Преврати свою систему в крепость

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #040, стр. 040-048-4

Абсолютной безопасности не существует

Несмотря на то, что защитить свою операционку на 100% невозможно, методы, приведенные в этой статье, помогут спасти твой сервер от глупых скрипткиддисов и начинающих хакеров (а их, как ты знаешь, бесчисленное множество). Если же твоей системой заинтересуются профессиональные хакеры, тебе стоит поискать более продвинутые решения для усиления безопасности. Рекомендую прочитать книгу Эда Ботта и Карла Зихерта "Безопасность Windows".

Лоботомия Perl

Портированный Perl довольно опасно ставить на WinXP, поскольку любой дырявый скрипт может вызвать командный интерпретатор. Однако запретить системные вызовы вполне реально (при наличии прямых рук). Для этого следует найти подстроку "cmd.exe" в файле Perl58.dll (местонахождение – каталог perl\bin). Замени имя файла cmd на что-нибудь другое той же длины, например, xak.exe. Таким образом, символ "конвейера" окажется нерабочим, однако в сценариях по-прежнему будет возможным запускать приложения функцией system("ИмяПрограммы"), а хакер получит от ворот поворот.

Этот и другие советы по защите интерпретатора ты можешь прочитать в статье "Защита Perl" по адресу www.citforum.ru/internet/perl/safe.

Слово специалистам

Мы обратились к специалистам в области компьютерной безопасности с вопросом: "Как сделать XP безопаснее?"

- ознакомься с www.microsoft.com/technet/treeview/default.asp?url=/technet/security/chklist/xpcl.asp;

- поставь антивирус, при активной работе в Сети установи какой-нибудь файрвол;

- включи автообновление (Windows Update), либо не ленись периодически запускать обновление ручками;

- поменьше слушай сказки о "дырявости окошек" и следуй при работе здравому смыслу и базовым правилам компьютерной гигиены;

- заведи для основной работы пользовательский аккаунт, не обладающий администраторскими правами.

- заткни огромную дыру в DCOM, чтобы не превращать свой любимый комп в рассадник червей;

- установи антивирус, мигом вычищающий и уничтожающий различные вирусы и backdoor'ы;

- убей в Word'е движок макросов;

- если ты используешь IE, то отключи поддержку ActiveX, JavaScript и т.п.;

- выбери почтовый клиент, который режет все HTML-письма в plain-text, а также сохраняй все вложения в специально заведенной для них папке;

- реже используй проводник, отдавая предпочтение командной строке либо FAR'у;

- делай backup как минимум один раз в день.

Джентльменский набор

Каждый администратор должен иметь под рукой набор патчей, которые будут наложены на свежую систему WinXP. Вот некоторые из них:

- RPC DCOM Patch - актуальная заплатка в настоящее время, исправляет ошибку, ведущую к переполнению буфера;

- Windows Messenger Patch – патч, исправляющий фатальную ошибку в сервисе сообщений;

- Cummulative IE 6.0 Patch – патч для IE, исправляющий различные баги в вызовах ActiveX;

- Service Pack1 - исправляет старые уязвимости системы, наподобие smbdie и прочего;

- Service Pack1 для Office XP – при наличии офиса XP установить этот патч следует в обязательном порядке.