интернет и всё. Либо посредством wi-fi ноут ходит и в интернет и входит по твой собственной домашней сетке, где должен работать и с другими компами домочадцев. Например, в домашней сетке могут быть сетевые шары у компов и настроены различные синхронизации с потоковым вещанием.
2. Используется ли ноут для доступа по vpn в локальную сетку офиса с доменами Active Directory. Например, может быть потребность в использовании на ноуте outlook'а для работы с почтой и календарями на MS Exchange. И доступа из MS Office к документообороту на базе SharePoint'а и различным сервакам по сетевым шарам.

А то ведь ща понавыключаешь "потенциально опасные вещи", а потом нихрена работать не будет.
Лично в моем случае самая обыйденная задача для компа это и работа в домашней сети и п.2 вместе взятые, одновременно :)

— Гость (03/03/2013 22:00)   

Домашняя сеть соединяется интернетом через два роутера, в каждом из которых nat и firewall. Так получилось, да и нет повода менять – этот вариант подключения локальных сетей уже везде стал стандартом.

Видать, под виндой нужно два ПК, из которых один умеет только nat, другой — только firewall. Значете, почему миллиционеры ходят подвое?

— Гость (03/03/2013 22:23)   
Гость (03/03/2013 22:00),
у тебя проблемы с пониманием, что такое демилитаризованная зона, как её организуют между двумя файерволами и почему локальные сети подключают к интернетам именно через них?

т.е. сам ты безграмотный, но решил таки что-то пискнуть про виндоусы. типа тебе это необходимо, чтобы чуйствовать себя частью какой-то стаи?

— Гость (03/03/2013 22:44)   

почему локальные сети подключают к интернетам именно через них?

Да можно хоть между десятью файерволлами, если это крупная организация со своими серверами, локалками и прочим, где за каждый сервис отвечает отдельный компьютер. Только какое это имеет отношение к домашним локалкам? Многие умудряются соордить нужную сетевую инфраструктуру вообще на одном ПК за счёт использования виртуалок. Если есть рутер, то хорошо. Можно и два, но зачем?

— Гость (03/03/2013 22:54)   
Один у тебя роутер, а второй это adsl-модем подключенный к нему по ethernet'у. В каждом из этих девайсов есть свой нат с файерволом. Т.е. между ними своя сетка, а дальше от роутера по дому – другая сетка.
На халяву получаешь подключение домашней сети через демилитаризованную зону зажатую между двумя натами и двумя файерволами.

— Konstantine (03/03/2013 22:56)   
22. Консолидация системных настроек

В любом удобном месте ПКМ – Создать папку
(исключение: не создавать папку на Рабочем столе и не помещать на него ярлык от нее;
чревато сбоями Explorer после перезагрузки)

ПКМ на папке – Свойства – Общие
В самом верхнем поле изменить имя "Новая папка" на приведенное ниже:

Настройка Системы.{ED7BA470-8E54-465E-825C-99712043E01C}

Удивиться коварству Майкрософт, тихо стыревшей KDE.

PS: Мой Куратор^[link26] одобряет этот пост.

— Гость (03/03/2013 23:01)   

Настройка Системы.{ED7BA470-8E54-465E-825C-99712043E01C}

Нет смысла этого делать, включение GodMode это крайне безответственный шаг. Допустимо лишь в тестовых целях на виртуальных машинах находящихся в режиме host only или за nat'ом

— Konstantine (03/03/2013 23:18)   
23. Можно юзать по отдельности^[link27].

— Гость (03/03/2013 23:52)   

а второй это adsl-модем подключенный к нему по ethernet'у.

Лично для меня ADSL-модем, как и любой другой модем или просто розетка для ethernet — «железка в себе», я его вообще за рутер не считаю. Рутер — то, куда можно поставить свою доверяемую ОС, настроить её и т.д. Я именно это имел в виду. Ваша мысль понятна.

Удивиться коварству Майкрософт, тихо стыревшей KDE.

Что имелось в виду? Ничего не понял.

— Гость (03/03/2013 23:57)   
Скажите, а почему в винде такие понятные названия настроек, как «ED7BA470-8E54-465E-825C-99712043E01C»? Как должны запоминать их пользователи? Или лезть в regedit.exe грешно? Что корпорация добра прописала, то и должно там быть?

— наёмник (04/03/2013 00:50)   

Как должны запоминать их пользователи? Или лезть в regedit.exe грешно?

Есть Control Panel, где все настройки собраны в кучу и представленны в user friendly виде. С полноценными именами и описанием, а не GUID'ами. А есть то, как и где эти настройки хранятся в системе. И реестр не единственное место. Так же есть вопрос взаимозависимостей одних настроект от других. Дабы они не входили в конфликт меж собой.
В итоге хранение настроек должно учитывать три момента:

• представление настроек в user friendly виде – не только их названий, но и текущих значений. всё это с учетом локализации.
• представление вариантов доступных операций с ними, включая учет взаимозависимостей разных настроек и контроль допустимых диапазонов значений.
• хранение значений настроек для нескольких различных вариантов доступа. одни настройки часто читаются, но редко меняются, другие наоборот.

Всё множество настроек можно умозрительно представить как одну большую таблицу. Где каждая настройка представлена одной строкой. У каждой строки есть уникальный идентификатор(GUID). Столбцы строки содержат информацию:

• о том множестве типов данных, за счет объектов которых сохраняется значение этой настройки
• диапазоны допустимых значений с учетом зависимости от значения других настроек
• ссылки на взаимозависимые настройки, через их идентификаторы(GUID)

Идентификатор в виде GUID'а не обязательно хранится в виде строки. Есть варианты представления его в бинарном виде, работа с которыми гораздо быстрее. В итоге ускоряется работа по поиску взаимозависимостей при контроле допустимых значений. А так же user friendly имен и значений настроек в ресурсах(локализациях).

— Konstantine (04/03/2013 01:47)   
Отключение ненужных служб

24. Отключение службы DHCP-клиент

Через GUI (консоль services.msc)

Панель управления – Администрирование – Службы – DHCP-клиент – Даблклик – Остановить – Тип запуска: Отключена

Через Реестр

Windows Registry Editor Version 5.00 ;Файл сценария Реестра (.reg-файл) ;Отключение службы DHCP-клиент ;Задание значения 4 параметру Start [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dhcp] "Start"=dword:00000004 ;Варианты значений параметра: ;2 запускать службу автоматически ;3 запускать службу вручную ;Значение "2" используется по умолчанию

В этом случае предварительно службу нужно остановить командой net от рута (имя службы является названием раздела реестра, в котором содержатся параметры настройки службы):
net stop dhcp

Варианты
net start dhcp – запустить службу
net pause dhcp – приостановить службу
net continue dhcp – продолжить работу приостановленной службы

Проверка эффекта
net start

Примечание: служба необходима только в том случае, если существует сеть и в этой сети есть хотя бы один DHCP-сервер.

— Гость (04/03/2013 02:28)   

Есть Control Panel, где все настройки собраны в кучу и представленны в user friendly виде.

Я после 5го уровня вложенности гуляния по ControlPanel уже сам выбраться не могу, а на пальце мозоль от щёлкания мышкой. Очень friendly. Часто проще нарыть команду в инете, которая делает всё хорошо, и выполнить её в командной строке (я так в Vista сеть настраивал).

— наёмник (04/03/2013 03:28)   

на пальце мозоль от щёлкания мышкой. Очень friendly.

Батенька, охотно верю, вот только в том, что с любой системой надо учиться работать.
Открываешь Control Panel, в правом верхнем углу есть поле поиска. Вбиваешь любую часть названия или описания нужной тебе настройки. И никаких уровней вложенности с группировками преодолевать не придется.

Либо же через netsh задавать настройки в обычном command line. Не говоря уже про коммандлеты PowerShell'а и работу с ними в command line. Как в плане конфигурирования системы, так и стороннего софта.

Если недостаточно гибкости, то пиши и запускай свой скрит на JavaScript'е или VBScript'е. Это позволит сконфигурить не только систему, но туеву тучу прикладного софта оттопыривающегося из себя объектную модель. Равно как менять записи в реестре и конфигуровочных файлах.

Т.е. вариантов как бы более чем предостаточно.

— Гость (04/03/2013 12:04)   

На халяву получаешь подключение домашней сети

не понял в чем халява?

— Konstantine (05/03/2013 01:22)   
25. Отключение службы Веб-клиент

Через GUI (консоль services.msc)

Панель управления – Администрирование – Службы – Веб-клиент – Даблклик – Остановить – Тип запуска: Отключена

Через Реестр

Windows Registry Editor Version 5.00 ;Файл сценария Реестра (.reg-файл) ;Отключение службы Веб-клиент ;Задание значения 4 параметру Start [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WebClient] "Start"=dword:00000004 ;Варианты значений параметра: ;2 запускать службу автоматически ;3 запускать службу вручную ;Значение "3" используется по умолчанию

Командой net от рута можно:
net start WebClient – запустить службу
net pause WebClient – приостановить службу
net continue WebClient – продолжить работу приостановленной службы
net stop WebClient – остановить службу

Имя службы является названием раздела реестра, в котором содержатся параметры настройки службы.

net start – проверить состояние службы.

Примечание: Служба Веб-клиент позволяет Windows-программам создавать, получать доступ и изменять файлы, хранящиеся в Интернете.

— Konstantine (05/03/2013 22:44)   
26. Отключение службы Диспетчер печати

Через GUI (консоль services.msc)

Панель управления – Администрирование – Службы – Диспетчер печати – Даблклик – Остановить – Тип запуска: Отключена

Через Реестр

Windows Registry Editor Version 5.00 ;Файл сценария Реестра (.reg-файл) ;Отключение службы Диспетчер печати ;Задание значения 4 параметру Start [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Spooler] "Start"=dword:00000004 ;Варианты значений параметра: ;2 запускать службу автоматически ;3 запускать службу вручную ;Значение "3" используется по умолчанию

Командой net от рута можно:
net start Spooler – запустить службу
net pause Spooler – приостановить службу
net continue Spooler – продолжить работу приостановленной службы
net stop Spooler – остановить службу

Имя службы является названием раздела реестра, в котором содержатся параметры настройки службы.

net start – проверить состояние службы.

Примечание: Служба Диспетчер печати загружает файлы в память, чтобы напечатать позже. Если на компьютере отсутствуют установленные принтеры, то службу можно отключить.

— Гость (06/03/2013 00:51)   
to Konstantine
все супер.. но может собрать все это последовательно и в одном месте?
как например в рекомендациях по FF.

— Гость (06/03/2013 03:33)   

но может собрать все это последовательно и в одном месте?

Это же самое ему уже давно сказали^[link28], но неймётся.

— Гость (06/03/2013 11:07)   
не хочется конечно бить по рукам людей, которые делом заняты, НО порядок – есть порядок (!).

— Гость (06/03/2013 14:03)   

не хочется конечно бить по рукам людей, которые делом заняты

Руки должны быть всегда поверх одеяла, вне зависимости от дела, которым заняты. За этим следят родители модераторы.