Эта статья посвящена юзерам и админам которые уже просто устали от всякого рода вирусняка и троянов. Мало кто задумывается о встроенной безопасности Windows, некоторые считают что ее просто нет. Так вот, пришло время открыть вам правду, безопасность в Windows существует, и скажу, очень даже не хилая. Статья не претендует на полноту освещения проблемы, расценивайте ее как информацию к размышлению.
Итак, основа основ защиты это ФС NTFS. Такие достоинства как права доступа в ней, просто бесценны. Но есть и минусы. Цикл жизни вашего HDD под NTFS меньше, нежели под FAT32. Ну о теперь собственно поговорим о всякой «нечести» которая прыгает в вашей системе, как и где она это делает. Излюбленные места любых вирусов – это папка Windows, это знают все. Бороться с этим, не уповая на доброго дядю Кашпировского конечно можно. Самый простой способ – это аудит этой папки стандартными средствами (на NTFS). Включается все достаточно просто: - Администрирование - Локальная политика безопасности – Политика аудита – Аудит доступа к объектам. Дальше уже на ваш вкус – «успех» или «отказ». Я советую включить только «успех». Теперь нажимаем на папке Windows свойства и заходим во вкладку Аудит. Тут настраиваем на свой вкус – Удаление, Создание, Перемещение и т.д., главное не переборщить. Все, аудит мы настроили, смотреть его можно в Администрирование – Просмотр событий - Безопасность.
Как видите все очень просто и надежно, но порой малоинформативно. Есть еще один способ. Найти написать программу, которая следила бы за папкой Windows, что появилось что исчезло и т.д. Но тут тоже есть свои плюсы и минусы. Далее нам следует защитить папку Documents and Setting. Советую просто заблокировать доступ на всех пользователей и общую автозагрузку. Пользовательская - Documents and Settings/<<Имя_пользователя>>/Главное меню/Программы/Автозагрузка и общая: Documents and Settings/All Users/Главное меню/Программы/Автозагрузка. Если вы не хотите познакомится с макровирусами обратите внимание на файл Normal.dot, к слову, его несложно подменить файлом с макровирусом. Блокировать его не советую, т.к. Word этого вам не простит. Проще выключить макросы во всех екселях и вордах. Есть еще одна папка которую заценило не одно поколение вирусняка – Temp. Даже не знаю что и посоветовать, делайте там иногда генеральную уборку вот и все. Советую также запретить запись в файлы SYSTEM.INI, WIN.INI, BOOT.INI, с последним по понятным причинам особенно аккуратно. Также защитите от удаления и изменения фалы загрузки Windows ntldr, ntdetect.com, boot.ini и bootsect.dos. Еще хотелось бы сказать про флешки. Хоть раз в жизни я думаю вы ловили на флешку загрузочный вирус. Состоит он как правило из файла autorun.inf и запускаемого тела, например d34v89.exe или 76vbns.bat. (да да exe файл можно переименовать в bat и даже cmd файл, тем самым скрыть от юзера характерную иконку в экзешниках, и запускаться он будет на ура) Даже если вы отключите в системе разного рода автозагрузки, вам это все равно в большинстве случаев не поможет. Выход есть, форматнуть флешку в NTFS создать autorun.inf (пустой) и заблокировать его всеми мыслимыми и немыслимыми способами. Имеет смысл самостоятельно удалить из системы такие опасные консольные проги как reg.exe, shutdown.exe и т.д.
Так, вроде ничего не упустил, теперь переходим к реестру Windows. Внимание! прежде чем притворять в жизнь все ниже сказанное, настоятельно рекомендую сделать резервную копию реестра, не программой, а ручками.
Загрузитесь с любого ремонтного диска и скопируйте все файлы реестра из папки Windows/System32/Config/* в любое удобное место на диске.
Защита реестра похожа на защиту файлов в NTFS, но только тут разумеется NTFS не требуется. Существует масса веток реестра куда любят совать свои носы вирусы и трояны – это и автозагрузка и настройка проводника. Защитить их можно, выставив соответствующие параметры. Но учтите это достаточно опасно, т.к. вы можете сделать неработоспособной всю систему, своим незнанием.
Итак, начнем.
В начале защитим проводник от разного рода нежелательных изменений. Например излюбленных ход «нечести» - изменение отображения скрытых и системных файлов в проводнике. Запускаем Regedit. Блокируем на запись и изменение ветки:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced,
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced
теперь автозагрузку:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run и RunOnce
в HKEY_LOCAL_MACHINE тоже самое + RunOnceEx
Встречалось видеть такой парадокс в системе как не распознавание типа файла программы? Если вы не хотите повторений событий, блокируйте на изменение и удаление эту ветку:
HKEY_CLASSES_ROOT/.exe
Это касается и остальных жизненоважных системных файлов

Дополнение
Итак, пожалуй, начну с доводки малоинформативных нравоучений предыдущей статьи. Что есть права доступа из NTFS? Это несколько сложная и молодая (для Win) концепция, введенная в NT системы. Если вы пользовались или пользуетесь Unix подобными пингвинами, вы поймете, почему я говорю, что она именно сложная. В Linux с этими вещами куда проще и на мой взгляд логичней, но это я отвлекся.
В NTFS существует понятие наследования, т.е. если вы создаете в корневой папке файл my.doc то он будет наследовать разрешения от разрешений самого раздела (диска). Это не всегда нужно, и поэтому, если вам НЕ нужно сие безобразие (наследование) смело снимайте галочку Св-ва файла / Безопасность / Дополнительно / Разрешения / Наследовать от родительского объекта … в появившемся окне жмем «удалить».
Теперь собственно о самих правах и группах пользователей. Если вы хотите защитить, скажем, файл от удаления любым из пользователей или групп, то вам необязательно их всех добавлять в таблицу «Элементы разрешений» и каждого подробно обрабатывать. Для всех существует группа «Все» …
Задайте свойства «Разрешить» и «Запретить» на свой вкус, кстати, заметьте, казалось бы, мы запрещаем удаление от ВСЕХ групп и пользователей, но сами все же удалить можем (и все кто входит в Админскую группу и любая из программ которая висит в памяти у юзера этих групп), но изменить тело файла не сможем. Как то не очень логично получается … в Линукс например, если мы ставим на создателя «нет доступа» то его полностью и не будет =)
То есть, как видите выставить права - этого еще недостаточно. Теперь делаем из Windows – Linux. Я имею ввиду, по устоявшимся концепциям пингвина. Для этого мы оставляем одного общесистемного пользователя – «Администратор» в группе админов, все остальные пользователи НЕ должны быть в группе Администраторов. Далее отключаем страницу приветствия, чтоб стандартный администратор был доступен не только в безопасном режиме. Находится это тут – Панель управ. / Учетные записи юзеров / Изменение входа пользов. в систему. А вот теперь штампуем других юзеров с любыми из групп, кроме админов и запрещаем им все что нужно. После этого все очень удобно будет настраиваться, если вы, конечно, не поленитесь все организовать таким макаром. Разумеется, для себя тоже следует сделать соответствующую ограниченную учетку, и никогда не работать под Администратором, а только раздавать права. Если у вас, появляются какие-то вопросы, то ответы можно получить в стандартной справке Windows.
Далее хочу дать несколько советов не очень опытным сисадминам. Вспомните «милое» лицо своего шефа. Вспомнили? =) У него обязательно есть свой почтовый ящик, и даже не один, с которым(и) он активно работает. Можно вполне обоснованно предположить, что когда-нибудь кто-то из его партнеров, коллег и пр. рано или поздно, захочет «заказать» его ящик. =))) И если таковой взлом пройдет удачно, то вам, скорее всего, будет, как минимум сделан выговор. Отмаза вроде «А я то тут причем???» не прокатит, потому как одна из главных задач админа – это безопасность. Так вот, если вам не нужны проблемы такого рода, советую это обсудить со всеми коллегами по работе. Пресловутое удлинение или усложнение пароля ящика не выход, когда контрольный вопрос звучит приблизительно так «Имя моей собачки?». Ибо, это не слишком сложно узнать в задушевной беседе с жертвой. Эти азы должны знать все в вашей конторе, кто имеет свои ящики. Все выше сказанное применимо и к ICQ и к регистрации на сайтах и прочим. Взломав аську можно общаться выдавая себя за партнера по бизнесу и т.п., регистрируясь на сайте, вы вводите адрес своего ящика и тот же регистрационный пароль ящика. Было же так? А если авторы сайта специализируются на взломе…? Да им и ломать то ничего не надо, им все уже дали … для безпроблемного проникновения. А если на аське и почте и сервере SQL один и тот же пароль…?
Но вернемся к нашим баранам, итак вам нужно закачать какую-нибудь ну очень нужную программу. Вы ее получаете. И вот она перед вами, вы будете наивным простачком, если просто доверитесь результатам антивируса – «вирусов нет». Антивирусная эвристика срабатывает не всегда для новых вирусов, а только иногда, да и только для модификаций этих самых вирусов. Чтобы быть достаточно спокойным за ее деятельность в системе, советую скачать две программы Filemon и Regmon с сайта wwwsysinternals.com. Кто не знает, объясняю – эти программы являются мониторами файловой системы и реестра соответственно, к слову, излюбленные инструменты крякеров всего мира. Запустив программу можно будет отследить ВСЕ дисковые операции и ВСЕ обращения этой программы к реестру. Эти исчерпывающие сведения, я советую внимательно изучить и на всякий случай куда-нибудь сохранить. Если программа сделает вам нехороший сюрприз, у вас будут шансы исправить его последствия и выйти в этой схватке победителем. Мониторы имеют фильтры программ, используйте их, чтобы не иметь посторонних логов.
Теперь хочу дать пару простых советов о Диспетчере задач, во-первых можно защитить его от отключения (что иногда делают трояны и вирусняк), блокировав ветку в реестре HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System (DisableTaskMgr = 1) К сожалению в реестре нельзя блокировать отдельные параметры как например DisableTaskMgr, только разделы и вот тут кроется один неприятный сюрприз. Заблокировав раздел вы не сможете внести или изменить другие политики которые, так или иначе, прописываются в этом же разделе. Иными словами, прежде чем блокировать ветки, выставите все необходимые политики в системе. Блокирование реестра это с одной стороны смелый шаг, с другой опасный. Блокируйте реестр, только тогда, когда уже все проги установлены и абсолютно ВСЕ настроено, включая Windows. Ладно, что качается диспетчера задач, советую также не уповать на стандартный и найти сторонний, например ProceXP. Он кстати гораздо информативней стандартного. Бывает, что «нечисть» скрывается в диспетчере под фальшивым именем какой-нибудь из служб, самый простой и банальный выход: после конфигурирования служб, просто посчитать их и куда-нибудь записать, вот и все.
Если вы хотите знать описание большинства тонких настроек Windows. Выполните: Пуск – Выполнить – gpedit.msc Там содержится много информации о параметрах системы. Информация черпается из adm файлов, которые можно добавлять в эту консоль. Можно также почитать справку к программе XPTweaker там все предельно детально раскрыто.
Что касается служб, то наиболее опасные из них это Telnet и Удаленный реестр. Telnet это бэкдор, не самый продвинутый, но все таки его можно тайно запустить на каком-нибудь добром 666 порту (в обход стандартного 23) и зная пасс или имея админку управлять компьютером удаленно. Telnet вообще лучше вынести из системы. Про удаленный реестр полагаю, тоже понятно.
Откажитесь от любимых Internet Explorer и Outlook Express про причине их бесконечных уязвимостей и пристального внимания взломщиков. На худой конец следите за выпускаемыми для них обновлениями. Я не так давно решил провести эксперементик с IE. Написал HTML’ку и добавил к ней немного VBScript’а. Код должен был удалить один из файлов загрузки Windows. Тест прошел УСПЕШНО. Такие браузеры как FireFox, Navigator не поддерживают VBScript и поэтому более безопасные и работают пошустрее. Так что, делайте выводы.
Хотелось бы сказать немного про файрволы. Стандартный файрвол Windows годится разве, что для домашних нужд. Раскрученный бренд, как например Agnitum Outpost Firewall в некоторых своих редакциях на деле оказался, не очень устойчивым к локальным атакам. Так что лучше применять что-то среднее и не очень «знаменитое». Мне, например, понравился Norton Firewall. Кстати, насчет пассивной сетевой защиты, советую, просто, запомнить ряд открытых TCP/UDP портов в системе. Команда netstat /a.
В наше время появилось множество вариаций макровирусов. Поскольку язык VBA (на котором они пишутся) является достаточно мощным языком, то макровирусы могут если не все, так очень многое. В офисных программах (Word, Excel) недостаточно просто их отключить, необходимо еще и заблокировать эти параметры, хранящиеся не в зашифрованном виде (!), а просто в виде набора ключей реестра. То есть, «зловредная» программка может просто все эту «защиту» вырубить и подменить файл normal.dot (общий для всех документов). Вот этот раздел реестра отвечающий за макросы (для Word 2003): HKCU/Software/Microsoft/Office/11.0/Word/Security и его ключи: AccessVBOM, DontTrustInstalledFiles и Level. Блокируйте их на здоровье. Что касается защиты от изменения или чтения фалов doc, xls, docx то на них можно ставить пароль (это я думаю почти все знают), предварительно выбрав алгоритм шифрования. Этому, прежде всего нужно научить суетливых теток бухгалтерш =) И вообще если нужна просто параноидальная защита от всех и вся, пользуйтесь WinRar’ом + пароли на архивы, для почты и прочего. Для прогерров хотел бы напомнить, что у WinRar’а есть и консольный вариант сжатия+шифровки, что иногда особенно ценно.