muravlov
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Windows 7 в плане безопасности и гибкости настроек лучше XP. Помимо Data Execution Prevention есть Address Space Layout Randomization, что защищает от атак на переполнение буфера.
en_windows_7_enterprise_with_sp1_x64_dvd_u_677651
Windows 7 x64 Enterprise SP1 (05.2011)
1. Установка Windows 7.
Выставить в BIOS для SATA-контроллера режим AHCI. Для HDD он даёт прирост в скорости, оптимизацию перемещения блока головок, функцию hot-plug.
В данной сборке есть драйвера для большинства контроллеров. Если драйвер AHCI не найден и установка прервалась, то верните режим Legacy IDE.
Основной, активный NTFS-раздел не менее 30Gb разметить (желательно 40Gb, т.к папка C:\Windows\winsxs будет разрастаться). Назначить первую загрузку с CD/DVD, вторую - с HDD. Физически отключить второй HDD (если он имеется) во избежание автоматического форматирования основного раздела на нём под bootmngr установщиком Windows.
Этот вариант беспроигрышный. Иногда помогает вариант отключения второго HDD в BIOS. После перезагрузки в BIOS в качестве загрузочного можно выставить только первый HDD. Установщик Windows видит второй HDD, но поскольку загрузка с него невозможна (он невидим в BIOS), то Установщик Windows не создает bootmngr-раздел.
В процессе установки обязательно повторно отформатировать раздел в NTFS (можно quick format)
2. Обновление и настройка.
2.1. Устанавливаем все дополнительные библиотеки (Java, VC, Flash, DirectX 9 и т.п.), недостающие драйвера. Устанавливаем обновление вышедшие после релиза Windows 7 Service pack 1.
Я использую оригинальную английскую сборку (релиз Windows 7 Service pack 1) подписана майкрософт 12-04-2011. ISO можно найти на трекерах, а также ISO локализаций всех языков.
2.2. Устанавливаем необходимый софт. На время установки следует SRP выставить Unrestricted. При установке UAC потребует пароль администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
При установке и настройке всех программ данные и настройки сохраняются по умолчанию в C:\Users\UserName\AppData\Roaming\ProgramName.
Все 32-bit программы устанавливаем в C:\Program Files (x86)\
Все 64-bit программы устанавливаем в C:\Program Files\
(Обычно это происходит автоматически)
2.3. Ставим пароль на администратора. Для удобства или маскировки локального администратора можно переименовать с Administrator на более короткое имя. Создаём пользователя с ограниченными правами (group "Users") группы User.
Control Panel\All Control Panel Items\Administrative Tools\Computer Management\Local Users and Groups\Users - New User
Входим в систему под User'ом и далее работаем только под ним. При необходимости вводим пароль администратора на запрос UAC.
При необходимости установки программ под обычным пользователем следует использовать команду Run As Administrator (Запуск от имени Администратора), потребуется ввод имени и пароля администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
Аккаунт "Guest" и "Administrator" отключены (Account is disabled).
2.4. Устанавливаем русский или другие языковые пакеты при необходимости. После можно включать языковую локализацию меню виндовс для каждого пользователя отдельно, что позволяет работать за одним компьютером пользователям разных национальностей.
Control Panel\All Control Panel Items\Region and Language - Keyboards and Languages - Install/uninstall languages.
Install russian language pack (.cab)
Добавляем рускую раскладку клавиатуры и назначаем клавиши для смены раскладки.
Control Panel\All Control Panel Items\Region and Language - Keyboards and Languages - Change keyboards - Add.
Set russian as second keyboard layout.
Настроить русский для не-юникодных программ.
Control Panel\All Control Panel Items\Region and Language - Administrative - Language for non-Unicode programs: Russian (Russia)
Лично я всегда, в любых программах использую пароль на английском.
Если при логоне при вводе пароля русский язык по-умолчанию (Для русских редакций виндовс), то изменить ключ:
---------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"2"="00000419"
"1"="00000409"
---------------------------------------
Переключение раскладки для запроса пароля UAC с Alt-Shift на Ctrl-Shift (Для русских редакций виндовс):
-------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="2"
--------------------------------------------
Отключаем капслок, если эта клавиша раздражает. Disable Caps lock:
------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,3a,00,00,00,00,00
------------------
2.5. Включение автологона для удобства (если у юзера нет пароля):
Нажмите Start, наберите “control userpasswords2 и нажмите Enter.
Выберите своего пользователя из списка и снимите галочку с опции “User must enter a user
name and password to enter this computer” (Требовать ввод имени пользователя и пароль при
входе в компьютер), нажмите «Применить» и OK.
2.6. Настройка режима энергосбережения. Control Panel\All Control Panel Items\Power Options
Preferred plans: Balanced (recommended)
Turn off the display - never
Put the computer to sleep - never
Change advanced power settings:
turn off hard disk after - 0 (never)
sleep after - 0 (never)
Allow hybrid sleep - Off
Hibernate after - 0 (never)
Turn off display after - 0 (never)
2.7. Настраиваем вид. Control Panel\All Control Panel Items\Personalization. Logon as "user1" and tune Start menu, Folder View, Deskop background, Desktop gadgets, Screensaver.
2.8. Настраиваем время. Control Panel\All Control Panel Items\Date and Time:
Date and Time - Change time zone: UTC+4:00 (Устанавливаем часовой пояс). Turn Off "Automatically adjust clock for Daylight Saving Time" (отключаем автоматический перевод часов на летнее/зимнее время).
Internet Time - Change settings: Server: ntp.mobatime.ru, ru.pool.ntp.org.
2.9. Оптимизация системы.
Отключение спящего режима для удаления hiberfil.sys.
"Run as Administrator" %SystemRoot%\system32\cmd.exe
Вводим следующие команды:
powercfg /h off
exit
Отключаем или минимизируем (~20Mb) файл подкачки если достаточно ОЗУ и не будет ресурсоёмких программ (игр и т.п.). Для x64 - ОЗУ 3Gb и более (1.06Gb - в фоне), для x86 - 2Gb и более (600Mb - в фоне).
Control Panel\All Control Panel Items\System - advanced system settings (system properties):
Advanced - Performance - settings (Performance option) - advanced - Virtual memory - Change:
Turn off "Automatically manage paging file size for all drives"
No paging file - Set.
Настраиваем восстановление системы. Или отключаем его. При крахе системы восстановление системы часто неэффективно.
Control Panel\All Control Panel Items\System - advanced system settings - System Protection.
Tune System Restore on "C:\" 1Gb disk space.
Turn off "Allow Remote Assistance":
Control Panel\All Control Panel Items\System - advanced system settings - Remote
Настраиваем корзину (после монтирования всех дисков). Set Recycle Bin. Я отключаю, но оставляю запрос на подтверждение удаления файлов.
Отключаем лишние программы. Control Panel\All Control Panel Items\Programs and Features - Turn windows features on or off:
Internet Explorer - off
Media features - off
Windows search - on или off
Internet printing client - off
Настраиваем или отключаем индексирование для выбранных папок.
Control Panel\All Control Panel Items\Performance Information and Tools - Adjust indexing options
Лично я не пользуюсь ярлыками на рабочем столе, и не позволяю его захламлять, поэтому:
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.
Отключаем фоновую дефрагментацию. Можно дефрагментировать вручную. Пользы нет, а диск грузит.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Disk Defragmenter (%windir%\system32\dfrgui.exe)
Push "configure schedule": turn off schedule
Отключаем windows defender. Вместо него периодически сканируем диск "C:" программой AVZ или Dr.Web CureIt! или аналогичной.
Control Panel\All Control Panel Items\windows defender
Disable Automatic scanning
Или в сервисах: Windows Defender - Disabled
3. Настройка безопасной работы.
3.1. Отключаем автозапуск.
Control Panel\All Control Panel Items\AutoPlay
disable autoplay and ("take no action")
3.2. Включаем DEP (если все программы корректно с ним работают). Enable DEP (AlwaysOn).
"Run as Administrator" %SystemRoot%\system32\cmd.exe
Вводим следующие команды:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set nx AlwaysOn
(The operation completed successfully)
Для проверки настроек:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
Если есть конфликты с установленными программами, то установить режим DEP по-умолчанию:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set nx OptIn
(The operation completed successfully).
3.3. Включаем проверку цифровой подписи драйверов:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set loadoptions ENABLE_INTEGRITY_CHECKS
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set TESTSIGNING OFF
Для проверки настроек:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
Для отключения:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set loadoptions DDISABLE_INTEGRITY_CHECKS
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set TESTSIGNING ON
Для проверки настроек:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
3.4. Настраиваем UAC на максимум. Control Panel\All Control Panel Items\Action Center - Change User Account Control Settings: Always Notifi
Включаем файерволл. Windows Firewall - turn on now
3.5. Отключаем сеть Windows если она не нужна (протокол SMB). Этот протокол имеет массу уязвимостей.
Control Panel\All Control Panel Items\Network and Sharing Center\Advanced sharing settings:
Turn off network discovery
Turn off file and printer sharing
Turn off public folder sharing
Use 128-bit encryption...
Turn on password protection sharing
Allow windows to manage homegroup connections
Control Panel\All Control Panel Items\Network and Sharing Center - Change adapter settings:
Disable NetBIOS for TCP/IP v4, disable "Client for microsoft networks", disable "File and printer sharing..."
3.6. Отключаем лишние для нас службы. Control Panel\All Control Panel Items\Administrative Tools\Services
Disable services (default startup type):
Службы удалённого управления:
Remote Desktop Configuration (manual)
Remote Desktop Services (m)
Remote Desktop Services UserMode Port Redirector (m)
Remote Registry (m)
Службы для WMP:
Windows Media Center Receiver Service (m)
Windows Media Center Scheduler Service (m)
Windows Media Player Network Sharing Service (m)
Службы для SMB (расшаренных папок и передачи файлов по Bluetooth)
Routing and remote access (m)
Маршрутизация и удаленный доступ
Server (a)
Сервер. Эта служба нужна для расшаренных папок и передачи файлов по Bluetooth. Этот протокол имеет массу уязвимостей.
TCP/IP NetBIOS Helper (a)
WebClient (m)
Computer Browser (a)
Прочие службы:
Windows Biometric Service (m)
Background Intelligent Transfer Service (auto)
Windows Update (a). Ставим "manual" или "off"
Автоматическое обновление.
Windows Update настраивается здесь: Control Panel\All Control Panel Items\Action Center
Я ставлю "Check for updates but let me choose whether to download and install them".
Записав номера предложенных мне обновлений я читаю о них в интернете и только затем скачиваю. Чтобы не нарваться на "антипиратское" обновление, а также обновить компьютеры без доступа к интернету.
Windows Search (a) (Если не пользуетесь и не отключили по п.17)
Служба индексирования дисков. Ускоряет поиск, но постоянно грузит HDD.
3.7. Настройка файерволла (без домена).
Windows Firewall with advanced security:
Domian profile - off
Private profile - on; Inbound - block, Outbound - block
Public profile - on; Inbound - block, Outbound - block
Public profile Settings - Customize:
Rule merging: Yes, Yes.
Display a notification - Yes
Возможен экспорт/импорт настроек файерволла из сохранённого файла ~.wfw
3.8. Настройка локальной политики безопасности.
Control Panel\All Control Panel Items\Administrative Tools\Local Security Policy:
Запрещаем доступ к компьютеру из сети (удалённое управление).
Security Settings - Local Policies - User Rights Assignment:
Allow log on trough Remote Desktop Services - none (remove all),
Deny log on trough Remote Desktop Services - Everyone.
Запрет доступа к компьютеру по SMB (при этом можно заходить на другие компьютеры)
Access this computer from the network - none (remove all),
Deny Access to this computer from the network - Everyone,
Другие параметры:
Allow logon locally - Administrators, Users,
Change the time zone - Administrators, LOCAL SERVICE,
Параметры для безопасного входа в систему, параметры UAC.
Security Settings - Local Policies - Security Options:
Interactive logon: Display user information when the session is locked - Do not display user information
Interactive logon: Do not display last user name - Enabled
Interactive logon: Do not require CTRL+ALT+DEL - Disabled
User account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode - Prompt for consent on the secure desktop,
User account Control: Behavior of the elevation prompt for standard users - Prompt for credentials on the secure desktop
Devices: Prevent users from installing printer drivers - Enabled
3.9.1. Настройка политики ограниченного использования программ (Software Restriction Policies - SRP).
Доступен для Windows 7 редакций Professional, Ultimate и Enterprise.
(Если не используется AppLocker)
Control Panel\All Control Panel Items\Administrative Tools\Local Security Policy - Security Settings - Software Restriction Policies.
RightMouseClick - New Software Restriction Policies.
Software Restriction Policies - Security Levels - Disallowed.
Enforcement: All software files (программы и библиотеки) , All users except local administrators, Ignore certificate rules.
После установки всех программ, драйверов, настройки системы, изменяем:
Enforcement: All users. Для установки новых программ временно ставим Security Levels - Unrestricted.
Дополнительные правила. Разрешаем запуск из папок, в которые запрещена запись User'ам. Запрещаем запуск из папок, в которые разрешена запись User'ам.
Software Restriction Policies - Additional Rules:
Правила для путей. (New Path Rule)
Неограниченный. Unrestricted:
Для Windows 7 x86:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Для Windows 7 x64:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
Запрещено. Dissalowed:
Для Windows 7 x86:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
Для Windows 7 x64:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
%systemroot%\SysWOW64\com\dmp
%systemroot%\SysWOW64\FxsTmp
%systemroot%\SysWOW64\Tasks
Планировщик заданий - потенциально опасная служба, куда могут прописаться вирусы. Если он не нужен, то можно просто отключить службу.
Запрет запуска из папки заданий.
Disallowed - %systemroot%\System32\Tasks
Запрет создавать задания обычному пользователю. Задания могут создавать вирусы (с правами User's).
C:\Windows\System32\Tasks\ - запретить запись только в эту папку обычному пользователю (Special permissions - Apply to: This folder only)
Запрещаем потенциально опасные приложения в папке Windows (некорректно работают с SRP)
Запрет по хэшу (New Hash Rule) или пути (New Path Rule) (Disallowed or Basic User).
Для Windows 7 x86:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
Для Windows 7 x64:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
C:\Windows\SysWOW64\hh.exe, C:\Windows\SysWOW64\mshta.exe, C:\Windows\SysWOW64\reg.exe, C:\Windows\SysWOW64\regedt32.exe, C:\Windows\SysWOW64\regedit.exe C:\Windows\SysWOW64\runas.exe
Designated File Types:
добавить расширения (add file extension): scf , dll.
удалить расширения (remove file extension): lnk.
Решение проблем совместимости.
Есть программы, которые несовместимы с многопользовательским режимом Windows, т.к. пишут данные не в Application Data, а в свою папку установки в "Program Files", например старые игры, или плохие поделки криворуких программистов, которые ничего не слышали про многопользовательский режим. Для обеспечения безопасности в этом случае такие программы следует установить не в "C:\Program Files\" а в другую папку. Дать группе Users права на запись в эту папку. В настройках SRP дать разрешения на эту программу (EXE) и её библиотеки (DLL) только по хэшу. То есть для всех исполняемых файлов в папках, доступных для записи пользователю с ограниченными правами (например игры, установленные в D:\Games\ ) - разрешения только по хэшу, во избежание подмены или инфицирования файла.
3.9.2. Настройка Applocker. Доступен для Windows 7 редакций Ultimate и Enterprise (Если не используется SRP)
Вместо SRP можно использовать AppLocker в Windows 7 версий Ultimate и Enterprise.
Security Settings - Application Control Policies.
Служба (Service) «Удостоверение приложения» (Application Identity) должна быть включена (автоматически). Она помогает AppLocker в Windows 7 идентифицировать приложения, входящие в список заблокированных. Эту службу можно отключить, если AppLocker не используется.
Правила по-умолчанию созданы аналогично SRP (п.18.1.3) и записаны в файле AppLocker-Default.xml который можно импортировать.
В правилах по-умолчанию разрешён запуск всех файлов администратором. Если эти правила удалить, то будет безопаснее, но при установке / удалении программ нужно перевести политику с "Enforce rules" в "Audit only"
Правила для Applocker (Executable Rules):
Правило для пути 1:
%PROGRAMFILES%\*
разрешено для всех. Исключений нет.
Правило для пути 2:
%WINDIR%\*
разрешено для всех
Добавить исключения по путям и хэшу:
Исключения по путям для Windows 7 x86:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
Исключения по путям для Windows 7 x64:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
%systemroot%\SysWOW64\com\dmp
%systemroot%\SysWOW64\FxsTmp
%systemroot%\SysWOW64\Tasks
Исключения по хэшу для Windows 7 x86:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
Исключения по хэшу для Windows 7 x64:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
C:\Windows\SysWOW64\hh.exe, C:\Windows\SysWOW64\mshta.exe, C:\Windows\SysWOW64\reg.exe, C:\Windows\SysWOW64\regedt32.exe, C:\Windows\SysWOW64\regedit.exe C:\Windows\SysWOW64\runas.exe
Правила для Applocker (Script Rules):
Правило для пути 1:
%PROGRAMFILES%\*
разрешено для всех. Исключений нет.
Правило для пути 2:
%WINDIR%\*
разрешено для всех
Добавить исключения только по путям (те же что и в Executable Rules).
Правила для Applocker (DLL Rules):
Правило для пути 1:
%PROGRAMFILES%\*
разрешено для всех. Исключений нет.
Правило для пути 2:
%WINDIR%\*
разрешено для всех
Добавить исключения только по путям (те же что и в Executable Rules).
Удобство Applocker в том, что создав один раз правила можно экспортировать / импортировать в файл ~.xml
Можно создавать только одно правило для хэшей группы файлов exe или dll в папке программы несовместимой с многопользовательским режимом Windows.
3.10. Групповая политика безопасности (Group Policy).
Run as administrator c:\windows\system32\gpedit.msc (Local Group policy Editor)
Computer Configuration:
Отключаем автозапуск и запуск приложений с флешек и дисководов (шаг 2).
Administrative templates - Windows Components - AutoPlay Policies:
Turn off Autoplay - Enabled on all drives,
Default behavior foe AutoRun - Enabled (Do not execute any autorun commands.
Administrative Templates - System - Driver Installation: Turn off Windows Update device driver search prompt - Enabled.
Administrative Templates - System - Removable Storage Access:
CD and DVD: Deny execute access - Enabled
Floppy Drives: Deny execute access - Enabled
Removable Disks: Deny execute access - Enabled
В этой ветке GP существует возможность запретить не только запуск, но и чтение, запись, чтение-запись со сменных носителей различных типов.
3.11. Для закрытия доступа через проводник к свойствам папок.
-----------------------------------------
Windows Registry Editor Version 5.00
;Отключить возможность выбора свойств папки.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000001
-----------------------------------------
3.12. Дополнительное ПО.
Для более надёжной защиты можно установить бесплатный набор средств EMET (Enhanced Mitigation Experience Toolkit) от Microsoft
и настраивать DEP, SEHOP, ASLR и другие технологии защиты памяти как для всей системы, так и индивидуально для выбранных приложений.
Для аудита прав файловой системы используем AccessEnum от Sysinternals. Некоторые программы при установке могут давать права на запись юзеру в Program Files. Такие программы следует устанавливать в отдельную папку и давать разрешения по хэшу.
Для анализа запущенных приложений и dll используем ProcessExplorer от Sysinternals.
4. Решение некоторых проблем совместимости.
4.1. Как сделать, чтобы пользователь с ограниченными правами смог сам включать и отключать интернет-соединение?
Это может понадобиться при работе пользователя через GSM USB-modem.
Добавьте пользователя (или группу INTERACTIVE) в локальную группу Network Configuration Operators.
Выводы.
При таких настройках политик безопасности отпадает необходимость в резидентном антивирусе. Встроеммый в Windows 7 файерволл также вполне вменяемый и легко настраеваемый (есть возможность экспорта/импорта настроек в файл). Я сканирую только новые программы скачанные из интернета на предмет вирусов. При наличии выбора стараюсь использовать Freeware из проверенных источников и положительно зарекомендовавшие себя на форумах.
|
Всего записей: 38 | Зарегистр. 30-12-2009 | Отправлено: 14:53 13-08-2011 | Исправлено: muravlov, 19:33 07-05-2013 |
|
