[Профи]

Цитата:

Сообщение от CharmDraco писал чт, 17 января 2008 00:06

1. Имхо - лучше все же контролировать процесс установки апдейтов, не устанавливая их сразу же после выхода, а выждав некоторое карантинное время, скажем - неделю. Ибо, как показывает практика, в самих апдейтах тоже бывают серьёзные ошибки.

Не знаю, по моему карантин для автоапдейта — излишняя мера. За несколько лет, которые был включен автоапдейт, такого как ты написал, у меня не было. 2 компа, XP Pro и XP Home, оба лицензионные (Pro был с ноутом, а лицензионный Home купил за $60, когда собирал 2й комп).
У приятеля с пиратским XP что-то похожее правда было: после очередного апдейта слетала активация — снова начало ее требовать, но это тоже было максимум 1 раз.

[RusVodka]

Цитата:

Сообщение от Grey писал ср, 16 января 2008 20:49

Цитата:

Хотелось бы для начала узнать от Вас, в чем разница между этими двумя админами, и почему один из них безопаснее другого:

Цитата:

ну чтобы убедиться в Вашей квалификации.

Первое отличие, что приходит на ум, это то что под Администратором (при котором система устанавливалась) можно войти в консоль восстановления системы, под другим юзером с правами администратора это сделать невозможно. Консоль востановления требует только самого первого администратора.

По поводу безопасности одного от другого это как настроите. Можно настроить так что будет двор проходной, а можно тонко и гибко, что войти в вашу систему (даже используя приватный сплойт) будет весьма проблематично.
Конечно взломать то можно все что угодно, во всяком случае имея дело с денежными средствами в виртуальном пространстве, надо и нужно заботиться о своей собственной защите и безопасности.

[ХитрыйЛис]

Цитата:

Сообщение от CharmDraco писал чт, 17 января 2008 00:06

7. Любой мессенджер - это уже сама по себе потенциальная дыра в безопасности компа. Ему открыт доступ в инет, к нему может запросить доступ любой IP, и в его контексте можно выполнить свой код. Что ещё нужно для счастья хакеру?

насчет выполнить код в контексте это ты погорячился, сначала надо найти уязвимость

А вообще не следует искать универсальное решение типа 2 в 1, чтоб и антивирус был и фаерволл. Это разные продукты, и идея совмещать их это больше маркетинговый ход чем улучшение качества. Так что лучше иметь отдельно антивирус и отдельно фаерволл. Из самых злобных защитных средств можно поставить продукт Safe'n'Sec от создателей Starforce. Но он параноик, его настраивать долго, первое время на все орать будет пока не "обучить" его. Плюс к тому же для многих пользователей далеких от программирования сообщения типа "процесс такой то пытается сделать inject туда то" ничего не скажут, и пользователь в результате либо на все будет жать ОК, либо на все будет жать Cancel что может привести к отрубанию инета как такового и нарушению работоспособности легального софта

[Профи]

Цитата:

Сообщение от CharmDraco писал чт, 17 января 2008 00:06

Конечно, есть программы типа Rollback Rx, которые обещают полный контроль над контрольными точками, но ... а что Вы будете делать, если она сбойнёт, а пришедший спец разведет руками? Громко звать бабушку?

После установки системы и первоначальной настройки нужно сделать с нее "образ" и записать его на CD/DVD. У меня с такого диска Windows с уже сделанными настройками и частью программ восстанавливается за 20 минут. При любых подозрениях, что в системе что-то завелось можно тоже восстановить оттуда.

[CharmDraco]

Цитата:

Сообщение от Профи писал чт, 17 января 2008 00:31

У меня за несколько лет, которые включен автоапдейт, такого не было

Да было, и не один раз, обычно потом идет сообщение начинающееся с фразы: "Компания Microsoft признала факт наличия ряда проблем с одним из последних патчей для операционных систем семейства Windows."
Вот нагуглил из [Зарегистрироваться?] - "Как выяснилось, при установке обновления на некоторые компьютеры с ОС Windows 2000, работа может серьезно замедляться, а в ряде случаев пользователи даже не могут войти в систему. Кроме этого, могут наблюдаться зависания компьютера при запуске."
А помните историю с SP2 для WinXP, в котором впервые появился встроенный фаервол, и одновременно MS изменили умолчания для некоторых системных политик, после чего пользователь у которого стоял автологон и не было никакого пароля не мог вообще войти в систему? А проблемы с апгрейдом компьютера и необходимостью новой лицензии для XP?

[Профи]

Звонить надо дилеру или в Майкрософт, они тебе помогут с лицензией при апгрейде. Как обновлял свой XP Pro до SP2 я помню уже смутно — заказал на майкрософтовском сайте компакт, он пришел (бесплатно), я поставил чистый Windows, на него SP2 и все заработало. Невозможности войти не было, но я его заказывал не сразу после выхода.

Не буду настаивать, что все всегда хорошо — может просто везло на отсутствие этих грабель. Зато головную боль по заделыванию дыр — автоапдейт снимает полностью (в плане безопасности плюсы перевешивают минусы).

[CharmDraco]

Цитата:

Сообщение от ХитрыйЛис писал чт, 17 января 2008 00:53

насчет выполнить код в контексте это ты погорячился, сначала надо найти уязвимость

Уязвимость - это конечно. Но как говорится - если известно что в этом месте зарыт клад, но неизвестна его глубина, то это уже только чисто техническая проблема.

Цитата:

Сообщение от ХитрыйЛис писал чт, 17 января 2008 00:53

А вообще не следует искать универсальное решение типа 2 в 1, чтоб и антивирус был и фаерволл.

Так в случае с ZoneAlarm это так оно и есть, у них был свой, не очень, но уже пол-года как - лицензионный от Касперского, и это дало уже очень даже неплохой флакон 2 в 1.

[CharmDraco]

Цитата:

Сообщение от Профи писал чт, 17 января 2008 00:59

После установки системы и первоначальной настройки нужно сделать с нее "образ" и записать его на CD/DVD.

Да, все правильно. Но я говорил не о системе, а о своей собственной информации - базах данных, документах, почте. Допустим после установки апдейта система перезагрузилась и выдала голубой экран с ошибкой. Что дальше? А дальше или нужно вызывать комп. техника, или везти компьютер в тех. обслуживание, и там просить, чтобы сделали копию. Потому как варианты снять жесткий диск с этого компа, подключить его к другому, переписать нужную информацию, вернуть диск обратно. Или - загрузиться со спец. загрузочного СД/ДВД, на котором есть Nero, или что-то похожее, сбросить нужную информацию на СД/ДВД. И вся эта канитель только из-за того, что доки и база не были за 15 минут сброшены на ДВД, и всего-то.

Цитата:

Сообщение от Цитата:

Зато головную боль по заделыванию дыр — автоапдейт снимает полностью (в плане безопасности плюсы перевешивают минусы).

Вообще-то при наличии настроенного внешнего файервола, необходимость в срочных апдейтах есть только у Internet Explorera, поскольку информация о его дырах начинает моментально использоваться (как и дыры в любых программах обрабатывающих интернет-контент, например - Adobe Acrobat Reader, Adobe Flash Player и т.п.). Дырами же в системных программах труднее воспользоваться хакерам, или сетевым червям, поскольку сама система (её интерфейсы) закрыта от внешнего мира. Для того чтобы вызвать переполнение стека в каком-то модуле системы, нужно чтобы посланный из инета спец. пакет дошёл до него, а как он к нему попадёт, если в фаерволе закрыт этот интерфейсный порт? Никак. К тому же в системе этот пакет встретит второй фаервол - ZeroAlarm/Jetico/Kaspersky/Symantec да много их. А вот IE тащит всё по разрешённому каналу и запускает всякую дрянь с правами текущего пользователя. Вот это действительно - безобразие.

[RRamon]

Небезынтересной и ценной, если, правда, уже не общеизвестной (оригинальный постинг от 30.08.2006), может быть информация по обеспечению безопасности от "гуру" с форума касперского. Статья-руководство "Конфигурирование Windows, Отключение небезопасных компонентов".

Цитата:

Сообщение от Цитата:

ДАННЫЙ ПОСТ НЕ ЯВЛЯЕТСЯ ОФИЦИАЛЬНОЙ ТОЧКОЙ ЗРЕНИЯ Лаборатории Каспера. Это мой личный взляд, основан на многолетнем наблюдении за всём, что происходит в развитии всяких атак (пусть это будет вирусы, трояны, или хакеры). АТАКУЮТСЯ ИМЕННО НАСТРОЙКИ WINDOWS ПО УМОЛЧАНИЮ, ВСЕГДА!!!

Для тех, которые хотят "Однозначное Решение Проблемы": Вы должны отключить НЕНУЖНЫЕ и/или потенциально ОПАСНЫЕ службы.

Самый лучший способ: отказаться от всех возможностей по Обмену Файлами (и в Инет, и на локалке).

Сначала отключим Интернет! Потом делаем вот так:

Всё удалить в свойствах Интернета, чтобы только осталось Протокола TCP/IP. (Вы картинку, наверно, видели)

Потом в свойствах этого Протокола в раздел WINS отключить NetBIOS и снять галочку где стоит Включить просмотр LMHosts.

Потом в Control Panel - Администрирования - Сервисы. Где ничего не указано - отключить (готовьтесь, это не мало) Для тех, у которых английский XP: названия все по-английски не знаю:

* .NET Runtime Optimization Service (если такое имеется).
* ASP.NET State Service (если такое имеется)
* DHCP-клиент (ТОЛЬКО ЕСЛИ У ВАС НЕТ МОДЕМа ИЛИ СТРИМа)
* DNS-клиент (все программы могут самый этот запрос делать)
* iPodService (если имеется, ставить вручную и остановить)
* Machine Debug Manager
* NetMeeting Remote Desktop Sharing
* NVIDIA Display Driver Service (тоже не нужна. Всё будет нормально работать. Она тоже периодически в Интернете что-то ищет)
* Office Source Engine (если имеется, ставить "вручную" и остановить)
* QoS RSVP
* Windows Media Player Network Sharing Service (если такое имеется)
* Автоматическое обновление (вручную, один раз в месяц на Авто для Обновления)
* Брандмауэр Windows/Общий доступ к Интернету (ICS)
* Веб-клиент
* Вторичный вход в систему (если вы единственный пользователь на компе)
* Диспетчер сетевого DDE
* Доступ к HID-устройствам
* Координатор распределенных транзакций
* Маршрутизация и удаленный доступ
* Модуль поддержки NetBIOS через TCP/IP
* Планировщик заданий (если не один из ваших программ защиты его не использует!!!) По моему у Каспера есть свой...
* Сервер папки обмена
* Служба COM записи компакт-дисков IMAPI (только если вы не пользуетесь встроенные возможности Windows для записи)
* Служба Windows Media Connect (если такое имеется, то тогда на «вручную»)
* Служба восстановления системы (лучше пользоваться другими средствами для восстановления)
* Служба времени Windows (вручную)
* Служба загрузки изображений (WIA)
* Служба индексирования (надо на всех дисках сначала галочку снять, где стоит «разрешить индексирования для быстрого поиска») - Будет на С ошибка (да для всех отвечать) Поиск никак не замедляется!!!
* Служба обнаружения SSDP
* Служба регистрации ошибок
* Служба сетевого DDE
* Служба шлюза уровня приложения (Application Layer Service) отключить только на SP2!!!
* Служба IPSEC
* Служба терминалов
* Совместимость быстрого переключения пользователей (если вы единственный пользователь на компе)
* Справка и поддержка (вручную)
* Темы (это уже дело вкуса. С Интернетом не связанно)
* Узел универсальных PnP-устройств
* Фоновая интеллектуальная служба передачи (BITS) вручную. Если работает - остановить
Центр обеспечения безопасности
* И Last but not Least: Remote Registry - Удалённый реестр (если вы на Pro). Просто стыд позор, что Microsoft эту службу поставила на Авто!!! Любой дебил может управлять вашим компом на расстоянии...

Теперь перезагрузка компа.

Любые плееры, ICQ, и т.д. НЕ стартовать вместе с Windows!!! Есть хороший Startup Manager (Startup Control Panel). Выберите Standalone EXE version (34КБ).
[Зарегистрироваться?]
Установка не требуется. Там можно галочки снять и при следующем запуске Windows программы уже не будет...

Любые Авто-обновления отключить (это дружный совет)
Любые Mail-Protection и всякую подобную фигню отключить и принимать ТОЛЬКО Простой Текстовой формат в E-mail Client. HTML сообщения и Javascripts в mail противопоказаны!!! Отключить предварительный просмотр сообщений.

В браузерах ЗАПРЕТИТЬ выполнить скрипты. Разумно управлять куками.

Если ещё вопросы есть, крикните. smile.gif

С уважением и с искреннем желанием на улучении ситуации,

Paul Wynant
Moscow, Russia

P.S.: Для тех, которые не знают, как отключить службы:
Пуск - Панель Управления (классический вид)- Администрирование - Сервисы (службы).
Откройте.
Ищите название службы.
Щелкайте дважды.
Поставьте параметр Тип Запуска на: "Отключить" или на "Вручную" (как указано выше).
Остановите службу (ссылка с лева стоит).
Перезагрузите комп.

Paul Wynant
Moscow, Russia

Ссылка на оригинальный пост (здесь же есть информация по той же теме для пользователей Виста):
[Зарегистрироваться?]
Ссылка на топик с обсуждением:
[Зарегистрироваться?]

PS: Сам выполнил вышеизложенную процедуру "кастрации" полностью, и сбоев при работе компьютера не было. Что касается оценки гипотетически возросшего уровня безопасности, то, за неимением достаточных знаний, судить не берусь и оставляю на совести автора.

[PokerAmateur]

Цитата:

Сообщение от Профи писал чт, 17 января 2008 00:59

После установки системы и первоначальной настройки нужно сделать с нее "образ" и записать его на CD/DVD. У меня с такого диска Windows с уже сделанными настройками и частью программ восстанавливается за 20 минут. При любых подозрениях, что в системе что-то завелось можно тоже восстановить оттуда.

Еще полезно соответсвтующими программами сравнивать содержимое папки WINNT и сохраненного образа WINNT.

[Профи]

Базовая информация про "открытые порты" и как посмотреть эту информацию:
http://forum.cgm.ru/showpost?goto=290059
с тем дополнением, что более продвинутые трояны могут скрывать установленные соединения.

[PokerAmateur]

Цитата:

Сообщение от Профи писал пт, 18 января 2008 02:23

Базовая информация про "открытые порты" и как посмотреть эту информацию:
http://forum.cgm.ru/showpost?goto=290059
с тем дополнением, что более продвинутые трояны могут скрывать установленные соединения.

"открытые порты" - это только один из многочисленных путей заражения компьютера. Если компьютер заражен, вирусы могут обходиться и без них.

[Профи]

Цитата:

Сообщение от PokerAmateur писал пт, 18 января 2008 02:47

"открытые порты" - это только один из многочисленных путей заражения компьютера. Если компьютер заражен, вирусы могут обходиться и без них.

Да, там про это написано в конце текста. Что касается проникновения, то кроме открытых портов, пользователь часто сам помогает вредоносной программе — например, открывает присланный ему по е-мейл PDF-файл с встроенным трояном, или открывает специально заряженный Excel-документ. Если при этом он залогинен в Windows под пользователем с администраторскими правами, то вирус 100% закрепляется в системе.

[rat-bat-blue]

Уже где-то писал, но повторюсь.

Апдейты, закрытые порты - это конечно хорошо, но, к сожалению, так
получилось что протокол pop3 не подразумевает никакого шифрования,
соответсвенно пароли и др. сугубо приватная инфа проходят в нем
открытым текстом. Любой человек, имеющий доступ к каналу (например
админ adsl weblus) теоретически может начать сливать инфу за $$$.


Решение тут одно - собственный сервер в штатах (50-100 $ / mo) - вся
почта сидит на нем, обмен с почтовым агентом только по smtps и pops
протоколам (s - это ssl надстройка обеспечивающая шифрование данных).
Можно ещё становить http /https proxy server и ходить по сайтам через
него (хотя от дырки в браузере это, конечно, не спасет), но некоторые
трояны через дырки в IE проявляют интерес только к СНГ айпишкам, как
имеющим достаточную вероятность webmoney у владельца, так что смысл в
http proxy всё же есть. У меня такой конфиг (кроме http proxy) уже
лет пять.

[Профи]

Написал ответ про установку прав: http://forum.cgm.ru/msg?th=27582&start=0
Эту информацию можно использовать, например, чтобы запретить пользователю-неадминистратору менять свое Главное меню, включая папку Автозагрузки. Все, что написано про Windows XP Home будет работать в XP Pro, правда там есть более наглядный способ — через Свойства папок.

[Профи]

Цитата:

Сообщение от CharmDraco писал чт, 17 января 2008 02:24

Да, все правильно. Но я говорил не о системе, а о своей собственной информации - базах данных, документах, почте. Допустим после установки апдейта система перезагрузилась и выдала голубой экран с ошибкой. Что дальше? А дальше или нужно вызывать комп. техника, или везти компьютер в тех. обслуживание, и там просить, чтобы сделали копию. Потому как варианты снять жесткий диск с этого компа, подключить его к другому, переписать нужную информацию, вернуть диск обратно. Или - загрузиться со спец. загрузочного СД/ДВД, на котором есть Nero, или что-то похожее, сбросить нужную информацию на СД/ДВД.

У меня жесткий диск 40ГБ разбит на C: 15ГБ и D: 25ГБ. Все рабочие папки и почта находятся на диске D:
В идеале на диске C: должно быть только то, что можно потерять. Диск D: не затрагивается при восстановлении системы из образа на диск C:
DVD с сохраненным образом диска C: является загрузочным.
Правда к сожалению не получится заставить, например, покерных клиентов писать свои файлы с заметками в любое место, кроме своей папки. Вернее получится (через junction), но с каждым файлом придется возиться и есть много других мелочей. Один из выходов: настроить программу Backup из комплекта Windows, чтобы она пару раз в день делала копии важных файлов с диска C: в специально отведенную папку на диске D: Это и для сохранности информации полезно, и позволит в экстренной ситуации не задумываясь залить образ системы поверх диска C: а потом уже вернуть на место последние копии файлов с диска D: на их места на C: Их список опять же на спокойную голову получится более продуманным, чем в ситуации, когда нужно скорей-скорей. Для любителей держать на Рабочем столе кучу документов (я один из них) — можно легко сделать, чтобы Рабочий стол находился на диске D: и не потерялся при переустановке C:

[CharmDraco]

Цитата:

Сообщение от Профи писал пт, 18 января 2008 05:55

[Все рабочие папки и почта находятся на диске D:

Честно говоря я мало доверяю хранение носителю информации который вращается со скоростью 7200 об./минуту, к тому же физически, это один и тот же диск. То, что мне жалко потерять я записываю на ДВД, дублируя информацию на дисках разных производителей, с обязательной проверкой на чтение, и лучше проверять на другом компе. Backup - не самая удобная программа, но у неё есть один плюс - её можно запускать из командной строки в каком-нибудь планировщике задач. Есть неплохой бесплатный (для стран СНГ) комплект - [Зарегистрироваться?] Существует маленькая утилита записи на ДВД через командную строку - [Зарегистрироваться?] но она не бесплатная. А что касается внешнего фаервола, то я одно время использовал бесплатный комплект от [Зарегистрироваться?], раньше он назывался Home Edition, сейчас - Community ed. Для дома его возможностей - больше чем нужно, но если раньше его можно было спокойно ставить на P233/64MB/2GB, то сейчас уже нужен комп помощнее, а он соответственно и шумит своими вентиляторами громче. Но вещь хорошая, один раз настроил - и забыл. Я вот так про него забыл на год, вспомнил только когда инет пропал, оказалось заклинило вентилятор на блоке питания, он перегрелся и сгорел. А так - всё настраивается через веб-консоль.

[diggi]

Моё IMHO.

Каким образом всё-таки взломщики узнали, что нужно ломать именно эту машину, а не какую-либо другую? Ведь для этого надо знать её IP? Если этот троян распространяется целенаправленно, то, я так думаю, адрес машины напрямую можно узнать либо через ICQ, либо через рассылку спама по e-mail с последующей пропиской трояна, либо заходом машины по спецссылке (но как узнАют, что это именно та машина, которая нужна?), либо каким-то другим способом, которого я не знаю (кто знает, может подсказать - как вариант, перехват трафика на форум).
Ещё: многие дают свои ники в покеррумах на форуме, или, может быть, используют один и тот же ник как на форуме, так и в покерруме (но надо знать в каком) - следовательно, не исключён подбор пароля в покеррумах. Или, если кто-то использует одну и ту же e-mail как на форуме, так и в покерруме, то, если её сломают, не исключен вариант высылки пароля (или ссылки на на него (некоторые румы так делют) и взлома аккаунта - где-то на форуме об этом варианте уже писалось как об осуществлённом.

Поэтому ICQ я на данный момент отключил вовсе, в почтовом клиенте (The Bat) использую диспетчер писем, который принимает только заголовки писем, и сразу отсекаю все подозрительные письма. Для форума - отдельные e-mail и ник, не связанные больше ни с чем другим. Установлена связка антивирус DrWeb с включенным пауком + файрволл Agnitum Outpost + SpyBot. Все обновления Microsoft устанавливаю в обязательном порядке в режиме авто, браузер IE, Java включена. На данный момент, тьфу-тьфу, пока никакой гадости.

[Профи]

У следствия уже есть ответы на многие вопросы. Можно ли это уже тут обсуждать — пока не стоит, есть нюансы.