Хакеры пытаются кончить мой комп.

[NickGolovko]

Верно, по умолчанию не создает.

И не по умолчанию тоже не создает... :)

Но если вы, Ник, не используете данную возможность ав Касперского, это еще не значит, что её не используют пользователи, которым вы даете рекомендации. Ведь речь сейчас идет именно об этом - т.е. не о вашем личном компьютере, а о чужих системах. Согласитесь.

Наши рекомендации не теоретические и не наносят вреда. Мне казалось, пример наглядно показывает, что для однопользовательской системы seclogon бесполезен... :)

И по поводу остального, проконсультируйтесь, пожалуйста, у разработчиков Kaspersky Lab

Остального - чего? :) Принципов самозащиты KIS? Мне они известны лучше - я консультант на форуме ЛК и пользователь продукта, а вы не видели Касперского со времен давно устаревшей четверки... :)

[Sp0Raw]

Почему вы думаете, Nick, что мы наблюдаем такое количество SQL-инжекшенов, взломов и дефейсов серверов? Там все такие "профессионалы" работают, которые повторяют как папугай, то что Майкрософт говорит... ;)

Действительно, Paul, Вы правы. Там работают именно такие "профессионалы", которые не читают никакой документации, ни в чем толком не разбираются, но зато имеют очень большое самомнение. Говоря просто по-русски - невежды.

Вам, Paul (вместе с Вашим другом NickGolovko), прежде, чем советовать кому-либо что-либо, участвовать в каких-либо технических обсуждениях, было бы полезно почитать следующие книги, чтобы иметь какие-то базовые представления о предмете:

1. MICROSOFT WINDOWS GROUP POLICY GUIDE

Extend your administrative control with Group Policy—simplifying user and computer management and automating routine tasks.

• Design, implement, and modify Group Policy Objects (GPOs)

• Manage GPOs and policy settings; learn best practices for deployment

• Administer user settings, system configuration and access, and software installation and maintenance

• Customize administrative and security templates; create custom environments

• Manage IPSec, public key, and Windows Firewall policy settings

• Use Resultant Set of Policy tools and Group Policy logs to troubleshoot problems

2. MICROSOFT WINDOWS SECURITY RESOURCE KIT, SECOND EDITION

Learn how to help protect your Windows-based clients, servers, networks, and Internet services.

• Design security-enhanced Active Directory® objects, domains, and forests

• Utilize the Security Configuration Wizard and Windows Update Services

• Configure TCP/IP, 802.1x authentication, and the Windows Firewall

• Define security settings for domain controllers, IIS 5.0 and 6.0, and DNS, DHCP, WINS, RAS, and certificate servers

• Implement the security advances in Microsoft Office 2003 Editions, IIS 6.0, and the latest service packs

• Perform security assessments and respond to incidents

Подробнее здесь.

P.S. На остальное я тоже отвечу, но чуть позже. К сожалению, со временем большие проблемы сейчас. Заодно и представлюсь, хотя я очень не люблю, когда люди "давят" авторитетом, но, боюсь, в данном случае придется немножко пояснить, кто я есть. Чтобы в дальнейшем не было такой же ситуации. А то взяли за правило - накинулись на бедную девочку, да еще и в двоем. При этом ни одного аргумента, зато крики "а я", "да вот мы", "да вокруг все идиоты". Взгляните в зеркало.

А, вот еще книжка полезна будет:

3. MICROSOFT WINDOWS INTERNALS, FOURTH EDITION: MICROSOFT WINDOWS SERVER 2003, WINDOWS XP, AND WINDOWS 2000

Delve inside the Windows kernel—for the inside details and architectural insights you need for better design, debugging, and performance.

• Understand the key mechanisms that configure and control Windows

• Explore the Windows security model <<<<<

• Observe how Windows manages virtual and physical memory

• View the Windows networking stack from top to bottom, including mapping, APIs, name resolution, and protocol drivers

• Troubleshoot boot problems and perform crash analysis

• Experience Windows internal behavior firsthand with hands-on experiments

[NickGolovko]

1. MICROSOFT WINDOWS GROUP POLICY GUIDE

Групповая политика нами не освещается по одной простой причине: это доступно только на Windows XP Professional, мы же даем универсальные рекомендации.

2. MICROSOFT WINDOWS SECURITY RESOURCE KIT, SECOND EDITION

Об этом издании я должен узнать из приведенной вами ссылки? Если да, то оно посвящено Windows Server 2003, которую мы не описывали.

P.S. На остальное я тоже отвечу, но чуть позже. К сожалению, со временем большие проблемы сейчас. Заодно и представлюсь, хотя я очень не люблю, когда люди "давят" авторитетом, но, боюсь, в данном случае придется немножко пояснить, кто я есть. Чтобы в дальнейшем не было такой же ситуации.

Я с удовольствием выслушаю ваши комментарии, если вы не будете проявлять излишних эмоций. Если сочтете более удобным, можете воспользоваться электронным адресом для контакта с нами. Если не хотите - можем продолжить и здесь.

По ссылкам, которые вы представляете, и по защищаемой вами позиции я могу предположить, что вы принадлежите к Microsoft MVP. Однако решающего значения на восприятие ваших аргументов это не окажет. ;)

А то взяли за правило - накинулись на бедную девочку, да еще и в двоем. При этом ни одного аргумента, зато крики "а я", "да вот мы", "да вокруг все идиоты". Взгляните в зеркало.

Очень жаль, что у вас создалось подобное впечатление. Я попросил своего соавтора отписать его мнение, а не поддержать мою персональную линию.

Мне видится, что я привел достаточно аргументов. По крайней мере, моя позиция подтверждена фактами, в то время как от коллеги Saule я фактов не видел. Был бы искренне рад увидеть таковые.

Прошу вас сдерживать эмоции и не допускать намеков на оскорбления. ;) Это говорит не в вашу пользу.

[Sp0Raw]

То, что вы привели это мне очень хорошо известное классическое чтение "безопасности"... Дальнейшие разговоры с вами действительно бессмысленны... Не думаю, что поможет, на вот это вам на чтение: http://www.ranum.com/security/computer_sec...ditorials/dumb/

"Классическое чтение"? :-) Простите, но я был бы крайне признателен, если бы Вы пояснили конкретно, что именно Вы подразумеваете тогда под "неклассическим чтением"? На данном этапе нашего с Вами общения я воспринимаю это так: когда ничего не читают (особенно статьи и книги десятков умных людей), а только пишут советы для других. :-)

В данном случае немного походит на flood, но, к сожалению, вынужден признать, что Вы занимаетесь провокаторской деятельностью, нежели пытаетесь разобраться в сути проблемы, и понять в чем именно Вы неправы.

[Sp0Raw]

1. MICROSOFT WINDOWS GROUP POLICY GUIDE

Групповая политика нами не освещается по одной простой причине: это доступно только на Windows XP Professional, мы же даем универсальные рекомендации.

Я нигде не говорил об освещении Вами политик. Более того, речь не о Вас шла. Я сказал, что Paul'у было бы полезно почитать эти книги для общей эрудиции. Потому что я вижу, что Paul, к сожалению, не знаком с данной тематикой совершенно. Хотя, и Вам тоже это было бы не лишним. Еще раз перечитайте мое предыдущее письмо.

2. MICROSOFT WINDOWS SECURITY RESOURCE KIT, SECOND EDITION

Об этом издании я должен узнать из приведенной вами ссылки? Если да, то оно посвящено Windows Server 2003, которую мы не описывали.

Повторю - для общего развития. Чтобы потом не писать глупостей (и не подписываться под чужими) вроде "RunAs - это опасно/бесполезно" и т. д.

P.S. На остальное я тоже отвечу, но чуть позже. К сожалению, со временем большие проблемы сейчас. Заодно и представлюсь, хотя я очень не люблю, когда люди "давят" авторитетом, но, боюсь, в данном случае придется немножко пояснить, кто я есть. Чтобы в дальнейшем не было такой же ситуации.

Я с удовольствием выслушаю ваши комментарии, если вы не будете проявлять излишних эмоций. Если сочтете более удобным, можете воспользоваться электронным адресом для контакта с нами. Если не хотите - можем продолжить и здесь.

По ссылкам, которые вы представляете, и по защищаемой вами позиции я могу предположить, что вы принадлежите к Microsoft MVP. Однако решающего значения на восприятие ваших аргументов это не окажет. ;)

К Microsoft и их регалиям я никакого отношения не имею вообще (как и каких-либо сертификатов - они мне не нужны). И, скорее, MS с радостью бы "избавились" от меня, нежели бы вручало мне что-то такое. Попробуйте зайти на google и поискать там по ключевым словам "sp0raw/sporaw хакер". Или вот, например, мне сегодня скинули одну из статей (см. последний абзац). Как думаете, мог бы я иметь MVP фактически? Или знаю ли я некоторые вещи достаточно профессионально, чтобы иметь какие-то суждения?

Я не защищаю чью-либо позицию по одной простой причине: я говорю о технических аспектах безопасности. О непосредственных решениях и сути проблем. Не какие-то домыслы, предположения, а то, что я умею делать, в чем я разбираюсь, какие технологии я использовал (и использую практически каждый день) или даже придумывал сам.

А то взяли за правило - накинулись на бедную девочку, да еще и в двоем. При этом ни одного аргумента, зато крики "а я", "да вот мы", "да вокруг все идиоты". Взгляните в зеркало.

Очень жаль, что у вас создалось подобное впечатление. Я попросил своего соавтора отписать его мнение, а не поддержать мою персональную линию.

Мне видится, что я привел достаточно аргументов. По крайней мере, моя позиция подтверждена фактами, в то время как от коллеги Saule я фактов не видел. Был бы искренне рад увидеть таковые.

Saule привела не только общую информацию (достаточно подробную) о сути проблемы, но и большое число ссылок на описание технологий, на тестовые примеры (для их демонстрации), а так же реальное вредоносное использование. Ею же была описана суть межпроцессного взаимодействия и причины безопасного запуска.

Прошу вас сдерживать эмоции и не допускать намеков на оскорбления. ;) Это говорит не в вашу пользу.

Я всего лишь сказал, что не стоит вдвоем нападать на беззащитную девочку, при том, что она в данной ситуации права.

[NickGolovko]

Я нигде не говорил об освещении Вами политик. Более того, речь не о Вас шла. Я сказал, что Paul'у было бы полезно почитать эти книги для общей эрудиции. Потому что я вижу, что Paul, к сожалению, не знаком с данной тематикой совершенно. Хотя, и Вам тоже это было бы не лишним. Еще раз перечитайте мое предыдущее письмо.

Я понял вашу позицию.

Повторю - для общего развития. Чтобы потом не писать глупостей (и не подписываться под чужими) вроде "RunAs - это опасно/бесполезно" и т. д.

То есть вы все же видите для нее применение на компьютере, где только одна учетная запись? ;)

К Microsoft и их регалиям я никакого отношения не имею вообще (как и каких-либо сертификатов - они мне не нужны). И, скорее, MS с радостью бы "избавились" от меня, нежели бы вручало мне что-то такое. Попробуйте зайти на google и поискать там по ключевым словам "sp0raw/sporaw хакер". Или вот, например, мне сегодня скинули одну из статей (см. последний абзац). Как думаете, мог бы я иметь MVP фактически?

Прошу прощения. :) Это было лишь суждение. Оно могло быть истинным или ложным.

Я мало соприкасаюсь с тем, что принято именовать underground. Я просто мешаю работать malware, которое оттуда выходит.

Saule привела не только общую информацию (достаточно подробную) о сути проблемы, но и большое число ссылок на описание технологий, на тестовые примеры (для их демонстрации), а так же реальное вредоносное использование. Ею же была описана суть межпроцессного взаимодействия и причины безопасного запуска.

Я всего лишь сказал, что не стоит вдвоем нападать на беззащитную девочку, при том, что она в данной ситуации права.

Не во всем права - либо мы не можем друг друга понять. Я не могу согласиться с утверждением, что seclogon влияет на запуск служб от имени системных учетных записей и что охранный софт создает собственную учетную запись пользователя для своей самозащиты (так я понимаю позицию Saule). Если мое понимание ошибочно - поясните, что в действительности имелось в виду.

Плюс приношу свои извинения, если наши попытки выявить истину были столь для Saule неприятны, что она попросила вас вмешаться. ;)

[Brox]

Об этом издании я должен узнать из приведенной вами ссылки? Если да, то оно посвящено Windows Server 2003, которую мы не описывали.

Откройте вашу книгу и сделайте поиск на 2003.

[Sp0Raw]

не касаясь пока общих положений, предлагаю все же для ясности обсуждения Касперского рассмотреть конкретный пример.

На моем компьютере установлена Kaspersky Internet Security 6.0, seclogon отключена.

KIS работает следующим образом. Программа имеет интерфейс (avp.exe), запускаемый от имени моей учетной записи - и это происходит тем же образом для любого пользователя; имеет службу, которая занимается поиском вирусов и тому подобное - служба запускается от имени SYSTEM; имеет драйвер, который осуществляет самозащиту приложения - и это не позволяет

получать его Handle'ы, окна и вообще любые элементы,

- контролировать эти процессы посылкой специальных системных сообщений, используя функцию SendMessage(),

- читать данные из процесса с помощью функции ReadProcessMemory(), предварительно открыв этот процесс, используя OpenProcess(), писать (!) в этот процесс, модифицируя его код или внедряя новый, с помощью функции WriteProcessMemory(),

- управлять потоками других процессов: создавать "удаленные" потоки в них, используя CreateRemoteThread(), получать контекст через GetThreadContext(), и изменять его через SetThreadContext(), останавливать потоки через SuspendThread(),

- и еще очень многое другое.

Я не могу судить о другом софте, но с трудом могу представить, чтобы профессионалы защищали процесс столь примитивным образом, как запуск его от имени учетной записи другого пользователя. Запуск его в качестве службы - другое дело, но тоже не панацея. Нет сомнений, что в NOD32 имеется служба, запускаемая не от имени пользователя; тем не менее, черви типа Warezov весьма эффективно нарушают его работу. Нормальная эффективная самозащита от бездрайверных вирусов на данном этапе достижима исключительно посредством драйвера нулевого кольца.

Схема GUI (R3) - Service (R3) - Driver (R0) прекрасно известна и применяется очень многими приложениями. И даже при том, что драйвер может обладать функциями self-protection, а так же защищать (путем перехвата подсистемы win32k) свои компоненты (такие, как GUI) от приема "посторонних" сообщений или каких-то отдельных методик модификации кода/данных и/или получения каких-то указателей стандартными способами, это все равно НЕ ДАЕТ защищенности для процесса, который запущен из-под того же пользователя. Изоляция процессов друг от друга (при запуске из-под разных пользователей) реализована и контролируется на уровне ОС, поэтому ее нельзя "обойти" каким-либо способом. То, что говорите Вы - это все равно, что утверждать, что не нужно разделение на уровне процессора по разным кольцам (в частности R0/R3), мол, "это не дает безопасности, лучше бы все запускать с одного уровня, так проще, а следовательно, безопаснее". Поверьте, в Microsoft работают не идиоты. Особенно в Kernel Development Team.

Уверен, что если покопать, будет найден 1000 и 1 способ обойти ту самую "защиту", реализованную в Касперском. Потому что для возможности реализации полной изоляции своего процесса от других процессов, запущенных под тем же пользователем, пожалуй, нужно переписать вообще весь win32k.sys. Не удивлюсь, если работает экслоитирование через SetWindowLong(), а хэндлы можно найти/"украсть"/перехватить (при взаимодействии GUI и Service).

Но самое главное не в этом. То, что у Вас установлен KIS и нет другой учетной записи - отлично. Для Вас. Я вижу, что Вам это не нужно. У Вас и так все хорошо и прекрасно. Только есть одно "но". Совсем маленькое. Не нужно это советовать другим пользователям, если Вы не понимаете суть изложенных технических решений.

И еще небольшое, но очень важное, дополнение: в исходных сообщениях говорилось не о Касперском (он приводился лишь как пример, и не более того), и не говорилось о Ваших частных с Paul'ом компьютерах. Говорилось о сути проблемы в целом. И вся эта суть изложена последовательно, четко, основательно и верно.

Как простой пример. Я использую "левого" пользователя для работы за компьютером. У него практически нет никаких прав. В принципе, могу запустить любой вирус из "современных", кроме тех, что тупо удаляют доступные им файлы - он никуда не пропишется и ничего не отошлет.

Для администрирования же своей системы я запускаю explorer.exe или mmc.exe через runas. При этом я каждый раз ввожу пароль (это камень в огород Paul'а). И дальше получаю доступ на запись/просмотр к нужным каталогам, могу установить нужное приложение/драйвер или изменить какие-то системные настройки. Я вот тоже простой пользователь (возможно, чуточку не идиот, но все же) - нужна ли мне возможность использовать runas? Дает ли это бОльшую безопасность? Или Вы предлагаете каждый раз мне делать logoff, потом logon Administrator'ом, менять/получать доступ, и дальше опять - logoff его и загрузка уже под пользователем?

[NickGolovko]

Простите, вы действительно не видите, что мы в тексте рекомендуем отключение этой службы только на компьютерах с одной учетной записью пользователя?.. ;)

[Sp0Raw]

Простите, вы действительно не видите, что мы в тексте рекомендуем отключение этой службы только на компьютерах с одной учетной записью пользователя?.. :D

На компьютере с одной учетной записью можно вообще не говорить о безопасности. Ибо эта учетная запись - администратор. Соответственно, ему позволено все. Если только какая-нибудь специальная программа вроде OSPD (Proactive Defense) компании Online Solutions не будет "отнимать" "ненужные" права (понижать права), тем самым, защищая пользователя. (Примерно такая же схема реализована в Windows Vista, но в меньших масштабах).

Возвращаясь к службе. Еще раз. Приложение может создать пользователя для дальнейшего запуска своего GUI из-под этого пользователя. Но запустить, к сожалению, его не сможет.

[NickGolovko]

Возвращаясь к службе. Еще раз. Приложение может создать пользователя для дальнейшего запуска своего GUI из-под этого пользователя. Но запустить, к сожалению, его не сможет.

Приведите, пожалуйста, пример приложения, функциональность которого нарушается при отключении seclogon. :D

[Sp0Raw]

Приведите, пожалуйста, пример приложения, функциональность которого нарушается при отключении seclogon. :D

Привожу "пример приложения, функциональность которого нарушается при отключении seclogon":

%SystemRoot%\system32\runas.exe

[Saule]

NickGolovko

Я не знаю, почему я обратила внимание в первую очередь именно на 'RunAs' (честно говоря, остальное на тот момент просто еще не читала). Видимо, так получилось из-за того, что не так давно я обсуждала этот вопрос с одним человеком и была немного потрясена, насколько неверные взгляды летают в сети по поводу данной службы. Но не суть, хорошо (пусть это будет не моё дело). Но я продолжила чтение вашего материала. И вы знаете, Ник, недочетов там очень много.

Подробно останавливаться на каждом не буду, замечу только самое основное:

1. ( Диспетчер очереди печати – служба, загружающая файлы в память для их последующей печати. Отключать службу нежелательно.

   А если у пользователя нет принтера? Ведь это достаточно опасная служба. Лично я не стала бы устанавливать тип запуска для данной службы в положение "Авто", даже в том случае, если бы принтер у меня был (когда нужно печатать - взяла ручками и запустила). Если же у вас нет принтера, то отключаем её обязательно.
   MS05-043
   VU#914617 и др.
   

2. ( Узел универсальных PnP-устройств – служба поддержки PnP устройств в локальной сети. Может быть установлена в позицию Вручную без ущерба для функциональности.

   Вручную? Позвольте поинтересоваться зачем?
   Отключаем в том случае, если вы не подключаете к своей сети какие-либо UPnP-устройства.
   _______________________
   UPnP (Universal Plug and Play) - универсальная автоматическая настройка и подключение сетевых устройств друг к другу, в результате чего сеть (например, домашняя) может стать доступной большему числу людей.
   

3. ( Маршрутизация и удаленный доступ – служба, осуществляющая маршрутизацию в локальной сети. Целесообразно не держать ее в памяти постоянно.

   Целесообразно её отключить (обеспечивает многопротокольные функции маршрутизации, подключения удаленного доступа и удаленного доступа по сети VPN).
   MS06-025
   

4. ( Планировщик заданий – служба, обеспечивающая планирование различных заданий в системе. Если у вас возникают проблемы с запуском задач по расписанию, служба может быть установлена в тип запуска Авто.

   Рекомендуемое значение: Отключено, если вы не используете планировщик заданий Windows для запуска программ, скриптов или резевного копирования по расписанию (Пуск/Start > Программы/Programs > Стандартные/Accessories > Служебные/System Tools > Назначенные задания/Scheduled Tasks), так как многие вирусы используют данную функцию Windows для своего автозапуска.
   MS04-022
   

5. ( Веб-клиент – служба, позволяющая программам Windows получать доступ к файлам в Интернете и изменять их. Желательно не держать ее запущенной постоянно.

   Желательно её совсем отключить. Тем более, что необходима она лишь при использовании WebDAV-соединений (например, Web Publishing Wizard в Windows), к тому же программы, которым этот сетевой протокол необходим, как правило, имеют встроенные перенаправители WebDAV, работающие независимо от службы "Веб-клиент".
   MS06-008
   

6. ( Брандмауэр Windows/Общий доступ к Интернету (ICS) – служба брандмауэра Windows. Если у вас есть сторонний брандмауэр, эта служба вам ни к чему.

   Если служба ни к чему, для чего её оставлять на 'Вручную'?
   Да, и что делать пользователю, в том случае, если у него есть домашний desktop и мобильный notebook, на которых он хочет использовать интернет, при том, что подключение есть только на одном из этих компьютеров (стационарном)?
   

7. Не нашла службы 'Обозреватель компьютера' ('Computer Browser') - обеспечивает функционирование списка Windows-доменов, компьютеров в масштабе всей сети и других аппаратных устройств, совместимых с протоколом NetBIOS. Для обычных пользователей и домашних компьютеров эта служба полностью бесполезна, поэтому отключаем.
   MS05-007
   
8. Также не нашла службы 'Telnet' ('Telnet').
   Должна быть отключена.
   Данная служба обеспечивает возможность соединения и удалённой работы в системе по протоколу Telnet (Teletype Network) с помощью командного интерпретатора. Не использует шифрование и поэтому очень уязвим для атак при применении его в сети.
   MS05-007
   
9. Также не нашла службы 'Сервер' ('Server')!
   Выполняет основные функции сервера: обеспечивает совместное использование файлов, принтеров, именованных каналов в сети. Если у вас нет необходимости открывать доступ к вашим файлам и принтерам, обязательно отключаем!
   MS06-035
   MS06-040
   MS06-063
   
10. Не нашла 'Службы сообщений' ('Messenger') - желательно отключить для того, чтобы запретить net send сообщения и скрыть тем самым свой компьютер от автоматизированных спам рассылок.
    MS03-043
    
11. Не нашла службы 'Оповещатель' ('Alerter') - посылает выбранным пользователям и компьютерам административные оповещения. В домашних условиях служба не нужна.
    
12. Не нашла службы 'Сетевой вход в систему' ('Net Logon') - если компьютер пользователя не входит в домен, то её тоже желательно отключить.
    

13. ( Службы IPSEC управляет политикой сетевой безопасности и запускает драйвер IP-безопасности. Несмотря на грозное описание, эта служба также потенциально уязвима и не приносит ощутимой пользы.

    Было бы неплохо объяснить почему не приносит. Например, так: отключить в том случае, если вы не входите в домен и у вас нет VPN-сети.
    

14. ( Служба индексирования осуществляет сбор информации о файлах для ускорения их последующего поиска. В реальности поисковая система Windows превосходно обходится без нее.

    Я бы еще указала то, что поиск, к которому относится данное индексирование имеет место только тогда, когда пользователь использует 'Query the Catolog' и ищет какие-либо слова или фразы в своих документах. Именно поэтому у обычной поисковой системы Windows в данной службе нет необходимости.
    

Эти поправки касаются только информации, отведенной службам NT. Но я могу продолжить чтение вашей книги.

[NickGolovko]

>>> А если у пользователя нет принтера? Ведь это достаточно опасная служба. Лично я не стала бы устанавливать тип запуска для данной службы в положение "Авто", даже в том случае, если бы принтер у меня был (когда нужно печатать - взяла ручками и запустила). Если же у вас нет принтера, то отключаем её обязательно.

MS05-043

VU#914617 и др.

Обсудим.

>>> Вручную? Позвольте поинтересоваться зачем?

Отключаем в том случае, если вы не подключаете к своей сети какие-либо UPnP-устройства.

Здесь и во многих других моментах есть следующий нюанс: мы не можем знать каждую конкретную конфигурацию, на которой будут применяться изложенные советы, поэтому большинство служб мы устанавливаем в позицию Вручную (чтобы не нарушить возможный функционал). При этом 95% из этого списка из позиции Вручную все равно не запускаются - потому эта позиция в абсолютном большинстве случаев приближенно равна позиции Отключено.

>>>Целесообразно её отключить (обеспечивает многопротокольные функции маршрутизации, подключения удаленного доступа и удаленного доступа по сети VPN).

То же самое.

>>> Рекомендуемое значение: Отключено, если вы не используете планировщик заданий Windows для запуска программ, скриптов или резевного копирования по расписанию (Пуск/Start > Программы/Programs > Стандартные/Accessories > Служебные/System Tools > Назначенные задания/Scheduled Tasks), так как многие вирусы используют данную функцию Windows для своего автозапуска.

Аналогично (кстати, на личном опыте было установлено, что при задании значения Вручную запланированные программы все равно не запускаются даже при специальном запуске службы через Панель управления).

>>> Желательно её совсем отключить. Тем более, что необходима она лишь при использовании WebDAV-соединений (например, Web Publishing Wizard в Windows), к тому же программы, которым этот сетевой протокол необходим, как правило, имеют встроенные перенаправители WebDAV, работающие независимо от службы "Веб-клиент".

То же самое - услуги этой службы никто не запрашивает при установлении позиции Вручную.

>>> Если служба ни к чему, для чего её оставлять на 'Вручную'?

Потому что это не только брандмауэр, но и совместный доступ к Интернету.

>>> [*]Не нашла службы 'Обозреватель компьютера' ('Computer Browser') - обеспечивает функционирование списка Windows-доменов, компьютеров в масштабе всей сети и других аппаратных устройств, совместимых с протоколом NetBIOS. Для обычных пользователей и домашних компьютеров эта служба полностью бесполезна, поэтому отключаем.

MS05-007

[*]Также не нашла службы 'Telnet' ('Telnet').

Должна быть отключена.

Данная служба обеспечивает возможность соединения и удалённой работы в системе по протоколу Telnet (Teletype Network) с помощью командного интерпретатора. Не использует шифрование и поэтому очень уязвим для атак при применении его в сети.

MS05-007

[*]Также не нашла службы 'Сервер' ('Server')!

Выполняет основные функции сервера: обеспечивает совместное использование файлов, принтеров, именованных каналов в сети. Если у вас нет необходимости открывать доступ к вашим файлам и принтерам, обязательно отключаем!

MS06-035

MS06-040

MS06-063

[*]Не нашла 'Службы сообщений' ('Messenger') - желательно отключить для того, чтобы запретить net send сообщения и скрыть тем самым свой компьютер от автоматизированных спам рассылок.

MS03-043

[*]Не нашла службы 'Оповещатель' ('Alerter') - посылает выбранным пользователям и компьютерам административные оповещения. В домашних условиях служба не нужна.

[*]Не нашла службы 'Сетевой вход в систему' ('Net Logon') - если компьютер пользователя не входит в домен, то её тоже желательно отключить.

Эти службы удаляются после выполнения инструкций раздела "После отключения служб".

>>> Было бы неплохо объяснить почему не приносит.

У нас немного не та целевая аудитория, не забывайте об этом. ;)

[p2u]

Вам, Paul (вместе с Вашим другом NickGolovko), прежде, чем советовать кому-либо что-либо, участвовать в каких-либо технических обсуждениях, было бы полезно почитать следующие книги, чтобы иметь какие-то базовые представления о предмете:

[sNIP]

Здравствуйте, Sp0Raw!

Рад видеть вас здесь. )))

Эти книжки у меня ест, и я их не раз читал. Сейчас наш малыш из них самолётики делает. Не забудьте, что ваше впечатление из несколько сообщений моих может оказаться ошибочным, даже очень... ;)

С уважением.

Paul

[Saule]

Дальше. Настройки IE.

1. Перетаскивание или копирование: Разрешить

   Перетаскивание или копирование и вставка файлов (Drag and drop or copy and paste files) - Отключить (Disable).
   

2. Разрешения канала ПО: Средний уровень безопасности

   Разрешения канала програмного обеспечения (Software channel permissions) - Высокая безопасность (High safety).
   

3. Устойчивость данных пользователя: Разрешить

   Устойчивость данных пользователя (Userdata persistence) - Отключить (Disable). Либо тогда пояснить, что введенную пользователем информацию можно будет легко при желании получить.
   

4. Элементы ActiveX и модули подключения. Загрузка подписанных элементов: Предлагать

   Просится пояснение, что в дальнейшем, при появлении сообщения с предложением установки и запуска какой-либо программы, никогда не нужно нажимать на 'OK', не убедившись в том, что предлагаемая программа действительно вам нужна.
   

5. В выпадающем списке выберите Надстройки, загруженные в Internet Explorer. В окне перечислены надстройки IE. В целом следует отключить все надстройки. Исключение вы можете сделать для надстроек охранного софта (к примеру, надстройка Веб-Антивирус некоторых продуктов Лаборатории Касперского). Имейте в виду, что функциональность некоторых продуктов при этом может нарушаться.

   Улыбнуло.
   

6. Также, как и со службами, настройки IE не освещены до конца. Ничего не сказано об отключении функции "Профиль" ("Profile Assistant"), Автозаполнении ("AutoComplete") и параметрах безопасности в закладке "Дополнительно" ("Advanced") > раздел "Безопасность" ("Security"):
   [x] SSL 2.0 (Use SSL 2.0)
   [x] SSL 3.0 (Use SSL 3.0)
   ~ TLS 1.0 (Use TLS 1.0) - отмечено в том случае, если ваша система была сконфигурирована с включенным параметром безопасности "Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания" (System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing). В противном случае галочка не нужна.
   [ ] Включить интегрированную проверку подлинности Windows (Enable Integrated Windows Authentication)
   [ ] Задействовать профиль (Enable Profile Assistant)
   [x] Не сохранять зашифрованные страницы на диске (Do not save encrypted pages to disk) - отмечено в том случае, если вы хотите, чтобы зашифрованные страницы не кэшировались так же, как и обычные, в папке временных файлов IE.
   [x] Предупреждать о недействительных сертификатах узлов (Warn about invalid site certificates)
   [x] Предупреждать о переключении режима безопасности (Warning if changing between secure and not secure mode)
   [x] Предупреждать при переадресации передаваемых форм (Warn if forms submittal is being redirected).
   [ ] Проверка подписи для загруженных программ (Check for signatures on downloaded programs).
   [x] Проверять аннулирование сертификатов издателей (Check for publisher's certificate revocation).
   [x] Проверять аннулирование сертификатов серверов (Check for server certificate revocation).
   ~ Удалять все файлы из папки временных файлов Интернета при закрытии обозревателя (Empty Temporary Internet Files folder when browser is closed) - по своему усмотрению.
   Дополнительные параметры, добавленные в Windows XP после выхода Service Pack 2:
   [ ] Разрешать запуск активного содержимого компакт-дисков (Allow active content from CDs to run on My Computer)
   [ ] Разрешать запуск активного содержимого файлов на моем компьютере (Allow active content to run in files on My Computer)
   [ ] Разрешить запуск или установку программ, даже если подпись недопустима (Allow software to run or install even if the signature is invalid)
   

Изменено 18 апреля, 2007 пользователем Saule

[p2u]

"Классическое чтение"? :-) Простите, но я был бы крайне признателен, если бы Вы пояснили конкретно, что именно Вы подразумеваете тогда под "неклассическим чтением"? На данном этапе нашего с Вами общения я воспринимаю это так: когда ничего не читают (особенно статьи и книги десятков умных людей), а только пишут советы для других. :-)

В данном случае немного походит на flood, но, к сожалению, вынужден признать, что Вы занимаетесь провокаторской деятельностью, нежели пытаетесь разобраться в сути проблемы, и понять в чем именно Вы неправы.

Классическое чтение - документация Майкрософта + подход Индустрии Безопасности. Всякие мудрости, хитрости для того, чтобы "защищать" незащищаемое.

Неклассическое чтение - Подход Underground, который с улыбкой обходит все эти лжесоветы и лжеподходы.

Сам сижу ПОСТОЯННО под юзера, кстати. Непонятно почему Saule сделала вывод, что я постоянно работаю Админом, и что я при этом ещё очень посредственный админ... Я лишь сказал что Я - АДМИН, и что я никому из своих не позволяю действовать на моём компе с моими правами. RunAs не пользуюсь. У меня есть основания этого не делать. Когда мне нужно что-то из админ задач сделать, я выхожу из одного профиля и вхожу в другой. Родительский тон Saule меня просто убил. Типа "слушай, мальчик, пора бы в школу... Вместе того, как после чтения одной строчки нападать, надо было всё читать в контексте. Если на все меры смотреть как на одно целое, получается у нас очень сильная конфигурация для чайников, где при нормальном поведении пользователя НИЧЕГО не пролезает. Вот и всё. Люди из нашей аудитории под юзера сидеть НЕ БУДУТ. Прошу это иметь в виду когда вы будете дальше коментировать.

Paul

[Saule]

Эти службы удаляются после выполнения инструкций раздела "После отключения служб".

Неужели вы думаете, что все без исключения пользователи будут внимательно читать и выполнять каждую из приведенных рекомендаций? А кто-нибудь не решит, скажем, обратиться к какому-нибудь конкретному материалу лишь в связи с интересующим его вопросом?

У нас немного не та целевая аудитория, не забывайте об этом.

Зачем тогда в таком виде подавать функцию DEP? Это только запутывает (если уже начали о ней говорить, то хотелось бы более понятных рекомендаций - говорю не за себя, мне они как раз понятны).

---------------------

Восстановление системы.

Восстановление системы, иначе откат – средство, позволяющее откатить систему к ранее сохраненному состоянию. Полезно при вовремя выявленном заражении, позволяет быстро восстановить системные и прочие файлы при их повреждении. Лучшей программой в этой области считается Norton GoBack.

Считается лучшей кем? Симантиком?

Даже если бы это было и так, на этом вопросе следовало бы остановится чуть по подробнее. По крайней мере, перечисление основных программ этого типа лишним бы точно не было (Acronis True Image, Paragon Drive Backup, ShadowUser, Genie Backup Manager, NTI Backup NOW, Farstone RestoreIТ, R-Drive Image, Image for Windows, CyberLink PowerBackup, TurboBackup, AISBackup и др.).

---------------------

Аналогично с предыдущим, подробности просятся и здесь:

Желательно также устанавливать обновления Windows – по крайней мере критические. Отключение служб не отменяет этой необходимости.

[NickGolovko]

Перетаскивание или копирование и вставка файлов (Drag and drop or copy and paste files) - Отключить (Disable).

Обсудим.

Разрешения канала програмного обеспечения (Software channel permissions) - Высокая безопасность (High safety).

В данной зоне средний уровень должен быть достаточным.

Устойчивость данных пользователя (Userdata persistence) - Отключить (Disable). Либо тогда пояснить, что введенную пользователем информацию можно будет легко при желании получить.

Обсудим.

Просится пояснение, что в дальнейшем, при появлении сообщения с предложением установки и запуска какой-либо программы, никогда не нужно нажимать на 'OK', не убедившись в том, что предлагаемая программа действительно вам нужна.

Обсудим.

Улыбнуло.

Надеюсь, вас улыбнула не необходимость отключать надстройки. ;)

Ничего не сказано об отключении функции "Профиль" ("Profile Assistant"), Автозаполнении ("AutoComplete")

Обсудим.

и параметрах безопасности в закладке "Дополнительно" ("Advanced") > раздел "Безопасность" ("Security"):

[x] SSL 2.0 (Use SSL 2.0)

[x] SSL 3.0 (Use SSL 3.0)

~ TLS 1.0 (Use TLS 1.0) - отмечено в том случае, если ваша система была сконфигурирована с включенным параметром безопасности "Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания" (System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing). В противном случае галочка не нужна.

Это параметры по умолчанию

[ ] Включить интегрированную проверку подлинности Windows (Enable Integrated Windows Authentication)

[ ] Задействовать профиль (Enable Profile Assistant)

[x] Не сохранять зашифрованные страницы на диске (Do not save encrypted pages to disk) - отмечено в том случае, если вы хотите, чтобы зашифрованные страницы не кэшировались так же, как и обычные, в папке временных файлов IE.

В чем вредоносность?

[x] Предупреждать о недействительных сертификатах узлов (Warn about invalid site certificates)

[x] Предупреждать о переключении режима безопасности (Warning if changing between secure and not secure mode)

[x] Предупреждать при переадресации передаваемых форм (Warn if forms submittal is being redirected).

Параметры по умолчанию

[ ] Проверка подписи для загруженных программ (Check for signatures on downloaded programs).

Смысл?

[x] Проверять аннулирование сертификатов издателей (Check for publisher's certificate revocation).

Параметр по умолчанию.

[x] Проверять аннулирование сертификатов серверов (Check for server certificate revocation).

Обсудим.

Дополнительные параметры, добавленные в Windows XP после выхода Service Pack 2:

[ ] Разрешать запуск активного содержимого компакт-дисков (Allow active content from CDs to run on My Computer)

[ ] Разрешать запуск активного содержимого файлов на моем компьютере (Allow active content to run in files on My Computer)

Параметры по умолчанию.

[ ] Разрешить запуск или установку программ, даже если подпись недопустима (Allow software to run or install even if the signature is invalid)

Отсутствует на XP SP2 Professional.

Неужели вы думаете, что все без исключения пользователи будут внимательно читать и выполнять каждую из приведенных рекомендаций? А кто-нибудь не решит, скажем, обратиться к какому-нибудь конкретному материалу лишь в связи с интересующим его вопросом?

Нельзя ставить на танк 50% брони. Паул уже указал на это.

Зачем тогда в таком виде подавать функцию DEP? Это только запутывает (если уже начали о ней говорить, то хотелось бы более понятных рекомендаций - говорю не за себя, мне они как раз понятны).

Вполне понятно описано. Аппаратная система защиты от атак типа "переполнение буфера". Мы не пишем энциклопедию и потому не даем подробных описаний.

Считается лучшей кем? Симантиком?

Интернет-сообществом. ;)

Даже если бы это было и так, на этом вопросе следовало бы остановится чуть по подробнее. По крайней мере, перечисление основных программ этого типа лишним бы точно не было (Acronis True Image, Paragon Drive Backup, ShadowUser, Genie Backup Manager, NTI Backup NOW, Farstone RestoreIТ, R-Drive Image, Image for Windows, CyberLink PowerBackup, TurboBackup, AISBackup и др.).

Это все же не каталог, а общий обзор средств защиты. ;)

Аналогично с предыдущим, подробности просятся и здесь:

Тут-то какие подробности?

[Saule]

Да, и возвращаясь к 'Secondary Logon', чтобы никто больше не тратил на этот вопрос свое, наверняка, драгоценное время. Всё, чего я пыталась добиться выше, было лишь то, чтобы вы, Ник, внесли в свой материал небольшую поправку:

Вторичный вход в систему [secondary Logon] (если вы единственный пользователь компьютера

+ вами не используется функция Windows 'RunAs'.

Так, надеюсь, понятно? Или вы и дальше с этим будете спорить?

[NickGolovko]

Да, и возвращаясь к 'Secondary Logon', чтобы никто больше не тратил на этот вопрос свое, наверняка, драгоценное время. Всё, чего я пыталась добиться выше, было лишь то, чтобы вы, Ник, внесли в свой материал небольшую поправку:

Вторичный вход в систему [secondary Logon] (если вы единственный пользователь компьютера

+ вами не используется функция Windows 'RunAs'.

Так, надеюсь, понятно? :) Или вы и дальше с этим будете спорить?

Моя позиция такая: если вы единственный пользователь компьютера (т.е. у вас одна учетная запись пользователя), то вы физически не можете использовать RunAs, так как нет другой учетной записи пользователя. Есть только системная (SYSTEM), Сетевая служба (NetworkService) и Локальная служба (LocalService), которые не зависят от seclogon. :)