Без заголовка |
Однажды один человек сидел около оазиса у входа в один ближневосточный город. К нему подошел юноша и спросил:
— Я ни разу не был здесь. Какие люди живут в этом городе?
Старик ответил ему вопросом:
— А какие люди были в том городе, из которого ты ушел?
— Это были эгоистичные и злые люди. Впрочем, именно поэтому я с радостью уехал оттуда.
— Здесь ты встретишь точно таких же, — ответил ему старик.
Немного погодя другой человек приблизился к этому месту и задал тот же вопрос:
— Я только что приехал. Скажи, старик, какие люди живут в этом городе?
Старик ответил тем же:
— А скажи, сынок, как вели себя люди в том городе, откуда ты пришел?
— О, это были добрые, гостеприимные и благородные души! У меня там осталось много друзей и мне было нелегко с ними расставаться.
— Ты найдешь таких же и здесь, — ответил старик.
Купец, который неподалеку поил своих верблюдов, слышал оба диалога. И как только второй человек отошел, он обратился к старику с упреком:
— Почему ты дал двум людям абсолютно разные ответы на один и тот же вопрос?
— Сынок, каждый носит свой мир в своем сердце. Тот, кто в прошлом не нашел ничего хорошего в тех краях, откуда пришел, здесь тем более не найдет ничего. Напротив же, тот, у кого были друзья в другом городе, и здесь найдет верных и преданных друзей. Ибо, видишь ли, окружающие нас люди становятся для нас тем, что мы находим в них.
|
безопастность Windows |
копия с Яру
поскольку продолжаю пользоваться Wind'ой(все реже и реже ) остается актуальным вопрос защиты от вирусов троянов и т.п.
предлагаю совместно обсудить тему
полезные рецепты буду добавлять в шапку
антивирусы НЕ предлагать
мои рецепты :
1.файловая система - NTFS
2.работаем под обычным пользователем, для админа пароль не менее 10-12 символов.
3.после установки Wind'ы, драйверов(, ....)
a) запрещаем запись в каталог WINDOWS (обычные проги туда ничего не пишут)
б) запрещаем запись в ветку реестра HKEY_LOCAL_MACHINE(то же самое - см выше))
в) для всех исполняемых файлов(exe dll и т.п.) из каталогов WINDOWS и ProgramFiles в свойствах безопастности
оставляем ТОЛЬКО чтение - выполнение, (ЗАПИСЬ - ЗАРЕЩАЕМ для всех,в том числе и для админов(и системы)).
г)политики ограниченного использования программ(SRP). - создаем - ПО УМОЛЧАНИЮ ЗАПРЕЩАЕМ ВСЕ кроме стандартных.(п 4 становится не актуальным) - ОЧЕНЬ ВАЖНЫЙ ЭЛЕМЕНТ БЕЗОПАСТНОСТИ.
4.отключаем Autorun - обезопасимся от заразы на флэшках(чужих, (свои флэшки тоже надо защитить - рецепты есть))
рецепты,методы:
а)когда вы вставляете USBDrive, MountPoints2 обновляется сразу же новыми параметрами - политики Explorer обходятся очень просто. Есть защита против этого: просто отредактировать Разрешения всех пользователей (включая админов) ключа MountPoints2 в реестре на 'Deny' по всем пунктам кроме 'Чтение'. Никто вашу машину уже не заразит через авторан... P.S.: Ключ MountPoints2 находится здесь: [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2] для всех юзеров отдельно. ещё один забавный способ : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] В этой ветке находятся текстовые параметры, содержащие имена файлов, отыскав которые на CD-ROM или Флэшке, 'AutoPlay' запускаться не будет. Добавьте туда пустой строковый параметр типа REG_SZ с названием '*.*' (любые файлы).
б)
пс. до того момента пока не выполнены предыдущие пункты никакие флэшки не суем(для пущей безопастности)
5.в старые добрые времена, когда я еще не знал про разграничение прав, пользовался такой методикой:
из папки с программой(программами) делал ISO-образ, подключал его,запускал прогу(проги) с этого образа
(большинство прог могут запускаться таким образом), данные на ISO-образе достумны только для чтения,
соответственно вирусы не смогут видоизменить файлы.
6.а)использование виртуальны машин
б)песочниц(см ниже)
7. программы ставим только с офф сайтов(с файлообменников очень нежелательно)
избегаем ставить проги которые требуют для своей работы админских прав
хорошо бы знать хэш-суммы установщиков(для некоторых прог такая инфа есть) и перед запуском сверять.
сразу после скачивания меняем права на установщик(если он в виде XXXYYYZZZ.exe )на RO(только чтение-выполнение)
8. в учетной записи пользователя екзешников(исполняемых файлов) быть не должно(за редким исключением)
нужна утилитка (скриптик) (прописать ее в автозапуск) удаляющая отыскивающая их.
ps
SRP не разрешит запускать исполняемые из профиля пользователя(если специально не разрешить)
9.переименовать встроенную учетку админа(+ длиннющий пароль на нее)
Метки: безопастность Windows |
Страницы: [1] Календарь |