Дрессированные окна

Vint (Vint@vpost.ru)

Спецвыпуск Xakep, номер #040, стр. 040-054-2

Права

Антивирус, конечно, хорошо. Но переносить все проблемы безопасности на него нельзя. Поэтому давай сейчас конкретно займемся разделением прав на запуск ПО. Во вкладочке Администрирование выбираешь пункт Локальная политика безопасности и настраиваешь.

Для начала ставь политики по умолчанию “запрещение”. Тем самым ты реализуешь идею “запрещено то, что не разрешено”, вместо стандартной "разрешено то, что не запрещено”. После смены политики придется явно прописать пути, из которых возможен запуск приложений. Это так называемое разрешение по пути-имени. Такой вариант удобен тем, что враз разрешается запуск ПО из определенной папки, но за удобством скрывается большая брешь в защите: злоумышленник может заменить запускные файлы из разрешенного каталога своими и запустить их.

Более трудоемким, но и более безопасным способом является разрешение приложений по хешу. При выборе хеш-варианта винда проанализирует запускной файл программы и сосчитает некоторую контрольную сумму, называемую хешем. И уже приложение, разрешенное по хешу, сможет запускаться на данном компьютере из любого пути. Но при изменении запускного файла (например, при заражении вирусом) произойдет изменение его хеш-суммы. Так как она будет отлична от первоначальной, система не разрешит пользователю выполнить программу, посчитав ее неразрешенной.

Шары

Сейчас есть маленькая зараза, встроенная во все NT-системы. Называется она административной шарой. То есть у НТшки по умолчанию расшарены все диски и корневой каталог виндов. И зная пароль админа, можно таких дел натворить, что тебя сразу обнимет Кондратий. Только не говори, что твой пароль супер-пупер. Дыр в виндах все больше и больше, и многие из них позволяют получить удаленный шелл админа. Поэтому отключи все дефолтовые шары: зайди в Панель управления (Control Panel), найди пункт Администрирование (Administrative Tools), выбери вкладку Управление компьютером (Computer Management). Дальше System Tools -> Shared Folders -> Shares. Теперь ты видишь все административные шары, убрать их просто: Шара -> Stop Sharing.

Есть и другие левые шары. Всем известная папочка Общие документы (Shared Documents) открыта для записи по сети всегда, никакими стандартными средствами защититься от этого нельзя. Но есть способ гораздо лучше - отключить эту шару. Делается это удалением в реестре ключа. Ищи HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ My Computer \ NameSpace \ DelegateFolders, ключ - {59031a47-3f72-44a7-89c5-5595fe6b30ee}. Ребут, и эта злосчастная папка пропадет.

Отключение левых учеток