ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    обустройся свою ХР
         

     

    Інформатика, програмування

    обустройся свою ХР

    В цій статті я розповім як захистити Windows2000XP як фізичний або віддалений комп'ютер. Ця тема досить розжувати, але тим не менше в багатьох подібних статтях упускаються важливі, на мій погляд, моменти. Тим більше, що стаття писалася для "домашніх" користувачів (хоча деякі моменти можуть бути корисні адміністраторам), яких значно більше адмінів, і їм теж важливо знати як убезпечити свій комп, наприклад від злодюжок діал-ап'а. Я постараюся все докладно пояснити що, де і як налаштовувати.

    Отже, приступимо.

    Навіщо захищати свій комп'ютер? А тебе не лякає, що в твій комп'ютер можуть проникнути в мережі? Що може пропасти якась конфіденційна інформація? Або що вірус чого-небудь видалить? Багато хто наївно вважають, що в їхньому комп'ютер ніхто не залізе ... тому що немає нічого цікавого для зломщиків; та й навряд чи хто-небудь вибере саме їхній комп'ютер. Насправді, будь-який комп'ютер в мережі становить інтерес. Одним важливо отримати, наприклад, пароль до инету, а інші бачать в комп'ютерах їх технічні можливості, наприклад, можливість використання компа як "лічильну машинку" для перебору паролів, для проведення DDoS атак і т. п.

    Файлова система, файли

    Перше, на що треба звернути увагу - яка файлова система використовується. Якщо тобі дійсно важлива безпека, то вибір один - NTFS. І не вір всяким там супер-пупер хацкеру та іншого подібного народу, який стверджує, що FAT - це сила, а NTFS - отстой. NTFS більш надійна, дозволяє розставляти параметри доступу практично будь-якого файлу. А NTFS5 підтримує обмеження за квотами (можна обмежувати папку на займане їй місце). Тепер про те, як перейти з FAT на NTFS і при цьому не втратити дані. По-перше, при установці Win '2000XP це можна зробити автоматично - у відповідний момент відповівши ствердно на відповідне питання. Можна перетворити FAT16 (або FAT32) в NTFS і пізніше - скориставшись командою CONVERT. Синтаксис цієї команди такий:

    convert [диск]/fs: ntfs [/ v]

    де V - параметр, що дозволяє не гадати при наступній перезавантаження системи, йде конвертація чи ні, а бачити відповідні повідомлення про те, що відбувається процесі на екрані. Крім вбудованих засобів Windows, для перетворення FAT в NTFS можна скористатися чудовою програмою Partition Magic, що дозволяє до того ж при необхідності виконати і зворотне перетворення - з NTFS в FAT, і теж без втрати даних.

    За замовчуванням задавати параметри безпеки не можна. Для того, щоб це було можливо, ліземо в Панель управления-> Свойства папки-> Вигляд і прибираємо галочку навпроти "Використовувати простий спільний доступ до файлів". Тут ж вибираємо "Показувати приховані файли та папки".

    Установки в панелі керування

    Ліземо в Панель керування-> Адміністрування-> Локальна політика-> Локальні політики-> Параметри безпеки. У списку зліва знаходимо рядок: "Перейменування облікового запису адміністратора". Двічі клікаємо по ній і вводимо що-небудь інше. Так само чинимо і з моїм обліковим записом гостя. Шукаємо рядок "Статус профілю 'Адміністратор'". Якщо ти хочеш весь час використовувати інше ім'я, ніж змінене ім'я адміністратора - вимикаємо цю опцію. Обов'язково вимикаємо обліковий запис 'Гість' (Guest) (за замовчуванням вона вже відключена, але про всяк пожежний треба самому в цьому переконатися!). Шукаємо щось типу "Рівень аутентифікації LAN Manager "і вибираємо" Використовувати NTLMv2отклонять LM & NTLM ". Це для того, щоб позбудеться від нестачі LM-hash, який зберігає твій пароль для входу в систему таким чином, що "розламує" пароль (якщо він довший 7-і символів) на дві частини: одна частина довжиною 7 символів, інша все, що залишилося. Десятизначний пароль зламувати важче, ніж два пароля довжиною 7 і 3 символи.

    Шукаємо "Не показувати ім'я останнього користувача" та змінюємо параметр на "Увімкнено" (в англ. Винду це "Interactive logon: Do not display last user name "). Ця штука потрібна для того, щоб при вході в систему не показувалося імені останнього залогіневшегося юзера. Також можна змінити максимальний термін дії паролів. Змінюємо "Очищати файл підкачки при завершенні роботи "на" Увімкнено ". А тепер у списку зліва вибираємо: Локальні політики-> Призначення прав користувача. Справа шукаємо:

    Доступ до комп'ютера з мережі. Якщо ти не використовуєш NETBIOS для доступу до твого компу з мережі - викидай всіх.

    Відмова у доступі до комп'ютера з мережі. Знову ж таки: не потрібен NETBIOS-доступ до твого компу з мережі - вибираємо всіх, кого можна.

    Відхилити локальний вхід. Кого вибереш тут той не зможе ввійти в твій комп локально (для тих хто в танку: локальний вхід - це вхід, який виробляється, коли ти включаєш комп і входиш у систему). Дивись не переборщи: якщо вибереш всіх -- ніхто не зможе ввійти в твій комп'ютер локально (навіть адміністратори). Особисто я викинув лише групу "Гості".

    Примусове віддалене завершення. Викидає з цього списку ВСЕХ!

    Всі інші налаштування, в яких за умовчанням в параметрах вписана група Адміністратори (Administrators) настроюються так, щоб по можливості сама ця група там не фігурувала: потрібні адміністратори - вибирай їх імена, а не всю групу.

    В правому списку ліземо в "Локальні політики-> Аудит". Тут настроюються ті параметри, які повинні реєструватися в журналах системи. Можна вибирати успіх і/або відмову. Особливо багато не вибирай, бо систему навантажує (за великим рахунком домашнім користувачам реєстрація в журналах особа не потрібна). Всього три журнали: безпеки, програм та системний. Доступ до них здійснюється через Панель управління-> Адміністрування-> Перегляд подій.

    Знову ліземо в правий список і шукаємо "Політики облікових записів-> Політика паролів ". Тут можна налаштувати за смаком. Рекомендую включити опцію "Пароль повинен відповідати вимогам складності". У каталозі справа знаходимо "Політика блокування облікового запису". Межа блокування встановлюємо на 3, блокування облікового запису - на 30 хвилин. Це означає, що якщо хтось намагався отримати доступ до якоїсь профілю, і три рази поспіль, йому було відмовлено в доступі, то обліковий запис (ім'я користувача), до якої була спроба отримання доступу, буде заблокована на 30 хвилин, протягом яких доступ до облікового запису навіть з правильним паролем заборонений.

    Реєстр

    Що ж, тепер наведемо порядок в реєстрі. Ліземо в HKLMSYSTEMCurrentControlSet LanmanServerParametrs і шукаємо параметр AutoShareWks і надаємо йому значення 0. Якщо такого параметра немає - потрібно створити його. Цей параметр відповідає за авто створення Розшарені ресурсів. Якщо тобі потрібно використовувати Розшарені ресурси і до них потрібний віддалений доступ, краще створити потрібні ресурси вручну.

    Йдемо в HKLMSYSTEMCurrentControlSet ControlLsa і створюємо параметр типу REG_DWORD з назвою restrictanonymous (можливо, він вже створений) і надаємо йому значення 2. Це треба зробити для заборони NULL-session: це коли можна приєднатися до компу для запиту різної інфи (наприклад, НЕТБІОС ім'я комп'ютера, ім'я робочої групи) без введення імені користувача та пароля (тому і глянув-сешшн). Пароль та логін до інету краще не зберігати, тому що його можна буде витягнути спеціальними утилітами. За замовчуванням в системі вибрано запам'ятовувати логін і пароль, але навіть якщо галочку прибрати, логін зберігається (а пароль вже немає). Щоб це виправити ліземо в HKLMSystemCurrentControlSet ServicesRasmanParameters і створюємо параметр типу REG_DWORD з назвою DisableSavePassword і надаємо йому значення 1. Я ще рекомендую вирубати RPC (Процедура віддаленого виклику) через те, що користі він неї небагато, а комп однозначно стає більш вразливим (згадай недавні баги в RPC!). Вирубує: HKEY_LOCAL_MACHINESoftware MicrosoftOLE - змініть значення EnableDCOM до N. Параметри вступлять в силу після перезавантаження.

    До реєстром можливий віддалений доступ (за умови, що відоме ім'я користувача і пароль того користувача, права якого дозволяють змінювати реєстр). Щоб вибірково обмежити доступ до реєстру локально вибираємо один з головних розділів, тиснемо праву кнопку і вибираємо "Дозволи" тут змінюємо групи. ОБОВ'ЯЗКОВО залиш СИСТЕМУ (SYSTEM). Замість групи "Адміністратори" (Administrators). Краще вибирати імена адмінів. Тиснемо "Додатково". У вікні ставимо галочку навпроти "Замінити дозволу для всіх дочірніх об'єктів заданими тут дозволами, які застосовуються до дочірніх об'єктах ". Так треба зробити з усіма головними розділами. У цьому ж вікні можна задати параметри аудиту реєстру. Якщо віддалений доступ до реєстру взагалі не вимагається можна його вирубати: ліземо в Панель управління-> Адміністрування-> Служби. Тут знаходимо Віддалений доступ до реєстром (Remote Registry), двічі клацаємо по ньому і вказуємо тип запуску як "Відключено".

    Призначення доступу до файлів/папок

    Потрібно правильно розподілити: яким юзерам в якій католог можна залазити (можливо в файлову систему NTFS). Для цього: клацніть правою кнопкою на потрібному файлі/каталозі/диску і вибрати "Властивості". Тепер шукай вкладку "Безпека". Тут два віконця: групи користувачів і їх поточні права на даний ресурс. Корегує його як вважаєш за потрібне (адже ти вже повинен знати кому куди можна залазити, а кому ні!).

    І наостанок:

    Слід подумати про перевірку своєї системи сканером безпеки. Зараз їх достатньо багато. Особисто я - "домашній користувач" (мій комп не є ніяким веб-сервером і т.д.) Тому я вибрав сканер Retina: він дозволяє не тільки перевірити систему на відомі уразливості, але і Профікс їх одним натисканням на кнопку (якщо уразливість пов'язана з настройками системи!).

    Не забувай вчасно ставити латки. Істина свідчить: потрібно ставити латки відразу після їх появи, а не коли черговий черв'як почне діставати!

    Не забувай відвідувати security-сайти.

    І звичайно ж постав файрвол - той же AtGuard наприклад або Outpost.

    Ось, власне, і все, що я хотів розповісти. Сподіваюся, мої ради виявляться для тебе корисними.

    Список літератури

    Для підготовки даної роботи були використані матеріали з сайту http://ecosoft.iatp.org.ua/

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status