Защити свою Win2k

Спецвыпуск Xakep, номер #014, стр. 014-060-4

AutoRun - он же автозапуск. Иногда страшно удобная, а иногда страшно вредная штука. Прикинь, заходит к тебе лучший друг :), вставляет свежезаписанный диск, автоматически запускается классная демонстрашка, а тем временем, помимо просто суперских визуальных эффектов, какой-нибудь гнусный троян имеет твой комп со всеми его (компа) :) потрохами. Для того чтобы на корню извести подобные безобразия, AutoRun нужно отключить. Конечно, есть мазохистское решение - каждый раз, при загрузке CD-Rom'а держать нажатым левый Shift. Но кому нужен лишний гимор?

Поэтому иди в:

HKEY_LOCAL_MACHINE \ SYSTEM\CurrentControlSet\Services\CDRom

Шукай там параметр Autorun, чей тип должен быть REG_DWORD. Значение 0 соответствует "отключено" (что нам и надо), значение 1 - "включено", значение по умолчанию.

Не всякий может (хочет) следить за тем, не ломится ли кто на его компьютер. Но всегда лучше поберечься (все знают, кто бережет береженого). Поэтому, первейшая мера - отрубить на фиг Network Browser, чтобы отныне любой "враг", который даже если и подключится к сети, не увидел твоей машины, и не стал бы ее сканировать (конечно, зная сетевое имя компа, все равно можно на него "постучаться", но не зная - попробуй, найди :)).

Итак, иди в:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters.

Ищи здесь ключ Hidden, и меняй его значение с 0 на 1.

Хотя можно сделать чуть :) проще - набрать в консоли net config server /hidden:yes

Но отруб Network Browser'a - это еще полдела. Безусловно, стоит сделать карачун и Null-Session. Null-Session - это такая причудливая вещь, которая позволяет другому пользователю, даже не зная никаких логинов и паролей на твою систему, получить всю инфу о зашареных (share - разделенных, доступных для общего пользования) директориях, об имеющихся на компе локальных пользователях, в общем, инфу много о чем.

Чтобы убрать эту "информационную" дыру :), идем по адресу:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Делаем там REG_DWORD-параметр с именем RestrictAnonymous и присваиваем ему значение 1.

Помимо этого - рекомендация лучших собаководов: убить как класс шаринги на всех автоматически зашареных директориях.

Для этого нужно неспешно добраться до:

HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\LanmanServer\Parameters

Там создать DWORD-параметр с именем AutoShareWks и присвоить ему значение 0. После чего все шаринги ручками убираются, система отправляется в перезагруз и возвращается из него с чистым и не обремененным зашареными директориями диском.

Всем отважным пользователям, бороздящим необъятные просторы Сети с помощью модема, совсем нелишне вести полный лог всех событий, которые с ним (модемом) происходят. Поэтому настоятельно рекомендую включить запись на всю активность твоего модема. Для этого идем:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

Делаем DWORD параметр Logging, и присваиваем ему значение 1.

После этого периодически заходим в \System32\RAS\Device.LOG, и внимательно смотрим!