IPB

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >  
Ответить в эту темуОткрыть новую тему
> Настройка безопасности, для начинающих
Gall
сообщение 16.10.2006, 21:57
Сообщение #1





Группа: Пользователи
Регистрация: 18.7.2004
Из: Мосгорка
Пользователь №: 2 341



Как правильно настроить систему:

1. Самое главное правило: НЕ РАБОТАЙ ОТ АДМИНА. Делаем так:
- заходим в "Панель управления", в "Администрирование", находим там управление пользователями.
- Находим в списке себя. Видим у себя группу "Администраторы". Нещадно стираем ее. Вместо нее добавляем группу "Пользователи".

2. Вторая заповедь: НЕ ДАВАЙ СЕБЕ ПРАВО ПИСАТЬ, куда не надо. Поскольку все вирусы будут теперь работать от имени "пользователя", а не "администратора", надо сделать, чтобы у пользователя было поменьше прав. Делаем так:
- заходим в "Свойства папки".
- выключаем "Использовать простой общий доступ" (ну и наплевать, что нам его рекомендуют).
- Щелкаем правой кнопкой на диск C:, залезаем в закладку с правами доступа и отбираем у группы "Пользователи" все права. Теперь пользователи могут писать только в "мои документы". Для установки программ теперь придется щелкать по setup.exe правой кнопкой, нажимать "запустить от имени" - "Администратор" и вводить пароль. Немножко неудобно, зато ни один вирус не пролезет - они пароля не знают.

3. Третья заповедь - ЗНАЙ, ЧТО У ТЕБЯ В КОМПЕ. Делаем так:
- заходим опять в "Свойства папки".
- включаем показ невидимых файлов, системных файлов и вообще всего, что можно показать.
- отключаем "Скрывать расширения у известных типов файлов".

4. Фаер? Вряд ли мы умеем правильно настраивать фаер. Неправильно настроенный Outpost или Касперский Анти-Хакер хуже, чем вообще без фаера. Поэтому просто включим встроенный в винду фаер. Мы и так уже неплохо защищены, выполняя заповеди 1, 2 и 3.

4,5. Раз мы поставили фаер, который упорно блокирует RST, нам придется отказаться от авторизатора и использоватть VPN. Если мы все же хотим использовать авторизатор вместе с фаером, нам придется потратить пару месяцев на чтение толстых учебников по сетям TCP/IP и изучение принципов работы сетей - тогда этот FAQ не для нас.

5. Антивирус? Можно поставить какой-нибудь. Мы ведь не будеи открывать неизвестные аттачменты и качать файлы хз откуда. А против остального помогут пункты 1 и 2.

Ну и все. Теперь выходим и заходим снова (ну или вообще перезагружаем систему). Все, мы в безопасности.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
dz
сообщение 16.10.2006, 22:31
Сообщение #2





Группа: Пользователи
Регистрация: 2.6.2005
Из: Екатеринбург
Пользователь №: 4 467



если был юзер - юзером. юзером и останеться. только 1-10% стремяться что нить познать.

мое большое IMHO - смысл нулевой.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Gall
сообщение 17.10.2006, 01:23
Сообщение #3





Группа: Пользователи
Регистрация: 18.7.2004
Из: Мосгорка
Пользователь №: 2 341



Цитата(dz @ 16.10.2006, 23:31) *

мое большое IMHO - смысл нулевой.

Смысл очень большой. Чтобы можно было ткнуть носом "где почитать про это". А то когда начинаешь объяснять, выясняется, что слышат в первый раз.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Shaman
сообщение 17.10.2006, 06:43
Сообщение #4





Группа: Модераторы
Регистрация: 1.12.2005
Из: OnLine
Пользователь №: 6 823



Цитата(Gall @ 16.10.2006, 22:57) *

1. Самое главное правило: [b]НЕ РАБОТАЙ ОТ АДМИНА. Делаем так:
- заходим в "Панель управления", в "Администрирование", находим там управление пользователями.
- Находим в списке себя. Видим у себя группу "Администраторы". Нещадно стираем ее. Вместо нее добавляем группу "Пользователи".

В системе есть учетная запись Администратор она "неудаляема", первый же пользователь тоже создается с правами администратора и отнять у него эти права не получится. поэтому корректней создайть еще одну учетку (если она не была создана ранее) и ее урезать.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Gall
сообщение 17.10.2006, 12:15
Сообщение #5





Группа: Пользователи
Регистрация: 18.7.2004
Из: Мосгорка
Пользователь №: 2 341



Цитата(Shaman @ 17.10.2006, 07:43) *

В системе есть учетная запись Администратор она "неудаляема", первый же пользователь тоже создается с правами администратора и отнять у него эти права не получится. поэтому корректней создайть еще одну учетку (если она не была создана ранее) и ее урезать.

Бред. Отнять права ПОЛУЧАЕТСЯ. Надо не забыть ВКЛЮЧИТЬ себя в группу "Пользователи" после исключения из "Администраторов". Тогда будет работать.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
M@GNAT
сообщение 17.10.2006, 12:17
Сообщение #6





Группа: Пользователи
Регистрация: 11.5.2005
Из: DC=infofree,DC=ru
Пользователь №: 4 290



Только это грозит потерей доступа к компьютеру.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
ssh
сообщение 17.10.2006, 14:54
Сообщение #7





Группа: Модераторы
Регистрация: 22.6.2004
Пользователь №: 2 239



Цитата(M@GNAT @ 17.10.2006, 13:17) *

Только это грозит потерей доступа к компьютеру.

пароль на админа, разумеется, должен быть известен.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
DarkDeath
сообщение 21.12.2006, 21:46
Сообщение #8





Группа: Пользователи
Регистрация: 6.4.2006
Из: from another world
Пользователь №: 10 671



а почему касперский анти-хакер так опустили ???
что садсем гугно дырявое? можно про основные минусы от других фаеров услышать, и заодно название "нормального" фаера, юзаю сеть давно, но почемуто всегда доверял антихакеру......ниразу еще не подвел....
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Uzer
сообщение 21.12.2006, 21:53
Сообщение #9





Группа: Пользователи
Регистрация: 7.11.2004
Пользователь №: 3 101



Цитата(DarkDeath @ 21.12.2006, 21:46) *
название "нормального" фаера
попробуй VisNetic, wipfw, ...
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Gall
сообщение 23.12.2006, 16:29
Сообщение #10





Группа: Пользователи
Регистрация: 18.7.2004
Из: Мосгорка
Пользователь №: 2 341



Цитата(DarkDeath @ 21.12.2006, 21:46) *

а почему касперский анти-хакер так опустили ???
что садсем гугно дырявое?

ЛЮБОЙ неверно настроенный фаер хуже, чем вообще без фаера. А если в фаере одна большая кнопка "защитить", о какой ПРАВИЛЬНОЙ настройке может идти речь??

Настройки фаера подбираются ИНДИВИДУАЛЬНО. Это не пару раз мышкой ткнуть, над этим ЧАСАМИ думать надо!!
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
-=Glomyrniy Podo...
сообщение 10.1.2007, 08:27
Сообщение #11





Группа: Пользователи
Регистрация: 10.1.2007
Пользователь №: 19 128



Цитата(Gall @ 16.10.2006, 22:57) *

Как правильно настроить систему:

1. Самое главное правило: НЕ РАБОТАЙ ОТ АДМИНА. Делаем так:
- заходим в "Панель управления", в "Администрирование", находим там управление пользователями.
- Находим в списке себя. Видим у себя группу "Администраторы". Нещадно стираем ее. Вместо нее добавляем группу "Пользователи".


У меня нет токой папки!

Источники данных (ODBC)
Просмотр событий
Службы компонентов
Производительность
Службы
Управление компьютером
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Uzer
сообщение 10.1.2007, 12:11
Сообщение #12





Группа: Пользователи
Регистрация: 7.11.2004
Пользователь №: 3 101



Цитата(-=Glomyrniy Podonok=- @ 10.1.2007, 08:27) *

У меня нет токой папки!

Источники данных (ODBC)
Просмотр событий
Службы компонентов
Производительность
Службы
Управление компьютером
специально для тебя:
Управление компьютером -> Служебные программы -> Локальные пользовалети и группы.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
azhur
сообщение 12.2.2007, 22:51
Сообщение #13





Группа: Пользователи
Регистрация: 31.1.2007
Пользователь №: 20 208



Цитата(Andrej @ 22.1.2007, 09:09) *

Там ещё много чего блокируется, даже то, что блокировать не надо dry.gif RST-пакеты например dry.gif
А какой "домашний" фаер под винду не блокирует RST-пакеты?
Ну или позволяет выставлять для правил кроме "allow" и "drop" ещё и "deny" (что, насколько я понимаю, и подразумевает отправку RST-пакета в ответ на "непрошенное-ненужное" входящее соединение )?
Добавлено:
После прочтения других тем на этом форуме про фаерволы для Windows, у меня сложилось такое впечатление:
Чтобы авторизатор защищал от хацеров-односегментщиков, нужно ставить wipfw или пользоваться встроенным в Windows фаерволом.
Но в этом случае не будет фильтрации по приложениям, того что Gall назвал "антитрояном". А в Windows почти каждая программа - потенциальный троян, так как может без спроса полезть в интернет за обновлениями или ещё чем-нибудь.
Выходов три:
Если не держишь FTP или какого-либо ещё сервера - пользоваться VPN-авторизацией и "фаерволом-антитрояном".
Если держишь сервер:
- отказываться от Windows в пользу *NIX
- ставить и правильно настраивать wipfw и ставить только проверенный софт.
Поправьте меня, если я не прав.

Сообщение отредактировал azhur - 13.2.2007, 00:30
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
slc
сообщение 13.2.2007, 19:28
Сообщение #14





Группа: Пользователи
Регистрация: 21.4.2005
Пользователь №: 4 141



Цитата(azhur @ 12.2.2007, 22:51) *

- отказываться от Windows в пользу *NIX
- ставить и правильно настраивать wipfw и ставить только проверенный софт.
Поправьте меня, если я не прав.

wipfw ток для в винды .. атказавшись от винды откажишся афтоматически от wipfw
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Dr Gazer
сообщение 15.2.2007, 00:10
Сообщение #15





Группа: Пользователи
Регистрация: 19.12.2006
Пользователь №: 18 338



Цитата(Gall @ 16.10.2006, 21:57) *
- выключаем "Использовать простой общий доступ" (ну и наплевать, что нам его рекомендуют).
- Щелкаем правой кнопкой на диск C:, залезаем в закладку с правами доступа и отбираем у группы "Пользователи" все права. Теперь пользователи могут писать только в "мои документы". Для установки программ теперь придется щелкать по setup.exe правой кнопкой, нажимать "запустить от имени" - "Администратор" и вводить пароль. Немножко неудобно, зато ни один вирус не пролезет - они пароля не знают.
Цитата(Uzer @ 10.1.2007, 12:11) *
Управление компьютером -> Служебные программы -> Локальные пользовалети и группы.

В Home Edition этих настроек в оболочке нет. Можно ли реализовать их через реестр или какими-нибудь другими средствами, не меняя версию системы?
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Uzer
сообщение 15.2.2007, 09:28
Сообщение #16





Группа: Пользователи
Регистрация: 7.11.2004
Пользователь №: 3 101



скорее всего в home edition отсутствуют подобные вещи
http://www.notik.ru/more/terms84.htm
тут чё-то говорится про запрещение доступа дак вот по ходу это оно и есть. может быть, конечно, через реестр можно
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Dr Gazer
сообщение 15.2.2007, 16:54
Сообщение #17





Группа: Пользователи
Регистрация: 19.12.2006
Пользователь №: 18 338



Цитата(Uzer @ 15.2.2007, 09:28) *
скорее всего в home edition отсутствуют подобные вещи

А изменения типы учётной записи на ограниченную недостаточно? По справке полномочия распределены так:
Код
                            Администратор    Ограниченная
                              компьютера    учетная запись

Установка программ                +
и оборудования        

Внесение изменений                +
на уровне системы        

Доступ и чтение                   +
всех общих файлов

Создание и удаление               +
учетных записей пользователей

Изменение учетных записей         +
других пользователей

Изменение имени и типа            +
своей учетной записи

Изменение рисунка                 +                +
своей учетной записи

Создание, изменение и удаление    +                +
своего пароля

Или испортить системные файлы (изменить/удалить/переместить) пользователь с ограниченной записью всё равно сможет?
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
ssh
сообщение 17.2.2007, 14:55
Сообщение #18





Группа: Модераторы
Регистрация: 22.6.2004
Пользователь №: 2 239



разделил тему:
http://forum.telenet.ru/index.php?showtopic=108367
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
DestRoyeR
сообщение 18.2.2007, 15:48
Сообщение #19





Группа: Пользователи
Регистрация: 2.1.2006
Пользователь №: 7 620



Цитата(Dr Gazer @ 15.2.2007, 00:10) *

В Home Edition этих настроек в оболочке нет. Можно ли реализовать их через реестр или какими-нибудь другими средствами, не меняя версию системы?

не знаю актуально или нет smile.gif
"Как переделать XP Home в XP Professonal? Легко!

Итак - предыстория - установленная винда Home Edition много чем отличается от XP Professional. Но фокус в том,что Microsft в очередной раз не захотели утруждать себя и писать две разные операционки - в общем - отличаются они между собой единственным ключиком в реестре. После чего, Вы получаете полноценную рабочую операционку со всеми присущими ей атрибутами, правами и даже заставками!

Итак - как переделать:

1. Запускаем regedit (кто не знает что это - то лезем в пуск->выполнить набираем regedit и жмем "ок")
2. Лезем в раздел реестра: HKEY_LOCAL_MASHINESYSTEM -> SYSTEM
3. Видим там несколько разделов ControlSet с номерами (например ControlSet001 и ControlSet003) - нам нужен тот, у которого самый большой из всех номер!
4. Далее лезем в Control -> Product Options
5. Там в версии Home есть параметр ProductSuite типа "мультистроковый параметр" со значением Personal - его нужно удалить и взамен него создать там же параметр с именем Brand типа "DWORD" со значением равным нулю!
6. Закрываем Regedit и перегружаем машину - при загрузке жмем F8 и входим в меню выбора варантов загрузки и выбираем тот что "загрузка в последней удачной конфигурации"
7. Вот собственно и все - как только увидите при загрузке надпись Windows XP Professional - значит все получилось!
8. Чтобы переделать XP Pro в Home - нужно ключи поменять в обратной последовательности!
"
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Dr Gazer
сообщение 18.2.2007, 18:33
Сообщение #20





Группа: Пользователи
Регистрация: 19.12.2006
Пользователь №: 18 338



Цитата(DestRoyeR @ 18.2.2007, 15:48) *
Как переделать XP Home в XP Professonal? Легко!
Работает flower.gif
Только оформление панели задач изменилось и IE глючить начал (перестал открывать ссылки в новом окне). Буду разбираться, спасибо.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Zloy gameR
сообщение 22.2.2007, 22:45
Сообщение #21





Группа: Пользователи
Регистрация: 26.5.2006
Пользователь №: 12 233



Кстати, самый легкий способ отнять у пользователя права Администратора: Win + R -> control userpasswords2 rolleyes.gif
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Dr Gazer
сообщение 23.2.2007, 03:05
Сообщение #22





Группа: Пользователи
Регистрация: 19.12.2006
Пользователь №: 18 338



Цитата(Zloy gameR @ 22.2.2007, 22:45) *
Кстати, самый легкий способ отнять у пользователя права Администратора: Win + R -> control userpasswords2

Неплохо, в Home Edition работает. Может быть, и до настроек доступа к папкам можно как-то добраться?

Впрочем, насколько я разобрался, это уже лишнее: пользователь с ограниченной учётной записью не может писать на системный диск.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
ssh
сообщение 23.2.2007, 11:51
Сообщение #23





Группа: Модераторы
Регистрация: 22.6.2004
Пользователь №: 2 239



настройки доступа к папкам на самом деле вполне нормально работают, вот только не через стандартный интерфейс
к примеру, если зайти на XP Home из сети с использованием w2k или wxp pro, то права доступны для редактирования
надо просто найти альтернативную утилиту, которая может это делать
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Dr Gazer
сообщение 23.2.2007, 12:19
Сообщение #24





Группа: Пользователи
Регистрация: 19.12.2006
Пользователь №: 18 338



Цитата(ssh @ 23.2.2007, 11:51) *
...вот только не через стандартный интерфейс...

Если проделать это:
Цитата(DestRoyeR @ 18.2.2007, 15:48) *
"Как переделать XP Home в XP Professonal? Легко!
...
— стандартный интерфейс проявляется. Т.е. всё, как в XP Pro. Но у меня начались сбои с IE и системными службами, поэтому пришлось откатить (причину найти не смог). Вот я и спрашиваю — может, к этому интерфейсу тоже ключик найти можно, не переходя к Pro?
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Indeferend
сообщение 14.3.2007, 23:28
Сообщение #25





Группа: Пользователи
Регистрация: 1.10.2006
Из: Москва
Пользователь №: 15 625



Тема эта очень полезная, тем более для начинающих, я вообще люблю всякие проги устанавливать удалять испытывать и мне винду нередко приходилось переставлять, да и у многих такая вата получается что винду установил всё летает, проходит полгода после всяких устанавливаемых и удаляемых игрушек начинаются глюки. А так я настроил и всё ништяк.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения

2 страниц V   1 2 >
Ответить в эту темуОткрыть новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



- Текстовая версия Сейчас: 21.7.2019, 14:25
Блог КАБiNET