muravlov
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1. Установка Windows XP (сборка от http://c400.ru).
Выставить в BIOS для SATA-контроллера режим AHCI. Для HDD он даёт прирост в скорости, оптимизацию перемещения блока головок, функцию hot-plug.
В данной сборке есть драйвера для большинства контроллеров. Если драйвер AHCI не найден и установка прервалась, то верните режим Legacy IDE.
Разметить основной, активный NTFS-раздел не менее 8Gb. Назначить первую загрузку с CD/DVD, вторую - с HDD.
Подключить все устройства к компьютеру для автоустановки драйверов. Установить Windows XP. В процессе установки обязательно повторно отформатировать раздел в NTFS. Активация не требуется. Корпоративная версия.
2. Обновление и настройка.
2.1. Обновляем все дополнительные библиотеки (Java, VC, Flash, DirectX 9 и т.п.), устанавливаем недостающие драйвера. Устанавливаем обновление вышедшие после релиза сборки Windows XP SP3 от c400.ru.
2.2. Устанавливаем необходимый софт. На время установки следует SRP выставить Unrestricted.
При установке и настройке всех программ данные и настройки сохраняются по умолчанию в C:\Documents and Settings\UserName\Application Data\ProgramName.
2.3. Ставим пароль на администратора. Для удобства или маскировки локального администратора можно переименовать с Administrator на более короткое имя. Создаём пользователя с ограниченными правами (group "Users") группы User.
Control Panel\Administrative Tools\Computer Management\Local Users and Groups\Users - New User
Входим в систему под User'ом и далее работаем только под ним. При необходимости установки программ под обычным пользователем следует использовать команду Run As... (Запуск от имени), потребуется ввод имени и пароля администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
Аккаунт "Guest" и "Administrator" отключены (Account is disabled).
2.4. Устанавливаем русский или другие языковые пакеты при необходимости. После можно включать языковую локализацию меню виндовс для каждого пользователя отдельно, что позволяет работать за одним компьютером пользователям разных национальностей.
Control Panel\Regional and Language Options - Keyboards and Languages - Install/uninstall languages.
Install russian language pack (.cab)
Добавляем рускую раскладку клавиатуры и назначаем клавиши для смены раскладки.
Control Panel\Regional and Language Options - Keyboards and Languages - Change keyboards - Add.
Set russian as second keyboard layout.
Настроить русский для не-юникодных программ.
Control Panel\All Control Panel Items\Region and Language - Administrative - Language for non-Unicode programs: Russian (Russia)
Лично я всегда, в любых программах использую пароль на английском.
Если при логоне при вводе пароля русский язык по-умолчанию (Для русских редакций виндовс), то изменить ключ:
---------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"2"="00000419"
"1"="00000409"
---------------------------------------
Отключаем капслок, если эта клавиша раздражает. Disable Caps lock:
------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,3a,00,00,00,00,00
------------------
2.5. Включение автологона для удобства (если у юзера нет пароля):
Нажмите Start, наберите “control userpasswords2 и нажмите Enter.
Выберите своего пользователя из списка и снимите галочку с опции “User must enter a user
name and password to enter this computer” (Требовать ввод имени пользователя и пароль при
входе в компьютер), нажмите «Применить» и OK.
2.6. Настраиваем режим энергосбережения.
2.7. Настраиваем вид меню "Пуск", Проводника и т.п.
2.8. Настраиваем время
Control Panel\All Control Panel Items\Date and Time:
Date and Time - Change time zone: UTC+4:00 (Устанавливаем часовой пояс). Turn Off "Automatically adjust clock for Daylight Saving Time" (отключаем автоматический перевод часов на летнее/зимнее время).
Internet Time - Change settings: Server: ntp.mobatime.ru, ru.pool.ntp.org.
2.9. Оптимизация системы.
Отключение спящего режима.
Control Panel - Display - Screen Saver - Power:
Advanced - tune "Power buttons"
Hibernate - Disable hibernation
Отключаем или минимизируем (~20Mb) файл подкачки если достаточно ОЗУ и не будет ресурсоёмких программ (игр и т.п.). Для x86 - 2Gb и более (300Mb - в фоне).
Control Panel - System - system properties:
Advanced - Performance - settings (Performance option) - advanced - Virtual memory - Change:
No paging file - Set.
Настраиваем восстановление системы. Или отключаем его. При крахе системы восстановление системы часто неэффективно.
Control Panel\All Control Panel Items\System - advanced system settings.
Tune System Restore on "C:\" 1Gb disk space.
Настраиваем корзину (после монтирования всех дисков). Set Recycle Bin. Я отключаю, но оставляю запрос на подтверждение удаления файлов.
Отключаем лишние программы.
Control Panel\All Control Panel Items\Programs and Features - Turn windows features on or off:
Outlook Express - off
Windows Media Player - off
Indexing Service - off (индексирование)
Настраиваем или отключаем индексирование для выбранных папок.
Лично я не пользуюсь ярлыками на рабочем столе, и не позволяю его захламлять, поэтому:
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.
Отключаем фоновую дефрагментацию. Можно дефрагментировать вручную. Пользы нет, а диск грузит.
3. Настройка безопасной работы.
3.1. Отключаем автозапуск и поиск драйверов в интернете.
Групповая политика безопасности (Group Policy).
Run as administrator c:\windows\system32\gpedit.msc (Local Group policy Editor)
Computer Configuration:
Administrative templates - System - Turn off autoplay: Enabled (All drives)
Administrative templates - System - Turn off Windows Update device driver search prompt: Enabled
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.
Administrative templates - System - Turn off autoplay: Enabled (All drives)
Administrative templates - System - Turn off Windows Update device driver search prompt: Enabled
3.2. Включаем DEP (если все программы корректно с ним работают). Enable DEP (AlwaysOn).
Change c:\boot.ini. Example boot.ini:
------------------------------
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /PAE /NoExecute=AlwaysOn
------------------------------
3.3. Отключаем сеть Windows если она не нужна (протокол SMB). Этот протокол имеет массу уязвимостей.
Control Panel - Network Connections - Change adapter settings:
Disable NetBIOS for TCP/IP v4, disable "Client for microsoft networks", disable "File and printer sharing..."
3.4. Отключаем лишние для нас службы.
Control Panel - Administrative Tools - Services
Disable services (перевести в "off"):
Automatic updates (automatic) - Автоматическое обновление Ставим "manual" или "off".
Remote Desktop Help Session Manager (manual)
Remote Registry (m)
Server (a) - Сервер. Эта служба нужна для расшаренных папок и передачи файлов по Bluetooth. Этот протокол имеет массу уязвимостей.
TCP/IP NetBIOS Helper (a)
Windows Firewall/Internet Connection Sharing (ICS) (a)
Фаерволл в XP неудобен. Лучше использовать "железный" роутер или стороннюю программу.
Indexing Service (a) - Служба индексирования дисков. Ускоряет поиск, но постоянно грузит HDD.
Computer Browser (m)
Routing and Remote Access (m) - Маршрутизация и удаленный доступ
Terminal Services (m)
Themes (a)
3.5. Настройка локальной политики безопасности.
Control Panel - Administrative Tools - Local Security Policy:
Запрещаем доступ к компьютеру из сети (удалённое управление).
Security Settings - Local Policies - User Rights Assignment:
Access this computer from the network - none (remove all),
Allow log on trough Terminal Services - none (remove all),
Deny Access to this computer from the network - Everyone,
Deny log on locally - Guest, ASPNET,
Deny log on trough Terminal Services - Everyone,
Change the system time - Administrators
Log on locally - Administrators, Users,
Параметры для безопасного входа в систему.
Security Settings - Local Policies - Security Options:
Accounts: Rename administrator account - boss,
Interactive logon: Display user information when the session is locked - Do not display user information
Interactive logon: Do not display last user name - Enabled
Interactive logon: Do not require CTRL+ALT+DEL - Disabled
Network access: Remotely accessible registry paths and subpaths - None
Devices: Prevent users from installing printer drivers - Enabled
3.6. Настройка политики ограниченного использования программ (Software Restriction Policies - SRP).
Доступен для Windows XP редакций Professional.
Control Panel - Administrative Tools - Local Security Policy - Security Settings - Software Restriction Policies.
RightMouseClick - New Software Restriction Policies.
Software Restriction Policies - Security Levels - Disallowed.
Enforcement: All software files , All users except local administrators.
После установки всех программ, драйверов, настройки системы, изменяем:
Enforcement: All users. Для установки новых программ временно ставим Security Levels - Unrestricted.
Дополнительные правила. Разрешаем запуск из папок, в которые запрещена запись User'ам. Запрещаем запуск из папок, в которые разрешена запись User'ам.
Software Restriction Policies - Additional Rules:
Правила для путей. (New Path Rule)
Неограниченный. Unrestricted:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Запрещено. Dissalowed:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\Temp
%systemroot%\Debug\UserMode
%systemroot%\Registration\CRMLog
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\system32\spool\PRINTERS
Планировщик заданий - потенциально опасная служба. Если он не нужен, то можно просто отключить службу.
Запрет запуска из папки заданий.
Disallowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks
Запрет создавать задания обычному пользователю. Задания могут создавать вирусы (с правами User's).
C:\Windows\Tasks\ - запретить запись только в эту папку обычному пользователю (Special permissions - Apply to: This folder only)
Запрещаем потенциально опасные приложения в папке Windows (некорректно работают с SRP)
Запрет по хэшу (New Hash Rule) или пути (New Path Rule) (Disallowed or Basic User).
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe, c:\windows\system32\runas.exe
(runas опасно тем, что позволяет запустить из командной строки любое приложение в обход SRP (уязвимость исправлена в Windows 7):
C:\Documents and Settings\user>runas /trustlevel:"Unrestricted" C:\temp\bad_program.exe)
Designated File Types:
добавить расширения (add file extension): scf , dll.
удалить расширения (remove file extension): lnk.
Решение проблем совместимости.
Есть программы, которые пишут данные не в Application Data, а в свои папки, например игры. Для обеспечения безопасности в этом случае такие программы следует установить не в "C:\Program Files\" а в другую папку. Дать группе Users права на запись в эту папку. В настройках SRP дать разрешения на эту программу и её библиотеки только по хэшу. То ессть для всех исполняемых файлов в папках, доступных для записи пользователю с ограниченными правами (например игры, установленные в D:\Games\ ) - разрешения только по хэшу, во избежание подмены или инфицирования файла.
3.7. Для закрытия доступа через проводник к свойствам папок.
-----------------------------------------
Windows Registry Editor Version 5.00
;Отключить возможность выбора свойств папки.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000001
3.8. Дополнительное ПО.
Для более надёжной защиты можно установить бесплатный набор средств EMET (Enhanced Mitigation Experience Toolkit) от Microsoft
и настраивать DEP и другие технологии защиты памяти как для всей системы, так и индивидуально для выбранных приложений.
Для аудита прав файловой системы используем AccessEnum от Sysinternals. Некоторые программы при установке могут давать права на запись юзеру в Program Files. Такие программы следует устанавливать в отдельную папку и давать разрешения по хэшу.
Для анализа запущенных приложений и dll используем ProcessExplorer от Sysinternals.
4. Решение некоторых проблем совместимости.
4.1. Как сделать, чтобы пользователь с ограниченными правами смог сам включать и отключать интернет-соединение?
Это может понадобиться при работе пользователя через GSM USB-modem.
Добавьте пользователя (или группу INTERACTIVE) в локальную группу Network Configuration Operators.
4.2. Передача прав обычному пользователю на запись CD/DVD:
----------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"allocatedasd"="2"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoCDBurning"=dword:00000000
-----------------------------
Если это не помогло, то:
Дать полный доступ на ветку реестра для всех пользователей (Everyone):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDrom]
Control Panel - Administrative Tools - Local Security Policy - Security Settings - Local Policies - User Rights Assignment:
Load and unload device drivers - (add group "Users")
Security Settings - Local Policies - Security Options:
Devices: Allowed to format and eject removable media - Administrators and Interactive Users
Devices: Restrict CD-ROM access to locally logged-on user only - Enabled
Если всё вышеперечисленное не помогло, то в качестве программы для записи дисков следует использовать CDBurnerXP, т.к. она ставит свой собственный драйвер записи. Или Nero.
Выводы.
При таких настройках политик безопасности отпадает необходимость в резидентном антивирусе. Я сканирую только новые программы скачанные из интернета на предмет вирусов. При наличии выбора стараюсь использовать Freeware из проверенных источников и положительно зарекомендовавшие себя на форумах.
|
Всего записей: 38 | Зарегистр. 30-12-2009 | Отправлено: 14:53 13-08-2011 | Исправлено: muravlov, 19:33 07-05-2013 |
|
