Безопасная настройка Windows 7
Приветствую всех,хотелось бы увидеть развернутый ответ на данный вопрос,помимо установки антивируса и файрвола,какие приложения и сервисы нужно или не нужно отключать,как применять обновления,или отключить их вообще,есть ли какие дыры,которые следует закрыть?.В общем интересуют все настройки винды из коробки,которые сами настраиваите,дабы обезопасить себя от уязвимостей,большого брата и злоумышленников.Заранее буду всем благодарен.
комментариев: 30 документов: 2 редакций: 12
Отключить Клиент для сетей Microsoft
Отключить Службу доступа к файлам и принтерам сетей Microsoft
Отключить Протокол Интернета версии 6
Отключить Драйвер в/в тополога канального уровня
Отключить Ответчик обнаружения топологии канального уровня
Однако, всё равно имеет смысл работать из под учетной записи обычного пользователя.
Установка антивирусов полезна не только сама по себе, но и в том случае если они совмещены с файерволом. Такие пакеты ловят не только попытки взлома браузера при посещении сомнительных сайтов, но и блокируют некоторые кукисы – "tracking cookie".
Хороший антивирус всегда содержит в себе IDS и потому позволяет создавать правила не только на сетевую активность приложений, но и для контроля куда именно лезут в системе. На предмет чтения/изменения данных о пользователе, конфигурации в ветках реестра или попытки доступа к системным файлам.
Нет смысла полагаться сугубо на настройки групповых политик в плане запрета автозапуска всякой хрени со сменных носителей (типа cd/dvd/blueray дисков и usb mass storage девайсов, сродни флешек, карт памяти), т.к. настройки могут быть изменены тихой сапой в ходе установки какого-нибудь из обновлений. Антивирусы же подходят именно как дополнительный уровень контроля. В том числе позволяют не только запретить автозапуск, но можно в них вообще запретить запуск каких либо приложений со сменных носителей. При этом профиль настроек антивируса для разных пользователей системы может быть разным. Например, при логоне под аккаунтом жены система сама по себе, да и антивирус будут запрещать практически всё, что только можно. А из под аккаунта мужа – будет уже несколько другой колленкор.
Настройки обновления имеет смысл выставить в "загружать, но сам решу когда устанавливать" или "не загружать автоматически". В таком случае система будет оповещать о выходе обновлений, но у пользователя будет возможность устанавливать лишь то, что сочтет нужные.
Учетная запись Гость нужна для возможности захода на сетевые шары этого компьютера без логина. При этом, у Гостя может быть отключена возможность интерактивного логона на машину. Т.е. ни по RDP, ни физически сев за машину никто не сможет использовать Гостя.
Если нет доверия к какому-то приложению, то его можно запустить из под специальной сильно ограниченной учетной записи. Зажимаем shift + правая кнопка на мыши – будет видно более расширенный вариант меню, с пунктом "Run as different user".
Ну вроде на первое время должно хватить, дальше уже нужно более детальное погружение.
комментариев: 30 документов: 2 редакций: 12
Конфигурация пользователя – Административные шаблоны – Меню Пуск и Панель задач
Не хранить сведения о недавно открывавшихся документах
Удалить меню Недавние документы из меню Пуск
Затем удалить все прежние ярлыки из
C:\Users\%USERPROFILE%\Recent
6. Панель управлени
имхо, сказанное в этом пункте справедливо, если включена учетная запись Гость. в таком случае допускается автоматический доступ к расшаренным ресурсам и справедливо, как вы пишите, рубить это все. НО если Гостя убрать, то к расшаренным ресурсам просто так не доберешься.
еще раз сорри.
наверно лучше оговорится изначально, что компьютер не является частью локальной/домашней сети и имеет прямое подключение к инету. есть ведь еще разные сетевые устройства, через которые возможен доступ к инет.
Автоматика лишь в том, что это банальный автологон на те шары, которые были оттопырены с компа с правом доступа "для всех". Например, так может быть оттопырена папка с видео файлами. Дабы можно было скаченное с торрентов смотреть с ноута или планшета в другой комнате. Не вводя каждый раз имя пользователя и пароль.
Очередной линуксойд пытающийся что-то вещать относительно ОСь в системе безопасности которой не разбирается? Ну так сходи поучи, что такое MAC/DAC, ACL, ACE и как это используется в windows'ах.
не говорите что мне делать и я не скажу куда вам идти.
по поводу MAC/DAC, конечно знаю и вам советую почитать
и что вы хотите сказать что в Линуксе нет аналога ACL? ))) даже в Маках есть.
дальше продолжать расшифровывать аббревиатуры? ))) смешно.
В особенности, 1 комментарий = 1 пункт.
Наверное, лучше от общего к частному, чтобы детали вытекали из общей картины. И компрессию увеличть, хотя бы до 10 пунктов на 1 камент. Но это так, личное видение вопроса.
Думаю, лучше вот так: Установка фаерволов не только полезна сама по себе, но и в том случае, если в них есть модуль проактивной защиты.
При таком подходе лучше сразу чисто сердечное написать.
Один комп, ноут, телефон – один пользователь.
Его не надо запускать вообще.
Ребята, эксперименты и тесты делаются на тестовых машинах. В работе импровизация подобного рода явно лишняя.
Как-то не очень стыкуется с анонимностью и безопасностью. Торренты, видео, шары, wi-fi в общем случае.