Защити свою Win2k

Спецвыпуск Xakep, номер #014, стр. 014-060-3

(По совести замечу, что при включении этой опции, данные все равно не удаляются, в общем смысле слова. Файл подкачки - это "страничный" файл, т. е. он разбит на "страницы". При выключении питания все неактивные страницы "забиваются" нулями, а данные активных страниц памяти все равно остаются в свопе, впрочем, это не критично, т. к. все секьюрные данные эта опция позволит затереть.)

Итак, берем редактор реестра (лучше всегда пользоваться regedt32.exe), идем в ветвь:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management.

Добавляем REG_DWORD параметр с именем ClearPageFileAtShudown.

Значение параметра ставим в 1 (0 - дефолтное значение, когда ничего не очищается). Учти, что включение очистки страничного файла можем немного замедлить shutdown, но удовольствие :) того стоит.

Следующая брешь, хотя вернее сказать, дырищ-щ-ща - твой любимый Проводник - Explorer. Что есть корень диска С? Каждый, кто учил матчасть, тьфу ты, DOS, знает, именно с корня диска С система ведет поиск нужного ей файла. Можешь смеяться, можешь плакать, но такое положение дел существует и поныне. Поэтому, бегом смотрим, есть ли вдруг в корне диска С файл с именем типа explorer.exe (или каким-то еще "системным" именем). Если нет - значит пока пронесло :) и самое время поправить свою ОСь.

(Для пытливых поясню - что любая враждебная прога, будучи запущенной, безо всякого труда может положить себя в корень диска С, поскольку писать туда может кто угодно, т. к. абсолютно все пользователи - они же группа Everyone - имеют полный доступ - Full Access - к корню диска С.)

Итак, чтобы предотвратить такой трюк с explorer.exe идем в:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon

Смотрим на параметр Shell. Видим "просто" explorer.exe. Изменяем это значение, прописывая полный путь до директории, где лежит Explorer (не забудь про само имя файла - оно все равно нужно).

Ленивые товарищи могут просто прогуляться на http://www.microsoft.com/downloads/release.asp?releaseid=23359 и отгрузить там себе заплатку.

Еще одна хорошая дыра - твой любимый Screen Saver, по-русски говоря, хранитель экрана. Как это ни покажется странным, многие почему-то забывают настроить эту маленькую, но иногда такую вредную программку. Ведь и тут Uncle BillG за всех подумал. По умолчанию используется хранитель экрана с имением login.scr, который запустится, даже если Screen Saver выбран не был. Как известно - .scr файл - это фактически такой же исполняемый бинарный файл, как и любой другой. А что если вместо родного login.scr тебе фашист подложил свою гранату? То-то!

Поэтому нужно идти в HKEY_USERS\.DEFAULT\Control Panel\Desktop

Создать, если нету, параметр ScreenSaveActive, тип параметра REG_SZ, значение параметра - 0, отключено, т.е. это правильное - твое, значение 1 - значение по умолчанию, т.е. login.scr включен на автозапуск.