Грамотная защита оси

Докучаев Дмитрий aka Forb

Спецвыпуск: Хакер, номер #048, стр. 048-070-3

Контролируй реестр

Теперь, когда у тебя имеются установленный фаервол и защищенный файловый архив, пришло время покопаться в реестре. Различным параметрам и разделам следует уделять особое внимание, ибо повреждение реестра может привести к потере всех важных данных.

Запускай стандартный редактор реестра regedit.exe от имени администратора. Его возможностей хватит для грамотной настройки. В первую очередь, зайди во вкладку «HKLM\software\Microsoft\Windows\Current Version\Run» и убедись, что там живут лишь доверенные приложения. Конечно, если ты только что поставил систему (или постоянно мониторишь список автозагрузки), волноваться не о чем. Зайди в меню «Правка -> Разрешения» и сними права со своего логина. Теперь, даже при большом желании, запущенные от тебя троянцы не пропишутся в автозагрузке. То же самое проделывай с разделами Run Once и Run Services в HKLM и HKCU.

cmd под ударом

Различная хакерская нечисть пытается запустить cmd.exe для удаленного управления системой. У тебя никогда не было желания воспрепятствовать этому? Самое время переименовать cmd.exe на произвольное имя. Назови его, скажем, cmx.exe. Не забывай, что копия интерпретатора находится в c:\windows\dllcache\cmd.exe, и ее также нужно переименовать. Но это еще не все. Теперь закрепи все изменения в реестре и не дай хакеру ни малейшего шанса :). Сделай так, чтобы, если хакер пытается обратиться к cmd.exe, вместо шелла запускался обычный блокнот, появление которого будет сигналом об опасности. Перейди во вкладку «HKLM\Software\Microsoft\Windows\Current Version\App Patch», создай там вложенный раздел cmd.exe и измени значение дефолтового параметра на путь к блокноту. Теперь попробуй запустить cmd.exe ;).

Не секрет, что хакеры любят сканировать сети на предмет расшаренных ресурсов. Если у тебя есть общие папки пользователей, стоит задуматься над резонным вопросом, нужно ли светить список шар наружу. Можно отключить NULL-сессию, то есть отображение общих папок для анонимных пользователей. Зайди во вкладку «HKLM\SYSTEM\CurrentControlSet\Control\Lsa» и выстави значение 1 у строкового параметра RestrictAnonymous. Теперь, чтобы посмотреть список расшаренных каталогов, нужно залогиниться под системным юзером.

Часто бывает, что троянец записывает в файл hosts ссылку вида «microsoft.com hacker-ip-address». После обращения к сайту MS на компьютер жертвы заливается еще один троян (как правило, через дыру в браузере). Чтобы этого не произошло, измени местоположение файла hosts (и lmhosts). Это можно сделать в разделе «HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters2 - смени значение DataBasePath на другой путь.

Локальная безопасность превыше всего

Согласись, что если на твоей машине обитают еще и другие пользователи, грех не ограничить их в возможностях. Для этого необходимо замутить локальную политику безопасности. Заходи в «Администрирование» и выбирай соответствующий раздел. Здесь ты можешь задать ограничение на доступ к расшаренным ресурсам, запретить юзерам вырубать XP, отключить возможность обращения к реестру и многое другое. Хочешь большего? Совсем необязательно выкачивать какой-нибудь функциональный твикер, достаточно запустить скрипт групповой политики gpedit.msc. Он поможет осуществить запрет к вкладкам стартового меню, панели управления и многим другим вещам. Здесь же ты можешь запретить запуск файлов с произвольными названиями и расширениями, а также вообще закрыть локальный вход. Все в твоих руках :).