четверг, 1 мая 2014 г.

Windows XP. Усиливаем безопасность

  Как  я уже писал, 8-го апреля 2014г фирма Microsoft прекратила поддержку операционной системы Windows XP. С этой даты больше не будут бесплатно выпускаться обновления для нее. Плюс к этому с сайта Microsoft исчез антивирус Microsoft Security Essentials для этой операционки. Хотя утверждают, что уже установленный антивирус будет получать обновления еще в течении года.
  Кстати, за несколько дней до конечной даты я успел скачать антивирус Microsoft Security Essentials  (MSE) для Windows XP. Берите и наслаждайтесь.
  Для больших организаций сделано одно исключение. За сумму от нескольких сот тысяч до неск. миллионов (до 3.5 млн. как писали) долларов можно купить продолжение поддержки Виндовс ХР для этой организации.
  После того как для Win XP прекратили выпускать обновления, встал вопрос - как без обновлений поддерживать безопасность этой операционной системы.
  Здесь я хочу поделиться некоторыми своими соображениями об этом.
  Итак методы усиления безопасности Windows XP.
  1. Убрать пользователю права администратора
  2. Остановить и отключить службу Сервер
  3. Отключить в свойствах сети Службу доступа к файлам и принтерам сети Microsoft
  4. Остановить и отключить службу Обозреватель компьютеров
  5. Остановить и отключить службу Рабочая станция
  6. Отключить в свойствах сети Клиент для сетей Microsoft
  7. Включить службу Брандмауэр Windows + в настройках брандмауэра установить галочку Не разрешать исключения.
  8. Использовать полностью лицензионный антивирус. 
  9. Установить все обновления, которые успели выйти до 8-го апреля 2014г

Пункт 1.

  В статье про контроль учетных записей (UAC) я уже упоминал о том что если ограничить права пользователя компьютера, то порядка 90 процентов вирусов не смогут заразить систему. Убираем юзера из локальной группы Администраторы и оставляем в группе Пользователи.
  Минус этого подхода в том, что много программ откажутся работать в таких условиях. Правда часть из них мне удавалось запускать давая права на отдельные ветки реестра и папки-файлы. То куда именно надо давать права я узнавал с помощью утилиты Process Monitor.

Пункт 2 и 3

  У меня есть неясное подозрение что эти пункты делают одно и то же. Применение этого сделает невозможным предоставление локальных папок и принтеров в сеть другим компьютерам.
  Это предохраняет от дыр в службе Сервер, которые насколько я знаю находятся регулярно.

Пункт 4, 5 и 6

  Применение этих пунктов сделает невозможным пользование чужими сетевыми папками и принтерами.
  Кроме того опят же есть подозрение что пункт 6 частично дублирует пункты 4 и 5.

Пункт 7

  Брандмауэр с отключенными исключениями отрежет любое входящее сетевое соединение. Часть сетевых программ не будут работать с такими настройками. В таком случае галочку Не разрешать исключения придется снять и добавить исключение для этой программы.

Пункт 8

  Под словом лицензионный я имею в виду купленный за деньги или бесплатно поставляемый разработчиком. В качестве последнего могу рекомендовать антивирус Avast, который можно бесплатно активировать на год. И так каждый год подряд. И все тот же MS Security Essentials для Windows XP.

Пункт 9

  Хоть новые обновления и не будут выпускаться, но старые по прежнему доступны для скачивания через Автоматические обновления. Все их стоит установить. Операционка сама либо напрямую с интернета либо через службу WSUS своей сети (если она установлена админом сети) подтянет и установит обновления.