Осторожно, маты.
На одном небезызвестном форуме есть очень опытные аксакалы, которые путём долгой ебли мозгов себе и друг другу выработали политику анального огораживания NT-системы, настолько задротскую и эффективную, что она позволяет не только навсегда забыть об антивирусах, но даже пускать за компьютер школьников и представителей интеллектуальных меньшинств. Даже если вы целыми днями только и дрочите на прон-сайтах! Вот краткое изложение самых основных мер анального огораживания своей системы:
Полная переустановка всей системы. Выделение системе отдельного логического диска, который не будет захламляться, для последующего сноса системы ускорения восстановления, дефрагментирования, бекапов и прочих нужностей.
Отключение автозапуска на всех съёмных дисках — обязательно! Делается стандартной утилитой gpedit.msc, кому-то проще скачать AVZ4, но тру-одмины делают это через редактор групповой политики, либо вручную через regedit: очищают подразделы Run, RunOnce в кустах HKLM и HKCU, но это не защитит от двойного щелчка по значку флэшки с последующим срабатыванием авторана, для предотвращения чего нужно установить скрипт VirusVaccine для ленивых или же вручную в реестре прописать "AutoRun"=dword:00000000 в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDRom и для особо хитрожопых программ "*.*"="" в ветке HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files, так как в этой ветке программа ищет особые файлы, найдя которые не станет автоматически запускаться. Поэтому по умолчанию присваиваем значение «все файлы».
Создание пользователя с ограниченными правами (если не в состоянии их настроить, ставьте права гостя).
Пользование кошерным браузером, запущенным из-под пользователя с ограниченными правами. Это делается из-под любого пользователя батником с одной строчкой. Например, из-под рута батником с содержимым runas /user:%название пользователя% /savecred «%ProgramFiles%\Opera\opera.exe»[1]. Ещё лучше — браузером с анально огороженными яваскриптами (под Лисой делается плагином NoScript, под Оперой вот этим).
Не запускать что попало, появившееся на компьютере. Если сильно жмёт, то для проверки появившегося как раз и используется антивирус, в этом случае антивирус должен обновляться хотя бы раз в неделю и иметь включенный мониторинг файлов. Можно также политикой запретить исполняемые файлы.
Иметь включенное автоматическое обновление критических апдейтов системы.
Желательно также иметь нормально настроенный стандартный фаерволл.
Запускать непроверенные программы внутри виртуалки.
Если же вы желаете уберечь себя от страшных и ужасных уязвимостей типа 0-day, вредоносного кода типа сассера, кидо и т. д., помогут следующие действия, при условиии наличия домашнего компутера с интернетом и отсутствия Active Directory, средств разработки ПО, СУБД или еще каких-то специфических программ. После применения некоторых пунктов, особенно касающихся DCOM и отключения анонимного доступа к именованным каналам, проверить работоспособность специфических программ.
При соблюдении условия повседневной работы под пользователем с ограниченными правами необходимо задать встроенному админу пароль позаковыристее.
Отключите через services.msc и реестр вот этот список служб для повышения производительности системы.
Для общего доступа к файлам и принтерам в настройках брандмауэра оставить только порт TCP 445 (если никому свои шары предоставлять не планируете, то закрывайте и этот порт, а в настройках сети на всех интерфейсах снимайте галки на «общем доступе к файлам и принтерам»)
Отключить в диспетчере устройств драйвер NetBIOS over TCP/IP (Диспетчер устройств — Вид — Показать скрытые устройства — Драйверы устройств не Plug and Play — NetBIOS over TCP/IP — в Свойствах устанавливаем состояние «Отключено» и перезагружаемся). Стоит отметить, что далеко не во всех компьютерах стоит это делать, иначе просто после перезагрузки не выйдешь в интернеты.
Через соответствующую оснастку запретите анонимный доступ к DCOM (\WINDOWS\system32\dcomcnfg.exe — Службы компонентов — Компьютеры — Мой компьютер — ПКМ — Свойства — Безопасность COM. Там же можно пройтись по отдельным компонентам системы)
Разрешить политику «Сетевой доступ»: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями (через gpedit.msc, раздел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности)
Настроить политику «Сетевой доступ»: Разрешать анонимный доступ к именованным каналам (открыть ее и удалить все, что там перечислено: COMNAP, COMNODE, SQL\QUERY, SPOOLSS, LLSRPC, browser), Разрешать анонимный доступ к общим ресурсам (открыть ее и удалить все, что там перечислено), Пути в реестре доступны через сетевое подключение (открыть ее и удалить все, что там перечислено)
Установка игр и последующий запуск должны осуществляться не на реальную систему, а в так называемую песочницу. Кошерные проги BufferZone, Sandboxie, ZoneAlarm — друзья геймера-очкожима! (пользователи Windows XP Professional x64 Edition могут обломаться — ни одна из песочниц не работает).
Стоит добавить также про относительно свежий метод борьбы — DeepFreeze aka «глубокая заморозка». Суть проста: состояние системного раздела зеркалится и автоматически возвращается к изначальному после перезагрузки, сметая с концами любые трояны, набранные за предыдущий сеанс работы.
Как известно, настоящая компьютерная безопасность начинается с перерубленных проводов связи с внешним миром, закатывания компьютера в бетон и отправки его на орбиту. Все остальное — полумеры, разве что переход на другую ось спасет гиганта мысли. Ну или установка XP-64/Vista-64/Win7-64, на которых имеется штатный kernel patch protection. Дополненная любым вшивым антивирусом такая система окажется очень устойчивой.
(с) Лурк
Голосування