...
...

Безопасность персонального компьютера

Акт 1: Выбор, установка и отладка операционной системы

"А я вот уже два года без антивируса, и ничего, компьютер работает…" — именно так большинство пользователей компьютеров говорят, когда речь заходит о безопасности. С одной стороны посмотреть — ну зачем обычному человеку быть знающим в этом деле, если его работа на компьютере заканчивается набором документов, просмотром фильмов, игрой или прослушиванием музыкальных композиций? Но с другой… должен же хотя бы антивирус стоять… Эта статья предназначена для тех, кому не доставляет удовольствия чувство, что он не хозяин на своем компьютере. В ней будет изложено, как максимально обезопасить свой компьютер, при этом выложив за это минимальное кол-во средств или же ничего не выложив.

Если вы решили сделать ваш компьютер хорошо защищенным, то тут нужно следовать, так сказать, от самых корней к вершине. Нужно понимать, что защищенный компьютер — это не тот, у которого стоит антивирус Касперского (либо какой-то другой). Обеспечение должной защиты отберет у вас не один час времени и создаст определенные неудобства (об этом ниже). Таким образом, не стоит заблуждаться и думать, что это проще простого. Одним из самых важный критериев является выбор системы. От того, какую систему вы выберете, напрямую зависит сохранность вашего времени, а также успех данного мероприятия. Выбирать, пожалуй, будем из четырех наиболее распространенных: "старичок" Windows 98, "герои нашего времени" Windows XP Professional и Home Edition, а также главный соперник "оконных проемов" — Linux. Пожалуй, хватит… Можно было бы еще и NT с 2000-й вспомнить, но, поскольку XP — их удачный гибрид, то мы их опустим. Сразу оговорюсь по поводу двух ХР: если кто-то думает, что они одинаковые, то он глубоко заблуждается. Professional отличается от Home Edition, и довольно многим. Начать можно хотя бы с того, что у первой в панели управления есть вкладка "Администрирование", а у НЕ ее нету (естественно, речь идет о версии с неустановленным SP2). Причем это совсем не указывает на то, что НЕ нельзя администрировать — можно, просто лезть придется подальше. Также стоит отметить "закрытость" домашнего издания. Это объясняется тем, что потенциально профессиональная версия должна устанавливаться на всякого рода организациях и предприятиях, а им, как правило, необходимы некоторые "свободы" для нормального функционирования. Тут на помощь приходит вышеописанная вкладочка, позволяющая администратору без каких-либо трудностей подогнать винду под нужды компании. Ну, а домашней системе это незачем, поэтому умные дяди из "Майкрософт корпорейшен" сделали ее более закрытой, а следовательно — безопасной (по дефолту, естественно). "Брэнд" — 98-я система. В общем, она вполне терпимая, но есть одно "но". И это "но" называется вирус Win95.CHIN. Многие будут утверждать, что этот вирус давно уже похоронен под вековой пылью. Но смею вас заверить: нет! Да, он старый, но это не значит, что он не гуляет по сетям, дискам и т.д. Поэтому в данной ситуации отправим ветерана на заслуженный отдых. Отдельный разговор — это Linux. Эта система является продуктом с открытым исходным текстом. И это дает ей ряд преимуществ. Каких? Ну, во-первых выпуском заплаток озадачена не одна корпорация, а каждый пользователь. Любой может просмотреть код программы, найти уязвимость и изготовить хорошую заплатку. Это существенно уменьшает время между обнаружением уязвимости и изготовлением патча. Во-вторых, большинство продуктов для этой операционной системы распространяются свободно. Играет свою роль и то, что Windows — самая распространенная операционная система, и большинство внимания злоумышленников уделяется именно ей. Итак, подводя итоги вышесказанного, отметим, что оптимальным выбором будет Microsoft Windows XP Home Edition. Самой защищенной можно назвать Linux. Использовать в качестве плацдарма для боевых действий мы будем оптимальный вариант (ввиду его широкого распространения).

Вспомним недавнюю серию статей Германа Иванова — тех, где описывается программа nLite. Его идеи по поводу переименования учетной записи "Гость" в "Администратор" носят весьма интересный характер. Да и возможность использовать запись администратора в качестве вашей рабочей тоже является хорошей идеей — это убирает один из способов взлома (при установке Windows XP HE нет возможности внести администраторский пароль). Поэтому перед установкой ОС можно слегка отрихтовать этой полезной утилитой. Если же вы по каким-либо причинам не можете использовать эту программку, то сразу после установки ОС необходимо поставить солидный пароль (около 18 символов) на учетную запись администратора. Желательно, чтобы при наборе использовалось чередование больших и маленьких символов, а также цифры. Во избежание проникновения вредоносного кода на чистую систему из файлов старой жесткий диск необходимо отформатировать (желательно все разделы). Система должна быть с установленным SP2 (ниже нежелательно) плюс должны быть установлены все критические обновления, связанные с безопасностью, выпущенные после такового. Полный список обновлений всегда доступен для просмотра и скачивания на официальном сайте Microsoft corp. Теперь несколько слов о ключах системного реестра… Дело в том (и это ни для кого не секрет), что Windows по дефолту — одна большая дырка. Поэтому, чтобы хоть как-то ее прикрыть, помимо установки патчей, необходимо еще уйму времени потратить на ручную оптимизацию при помощи твикера. Так вот, начнем с реестра.

При работе в Сети система по умолчанию очень слабо шифрует потоки данных, поэтому нам необходимо отыскать параметр по имени lmcompatibilitylevel — найти его можно тут: HKEY_LOCAL-MACHINE\System\CurrentControlSet\Control\Lsa. После этого необходимо установить его значение равным двум — таким образом, уровень шифрования повысится. Также стоит помнить о том, что после выключения компьютера в файле подкачки остается много интересненького, и любой "грамотный" человечек, покопавшись там, сможет отыскать пароли, банковские данные и т.д. Поэтому я рекомендую очищать память при выключении, а сделать это можно, изменив значение параметра ClearPageFileAtShutdown, который находится по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management. Если значение поменять на "1", то операционная система перед выключением будет заполнять файл подкачки нулями.

В ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ MRxSmb\Parameters — RefuseReset изменим значение на 1 и таким образом отключим возможность удаленного отключения браузера.

Ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa — NoLMHash отвечает за хранение LM шешей при следующей смене пароля. Значение оставляем равным единице.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa — RestrictAnonymousSAM — пepeчиcлeниe учeтныx зaпиceй SAM aнoнимными пoльзoвaтeлями. Значение — 1.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa — RestrictAnonymous. Запрещает анонимным пользователям при входе в систему получить список имен пользователей домена и список совместно используемых директорий. Так называемая null-сессия. Значения: 0 = разрешить; 1 = ограничить; 2 = требовать разрешений.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg\AllowedPaths-Machine — пути в peecтpe дocтупны чepeз удaлeннoe пoдключeниe. Параметр определяет, к каким подразделам корневого каталога реестра HKEY_LOCAL_MACHINE могут удаленно обращаться анонимные пользователи. Значения: подразделы реестра.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager-ProtectionMode — устранение возможности атаки с использованием троянских DLL. В Windows основные системные библиотеки хранятся в памяти. Это позволяет несанкционированным пользователям получить административные привилегии на машине. Этот параметр отключает доступ к основным базовым библиотекам. Выставляем значение, равное 1.

Вообще при оптимизации системы можно пользоваться только реестром, однако можно все сделать и проще. Можно воспользоваться услугами программ- твикеров. Естественно, эти программы при выполнении поставленной вами задачи пользуются реестром, но при этом вы не напрягаетесь, ища определенный ключ. Но стоит знать, что твикеры только часть работы сделают за вас. Дальше для "подгонки" системы мы воспользуемся услугами программы Neo Tweaker Professional. Распространяется данная программа под флагом "FreeWare" и имеет приятный интерфейс (см. рис.).

Как видно на рисунке, слева имеется список областей влияния этой утилиты. Нас же с вами интересует только одна — "Безопасность". Каждая область делится еще на несколько пунктов. Видно также, что некоторые пункты окрашены в красный цвет. Это не оригинальный дизайн — эти пункты потенциально опасны, поэтому, если вы не уверены, следует предварительно создать точку восстановления. В правом нижнем углу имеется небольшое окошко, где указана информация о файле данной настройки, месте размещения и т.д. Чуть-чуть ниже этого окошка имеется строка с указанием версий операционных систем, на которые распространяется данная настройка. Область изменения настроек находится справа, а сразу под ней — еще одно информационное окошко (советую обращать на него внимание перед изменением параметров). Итак, просмотрим поочередно каждый пункт.

Менеджер запуска программ
Тут все понятно из названия. При выборе открывается окошко, где пользователь устанавливает параметры загрузки программ. Эта опция красная, и не зря. Неопытный пользователь может "намутить" такого, что придется долго разгребать… Однако же она не разрешает грузиться программам, "обделенным милостью", поэтому пользователь всегда может быть уверен в том, что программы не грузятся втайне от него.

Автоматический вход в систему
Были бы на земле все добрыми и хорошими, жили бы они в мире и согласии — тогда бы, может, эта функция и пригодилась бы. Все дело в том, что при активации этой "услуги" пароль вашей учетной записи сохраняется в реестре, и любой, кто более или менее умеет с ним работать, в два счета его извлечет. Поэтому ни в коем случае не активируем.

Автоматический вход в систему Novell Netware
Я не думаю, что кто-то пользуется услугами сетей Novell Netware. Хотя даже если и пользуется, то принцип работы у этой опции такой же, как и у предыдущей, только место хранения изменилось.

Автоматическое сокрытие ресурсов C$; admin$ и т.д.
Вот мы и подошли к еще одному большому и толстому просчету "майкрософтовской команды". Для тех, кто не знает, поясняю: в "окнах" по дефолту расшарены все ресурсы (!) (см. рис.).

Ужас, да? Однако, просмотрев, не стоят ли галочки напротив двух подпунктов, начинающихся со слова "Показывать", и нажав кнопку "Применить", вы легко исправите это упущение — после перезагрузки все будет закрыто. Ну, а для особых параноиков даю образец команды, удаляющей "шарик" на время одного сеанса: net share C$ /delete. На месте диска С может быть любой от ваших ресурсов (расшаренных), кроме IPC$.

Аккаунт Администратора в окне приветствия
Ну, тут объяснять нечего: стоит галочка — показывается аккаунт, не стоит — не показывается.

Вывод окна для ввода причины завершения работы
Выводится окно — вводится причина. Опция интересная, но нам не нужна.

Выключение компьютера из диалогового окна опознавания
Под этим чрезвычайно мудреным названием скрывается кнопочка "Выключить компьютер", которая находится в нижнем левом углу при выводе экрана приветствия. Параметр: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVerson\Winlogon-ShutdownWithotLogon:REG_SZ

Диспетчер задач
Ну, вроде бы склероза нет, да и руки работают неплохо — сам смогу включить что нужно и когда нужно.

Запрет использования групповых политик
Машина у нас домашняя, поэтому объекты групповых политик — только лишняя дыра в нашей и без того не золотой Windows.

Запрет на запуск экранной заставки
Смысл прост: заставка не будет запускаться.

Запрет на обход автоматического входа в систему
Когда у вас стоит автоматический вход в систему (см. пункт 2), то есть возможность его обойти и загрузиться под другим именем. Данный пункт пресекает попытки обойти автоматический вход в систему.

Запретить доступ к дискам в проводнике
Попробуйте поставить галочку напротив диска C:, и после перезагрузки вы не сможете на него попасть. Интересная опция… Ее можно использовать для прекращения доступа к секретным разделам. Однако человек знающий все же сможет отыскать тайник.

Запреты Internet Explorer
А вот IE я вообще не советую кому-нибудь использовать — намного лучше воспользоваться услугами Opera (плюс она еще и бесплатная).

Запреты восстановления системы
Эту опцию лучше не отключать. Мало ли когда понадобится систему восстановить…

Запреты для пользователей
Галочку ставим обязательно. Иначе пользователи будут себя слишком свободно чувствовать.

Запреты меню "Справка" Internet Explorer
Opera…

Запреты окна Windows Security
Пошел хозяин за чайком на кухню, а гость незаметно взял и сменил пароль через "Администрирование"… В общем, ставим галочку напротив первой строчки, а вторая (запретить кнопку "заблокировать") — на ваше усмотрение (у меня стоит).

Запреты окна "Свойства обозревателя" часть 1;2
Эта вкладка нас мало интересует. Ну если уж сильно хочется, что-нибудь запретите…

Защита файлов Windows
Галочку не ставим — нам необходима эта защита для того, чтобы кто-нибудь не подменил файлы системы ложными копиями.

Контроль сбоев системы
Тут ставим галочку напротив "Перезагрузка только оболочки", "Записать событие в системный журнал при сбое системы", "Отправлять административное оповещение" и устанавливаем полный дамп памяти для записи отладочной информации.

Нажатие Ctrl+Alt+Delete перед входом в систему
Не ставим галочку — требует нажатия, ставим — не требует. Все предельно просто.

Отключить слежение Windows за пользователем
Терпеть не могу, когда за мной следят, думаю, вы тоже… Ставим галочку.

Пароли
Первый пункт данной вкладки обязывает вас использовать алфавитно-цифровые пароли (на ваше усмотрение), а второй отменяет кэширование паролей (обязательно ставим).

Пароли Dial-UP
Думаю, никто не хочет, чтобы кто-то халявно лазил в нет, используя его аккаунт. Ставим галочку.

Пароль при выходе из ждущего режима
Еще одна вещь, повышающая безопасность, но из тех, которые на ваше усмотрение.

Сетевой доступ к различным типам носителей
Все просто: закрываем (или нет) сетевой доступ к приводам оптических дисков и флоппикам. Все зависит от того, необходимо ли вам предоставлять к ним доступ друзьям по сетке.

Скрытие дисков в проводнике
Данная опция скрывает любой раздел HDD, привод или флоппик. После перезагрузки в окне "Моего компьютера" вы их не увидите.

Снятие пароля на экранную заставку
От комментария воздержусь — и так понятно, что к чему.

Удаление вкладки DFS
Удаление этой вкладки не позволит DFS-пользователям изменять свойства локальных сетевых ресурсов.

Файл подкачки
Еще одна опасная опция. Галочку напротив "Не использовать файл подкачки для хранения ядра системы" не ставим.

Шифрование файловой системы EFS
Галочки не ставим — пусть шифрует.

Вот и все. Мы рассмотрели настройки безопасности программы Neo Tweaker. Теперь ваша система установлена и пропатчена. Вручную ошибки мы исправили, твикером тоже прошлись. Теперь можно приступать ко второму акту действа…

Продолжение следует.

Евгений Кучук, Spider Agent, spideragent@tut.by

© Компьютерная газета

полезные ссылки
Корпусные камеры видеонаблюдения