TaNkist
21.12.2006, 15:01
Стандартная защита в Windows
Каждый пользователь от ушастого ламера до матерого админа мечтают сделать свою ОС максимально безопасной. Для этого компьютер обвешивается целой кучей security-утилит: антивирусы, файрволы, antispyware и т.д. При этом часто забывают о возможностях своей винды для обеспечения безопасности. Ниже пойдет речь о Windows XP SP2 с файловой системой NTFS, хотя многое применимо и для Win2000 и для 2003 Server.
Отключения сервисов. Не буду повторять в сотый раз списки служб, который можно отключить (хороший мануал можно найти на oszone.ru), скажу лишь, что отключая сервисы ты не только повышаешь производительность, но и улучшаешь безопасность (ведь каждый сервис – это потенциальная дыра).
Разграничение доступа. Важный момент в обеспечении безопасности системы. Во-первых, стоит запомнить, что не стоит использовать учетную запись «администратор» для повседневной работы. Согласись, что для серфинга Интернета и чтения почты тебе хватит прав «пользователя», а вот после того, как вирус, запущенный с правами администратора, вылезет на нулевое кольцо или отформатит винт, ты пожалеешь о своей беспечности.
Поэтому сейчас же установи на админскую учетку пароль, и используй ее только для установки нового оборудования. Настройке ОС ит.д.
Некоторые программы отказываются запускаться не под админом. Поэтому придется действовать так: ПКМ \ Запуск от имени…. К сожалению винда не может сохранять пароль, а вбивать ручками слишком долго. Поэтому рекомендую использовать программу KeepPass.
Ты, наверное, не раз пробовал запускать вирусы и Трояны под виртуальной машиной. Это дает гарантию, что вредоносные приложения не нагадят в основной системе. Под виртуальной машиной нужно запускать «потенциально опасные» приложения, т.е. те программы, которые могут быть атакованы из сети (IE, Opera, FireFox, Outlook, The Bat!, QIP…). Правда работать в таких системах невозможно из-за жутких тормозов. Придется строить виртуальную машину средствами самой ОС.
В общем случае создание такой песочницы выглядит так:
Сначала создадим новую учетную запись. Для того чтобы эта запись не мешала при входе в систему нужно создать в ключе HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\SpecialAccounts\UserList новый параметр с именем пользователя типа dword и с нулевым значением. Потом запрещаем в свойствах безопасности каталогов доступ для нового пользователя: ПКМ \ Безопасность \ Добавить \ Пишем имя пользователя \ Запрещаем полный доступ. Причем удалять группу, в которую входит пользователь совсем не обязательно, т.к. политика запрещения больше политики разрешения. Чтобы узнать, что нужно разрешить программе, чтобы она запускалась в таких ограниченных условиях. Нужно воспользоваться мониторами файлов и реестра.
Не нужно создавать общую учетную запись для всех опасных программ, т.к. Троян. Запущенный через бажный IE, уведет твой ICQ – номерок, пароль от которого сохранен в конфиге клиента.
Обнаружение неприятеля. Если же вредоносные программы все же пробрались на компьютер, то нужно их найти и уничтожить. Для выявления аномалий в работе винды будем использовать две утилиты netstat и tasklist. Начнем, пожалуй, с процессов. Итак, tasklist показывает запущенные в системе процессы и их PID. Ключ /m показывает DLL, загруженные процессом. С помощью этого ключа можно найти кейлоггеры, работающие через SetHook, а также Трояны. Подгружающие свои библиотечки к доверенным процессам файрвола. Ключ /svc покажет службы. А ключ /v отобразит более подробную информацию.
Плавно переходим к работе с сетью, а точнее к работе с netstat. Итак, она позволяет получить информацию об открытых портах и установленных соединениях. Ключ /a показывает активные порты и порты в режиме прослушивания. Ключ /o – PID процессов открывших порты. С его помощью, например, можно вычислить процесс, открывший шелл. Ключ /n показывает адреса и номера портов в числовом формате.
Полагаться на показания данных утилит не стоит, т.к. во многие трояны включают модули, позволяющие скрыться от пользователя.
Следующим нашим шагом будет выявление модификаций системных файлов. Для этого нам понадобятся SFC и FC, входящие в штатную поставку Windows. SFC позволяет выявлять изменение системных файлов и восстановить их из кэша. Т.к. в вирус легко может изменить и файл в кэше, то нужно запустить утилиту с ключом /PURGECACHE. Тогда SFC очистит кэш и потребует диск с дистрибутивом, причем дистрибутив должен содержать те же хотфиксы и сервис-паки, что и сама винда. Поэтому перед установкой обновлений придется интегрировать в него все патчи. Для этого нужно скопировать дистрибутив на жесткий диск. Затем распаковать сервис-пак, запустив его с ключом /x. Затем запустить UPDATE.EXE из папки UPDATE с ключом /integrate. Затем следует подготовить загрузочный ISO-образ с помощью UltraISO.
Утилита FC.exe умеет сравнивать два файла и находить в них отличия. Основные ключи: /b – сравнение двоичных файлов, /a – вывод первой и последних строк для каждой группы различий. Применять утилиту нужно так: fc.exe [полный путь до первого файла] [Полный путь до второго].
Надеюсь, что данные рекомендации помогут сделать твою ОС безопасней. Конечно, 100% защиты от взлома никто не гарантирует, но среднестатистическому Трояну будет нелегко в правильно настроенной системе.
Каждый пользователь от ушастого ламера до матерого админа мечтают сделать свою ОС максимально безопасной. Для этого компьютер обвешивается целой кучей security-утилит: антивирусы, файрволы, antispyware и т.д. При этом часто забывают о возможностях своей винды для обеспечения безопасности. Ниже пойдет речь о Windows XP SP2 с файловой системой NTFS, хотя многое применимо и для Win2000 и для 2003 Server.
Отключения сервисов. Не буду повторять в сотый раз списки служб, который можно отключить (хороший мануал можно найти на oszone.ru), скажу лишь, что отключая сервисы ты не только повышаешь производительность, но и улучшаешь безопасность (ведь каждый сервис – это потенциальная дыра).
Разграничение доступа. Важный момент в обеспечении безопасности системы. Во-первых, стоит запомнить, что не стоит использовать учетную запись «администратор» для повседневной работы. Согласись, что для серфинга Интернета и чтения почты тебе хватит прав «пользователя», а вот после того, как вирус, запущенный с правами администратора, вылезет на нулевое кольцо или отформатит винт, ты пожалеешь о своей беспечности.
Поэтому сейчас же установи на админскую учетку пароль, и используй ее только для установки нового оборудования. Настройке ОС ит.д.
Некоторые программы отказываются запускаться не под админом. Поэтому придется действовать так: ПКМ \ Запуск от имени…. К сожалению винда не может сохранять пароль, а вбивать ручками слишком долго. Поэтому рекомендую использовать программу KeepPass.
Ты, наверное, не раз пробовал запускать вирусы и Трояны под виртуальной машиной. Это дает гарантию, что вредоносные приложения не нагадят в основной системе. Под виртуальной машиной нужно запускать «потенциально опасные» приложения, т.е. те программы, которые могут быть атакованы из сети (IE, Opera, FireFox, Outlook, The Bat!, QIP…). Правда работать в таких системах невозможно из-за жутких тормозов. Придется строить виртуальную машину средствами самой ОС.
В общем случае создание такой песочницы выглядит так:
Сначала создадим новую учетную запись. Для того чтобы эта запись не мешала при входе в систему нужно создать в ключе HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\SpecialAccounts\UserList новый параметр с именем пользователя типа dword и с нулевым значением. Потом запрещаем в свойствах безопасности каталогов доступ для нового пользователя: ПКМ \ Безопасность \ Добавить \ Пишем имя пользователя \ Запрещаем полный доступ. Причем удалять группу, в которую входит пользователь совсем не обязательно, т.к. политика запрещения больше политики разрешения. Чтобы узнать, что нужно разрешить программе, чтобы она запускалась в таких ограниченных условиях. Нужно воспользоваться мониторами файлов и реестра.
Не нужно создавать общую учетную запись для всех опасных программ, т.к. Троян. Запущенный через бажный IE, уведет твой ICQ – номерок, пароль от которого сохранен в конфиге клиента.
Обнаружение неприятеля. Если же вредоносные программы все же пробрались на компьютер, то нужно их найти и уничтожить. Для выявления аномалий в работе винды будем использовать две утилиты netstat и tasklist. Начнем, пожалуй, с процессов. Итак, tasklist показывает запущенные в системе процессы и их PID. Ключ /m показывает DLL, загруженные процессом. С помощью этого ключа можно найти кейлоггеры, работающие через SetHook, а также Трояны. Подгружающие свои библиотечки к доверенным процессам файрвола. Ключ /svc покажет службы. А ключ /v отобразит более подробную информацию.
Плавно переходим к работе с сетью, а точнее к работе с netstat. Итак, она позволяет получить информацию об открытых портах и установленных соединениях. Ключ /a показывает активные порты и порты в режиме прослушивания. Ключ /o – PID процессов открывших порты. С его помощью, например, можно вычислить процесс, открывший шелл. Ключ /n показывает адреса и номера портов в числовом формате.
Полагаться на показания данных утилит не стоит, т.к. во многие трояны включают модули, позволяющие скрыться от пользователя.
Следующим нашим шагом будет выявление модификаций системных файлов. Для этого нам понадобятся SFC и FC, входящие в штатную поставку Windows. SFC позволяет выявлять изменение системных файлов и восстановить их из кэша. Т.к. в вирус легко может изменить и файл в кэше, то нужно запустить утилиту с ключом /PURGECACHE. Тогда SFC очистит кэш и потребует диск с дистрибутивом, причем дистрибутив должен содержать те же хотфиксы и сервис-паки, что и сама винда. Поэтому перед установкой обновлений придется интегрировать в него все патчи. Для этого нужно скопировать дистрибутив на жесткий диск. Затем распаковать сервис-пак, запустив его с ключом /x. Затем запустить UPDATE.EXE из папки UPDATE с ключом /integrate. Затем следует подготовить загрузочный ISO-образ с помощью UltraISO.
Утилита FC.exe умеет сравнивать два файла и находить в них отличия. Основные ключи: /b – сравнение двоичных файлов, /a – вывод первой и последних строк для каждой группы различий. Применять утилиту нужно так: fc.exe [полный путь до первого файла] [Полный путь до второго].
Надеюсь, что данные рекомендации помогут сделать твою ОС безопасней. Конечно, 100% защиты от взлома никто не гарантирует, но среднестатистическому Трояну будет нелегко в правильно настроенной системе.