|
|
Главная » 2010 » Апрель » 28 » Так ли необходим антивирус
13:14 Так ли необходим антивирус |
Установка пользователем на домашний компьютер связки
KAV/NOD32/Symantec/Dr.Web (нужное подчеркнуть) + Outpost Firewall
(Norton internet security) являет собой лишь способ потешить своё ЧСВ,
мол, вот какой я защищённый от внешних атак специалист.
На одном небезызвестном форуме есть
очень опытные аксакалы, которые путём долгой ёбли мозгов себе и друг
другу выработали политику анального огораживания NT-системы, настолько
задротскую и эффективную, что она позволяет не только навсегда забыть
об антивирусах, но даже пускать за компьютер школьников и
представителей интеллектуальных меньшинств. Даже если вы целыми днями
только и дрочите на прон-сайтах, анонимус, гарантирует это!. Если вам
неохота неделю ебаццо и читать, что же там написано, линупс и фря вам
не нравиццо, а свежего прона уже хочется, вот краткая, сильно урезанная
инструкция, которая позволит вам жить-поживать и добра наживать:
- Полная переустановка всей системы. Выделение системе отдельного логического диска, который не будет захламляться для последующего удобного сноса системыускорения восстановления, дефрагментирования, бекапов и прочих нужностей.
-
Отключение автозапуска на всех съёмных дисках (Обязательно! Делается
стандартной утилитой gpedit.msc, кому-то проще скачать AVZ4, но
тру-одмины делают это вручную через regedit).
- Создание пользователя с ограниченными правами (Если не в состоянии их настроить, ставьте права гостя)
-
Пользование кошерным браузером, запущенным из-под пользователя с
ограниченными правами (Это делается из-под любого пользователя батником
с одной строчкой, удивительно? Аффтар запускает браузер из-под рута
батнегом с содержимым runas /user:%название пользователя% /savecred
«%ProgramFiles%Operaopera.exe» и напоминает всем, что сидеть под
пользователем с уже ограниченными правами, имея батник на запуск под
администратором какого-нибудь тотал коммандера гораздо кошернее). Ещё
лучше — браузером с анально огороженными яваскриптамиибо нехуй всяким
там говносайтам давать жрать ценнейшие ресурсы вашей любимой машинки и
запускать на них руткиты, это следует разрешать только веками
проверенным.
- Не запускать что попало, появившееся на
компьютере. Если сильно жмёт, то для проверки появившегося как раз и
используется антивирус, в этом случае антивирус должен обновляться хотя
бы раз в неделю и иметь включенный мониторинг файлов. Можно также
политикой запретить исполняемые файлы, да.
- Иметь включенное автоматическое обновление критических апдейтов системы. Фактически на домашнем компьютере не критично.
-
Желательно также иметь нормально настроенный стандартный фаерволл.
(Если у вас серый ойпи и аппаратный фаерволл, вам это нахуй не надо,
ога. Хотя вы и будете смотреть голой жопой в интернеты)
- Запускать непроверенные программы внутри виртуалки
-
Раз пошла такая пьянка, то уберечь себя от страшных и ужасных
уязвимостей типа 0-day, вредоносного кода типа сассера, кидо и т. д.
помогут следующие действия
1) При соблюдении условия повседневной
работы под пользователем с ограниченными правами необходимо также
задать пароль встроенному админу позаковыристее
2) Отключите
следующие службы: Модуль поддержки NetBIOS через TCP/IP (в домашней
сети без AD не нужна), Обозреватель компьютеров, Удаленный реестр,
Определение оборудования оболочки (тот самый пресловутый автозапуск
именно ей обрабатывается)
3) Для общего доступа к файлам и
принтерам в настройках брандмауэра оставить только порт TCP 445 (если
никому свои шары предоставлять не планируете, то закрывайте и этот
порт, а в настройках сети на всех интерфейсах снимайте галки на «общем
доступе к файлам и принтерам»)
4) Отключить в диспетчере
устройств драйвер NetBIOS over TCP/IP (Диспетчер устройств — Вид —
Показать скрытые устройства — Драйверы устройств не Plug and Play —
NetBIOS over TCP/IP — заходим в свойства и устанавливаем состояние
«Отключено» и перезагружаемся)
5) Через соответствующую
оснастку запретите анонимный доступ к DCOM
(c:WINDOWSsystem32dcomcnfg.exe — Службы компонентов — Компьютеры — Мой
компьютер — на нем правой кнопкой — Свойства — Безопасность COM. Там же
можно пройтись по отдельным компонентам системы)
6) Разрешить
политику Сетевой доступ: не разрешать перечисление учетных записей SAM
и общих ресурсов анонимными пользователями (через gpedit.msc, раздел
Конфигурация компьютера — Конфигурация Windows — Параметры безопасности
— Локальные политики — Параметры безопасности)
7) Настроить
политику Сетевой доступ: разрешать анонимный доступ к именованным
каналам (открыть ее и удалить все, что там перечислено: COMNAP,
COMNODE, SQLQUERY, SPOOLSS, LLSRPC, browser)
8) Настроить
политику Сетевой доступ: разрешать анонимный доступ к общим ресурсам
(открыть ее и удалить все, что там перечислено)
9) Настроить
политику Сетевой доступ: пути в реестре доступны через сетевое
подключение (открыть ее и удалить все, что там перечислено)
Асло,
как известно, настоящая компьютерная безопасность начинается с
перерубленных проводов связи с внешним миром, закатывания компьютера в
бетон и отправке его на орбиту. Все остальное - полумеры.
|
|
Категория: Софт |
Просмотров: 295 |
Добавил: power
| Рейтинг: 0.0/0 |
|
|
