В этой статье я расскажу как защитить
Windows2000\XP как физический и\или удалённый
компьютер. Эта тема достаточно разжёванная,
но тем не менее во многих подобных статьях
упускаются важные, на мой взгляд, моменты.
Тем более, что статья писалась для "домашних"
пользователей (хотя некоторые моменты
могут быть полезны администраторам),
которых значительно больше админов, и им
тоже важно знать как обезопасить свой комп,
например от воришек диал-ап'а. Я
постараюсь всё подробно объяснить что, где
и как настраивать.
Итак, приступим.
Зачем
защищать свой компьютер?
А тебя не пугает, что в твой компьютер могут
проникнуть из сети? Что может пропасть
какая-нибудь конфиденциальная информация?
Или что вирус чего-нибудь удалит? Многие
наивно полагают, что в их компьютер никто не
залезет... потому что нет ничего интересного
для взломщиков; да и вряд ли кто-нибудь
выберет именно их компьютер. На самом деле,
любой компьютер в сети представляет
интерес. Одним важно получить,
например, пароль к инету, а другие видят в
компьютерах их технические возможности,
например, возможность использования компа
как "счётную машинку" для перебора
паролей, для проведения DDoS атак и т. п.
Файловая
система, файлы
Первое, на что надо обратить внимание -
какая файловая система используется. Если
тебе действительно важна безопасность, то
выбор один - NTFS. И не верь всяким там супер-пупер
хацкерам и другому подобному народу,
утверждающему, что FAT - это сила, а NTFS - отстой.
NTFS более надёжная, позволяет
расставлять параметры доступа практически
любому файлу. А NTFS5 поддерживает
ограничение по квотам (можно ограничивать
папку на занимаемое ей место). Теперь о том, как перейти с FAT на NTFS и при
этом не потерять данные. Во-первых, при
установке Win' 2000\XP это можно сделать
автоматически - в соответствующий момент
ответив утвердительно на соответствующий
вопрос. Можно преобразовать FAT16 (или FAT32) в NTFS
и позже - воспользовавшись командой CONVERT.
Синтаксис этой команды такой:
convert [диск] /fs:ntfs [/v]
где V - параметр, позволяющий не гадать при
следующей перезагрузке системы, идет
конвертация или нет, а видеть
соответствующие сообщения о происходящем
процессе на экране. Кроме встроенных
средств Windows, для преобразования FAT в NTFS
можно воспользоваться замечательной
программой Partition Magic,
позволяющей к тому же при необходимости
выполнить и обратное преобразование - из NTFS
в FAT, и тоже без потери данных.
По умолчанию задавать параметры
безопасности нельзя. Для того, чтобы это
было возможно, лезем в Панель управления->
Свойства папки-> Вид и убираем галочку
напротив "Использовать простой общий
доступ к файлам". Здесь же выбираем "Показывать
скрытые файлы и папки".
Настройки
в панели управления
Лезем в Панель управления->Администрирование->Локальная
политика->Локальные политики->Параметры
безопасности. В появившемся списке слева
находим строчку: "Переименование учётной
записи администратора". Дважды кликаем
по ней и вводим что-нибудь другое. Так же
поступаем и с учётной записью гостя. Ищем
строку "Состояние учётной записи 'Администратор'".
Если ты хочешь всё время использовать
другое имя, нежели изменённое имя
администратора - выключаем эту опцию.
Обязательно выключаем учётную запись 'Гость'
(Guest) (по умолчанию она уже отключена, но на
всякий пожарный надо самому в этом
убедиться!). Ищем что-то типа "Уровень аутентификации
LAN Manager" и выбираем "Использовать NTLMv2\отклонять
LM&NTLM". Это для того, чтобы избавится от
недостатка LM-hash, который сохраняет твой
пароль для входа в систему таким образом,
что "разламывает" пароль (если он длиннее
7-и символов) на две части: одна часть
длинной 7 символов, другая всё, что осталось.
Десятизначный пароль взламывать труднее,
чем два пароля длиной 7 и 3 символа.
Ищем "Не показывать имя последнего
пользователя" и изменяем параметр на "Включён"(в
англ. винде это "Interactive logon: Do not display last user
name"). Эта штука нужна для того, чтобы при
входе в систему не показывалось имени
последнего залогиневшегося юзера. Также
можно изменить максимальный срок действия
паролей. Изменяем "Очищать файл подкачки
при завершении работы" на "Включён". А теперь в списке слева выбираем: Локальные
политики->Назначение прав пользователя.
Справа ищем:
- Доступ к компьютеру из сети. Если ты не
используешь NETBIOS для доступа к твоему
компу из сети - выкидывай всех. - Отказ в доступе к компьютеру из сети.
Опять же: не нужен NETBIOS-доступ к твоему
компу из сети - выбираем всех, кого можно. - Отклонить локальный вход. Кого выберешь
здесь тот не сможет войти в твой комп
локально (для тех кто в танке: локальный
вход - это вход, который производится,
когда ты включаешь комп и входишь в
систему). Смотри не переборщи: если
выберешь всех - никто не сможет войти в
твой компьютер локально (даже
администраторы). Лично я выкинул только
группу "Гости". - Принудительное удалённое завершение. Выкидываем из этого списка
ВСЕХ! - Все остальные настройки, в которых по умолчанию
в параметрах вписана группа
Администраторы (Administrators) настраиваются
так, чтобы по возможности сама эта группа
там не фигурировала: нужны
администраторы - выбирай их имена, а не
всю группу.
В правом списке лезем в "Локальные
политики->Аудит". Здесь настраиваются
те параметры, которые должны
регистрироваться в журналах системы. Можно
выбирать успех и/или отказ. Особо много не
выбирай, ибо систему нагружает (по большому
счёту домашним пользователям регистрация в
журналах особа не нужна). Всего три журнала:
безопасности, приложений и системный.
Доступ к ним осуществляется через Панель
управления-> Администрирование-> Просмотр
событий.
Снова лезем в правый список и ищем "Политики
учётных записей->Политика паролей".
Здесь можно настраивать по вкусу.
Рекомендую включить опцию "Пароль должен
отвечать требованиям сложности".
В каталоге справа находим "Политика
блокировки учётной записи". Пороговое
значение блокировки устанавливаем на 3,
блокировка учётной записи - на 30 минут. Это
значит, что если кто-то пытался получить
доступ к какой-то учётной записи, и три раза
подряд ему было отказано в доступе, то
учётная запись (имя пользователя), к которой
была попытка получения доступа, будет
заблокирована на 30 минут, в течение которых
доступ к учётной записи даже с правильным
паролем запрещён.
Реестр
Что жt, теперь наведём порядок в реестре.
Лезем в HKLM\SYSTEM\CurrentControlSet\ LanmanServer\Parametrs и ищем
параметр AutoShareWks и присваиваем ему значение
0. Если такового параметра нет - нужно
создать его. Этот параметр отвечает за авто
создание расшаренных ресурсов. Если тебе
нужно использовать расшаренные ресурсы и к
ним нужен удалённый доступ, лучше создать
нужные ресурсы вручную.
Идем в HKLM\SYSTEM\CurrentControlSet\ Control\Lsa и создаём
параметр типа REG_DWORD с названием restrictanonymous (возможно,
он уже создан) и присваиваем ему значение 2.
Это надо сделать для запрещения NULL-session:
это когда можно присоединиться к компу для
запроса различной инфы (например, НЕТБИОС
имя компьютера, имя рабочей группы) без
ввода имени пользователя и пароля (поэтому
и нул-сешшн).
Пароль и логин к инету лучше не сохранять, т.к.
его можно будет вытащить специальными
утилитами. По умолчанию в системе выбрано
запоминать логин и пароль, но даже если
галочку убрать, логин сохраняется (а пароль
уже нет). Чтобы это исправить лезем в
HKLM\System\CurrentControlSet\ Services\Rasman\Parameters и создаём
параметр типа REG_DWORD с названием DisableSavePassword и
присваиваем ему значение 1.
Я ещё рекомендую вырубить RPC (Процедура
удалённого вызова) из-за того, что толку он
неё немного, а комп однозначно становится
более уязвимым (вспомни недавние баги в RPC!).
Вырубаем: HKEY_LOCAL_MACHINE\Software\ Microsoft\OLE –
измените значение EnableDCOM к N. Параметры
вступят в силу после перезагрузки.
К реестру возможен удалённый доступ (при
условии, что известно имя пользователя и
пароль того юзера, права которого позволяют
изменять реестр). Чтобы выборочно
ограничить доступ к реестру удалённо и
локально выбираем один из главных разделов,
жмём правую кнопку и выбираем "Разрешения"
здесь изменяем группы. ОБЯЗАТЕЛЬНО оставь
СИСТЕМУ (SYSTEM). Вместо группы "Администраторы"
(Administrators). Лучше выбирать имена админов.
Жмем "Дополнительно". В появившемся
окне ставим галочку напротив "Заменить
разрешения для всех дочерних объектов
заданными здесь разрешениями, применимыми
к дочерним объектам". Так нужно сделать
со всеми главными разделами. В этом же окне
можно задать параметры аудита реестра.
Если удалённый доступ к реестру вообще не
требуется можно его вырубить: лезем в
Панель управления->Администрирование-> Службы.
Здесь находим Удалённый доступ к реестру (Remote
Registry), дважды щёлкаем по нему и указываем
тип запуска как "Отключено".
Назначение доступа к
файлам\папкам
Нужно правильно распределить: каким юзерам
в какой католог можно залезать (возможно в
файловой системе NTFS). Для этого: щёлкни
правой кнопкой на нужном файле\каталоге\диске
и выбери "Свойства". Теперь ищи вкладку
"Безопасность". Здесь два окошка:
группы пользователей и их текущие права на
данный ресурс. Редактируй его как считаешь
нужным (ты ведь уже должен знать кому куда
можно залезать, а кому нет!).
И напоследок:
- Следует подумать о проверке своей
системы сканером безопасности. Сейчас их
достаточно много. Лично я - "домашний
пользователь" (мой комп не является
никаким веб-сервером и т.д.) Поэтому я
выбрал сканер Retina: он
позволяет не только проверить систему на
известные уязвимости, но и профиксить их
одним нажатием на кнопку (если уязвимость
связана с настройками системы!). - Не забывай вовремя ставить заплатки.
Истина гласит: нужно ставить заплатки
сразу после их появления, а не когда
очередной червь начнёт доставать! - Не забывай посещать security-сайты.
- И конечно же поставь файрвол - тот же AtGuard
например или Outpost.
Вот, собственно, и всё, что я хотел
рассказать. Надеюсь, мои советы окажутся
для тебя полезными.