-
Junior Member
- Вес репутации
- 58
Как настроить Windows так, чтобы сеть была защищена от вирусов?
У меня локалка - 15 ПК. Рабочие станции под ХР SP2. Сервера пока нет.
Вопрос такого плана. Как настроить систему безопасности средствами Windows так, чтобы сеть была максимально защищена от вирусов? и еще как ограничить права пользователей, чтобы у них небыло возможности работать с флэш-накопителями, устанавливать программы и изменять что-либо на системном разделе. Просто устал бороться с вирусами .
Спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
userch
У меня локалка - 15 ПК. Рабочие станции под ХР SP2. Сервера пока нет.
Вопрос такого плана. Как настроить систему безопасности средствами Windows так, чтобы сеть была максимально защищена от вирусов? и еще как ограничить права пользователей, чтобы у них небыло возможности работать с флэш-накопителями, устанавливать программы и изменять что-либо на системном разделе. Просто устал бороться с вирусами
.
Спасибо
1. Создать для них ограниченную учетную запись. Не забудьте только пароль поставить на учетную запись с правами администратора и на учетную запись "Администратор" видную только из под безопасного режима.
Защиту BIOS тоже лучше поставить оставив загрузку только с винчестера и запаролив BIOS. (Проверьте после не принимает ли BIOS "пустой" пароль)
2. USB можно отключить в BIOS или с помощью твикеров.
Например XP Tweaker использовать и в разделе "Защита" -> "Проводник" указать что скрывать и запретить доступ ко всем дискам что вам НЕ нужны. После принятия изменений в реестре в ключе HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer появятся 2 параметра NoViewOnDrive и NoDrives их нужно перенести в HKLM\Software\Microsoft\Windows\CurrentVersion\Policie s\Explorer (Будет для всех пользователей) или если нужно для конкретного пользователя в HKEY_USERS\S-1-5-21-1085031214-162531612-1177238915-1004 (Красная часть пути в вас другая будет). Определить эту часть можно загрузившись из под ограниченной учетной записи и проверить куда у вас есть доступ к под-ключам в HKEY_USERS\бла-бла-бла
Исходный ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer можно удалить после этих манипуляций.
Короткая справка по ключам:
В разделе HKCU хранятся параметры текущего пользователя.
В разделе HKLM хранятся параметры для всех пользователей (Эти настройки имеют больший приоритет)
В разделе HKEY_USERS\бла-бла-бла хранятся параметры пользователей что на машине вообще есть.
P.S: Перед тем как применить настройки можно пролечить ПК тут по правилам.
-
-
Сообщение от
zerocorporated
или если нужно для конкретного пользователя в HKEY_USERS\S-1-5-21-1085031214-162531612-1177238915-1004 (Красная часть пути в вас другая будет). Определить эту часть можно загрузившись из под ограниченной учетной записи и проверить куда у вас есть доступ к под-ключам в HKEY_USERS\бла-бла-бла
Дополнение: определить эту часть можно проще - в
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Перечисляются все SID номера в дереве слева. Если выделить такой номер, то тогда вы увидите в правом окне реальное имя данной учётной записи.
Если не ошибаюсь, то тогда по умолчанию пользователи имеют туда право чтения. Встроенный админ там НЕ перечисляется пока вы реально не использовали эту учётную запись.
Против особенно предприимчивых пользователей, я рекомендую переименовать встроенный админ во что-нибудь, которое не намекает на власть, и дать пароль не менее 15 знаков.
P.S.1: Для безопасности учётных записей пользователей надо бы принимать ещё кое-какие меры. Допустим, возможно вас интересует как отключить автозапуск на дисках (через автозапуск на носителях происходит очень часто заражение). Меры через политики Майкрософта обходятся относительно легко, но есть другие варианты:
http://virusinfo.info/showthread.php?t=20291
Также не мешает прочитать:Безопасный Интернет - Универсальная защита для Windows ME – Vista
P.S.2: Если смотреть в мой профиль - 'Найти все темы p2u', то тогда вы там увидите 7 тем про Belarc Advisor. Перечисляются всякие меры именно против 'угроз изнутри'. Настоятельно рекомендую!
Paul
Последний раз редактировалось XP user; 09.08.2008 в 10:27.
-
Очень эффективная зашита получается, если в Local Security Policy запретить запуск посторонних программ, оставив пользователям права запускать только те программы которые установлены Администраторам (Security level: disallowed). Также можно воспользоваться сторонней программой Trust-no-exe
Конечно, это будет работать только в том случаи, если у пользователей будет права Limited User.
P.S При использовании Software restriction policies возможно понадобится подправить правила для LNK файлов, иначе пользователи не смогут запускать программы через shortcut из Satart Menu, Desktop.
-
Junior Member
- Вес репутации
- 58
Большое спасибо всем за ответы! С понедельника попробую их исспользовать
-
Ещё можно защититься без антивируса от целового семейства vbs скрипт вирусов- довольно популярное творение в червях.
Делается банальным удалением/переименованием wscript.exe
Альтернативно есть ещё програмка, будет выскакивать окошко перед исполнением скрипта- но это мало подходит- юзеры будут же жать YES
К сожалению когда используются скрипты в повседневной жизни- это не удобно. Не нашёл пока способа позволять исполнять разрешённые скрипты по умолчанию админом, может кто знает способ?
-