[Э_L_A_Y]

НАСТРАИВАЕМ БЕЗОПАСНОСТЬ WINDOWS XP С НУЛЯ.


В этой статье я попытаюсь понятным и доступным языком обьяснить как своими руками обезопасить свой домашний компьютер и свести риск вторжения в вашу личную жизнь через интернет к минимому.(статья рассчитана на начинающего пользователя)

Итак приступим...
Из стороннего програмного обеспечения нам понадобятся следующие приложения :
1.Брандмауэр(в статье я привожу примеры на Outpost Firewall, заменить можно любым анологичным продуктом, благо сейчас их полно).
2.Антивирус(Анологично, в статье используется NOD32)
3.WinPatrol.

Вот этот минимум который нам необходим.
Изначально огородим себя от излишних проблем и установим систему с последним сервиспаком.(последний сервис пак Windows XP, о которой идет речь в даной статье, это сервис пак 2).

Для справки - Сервис пак это,говоря простым языком, набор патчей для обновления системы и для устранения потенциальных брешей в безопасности, обьединенных в один пакет, либо уже интегрированных в сам дистрибутив.

Затем устанавливаем все(желательно) обновления выпущенные с момента выпуска сервис пака установленного вами или интегрированного в ваш дистрибутив. Этими действиями мы затыкаем все "дыры" в системе, о которых известно разработчикам Windows

Теперь можем смело настраивать сеть.
При указании всех реквизитов при подключении(IP адрес,DNS,Шлюз и маска подсети в случае с LAN) на вкладке свойствподключения по локальной сети можно смело снять галочки
-клиент для сетей Microsoft
-служба доступа к файлам и принтерам сетей Microsoft
Разумеется если не собираемся пользоваться этими услугами, но в большинстве своем они не нужны, а если вы не знаете,что это,и не пользуетесь расшаренными ресурсами, то тем более можете смело отключать, на работоспособность это никак не повлияет.

"Разбираемся" со службами.

-Telnet (позволяет удаленно подключаться к cmd и управлять компьютером, если по умолчанию не отключено, то отключить)
-Брандмауэр Windows (отключаем, если используем брандмауэр сторонних разработчиков, если нет, то авто)
-Модуль поддержки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper Service) (отключаем, если не пользуемся расшаренными ресурсами)
-Сервер (обеспечивает общий доступ к файлам и принтерам, на данном компьютере, отключаем если не предоставляем доступ)
-Сетевой вход в систему (отключаем)
-Службы терминалов(отключаем)
-Удаленный реестр (отключаем)

Вот этот минимум который можно отключить, я не рассматривал отключение служб для увеличения быстродействия, потому как к безопасности они не имеют никакого отношения. И всеравно при отключении или изменении настроек в разделе службы, рекомендую ознакомиться с описанием прежде чем вносить какие то изменения.

Прежде чем переходить к установке и настройке стороннего ПО внесем еще два значительных штриха.Создаем нового пользователя с ограниченными правами и впредь стараемся работать под ним,(панель управления_учетные записи пользователей) переключаясь на администратора В случаях необходимых для внесения изменений в конфигурацию системы. Тем самым работая под ограниченной учетной записью мы сводим риск заражения системы к 0, вирусы проникнувшие на ваш компьютер не смогут получить доступ к системным файлам, по одной простой причине, что доступ к ним имеет администратор, а запущены они будут под пользователем с ограниченными правами( разумеется, чтобы все это работало на диске должна быть установлена файловая система NTFS).
Устанавливаем пароль на администраторскую учетную запись и на этом настройку Windows средствами самой Windows можно считать завершенной. ( да еще можно включить систему аудита, но это на любителя)

Устанавливаем ПО

-Антиврус. Здесь, я думаю, проблем особых возникнуть не должно. Отвечаем на вопросы инсталлера NOD32, после инсталяции запускаем NOD и указываем адреса обновлений баз, затем в меню настройка выставляем все методы проверки и обьекты диагностики по максимому(NOD по умолчанию не проверяет архивы и не задействует эвристику) тем самым сводя риск заражения к минимомому.Далее регулярно следим, чтобы у нас были свежие базы и монитор антивируса был постоянно включен.

-Брандмауэр(Outpost Firewall) Контролирует весь входящий и исходящий
трафик,блокирует известные(брандмауэру) виды атак через интернет.
Заходим в параметры- приложения и удаляем там все правила, которые брандмауэр нам установил по умолчанию и создаемтолько те которые нам нужны и стеми хостами которым мы доверяем. Подробно останавливаться на процессе созданий правил я не буду, потому как это все описано в справке, да и Outpost здесь приведен лишь в качестве примера.
Скажу лишь о некоторых штрихах. Во вкладке "системные" можно отключить использование протокола ICMP, использующегося
как в технических целях администраторами сетей либо рабочих станций, так и взломщиками для определения атакуемой машины в сети. Но отключаем его с осторожностью,и не забываем его разрешить тогда, когда он может понадобится как вам самим так и администраторам вашей сети. В настройках локальной сети на этой же вкладке отключаем NetBios протокол, если не сделали этого ранее. В подключениях модулей в интерактивных элементах рекомендую отключить Active X, Java, внешние обьекты, всплывающие окна и разрешить их только в доверенных сайтах. Конечно, не спорю, что некоторым покажется тяжело серфить интернет с отключенными возможностями, которые предоставляют большинство сайтов. Но, например, отключение Java может уберечь пользователя от атаки XSS, целью которой в большинстве является кража cookie файлов пользователя, и
авторизация под ними на целевом ресурсе с правами пользователя, на которого была произведена данная атака. Java также может быть препятствием в некоторых случаях, когда нужна полная анонимность в сети. Вобщем решать вам.
На этом первую настройку брандмаура можно завершить и подправлять что то по необходимости и по нужде.

-WinPatrol позволяет контролировать установку злонамеренных программ на вашем компьютере. Программа контролирует важные системные области (область загрузки, системные папки, реестр), которые обычно изменяются злонамеренными программами. С помощью программы вы можете остановить процесс и отключить/разрешить starup
программы. Программа также позволят контролировать куки, удалять их основываясь на ключевом слове.
Также содержит множество других особенностей.
Причина по которой я выбрал эту программу заключается в следующем, она сообщает пользователю о всех попытках желающих изменить конфигурацию вашей машины "на лету" и только с вашего согласия они могут быть приняты.
К примеру- желает какой-либо вирус или вполне безобидная программа поселиться в автозагрузке вашей системы, прога сразу же даст знать вам об этом и вы на ходу можете либо разрешить, либо запретить. Так же контролируется файл hosts, куда хакер так же может внести свои настрйки, ассоциировав свой Ip с каким либо доверенным именем ресурса.
Так же контролируем доступ приложения по умолчанию к типам файлов.

Ну вот вроде бы и все, все элементарные методы настройки я описал, по мере поступления каких либо дополнительных идей буду, что-то добавлять.(патруль прикрепил к статье)

Автор:Э_L_A_Y

Комплект патчей для сервис пака 2 с момента выпуска(2004 год) по сентябрь(2006) здесь