Безопасная работа на компьютере
| |
Eternal_Paladin | Дата: Вторник, 03.02.2009, 19:46 | Сообщение # 1 |
 Генерал-майор
Группа: Пользователи
Сообщений: 312
Статус: Offline
| Итак, в этой теме постараюсь рассказать, как можно настроить компьютер для безопасной работы большей частью в сети. То есть как защититься от различного вредоносного программного обеспечения. Описывать буду безопасность на MS Windows XP, ибо более старые версии неактуальны, а MS Windows Vista - это мерторожденный ребёнок, которые все уже давно похоронили, а если у вас на ноуте оно стоит, то срочно требуйте замену. Плюс через год появиться MS Windows 7, тестирование пребета версий которой уже говорят, что ребята из MS очень неплохо поработали над ошибками. Рассказывать буду поверхностно, особо не углубляясь, если что будет непонятно или потребует более детального описания, то приведу его. Далее, так как уровень знания и опыта у всех людей различен, то постараюсь внести своего рода классификацию пользователей и для каждого "класса" наиболее доступный уровень безопасности описать. Итак, классификация пользователей: 1) Базовый/начинающий пользователь (Basic User) Люди, которые научились без опаски включать кнопку Power на системном блоке, которые могут мышкой выбрать картинку пользователя и даже ввести пароль (не сложнее, чем 1234), которые могут нажимать на рабочем столе картинки с ярлыками для разных предустановленных программ. Любимые программы - ICQ, IE, WS Word, MS Picture Viewer. 2) Стандартный/рядовой пользователь (Standart User) Уже умеют пароли делать сложнее, могут сами ставить программы, правда с настройками по умолчанию (Default) и при установке программы выбирают режим рекомендуемый (Recommended), там где он есть. Могут делать простейшие операции, например создать архив, записать данные на болванки, отредактировать фотки и т.д. Зачастую помимо MS Word знают ещё и MS Excel. Умеют менять картинки рабочего стола и выбирать скринсейверы. Если речь идёт о работе в компании, то умеют работать в функциональном программном обеспечении (программы, которые созданы для автоматизации производства, бизнес-процессов и т.д.). 3) Продвинутный/опытный пользователь (Advanced User) Эти пользователи уже умеют менять некоторые настройки операционной системы, знают слово реестр (правда менять его боятся), знают понятие служб/сервисов в ОС, но вкл./выкл. боятся, более того, умеют переуставливать операционную систему, правда либо через режим восстановления, либо с загрузочных дисков. Знают для чего нужны драйвера и под стандарное железо могут их поставить с имеющихся с космпами дисков. Могут менять настройки стандартных, популярных, а также функциональных программ (если последнее положено по функциональным обязанностям) (типа MS Office, WinRAR, WinAMP, Nero и т.д. Могут настроить сетевое подключение, примерно представляют что такое IP-адрес, что такое DHCP и DNS. Слышали такие слова, как Макинтош, Фрибсдя, Линух, пэхапэ. 4) Мегапродвинутый пользователь (Power User) Любые программы ставят через режим Custom, ибо предпочитают знать, что им впаривают и что стоит у них на компе, не боятся лезть в реестр для просмотра, поиска, а то и изменения параметров. Знают для чего нужна большая часть служб в ОС и выкл. ненужные. Знают большую часть доступных настроек и параметров ОС и свободно их меняют под себя. Умеют ставить ОС почти на любой комп, зная какие драйвера под какое железо нужны. Знают что помимо популярных программ есть ещё огромный сектор бесплатного ПО, которое во многом лучше чем платное ПО и вовсю ими пользуются (OpenOffice.org, AIMP, 7Zip, InfraRecorder, XnView и т.д.) Знают и зачастую имеют некторые навыки работы в альтернативных ОСах, таких как MacOS, Free/Open/NetBSD, Linux (Mandriva, Ubuntu, RedHat и т.д. Знают о современных Интернет-технологиях и зачастую имеют некоторые навыки их использования (PHP, HTTP, Java и т.д.). Могут работать не только с клиентским, но и серверным оборудованием и серверным ПО (могут развернуть файловый, вэб, почтовый сервера, сервер баз данных и т.д.). 5) Суперпользователь (Super User) Свободно владеют операционной системой, более того, создают дистрибутивы ОСи под свои потребности сами. Знают другие операционные системы и зачастую пользуются ими. Могут сами создавать инфраструктуру сетей малых и средних компаний. 6) Гуру (God User) Сами пишут операционные системы, сетевые протоколы, программы. PS: Часто слышу от обычных пользователей что типа если ты программист или администратор, то ты очень много знаешь (типа Super User). Это далеко не так, ибо программирование часто суть, то же функциональное ПО, к тому же сейчас создано большое кол-во так называемых сред разработки, которые от людей требуют минимальных навыков програмирования и представлют и себя фактически конструктор Лего, где из наборов разных кубиков создаются разные программы. А по моей классификации такие люди могут быть от Advanced User или выше. То же самое и с админами. Для начала админов много, есть сисадмин, есть админ баз данных, админ ресурса, админ безопасности и т.д. По сути это тоже всё специализация на конкретном функциональном ПО. И если человек нормальный админ БД, это не значит что он хорошо владеет реестром, может сам поставить ОС и даже саму администрируемую БД. Тоже и с так называемыми Хакерами, большая их часть так же пользуется уже ранее написанным ПО для взлома программ, сайтов и т.д. То есть нужно лишь уметь ставить, настраивать и запускать программы и немного понимать что ты делаешь и зачем. Пока всё, позже напишу собственно о безопасности  Добавлено (03.02.2009, 19:42) ---------------------------------------------
Так, пожалуй начну с тех же кирпичиков, но на этот раз их которых состоит безопасность компьютера: 1) Использование современной операционной системы (далее - ОС), для которой обеспечивается регулярная техническая поддержка разработчика (например - Microsoft Windows XP (далее - WinXP)). 2) Своевременная установка различных сервис пэков (SP) и различных обновлений (KB), устраняющих критические уязвимости в ОС (для WinXP актуально SP3, и набор обновлений, которые можно актуализировать через сервис Windows Update; для Windows Vista актуально SP1 и уже на стадии релизной подготовки находится SP2). 3) Настройка безопасной политики учётных записей, а именно переименование учётной записи Администратор (Administrator) в иное название, например Megaadmin , установка пароля в соответствии с моей парольной статьёй, не менее 8 символов, по возможности уменьшить права основной учётной записи, которой пользуетесь, до пользовательских (по умолчанию стоят права администратора системы) и тоже задать пароль, можно достаточно простой. Если же права администратора необходимы, то задать сильный пароль. Как альтернатива - создать новую учётную запись с ограниченными правами, например назвав её Internet, специально для работы в сети Интернет. Для локальной работы использовать свою основную учётную запись. 4) Выключение всех ненужных служб, которых огромное кол-во, и большинство ненужны. 5) Установка лицензионного антивирусного программного обеспечения с регулярными обновлениями баз данных вирусных сигнатур. 6) Обязательная проверка антивирусным ПО всех флэшек, которые вы подключаете к своему компьютеру. 6) Настройка антивирусного ПО на тотальный контроль за всеми действиями с системой, контроль за реестром, за сетевыми службами и сервисами, блокирование программ, которым выход в сеть не нужен, блокирование ненужных для работы сетевых портов и протоколов. 7) Удаление антивирусного ПО за его малой эффективностью и высокой ресурсоёмкостью. Использование сторонних утилит для автоматизации поиска вредного и подозрительного ПО; регулярный контроль за автозапуском в реестре; отслеживание запущенных в системе процессов на предмет незнакомых/подозрительных; регулярный подсчёт контрольных сумм системных файлов и проверка их соответствия ранее подсчитанным суммам; при работе в сети понимать куда можно ходить, а где опасно и чистить кэш браузеров, а также историю посещений и автозаполнения, если вдруг случайно включили, после завершения их работы; при получении ссылок на иные вэб-страницы, а так же файлы, из (не)доверенных источников смотреть на их реальный адрес (например в строке состояния браузера); подозрительные скачанные файлы проверять антивирусными утилитами на безопасность перед запуском/просмотром. Вот пожалуй основные кирпичики безопасности. В идеале неплохо было бы использовать для дополнительной защиты аппаратные брандмауэры для выхода в сеть (некоторый их функционал сейчас реализуется в так называемых домашних интернет-шлюзах, но для сравнения стоимость такого шлюза в среднем 3-4 тысячи рублей, стоимость полнофункционального аппаратного брандмауэра составляет более 100 тысяч рублей, думаю комментарии излишни ); в сети пользоваться почтовыми сайтами, финансовыми службами и т.д., которые поддерживают шифрование данных по протоколу HTTPS; использовать выборочное шифрование своих конфиденциальных и личных данных на ваших флэшках, винчестерах, дисках; обеспечивать резервное копирование вышеназванных данных и их надёжное хранение (лучше - в сейфе). Но! Но всегда следует помнить основное правило безопасности - затраты на информационную безопасность (как денежные, так и временные) не должны превышать возможного ущерба от её нарушения (за исключением сведений, составляющих государственную тайну ). А уж считать эти затраты должны вы сами.  Добавлено (03.02.2009, 19:46) --------------------------------------------- Собственно, к какому типу пользователя себя отнести и какой уровень безопасности вы сможете сами себе настроить уже можно для себя отметить, в зависимости от (не)понимания тех настроек безопасности, что я привёл Позже напишу, что (не)может сделать каждый тип пользвователя для себя, исходя из вышеупомянутых компонентов.
|
|
| |
hmel | Дата: Пятница, 06.02.2009, 12:23 | Сообщение # 2 |
 Подполковник
Группа: Проверенные
Сообщений: 120
Статус: Offline
| хосподи я один и два в одном флаконе) 2) Стандартный/рядовой пользователь (Standart User)
|
|
| |
Шилов | Дата: Четверг, 12.02.2009, 01:18 | Сообщение # 3 |
Полковник
Группа: Пользователи
Сообщений: 195
Статус: Offline
| по п. 1 "Форточка" с точки зрения защиты и есть форточка. Как её не закрывай все равно сквозит п.4 Расшифровал бы! Конкретно, какие службы надо убрать? п.5 и п.7 противоречат друг другу :))))) ------------------------- И маленький совет. Т.к. куча вирусов/троянов распростроняется через флешки, когда втыкаете флешку нажмите Shift. Это не даст сработать автозапуску. Или, так сделал я, от имени пользователя с правами админа запустите команду gpedit (Пуск -> выполнить -> (набрать gpedit) -> Enter) В левом фрейме выбрать ветку "Конфигурация компьютера - Административные шаблоны - Система" В правом фрейме найти и выбрать (нажать Enter) строчку "Отключить автозапуск". В открывшемся окне выбрать "Отключен" -> "ОК" Внимание! Будет отключен не только автозапуск флешек но и CD! Для пущей надёжности повторите операцию для ветки "Конфигурация пользователя" После того как вставили флешку, ОБЯЗАТЛЬНО проверте её на наличие вирусов. (тут я на 100 % согласен с Паладином). Пусть это у вас войдет в привычку. И не слушайте тех, кто говорит мол на его флешке вирусов не может быть , всё равно проверяйте! PS Не так давно был обнаружен вирус на компак диске, который шел с журналом. Обнаружен был чисто случайно, сработала привычка проверять все новое "на вирус" 
|
|
| |
Вудро | Дата: Четверг, 12.02.2009, 13:45 | Сообщение # 4 |
 Генерал-майор
Группа: Пользователи
Сообщений: 252
Статус: Offline
| Quote (Шилов) Пуск -> выполнить -> (набрать gpedit) -> Enter Для справки - это не будет работать в XP Home Edition, только в Professional Но сам совет очень правильный. Отключить автозапуск с флешек можно запустив вот этот файлик: Он спросит "Вы действительно хотите добавить информацию в реестр?" - скажите "Да". После этого надо перегрузиться. Содержимое файла, для тех кто понимает : ---------- Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:00000004 ----------
|
|
| |
Шилов | Дата: Четверг, 12.02.2009, 16:11 | Сообщение # 5 |
Полковник
Группа: Пользователи
Сообщений: 195
Статус: Offline
| Quote (Вудро) Для справки - это не будет работать в XP Home Edition, только в Professional Спасибки, не знал. Home Edition не разу не ставил как то Quote (Вудро) "NoDriveTypeAutoRun"=dword:00000004 А не в курсе, что будет если поставить 00000001 или 00000002 или 00000003 ?
|
|
| |
Вудро | Дата: Четверг, 12.02.2009, 17:15 | Сообщение # 6 |
 Генерал-майор
Группа: Пользователи
Сообщений: 252
Статус: Offline
| Просто если раньше покупали компьютер с предустановленной системой, то там обычно стояла XP Home, поскольку она дешевле В ней нет управления групповыми политиками. Допустимые значения ключа: 0x1 - отключить автозапуск приводов неизвестных типов 0x4 - отключить автозапуск съемных устройств 0x8 - отключить автозапуск интегрированных устройств 0x10 - отключить автозапуск сетевых дисков 0x20 - отключить автозапуск CD-приводов 0x40 - отключить автозапуск RAM-дисков 0x80 - отключить автозапуск на приводах неизвестных типов 0xFF - отключить автозапуск вообще всех дисков. Значения шестнадцатеричные. Значения ключа могут суммироваться из числовых значений, потому можно подобрать необходимый вариант автозагрузки. Значение по умолчанию в XP - 0х91 ( т.е отключен автозапуск сетевых дисков и приводов неизвестного типа) Кстати из этого следует, что лучше прописывать 0х95 - я поправил файлик в предыдущем сообщении. Можно прописывать эти ограничения в ветку HKEY_CURRENT_USER но тогда они будут действовать только для текущего пользователя. При наличии этого ключа в ветке HKEY_LOCAL_MACHINE, значение в ветке HKEY_CURRENT_USER игнорируется.
|
|
| |
|