Преврати свою систему в крепость

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #040, стр. 040-048-3

Настроить фаервол очень просто: зайди в свойства сетевого соединения, пометь галочкой "использовать фаервол", и жмакай на "параметры". Теперь отметь те сервисы, которые ты хотел бы разрешить. Если нужная служба отсутствует в списке, добавь ее вручную. После этого (при желании) можно разрешить проброс ICMP-пакетов в соответствующей вкладке. И напоследок, рекомендую включить полное логирование данных в отдельный файл. Впоследствии через этот файл можно выявить попытки взлома и вовремя их пресечь.

Для серьезного сервера, простои которого недопустимы, фаервол должен настраиваться на вышестоящем маршрутизаторе, так как мощная атака заDoSит сервак даже с активным фаерволом. Это уже давно проверенный факт.

Локальная безопасность превыше всего

Если админы и выполняют настройку политики удаленной безопасности, то про локальную почему-то забывают. А зря. К примеру, установив фаервол, который закрывает 139 порт и блокирует атаки на RPC, и не пропатчив систему, администратор перестает волноваться за WinXP. Однако любой злоумышленник с помощью обычного эксплойта KAHT2 может поиметь права администратора. Поэтому на уровне локальной политики патчи следует устанавливать обязательно.

Затем следует уделить особое внимание учетным записям. А именно, переименовать логин "администратор" во что-нибудь необычное, например, root :). Это нужно для того, чтобы запутать вероятного противника, который вовсю сканирует твою систему. Также обязательно отруби аккаунт гостя, так как это единственная запись, под которой можно проникнуть в систему без авторизации.

Удели больше внимания папкам, к которым доступ посторонних лиц нежелателен. К примеру, за компьютером могут работать три непривилегированных лица. При этом на диске C: существует папка secret, доступ к которой должен иметь только администратор. Несмотря на то, что папка была создана админом, на чтение она будет доступна всем. Чтобы закрыть доступ, войди в свойства каталога и выбери вкладку "доступ". Там необходимо добавить категорию "ВСЕ" и запретить чтение каталога.

В WinXP существует полезный скрипт настройки групповой политики gpedit.msc. С помощью этого сценария можно грамотно установить локальные политики для всех пользователей. К примеру, вкладка "Система" позволяет задать имена приложений, разрешенных для запуска. Все остальные файлы пользователи запускать не имеют права. Здесь же легко обрезается доступ к панели управления или к сетевому окружению. Перечислить все возможности gpedit.msc нереально, лучше один раз увидеть, чем сто раз услышать (а тем более прочитать).

И, наконец, возьми себе за правило читать системные журналы. В них содержится информация, которая может тебя заинтересовать. Возможно, после прочтения ты узнаешь, что локальный юзер vasya пытался стать админом ;) или запустить запрещенную программу.