Некоторые воспринимают антивирус как неотъемлемую часть операционной системы и просто не мыслят свое существование без кучи защитных пакетов от разных производителей, свободно пропускающих заразу, но вызывающих жуткие тормоза и целый ворох конфликтов, вплоть до выпадения в BSOD (синий экран смерти :) ). самый лучший антивирус — это сама ОС! нужно только научиться правильно ею пользоваться!
Итак прежде чем начать рассказывать вам как настроить ОС от вторжений зловещих вирусов, червей и прочей заразы распространяющейся как через инет так и через всевозможные носители. Что же я и вы получите после построения данной системы безопасности:
+ ограничение доступа к системе для запускаемых программ;
+ запрет на изменение системных файлов;
+ запрет на изменение как системных так и прикладных программ в памяти;
+ запрет на внедрение в другие процессы;
+ разграничить доступ между пользователями одного компьютера;
Данный способ защиты имеет еще много других мелких преимуществ, но это уже как следствие этих четырёх.
Я использую ОС: Windows XP Professional. Это принципиально, т.к. например в Home Edition нет средств для управления группами пользователей и системой безопасности.
Итак, приступим-с:
I. Сначала нужно создать запись администратора и создать (желательно) для неё пароль (если она еще не создана). Хотя при установке система по умолчанию создаёт встроенную учётную запись с именем «Администратор», но я сразу создаю для неё имя, например «admin».
Я рассчитываю на то, что у вас уже установлена система и учётную запись необходимо создавать:
Заходим в Пуск > Настройки > Панель управления > Учётные записи пользователей:
Создаём учётную запись…
Называем её «admin», например…
И выбираем тип учётной записи «Администратор компьютера».
ВНИМАНИЕ!!! У меня был случай когда при таком создании учётной записи администратора терялись все документы находящиеся в папке «Мои документы» и вернуть я их не мог :’(. К сожалению это наверное недоработка разработчиков, так что звиняйте, тут я вам помочь ничем не могу. Так что на всякий случай копируем все свои документы из этой папки в резервную папку.
Итак учётная запись создана. Теперь ставим пароль на неё. Выбираем созданную запись и жмем «Создание пароля»:
Вводим пароль. Всё! Администратор у нас создан.
Теперь необходимо создать учётную запись для нас. Т.е. ту в которой мы постоянно будем работать:
1. Жмём опять «Создание учётной записи».
2. Вводим имя, например «user».
3. Ставим тип учётной записи «Ограниченная учётная запись».
4. Если хотите, можете поставить на неё пароль (если не хотите чтобы другие пользователи данного компьютера заходили в вашу уч. запись).
Платформа создана. В принципе на этом этапе можно остановиться, если вы не храните каких-то очень важных документов (паролей, отчётов, важной литературы), но если таковая имеется, то рекомендую прочитать эту статью до конца.
II. Если вы читаете эту строку, значит вам не безразлична судьба вашей накопленной в компьютере информации. Итак, что же я хочу сейчас сделать? :):
+ Создать папку в которой будут храниться все мои документы и доступ к которым смогу получить ТОЛЬКО Я и никто другой (даже система не будет иметь доступа к моей папке! );
1. Итак выходим из текущего профиля пользователя и заходим в только что созданный «user».
2. Заходим в тот диск на котором мы хотим создать данную папку.
ПРЕДУПРЕЖДЕНИЕ!!! Чтобы создать папку такого типа необходимо иметь диск под управлением файловой системы NTFS! Если диск имеет файловую систему FAT32, то такая возможность создания папки будет недоступна :(. Это связано с различным строением файловых систем и их применением.
Если у вас диск работает именно с NTFS, то радуйтесь – вы можете читать дальше :).
3. Сейчас настроим полный доступ к свойствам безопасности, т.к. по умолчанию он является простым. Заходим в Сервис > Свойства папки… > Вид. И снимаем галочку с пункта «Использовать простой общий доступ к файлам»:
ОК.
Теперь нам стала доступна вкладка «Безопасность». Чтобы это проверить нажмите правой кнопкой на любой папке и выберите «Свойства»:
Если данная вкладка! вдруг! недоступна, значит у вас данный диск работает с файловой системой FAT32 или с любой другой отличной от NTFS.
На данном этапе можно смело строить, то что было задумано, ну-с:
1.Заходим на выбранный вами диск (у меня 2 диска C и D работают с NTFS. Я буду создавать папку на диске C).
2. Создаём папку и обзываем её как-нибудь, ну например «mydocs».
3. Теперь заходим в свойства папки. Открываем вкладку «Безопасность». И видим что-то наподобие такого:
Все что находится во вкладке «Безопасность» может отличаться! Связано это с тем, где создать папку. Если вы создаёте папку на диске, где установлена ваша ОС (где находится папка WINDOWS. C:\WINDOWS). Если папка будет создана на диске где установлена ОС, то рисунок будет такой: РИСУНОК 1.
Если папка создается на диске где нет ОС, то рисунок может быть такой: РИСУНОК 2.
Но не пугайтесь здесь ничего страшного нет.
С этого момента давайте по подробнее рассмотрим все элементы списка «Группы или пользователи».
В этом списке указываются все пользователи и группы пользователей которые имеют доступ к этой папке. Вот например у меня такие строчки:
sergey (SERG\sergey) — пользователь sergey находящийся на компьютере с именем SERG и имеющий профиль с названием sergey имеет «Особые разрешения».
SYSTEM — это встроенный профиль для системы имеющая у меня «Полный доступ к этой папке».
Администраторы (SERG\Администраторы) — группа пользователей «Администраторы» находящаяся на компьютере SERG имеет профиль «Администраторы» и имеющая «Полный доступ» к папке.
Пользователи (SERG\Пользователи) — группа пользователей «Пользователи» находящаяся на компьютере SERG имеет профиль «Пользователи» и имеющая такой доступ: «Чтение и выполнение» (можно читать и выполнять содержимое папки), «Список содержимого папки» (можно видеть список файлов и подпапок) и «Чтение» (можно прочитать атрибуты файлов и подпапок).
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ — встроенный профиль для дополнительного управления безопасностью владельца папки.
Все — встроенный профиль который определяет уровень доступа остальных пользователей не только вашего компьютера, но и пользователей находящихся в локальной сети.
Фуххх. Ну на первом этапе этих знаний достаточно для того чтобы создать папку изолированную от всех пользователей на компьютере. Теперь делаем следующие действия:
Ну вот мы и закончили с созданием папки к которой имеете доступ только вы!
Теперь о правилах работы с такой системой:
ВСЕ без исключения программы устанавливайте в учетной записи администратора.
Методы:
1. Зайти в учетную запись и установить программу.
2. Нажать правой кнопкой по файлу с установкой (он может называться: setup.exe, install.exe, короче он должен иметь расширение EXE), выбрать пункт меню «Запуск от имени…» и в появившемся окне выбрать/ввести имя уч. записи администратора и пароль. Т.о. файл запуститься от имени администратора компьютера с полными привилегиями.
Итак проверим нашу систему безопасности.
Вот что мне сказала установочная программа, когда я запустил установку просмотрщика изображений ACDSee 8.0:
Ггг :). Он пытался записать файл в каталог WINDOWS. Упс! :) Не тут-то было. Запись-то нам в него запрещена. Это работает.
А вот что мне сказала программа установки когда я от своего имени пытался установить программу для создания и просмотра flash-анимации:
Не плохо да? :)
2. Ну запрет на изменение системных файлов мы можете и сами проверить, если зайдёте в папку WINDOWS и попробуете удалить что-нить. Тоже самое и с папкой Program Files.
3. А вот как матюкается :) на меня система когда я пытался удалить системный процесс. Вы можете завершать процессы запущенные ТОЛЬКО от вашего имени. Вот iChat например я могу завершить :):
4. Проверить внедрение в процессы сложновато. Надо писать программку, но поверьте наслово. Оно работает.
автор оригинальной статьи: Крис Касперски
Итак прежде чем начать рассказывать вам как настроить ОС от вторжений зловещих вирусов, червей и прочей заразы распространяющейся как через инет так и через всевозможные носители. Что же я и вы получите после построения данной системы безопасности:
+ ограничение доступа к системе для запускаемых программ;
+ запрет на изменение системных файлов;
+ запрет на изменение как системных так и прикладных программ в памяти;
+ запрет на внедрение в другие процессы;
+ разграничить доступ между пользователями одного компьютера;
Данный способ защиты имеет еще много других мелких преимуществ, но это уже как следствие этих четырёх.
Я использую ОС: Windows XP Professional. Это принципиально, т.к. например в Home Edition нет средств для управления группами пользователей и системой безопасности.
Итак, приступим-с:
I. Сначала нужно создать запись администратора и создать (желательно) для неё пароль (если она еще не создана). Хотя при установке система по умолчанию создаёт встроенную учётную запись с именем «Администратор», но я сразу создаю для неё имя, например «admin».
Я рассчитываю на то, что у вас уже установлена система и учётную запись необходимо создавать:
Заходим в Пуск > Настройки > Панель управления > Учётные записи пользователей:
Создаём учётную запись…
Называем её «admin», например…
И выбираем тип учётной записи «Администратор компьютера».
ВНИМАНИЕ!!! У меня был случай когда при таком создании учётной записи администратора терялись все документы находящиеся в папке «Мои документы» и вернуть я их не мог :’(. К сожалению это наверное недоработка разработчиков, так что звиняйте, тут я вам помочь ничем не могу. Так что на всякий случай копируем все свои документы из этой папки в резервную папку.
Итак учётная запись создана. Теперь ставим пароль на неё. Выбираем созданную запись и жмем «Создание пароля»:
Вводим пароль. Всё! Администратор у нас создан.
Теперь необходимо создать учётную запись для нас. Т.е. ту в которой мы постоянно будем работать:
1. Жмём опять «Создание учётной записи».
2. Вводим имя, например «user».
3. Ставим тип учётной записи «Ограниченная учётная запись».
4. Если хотите, можете поставить на неё пароль (если не хотите чтобы другие пользователи данного компьютера заходили в вашу уч. запись).
Платформа создана. В принципе на этом этапе можно остановиться, если вы не храните каких-то очень важных документов (паролей, отчётов, важной литературы), но если таковая имеется, то рекомендую прочитать эту статью до конца.
II. Если вы читаете эту строку, значит вам не безразлична судьба вашей накопленной в компьютере информации. Итак, что же я хочу сейчас сделать? :):
+ Создать папку в которой будут храниться все мои документы и доступ к которым смогу получить ТОЛЬКО Я и никто другой (даже система не будет иметь доступа к моей папке! );
1. Итак выходим из текущего профиля пользователя и заходим в только что созданный «user».
2. Заходим в тот диск на котором мы хотим создать данную папку.
ПРЕДУПРЕЖДЕНИЕ!!! Чтобы создать папку такого типа необходимо иметь диск под управлением файловой системы NTFS! Если диск имеет файловую систему FAT32, то такая возможность создания папки будет недоступна :(. Это связано с различным строением файловых систем и их применением.
Если у вас диск работает именно с NTFS, то радуйтесь – вы можете читать дальше :).
3. Сейчас настроим полный доступ к свойствам безопасности, т.к. по умолчанию он является простым. Заходим в Сервис > Свойства папки… > Вид. И снимаем галочку с пункта «Использовать простой общий доступ к файлам»:
ОК.
Теперь нам стала доступна вкладка «Безопасность». Чтобы это проверить нажмите правой кнопкой на любой папке и выберите «Свойства»:
Если данная вкладка! вдруг! недоступна, значит у вас данный диск работает с файловой системой FAT32 или с любой другой отличной от NTFS.
На данном этапе можно смело строить, то что было задумано, ну-с:
1.Заходим на выбранный вами диск (у меня 2 диска C и D работают с NTFS. Я буду создавать папку на диске C).
2. Создаём папку и обзываем её как-нибудь, ну например «mydocs».
3. Теперь заходим в свойства папки. Открываем вкладку «Безопасность». И видим что-то наподобие такого:
Все что находится во вкладке «Безопасность» может отличаться! Связано это с тем, где создать папку. Если вы создаёте папку на диске, где установлена ваша ОС (где находится папка WINDOWS. C:\WINDOWS). Если папка будет создана на диске где установлена ОС, то рисунок будет такой: РИСУНОК 1.
Если папка создается на диске где нет ОС, то рисунок может быть такой: РИСУНОК 2.
Но не пугайтесь здесь ничего страшного нет.
С этого момента давайте по подробнее рассмотрим все элементы списка «Группы или пользователи».
В этом списке указываются все пользователи и группы пользователей которые имеют доступ к этой папке. Вот например у меня такие строчки:
sergey (SERG\sergey) — пользователь sergey находящийся на компьютере с именем SERG и имеющий профиль с названием sergey имеет «Особые разрешения».
SYSTEM — это встроенный профиль для системы имеющая у меня «Полный доступ к этой папке».
Администраторы (SERG\Администраторы) — группа пользователей «Администраторы» находящаяся на компьютере SERG имеет профиль «Администраторы» и имеющая «Полный доступ» к папке.
Пользователи (SERG\Пользователи) — группа пользователей «Пользователи» находящаяся на компьютере SERG имеет профиль «Пользователи» и имеющая такой доступ: «Чтение и выполнение» (можно читать и выполнять содержимое папки), «Список содержимого папки» (можно видеть список файлов и подпапок) и «Чтение» (можно прочитать атрибуты файлов и подпапок).
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ — встроенный профиль для дополнительного управления безопасностью владельца папки.
Все — встроенный профиль который определяет уровень доступа остальных пользователей не только вашего компьютера, но и пользователей находящихся в локальной сети.
Фуххх. Ну на первом этапе этих знаний достаточно для того чтобы создать папку изолированную от всех пользователей на компьютере. Теперь делаем следующие действия:
| Если папка создана на диске где установлена ОС | Если папка создана на диске, где нет ОС |
  Убираем галочку с «Наследовать от родительского объекта…». И нажимаем в появившемся окне кнопку «Удалить»:  Теперь в окне «Дополнительные параметры безопасности для mydocs» нажимаем «ОК». Вот что должно у вас получиться:  Ну вот и все! :) Вроде не так сложно. |
  Здесь мы выбираем свой профиль (Имя (RDN)). Здесь ищите название своей учетной записи. Если назвали уч. запись с именем «user», то ищите «user». Я свою назвал «sergey», соответственно я выбираю «sergey».   Теперь мы добавили пользователя (у меня «sergey») с такими разрешениями. Но нам необходимо, чтобы только мы имели доступ к этой папке (даже администратор не сможет получить доступ к этой папке). Делаем следующее:   Вот мы зашли в сердце профиля безопасности для данной папки :). Не пугайтесь. Я объяснять что к чему не буду, т.к. это тема целой статьи или двух :). Просто убираем галочку с «Наследовать от родительского объекта применимые к дочерним…». Появится такое окно:  Нажимаем «Удалить». Теперь в окне «Дополнительные параметры безопасности для mydocs» нажимаем «ОК». Вот что должно у вас получиться:  Должна остаться одна запись. Вот и все! Фуххх. Справились :). |
Ну вот мы и закончили с созданием папки к которой имеете доступ только вы!
Теперь о правилах работы с такой системой:
ВСЕ без исключения программы устанавливайте в учетной записи администратора.
Методы:
1. Зайти в учетную запись и установить программу.
2. Нажать правой кнопкой по файлу с установкой (он может называться: setup.exe, install.exe, короче он должен иметь расширение EXE), выбрать пункт меню «Запуск от имени…» и в появившемся окне выбрать/ввести имя уч. записи администратора и пароль. Т.о. файл запуститься от имени администратора компьютера с полными привилегиями.
Итак проверим нашу систему безопасности.
Вот что мне сказала установочная программа, когда я запустил установку просмотрщика изображений ACDSee 8.0:
Ггг :). Он пытался записать файл в каталог WINDOWS. Упс! :) Не тут-то было. Запись-то нам в него запрещена. Это работает.
А вот что мне сказала программа установки когда я от своего имени пытался установить программу для создания и просмотра flash-анимации:
Не плохо да? :)
2. Ну запрет на изменение системных файлов мы можете и сами проверить, если зайдёте в папку WINDOWS и попробуете удалить что-нить. Тоже самое и с папкой Program Files.
3. А вот как матюкается :) на меня система когда я пытался удалить системный процесс. Вы можете завершать процессы запущенные ТОЛЬКО от вашего имени. Вот iChat например я могу завершить :):
4. Проверить внедрение в процессы сложновато. Надо писать программку, но поверьте наслово. Оно работает.
автор оригинальной статьи: Крис Касперски
