Безопасная настройка Windows 7
Приветствую всех,хотелось бы увидеть развернутый ответ на данный вопрос,помимо установки антивируса и файрвола,какие приложения и сервисы нужно или не нужно отключать,как применять обновления,или отключить их вообще,есть ли какие дыры,которые следует закрыть?.В общем интересуют все настройки винды из коробки,которые сами настраиваите,дабы обезопасить себя от уязвимостей,большого брата и злоумышленников.Заранее буду всем благодарен.Ссылки
[link1] https://www.pgpru.com/comment51590
[link2] http://www.securitylab.ru/news/438100.php
[link3] http://www.securitylab.ru/news/437823.php
[link4] https://www.pgpru.com/chernowiki/rukovodstva/bezopasnostj/setevajazaschita/brandmauery/primerynastrojjki/comodofirewall
[link5] http://www.mmouse.ru/2010/04/08/truecrypt-sozdayom-skrytuyu-os/
[link6] http://forum.ru-board.com/topic.cgi?forum=5&topic=34633&start=440
[link7] https://www.pgpru.com/soft/rasshirenijafirefox/rekomendacii
[link8] https://www.pgpru.com/proekt/poljzovateli?profile=unknown
[link9] https://www.pgpru.com/comment50624
[link10] http://www.microsoft.com/ru-ru/default.aspx
[link11] https://www.pgpru.com/proekt/poljzovateli?profile=ntldr
[link12] https://www.pgpru.com/comment51930
[link13] http://portableapps.com
[link14] http://xgu.ru/wiki/Windows_XP_в_Xen
[link15] http://irc.lv/qna/что_такое_мак_дак
[link16] https://www.pgpru.com/comment61371
[link17] https://www.pgpru.com/comment58729
[link18] https://www.pgpru.com/comment61407
[link19] https://www.pgpru.com/chernowiki/rukovodstva/administrirovanie/mswindows/nastrojjkibezopasnostiwindows#h61483-2
[link20] http://world.std.com/~reinhold/diceware.html
[link21] http://en.wikipedia.org/wiki/Microsoft_Management_Console
[link22] https://www.pgpru.com/chernowiki/rukovodstva/administrirovanie/mswindows/nastrojjkibezopasnostiwindows
[link23] http://monkrus.blogspot.com
[link24] https://www.pgpru.com/comment61478
[link25] http://www.ebay.com/sch/i.html?_trksid=p5197.m570.l1311.R3&_nkw=pix+501&_sacat=0&_from=R40
[link26] http://www.pgpru.com/proekt/poljzovateli?profile=SATtva
[link27] http://msdn.microsoft.com/en-us/library/ee330741(VS.85).aspx
[link28] https://www.pgpru.com/comment61520
Безопасная настройка Windows 7:
- Шаг 1: изучить лин.
- Шаг 2: снести вин.
- Шаг 3: установить нормальный дистр лин без рюшечек и privacy-unfriendly-фич (можно выбрать Debian, например).
- Шаг 4: настроить лин под себя и свои нужды с пониманием сути происходящего.
Всё, на этом безопасная настрока Windows 7 завершена. Всего 4 простых шага.Чем богаты, тем и рады[link1]. Это всё, что есть по теме. Слишком экзотическая ОС, чтобы было больше.
Большое спасибо товарищи что отписались,это все очень хорошо,жду еще "эстетов" в теме.
Не говоря за всех, но здесь мало кто пользуется Win. Пользователям, заботящимся о своей приватности, рекомендуется свободное ПО. Пользователи альтернативных по отношению к свободным ОС могут ждать советов по большей части разве что от троллей или в лучшем случае отстаться без ответа.
ради объективности:
Уязвимость в ядре Linux[link2]
волна взломов серверов на базе Linux[link3]
"Linux Foundation заявила о дефиците специалистов по разработке Linux"
Это не объективность, там судя по форумам закончилось тем, что нашли кейлогера на вин машине пользователя путти.
Что скажите об этом debian https://tails.boum.org/index.en.html стоит ли доверять?Жду пользователей windows с годными советами и предложениями.
Поищите его обсуждения, которые неоднократно возникали в форуме.
Для начала вам придется привыкнуть доверять программ, потому что никакой проверки большинство не проходило. Выбрать максимально распространенные, такие даже при закрытом коде попадают в руки хороших программистов и шанс на обнаружение трояна высок поэтому обычно трояны встраивать стесняются.
1. COMODO https://www.pgpru.com/chernowi.....ojjki/comodofirewall[link4]
2. Постоянно мониторить с помощью проактивной защиты все процессы (но это гемор).
3. Настроить песочницу и использовать.
4. Отключить автозагрузку с флэшек.
5. Поставить антивирус, которому доверяете. На Windows без этого никак. Наверное лучший это nod.
6. Использовать твикеры:
а) xp-AntiSpy – закрывает лазейки.
б) GIGATweaker – тоже гляньте.
в) Autoruns – контроль автозагрузки.
д) Есть еще куча твикеров например TrashReg – поиск и удаление счетчиков, в том числе триалов.
7. Для truecrypt есть инструкция по шифрованию диска. Создается 2 ОС – одна обманка "чистая", вторая основная.
Что то типа этого http://www.mmouse.ru/2010/04/0.....ozdayom-skrytuyu-os/[link5]
можно погуглить и другие инструкции.
8. При необходимости пускать весь трафик через Tor (в том числе и uTorrent, хотя для сети Tor это вредно, но хоть попа в тюрьме не будет):
а) Используя privoxy – там где программы поддерживают прокси.
б) Используя Advanced Onion Router – где нет.
http://forum.ru-board.com/topi.....opic=34633&start=440[link6]
(как вариант можно поискать проксификатор которому доверяете)
9. Настроить firefox и при необходимости TorBrowser. Для анонимности настройки лучше не менять, но работать повседневно на чистом TorBrowser не удобно.
https://www.pgpru.com/soft/rasshirenijafirefox
https://www.pgpru.com/soft/ras.....firefox/rekomendacii[link7]
10. Что ставится на windows, совет продвинутого пользователя:
11. Сам я с групповыми политиками не знаком, но рекомендую покопаться с ними и правами пользователя.
12. Выбирать программы с открытым кодом, шифрованием и отсутствие всяких привязок к фэйсбукам/вконтактам/гуглу.
Если например выбираете переводчик, то только оффлайн.
Много open source программ есть только под linux, можно использовать Cygwin https://ru.wikipedia.org/wiki/Cygwin для их запуска под windows.
Одного человека[link8] как-то раз посещала умная мысль, которую он застенчиво высказал мелким[link9] шрифтом. Но на него сразу же все зашикали. Если у него хватит смелости реализовать ее, тогда сексменьшинства этого форума смогут все разумное, доброе, вечное[link10] собирать в одном месте. Писать же советы в недружественные разделы форума, большого смысла нет, как и задавать в них вопросы. Возможно тогда и ntldr[link11] перестанет отмалчиваться[link12]. Давайте попросим Дедушку Мороза создать нам такой раздел.
Это не верно[link13].
Вот спасибо так спасибо,отлично расписали.Может еще кто-нибудь пояснит что можно отключить или нельзя и стандартных приложений и сервисов windows.Вот нашел скудное описание.
Bolgenos + Антивирус Immunele от Бабушкина.Вот так бывает, накатаешь простыни на полстраницы, а тебя митмють с 64.237.42.138. кэш обнулился, заново набирать не охота. Извините. Выше основы и так написаны.
еще отрубить учетную запись Администратор и Гость.
и пользоваться UAC.
запускать приложения согласно профилям работы (типа как в Qubes) от разных не привилегированных пользователей, если не требуется запуск от имени Админа.
На http://portableapps.com/ есть и программы с закрытыми исходниками и "много" это значит много, а не все.
Можно это более подробно раскрыть,если не затруднит
Интересная тема, можно и обсудить.
Вы не указали конфигурацию своей сети, версию системы, битность сборки.
Могу временами кидать сюда несистематизированную инфу на примере своей системы.
PS: Настроена давно, поэтому все будет в разнобой.
1. Справка и поддержка – Поиск в справке – Отключение параметров, рекомендуемых во время установки Windows
2. Справка и поддержка – Параметры – Параметры – Настройка справки – снять флажки
3. Панель управления – Центр обновления Windows – Настройка параметров – Не проверять наличие обновлений (не рекомендуется)
Запускайте поиск вручную и устанавливайте обновления после прочтения описания обновления
4. Никогда не устанавливайте Средство удаления вредоносных программ
Напишу в ближайшее время некоторые отправные точки, добавлю поправки к вышеприведенным комментариям и пр. Себя специалистом не считаю. Хотя интересуюсь тематикой ИБ применительно к Винде в том числе.
Считаете это аксиомой? Как минимум наполовину. Антивирус не нужен.
Уязвимости сами по себе не критичны. Плохо, когда их эксплуатриует ББ или
слоумышленникзлоумышленник. К тому же Майкрософт – это младший брат большого брата. Но ничего, из танка утюг можно сделать, наоборот нельзя.Винда как ОС для анонимности и безопасности подходит. Кто бы что ни говорил. Просто уровень будет ниже, чем при использовании альтернативных свободных ОС.
Еще момент. Не столь важно "что" используешь, сколь важно "как".
Человеческий фактор – главная угроза ИБ и анонимности. Куда критичней, чем технические аспекты.
И еще. Если Линух плохо знаете, а Винду лучше, лучше работать в ней, в Винде. Собственный ранний опыт.
При сборке "анонимной Винды" лучше потестить ее с недельку-месяц, снимая и анализируя траф, мониторить процессы и соединения, целостность системных файлов и реестра. Работать с ограниченной в правах учетки. Убрать хлам типа ВМплееров и прочего скама. Закрыть доступ в сеть всем приложениям кроме нужных. Убрать из системы все лишнее. Обновления добавлять мануально и выборочно. Не все заплатки одинаково полезны.
Звонят в дверь. Всем пока, за мной пришли, видно что-то упустил;)
Интересно, что вообще людей держит в винде, ну если они конечно не реверсеры. Хотя и те под виртуалкой реверсят.
Konstantinewindows 7, ultimate 64 например,версия и разрядность в 7 наверно не так пренципиальны
Добавил опрос на тему использования винды и посещения данного ресурса. Переходим на главную и голосуем. Подведем итоги для статистики, а то только одни холивары.
1. Отключение учетных записей.
– запускаете Управление компьютером (потребуются административные права).
– локальные пользователи и группы: выбираете Потзователи.
– ПКМ на учетной записи Администратор (встроенная учетная запись) – выбираем Свойства – Общие – Отключить учетную запись.
– аналогично с Гостем
2. Включение UAC
– Панель управления -> Учетные записи пользователей -> Изменение параметров контроля учетных записей (UAC) -> Выбор из 4 вариантов.
– рекомендую: Всегда уведомлять
3. Запуск приложений по профилям
– определяете перечень задач и разбиваете на группы (работа, банк, игры, инет и т.д.)
– создаете учетные записи пользователей для каждой группы
– определяете для каждой группы перечень программного обеспечения, которое будет запускаться из под пользователя этой группы.
– работаете либо в профиле пользователя, либо при необходимости запуска приложения из другой группы (всякое бывает), используйте Shift+ПКМ -> в контекстном меню "Запуск от имени другого пользователя".
пункт номер 3 может быть реализован как в Qubes, т.е. путем запуска для каждой группы задач своей Гостевой системы в вирт машине. придупреждаю, в Винде для этого потребуются значительные ресурсы, если только вы не будете в качестве Гостя использовать unix систему.
если много времени и сил)) можно попробовать через Xenolinux (создать самому подобие Qubes) установить Win-гостей по группам. Xen должен уменьшить требования к ресурсам. об этом можно посмотреть Здесь[link14]
2ОП
От версии зависит набор лишних служб, которые придется отключать. От разрядности – установка неподписанных драйверов, наличие или отсутствие сборок нужных Вам программ, способ запуска программ с отличающейся разрядностиью, структура папок файловой системы. От способа активации – исключение из установки некоторых обновлений и степень риска перезаписи загрузчика ТС некорректными модулями программ активации.
5. Панель управления – Центр управления сетями и общим доступом – выбирайте Общественную сеть
Если не планируете соединять домашние компы в локальную сеть
6. Панель управления – Центр управления сетями и общим доступом – Изменить дополнительные параметры общего доступа
Отключить сетевое обнаружение
Отключить общий доступ к файлам и принтерам
Отключить общий доступ к общим папкам
Отключить потоковую передачу мультимедиа
Использовать 128-битное шифрование
Включить общий доступ с парольной защитой
Не разрешать Windows управлять подключениями домашней группы
7. Панель управления – Центр управления сетями и общим доступом – Изменение параметров адаптера – Свойства адаптера
Отключить Клиент для сетей Microsoft
Отключить Службу доступа к файлам и принтерам сетей Microsoft
Отключить Протокол Интернета версии 6
Отключить Драйвер в/в тополога канального уровня
Отключить Ответчик обнаружения топологии канального уровня
В win7 учетная запись администратора уже изначально ограничена на уровне токена. Фактически даже у администратора он уже весьма куцый. Именно это и приводит к срабатыванию UAC, когда приложение запущенное пытается воспользоваться администраторскими привилегиями. Именно по этому даже работая под учетной записью входящей в группу администраторов приходится ряд приложений запускать явно указав системе, что именно сейчас это приложение надо "запустить из под админстратора".
Однако, всё равно имеет смысл работать из под учетной записи обычного пользователя.
Установка антивирусов полезна не только сама по себе, но и в том случае если они совмещены с файерволом. Такие пакеты ловят не только попытки взлома браузера при посещении сомнительных сайтов, но и блокируют некоторые кукисы – "tracking cookie".
Хороший антивирус всегда содержит в себе IDS и потому позволяет создавать правила не только на сетевую активность приложений, но и для контроля куда именно лезут в системе. На предмет чтения/изменения данных о пользователе, конфигурации в ветках реестра или попытки доступа к системным файлам.
Нет смысла полагаться сугубо на настройки групповых политик в плане запрета автозапуска всякой хрени со сменных носителей (типа cd/dvd/blueray дисков и usb mass storage девайсов, сродни флешек, карт памяти), т.к. настройки могут быть изменены тихой сапой в ходе установки какого-нибудь из обновлений. Антивирусы же подходят именно как дополнительный уровень контроля. В том числе позволяют не только запретить автозапуск, но можно в них вообще запретить запуск каких либо приложений со сменных носителей. При этом профиль настроек антивируса для разных пользователей системы может быть разным. Например, при логоне под аккаунтом жены система сама по себе, да и антивирус будут запрещать практически всё, что только можно. А из под аккаунта мужа – будет уже несколько другой колленкор.
Настройки обновления имеет смысл выставить в "загружать, но сам решу когда устанавливать" или "не загружать автоматически". В таком случае система будет оповещать о выходе обновлений, но у пользователя будет возможность устанавливать лишь то, что сочтет нужные.
Учетная запись Гость нужна для возможности захода на сетевые шары этого компьютера без логина. При этом, у Гостя может быть отключена возможность интерактивного логона на машину. Т.е. ни по RDP, ни физически сев за машину никто не сможет использовать Гостя.
Если нет доверия к какому-то приложению, то его можно запустить из под специальной сильно ограниченной учетной записи. Зажимаем shift + правая кнопка на мыши – будет видно более расширенный вариант меню, с пунктом "Run as different user".
Ну вроде на первое время должно хватить, дальше уже нужно более детальное погружение.
а зачем это нужно? необходимо явно указать кому и как разрешен доступ к расшаренным ресурсам. автоматика здесь неуместна. если уж говорить фундаментально о защите компа.
врядли это сильно ущемит приложение. скорее всего эффективно запустить его в песочнице из под пользователя с ограниченными правами.
8. Если Вы под юзером (а иначе и быть не должно), то Запуск от имени администратора – C:\Windows\system32\gpedit.msc
Конфигурация пользователя – Административные шаблоны – Меню Пуск и Панель задач
Не хранить сведения о недавно открывавшихся документах
Удалить меню Недавние документы из меню Пуск
Затем удалить все прежние ярлыки из
C:\Users\%USERPROFILE%\Recent
Konstantine (28/02/2013 23:46)
6. Панель управлени
имхо, сказанное в этом пункте справедливо, если включена учетная запись Гость. в таком случае допускается автоматический доступ к расшаренным ресурсам и справедливо, как вы пишите, рубить это все. НО если Гостя убрать, то к расшаренным ресурсам просто так не доберешься.
коль пошла такая пьянка, то вы достигнете неотображение явное, но здесь Recent все ссылки будут видны.
ЗЫ пардоньте ((((( не дочитал
еще раз сорри.
IPv6 можно вырубить как в Свойствах адаптера, так и целиком в системе.
есть смысл ОБЯЗАТЕЛЬНО оговариваться в каких случаях это отрубать. если пользователь возьмет предложенное бездумно, могут возникнуть проблемы в существующей локальной/домашней (если существует) сети.
наверно лучше оговорится изначально, что компьютер не является частью локальной/домашней сети и имеет прямое подключение к инету. есть ведь еще разные сетевые устройства, через которые возможен доступ к инет.
Автоматика лишь в том, что это банальный автологон на те шары, которые были оттопырены с компа с правом доступа "для всех". Например, так может быть оттопырена папка с видео файлами. Дабы можно было скаченное с торрентов смотреть с ноута или планшета в другой комнате. Не вводя каждый раз имя пользователя и пароль.
Очередной линуксойд пытающийся что-то вещать относительно ОСь в системе безопасности которой не разбирается? Ну так сходи поучи, что такое MAC/DAC, ACL, ACE и как это используется в windows'ах.
понеслись частности и оговорки. ну тогда нечего отключать Удаленный рабочий стол, а вдруг это кому то надо. да и про профилирование можно забыть, так же как и о UAC, если комп используется как игровая приставка или печатная машинка.. ну и т.д.
ну вот что за люди такие.. сразу хамить.
не говорите что мне делать и я не скажу куда вам идти.
по поводу MAC/DAC, конечно знаю и вам советую почитать[link15]
и что вы хотите сказать что в Линуксе нет аналога ACL? ))) даже в Маках есть.
дальше продолжать расшифровывать аббревиатуры? ))) смешно.
Konstantine, интересно излагаете.
В особенности, 1 комментарий = 1 пункт.
Наверное, лучше от общего к частному, чтобы детали вытекали из общей картины. И компрессию увеличть, хотя бы до 10 пунктов на 1 камент. Но это так, личное видение вопроса.
Думаю, лучше вот так: Установка фаерволов не только полезна сама по себе, но и в том случае, если в них есть модуль проактивной защиты.
При таком подходе лучше сразу чисто сердечное написать.
Один комп, ноут, телефон – один пользователь.
Его не надо запускать вообще.
Ребята, эксперименты и тесты делаются на тестовых машинах. В работе импровизация подобного рода явно лишняя.
Как-то не очень стыкуется с анонимностью и безопасностью. Торренты, видео, шары, wi-fi в общем случае.
имхо, если говорить в общем случае о безопасности и о рядовом пользователе, коими являются, грубо, более 80 % всех пользователей ПК, то размышлять об установке антивируса и файервола неуместно. для означенных пользователей они нужны 100%, даже с настройками по умолчанию (!) ибо, практически все эти пользователи сидят под учеткой Administrator.
Смешно – это когда с умным видом несут откровенную ахинею вальяжно так постукивая себя пяткой в грудь.
Тебе же дали понять, что коли не знаешь – так и не лезь к людям со своими суждениями.
Ежели не разбираешься в возможностях и реализации разграничения доступа на windows'ах – так сходи хотя бы почитай про то на базе каких моделей и как это реализовано. И пока не разберешься с работой ACE в SACL, DACL и тем что такое MIC, то и не фиг встревать в разговоры по вопросам настройки windows'ов.
кто здесь люди то? ты что ль чел? нагуглил букв иностранческих и думаешь что понимаешь что то?? умный не показывает, что умный. а болван – щеки надувает )) наличие мозгов оценивают другие или ты продиагностировал их наличие у себя в черепе?? )) ты ошибаешься юнец!!
пля все такие блатные и крепкие, когда за 1000 км перед монитором, а в натуре плевком перешибить можно)))
иди настраивай мозг на позитив! клоун..
Чудило, не позорил бы линуксячью тусовку. Ведь именно ложка дёгтя в лице таких имбецилов и портит впечатления от всей этой вашей тусовки.
И сходи всё же почитай – разберись с тем, что прячется за упомянутыми буковками.
Хотя бы знать будешь, почему вояки штатовские с госдепом столько лет сидели целиком и полностью на WindowsNT. Категорически отказываясь как либо пользоваться линухами. До тех пор, пока штатовское АНБ не создал то, что ныне зовется SELinux.
Товарищи при всем уважении,давайте пока не будем затрагивать линукс,а поговорим про виндовс7
Расскажите про это. Это как раз по теме, автор топика спрашивает в том числе и про это.
Этот перец митмит всё. Прервал удовольствие от чтения лора. Сертификат свой подписывает неким виртуальным "Main Authority" УЦ из Невады.
да он сам не знает про это. причем половина этого, может и не относится к локальной машине ))) пис доо бол.. мир дверь мяч!
о чем вы? вроде здесь об этом не писалось.
Типичный образчикк воинствующего имбецила-линуксойда. Конечно же предпочтет анонимно материться на форуме, вместо того чтобы понять почему его любимый линух столько лет уже толчется возле параши.
Рассказывать о средствах имеет смысл, когда обозначены задачи. Если топикстартер так и не обозначил задачи, то как он поймет какие средства ему следует использовать и как именно?
Когда дома обычная локальная сетка, компы которой ходят в интернет через роутер – это один расклад. Нежели когда один комп, с воткнутым в него евернет кабелем провайдера.
Это же всё со времен 4-ой NT почти никак не менялось, в 2000-ой лишь чутка расширилось. Да начиная с vist'ы только что-то более менее новое стало появляться(песочница/уровни, UAC).
И в конечном итоге все действия по настройке сводятся к тому, чтобы создать несколько аккаунтов, распихать их по группам. После этого ограничить права доступа к объектам(DACL). Включить аудит на факты доступа к этим объектам(SACL). Так, чтобы в евентлоге были записи как об успешных, так и неуспешных попытках. Закрались подозрения или что-то не работает – пошел смотреть в эвентлоге – кто, когда и куда лез.
Групп полиси и группы аккаунтов крутить надо на тот предмет, чтобы в токенах запускаемых процессов не было потенциально опасных пермисий. Поскольку ими определяются полномочия на ряд действий в системе. Помнить, что у пермисии три состояния – либо она есть в токене, либо нет. Когда есть, то либо включена, либо выключена.
Чтобы при ползанье по интернетам дырявым браузером с дырявыми плагинами уязвимости выполнения произвольного кода не смогли привести ни к утечке/удалению чувствительной информации, ни тем более к заражению системы.
В любом случае держать DEP включенным, не забывать чистить не только обычные кукисы, но и те которые flash cookie.
Знать что получается в результате сложения прав доступа на шаре и объектов файловой системы, ради доступа к которым она оттопырена.
Помнить что аккаунт Local System имеет больше полномочий, чем мемберы группы локальных администраторов. Однако при этом не имеет пермисий для какой либо сетевой активности и именно потому ряд сервисов вращаются из под Network Service. И как посмотреть разницу его полномочий с теми, что наделены самостоятельно созданные аккаунты.
/comment61371[link16]:
В сети были какие-то сайты по составлению петиций. Предлагаете устроить голосование? Так вроде оное уже имело место, поглядите архив опросов.
Не перестанет. У каждого в жизни наступает момент, когда он перерастает возраст, при котором ещё пишут абстрактным анонимам на абстрактных форумах чисто ради абстрактных идей.
F5 же...[link17]
Судя по результатам некоторых опросов, половина здешних голосующих вообще на сайт впервые только что наткнулась и решила вдруг проголосовать.
/comment61407[link18]:
Пипец! Если из менюшки что-то перестало быть видно, значит, оно действительно безпасно исчезло с ПК? От младшей сестры защищаетесь, которая всё, что может — это по окошкам щёлкать?
А я должен на честное слово верить, что оно именно так и работает, как в рекламных документах написано? Код-то есть, чо? Куда смотреть в исходниках?
А ссылку на это событие можно посмотреть? В WindowsNT было столь
инновационноеумное изобретение, как SeLinux? Или что-то, являющееся его точным аналогом? :) Вам самому не смешно?Верите, что ваш ритуал настройки действительно помогает?
Возможность заражения винды уже преодолена? Вирусов и троев больше не существует? Не знал.
С умным видом листать сорцы может любая обезьяна, которая с трудом себе представляет во что на самом деле они собираются и как на самом деле это работает. Так что смотреть имеет смысл лишь листинги дизасма.
Внимание на дату выхода NT4 и изучаем что в нем уже было на тот момент. После этого будет откровенно стыдно смотреть на основную ветку своего столь горячо любимого линуха и не только тех годов, но и вообще до 2008-го года. Линух всегда отставал и даже не на десять лет. И тенденция такого отставания продолжает сохраняться – то в одних вопросах, то в других. Крайне куцая и убогая подсистема безопасности в нём отнюдь не исключение, а один из множества примеров.
Как бы дауншифтеры не хвалились своей свободой, но их пища из мусорных баков как была, так и останется всего лишь объедками.
А троянцы с руткитами – они везде есть, вот недавний шухер на линухах http://www.securitylab.ru/news/438088.php
Из 100 обезьян есть вероятность, что найдётся одна более внимательная, квалифицированная и непредвзятая, которая что-то найдёт, раструбит и всем расскажет. Кстати, о том, как фатальные баги в винде не фиксились годами, несмотря на багрепорты, вы, наверное, в курсе.
Не уходите от поставленного вопроса. Я вас попросил подтвердить ссылкой ваши слова о том, что госдеповские сидели долгое время на NT именно из-за отсутствия в линухах SeLinux, а не из-за чего-либо ещё. Т.е. я прошу подтвердить как сам факт, так и причину ссылками на источники такого мнения.
Замечательно. Значит, вы можете местной публике ответить на ряд волнующих её вопросов в плане возможностей винды. Скажите, как фильтровать трафик в зависимости от юзера? Я хочу всё пакеты от учётной записи «аноним» слать на один VPN-сервер, а от другой учётной записи — напрямую (или на другой VPN-сервер). Как это сделать? Как сделать раскраску трафика? Какой встроенный firewall это умеет, и где я могу об этом прочитать? Умеет ли винда из коробки делать простейший port forwarding и nat?
9. Отключение IPv6 в Windows 7 (haltIPv6.reg)
Есть маленькая просьба к членам группы "модераторы".
Не сочтите за труд.
Не хотелось бы чтоб нитка ушла в бамплимит в таком виде.
Konstantine
Предлагаю постить сюда (жмите на значок карандаша в верхнем левом углу) — https://www.pgpru.com/chernowi.....ostiwindows#h61483-2[link19]
Займемся локальной групповой политикой
Если Вы под юзером (а причин быть под админом у Вас просто нет), то ПКМ на файле и Запуск от имени администратора
C:\Windows\System32\gpedit.msc
Посмотреть результирующую политику после внесения всех изменений аналогичными действиями на этом файле
C:\Windows\System32\rsop.msc
PS: Ни одна учетка на машине не должна иметь пустого или словарного пароля. Diceware[link20] в помощь. 12 английских слов будете набирать без бумажки уже через 3-5 дней активного юза.
10. Конфигурация компьютера – Административные шаблоны – Компоненты Windows – RSS-каналы
Отключить синхронизацию веб-каналов и веб-фрагментов в фоновом режиме
Отключить загрузку вложений
Отключить добавление и удаление веб-каналов и веб-фрагментов
Отключить обнаружение веб-каналов и веб-фрагментов
Отключить список веб-каналов
11. Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Windows Messenger
Запретить запуск Windows Messenger
Не запускать Windows Messenger автоматически при входе
12. Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Отчеты об ошибках Windows
Отключить отчеты об ошибках Windows
13. Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Проигрыватель Windows Media
Запретить автоматические обновления
14. Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Управление цифровыми правами Windows Media
Запретить доступ к Интернету для Windows Media DRM
15. Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Защитник Windows
Отключить Защитника Windows
Опционально. При наличии сторонних средств.
16. Конфигурация компьютера – Административные шаблоны – Система – Управление связью через Интернет – Параметры связи через Интернет
Отключить программу по улучшению качества программного обеспечения Windows
Отключить отчеты об ошибках Windows
Отключить участие в программе улучшения поддержки пользователей Windows Messenger
17. Конфигурация пользователя – Административные шаблоны – Компоненты Windows – Проигрыватель Windows Media
Запретить получение сведений о компакт-диске и диске DVD
Запретить получение сведений о музыкальных файлах
Предотвращение получения настроек радиостанций
18. Конфигурация пользователя – Административные шаблоны – Система – Управление связью через Интернет – Параметры связи через Интернет
Отключение программы улучшения справки
Отключить участие в программе улучшения поддержки пользователей Windows Messenger
А что делать тем пользователям, у которых этих файлов нет? По крайней мере в версии Home Premium они отсутствуют. Не пиратку же ставить. Где-нибудь есть документация, какие параметры реестра правят все эти настройки?
Смотри как открыть через mmc snap-ip
mmc snapip что это?
А чем плохо установить с оригинального образа,и крякнуть общеизвестным "активатором"
mmc snap-in, http://en.wikipedia.org/wiki/M.....t_Management_Console[link21]
Не надо их искать по полному пути, есть нюансы с расположением и от того как искать и от разрядности ОСи (32 или 64 бита).
Просто жмем на клаве Win+R и запускаем gpedit.msc
Если не запускается, значит имеем дело с урезанной версией винды. Придется идти другим путем:
Win+R и запустить mmc
откроется "Microsoft Management Console"
в меню "File"–"Add/Remove Snap-in" или по же Ctrl+M
и добавляем snap-in ("остнастку") зовущийся "Group Policy Object Editor".
Если же редакция виндоуса настолько урезенная, что этого нет в системе, то можно доустановить – скопирвав с другой машины.
В целом же, то чем Konstantine засрал ветку по большей части довольно спорно. Да и любой нормальный файервол наглухо перекрывает все исходящие соединения с компа.
Если знаешь что именно в системе делает этот самый активатор и как это сказывается на вопросах безопасности – то пожалуйста. Обычно же никто понятия не имеет какие мотивы были у тех, кто создавал этот активатор. С одной стороны он может решать вопрос активации, а с другой приоткрывать некоторые двери для упрощения создания ботнетов.
Konstantine, убедительная просьба: пишите ОДИН связный пост вместо той порнографии, которую делали выше. Если и дальше будете составлять пост из одного абзаца/пункта и через минуту постить следующий, придётся принимать меры.
Konstantine
Вот страница, редактируйте:
https://www.pgpru.com/chernowi.....ibezopasnostiwindows[link22]
2SATtva Убоялся страхом великим. OK! Хозяин-барин (но как Вы узнали про порнографию?!) Покоряюсь, хотя и неудобно будет давать прямые ссылки.
19. Пуск – Панель управления – Параметры папок – Вид
Отключить Скрывать расширения для зарегистрированных типов файлов
Защитит от запуска даблкликом зловредного сценария c множеством пробелов в имени файла и измененной иконкой.
Пример имени файла:
"D:\Images\Russian Slut Get Deep Anal.JPG[_на_этом_месте_много-много_пробелов_].vbs"
20. Пуск – Панель управления – Программы по умолчанию – Сопоставление типов файлов или протоколов конкретным программам
Задайте ассоциацию с C:\Windows\System32\notepad.exe вместо Windows Based Script Host для следующих типов файлов:
.vbs
.vbe
.js
.jse
.wsh
Защитит от нечаянного запуска системой зловредного сценария.
21. Полное отключение возможности запуска сценариев в системе. Удалить или переименовать файлы:
C:\Windows\System32\cscript.exe
C:\Windows\System32\wscript.exe
2Гость (02/03/2013 13:20) (извините, не разберу Вашего имени)
С тех пор как В 1996 году Руссинович поймал Майкрософт на халтурке и обнаружил, что разница между настольными и серверными версиями Windows NT заключается в двух записях в системном реестре, игры закончились и теперь за бОльшие деньги продается продукт с действительно большей функциональностью.
С другой стороны, если Вас так беспокоит вопрос лицензионной чистоты, значит Ваша модель угрозы вполне укладывается в уровень защищенности, предоставляемый домашней редакцией. Копание в реестре пользы Вам не добавит, так как объекты групповой политики хранятся в .adm-файлах (также отсутствующих в home), содержимое которых периодически переписывается в реестр. Число строк в данных файлах очень велико, а синтаксис их сложен. Руками Вы свой реестр никогда не улучшите.
Пиратку же ставить и правда не стоит. Если Вы купили home-версию, то скорее всего сделали это вместе с ноутом. Значит у Вас уже есть компьютер, имеющий в БИОС'е SLIC-таблицу версии 2.1. Тогда поставьте лучше pro-версию со стандартными законными (почти) средствами активации, разработанными Майкрософт для подобных компьютеров. Монкрус[link23] в помощь.
Это делается, но пипец, как тупо. Там нет вообще никаких настроек (включено/выключено и всё). Если что-то работает не так как хотелось, ничего нельзя сделать. Например, можно хотеть, чтобы форвардилось только с определенного адаптера, а не с какого попало, или чтобы нат направлял пакеты на определенный адаптер, а не куда Бог положит. А такое не сделаешь, никакие настройки не предусмотрены... Форвардинг принимает соединения откуда попало. В принципе, можно как-то криво сделать через wipfw с жутким набором правил, блокирующих потенциально вредный трафик. Можно сказать, что это общий минус винды: слабая кастомизируемость всего, что связано с низкоуровневой работой tcp/ip-стека, это касается таких вещей, как NAT, таблицы маршрутизации, слаборазвитого фаерволла. Частично это обходится сторонними программами, частично нет.
Еще минус, но это трудно назвать минусом винды, — отсутствие высокопроизводительного серверного софта. Такой софт пишется сразу под никсы, а виндовые порты обычно делают без оптимизации под винду. К пример, nginx под никсами супер-быстрый, а под виндой он вообще ни на что не годен. Apache, правда, под виндой работает более-менее, но он сам по себе тормоз.* Есть microsoft iis, вроде быстрый, но доверять серверному софту от MS — себе дороже. В принципе, nginx и apache достаточно безопасны, но, если нужно обрабатывать десятки тысяч запросов в секунду, под винду вариант только один — писать свой сервер, чего не приходится делать под никсы, т.к. есть nginx и lighthttpd. И, да, на самом деле, многие большие порталы имеют в составе свои узкоспециализированные сервера (свой сервер, решающий конкретную задачу, может быть на три порядка быстрее).
Ещё одна проблема — отсутствие поддержки современных ФС. NTFS находится примерно на уровне ext4, а в никсах есть куда более современные и актуальные ФС.
*В apache всё, что можно, настраивается, расширяется, поддерживается, вообще всё, имеется куча разных модулей. Из этого следует толстая архитектура, в которой оптимизация отдана в жертву универсальности.
Никто не запрещает сделать через кластеры ссылку на любое конкретное место в wiki-документе. Читайте документацию на wiki.
Konstantine
с 10 по 18: а если параметры не заданы?
тогда что?
походу очередной тролль спецом кидает безграмотные провакационные мессаги. лишь бы на него обратили внимание, начав развеивать его заблуждения.
господа, не стоит на него внимание обращать, авось сам уйдет. иначе опять весь тред засрёте оффтопом.
Konstantine,
не надо трогать Script Host с его wscript/cscript – из под пользовательского аккаунта скрипты мало что могут. да и к тому же есть ведь ещё и netsh, и powershell.
Гость (03/03/2013 03:44), кончай троллить.
Кстати, неплохое дополнение к ПК под любой виндой:легендарная классика жанра[link25]
Да и с учётом наличия обычных exe-файлов это вообще бесползно выглядит. Родной бинарный код в любом случае опаснее скриптов.
Тебе тут уже правильно сказали, что надо бы вначале обрисовать ситуацию. Мол чего конкретно хотишь. Вот у меня дома один десктоп на win8, ноут и нетбук на winxp home, планшета на winrt(не прижился ipad), пара коммуникаторов и еще один планшет на android'е.
Все это за исключением десктопа ходит в интернет по wi-fi и взаимодействует друг с другом. NAS'а нет, в его роли выступает десктоп.
Каждую из windows'ов приходится настраивать по своему. Во-первых, потому что winxp и win8 солидно различаются. Во-вторых, у нота и нетбука задачи отличаются от тех ради которых используется десктоп.
Домашняя сеть соединяется интернетом через два роутера, в каждом из которых nat и firewall. Так получилось, да и нет повода менять – этот вариант подключения локальных сетей уже везде стал стандартом.
Не существует универсальной настройки. Есть задачи которые ставятся перед компом и настройка делается уже исходя из них.
Для походам в стремные места интернетов можно вообще обойтись виртуальной машиной, которая после выключения ревертится до снапшота. Т.е. жесткий диск которой откатывается до какого-то зафиксированного состояния/образа.
Да и зачастую не столько важна настройка самой windows сколько важен выбор и настройка софта, хотя бы того же браузера.
Модераторы! Исправьте, наконец, ошибку в слове темы "Безопастная"!
Всякие кретины, которые еще даже русский язык не выучили, а лезут туда же, в криптографию, блин :(
Извиняюсь за свою невнимательность,кого это задело,поторопился,пропустил орфографию.
Свои знания русского языка проявляйте в надлежащих местах,где это уместно.
Насчет этого.
Имеется:ноутбук,windows 7 64,интернет адсл,раздается чере роутер wifi,сеть запароленна.
Задача самая обыденная:"максимально возможного обезопасить себя,от уязвимостей,слежки,злоумышленников,большого брата"до установку антивирусов и фаерволлов,тут мы не будем это затрагивать,исключительно интересна настройка только виндовс (возможно вы скажите "Кому ты нужен?Делай что хочешь,грабь корованы").Сам лично не каких корыстных целей не приследую,противозаконным не занимаюсь,сугубо интерес,с дальнейшим воплощением.
И да,самое главное спасибо что здесь описали настройки,думаю что они будут полезны всем.
Будь повнимательнее,тут про криптографию не кто не затрагивал кроме тебя.
Вопрос задач для которых используется ноут можно, условно говоря, разделить на два типа:
А то ведь ща понавыключаешь "потенциально опасные вещи", а потом нихрена работать не будет.
Лично в моем случае самая обыйденная задача для компа это и работа в домашней сети и п.2 вместе взятые, одновременно :)
Видать, под виндой нужно два ПК, из которых один умеет только nat, другой — только firewall.
Значете, почему миллиционеры ходят подвое?Гость (03/03/2013 22:00),
у тебя проблемы с пониманием, что такое демилитаризованная зона, как её организуют между двумя файерволами и почему локальные сети подключают к интернетам именно через них?
т.е. сам ты безграмотный, но решил таки что-то пискнуть про виндоусы. типа тебе это необходимо, чтобы чуйствовать себя частью какой-то стаи?
Да можно хоть между десятью файерволлами, если это крупная организация со своими серверами, локалками и прочим, где за каждый сервис отвечает отдельный компьютер. Только какое это имеет отношение к домашним локалкам? Многие умудряются соордить нужную сетевую инфраструктуру вообще на одном ПК за счёт использования виртуалок. Если есть рутер, то хорошо. Можно и два, но зачем?
Один у тебя роутер, а второй это adsl-модем подключенный к нему по ethernet'у. В каждом из этих девайсов есть свой нат с файерволом. Т.е. между ними своя сетка, а дальше от роутера по дому – другая сетка.
На халяву получаешь подключение домашней сети через демилитаризованную зону зажатую между двумя натами и двумя файерволами.
22. Консолидация системных настроек
В любом удобном месте ПКМ – Создать папку
(исключение: не создавать папку на Рабочем столе и не помещать на него ярлык от нее;
чревато сбоями Explorer после перезагрузки)
ПКМ на папке – Свойства – Общие
В самом верхнем поле изменить имя "Новая папка" на приведенное ниже:
Настройка Системы.{ED7BA470-8E54-465E-825C-99712043E01C}
Удивиться коварству Майкрософт, тихо стыревшей KDE.
PS: Мой Куратор[link26] одобряет этот пост.
Нет смысла этого делать, включение GodMode это крайне безответственный шаг. Допустимо лишь в тестовых целях на виртуальных машинах находящихся в режиме host only или за nat'ом
23. Можно юзать по отдельности[link27].
Лично для меня ADSL-модем, как и любой другой модем или просто розетка для ethernet — «железка в себе», я его вообще за рутер не считаю. Рутер — то, куда можно поставить свою доверяемую ОС, настроить её и т.д. Я именно это имел в виду. Ваша мысль понятна.
Что имелось в виду? Ничего не понял.
Скажите, а почему в винде такие понятные названия настроек, как «ED7BA470-8E54-465E-825C-99712043E01C»? Как должны запоминать их пользователи? Или лезть в regedit.exe грешно? Что корпорация добра прописала, то и должно там быть?
Есть Control Panel, где все настройки собраны в кучу и представленны в user friendly виде. С полноценными именами и описанием, а не GUID'ами. А есть то, как и где эти настройки хранятся в системе. И реестр не единственное место. Так же есть вопрос взаимозависимостей одних настроект от других. Дабы они не входили в конфликт меж собой.
В итоге хранение настроек должно учитывать три момента:
Всё множество настроек можно умозрительно представить как одну большую таблицу. Где каждая настройка представлена одной строкой. У каждой строки есть уникальный идентификатор(GUID). Столбцы строки содержат информацию:
Идентификатор в виде GUID'а не обязательно хранится в виде строки. Есть варианты представления его в бинарном виде, работа с которыми гораздо быстрее. В итоге ускоряется работа по поиску взаимозависимостей при контроле допустимых значений. А так же user friendly имен и значений настроек в ресурсах(локализациях).
Отключение ненужных служб
24. Отключение службы DHCP-клиент
Через GUI (консоль services.msc)
Панель управления – Администрирование – Службы – DHCP-клиент – Даблклик – Остановить – Тип запуска: Отключена
Через Реестр
В этом случае предварительно службу нужно остановить командой net от рута (имя службы является названием раздела реестра, в котором содержатся параметры настройки службы):
net stop dhcp
Варианты
net start dhcp – запустить службу
net pause dhcp – приостановить службу
net continue dhcp – продолжить работу приостановленной службы
Проверка эффекта
net start
Примечание: служба необходима только в том случае, если существует сеть и в этой сети есть хотя бы один DHCP-сервер.
Я после 5го уровня вложенности гуляния по ControlPanel уже сам выбраться не могу, а на пальце мозоль от щёлкания мышкой. Очень friendly. Часто проще нарыть команду в инете, которая делает всё хорошо, и выполнить её в командной строке (я так в Vista сеть настраивал).
Батенька, охотно верю, вот только в том, что с любой системой надо учиться работать.
Открываешь Control Panel, в правом верхнем углу есть поле поиска. Вбиваешь любую часть названия или описания нужной тебе настройки. И никаких уровней вложенности с группировками преодолевать не придется.
Либо же через netsh задавать настройки в обычном command line. Не говоря уже про коммандлеты PowerShell'а и работу с ними в command line. Как в плане конфигурирования системы, так и стороннего софта.
Если недостаточно гибкости, то пиши и запускай свой скрит на JavaScript'е или VBScript'е. Это позволит сконфигурить не только систему, но туеву тучу прикладного софта оттопыривающегося из себя объектную модель. Равно как менять записи в реестре и конфигуровочных файлах.
Т.е. вариантов как бы более чем предостаточно.
не понял в чем халява?
25. Отключение службы Веб-клиент
Через GUI (консоль services.msc)
Панель управления – Администрирование – Службы – Веб-клиент – Даблклик – Остановить – Тип запуска: Отключена
Через Реестр
Командой net от рута можно:
net start WebClient – запустить службу
net pause WebClient – приостановить службу
net continue WebClient – продолжить работу приостановленной службы
net stop WebClient – остановить службу
Имя службы является названием раздела реестра, в котором содержатся параметры настройки службы.
net start – проверить состояние службы.
Примечание: Служба Веб-клиент позволяет Windows-программам создавать, получать доступ и изменять файлы, хранящиеся в Интернете.
26. Отключение службы Диспетчер печати
Через GUI (консоль services.msc)
Панель управления – Администрирование – Службы – Диспетчер печати – Даблклик – Остановить – Тип запуска: Отключена
Через Реестр
Командой net от рута можно:
net start Spooler – запустить службу
net pause Spooler – приостановить службу
net continue Spooler – продолжить работу приостановленной службы
net stop Spooler – остановить службу
Имя службы является названием раздела реестра, в котором содержатся параметры настройки службы.
net start – проверить состояние службы.
Примечание: Служба Диспетчер печати загружает файлы в память, чтобы напечатать позже. Если на компьютере отсутствуют установленные принтеры, то службу можно отключить.
to Konstantine
все супер.. но может собрать все это последовательно и в одном месте?
как например в рекомендациях по FF.
Это же самое ему уже давно сказали[link28], но неймётся.
не хочется конечно бить по рукам людей, которые делом заняты, НО порядок – есть порядок (!).
Руки должны быть всегда поверх одеяла, вне зависимости от дела, которым заняты. За этим следят
родителимодераторы.