Dec. 22nd, 2006 01:09 am Практические советы по настройке безопасности WinXP

Написал где-то год назад, но многие моменты актуальны и сейчас. Предлагаю ознакомиться.

В настоящее время компьютерная безопасность приобретает всё большую и большую актуальность. Достаточно посмотреть сводки о взломанных сайтах и обнаруженных уязвимостей, например сайта http://www.securitylab.ru/. Несколько нижеприведённых советов помогут вам избежать утери или порче конфиденциальной информации или просто любой информации на вашем компьютере. И путешествовать по виртуальному миру без потерь для вашего компьютера и ваших нервов. И так, приступим…

1. Заходим в Панель управления -> Администрирование -> Службы
Отключаем Telnet, Модуль поддержки NetBIOS через TCP/IP, Удаленный реестр.
Более обстоятельно можно отключить различные “шпионские” компоненты WinXP программой XP-AntiSpy.

2. Отключаем и переименовываем учётную запись Гость и переименовываем учётную запись Администратор. Это можно сделать в Пуск ->Панель управления ->Администрирование ->Локальная политика безопасности ->Параметры безопасности. Оставляем только одного Администратора, т.е. либо создаём себе учетную запись с правами Пользователь, либо заходим под изменённым Администратором.

3. Ставим на все учётные записи пароли. Можно даже самые короткие. Но обязательно не слово из словаря (!), типа кошечка или koshechka, или даже rjitxrf (это русское слово английскими буквами). И не менее шести знаков, K1h2C3. Лучше конечно знаков 10-15, но 6 – это минимум. Пароли желательно менять не реже чем раз в пол года. Проверить свои пароли на криптостойкость можно утилитой LC+4.

4. В свойствах папки, во вкладке Вид, отключаем использование простого общего доступа к файлам. Применяем ко всем папкам.

5. Регулярно делаем полное обновление системы (Сервис Пак 2 и всё такое), ставим антивирус (мне нравится Dr. Web или Касперский) на постоянную защиту, также ставим себе BPS Spyware/Adware Remover, либо SpyBot, либо MicrosoftAntiSpyware (они, кроме BPS, к тому же ещё и бесплатные). Все выше перечисленные программки можно скачать в Интернете. Всё это дело обновляем и регулярно проводим полную проверку. Не реже, чем 2 раза в месяц.
Регулярно заходим в Пуск ->Выполнить ->msconfig ->Автозагрузка. Там не должно быть ничего кроме антивируса, ctfmon и фаервола. В Win2000 такой команды нет, там можно использовать программу RegCleaner. Также различные нежелательные процессы можно отслеживать утилиткой HijackThis.

6. В свойствах сетевых подключений во вкладке либо Сеть, либо Общие, отключить Службу доступа к файлам и принтерам сетей Майкрософт и Клиент для сетей Майкрософт. Во вкладке Дополнительно Брандмауэр естественно должен быть включен.
Далее заходим в Свойства протокола TCP/IP (во вкладке либо Сеть, либо Общие -> Протокол Интернета TCP/IP-> щелкаем по кнопочке Свойства). Щёлкаем по кнопке Дополнительно. И если у вас есть вкладка параметры (она есть в ЛВС или высокоскоростной Интернет), то заходим туда, если нет, то во вкладке WINS отключаем NetBIOS через TCP/IP.
Соответственно если есть вкладка Параметры, NetBIOS через TCP/IP не отключаем, а там смотрим наличие в Необязательных параметрах Фильтрация TCP/IP. Заходим в свойства. Там ставим галочку на Задействовать фильтрацию TCP/IP (все адаптеры). Там ставим TCP-порты только 20, 21 (чтобы работало ftp), 25 (исходящая почта), 80 (Интернет), 110 (входящая почта), 443 (Интернет), 5190 (icq), 6667 (mirc) 8008, 8080, 8088 (Интернет). UDP-порты только 53. IP-порты только 47. Дальше перезагружаемся. Это необходимо, т.к. по умолчанию у тебя ещё разрешены TCP-порты: 135, 139, 445. А большинство хакерских атак идут как раз через них.

7. Устанавливаем себе вместо Internet Explorer (очень много уязвимостей) Opera 8.0, а вместо Outlook Express The Bat! Либо обновляем, либо ставим последние версии.

8. В Интернет браузере всё отключаем по максимуму. В первую очередь использование java script (активного содержимого веб-страниц) и картинки. Конечно это уже перебор :), но иногда на порно сайтах такое попадается, что компутер приходится реанимировать всю оставшуюся ночь. А в почте стараемся не читать сообщения с заголовками “I love you”, либо “Я тебя люблю”, либо “Вы выиграли миллион” и так далее, и тому подобное, даже если письмо пришло от вашего друга или подруги, не открывать вложенные файлы (голая Бритни Спирс, супер мега кряк на все программы на свете) от неизвестных людей.
И никому и никогда не высылаем своих личных данных! Письма могут приходить от кого угодно. Реальный пример: admin@mail.ru .

9. Можно ещё поэкспериментировать с шаблонами безопасности. Существуют готовые шаблоны безопасности. В Пуск ->Панель управления ->Администрирование ->Локальная политика безопасности -> правой кнопкой мыши щёлкаем по Параметры безопасности ->Импорт политики.
Безопасность по умолчанию (Setup security.inf)
Защита (Secure*.inf) В шаблоне «Защита» определяются параметры повышенной безопасности.
Повышенная защита (hisec*.inf) Группа шаблонов повышенной защиты включает в себя шаблоны, налагающие дополнительные ограничения на уровни кодировки и подписи.
Справку по шаблонам можно найти там же. После импорта конкретной политики желательно её тщательно просмотреть и откорректировать по своему усмотрению.

10. Устанавливаем XP на файловую систему NTFS. Либо XP уже установленный на FAT32 преобразуем в NTFS. Для этого используем утилиту Convert.
Синтаксис команды
CONVERT том: /FS:NTFS [/V] [/CvtArea:имя_файла] [/NoSecurity] [/X]
том – определяет букву диска (с последующим двоеточием) точку подключения или имя тома.
/FS:NTFS Конечная файловая система: NTFS.
/V Включение режима вывода сообщений.
/CVTAREA: имя_файла Указывает непрерывный файл в корневой папке для резервирования места для системных файлов NTFS.
/NoSecurity Параметры безопасности для преобразуемых файлов и папок будут доступны для изменения всем.
/X Принудительное снятие этого тома (если он был подключен). Все открытые дескрипторы этого тома станут недопустимыми.
На мой взгляд, проще это можно сделать утилитой Partition Magic.

11. Устанавливаем у себя фаервол (я рекомендую Outpost 2.3), либо просто систему IDS обнаружения вторжений (я рекомендую BlackICE Defender). В фаерволе настраиваем разрешенные приложения: сам фаервол, Интернет браузер, почтовая программа, антивирусная программа, остальное - на ваше усмотрение. Далее настраиваем фильтрацию пакетов: TCP-порты только 20, 21 (чтобы работало ftp), 25 (исходящая почта), 80 (Интернет), 110 (входящая почта), 443 (Интернет), 5190 (icq), 6667 (mirc) 8008, 8080, 8088 (Интернет). UDP-порты только 53. IP-порты только 47. Остальное запрещаем. Если у вас очень агрессивная сетка, фаервол и IDS устанавливать не хочется, то можно ограничиться программкой типа attacker или nukenabber против атак на отказ в обслуживании (DOS и DDOS).

12. Скачиваем из Интернета две программки XSpider 6.50 Christmas Edition и XSpider 7.0 Demo (возможно на настоящий момент есть уже более поздние бесплатные версии). И сканируем ими свой компьютер на предмет неучтенных уязвимостей, а возможно и компутер соседа, который ещё не успел ознакомиться с данной статьёй ;).

Вот наверное и всё. Не подумайте, что это излишне. Мир развивается, технологии растут. И скоро уже ваш до сих пор неприступный компутер станет лёгкой мишенью для мелких компьютерных хулиганов…