Защита Windows XP своими руками. Важные вещи

 Настройка Windows XP стандартными средствами
Любую операционку необходимо грамотно защищать от внешних напастей. Если об этом своевременно не позаботиться, то твоя система будет живой мишенью для вирусов, троянов, червей и т.д.

Разумеется, защищать систему имеет смысл сразу после установки. Только тогда ты можешь быть уверен в том, что, кроме тебя, на машине никто не обитает :). Но если ты изначально забил на защиту, никто не мешает исправиться и наверстать упущенное. Тебе не придется прибегать к помощи посторонних программ – вся настройка производится с помощью стандартных средств.

Почувствуй себя администратором
Первое, что необходимо сделать, – это зайти в раздел «Администрирование» в панели управления. Именно с него начинается организация безопасности твоей системы. Кликай на ярлычок «Службы» и внимательно ознакомляйся со списком дефолтовых сервисов. Многие из них должны быть отключены за ненадобностью. К примеру, рекомендуется вырубить службу рассылки системных оповещений. Дело в том, что в последнее время этот сервис юзается злобными спамерами, которые рассылают свои сообщения с помощью автоматизированных червей. Причем фаервол не всегда защищает от назойливых рекламщиков – хакеры научились спуфить IP-адрес и тем самым пробиваться через брандмауэр.

Далее убедись, что у тебя выключен сервис удаленного управления Windows и Telnet. Для рабочей станции эти демоны абсолютно бесполезны. Только представь, что твоей машиной управляет злобный хакер, который случайно (или намеренно) подобрал пароль к администраторскому аккаунту.

И, наконец, отключи удаленное управление реестром. Если взломщик по каким-то причинам узнает пароль администратора (или любого юзера с повышенными правами), то сможет удаленно подключиться к реестру. Хакеру будут доступны три первых ветки. Злоумышленник может так напортачить, что тебе придется сносить всю систему.

Самое время позаботиться о будущей безопасности. Выдели самые важные службы, которые не должны быть внезапно остановлены. Зайди в пункт «Восстановление» и выбери «Перезапуск службы» после первого, второго и третьего сбоев. Если хакер попытается атаковать кривой сервис, он без проблем перезапустится.

Безопасный файловый архив
Некоторые «умные» личности рекомендуют отключить сервис защиты файлов. Этого не стоит делать по одной простой причине - многие троянцы любят маскироваться под якобы системный файл, после чего WinXP медленно, но верно превращается в плацдарм для червяков. При включенном сервисе служба перезапишет важный файл его копией и тем самым ликвидирует червячка. Если закралось подозрение, что вирус каким-то образом проник на машину, запусти программу SFC с параметром /SCANNOW, которая моментально просканирует все системные каталоги.

Заветная мудрость линуксоидов: не сиди под рутом! То же самое рекомендуем и тебе. Когда у тебя невзрачные права (которых вполне хватает для нормальной работы), трояну не под силу отформатировать винт, переслать системные пароли и т.п. Но порой переезд на обычный аккаунт невозможен (если юзер работает с приложениями, требующими дополнительных привилегий). В этом случае приходится прибегать к дополнительным мерам безопасности. Убедись, что WinXP стоит на файловом разделе NTFS. Только в этом случае ты можешь контролировать права на каталоги. Если это так, запусти проводник, войди в «Сервис -> Свойства папки -> Вид» и убери галочку «Использование простого общего доступа к файлам».
Согласись, тебе не всегда требуется полный доступ к системным файлам. А твоим правом на запись в виндовый каталог часто пользуются троянцы, которые хитрым образом проникли на машину. Чтобы никакая зараза не могла записать себя в c:\windows, тебе нужно перезагрузить машину и зайти в безопасном режиме под аккаунтом администратора. Запускай проводник и топай в свойства c:\windows. Кликай по безопасности и удаляй свой идентификатор из списка владельцев. То же самое рекомендуется сделать и с каталогом c:\Program Files. Теперь, когда ты перезагрузишь машину, у тебя будут права только на просмотр и выполнение системных файлов.

Ты можешь озадачиться вопросом: а как теперь ставить новый софт? Ведь сетапу требуется записать данные в Program Files, а иногда и закинуть конфиги в виндовый каталог. Придется запускать инсталлятор от имени администратора. Для этого кликни правой кнопкой по исполняемому файлу и выбери пункт «Запустить от имени». Достаточно ввести пароль для учетной записи админа, и установщик корректно запишет любой файл в любое место. Будь осторожен: запускай лишь проверенные инсталлеры, ведь трояны очень любят маскироваться под безобидные приложения :).

Доверься фаерволу
Страшно подумать о том, что будет, если вывести WinXP в интернет без запущенного фаервола. На машину тут же нападут черви, базирующиеся на уязвимостях DCOM/ASN.1. Мы посчитали, сколько нечисти запишется в среднем на незащищенную машину - за один день 450 троянцев и несколько десятков FTP-скриптов! Впечатляет, не правда ли? А теперь представь, что эти черви живут и здравствуют на твоей родной тачке. При таком раскладе легче переустановить систему, чем жить среди опасных вирусов.

Несмотря на скудные возможности стандартного фаервола ему вполне можно доверять (особеннов в SP2, который обязательно следует установить! - прим. ред.). Не слушай тех, кто рекомендует поставить навороченный брандмауэр на рабочую станцию. Если ты используешь встроенный сервис, то выигрываешь в скорости и времени. Ведь настроить ICS, как два байта переслать! Чтобы обезопасить себя от всяких червячков, зайди в свойства соединения, выбери вкладку «Дополнительно» и отметь соответствующую опцию. Далее жми на «Параметры» и отмечай все службы, которые необходимо разрешить. Целесообразно добавить в разрешенные Web-, FTP- и SMTP-службы (если таковые имеются). Все остальное автоматически скроется за огненной стеной. Для мониторинга обязательно журналируй все пропущенные пакеты в отдельный лог. По желанию можешь разрешить или запретить ICMP – все в твоих руках.

Единственным недостатком ICS в "доSP2ческой" XP является неспособность разграничения прав по IP-адресам. Но в некоторых случаях это не нужно.
Контролируй реестр

Теперь, когда у тебя имеются установленный фаервол и защищенный файловый архив, пришло время покопаться в реестре. Различным параметрам и разделам следует уделять особое внимание, ибо повреждение реестра может привести к потере всех важных данных.

Запускай стандартный редактор реестра regedit.exe от имени администратора. Его возможностей хватит для грамотной настройки. В первую очередь, зайди во вкладку «HKLM\software\Microsoft\Windows\Current Version\Run» и убедись, что там живут лишь доверенные приложения. Конечно, если ты только что поставил систему (или постоянно мониторишь список автозагрузки), волноваться не о чем. Зайди в меню «Правка -> Разрешения» и сними права со своего логина. Теперь, даже при большом желании, запущенные от тебя троянцы не пропишутся в автозагрузке. То же самое проделывай с разделами Run Once и Run Services в HKLM и HKCU.

cmd под ударом
Различная хакерская нечисть пытается запустить cmd.exe для удаленного управления системой. У тебя никогда не было желания воспрепятствовать этому? Самое время переименовать cmd.exe на произвольное имя. Назови его, скажем, cmx.exe. Не забывай, что копия интерпретатора находится в c:\windows\dllcache\cmd.exe, и ее также нужно переименовать. Но это еще не все. Теперь закрепи все изменения в реестре и не дай хакеру ни малейшего шанса :). Сделай так, чтобы, если хакер пытается обратиться к cmd.exe, вместо шелла запускался обычный блокнот, появление которого будет сигналом об опасности. Перейди во вкладку «HKLM\Software\Microsoft\Windows\Current Version\App Patch», создай там вложенный раздел cmd.exe и измени значение дефолтового параметра на путь к блокноту. Теперь попробуй запустить cmd.exe ;).

Не секрет, что хакеры любят сканировать сети на предмет расшаренных ресурсов. Если у тебя есть общие папки пользователей, стоит задуматься над резонным вопросом, нужно ли светить список шар наружу. Можно отключить NULL-сессию, то есть отображение общих папок для анонимных пользователей. Зайди во вкладку «HKLM\SYSTEM\CurrentControlSet\Control\Lsa» и выстави значение 1 у строкового параметра RestrictAnonymous. Теперь, чтобы посмотреть список расшаренных каталогов, нужно залогиниться под системным юзером.

Часто бывает, что троянец записывает в файл hosts ссылку вида «microsoft.com hacker-ip-address». После обращения к сайту MS на компьютер жертвы заливается еще один троян (как правило, через дыру в браузере). Чтобы этого не произошло, измени местоположение файла hosts (и lmhosts). Это можно сделать в разделе «HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters2 - смени значение DataBasePath на другой путь.

Локальная безопасность превыше всего
Согласись, что если на твоей машине обитают еще и другие пользователи, грех не ограничить их в возможностях. Для этого необходимо замутить локальную политику безопасности. Заходи в «Администрирование» и выбирай соответствующий раздел. Здесь ты можешь задать ограничение на доступ к расшаренным ресурсам, запретить юзерам вырубать XP, отключить возможность обращения к реестру и многое другое. Хочешь большего? Совсем необязательно выкачивать какой-нибудь функциональный твикер, достаточно запустить скрипт групповой политики gpedit.msc. Он поможет осуществить запрет к вкладкам стартового меню, панели управления и многим другим вещам. Здесь же ты можешь запретить запуск файлов с произвольными названиями и расширениями, а также вообще закрыть локальный вход. Все в твоих руках :).
Без шансов

Можешь быть уверен, что никакой троянец не зальется в твою систему. А если он и проникнет, то не будет иметь шансов на выживание. И это благодаря тому, что ты вовремя позаботился о безопасности.

Пропатчь свою Винду!
После того как ты вывел защищенную, на первый взгляд, Windows в интернет, тебе нужно поставить ряд незаменимых патчей, которые позволят серфить глобал даже при выключенном брандмауэре.

1. RPC-DCOM Patch

Патч применяется от всех напастей, которые базируются на RPC-процедурах. Установив хотфикс, ты обезопасишь свою машину от назойливого червяка msblast, который до сих пор хозяйничает на тысячах зараженных машин. Стянуть заплатку можно отсюда: www.microsoft.com/downloads/details.aspx?FamilyId=D488BBBB-DA77-448D-8FF0-0A649A0D8FC3&displaylang=ru.

2. ASN.1 Patch

Патчик служит против бреши в функциях ASN.1. Если не поставить заплатку, то хакер может сразить твой IIS эксплоитом для модуля SSL даже при включенном фаерволе. А при выключенном брандмауэре на твой компьютер попадет злобный червь Saccer – зверек, похожий на msblast. Стягивай хотфикс по адресу www.microsoft.com/downloads/details.aspx?FamilyId=0CC30297-D4AE-48E9-ACD0-1343D89CCBBA&displaylang=ru и радуйся жизни.

3. Internet Explorer SP1

Сервиспак для IE 6.0 обязателен для твоей WinXP. Дело в том, что в последнее время развелось огромное число багов, которые позволяют заливать троянов через IE. При этом никакой антивирус и фаервол не спасают. Чтобы окончательно забыть о таких уязвимостях, скачай и установи IESP1 (www.microsoft.com/downloads/details.aspx?familyid=9339f6a3-8af9-41e0-af61-4564e9361a0c&displaylang=ru).

Но, честно говоря, лучше не полениться, и поставить новый Service Pack 2 - SP2 (лежит на нашем диске), который содержит в себе все вышеупомянутые патчи (и не только эти пачти), а так же блокировщик popup'ов для IE, нормальный файрвол и еще много полезных вещей.

Мнение эксперта
Когда при сравнении 9x и линейки NT упоминают о защищенности этих систем, я обычно вежливо улыбаюсь и отхожу в сторону. Система Windows XP ничуть не более защищена, чем Windows 98. Но в XP присутствует реализация механизмов защиты, которых в Windows 9x просто нет. Одних только технологий, позволяющих реализовывать фаервол в Windows XP, встроено целых четыре штуки! Воспользуешься ты ими или нет, уже твое дело. Только от тебя зависит, будет ли твоя система действительно защищена или так и останется плацдармом для спамеров.

Для минимальной настройки безопасности (чтобы тебя не свалил первый же попавшийся червяк) достаточно отключить ненужные сетевые службы, активировать межсетевой экран, регулярно ставить обновления для системы и НЕ РАБОТАТЬ ПОД АДМИНИСТРАТОРОМ! Все это можно сделать под XP, но под Win98 – нереально. Как можно настраивать разграничение доступа для различных пользователей в системе, где пользователи различаются только путем к папке профиля?
В XP есть еще одна интересная возможность – Software Restriction Policy. Ты можешь прописать, какие программы способны запускаться у тебя на машине. Даже если какая-то зараза приползет в почту твоей сеструхи под видом фотографии прекрасного принца, ничего у нее не выйдет.

Еще одна полезная штука – шаблоны безопасности. Ты можешь собрать все описанные в этой статье настройки в единый файл и затем за несколько секунд накатывать их на свежую операционную систему своему приятелю, а не тыкать мышкой полтора часа. Как их использовать? Спроси у Google "шаблоны безопасности windows" и "настройка Software Restriction Policy".

Скачай справочник по реестру Windows (winchanger.whatis.ru/file/reg4.zip) и всегда будь в курсе его потрясающих возможностей.

Убедись, что у тебя удалены все левые юзеры, а у администратора установлен сложный пароль.

Почаще проверяй список автозагрузки командой msconfig. Мало ли какая зараза там обитает :).

Стандартное местоположение файла hosts – c:\windows\system32\drivers\etc\.

Не выключай возможность восстановления системы. Этот сервис требует несколько метров на HDD, но является весьма неплохой страховкой.