| Ну, для начала, советую проверить файловую систему, которая используется. Если тебе действительно важна безопасность, то выбор один - это NTFS. И не верь всяким там супер-пупер хацкерам и другому подобному народу, утверждающему, что FAT - это сила, а NTFS-отстой. NTFS это самая надежная файловая система. Она позволяет расставлять параметры доступа практически любому файлу. А NTFS5 поддерживает ограничение по квотам (можно ограничивать папку на занимаемое ей место). Теперь о том, как перейти с FAT на NTFS и при этом не потерять данные. Во-первых, при установке Win'2000\XP это можно сделать автоматически, в соответствующий момент, ответив утвердительно на соответствующий вопрос. Можно преобразовать FAT16 (или FAT32) в NTFS и позже - воспользовавшись командой CONVERT. Синтаксис этой команды такой: convert [диск] /fs:ntfs [/v] где V-параметр, позволяющий не гадать при следующей перезагрузке системы, идет конвертация или нет, а видеть соответствующие сообщения о происходящем процессе на экране. Кроме встроенных средств Windows, для преобразования FAT в NTFS можно воспользоваться замечательной программой Partition Magic, позволяющей к тому же при необходимости выполнить и обратное преобразование - из NTFS в FAT, и тоже без потери данных. По крайней мере, у меня не было такого случая, когда я что либо терял;). По умолчанию задавать параметры безопасности нельзя. Но для того чтобы это было возможно, лезем в Панель управления=> Свойства папки=> Вид и убираем галочку напротив "Использовать простой общий доступ к файлам". Здесь же выбираем "Показывать скрытые файлы и папки". Настройки в панели управления: Лезем в Панель управления=> Администрирование=> Локальная политика=> Локальные политики=> Параметры безопасности. В появившемся списке слева находим строчку: "Переименование учётной записи администратора". Дважды кликаем по ней и вводим что-нибудь другое. Так же поступаем и с учётной записью гостя. Ищем строку "Состояние учётной записи 'Администратор'". Если ты хочешь всё время использовать другое имя, нежели изменённое имя администратора - выключаем эту опцию. Обязательно выключаем учётную запись 'Гость' (Guest) (по умолчанию она уже отключена, но на всякий пожарный надо самому в этом убедиться;). Ищем что-то типа "Уровень аутентификации LAN Manager" и выбираем "Использовать NTLMv2\отклонять LM&NTLM". Это для того, чтобы избавится от недостатка LM-hash, который сохраняет твой пароль для входа в систему таким образом, что "разламывает" пароль (если он длиннее 7-и символов) на две части: одна часть длинной 7 символов, другая всё, что осталось. Десятизначный пароль взламывать труднее, чем два пароля длиной 7 и 3 символа. Ищем "Не показывать имя последнего пользователя" и изменяем параметр на "Включён" (в англ. винде это " Interactive logon: Do not display last user name"). Эта штука нужна для того, чтобы при входе в систему не показывалось имени последнего залогиневшегося юзера. Также можно изменить максимальный срок действия паролей. Изменяем "Очищать файл подкачки при завершении работы" на "Включён". А теперь в списке слева выбираем: Локальные политики->Назначение прав пользователя. Справа ищем: Доступ к компьютеру из сети. Если ты не используешь NETBIOS для доступа к твоему компу из сети - выкидывай всех. Отказ в доступе к компьютеру из сети. Опять же: не нужен NETBIOS-доступ к твоему компу из сети - выбираем всех, кого можно. Отклонить локальный вход. Кого выберешь здесь тот не сможет войти в твой комп локально (для тех, кто в танке: локальный вход - это вход, который производится, когда ты включаешь комп и входишь в систему). Смотри, не переборщи: если выберешь всех - никто не сможет войти в твой компьютер локально (даже администраторы). Лично я выкинул только группу "Гости". Принудительное удалённое завершение. Выкидываем из этого списка ВСЕХ! Все остальные настройки, в которых по умолчанию в параметрах вписана группа Администраторы (Administrators) настраиваются так, чтобы по возможности сама эта группа там не фигурировала: нужны администраторы - выбирай их имена, а не всю группу. В правом списке лезем в "Локальные политики=> Аудит". Здесь настраиваются те параметры, которые должны регистрироваться в журналах системы. Можно выбирать успех и/или отказ. Особо много не выбирай, ибо систему нагружает (по большому счёту домашним пользователям регистрация в журналах особа не нужна). Всего три журнала: безопасности, приложений и системный. Доступ к ним осуществляется через Панель управления=> Администрирование=> Просмотр событий. Снова лезем в правый список и ищем "Политики учётных записей=> Политика паролей". Здесь можно настраивать по вкусу. Рекомендую включить опцию "Пароль должен отвечать требованиям сложности". В каталоге справа находим "Политика блокировки учётной записи". Пороговое значение блокировки устанавливаем на 3, блокировка учётной записи - на 30 минут. Это значит, что если кто-то пытался получить доступ к какой-то учётной записи, и три раза подряд ему было отказано в доступе, то учётная запись (имя пользователя), к которой была попытка получения доступа, будет заблокирована на 30 минут, в течение которых доступ к учётной записи даже с правильным паролем запрещён, так же не помогает сброс пароля (если заблочило какую-нибудь учетку, перезагружаеш комп и меняешь дату, и все, дальше блокировка будет снята). Также советую отключить встроенный фаервол: так как это не фаер, а полный отстой, если тебе действительно нужна хоть какая то безопасность, то лучше поставь Outpost Firewall. И так отключаем: Панель управления=> Администрирование=> Службы=>, и в правом списке ищем = Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS), в поле тип запуска выбираем Отключено. Отключаем пишущий CD движок, пора юзать NERO: Панель управления=> Администрирование=> Службы=>, и в правом списке ищем, = Служба COM записи компакт-дисков IMAPI, в поле тип запуска выбираем Отключено. Автоматическое обновление компонентов, надеюсь, ты знаешь, что это такое: Панель управления=> Администрирование=> Службы=>, и в правом списке ищем = Автоматическое обновление, и в поле тип запуска выбираем Отключено. Истинная красота в нутрии. Отключаем графические навароты: Панель управления=> Система, вкладка Дополнительно: Быстродействие: Параметры: Обеспечить наилучшее быстродействие, и усе. Обеспечиваем наилучшую работу сети: Панель управления=> Администрирование=> Службы=>, и в правом списке ищем = QoS RSVP в поле тип запуска выбираем Отключено. Так же надеюсь, ты самостоятельно сможешь поставить правильную дату и время, если да то отключай: Панель управления=> Администрирование=> Службы=>, и в правом списке ищем = Служба времени Windows тип запуска выбираем Отключено. Отключение, каких либо действий RPC : Панель управления=> Администрирование=> Службы=>, и в правом списке ищем = Локатор удаленного вызова процедур (RPC) закладка = восстановление, и в параметрах: Первый сбой, Второй сбой, Последующие сбои ставим - Не выполнять никаких действий . Очень советую отключить службу: Удаленный реестр. Панель управления=> Администрирование=> Службы=>, и в правом списке ищем = Удаленный реестр, тип запуска выбираем Отключено. Реестр: Что ж, теперь наведём порядок в реестре. Для начала включаем автоматическую выгрузку неиспользуемых библиотек: HKLM\ SOFTWARE\ Microsoft\ Windows\ CurentVersion\ explorer создай подпапку с названием AlwaysUnloadDll (создается она так: правой кнопкой мышки на раздел explorer = создать = раздел с названием AlwaysUnloadDll, и в параметре По умолчанию ставим 1. В ХР есть очень надоедливые шары (общие документы), и их тоже можно удалить: HKLM\software\Microsoft\Windows\CurrentVersion\Explorer \MyComputer\NameSpace\DelegateFolders и удаляем ключ {59031a 47-3f72-44a7-89c5-5595fe6b30ee} и перезагрузка. В ХР есть встроенная прога Dr . Watson ее тоже можно отключить: HKLM\ software\Microsoft\WindowsNT\CurrentVersion\AeDebug, ставим в Auto 0. А сейчас будем отключать LM-КЭШ: HKLM\SYSTEM\ CurrentControlSet\Control\Lsa в параметре lmcompatibilitylevel ставим 2. Так же советую отключить автозапуск CD: HKLM\ SYSTEM\CurrentControlSet 001\Services\Cdrom, в параметре AutoRun поставь значение 0. Простой планировщик задач Windows HKLM\SYSTEM\CurrentControlSet\Services\Schedule в параметре Start ставим 0. Включение авто очистки своп файла при перезагрузке: HKLM\ SYSTEM\ CurrentControlSet\ Control\ Session Manager \Memory Management в параметре clearpagefileatshutdown cnfdbv 1. Лезем в HKLM\SYSTEM\CurrentControlSet\LanmanServer\ Parametrs и ищем параметр AutoShareWks и присваиваем ему значение 0. Если такового параметра нет - нужно создать его. Этот параметр отвечает за авто создание расшаренных ресурсов. Если тебе нужно использовать расшаренные ресурсы и к ним нужен удалённый доступ, лучше создать нужные ресурсы вручную. Идем в HKLM\SYSTEM\CurrentControlSet\Control\Lsa и создаём параметр типа REG_DWORD с названием restrictanonymous (возможно, он уже создан) и присваиваем ему значение 2. Это надо сделать для запрещения NULL-session: это когда можно присоединиться к компу для запроса различной инфы (например, НЕТБИОС имя компьютера, имя рабочей группы) без ввода имени пользователя и пароля (поэтому и нуль-сешшн). Пароль и логин к инету лучше не сохранять, т.к. его можно будет вытащить специальными утилитами. По умолчанию в системе выбрано запоминать логин и пароль, но даже если галочку убрать, логин сохраняется (а пароль уже нет). Чтобы это исправить лезем в HKLM\System\CurrentControlSet\Services\Rasman\Parameters и создаём параметр типа REG_DWORD с названием DisableSavePassword и присваиваем ему значение 1. Я ещё рекомендую вырубить RPC (Процедура удалённого вызова) из-за того, что толку, он неё немного, а комп однозначно становится более уязвимым (вспомни недавние баги в RPC!). Вырубаем: HKEY_LOCAL_MACHINE\Software\Microsoft\OLE- измените значение EnableDCOM к N. Параметры вступят в силу после перезагрузки. К реестру возможен удалённый доступ (при условии, что известно имя пользователя и пароль того юзера, права которого позволяют изменять реестр). Чтобы выборочно ограничить доступ к реестру удалённо и локально выбираем один из главных разделов, жмём правую кнопку и выбираем "Разрешения" здесь изменяем группы. ОБЯЗАТЕЛЬНО оставь СИСТЕМУ (SYSTEM). Вместо группы "Администраторы" (Administrators). Лучше выбирать имена админов. Жмем "Дополнительно". В появившемся окне ставим галочку напротив "Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам". Так нужно сделать со всеми главными разделами. В этом же окне можно задать параметры аудита реестра. Если удалённый доступ к реестру вообще не требуется можно его вырубить: лезем в Панель управления=> Администрирование=> Службы. Здесь находим Удалённый доступ к реестру (Remote Registry), дважды щёлкаем по нему и указываем тип запуска как "Отключено". Назначение доступа к файлам\папкам. Нужно правильно распределить: каким юзерам, в какой каталог можно залезать (возможно, в файловой системе NTFS). Для этого: щёлкни правой кнопкой на нужном файле\каталоге\диске и выбери "Свойства". Теперь ищи вкладку "Безопасность". Здесь два окошка: группы пользователей и их текущие права на данный ресурс. Редактируй его как считаешь нужным (ты ведь уже должен знать кому куда можно залезать, а кому нет!). И напоследок: Следует подумать о проверке своей системы сканером безопасности. Сейчас их достаточно много. Лично я- "домашний пользователь" (мой комп не является никаким веб-се рвером и т.д.) Поэтому я выбрал сканер Retina: он позволяет не только проверить систему на известные уязвимости, но и профиксить их одним нажатием на кнопку (если уязвимость связана с настройками системы!) ,Но также я и не забываю про наших Российских производителей (XSpider, неплохой сканер). Так же не забывай вовремя ставить заплатки. Истина гласит: нужно ставить заплатки сразу после их появления, а не когда очередной червь начнёт доставать! Не забывай посещать security-сайты. И, конечно же, поставь файрвол - тот же AtGuard, например или Outpost. Вот, собственно, и всё, что я хотел рассказать. Надеюсь, мои советы окажутся для тебя полезными.
|
