обустройся свою ХР
В
цій статті я розповім як захистити Windows2000XP як фізичний або віддалений
комп'ютер. Ця тема досить розжувати, але тим не менше в багатьох подібних
статтях упускаються важливі, на мій погляд, моменти. Тим більше, що стаття
писалася для "домашніх" користувачів (хоча деякі моменти можуть
бути корисні адміністраторам), яких значно більше адмінів, і їм теж
важливо знати як убезпечити свій комп, наприклад від злодюжок діал-ап'а. Я постараюся
все докладно пояснити що, де і як налаштовувати.
Отже,
приступимо.
Навіщо
захищати свій комп'ютер? А тебе не лякає, що в твій комп'ютер можуть
проникнути в мережі? Що може пропасти якась конфіденційна
інформація? Або що вірус чого-небудь видалить? Багато хто наївно вважають, що в їхньому
комп'ютер ніхто не залізе ... тому що немає нічого цікавого для зломщиків;
та й навряд чи хто-небудь вибере саме їхній комп'ютер. Насправді, будь-який
комп'ютер в мережі становить інтерес. Одним важливо отримати, наприклад, пароль до
инету, а інші бачать в комп'ютерах їх технічні можливості, наприклад,
можливість використання компа як "лічильну машинку" для перебору
паролів, для проведення DDoS атак і т. п.
Файлова система, файли
Перше,
на що треба звернути увагу - яка файлова система використовується. Якщо тобі
дійсно важлива безпека, то вибір один - NTFS. І не вір всяким там
супер-пупер хацкеру та іншого подібного народу, який стверджує, що FAT - це
сила, а NTFS - отстой. NTFS більш надійна, дозволяє розставляти параметри
доступу практично будь-якого файлу. А NTFS5 підтримує обмеження за квотами
(можна обмежувати папку на займане їй місце). Тепер про те, як перейти з
FAT на NTFS і при цьому не втратити дані. По-перше, при установці Win '2000XP
це можна зробити автоматично - у відповідний момент відповівши
ствердно на відповідне питання. Можна перетворити FAT16 (або FAT32)
в NTFS і пізніше - скориставшись командою CONVERT. Синтаксис цієї команди
такий:
convert
[диск]/fs: ntfs [/ v]
де
V - параметр, що дозволяє не гадати при наступній перезавантаження системи, йде
конвертація чи ні, а бачити відповідні повідомлення про те, що відбувається процесі
на екрані. Крім вбудованих засобів Windows, для перетворення FAT в NTFS
можна скористатися чудовою програмою Partition Magic, що дозволяє до
того ж при необхідності виконати і зворотне перетворення - з NTFS в FAT,
і теж без втрати даних.
За
замовчуванням задавати параметри безпеки не можна. Для того, щоб це було
можливо, ліземо в Панель управления-> Свойства папки-> Вигляд і прибираємо
галочку навпроти "Використовувати простий спільний доступ до файлів". Тут
ж вибираємо "Показувати приховані файли та папки".
Установки в панелі керування
Ліземо
в Панель керування-> Адміністрування-> Локальна політика-> Локальні
політики-> Параметри безпеки. У списку зліва знаходимо
рядок: "Перейменування облікового запису адміністратора". Двічі
клікаємо по ній і вводимо що-небудь інше. Так само чинимо і з моїм обліковим записом
гостя. Шукаємо рядок "Статус профілю 'Адміністратор'". Якщо
ти хочеш весь час використовувати інше ім'я, ніж змінене ім'я
адміністратора - вимикаємо цю опцію. Обов'язково вимикаємо обліковий запис
'Гість' (Guest) (за замовчуванням вона вже відключена, але про всяк пожежний треба
самому в цьому переконатися!). Шукаємо щось типу "Рівень аутентифікації LAN
Manager "і вибираємо" Використовувати NTLMv2отклонять LM & NTLM ".
Це для того, щоб позбудеться від нестачі LM-hash, який зберігає твій
пароль для входу в систему таким чином, що "розламує" пароль
(якщо він довший 7-і символів) на дві частини: одна частина довжиною 7 символів,
інша все, що залишилося. Десятизначний пароль зламувати важче, ніж два
пароля довжиною 7 і 3 символи.
Шукаємо
"Не показувати ім'я останнього користувача" та змінюємо параметр на
"Увімкнено" (в англ. Винду це "Interactive logon: Do not display
last user name "). Ця штука потрібна для того, щоб при вході в систему не
показувалося імені останнього залогіневшегося юзера. Також можна змінити максимальний
термін дії паролів. Змінюємо "Очищати файл підкачки при завершенні
роботи "на" Увімкнено ". А тепер у списку зліва вибираємо:
Локальні політики-> Призначення прав користувача. Справа шукаємо:
Доступ
до комп'ютера з мережі. Якщо ти не використовуєш NETBIOS для доступу до твого компу
з мережі - викидай всіх.
Відмова
у доступі до комп'ютера з мережі. Знову ж таки: не потрібен NETBIOS-доступ до твого
компу з мережі - вибираємо всіх, кого можна.
Відхилити
локальний вхід. Кого вибереш тут той не зможе ввійти в твій комп локально
(для тих хто в танку: локальний вхід - це вхід, який виробляється, коли ти
включаєш комп і входиш у систему). Дивись не переборщи: якщо вибереш всіх --
ніхто не зможе ввійти в твій комп'ютер локально (навіть адміністратори). Особисто я
викинув лише групу "Гості".
Примусове
віддалене завершення. Викидає з цього списку ВСЕХ!
Всі
інші налаштування, в яких за умовчанням в параметрах вписана група
Адміністратори (Administrators) настроюються так, щоб по можливості сама
ця група там не фігурувала: потрібні адміністратори - вибирай їх імена, а не
всю групу.
В
правому списку ліземо в "Локальні політики-> Аудит". Тут
настроюються ті параметри, які повинні реєструватися в журналах системи.
Можна вибирати успіх і/або відмову. Особливо багато не вибирай, бо систему навантажує
(за великим рахунком домашнім користувачам реєстрація в журналах особа не
потрібна). Всього три журнали: безпеки, програм та системний. Доступ до них
здійснюється через Панель управління-> Адміністрування-> Перегляд
подій.
Знову
ліземо в правий список і шукаємо "Політики облікових записів-> Політика
паролів ". Тут можна налаштувати за смаком. Рекомендую включити опцію
"Пароль повинен відповідати вимогам складності". У каталозі справа
знаходимо "Політика блокування облікового запису". Межа
блокування встановлюємо на 3, блокування облікового запису - на 30 хвилин. Це
означає, що якщо хтось намагався отримати доступ до якоїсь профілю, і
три рази поспіль, йому було відмовлено в доступі, то обліковий запис (ім'я
користувача), до якої була спроба отримання доступу, буде заблокована на
30 хвилин, протягом яких доступ до облікового запису навіть з правильним паролем
заборонений.
Реєстр
Що
ж, тепер наведемо порядок в реєстрі. Ліземо в HKLMSYSTEMCurrentControlSet
LanmanServerParametrs і шукаємо параметр AutoShareWks і надаємо йому значення
0. Якщо такого параметра немає - потрібно створити його. Цей параметр відповідає за
авто створення Розшарені ресурсів. Якщо тобі потрібно використовувати Розшарені
ресурси і до них потрібний віддалений доступ, краще створити потрібні ресурси вручну.
Йдемо
в HKLMSYSTEMCurrentControlSet ControlLsa і створюємо параметр типу REG_DWORD з
назвою restrictanonymous (можливо, він вже створений) і надаємо йому
значення 2. Це треба зробити для заборони NULL-session: це коли можна
приєднатися до компу для запиту різної інфи (наприклад, НЕТБІОС ім'я
комп'ютера, ім'я робочої групи) без введення імені користувача та пароля (тому
і глянув-сешшн). Пароль та логін до інету краще не зберігати, тому що його можна буде
витягнути спеціальними утилітами. За замовчуванням в системі вибрано запам'ятовувати
логін і пароль, але навіть якщо галочку прибрати, логін зберігається (а пароль вже
немає). Щоб це виправити ліземо в HKLMSystemCurrentControlSet
ServicesRasmanParameters і створюємо параметр типу REG_DWORD з назвою
DisableSavePassword і надаємо йому значення 1. Я ще рекомендую вирубати RPC
(Процедура віддаленого виклику) через те, що користі він неї небагато, а комп
однозначно стає більш вразливим (згадай недавні баги в RPC!). Вирубує:
HKEY_LOCAL_MACHINESoftware MicrosoftOLE - змініть значення EnableDCOM до N.
Параметри вступлять в силу після перезавантаження.
До
реєстром можливий віддалений доступ (за умови, що відоме ім'я користувача і
пароль того користувача, права якого дозволяють змінювати реєстр). Щоб вибірково
обмежити доступ до реєстру локально вибираємо один з головних
розділів, тиснемо праву кнопку і вибираємо "Дозволи" тут змінюємо
групи. ОБОВ'ЯЗКОВО залиш СИСТЕМУ (SYSTEM). Замість групи "Адміністратори"
(Administrators). Краще вибирати імена адмінів. Тиснемо "Додатково".
У вікні ставимо галочку навпроти "Замінити дозволу для всіх
дочірніх об'єктів заданими тут дозволами, які застосовуються до дочірніх
об'єктах ". Так треба зробити з усіма головними розділами. У цьому ж вікні
можна задати параметри аудиту реєстру. Якщо віддалений доступ до реєстру взагалі
не вимагається можна його вирубати: ліземо в Панель
управління-> Адміністрування-> Служби. Тут знаходимо Віддалений доступ до
реєстром (Remote Registry), двічі клацаємо по ньому і вказуємо тип запуску як
"Відключено".
Призначення доступу до файлів/папок
Потрібно
правильно розподілити: яким юзерам в якій католог можна залазити (можливо в
файлову систему NTFS). Для цього: клацніть правою кнопкою на потрібному файлі/каталозі/диску
і вибрати "Властивості". Тепер шукай вкладку "Безпека".
Тут два віконця: групи користувачів і їх поточні права на даний ресурс.
Корегує його як вважаєш за потрібне (адже ти вже повинен знати кому куди можна
залазити, а кому ні!).
І
наостанок:
Слід
подумати про перевірку своєї системи сканером безпеки. Зараз їх достатньо
багато. Особисто я - "домашній користувач" (мій комп не є
ніяким веб-сервером і т.д.) Тому я вибрав сканер Retina: він дозволяє не
тільки перевірити систему на відомі уразливості, але і Профікс їх одним
натисканням на кнопку (якщо уразливість пов'язана з настройками системи!).
Не
забувай вчасно ставити латки. Істина свідчить: потрібно ставити латки відразу
після їх появи, а не коли черговий черв'як почне діставати!
Не
забувай відвідувати security-сайти.
І
звичайно ж постав файрвол - той же AtGuard наприклад або Outpost.
Ось,
власне, і все, що я хотів розповісти. Сподіваюся, мої ради виявляться для
тебе корисними.
Список літератури
Для
підготовки даної роботи були використані матеріали з сайту http://ecosoft.iatp.org.ua/
