Грамотная защита оси

Докучаев Дмитрий aka Forb

Спецвыпуск: Хакер, номер #048, стр. 048-070-2

Согласись, тебе не всегда требуется полный доступ к системным файлам. А твоим правом на запись в виндовый каталог часто пользуются троянцы, которые хитрым образом проникли на машину. Чтобы никакая зараза не могла записать себя в c:\windows, тебе нужно перезагрузить машину и зайти в безопасном режиме под аккаунтом администратора. Запускай проводник и топай в свойства c:\windows. Кликай по безопасности и удаляй свой идентификатор из списка владельцев. То же самое рекомендуется сделать и с каталогом c:\Program Files. Теперь, когда ты перезагрузишь машину, у тебя будут права только на просмотр и выполнение системных файлов.

Ты можешь озадачиться вопросом: а как теперь ставить новый софт? Ведь сетапу требуется записать данные в Program Files, а иногда и закинуть конфиги в виндовый каталог. Придется запускать инсталлятор от имени администратора. Для этого кликни правой кнопкой по исполняемому файлу и выбери пункт «Запустить от имени». Достаточно ввести пароль для учетной записи админа, и установщик корректно запишет любой файл в любое место. Будь осторожен: запускай лишь проверенные инсталлеры, ведь трояны очень любят маскироваться под безобидные приложения :).

Доверься фаерволу

Страшно подумать о том, что будет, если вывести WinXP в интернет без запущенного фаервола. На машину тут же нападут черви, базирующиеся на уязвимостях DCOM/ASN.1. Мы посчитали, сколько нечисти запишется в среднем на незащищенную машину - за один день 450 троянцев и несколько десятков FTP-скриптов! Впечатляет, не правда ли? А теперь представь, что эти черви живут и здравствуют на твоей родной тачке. При таком раскладе легче переустановить систему, чем жить среди опасных вирусов.

Несмотря на скудные возможности стандартного фаервола ему вполне можно доверять (особеннов в SP2, который обязательно следует установить! - прим. ред.). Не слушай тех, кто рекомендует поставить навороченный брандмауэр на рабочую станцию. Если ты используешь встроенный сервис, то выигрываешь в скорости и времени. Ведь настроить ICS, как два байта переслать! Чтобы обезопасить себя от всяких червячков, зайди в свойства соединения, выбери вкладку «Дополнительно» и отметь соответствующую опцию. Далее жми на «Параметры» и отмечай все службы, которые необходимо разрешить. Целесообразно добавить в разрешенные Web-, FTP- и SMTP-службы (если таковые имеются). Все остальное автоматически скроется за огненной стеной. Для мониторинга обязательно журналируй все пропущенные пакеты в отдельный лог. По желанию можешь разрешить или запретить ICMP – все в твоих руках.

Единственным недостатком ICS в "доSP2ческой" XP является неспособность разграничения прав по IP-адресам. Но в некоторых случаях это не нужно.