# Форум на русском языке  > Основы информационной безопасности  > Microsoft Windows  >  Обсуждение книги "  Безопасный Интернет. Возможно ли это?"

## Vadim Sterkin

Всем привет!

Я не нашел обсуждения книги "Безопасный Интернет. Универсальная защита для Windows ME - Vista". Если обсуждение существует, прошу перенести мое сообщение туда. 

В первую очередь я бы хотел поблагодарить авторов за понятное изложение основ безопасной работы в Интернете. В книге очень доступно изложены многие понятия, равно как и методы предотвращения заражений. 

Однако по поводу некоторых методов я бы хотел получить дополнительные разъяснения от экспертов по информационной безопасности. В частности, мои вопросы касаются отключения ряда служб NT-систем для повышения безопасности компьютера. В книге предлагается отключить такие службы.

*Вторичный вход в систему [**Secondary**Logon**] (если вы единственный пользователь компьютера) * 

Назначение службы такое. _Позволяет запускать процессы от имени другого пользователя. Если эта служба остановлена, этот тип регистрации пользователя недоступен_. Если следовать рекомендациям производителя ОС Windows и работать с правами ограниченного пользователя, то для выполнения административных задач следует запускать их от имени администратора. Отключение этой службы лишает такой возможности, поэтому пользователь должен будет выполнить выход из системы и войти с учетной записью администратора, тем самым понижая безопасность. Конечно, работать с правами ограниченного пользователя не всегда удобно, особенно в ХР, но вполне можно в Vista. 

Предположу, что идея состоит в том, что отключив службу, можно предотвратить выполнение вредоносного кода от имени администратора. Хотелось бы получить развернутый комменатрий по этому вопросу - возможно, есть какие-то конкретные примеры, оправдывающие отключение этой службы. 

*Совместимость быстрого переключения пользователей [**Fast**User**Switching**Compatibility**] (если вы – единственный пользователь компьютера).*

Вопрос, в принципе, такой же, как и по поводу предыдущей службы.

*Служба восстановления системы [System Restore Service] 

*Не вполне очевидно, каким образом отключение восстановления системы повышает ее безопасность. Предположу, что рекомендация связана с тем, что если вылечить компьютер и откатить его к точке после заражения, проведенное лечение оказывается бесполезным. Однако в случае заражения достаточно удалить все точки, отключив восстановление, а затем включить его снова. 




> SystemRestore– неудобным и опасным средством восстановления Windows. SystemRestore желательно отключить, заменив его более качественным сторонним продуктом


В книге, однако, не поясняется, что в нем неудобного и опасного, равно как и не предлагаются сторонние продукты схожей функциональности.

С другой стороны, отключая восстановление системы, пользователь лишает себя достаточно мощного механизма возврата системы к работоспособному состоянию в случае других неполадок (установка ПО, драйверов, твики). Дополнительную аргументацию я излагал в блоге: Восстановление системы - нужно ли его отключать?

*Служба индексирования* *[**Indexing Service]

*Честно говоря, у меня нет идей, каким образом отключение индексирования способствует повышению безопасности при работе в Интернете. ЕМНИП, в Vista этой службы не существует, ее роль выполняет Поиск Windows. 

*Автоматическое обновление [**Automatic**Updates**] (включать раз в месяц для обновления* *Windows**)

*Эта рекомендация мне также совсем непонятна. Во-первых, неясно, каким образом отключение этой службы повышает безопасность. Во-вторых, неочевидно, чем обновление "раз в месяц" лучше обновления по факту доступности обновлений. Ведь тем самым уязвимость будет оставаться открытой дольше, чем при регулярном обновлении. Наконец, у меня есть большие сомнения, что пользователь, отключивший службу, будет помнить о том, что раз в месяц ее надо включать. А у вас таких сомнений разве нет? Поэтому рекомендация фактически оставляет ОС без обновлений, что противоречит другой рекомендации книги.



> Желательно также *устанавливать обновления* *Windows* – по крайней мере критические. Отключение служб не отменяет этой необходимости.


Получается, что пользователь не должен использовать удобный способ обновления, а пользоваться неудобным, при этом не объясняется, как же это делать  :Smiley: 

В списке служб, рекомендуемых к отключению, есть и другие, которые, на мой взгляд, никоим образом не повышают *безопасность*. Возможно, отключение "ненужных" служб позиционируется для повышения производительности (что является отдельной большой темой), но связь с безопаснотью неочевидна. Также, никакой аргументации в пользу повышения производительности не приводится. Поэтому я бы хотел получить разъяснения именно в контексте безопасности, что является темой книги и специализацией ее авторов, а не общей оптимизации, что является как минимум побочной тематикой для данной книги.

Спасибо за внимание к моим вопросам!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## priv8v

скажу пару слов...:




> Во-вторых, неочевидно, чем обновление "раз в месяц" лучше обновления по факту доступности обновлений.


при автоматическом обновлении каждый день больше, к примеру, шансов схватить бажное обновление. 




> В списке служб, рекомендуемых к отключению, есть и другие, которые, на мой взгляд, никоим образом не повышают *безопасность*. Возможно, отключение "ненужных" служб позиционируется для повышения производительности (что является отдельной большой темой), но связь с безопаснотью неочевидна.


а эксплоиты? :Smiley:

----------


## Vadim Sterkin

> при автоматическом обновлении каждый день больше, к примеру, шансов схватить бажное обновление.


Да, такая вероятность существует. Но если такое произойдет, можно воспользоваться службой восстановления системы для отката, если ее не отключать... Кроме того, можно настроить АО на получение обновлений, но не их автоустановку, принимая решение об установке обновлений в индивидуальном порядке. Я считаю, что вероятность достаточно мала по сравнению с вероятностью того, что система вообще останется необновленной, если рассматривать достаточно большое кол-во пользователей ОС. 




> а эксплоиты?


Развернутая аргументация приветствуется. Вы можете привести пример эксплойта службы Machine Debug Manager?

----------


## XP user

@ *Vadim Sterkin*

Во-первых, хороший принцип безопасности - жёсткий минимализм, то тесть: чем меньше программного кода запущено на компе, тем безопаснее в системе будет. То, что и производительность улучшается, это лишь побочный эффект, не самоцель.

Belarc Advisor: Тестируем безопасность XP Pro
Там обсуждение (7 разделов) идёт про CIS Benchmark (эталон безопасности), в созданнии которого участвовали и сама Майкрософт, и ваш покорный слуга. Все службы, отключение которых вы ставите под сомнением там перечисляются. Настоятельно рекомендую на чтение.

*Вторичный вход в систему* + *Совместимость быстрого переключения пользователей* 
Профили надо держать чистыми. В идеале, юзер даже не должен знать, как Администратора зовут (переименуем эту учётку и ставим ОЧЕНЬ крепки пароль - не менее 15 знаков). Существуют ряд уязвимостей в системе разрешений NTFS, которые облегчает повышения привилегий при эксплойтах. Привести примеры не буду. Это тема хакерской направленности, что противоречит правилам данного форума. Пользуйтесь Гуглом. Нельзя недооценивать возможности malware.

*Служба восстановления системы* 
* Нагло мешает программам защиты бориться с зловредами. Если нужны доказательства, посмотрите в разделе 'Помогите'.
* Кроме зловредов особенно ничего не восстанавливает. Когда она действительно нужна, она не может восстанавливать то, что нужно.
* Она может восстанавливать ТОЛЬКО СИСТЕМНЫЕ файлы и папки. Недоделанная функциональность, короче. Программы третьих сторон (даже некоторые бесплатные) эту работу намного эффективнее делают.

*Служба индексирования*: Про вопросов конфиденциальности мы здесь не будем, хотя и это фактор, который влияет на безопасность.
Существуют ряд уязвимостей в данной службе, которые до сих пор не пропатчены. Несколько раз уже получилось убедить Майкрософт выпустить патч, например с MS06-053, выупущен месяц после того, как я писАл это, что как раз привело к созданию Книги.
Далее, она призвана увеличить скорость поиска, но дело в том, что когда вы её отключаете (+ запретите индексирование вручную в свойствах всех дисках), поиск никак медленнее не становится. Наоборот, если ваш компьютер начинает иногда 'подтормаживать', то тогда ищите в первую очередь в её сторону - она стоит на 'Вручную', но запускается когда хочет, особенно во время короткого простоя. Код, который тормаживает систему делает её уязвимой, так как мешает всем остальным. Это вторая причина, по которой мы отключаем эту службу.

*Автоматическое обновление*: Без Фоновой интеллектуальной службы передачи (Background Intelligent Transfer Service) эта служба не будет работать.
Если вы знаете, что эта служба делает, и на что она способна, все вопросы отпадают сразу же. Эта служба-проститутка:
* позволяет продолжить загрузку ВСЕГО, ЧТО УГОДНО при завершении сеанса или выключении компьютера (при следующем его запуске)
* выполнит работу для КОГО УГОДНО, включая для троянов.
Майкрософт говорит, что это не баг - а свойство.




> Вы можете привести пример эксплойта службы Machine Debug Manager?


Форум не той направленности. Есть форумы, где вам приведут, запросто. Гугл в помощь. 
Программа Machine Debug Manager (Mdm.exe) устанавливается вместе с редактором сценариев, чтобы обеспечить поддержку для отладки программ. Программа Machine Debug Manager выполняется в качестве службы и загружается при запуске компьютера. Если компьютер не используется для отладки программ, то тогда Майкрософт сама рекомендует отключить это приложение. Почему? Спросите у неё - она своё барахло лучше знает, чем мы с вами.

Paul

----------


## Зайцев Олег

По поводу BITS, которая "Фоновая интеллектуальная служба передачи данных" могу привести пару цифр ... в оперативном анализе у меня находится 28875 образцов, явная зловредность которых гарантирвоано доказана, причем этот кеш построен по принципу "по одному образцу из каждого семейства". из них со службой BITS активно взаимодействует 734 образца, что составляет примерно 2.5% от общего числа. Это очень большой процент , так как считается он по всем зверям всех видов, а если взять только по Trojan-Downloader, то получим уже порядка 6%.
С mdm.exe тоже оригинально - тьма зверей просто "косит" под него, и отличить реальный mdm от зверя средствами системы невозможно. Типовой пример - Backdoor.Win32.IRCBot.cvo, он копирует себя в систему под именем C:\WINDOWS\system32\mdm.exe (а диспетчер задач показывает как известно только имя процсса, без пути). Аналогично например Trojan.Win32.Agent.abt(который создает C:\WINDOWS\MDM.EXE)

По поводу восстановления системы *p2u* все уже и так предельно ясно описал, я могу только подтвердить его слова - штатный механизм "восстановления" весьма чудной, в случае заражения вирусами больше мешает, чем помогает. В случае системных сбоев откат нередко вообще создает очень интересные ситуации, когда что-то откатилось, что-то нет - и система остается в непонятном состоянии. Причем что интересно - многие звери ее просто отключают, например Trojan-PSW.Win32.Agent.eb - от выключает восстановление системы в придачу к типовой блокировке редактора реестра и диспетчера процессов. А такой "замечательный" экспонат как Worm.Win32.AutoRun.dc останавливает принадлежащую восстановлению системы службу ... Worm.Win32.VB.ck идет еще дальше - он блокирует настройки восстановления системы.

----------


## Vadim Sterkin

Спасибо за развернутые ответы!

*p2u*
Я согласен с принципом минимализма. Возможно, его стоит включить в качестве предисловия в раздел настройки служб?

*Вторичный вход в систему + Совместимость быстрого переключения пользователей*
Я не могу согласиться с вашей аргументацией. Книга написана для *домашних пользователей*, как я понимаю. Домашний пользователь является администратором своего компьютера. Он должен знать название адм. учетной записи и помнить пароль к ней. Это может понадобиться для выполнения административных задач, работы в безопасном режиме и т. д. Как специалист по инфобезу, вы прекрасно знаете о том, что кол-во пользователей, имеющих 15-символьный сложный пароль к учетной записи администратора ничтожно. Если вы отключаете вторичный вход, вы фактически побуждаете домашнего пользователя к повседневной работе с правами администратора. Мне кажется, что такой подход не просто противоречит рекомендациям МС по обеспечению безопасной рабочей среды, но и потенциально опаснее, чем уязвимости в системе разрешений NTFS (извините, мне не удалось найти конкретных уязвимостей в гугле, поэтому буду признателен за ссылку в ПМ для самообразования). Я также не смог найти, где МС соглашается с тем, что вторичный вход лучше отключать. Вообще не нашел упоминания этой службы ни на одной из семи страниц. 

*Служба восстановления системы*
Ваша аргументация понятна, но для меня она не выглядит убедительной в контексте обеспечения безопасности компьютера... конкретнее, в контексте предотвращения заражения (сведения Олега о конкретных зловредах, влияющих на работу службы, интересны, но это опять же проявляется после заражения). У меня создалось впечатление, что негативное к ней отношение во многом сформировано в связи с многочисленными проблемами с лечением. Такова специфика этого форума, но это не полная картина - существует множество ситуаций, в которых простой откат решает проблему. Причем намного быстрее, чем пляски с бубном опытных траблшутеров. Ведь не все же проблемы пользователей связаны с заражением - намного чаще проблема создана самим пользователем или установкой ПО/драйверов. Конечно, речь о системных файлах и настройках, а также о пользовательских параметрах - это восстановление системы, а не всего содержимого диска. Ваше мнение о качестве работы механизма, похоже, основано на Windows XP. Я неоднократно использовал его в Vista, и у меня не было проблем с откатами драйверов, роняющих систему в BSOD, или последствий правки реестра. В книге же рекомендации для обоих ОС одинаковы. Это неидеальный, но простой механизм, встроенный в ОС. Программы третьих сторон в книге даже не упомянуты, но если речь о продуктах типа Acronis True Image, то они небесплатны и выполняют несколько другую работу. В ту же Vista включена возможность полного бэкапа диска или всего содержимого компьютера. И представьте, работает  :Smiley: 

*Служба индексирования*
Убедительный аргумент, спасибо. Однако в Vista работает поиск Windows, и скорость его работы очень сильно зависит от наличия индекса. В книге же не делается различия и не упоминается о разнице в службах. 

Я все это к тому, что желательно учитывать различия в ОС, а не автоматически переносить рекомендации для одной системы к другой. Книга же не только для пользователей XP написана...

*Автоматическое обновление*
Если отключение аргументируется уязвимостью BITS, то надо это написать в комментарии к совету по отключению этой службы. В описании BITS сказано, что она нужна для автообновления, но обратная связь не указана. Я, однако, хочу посмотреть на проблему с другой стороны. А так ли много вреда от нее по сравнению с потенциальной пользой регулярного обновления системы?

*Зайцев Олег*, большое спасибо за цифры - это самые убедительные аргументы  :Smiley:  А нет ли у вас данных о том, какой процент зловредов эксплуатирует уязвимости, официально признанные Microsoft путем выпуска заплаток? Если такой статистики нет, то, возможно, вы сможете дать общую оценку ситуации? Я к тому, что массовые эпидемии, типа msblast (просто яркий пример), стали возможны потому, что исправления были не установлены [ну и встроенный брандмауэр был отключен, ибо народная мудрость в том, что он - фуфло... (но таки лучше, чем совсем ничего)]. Я действительно сомневаюсь в том, что большинство пользователей, отключивших АО, регулярно обновляют ОС раз в месяц. Гм... стало интересно даже, я организую опрос пользователей на oszone  :Smiley: 

Что же касается MDM, то ваше обоснование только улучшило бы книгу, ибо оно дано непосредственно в контексте безопасности.

Возможно, у кого-то сложилось впечатление, что я сюда пришел покритиковать книгу  :Smiley:  Это не очень интересно, и я бы мог сделать это где-нибудь в блоге в одностороннем порядке. Суть поднятого обсуждения в том, чтобы дать пользователям объективную картину и разносторонню информацию, включающую обоснования рекомендаций. Вам может показаться странным, что за разъяснениями по поводу этой книги кто-то может обратиться ко мне, но в контексте того, что мои рекомендации могут расходиться с книгой, это нормальное явление. Вместо того, чтобы "посылать" пользователя "вот у них и спрашивайте", я пришел на форум авторов книги. 

Однако из раздела обсуждений публикаций сайта тему перенесли в форум для начинающих, где, исходя из списка тем, обсуждаются всевозможные проблемы с ОС, а не только проблемы безопасности. Должен ли я расценивать это действие как некий способ "указать на место", равно как и то, что авторы книги заинтересованы лишь во мнении участников данного сообщества со стажем? Если да, то, наверное, не стоит и тратить время.

Спасибо за развернутые ответы.

----------


## Kovalev

Лично я сам убедился, что большинство зловредов копируют себя в папку системного востановления, даже если в системе все нормально, там можно найти парочку троянов.(если так корректно будет выражаться  :Smiley: )
Не думаю что не найти бесплатной альтернативы(правда сам я еще не искал) ,наверняка сдесь же на форуме.

----------


## XP user

> Вторичный вход в систему + Совместимость быстрого переключения пользователей


Перепутал желаемое за действительное...  :Cheesy: 
Эталон CIS (Center for Internet Security) является компромисcом экспертов по всему миру. Я был один из 9, которые настаивали на то, чтобы отключить RunAs 
- из-за возможных переходов зловредов с одного профиля на другой именно через эту систему, 
- и ещё из-за возможности повышения привилегий по всей системе со стороны ограниченного пользователя. 

Хотя аргументы были сильные, они не прошли. Очень жаль, потому что при эксплойтах именно это и происходит. Хотя вы запускаете (по документации Майкрософта) якобы только *один* процесс как амдин, на самом-то деле происходит совсем другое. Рутовская это даже на Висте доказала - ограниченный процесс может на заднем фоне запускать другой процесс со серьёзными привилегиями. Я понимаю, что это мало кто волнует - это же теория? У нас так не будет, правда?  :Roll Eyes (Sarcastic): 
Зловред, однако, тоже знает, что Администратора зовут Администратор. Это обычно в его инструкциях предусмотрено...  :Roll Eyes (Sarcastic): 



> Я не могу согласиться с вашей аргументацией. Книга написана для *домашних пользователей*, как я понимаю. Домашний пользователь является администратором своего компьютера. Он должен знать название адм. учетной записи и помнить пароль к ней. Это может понадобиться для выполнения административных задач, работы в безопасном режиме и т. д. _Как специалист по инфобезу, вы прекрасно знаете о том, что_ кол-во пользователей, имеющих 15-символьный сложный пароль к учетной записи администратора ничтожно.


Что это за аргумент?  :Roll Eyes (Sarcastic): 
Как специалист по инфобезу, я также прекрасно знаю, что ничтожное количество пользователей вообще настроит Windows и всё, что на ней стоит. Как специалист по инфобезу, я также прекрасно знаю, что ничтожное количество пользователей вообще думает, до того, как щёлкать на ссылку или открыть вложения от незнакомых в почте. Ну и что? Это теперь должно стать нормой?

Книга была написана для:
* отдельно стоящих компьютеров
* людей, которые НЕ ХОТЯТ отказаться от работы в учётке админа (а это большинство). Мы с Николаем даже не стали продробно описать возможностей работы под ограниченного пользователя - ещё обидятся...  :Wink: 

Зачем тогда оставить открытым и незащищённым встроенного Админа (=рут), скажите?

Длинный пароль необзяательно сложный. Это может быть фраза какая-нибудь, например:



> ПошёлТы,Блин,ЗнаешьКуда


Крепкий пароль, кстати (23 знака). Жизнь не хватает, чтобы его взломать. Разве сложно выучить?  :Wink: 




> Если вы отключаете вторичный вход, вы фактически побуждаете домашнего пользователя к повседневной работе с правами администратора.


А это не совсем верно. У меня дома комп. Пользователя - 3. Я админ, но я работаю как ограниченный пользователь. Только использую учётку админа для админ задач. Выхожу из ограниченного профиля, и НИКОГДА не вхожу через RunAs (эта функция у меня спрятена, и запрещенна политиками).

Жена и сын работают как ограниченные пользователи. Друг к другу доступа не имеют. Они даже за миллион долларов не могут вам сказать, какое имя у встроенного Админа, и какой у него пароль. При этом у них в работе проблем нет совсем. Знаете почему? *Когда что-то не работает, НЕ НАДО стать админом по всей системе!* Единственное, что требуется: не лениться, и настроить разрешения на папку программы, которая неправильно работает -> дать право запись или полный доступ *к этой папке*, и всё заработает. Не лучше ли это, чем работать под админ, и получать полный доступ на ВСЮ систему, а?



> Мне кажется, что такой подход не просто противоречит рекомендациям МС по обеспечению безопасной рабочей среды, но и потенциально опаснее, чем уязвимости в системе разрешений NTFS (извините, мне не удалось найти конкретных уязвимостей в гугле, поэтому буду признателен за ссылку в ПМ для самообразования).


Ну, нашли на кого надеяться в области безопасности. Вчера опять 11 патчов выпустили. Сколько это ещё будет продолжаться? Не скажете?  :Roll Eyes (Sarcastic): 
Насчёт того, чтобы описать вам, что именно возможно через этих служб, какие дыры существуют в системе NTFS - подумаю, ОК? Я не совсем уверен, что все вещи надо назвать своими именами. Если делаете поиск по Joanna Rutkowska и у вас с английским нормально, то тогда найдёте то, что вы хотите. Можете быть уверены, что предложенное решение в Книге - не случайность.



> *Служба восстановления системы*
> У меня создалось впечатление, что негативное к ней отношение во многом сформировано в связи с многочисленными проблемами с лечением.


А что, это не состоятельный аргумент разве?  :Wink: 
Сам я не 'лечу', даже здесь, так как 'религия не позволяет'; для самого себя считаю это бессмысленным занятием. То, что компьютер 'заболел' доказывает явно, что система защиты провалисась. И программы защиты в этом редко сами виноваты!

Если хотите, оставьте себе эту ценную службу. Надеюсь, что она вас не подведёт когда действительно беда будет.  :Smiley:  

Вы в качестве аргумента приводите часто то, настолько та или та служба полезная или удобная. Полезно для одного, ещё не полезно или нужно для другого. Если вы считаете, что полезности больше, чем опасности - оставьте всё как есть по умолчанию ДЛЯ СЕБЯ. Не беритесь, однако, советовать другим если речь идёт о вопросах безопасности если у вас нет точного основания. 'Презумпция Невиновности' к творениям Майкрософта нельзя применять...

По Москве я уже настроил сотные компы по этой схеме, и всё прекрасно работает без проблем. У этих людей и заражений не было совсем за 3-5 лет. Они довольны и приобрели душевное спокойство; то, что традиционные способы защиты не могли дать... 




> мои рекомендации могут расходиться с книгой


Отсюда подробнее, пожалуйста. Где именно они будут расходиться и на каком основании? 
* То, что 'Майкрософт так считает' отвергаю как аргумент. Делаю одно лишь исключение - если они там в Редмонде сами считают, что надо бы что-то отключить, так как это обычно значит, что речь идёт о чём-то из ряда вон выходящем.
* Ваше мнение просто так без обоснования - тоже не аргумент.  :Wink: 



> Однако из раздела обсуждений публикаций сайта тему перенесли в форум для начинающих, где, исходя из списка тем, обсуждаются всевозможные проблемы с ОС, а не только проблемы безопасности.


Это может означать что это такая информация, которые продвинутые ВСЕ знают, поэтому теме не место в данном разделе. То, что определённые службы надо отключить в целях безопасности не отрицают даже на oszone, я предполагаю. Telnet, Диспетчер сеанса справки для удалённого рабочего стола, Служба сообщений, Удалённый реестр - такие игрушки...  :Roll Eyes (Sarcastic):  Любой себя уважающий продвинутый участник этого ресурса должен знать сайт BlackViper, уже годами эталон того, как надо.

P.S.: Добавляю ещё, что Майкрософт на Висте изменила правила игры - там вам даже не удастся всё настроить, как вы хотите. Служба Восстановления, например, там теперь зависит от службы 'Теневое Копирование', служба, которую на XP каждый эксперт в здравом уме у себя дома отключает.

Paul

----------


## ALEX(XX)

> Ну, нашли на кого надеяться в области безопасности. Вчера опять 11 патчов выпустили. Сколько это ещё будет продолжаться? Не скажете?


Паул, Паул  :Cool:  А что, в других ОС дыр уже нет? И патчи никто не выпускает?




> Единственное, что требуется: не лениться, и настроить разрешения на папку программы, которая неправильно работает -> дать право запись или полный доступ к этой папке, и всё заработает


Оно то конечно верно.. Вот только очень часто (благодаря умным програмерам) программе чертовски нужно распихать себя по системным папкам  :Sad:  И периодически ещё чего-то туда писать или хранить промежуточные результаты работы прямо в корне диска С ну или ещё чего... А дать права на запись в папку system32 так оно проще под админом тогда посидеть... Есть хорошие проги, которые устанавливаются от админа, а потом спокойно работают под ограниченным пользователем даже без игры с правами, но хватает и обратных примеров

*Добавлено через 1 минуту*

А есть ещё такая програмулина, АВК-3, так вот из-за "особенностей защиты от нелегального использования" она может работать только с админскими правами  :Sad:

----------


## Alex Plutoff

> ...А есть ещё такая програмулина, АВК-3, так вот из-за "особенностей защиты от нелегального использования" она может работать только с админскими правами


-угу... а есть ещё и такие которым при каждом запуске, непременно, нужно в реестр залезть, причём, отнюдь не не в пользовательские ветки...

-хотя с другой стороны, а что такому профессиональному софту делать на домашнем ПК?...  :Wink:   :Smiley:

----------


## ALEX(XX)

> -хотя с другой стороны, а что такому профессиональному софту делать на домашнем ПК?...


Ммм... К примеру  АВК-3 могут спокойно использовать. Человек может выполнять заказы и дома.

----------


## Alex Plutoff

> Ммм... К примеру  АВК-3 могут спокойно использовать. Человек может выполнять заказы и дома.


-ну, коль так, выполнять заказы на дому, тогда и сконфигурировать систему нужно в соответствии, т.е. Home + Business  :Smiley:

----------


## SDA

Выскажу свое небольшое мнение:
Служба восстановления системы использовал давно, но именно из-за кривизны драйвера и какой то глюкнувшей игрушки, сейчас уже не помню. По поводу "Ведь не все же проблемы пользователей связаны с заражением - намного чаще проблема создана самим пользователем или установкой ПО/драйверов" согласен наполовину,  насколько "чем заражение" неуверен, такой статистики нет.
По поводу остального: я несколько ленив, а уж если сравнивать меня с Paul, то вообще лентяй  :Smiley:  и поэтому работать не из под администратора мне лениво. Даже дочке на комп доступ даю обычный, без разделения пользователей. Но использую Акронис и раз в месяц делаю полный бэкап, естественно антивирусная защита, отключение ненужных служб, работа с FF, тоже присутствует. 
Подведу небольшой итог, для ленивых имеет смысл разориться на какие-то 400 рублей и приобрести Акронис или прогу подобного типа. Бекап есть самый надежный способ, других пока не придумано (кроме того, в Акронис можно и издеваться над ОС в особом режиме"песочницы"), а затраты смехотворные и для этого ненадо быть специалистом по информационной безопасности. Другое дело, что что некоторые пользователи и про бекап не знают или даже про системное восстановление. Т.е. моя мысль - бекап - альтернатива продвинутым мерам по инф-ой безопасности описанной в книге, но простые правила безопасности знать надо, как соблюдение личной гигиены.

----------


## Kovalev

> раз в месяц делаю полный бэкап


По моему файлы при этом тоже убиваются(или я что-то пропустил), это тоже не очень удобно, хотя действенно.  :Smiley:

----------


## Dr.

> Т.е. моя мысль - бекап - альтернатива продвинутым мерам по инф-ой безопасности описанной в книге, но простые правила безопасности знать надо, как соблюдение личной гигиены.


 Бекапы ведь не спасают от кражи паролей и прочей личной инфы, а защита её- главное, как мне кажется...

----------


## XP user

> Паул, Паул  А что, в других ОС дыр уже нет? И патчи никто не выпускает?


Именно так. Я в процессе выбора системы Линукс, и понял, что вопрос об отключении ненужной функциональности на Линуксе тоже стоит.  :Smiley: 



> Бекапы ведь не спасают от кражи паролей и прочей личной инфы, а защита её- главное, как мне кажется...


От кражи паролей в конечном итоге НИЧЕГО не защищает; может быть, ну совсем может быть шифрование, и ваша собственная бдительность. Тот же Пинч спокойно работает в учётке ограниченного пользователя. 

Вопросы *Олегу*: 
1) А Пинч и другие трояны-воры читают и отсылают пароль Админа, который топикстартер хочет ввести для того, чтобы использовать RunAs?
2) Бывают ли Трояны, которые делают, например, так:


```
CreateProcess("runas.exe", "/savecred /user:administrator \"cmd /c 
команда по вкусу\"",
...)
```

?

Paul

----------


## drongo

Использовать RunAs  по своему опыту скажу: компромисс вполне приемлемый.

----------


## Зайцев Олег

> Вопросы *Олегу*: 
> 1) А Пинч и другие трояны-воры читают и отсылают пароль Админа, который топикстартер хочет ввести для того, чтобы использовать RunAs?
> 2) Бывают ли Трояны, которые делают, например, так:
> 
> 
> ```
> CreateProcess("runas.exe", "/savecred /user:administrator \"cmd /c 
> команда по вкусу\"",
> ...)
> ...


1. Пинч - это понятие обтекаемое, его очень много разновидностей существует, и набор воруемой информации может меняться от версии к версии. Классического пинча больше интересуют пароли на почту, FTP, сохраненные в IE пароли и т.п. Системный пароль троян в чистом виде утащить не может - так как в системе хранится не пароль, а его хеш (исключение - когда системный пароль хранится где-то в открытом виде, или скажем юзер кругом применяет одинаковые имя юзера и пароль). Трояну же в общем случае гораздо проще скрытно завести в сситеме еще одного юзера и задать ему пароль (что позволит злоумышленнику войти на ПК), или содержать Backdoor-модуль, открывающий "черный ход" на пораженную машину. 
2. Я пробил по моим базам - такого запуска в поведении строянов я не нашел (искал я событие по маске "запуск runas"). Однако троян может вызвать процесс от имени другого юзера через API - есть для этого особая функция CreateProcessAsUser. Вот таких троянов не сказать чтобы много, но попадаются

----------


## rav

> От кражи паролей в конечном итоге НИЧЕГО не защищает


Это не так. От зловредов типа пинча защищают HIPS с разделение ресурсов.

----------


## XP user

> Использовать RunAs  по своему опыту скажу: компромисс вполне приемлемый.


На Black Viper дают такие значения:
Display Name: Secondary Logon
Service Name (Registry): seclogon
DEFAULT: Automatic (Started)
Home	DEFAULT: Automatic (Started)
MCE 2005 	DEFAULT: Automatic (Started)
Pro 	DEFAULT: Automatic (Started)
Tablet PC Edition 2005: 
*"SAFE" (то есть - 'безопасно'): Disabled **
Tweaked: Disabled *
Bare Bones: Disabled *

Paul

----------


## Зайцев Олег

> *Зайцев Олег*, большое спасибо за цифры - это самые убедительные аргументы  А нет ли у вас данных о том, какой процент зловредов эксплуатирует уязвимости, официально признанные Microsoft путем выпуска заплаток? Если такой статистики нет, то, возможно, вы сможете дать общую оценку ситуации? Я к тому, что массовые эпидемии, типа msblast (просто яркий пример), стали возможны потому, что исправления были не установлены [ну и встроенный брандмауэр был отключен, ибо народная мудрость в том, что он - фуфло... (но таки лучше, чем совсем ничего)]. Я действительно сомневаюсь в том, что большинство пользователей, отключивших АО, регулярно обновляют ОС раз в месяц. Гм... стало интересно даже, я организую опрос пользователей на oszone 
> 
> Что же касается MDM, то ваше обоснование только улучшило бы книгу, ибо оно дано непосредственно в контексте безопасности.


Общая оценка такова - значительный процент пользователей раздолбами  :Smiley:  Т.е. не нужен хитрый эксплоит, или мудреный метод обхода Firewall или свеженайденная уязвимость - зачастую достаточно послать юзеру письмо типа "Ты выиграл миллион, подробности в аттаче" с приложенным EXE или ссылкой... и вроде здравый смысл говорит о том, что явно что-то нечисто, но любопытство важнее всего... можно вспомнить недавние эпидемии "детских" деструктивных троянов, которые картинки и документы поганили - пострадавших тьма, но ведь там были лобовые ссылки на файлы типа SCR, народ его качал и запускал, подтверждая запросы системы о том, что файл исполняемый и получен неизвестно откуда.  
С другой стороны, я реально сталкивался с ситуациями, когда например "ложится" сеть, где все ПК скажем работают под W2K и там есть незакрытая до сих пор уязвимость (в XP она пропатчена). И получается - админы вроде грамотные, и патчи все стоят, и сделано вроде все по науке - и тем не менее машина заражатся по 2-3 штуки в секунду. Или взять за пример тьму взломанных сайтов, в странички которых встроены эксплоиты (по моей статистике взломан в среднем один сайт на 100-500 штук (точная цифра зависит от доменной зоны и т.п.). На правильно настроенном IE7 со всеми заплатками большинство эксплоитов не работают, а на непатченном браузера отрабатывают без проблем и идет заражение системы

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Конечно классно что у вас тут идёт высокопрофессиональный спор о построении обсолютной защиты. Но, возможно, простым пользователям стоит давать более простые советы, которые не повергнут их в ступор а помогут реально повысить защищенность компьютера. Например иметь лицензионную Винду с включенным сервисом обновлений. Держать всегда включенной встроенную стенку, если нет другой. Иметь лицензионный, а не крякнутый антивирус, и переодически контролировать что лицензия не закончилась и обновления скачиваются.  Использовать альтернативный браузер или использовать какой-то браузерно ориентированный ХИПС/песочницу. Они обычно просты в использовании и не выдают кучу напонятных алертов.
А так, получаются советы ходить в бронежилете, каске и противогазе. А лучше на танке в окружении роты автоматчиков. НИ один нормальный человек, всем этим заниматься не будет.

----------


## XP user

> Но, возможно, простым пользователям стоит давать более простые советы, которые не повергнут их в ступор а помогут реально повысить защищенность компьютера. Например иметь лицензионную Винду с включенным сервисом обновлений. Держать всегда включенной встроенную стенку, если нет другой. Иметь лицензионный, а не крякнутый антивирус, и переодически контролировать что лицензия не закончилась и обновления скачиваются.  Использовать альтернативный браузер или использовать какой-то браузерно ориентированный ХИПС/песочницу. Они обычно просты в использовании и не выдают кучу напонятных алертов.


* У нас с Ником всё просто объясняется в Книге. Кто хочет, тот и применяет советы. Свободная страна же?  :Wink: 
* Я не совсем понял как 'иметь лицензионную Винду' защищает от того, что можно делать с Telnet и подобными.
* То, что Майкрософт обещает не всегда соответствует действительности. Цитат Рутковской:



> Because firefox.exe is now marked as a Low integrity file, Vista will also create a Low integrity process from this file, unless you are going to start this executable from a High integrity process (e.g. elevated command prompt). Also, if you, for some reason (see below), wanted to use runas or psexec to start a Low integrity process, it won’t work and *will start the process as Medium, regardless that the executable is marked as Low integrity.*


Речь идёт о Висте, лучшая ОС до сих пор с точки зрения безопасности. То есть - вы думаете, что процесс запущен с низкими привилегиями, а на самом-то деле это не так. Простых юзеров это, скорее всего, мало интересует, но продвинутых...

P.S.: Проясняю:
На висте существуют шесть уровней доверия вместе с группами, которые их используют:

*Доверенный инсталлятор*. Объекты, имеющие статус доверенного инсталлятора имеют наивысший уровень доверия из возможных и могут вносить изменения в ОС.
*Системный*. Объекты, имеющий данный статус, являются общими службами или объектами, которые являются частью ОС. С данным приоритетом, к примеру, запускаются учётные записи локальных или сетевых служб.
*Высокий*. Учётная запись администратора запускается с высоким уровнем доверия, впрочем, как и другие учётные записи продвинутых пользователей, таких как оператор архива или оператор шифрования. Практически во всех случаях, когда код запущен с высоким уровнем доверия, он может вносить изменения в ОС.
*Средний*. Это обычный уровень для стандартных учётных записей и связанных с ними данных.
*Низкий*. Такой статус имеют учётная запись Everyone и временные файлы. Данный уровень, по данным Майкрософта, также используется для входа в Интернет. Данные Рутковской, однако, противоречат этому - то есть: при определённых *недокументированных* условиях вы будете сидеть уже в Интернете с привилегиями среднего уровня, что можно назвать достаточно рискованной ситуацией. Какие ещё тайны скрываются?  :Roll Eyes (Sarcastic): 
*Недоверенный*. Такой статус присваивается анонимной и гостевой учётным записям.

Самое основное ограничение, введённое между уровнями доверия, - это то, что Microsoft назвала политикой NO_WRITE_UP. Это означает, что по умолчанию ни один объект одного уровня не может редактировать объект более высокого уровня. И это сказкой оказалась - вспомним хакеров, которые хакнули Висту через флеш плеер. Правда, фишка там была в том, что Флеш плеер не поддерживает DEP (предотвращение выполнение данных), что для программы, которая так глубоко внедряется в систему - глупость, конечно...

Paul

----------


## ananas

> моя мысль - бекап - альтернатива продвинутым мерам по инф-ой безопасности описанной в книге, но простые правила безопасности знать надо, как соблюдение личной гигиены


Не знаю, почему так сложилось, но среди моих коллег/друзей/знакомых подавляющее большинство именно приверженцев такого же, как у Вас, *SDA*, подхода. И про всякие бэкапы, в т.ч. просто откаты, инкрементивные и т.д., они знают гораздо больше, чем про "личную гигиену" от *p2u*. Правда, программые средства для этого используются весьма различные. Мне даже кажется, что это довольно распространенная тенденция, имхо, для озабоченных некоторой собственной безопасностью, но ленивых в ней глубоко копать.

----------


## NickGolovko

> Но, возможно, простым пользователям стоит давать более простые советы, которые не повергнут их в ступор а помогут реально повысить защищенность компьютера. Например иметь лицензионную Винду с включенным сервисом обновлений.





> Желательно также устанавливать обновления Windows – по крайней мере критические. Отключение служб не отменяет этой необходимости.





> Держать всегда включенной встроенную стенку, если нет другой. Иметь лицензионный, а не крякнутый антивирус, и переодически контролировать что лицензия не закончилась и обновления скачиваются.





> Антивирусом и брандмауэром должна быть оснащена любая машина в Сети





> Использовать альтернативный браузер или использовать какой-то браузерно ориентированный ХИПС/песочницу.





> Следует использовать альтернативные ICQ-клиенты (к примеру, программу QIP, Miranda и другие) и браузеры – целесообразно заменить Internet Explorer на Firefox или Opera.


 :Smiley:

----------


## Kovalev

> * У нас с Ником всё просто объясняется в Книге. 
> Paul


Не совсем просто, но достаточно доступно.(я довольно с опаской отключал службы, и сис.востановление отключил когда удостоверился что  все работает-ОК)

Там было выше



> Мы с Николаем даже не стали продробно описывать возможностей работы под ограниченного пользователя - ещё обидятся...


 Не нашел подобной темы, не обиделся бы если кто-нибудь кинул ссылку.  :Smiley:

----------


## SDA

> Не знаю, почему так сложилось, но среди моих коллег/друзей/знакомых подавляющее большинство именно приверженцев такого же, как у Вас, *SDA*, подхода. И про всякие бэкапы, в т.ч. просто откаты, инкрементивные и т.д., они знают гораздо больше, чем про "личную гигиену" от *p2u*. Правда, программые средства для этого используются весьма различные. Мне даже кажется, что это довольно распространенная тенденция, имхо, для озабоченных некоторой собственной безопасностью, но ленивых в ней глубоко копать.


Единственный минус - это то, что пока сделаешь бекап (при подозрении, обнаружении зверька и соответственно заглючевшей системой)), зловред успеет похитить информацию. Поэтому антивирус, фаервол и обновления никто не отменял,особенно при наличии ценной информации (по крайней мере они зловреда и обнаружат  и предотвратят увод инфы), но бекап никто не отменял  :Smiley:  . 
В идеале это выглядит так:антивирус, фаервол обнаруживают зловреда, нейтрализуют (на мой взгляд это комбайн типа всевозможных Internet Security) и откат на заведомо чистый бекап, ведь система все равно скомпрометирована, даже при удачном удалении зловреда антивирусом.
Итог 10 минут бекапа и никаких проблем с лечением для обычного юзера.

----------


## Vadim Sterkin

*p2u*
Спасибо, что находите время на подробные ответы  :Smiley: 

Благодарю за разъяснения по CIS. Для меня действительно было очень странно услышать, что МС согласилась с отключением вторичного входа, тем самым подорвав всю свою концепцию работы под пользователем с ограниченными правами. Что же касается воплощения теоретических уязвимостей в практические, то у меня нет сомнений, что рано или поздно кто-то попытается это реализовать. О найденных Рутковска уязвимостях (привилегии процессов) я читал раньше, весьма внимательно, но я не обладаю достаточной экспертной базой по безопасности, хотя и понимаю, чем это может быть опасно. 

Относительно автоматического обновления мне не удалось найти статистики, которой я мог бы подтвердить свое предположение о том, что поддержание системы в актуальном состоянии позволяет обезопасить ее от большего кол-ва зловредов, чем отключение службы. Тут и МС не сможет никаких данных привести, потому что их отчеты по безопасности во многом построены на данных, собраных на основе анализа защитных механизмов, использующих автообновление :-/  И тем не менее, я сомневаюсь, что пользователи регулярно читают бюллетени безопасности, а потом бегут скачивать апдейты. У многих система так и останется непропатченной, несмотря на рекомендацию в книге.

Я, конечно, согласен с Олегом, что необязательно использовать хитрые уязвимости - пользователь сам аттач запустит... Что же касается W2k, забавно, но на работе у меня именно она и стоит, поскольку основное бизнес-приложение глючит под ХР. Конечно, ни о каком IE7 тут речи быть не может, равно как и об альтернативных браузерах. 




> Книга была написана для:
> * <...>
> * людей, которые НЕ ХОТЯТ отказаться от работы в учётке админа (а это большинство). Мы с Николаем даже не стали продробно описать возможностей работы под ограниченного пользователя - ещё обидятся..


Гм... в книге об этом не упоминается, если я ничего не пропустил. Это все-таки важный момент. К нему я вернусь чуть ниже  :Smiley: 




> Зачем тогда оставить открытым и незащищённым встроенного Админа (=рут), скажите?


А я и не говорил, что его нужно оставлять открытым и незащищенным. Я лишь сказал о том, что никто не запомнит 15-символьный сложный пароль. И вы сразу привели отличный контраргумент.



> Длинный пароль необзяательно сложный. Это может быть фраза какая-нибудь, например:
> Цитата:
> ПошёлТы,Блин,ЗнаешьКуда
> Крепкий пароль, кстати (23 знака). Жизнь не хватает, чтобы его взломать. Разве сложно выучить


Для меня это новостью не является, но для вашей целевой аудитории - вполне возможно. Сравните с рекомендациями, которые вы даете в книге. 



> Советы по созданию надежных паролей:
> 
> 1) Старайтесь не использовать никаких слов (ни русских, ни английских). Если бессмысленные сочетания знаков вам сложно запомнить, придумайте какое-нибудь слово сами.
> 
> 2) Используйте в пароле цифры. Желательно не одну и не две.
> 
> 3) Не записывайте пароли ни на каких бумажках для памяти. Нигде. Пароль должен храниться у вас в голове, потому что это единственное место, куда пока еще никто не имеет доступа, кроме вас.
> 
> 4) Создавайте длинный пароль (желательно 18 знаков или больше). Такой пароль нельзя взломать благодаря ошибке программистов Microsoft – он сохраняется как пароль нулевой длины.


Следуя пунктам 1,2,4, пользователь должен, не используя никаких слов, придумать слово, содержащее цифры и состоящее из 18 знаков. Я таких не знаю  :Smiley:  Вы согласны с тем, что эту рекомендацию можно облечь в более понятную форму, предложив использовать парольную фразу и продемонстировав эту идею на примере?

Спасибо за пример администрирования домашнего компьютера. Собственно, я и не говорил, что каждый пользователь домашнего компьютера должен знать пароль администратора. Изначально я даже написал "по кр. мере один обязан знать", но потом стер, решив, что это будет ясно из контекста. Ошибся, извините.




> Знаете почему? Когда что-то не работает, НЕ НАДО стать админом по всей системе! Единственное, что требуется: не лениться, и настроить разрешения на папку программы, которая неправильно работает -> дать право запись или полный доступ к этой папке, и всё заработает. Не лучше ли это, чем работать под админ, и получать полный доступ на ВСЮ систему, а?


Гм... я с вами согласен, но можно я этот вопрос вам адресую?  :Smiley:  Ведь вы же написали книгу для людей, которые не хотят отказываться от работы с правами админа... А теперь в этой дискуссии с жаром убеждаете меня в том, что лучше так не делать. И очень жаль, что вы решили, что читатели могут обидеться на предложение работать с ограниченными правами (я, видимо, не должен обижаться?  :Smiley: ). Ваши рекомендации помноженные на собственный опыт работы в таком режиме могли бы оказаться очень полезными. Но для этого пришлось бы рассматривать работу пользователем в Vista, что не то же самое, что работа пользователем в ХР. Как я говорил раньше, в книге различия между этими ОС фактически не делается. Я считаю такой подход слишком общим. По данным МС (Microsoft Security Intelligence Report) Vista подвергается заражениям значительно реже, чем XP (имеются в виду нормализованные данные). Конечно, к заявлениям МС можно относиться скептически, но демонстрировать их некорректность нужно с цифрами в руках.




> Ну, нашли на кого надеяться в области безопасности. Вчера опять 11 патчов выпустили. Сколько это ещё будет продолжаться? Не скажете?


Вопрос не по адресу, я даже не работаю в МС  :Smiley:  Что же касается рекомендаций производителя по работе с ОС вообще и обеспечения ее безопасности в частности, то я не могу согласиться с тем, что им не нужно следовать, только потому, что "их написал Билл Гейтс"  :Smiley:  Возьму Vista для примера. Ну какие там рекомендации? Поставьте антивирус (об этом система напомнит сама, если не отключить уведомления). Используйте антишпиона (защитник входит в комплект). Обновляйте ОС и ПО реуглярно (АО и так включено, обновит защитника и загрузит MSRT). Используйте защищенный режим ИЕ7 (нужен UAC). Работайте под ограниченным пользователем с UAC (да, раздражает жутко, простите уж, но безопасность улучшает). Можно высмеивать способности защитника или MSRT к выявлению шпионов, можно размазывать по стенке запросы UAC, можно не считать ИЕ7 за браузер. Можно указывать на многочисленные уязвимости. Оно все так. Но если человек следует этим нехитрым рекомендациям, то в форуме "ПОМОГИТЕ" вы его не увидите с большой вероятностью. Это я не в защиту ПО или ОС МС говорю. Речь исключительно о рекомендациях и следовании им. К этому я тоже вернусь в конце поста  :Smiley: 




> А что, это не состоятельный аргумент разве?


Состоятельный, но не имеющий отношения к предотвращению заражения. Я понимаю, это трудно признать...  :Wink: 




> Если хотите, оставьте себе эту ценную службу. Надеюсь, что она вас не подведёт когда действительно беда будет.  
> 
> Вы в качестве аргумента приводите часто то, настолько та или та служба полезная или удобная. Полезно для одного, ещё не полезно или нужно для другого. Если вы считаете, что полезности больше, чем опасности - оставьте всё как есть по умолчанию ДЛЯ СЕБЯ. Не беритесь, однако, советовать другим если речь идёт о вопросах безопасности если у вас нет точного основания.


Я считаю эту службу ценной не только для себя, но и для других пользователей. Ваше же рекомендации по ее отключению, приведенные в книге, я никак не могу назвать имеющими точное основание. И именно в этом заключается расхождение, которым вы поинтересовались.

Помимо безопасности есть еще понятие удобства работы в ОС, поэтому я использую его в качестве аргумента. Если рекомендация по безопасности создает пользователю значительные неудобства, она будет проигнорирована. Сюрприз? Вряд ли. Да, эксперт умывает руки - он же сказал, что нужно отключить вторичный вход и выходить из системы каждый раз для админ задач, вводя потом слово из 18 букво-цифр. А будет ли кто-то следовать рекомендации, его уже не особо волнует - главное, это "расставить грабли"?  :Smiley:  Поэтому я вижу задачу не в том, чтобы обезопасить домашнего пользователя любой ценой, а достичь необходимого баланса между удобством работы и безопасностью ОС, давая такие рекомендации, которым человек будет следовать. Такой подход, конечно, не обеспечивает абсолютную безопасность отдельно взятого компьютера (что, видимо, неприемлемо для эксперта по безопасности), но в общей массе он даст свои результаты.




> P.S.: Добавляю ещё, что Майкрософт на Висте изменила правила игры - там вам даже не удастся всё настроить, как вы хотите.


Это аргумент в пользу того, что информацию в книге нужно обновить?  :Smiley:  А что вы имеете в виду, говоря о невозможности настройки?

Как я уже сказал ранее, я сюда не ругаться пришел. Я создал дискуссию в надежде, что из нее выльется что-нибудь достойное внесения в книгу, делающее ее объективнее, понятнее, лучше... для читателя лучше. Я считаю, что некоторые комментарии в данной теме вполне удовлетворяют этой задаче. Вы хотя бы один такой видите? Если нет, то мы зря тратим время  :Smiley:  





> Выскажу свое небольшое мнение:
> Служба восстановления системы использовал давно, но именно из-за кривизны драйвера и какой то глюкнувшей игрушки, сейчас уже не помню. По поводу "Ведь не все же проблемы пользователей связаны с заражением - намного чаще проблема создана самим пользователем или установкой ПО/драйверов" согласен наполовину, насколько "чем заражение" неуверен, такой статистики нет.


Да, такой статистики нет  :Smiley:  Признаю некорректность заявления. Видимо, оно основано на том, что я на протяжении шести лет онлайн-помощи пользователям XP/Vista видел множество проблем, которые откат решил бы, но служба была отключена либо из соображений производительности, либо место на диске экономили. Насчет безопасности - не уверен... 

*All*
Спасибо, что принимаете участие в дискуссии. Конечно, интересно услышать мнения не только авторов книги, но и других участников форума  :Smiley:

----------


## XP user

> *p2u*Относительно автоматического обновления мне не удалось найти статистики, которой я мог бы подтвердить свое предположение о том, что поддержание системы в актуальном состоянии позволяет обезопасить ее от большего кол-ва зловредов, чем отключение службы. Тут и МС не сможет никаких данных привести, потому что их отчеты по безопасности во многом построены на данных, собраных на основе анализа защитных механизмов, использующих автообновление :-/  И тем не менее, я сомневаюсь, что пользователи регулярно читают бюллетени безопасности, а потом бегут скачивать апдейты. У многих система так и останется непропатченной, несмотря на рекомендацию в книге.


Не путайте, пожалуйста, одно с другим. Отключить эти службы ПО УМОЛЧАНИЮ не исключает обновление системы до актуального состояния!
Единственное, что требуется: раз в месяц (второй вторник - для нас вторую среду) поставить на 'Авто' (!) и включить BITS + Automatic Updates. Остальное время эти службы ничего не делают, кроме:
* Открыть порты
* Выполнить задачи по загрузке файлов для других (здесь я про BITS). Если вы отключаете одну службу, то тогда вы должны и отключить её 'дочь', иначе будут сбои в системе. Если уж о неудобствах говорим, то тогда это бывает весело; система загружена на 90% потому что Automatic Updates пытается включить BITS и расходывает на это очень много ресурсов, даже до такой степени, что вся система начинает тормозить... Вспомните, что я против самой службы Automatic Updates ничего не говорил!
* Как Олег уже говорил, ДРУГИЕ косят под эти службы. Если вы твёрдо знаете, что они отключены, и вы увидите что-то похоже на них в Диспетчере Задач, то тогда вы знаете, что у вас есть поблемы. Косвенно всё-таки связь есть с заражением. BITS - дура, может запросто выполнить приказ о загрузке новых зловредов когда у вас система уже заражена.

А теперь скажите, пожалуйста - целосообразно ли оставлять эти службы работать остальные 29/30 дней в месяце если они НИЧЕГО полезного не делают в это время?



> Следуя пунктам 1,2,4, пользователь должен, не используя никаких слов, придумать слово, содержащее цифры и состоящее из 18 знаков. Я таких не знаю  Вы согласны с тем, что эту рекомендацию можно облечь в более понятную форму, предложив использовать парольную фразу и продемонстировав эту идею на примере?


Да, я согласен; надо придумать примеры, да, и указать, что *фразы* более эффективны, чем какие-нибудь ничего не говорящие символы, которые можно ещё и забыть. Не должно быть слов из словаря, что избегать брут-атаки. Если выполнить эти указания, то тогда всё равно сложно не должно быть. Допустим:



> [email protected]$,$ucker


или по-русски:



> С03датьХ0р0ш1йПар0ль-сл0жн0?


о = 0
з = 3
и = 1
Требования выполнены. Так можно придумать свою систему. Самое главное - чтоб легко запоминалось.

(Офф-топ)
P.S.: Dr. Whitfield Diffie, начальник в Sun Microsystems знаете, что говорит?
Надо написать свой пароль на бумажку и сунуть себе в кошолёк - у вас кошолёк более надёжное место, чем ваш компьютер.  :Smiley: 
(Конец офф-топа)



> Спасибо за пример администрирования домашнего компьютера. Собственно, я и не говорил, что каждый пользователь домашнего компьютера должен знать пароль администратора. Изначально я даже написал "по кр. мере один обязан знать", но потом стер, решив, что это будет ясно из контекста. Ошибся, извините.


Вы лучше извините меня. Из-за того, что я пытаюсь писАть как можно грамотно на русском (чтобы слишком стыдно не было) я иногда забываю свою мысль. Здесь тоже неправильно выразил то, что хотел на самом деле сказать.



> Ведь вы же написали книгу для людей, которые не хотят отказываться от работы с правами админа... А теперь в этой дискуссии с жаром убеждаете меня в том, что лучше так не делать.


Знаете, когда вы сидите под ограчинного пользователя, то тогда и Книга не очень нужна на самом деле. Но я предпочитаю всё-таки смотреть как есть. Все знают, что не надо пьяным за за рулём сидеть, но некоторые вещи в поведении людей нельзя изменить. Я думаю, что если их не заставить, что они НЕ БУДУТ сидеть под простым юзером. В наших с вами интересах, пусть тогда хоть выполняют то, что описано. Спасёт их от заражения, и нас от атак с их компьютеров.



> И очень жаль, что вы решили, что читатели могут обидеться на предложение работать с ограниченными правами (я, видимо, не должен обижаться? ).


Я поставил смайлик. Я думал, что будет ясно, что я шучу...



> Ваши рекомендации помноженные на собственный опыт работы в таком режиме могли бы оказаться очень полезными.


Может быть, но надо делать выбор. Слишком много материала предлагать тоже не имеет смысла. Так уже целая Библия.  :Smiley:  



> Но для этого пришлось бы рассматривать работу пользователем в Vista, что не то же самое, что работа пользователем в ХР. Как я говорил раньше, в книге различия между этими ОС фактически не делается. Я считаю такой подход слишком общим.


Согласен. Акцент сделан на XP. Когда она была написана, про Висту было очень мало данных. Поэтому надо бы 'ДО Висты' понимать как 'Не включая Висту'... 



> По данным МС (Microsoft Security Intelligence Report) Vista подвергается заражениям значительно реже, чем XP (имеются в виду нормализованные данные). Конечно, к заявлениям МС можно относиться скептически, но демонстрировать их некорректность нужно с цифрами в руках.


There are lies, damned lies, and statistics. (c)
Будьте начеку, когда Майкрософт или Индустрия Компьютерной Безопасности начинают привести цифры и статисткику, всегда! Обычно преследуются маркетинговые цели. Пользователи, которые сейчас сидят на Висте - Бэта-тестеры, не больше. Win-7 уже за углом; Висту сама Майкрософт скоро оставит. Она выполняет такую же функцию, как тогда Millenium.
Не отрицаю пока данных, но это из-за менее популярности этой системы. Ещё раз говорю, что Майкрософт считала, что Vista un-hackable. Когда она говорит одно, всегда получается совсем другое. Линуксоиды же тоже говорят, что Линукс ГОРАЗДО безопаснее, чем Windows. Как только Линукс станет более популярным, ещё увидим...  :Smiley: 



> можно размазывать по стенке запросы UAC


Майкрософт уже переписывает UAC для Win-7. Знаете почему? А потому что слишком многие юзеры (включая профессиональные АДМИНИСТРАТОРЫ?!?) разрешают всё, что угодно, либо из-за того, что алерт не поняли, либо из-за усталости от этих алертов:
Microsoft Kind Of Promises To Fix UAC



> Microsoft has also acknowledged that the all-pervasive nature of UAC might be counter-productive:
> We are seeing consumer administrators approving 89% of prompts in Vista and 91% in SP1. We are obviously concerned users are responding out of habit due to the large number of prompts rather than focusing on the critical prompts and making confident decisions.





> Помимо безопасности есть еще понятие удобства работы в ОС, поэтому я использую его в качестве аргумента.


У меня ответ на это очень простой - 'удобства', предлагаемые Майкрософтом и безопасность редко сочетаются - история это доказала и доказывает постоянно. Они скорее всего друг друга исключают в большинстве случаев. Именно из-за принципов удобства все эти проблемы начались. Атакуются именно настройки по умолчанию. Майкрософт же сама хочет, чтобы удобно было; тогда продажи больше будет. Но хакеры тоже знают это. Для того, чтобы атака оплачивалась, надо, чтобы побольше жертв было. Значит - надо атаковать настройки 'удобсвта'. 



> Это аргумент в пользу того, что информацию в книге нужно обновить?  А что вы имеете в виду, говоря о невозможности настройки?


Книгу надо дополнить, да. Лишь бы время найти на это.
Невозможность настройки:
1) Попробуйте на Висте отключить Windows Defender (несовместим со многими программами защиты) так, чтобы не было раздражающих алертов о том, что он не запущен, и так, чтобы в системном журнале не было единной записи об ошибках.
P.S.: Это на самом деле ещё возможно, но это уже нелегко.
2) Загрузите TCPView и посмотрите что там творится с портами на Висте. Теперь попробуйте закрыть на Висту все порты, которые стоят на 'LISTENING' ('вороты' к вашему компу, то есть, готовые принимать незапрашиваемый трафик). На XP можно этого добиться. На Висте это вам НЕ удастся. Даже IE стоит на 'LISTENING'. Firewall от этого не может защищать - вы сами создали дыры в нём (вернее, это Майкрософт сделала 'для вашего же удобства' видимо). В результате смогли хакнуть Висту, потому что Флеш плеер в нём построен, и тоже 'слушает' (то есть - принимает незапрашиваемые данные). Это тем более грустно из-за тенденции вендеров продуктов безопасности создать огромные базы 'доверенных' приложений (тоже для удобства, прошу заметить). Удобно, - да. Безопасно, - нет.



> Вы хотя бы один такой видите? Если нет, то мы зря тратим время


Зря время не тратим - надо дополнить и доработать Книгу, это правда. Скоро уже новая ОС будет, и информация будет уже не соответствовать. Возможно лучше бы издать Книги про XP, Vista, Win-7 отдельно. 

То, что Николай Головко сделал для русскоязычных пользователей в развитии представления о *реальных* принципах безопасности в XP   (в отличия от того, что обычно предлагается) - БЕСЦЕННО.

Paul

----------


## NickGolovko

То, что *p2u и Николай Головко* сделали для русскоязычных пользователей в развитии представления о реальных принципах безопасности в XP (в отличия от того, что обычно предлагается) - БЕСЦЕННО.

 :Smiley: 

Я скорее автор-составитель и литературный редактор, чем создатель всей совокупности советов, изложенных в книге. Просто они давно требовали интеграции и каталогизации.  :Smiley:

----------


## Geser

> 


А я не сказал что в книге этого не хватает. Книга, несомненно, полезна для продвинитого пользователя. Но рядового пользователя, который использует компьютер в основном для сёрфинга в интернете и скачивания музыки/фильмов она скорее напугает. Рядовому пользователю нужны советы как включить автообновление, как включить встроенный брандмауер, как сделать что бы при этом работал осёл, торрент и т.п. Где скачать альтернативный браузер и как его установить в картинках. Где проверить подозрительные файлы и т.п.

----------


## priv8v

кстати, почему делается такой упор на сложность и длину пароля администратора?..
Считаю, что это неактуально для домашнего ПК. В принципе, хватит и обычного пароля - знаков 8 - стандартный пароль - какое-то близкое слово + обвески из цифр (префиксы разные  и т.д). 

Т.е - если ставим пароль против зловреда - то зловред, тянущий пароль админа - очень редок (я не встречал троя, тянущего пароль админа на ХР). 
Возможно, что Олегу встречались такие трои. Надо спросить. 

Если же злоумышленник получит физический доступ на долгое время к ПК - то ему, в принципе, будет все равно какой длинны там пароль - 9 там знаков нормальных или 15.

----------


## XP user

> кстати, почему делается такой упор на сложность и длину пароля администратора?..


Как известно, крэкеры не взламывают сам пароль, а его хэш. Я не знаю, как сейчас на Висте, но XP храняет LM хэш пароля, 15 знаков или длинее как


```
AAD3B435B51404EEAAD3B435B51404EE
```

= null session. Это такая своеобразная ошибка в коде Windows XP. То есть - область пароля - пустой. Но так как пароль на самом деле НЕ пустой, нельзя будет взламывать этот хэш, даже если у вас физический доступ.

Paul

----------


## priv8v

Паул, имхо, это не важно - будет долгий физический доступ к ПК - пароль админа совсем не нужен.

----------


## XP user

> Паул, имхо, это не важно - будет долгий физический доступ к ПК - пароль админа совсем не нужен.


Это понятно, но защита этой учётной записи крепким паролем + переименованием всё равно имеет смысл на практике, хотя бы в качестве дополнительного препятствия.

Paul

----------


## priv8v

препятствия к чему?..
нужно определится какая задача у злоумышленника, который получил физический доступ к ПК. 
 :Smiley:

----------


## Зайцев Олег

> Это понятно, но защита этой учётной записи крепким паролем + переименованием всё равно имеет смысл на практике, хотя бы в качестве дополнительного препятствия.
> 
> Paul


Если в политиках безопасности запретить сетевой коннект под именем админских учетных записей + удалить протокол MS из сетевого подключения, связывающего ПК с Инет, то можно админу задать пустой пароль или скажем 123 - и ничего страшного не будет  :Smiley:

----------


## XP user

> препятствия к чему?..
> нужно определится какая задача у злоумышленника, который получил физический доступ к ПК.


Это выходит за рамки данного топика, и мы ещё рискуем здесь обсудить запрещённые правилами форума темы. Поэтому ограничиваюсь следующем: самая главная его задача, что бы он ни делал на данном компьютере - не оставлять следов. Чем больше ловушек поставлены...  :Smiley: 

Paul

----------


## priv8v

Паул, Вы уходите не туда  :Smiley: 
От кого мне защищать свой домашний ПК 15-значным паролем крутой криптостойкости ?)  :Smiley: 
От родных? они не смогут ломать обычный 8-значный + надо имя админа знать.
От злоумышленника? если он просто стырит мой компьютер/хард/получит к компу доступ на пару дней и будет иметь на руках все инструменты... - то тоже не спасет. Вывод: от кого спасаемся???..

Утилит при физ.доступе к ПК для работе с SAM файлом - куча. (сброс пароля, брут пароля, замена пароля и т.д и т.п)
И смотря что нужно злоумышленнику?.. если ему нужен важный документ лежащий на харде - то на пароль админа - ему "по-барабану".

----------


## XP user

> Паул, Вы уходите не туда 
> От кого мне защищать свой домашний ПК 15-значным паролем крутой криптостойкости ?) 
> От родных? они не смогут ломать обычный 8-значный + надо имя админа знать.
> От злоумышленника? если он просто стырит мой компьютер/хард/получит к компу доступ на пару дней и будет иметь на руках все инструменты... - то тоже не спасет. Вывод: от кого спасаемся???..


Я защищаю свой комп, например, где лежат ОЧЕНЬ важные, конфиденциальные вещи, от друзей-умников своего сына, которые приходят сюда и хотят показать какие они крутые. Бэк-ап есть, дело не в этом, но комп мой - я хозяин, и всё. Могу с радостью сообщить, что никому до сих пор не удалось что-нибудь сделать на уровне админа, и что все попытки что-нибудь такое предпринимать у меня регистрируются. Именно поэтому и знаю. Чёрные ходы естественно заблокировал. У меня увлечение как раз Computer Forensics, то есть - исследование компов после преступления.  :Smiley: 




> Утилит при физ.доступе к ПК для работе с SAM файлом - куча. (сброс пароля, брут пароля, замена пароля и т.д и т.п)


У вас слабое преставление о предмете если честно. Только халтурщик так работает...  :Smiley: 

Paul

----------


## priv8v

Паул, смотря, что нужно. Я привел лишь один пример для чего нужен пароль админа/и для чего он не нужен. И один пример как от пароля избавиться. 

Пример более конкретный: вы даете мне свои важные данне в архиве что бы я их тоже хранил на своем коме (раз в неделю открывал архив - смотрел на данные, любовался бы ими и закрывал архив). Для защиты этих данных от разных друзей-умников вашего сына я поставил на админскую учетку (переименовал ее при этом) очень крутой пароль - 15 знаков разных регистров, разных языков, цифры, буквы, символы. ... 
Когда я возвращался с работы с хардом за пазухой на меня напали киллеры (нанятые друзьями-умниками ...), избили меня, отняли хард. 

И как эти важные данные защитит мой крутой пароль :Smiley: 
?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> избили меня, отняли хард.


Ну если так - пусть тогда и увезут сам процессор - не такой уж тяжёлый...  :Cheesy:   :Cheesy:   :Cheesy: 

Paul

----------


## SDA

Paul, сыну надо выделить отдельный комп, чтобы он там экспирементировал   :Smiley: 
У меня дочь использует комп только чтобы послушать музыку, изредка скачать реферат, болтать в аське и на личной страничке на мейле  :Smiley:  к остальному - игры, чат, качание всяких файлов и т.д. совершенно равнодушна, к моему счастью.

----------


## priv8v

иными словами никто не спорит, что ставить 15-значный сложный пароль на учетку админа на домашнем ПК нерационально ?))

----------


## ananas

> отняли хард


По всей видимости, имеется ввиду следующее, имхо. В этом "жестком" случае данные будут явно скомпрометированы, и владелец их может изменить/отменить и т.д. А настоящее искусство шпиона/разведчика - не только получить доступ, но и сделать это незамеченным, замести следы и не допустить возможности возникновения у владельца сомнений в компрометации.

----------


## XP user

> иными словами никто не спорит, что ставить 15-значный сложный пароль на учетку админа на домашнем ПК нерационально ?))


Спорю. Рационально. От хакеров-профессионалов это, конечно же, не защищает, но если вы дома занимаетесь бухгалтерским делом, допустим (у меня есть такие ученики по английскому), почему бы не перестраховаться от того, что кто-то, который не имеет права на это хочет изменить настройки на уровне админа?



> По всей видимости, имеется ввиду следующее, имхо. В этом "жестком" случае данные будут явно скомпрометированы, и владелец их может изменить/отменить и т.д. А настоящее искусство шпиона/разведчика - не только получить доступ, но и сделать это незамеченным, замести следы и не допустить возможности возникновения у владельца сомнений в компрометации.


Вы всё правильно поняли.

Paul

----------


## priv8v

> По всей видимости, имеется ввиду следующее, имхо. В этом "жестком" случае данные будут явно скомпрометированы, и владелец их может изменить/отменить и т.д. А настоящее искусство шпиона/разведчика - не только получить доступ, но и сделать это незамеченным, замести следы и не допустить возможности возникновения у владельца сомнений в компрометации.


я не говорю о скрытии следов и о незаметном проникновении - речь идет о том, от КОГО защищает пятнадцатизначный сложный пароль. Мне так и не сказали до сих пор от кого он защитит лучше чем относительно сложный восьмизначный.  :Smiley: 
Я же в свою очередь привел уже кучу примеров :Wink: 





> почему бы не перестраховаться от того, что кто-то, который не имеет права на это хочет изменить настройки на уровне админа?


пример в студию!
какой доступ имеет к кому этот "кто-то" ?
говорите конкретнее. т.е я, к примеру занимаюсь бух делами за своим домашним ПК. есть "кто-то", кто имеет кратковременный доступ к моему ПК и хочет что-то поменять в настройках системы и для этого ему нужны права админа?.. а чем ему в этом пятнадцатизначный пароль сложный будет мешать больше чем относительно сложный восьмизначный? чем?

----------


## Alex Plutoff

> ... От хакеров-профессионалов это, конечно же, не защищает, но если вы дома занимаетесь бухгалтерским делом, допустим (у меня есть такие ученики по английскому), почему бы не перестраховаться от того, что кто-то, который не имеет права на это хочет изменить настройки на уровне админа? ...


-им определённо нужно обзавестись устройством биометрической аутентификации...  :Wink:

----------


## XP user

> а чем ему в этом пятнадцатизначный пароль сложный будет мешать больше чем относительно сложный восьмизначный? чем?


Это из-за того, как работает LM Hash. На самом деле у вас не 8 знаков, а всего 2 куска хеша (7+1). Хэш этот взломается за несколько секунд. Когда вы делаете пароль 15 знаков или больше, эта система разрушается. Политики Windows XP не поддерживают паролей длиннее 14 знаков. Я думаю, что удачная ошибка в сохранении хеша как null session именно из-за этого. Если у вас хеша нет, знаете, сколько вы будете сидеть, чтобы взломать пароль длинной 15 знаков или больше? 

Paul

----------


## priv8v

Паул, не надо мне рассказывать про лм хэши - про это на каждом углу написано.  :Smiley: 

Раз вы заговорили про брут пароля при наличии на руках хэша, то значит, вы подразумеваете, что злоумышленник имеет физический доступ к ПК и у него ДОСТАТОЧНО времени - т.е по времени он неограничен. Так зачем ему брутить мой сложный пятнадцатизначный пароль если есть другие способы ?..
или перед нами хакер-извращенец, который идет самым сложным и долгим путем?)

"Нормальные герои всегда идут в обход"  :Smiley: 

PS: и вы до сих пор не сформировали мысль от кого именно и что именно мы защищаем установкой такого крутого пароля  :Wink:

----------


## Alex Plutoff

> я не говорю о скрытии следов и о незаметном проникновении - речь идет о том, от КОГО защищает пятнадцатизначный сложный пароль. Мне так и не сказали до сих пор от кого он защитит лучше чем относительно сложный восьмизначный. 
> ...


-относительно несложные расчёты, говорят нам, что число вариантов для 8-ми символьного пароля, состоящего из цифр, букв и символов(всего 72 символа) стремится к величине 7,22204E+14 
-если такой пароль ломать методом перебора, то времени понадобиться оОо-чень много... но ведь нужно учитывать и фактор случайного попадания, в этом случае всё зависит от везения гадальщика  :Smiley:

----------


## XP user

> Раз вы заговорили про брут пароля при наличии на руках хэша, то значит, вы подразумеваете, что злоумышленник имеет физический доступ к ПК и у него ДОСТАТОЧНО времени - т.е по времени он неограничен. Так зачем ему брутить мой сложный пятнадцатизначный пароль если есть другие способы ?..
> или перед нами хакер-извращенец, который идет самым сложным и долгим путем?)
> 
> "Нормальные герои всегда идут в обход"


Если хэш есть - работа несколько секунд взломать пароль из 8 знаков.
На взлом пароля 15 знаков или больше ему без хеша жизнь не хватает. 
Моя цель только одна - пусть пытаются красть или просматривать всё, что угодно; я буду об этом знать.  :Smiley: 



> PS: и вы до сих пор не сформировали мысль от кого именно и что именно мы защищаем установкой такого крутого пароля


Каждый для себя определяет от кого он что защищает, и нужно ли это ему. Свои соображения я недвусмысленно описал.

Paul

----------


## priv8v

Паул, такое ощущение, что мы не понимаем друг друга - вы говорите про одно - я говорю совершенно про другое. 
Я говорю, что очень сложно представить себе такую ситуацию, в которой 8-значный пароль на учетку админа будет защищать лучше чем крутой 15-значный. (что-бы придумать такую ситуацию нужно обговорить кучу моментов - их одновременное совпадение практически нереально - поэтому выше я и упоминал слово "нерационально". т.е нужно договориться о: 
 * кол-ве времени доступа к ПК
 * о наличии инструментов у хакера
 * о целях (достать инфу/просто войти под админом/изменить системные настройки/запороть систему...)
 * о методах (какие можно применять, а какие нет)
 * разрешается или нет оставлять следы
 * и т.д

Взгляните сколько нужно обсудить, что бы придумать нормальный пример. Теперь понятна суть спора?)

Т.е мы с Паулем говорим вообще про разное - он представляет себе одну ситуацию с набором определенных выполненных условий, которые я перечислил выше - а я другую.

----------


## XP user

@ *priv8v* 

Меня лично все эти условия не интересуют, так как они теоретические - я беру для себя только лучшие из мне известных методов защиты. 
Если вы поставите себе программу защиты, то тогда вы тоже исходите из самых худщих вариантов, не так? 'Неубиваемые руткиты, которые пытаются убить ваш антивирус, или файрвол' - хотя это, возможно, тоже нерационально, нереалистично и неоправданно. На основании этого вы выбираете продукт. Поэтому - в сфере безопасности вы выбираете максимально эффективные меры, даже если менее жёсткие меры тоже защищают.

Paul

----------


## ananas

Скажите пожалуйста, эксперты, а что защитит от такой, к примеру, флешки?

----------


## XP user

> Скажите пожалуйста, эксперты, а что защитит от такой, к примеру, флешки?


От reset естественно ничего не защищает, особенно если тулза читает Идентификатор админа, а не его имя - о таких методах *priv8v* уже говорил.

Paul

----------


## NRA

насколько я понимаю, дискета/флешка сброса пароля действительна только для той системы, на которой она была создана

а об "универсальных" ещё не слышал (кроме ERDc)

может хэш перенесённый через syskey поможет?

----------


## XP user

> насколько я понимаю, дискета/флешка сброса пароля действительна только для той системы, на которой она была создана


Это в руках добрых людей, да. Но есть, естественно, инструменты для недобрых людей, которые умеют делать тоже самое без каких-либо ограничений.  :Smiley: 

Paul

----------


## priv8v

> я беру для себя только лучшие из мне известных методов защиты. Если вы поставите себе программу защиты, то тогда вы тоже исходите из самых худщих вариантов, не так?


с этого и надо было начинать. т.к мы смотрим на это дело с разных точек :Smiley:

----------


## ALEX(XX)

> Чёрные ходы естественно заблокировал.


  :Cool:  Прикольно. Поделитесь в ЛС ходами?

----------


## Vadim Sterkin

*p2u*
Ок, хорошо, что мы сходимся в том, что книгу _можно_ улучшить  :Smiley:  Признателен за содержательные ответы.

Мне прекрасно известно расписание выхода обновлений МС - я на протяжении достаточно длительного времени вел список обновлений pre-SP3, после чего забросил это дело, ибо давно работал в Vista. Но опять же, те инструкции по включению служб, которые вы даете в сообщении, можно прямо так в книгу и вставлять. Читателю будет понятно, что именно нужно сделать для проверки обновлений. В текущем варианте это не так очевидно. Можно пойти дальше и написать батник, но это уже может быть сложно, в зависимости от целевой аудитории.

С работой под ограниченным пользователем против работы под админом понятно. Я в курсе, что работа под админом - общепринятая практика. МС сама виновата в этом - так проектировали NT-системы, но в Vista уже сделаны позитивные шаги в этом направлении. Да, как всегда через... UAC  :Smiley:  Но все же... под ним можно работать (если все настроено и весь софт установлен  :Smiley: ), и вам было бы даже проще, раз вы под ограниченным пользователем в ХР работаете. А кому, как не экспертам по безопасности продвигать более безопасные концепции работы с ОС? 

Что же касается статистики, то я не питаю иллюзий по поводу того, какой лживой она может быть. И тем не менее, я не считаю, что Microsoft Security Intelligence Report является маркетинговым средством. Да, выдержки из него могут использовать маркетологи, но в целом он предназначен для специалистов. Фактически МС собирает информацию для улучшения собственных сервисов и ПО. Поскольку компании очень не нравится образ "дырявой винды", она за последние годы выпустила несколько продуктов, нацеленных на предотвращение заражений и/или устранение их последствий. Статистика собирается на основе работы защитника и MSRT, например. А потом компания анализирует ее и делится результатами с общественностью. Конечно, нельзя исключить возможность подтасовки цифр, но... попасться на этом будет стоит очень дорого, а от утечек информации никто не застрахован. Если сравнивать защитные механизмы Vista и XP (пусть даже только видимые для пользователя), преимущество более новой системы весьма заметно. Поэтому когда в отчете говорится, что количество заражений в Vista в 2.8 раза ниже чем в XP SP2 (данные собирались до выходов последних SP), меня это не удивляет. Можно ставить под сомнение конкретную цифру, но сути это не изменит. 

Я не могу согласиться с тем, что Vista - переходная ОС, как Me. Просто так получилось, слишком долго разрабатывали. Да, 7 относительно скоро выйдет, но и ХР после 2к вышла с относительно небольшим разрывом, что ознаменовало пересаживание домашних пользователей на NT-систему. 7 во многом будет основана на Vista - скорее, это будет работа над ошибками  :Smiley:  Я понимаю, почему вы не очень хотите тратить время на описание Vista, но на 7 тоже не все сразу пересядут. Начнутся обычные разговоры на тему "сырая, дырявая, подожду СП1". 

Я знаю, что UAC перерабатывают... Я дважды лично общался с командой разработчиков на саммитах ("несчастные" люди, на них сыпется больше всего шишек  :Smiley: ), но ничего нового я им сообщить не мог. Они и так прекрасно осведомлены, что кол-во запросов отталкивающе велико - люди отключают систему безопасности, которая позиционировалась, как одна из наиболее значимых в новой ОС. Они, между прочим, что-то там подкрутили в SP1, уменьшив кол-во запросов в некоторых сценариях, но это слишком незначительная доработка. Все основные силы брошены на 7, и не только в плане UAC. 

Поэтому если говорить о книге, то, возможно, будет иметь смысл сделать отсечку на XP, а Vista / 7 уже рассматривать в качестве следующего поколения, но не думаю, что по отдельности. Я не оспариваю полезность книги - я сразу об этом сказал в первом посте, и это была не дежурная фраза. Если человек будет следовать рекомендациям, у него будет очень безопасная система (хотя и неудобная  :Smiley: ). В ней много общих советов, которые применимы к работе в любой NT-системе. Однако, после почти двух лет работы в Vista, мне странно видеть, как рекомендации по XP автоматически переносятся на следующую ОС. Отсюда и поднятое обсуждение.




> То, что Николай Головко сделал для русскоязычных пользователей в развитии представления о реальных принципах безопасности в XP (в отличия от того, что обычно предлагается) - БЕСЦЕННО.


Нисколько не оспариваю этот факт. Я с огромным уважением отношусь к людям, которые делятся своим знанием с другими. Однако, Николай, явно читающий тему, ни как не прокомментировал ни один из моих постов... Даже не знаю, что и думать  :Smiley:  

Попробую подвести промежуточный итог тех вопросов по откл. служб, которые я поднимал. Конечно, излагаю _свою_ позицию по ним (и в конктесте Vista, поскольку я все-таки с этой колокольни смотрел). Уверен, что меня поправят в случае фактических ошибок  :Wink: 

*Вторичный вход в систему* 
Рекомендация, теоретически повышающая безопасность компьютера, согласен. На практике же, если работа ведется с правами админа (большая часть целевой аудитории книги), фактически не нужна. Если же работа ведется под ограниченным пользователем, создает определенные неудобства в работе и, возможно, будет таким пользователем проигнорирована. Короче говоря, рекомендация для людей, крайне озабоченных безопасностью компьютера.

*Служба восстановления системы* 
Отключение не повышает безопасность компьютера, а лишь упрощает устранение последствий заражения. Однако лишает пользователя механизма отката к работоспособному состоянию системы в случаях, не связанных заражениям. Механизма неидеального, не являющегося заменой бэкапа образами, но работоспособного в тех случаях, для которых он предназначен - драйверы, ПО, твики.

*Служба индексирования*
В контексте ХР с рекомендацией согласен. В контексте Vista - уязвимостей не продемонстрировано, а заявления о том, что без индекса скорость поиска не снижается, неприменимы ввиду различия поисковых механизмов двух ОС.

*Автоматическое обновление* 
С аргументацией по поводу уязвимостей BITS, нбх для работы АО, согласен. Однако не убежден, что наличие включенной BITS потенциально опаснее работы в непропатченной системе. Признаю, что в книге нстоятельно рекомендуется включать обновление ежемесячно, но акцента на том, что включать нужно еще и BITS, не сделано. Продолжаю считать, что эта рекомендация для очень ответственных и организованных пользователей  :Smiley:  По этому поводу, видимо, каждый останется "при своих", поскольку статистических данных найти невозможно, а рекомендации экспертов по безопасности нацелены на обеспечение как можно более полной безопасности отдельно взятого компьютера, но не снижения общего количества заражений огромного числа компьютеров. В плане использования АО, по рез-татам опроса вырисовывается небольшая, но интересная статистика в зависимости от используемой ОС. Но хотелось бы увидеть побольше голосов, так что пока не буду ее приводить.

*MDM*
Изначально я не поднимал вопрос о ней, т.к. согласен с тем, что служба попросту не нужна подавл. большинству пользователей. Когда всплыл вопрос об обосновании в плане безопасности, согласился с аргументацией, которой не было в книге. 


*All*
Похоже, что обсуждение вопроса переименования встроенной учетной записи, а заодно и длины пароля, достойно отдельной большой темы  :Smiley:  Возможно, такие уже есть... это уже к модераторам. Мне кажется, что этот вопрос больше актуален для любой корпоративной среды, чем для среднего домашнего пользователя... На эту тему, кстати, есть очень интересная статья Великий спор: безопасность через маскировку.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> И тем не менее, я не считаю, что Microsoft Security Intelligence Report является маркетинговым средством.


Если вас интересует его реальная ценность для безопасности:
В США не только люди тестируются на IQ, но и системы, политики всякие, и т.д. Отчёт от Майкрософта получил очень низкий бал по данным параметрам - там одна большая 'дымовая завеса'. Статья - РАЗРУШИТЕЛЬНА для имиджа Майкрософта в качестве хозяина нашей с вами безопасности!
Наслаждайтесь (к сожалению на английском):
Microsoft Security Intelligence Report scores low IQ 

*= = = = = = = = = = = = =* Офф-топ, Vadim Sterkin это знает, но некоторым будет очень интересно




> *Подключ: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
> Параметр: DontReportInfectionInformation
> Тип: REG_DWORD
> Значение: 1*


Может кому-то годится - так можно предотвращать передачу данных в Майкрософт если вы не хотите участвовать *невольно* в сборе инфы по никому неизвестным параметрам. Если вы свято верите, что это всё делается для нашего же блага, то тогда можно не напрягаться. Может быть стоит это тоже добавить в Книге, а?  :Wink: 

Раздел 'MRT', естественно, не существует - его надо создать вручную в дереве слева. Выделим раздел 'Microsoft', правой кнопкой мыши - выбрать 'Создать Раздел'. Введём 'MRT' (без кавычек) и нажимаем 'Enter'.
Параметр DWORD: 'DontReportInfectionInformation' создаётся в окне справа (Правой кнопкой мыши на любое свободное места в окне - выбрать 'Создать Параметр DWORD'). В окошке 'Название' ввести 'DontReportInfectionInformation' (без кавычек), 'Значение' задать '1' (без кавычек). Нажимаем 'Enter' и... 'Власть народу!'  Выглядит это так:



Хотя новый раздел при создании стоит в конце раздела, как только вы закрываете редактор реестра и снова открываете его, MRT будет уже стоять за Messenger'ом (то есть - автоматически по алфавиту встроется).

Происходит эта передача данных для Microsoft Security Intelligence Report во время.... Автоматического Обновления Windows. (Вы ещё не передумали оставить эту службу на 'Авто' каждый день? Вместе со службой 'Индексирование' это у Майкрософта очень мощный инструмент для сбора чёрт знает чего...  :Wink: )
_Вы не замечаете сбор и отправку данных, и ваши программы по 'защите от похищения данных' тем более..._ 

Это так в XP. Что в Висте ещё встроили - это уже не ко мне...  :Wink: 

P.S.: Любопытная подробность состоит в том, что MRT ещё расшифруется как Mission Readiness Test, система отслежки, которая используется 'органами' США, но клянусь, это чистое совпадение... 

*= = = = = = = = = = = = =* Конец Офф-топа




> Я не могу согласиться с тем, что Vista - переходная ОС, как Me.


На самом деле я действительно так думаю. Единственные, которые не будут иметь свободу выбора - те, которые хотят купить себе новую железу. Там же предустановлена Виста. Вот в чём часть ложного впечатления в цифрах о продаже и популярности данной ОС. Количество пользователей, которые решают на даунгрейд (то есть - шаг назад на XP) - выше, чем вы себе представляете. Естественно внимание уже не будет пристальным к Висте со стороны Майкрософта раз они уже начала с Win7. Это плохой знак, и я не стал бы покупать такую ОС.



> Если человек будет следовать рекомендациям, у него будет очень безопасная система (хотя и неудобная ).


Дело вкуса. Никто из моих не жалуется на неудобство, серьёзно.  :Smiley: 



> Однако, Николай, явно читающий тему, ни как не прокомментировал ни один из моих постов... Даже не знаю, что и думать


Я более, чем уверен, что он обдумывает свой ответ до того, как его опубликовать, и может быть он доволен тем, как сейчас обсуждение идёт. Он очень занятой молодой человек, у которого и здесь много административных дел. Участвовать в споре в разных темах ему часто некогда. Если он вам явно ничего ещё не писал, значит - вы его не обидели. 


По отключению служб - там, где вы приводите аргумент 'неудобство' - я лично не согласен. Вам так кажется. Для того, чтобы оценить насколько на практике реально неудобно, вы должны сначала некоторые время так работать. Потом ещё поговорим. Повторяю - от тех, у которых я систему так настроил, жалоб до сих пор НЕ поступило...  :Smiley: 




> На эту тему, кстати, есть очень интересная статья Великий спор: безопасность через маскировку.


Спасибо за действительно очень интересную ссылку.  :Smiley: 

Paul

----------


## Alex Plutoff

> ...Происходит эта передача данных для Microsoft Security Intelligence Report во время.... Автоматического Обновления Windows. (Вы ещё не передумали оставить эту службу на 'Авто' каждый день? Вместе со службой 'Индексирование' это у Майкрософта очень мощный инструмент для сбора чёрт знает чего... )
> _Вы не замечаете сбор и отправку данных, и ваши программы по 'защите от похищения данных' тем более..._
> 
> Paul


-не вижу ощутимой разницы между способами запуска системной службы Автоматического Обновления Windows, Automatic or Manual, ведь передача данных для Microsoft Security Intelligence Report будет иметь место в любом случае... с той лишь разницей, что в первом случае инфа передаётся в день по чайной ложке, а во втором - раз в месяц... в результате  Майкрософт всё равно получит то что хочет... иначе автоматически получить обновлений не даст  :Wink: 
-а вот идея с новым разделом 'MRT', мне кажется интересной... не уверен
только что это сработает на Vista... нужно будет пробовать

----------


## XP user

> ведь передача данных для Microsoft Security Intelligence Report будет иметь место в любом случае... с той лишь разницей, что в первом случае инфа передаётся в день по чайной ложке, а во втором - раз в месяц... в результате  Майкрософт всё равно получит то что хочет... иначе автоматически получить обновлений не даст


Делайте как я - обновляйте вручную с технета. В каждом бюллетене даются ссылки. Там можно загрузить обновления с двух источников - страница для Home User и страница для IT Professional. Я делаю вид, что я - IT Professional, и скачаю оттуда. Проблем ещё не было...  :Smiley: 

Paul

----------


## NRA

ИТОГО:
штатными средствами нельзя защититься от угроз, можно только уменьшить риск через ЛикБез, что в общем и является целью наших авторов-экспертов

В споре рождается Истина... или оффтоп  :Wink:

----------


## XP user

> -а вот идея с новым разделом 'MRT', мне кажется интересной... не уверен
> только что это сработает на Vista... нужно будет пробовать


Работает. Только что узнал у своих американских коллег.



> можно только уменьшить риск через ЛикБез


'Только' это много сказано, но вообще: +1  :Smiley: 

Paul

----------


## Alex Plutoff

> Делайте как я - обновляйте вручную с технета. В каждом бюллетене даются ссылки. Там можно загрузить обновления с двух источников - страница для Home User и страница для IT Professional. Я делаю вид, что я - IT Professional, и скачаю оттуда. Проблем ещё не было... 
> 
> Paul


-мы ведь говорим не о нас с вами, а об рядовом среднестатистическом пользователе, или нет?..  :Smiley: 
-если да, то такой способ поддержания ОС в актуальном состоянии может оказаться трудно реализуемым для рядового пользователя... следовательно, очень субъективным, поскольку является, уместным и приемлемым для одного пользователя, и в тоже время, может быть совершенно НЕуместным и абсолютно НЕприемлемым для другого... в общем случае не релевантным

----------


## XP user

> -мы ведь говорим не о нас с вами, а об рядовом среднестатистическом пользователе, или нет?.. 
> -если да, то такой способ поддержания ОС в актуальном состоянии может оказаться трудно реализуемым для рядового пользователя...


Вы, естественно - правы (я сказал бы - как всегда  :Wink: )
Стоит добавить в книгу инфу о том, чтобы по крайне мере добавили этот ключ - возможно надо даже дать им рег файл...


```
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT]
"DontReportInfectionInformation"=dword:00000001
```

Paul

----------


## Зайцев Олег

Злостный оффтоп: я вот читаю обсуждение и все больше прихожу к выводу, что должно быть как минимум два уровня:
1. Книга - для продвинутых юзеров, желающих прочитать, понять, придти сюда поспорить/подискутировать наконец о каких то позициях и т.п. Главная мораль в том, что изучать книгу (и выполнять указанные там рекомендации, размышлять и спорить о них и т.п.) будет только продвинутый юзер, причем не просто продвинутый, но и  желающий всесторонне защитить свой ПК от разных напасей
2. Скрипт AVZ и (или) небольшая программулина (написать которую несложно, а еще проще сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность". И после двадцати подверждений (того, что юзер не пил, не курил и не нюхал ничего галюциногенного, и внимательно прочитал доку, и это не компьютер в сети со злобным админом) производить бекап текущих настроек, а далее автоматом делать настройку системы - отключать потенциально уязвимые службы, создавать политики безопасности и т.д., и т.п. по мотивам того, что описано в книге. Это именно то, что нужно среднему пользователю - чтобы что-то автоматом сделало настройку.

----------


## Alex Plutoff

> ...
> сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность"...


-кого попросим, а может подождем и она(большая кнопка) сама в AVZ образуется?..  :Cheesy:  :Stick Out Tongue:  :Wink: 

P.S. оффтопом на оффтоп

----------


## XP user

> Злостный оффтоп:


Не злостный оффтоп, а прямо в точку!
Хотел как раз попросить... Когда будет свободное время (ну, ночью где-нибудь  :Wink: ), сделайте, пожалуйста...

Paul

----------


## NRA

Олег, как всегда порадовал  :Wink:  Было бы здорово
Да, можно придираться у сути, можно к форме.
Одни хотят "большую красную кнопку" с контрольными тестовыми заданиями, а другие хотят доколупаться "что", "почему" и "почему нет" ?
Ну, а совсем продвинутые могут задать что-то вроде "а что если" ?

 Лишь бы на пользу. В любом случае это всего лишь основа безопасности и всё зависит от "стиля" работы пользователя и его навыков ИМХО.

----------


## Зайцев Олег

> -кого попросим, а может подождем и она(большая кнопка) сама в AVZ образуется?.. 
> 
> P.S. оффтопом на оффтоп


А чтобы появилась кнопка, нужно для начала формализовать то, что конкретно можно фиксить/настраивать/прописывать и т.п. - списком, по пунктам. Далее дело техники - делается визард (типа визардов, как в AVZ/KIS2009), который будет по каждой позиции анализировать, есть потребность в модификации или нет ее. Если есть - предлагать фиксить. Причем визард может быть умным и предлагать некие действия в зависимости от ранее выбранного типа ПК и режима (повышение быстродействия, повышение защищенности и т.п.), задаваемому уровню параноидальности (как в AVZ), или по категориям (как в KIS) - настоятельно рекомендуемые фиксы, рекомендуемые, и малозначительные

----------


## Vadim Sterkin

*p2u*



> Если вас интересует его реальная ценность для безопасности:
> В США не только люди тестируются на IQ, но и системы, политики всякие, и т.д. Отчёт от Майкрософта получил очень низкий бал по данным параметрам - там одна большая 'дымовая завеса'. Статья - РАЗРУШИТЕЛЬНА для имиджа Майкрософта в качестве хозяина нашей с вами безопасности!
> Наслаждайтесь (к сожалению на английском):
> Microsoft Security Intelligence Report scores low IQ


Спасибо за ссылку, англ. предпочитаю читать в оригинале  :Smiley:  

Конечно, МС нельзя рассматривать как последню инстанцию в объективной оценке отчетов о безопасности  :Smiley:  Любая компания будет стараться представить цифры так, как выгодно ей. А какие отчеты вы порекомендуете? Я вообще-то говорил лишь об одной конкретной статистической выкладке - сравнение кол-ва заражений в ХР и Vista на основе данных MSRT. Это очень простая статистика, переврать ее можно, пожалуй, лишь подтасовкой цифр. Берется набор зловредов, которые известны MSRT и смотрится, на скольки системах они обнаружены. Остается нормализовать по ОС, в процентном отношении. Я внимательно прочел критика отчета - в одном месте он высмеивает данные MSRT, но в другом контексте (я, кстати, смотрел отчет на полгода старше, но сути это не меняет). Если верить тому, что цифры правдивые, то получается, что на Vista количество заражений известным набором зловредов в N раз ниже, чем в XP. Означает ли это, что Vista безопаснее? Нет. Но это может служить один из аргументов в пользу такого заявления.




> Может кому-то годится - так можно предотвращать передачу данных в Майкрософт если вы не хотите участвовать невольно в сборе инфы по никому неизвестным параметрам. Если вы свято верите, что это всё делается для нашего же блага, то тогда можно не напрягаться. Может быть стоит это тоже добавить в Книге, а?


Я думаю, что это вопрос не столько безопасности, сколько конфиденциальности. 




> На самом деле я действительно так думаю. Единственные, которые не будут иметь свободу выбора - те, которые хотят купить себе новую железу. Там же предустановлена Виста. Вот в чём часть ложного впечатления в цифрах о продаже и популярности данной ОС. Количество пользователей, которые решают на даунгрейд (то есть - шаг назад на XP) - выше, чем вы себе представляете. Естественно внимание уже не будет пристальным к Висте со стороны Майкрософта раз они уже начала с Win7. Это плохой знак, и я не стал бы покупать такую ОС.


Я вроде и не говорил ничего о продаже и популярности ОС, но раз уж вы коснулись темы внимания МС к ОС и того, следует ли ее не покупать из-за этого... Я смотрю на это так. Нужно учитывать, что вам нужно от ОС - насколько она соответствует вашим задачам, есть в ли в ней привлекательные фичи и т.д. (конечно, железо должно быть подходящим, это даже не вопрос). Вы, наверное, смотрите еще на то, насколько она безопасна по сравнению с имеющейся сейчас. Второе - это срок поддержки ОС (и к безопасности это имеет прямое отношение). Vista будет поддерживаться до 2012 года. http://support.microsoft.com/lifecycle/?p1=11734 А вы планируете установить 7 как только она выйдет или будете выжидать до SP1? Во втором случае вы еще года три на XP будете сидеть (думаю, что она вас вполне устраивает).




> По отключению служб - там, где вы приводите аргумент 'неудобство' - я лично не согласен. Вам так кажется. Для того, чтобы оценить насколько на практике реально неудобно, вы должны сначала некоторые время так работать. Потом ещё поговорим. Повторяю - от тех, у которых я систему так настроил, жалоб до сих пор НЕ поступило...


Расходиться во мнениях - нормально. Я верю, что не жалуются ваши юзеры. Но может они просто не знают, как может быть удобно?  :Smiley:  Простой пример с избитой службой автообновлений, но в другом контексте. Куплена новая железяка и радостно воткнута в компьютер. Система пошуршит и поставит драйвер, который в ней шел на момент сборки. На диске драйвер - старье. Надо идти на сайт производителя, искать там. Это очень долго и неудобно (ибо я вижу, сколько вопросов задают в поиске драйверов у нас на форуме). В Vista обновлять драйверы через АО очень удобно. И многие из них вовсе не майкрософтовские, как некоторые думают. Просто АО - это канал доставки драйверов, предоставленных вендором по результатам совместной работы с МС. Ну да, можно пойти, включить службы, запустить диспетчер устройств, найти устройство и инициализировать обновление драйвера... неудобно это  :Smiley: 




> Злостный оффтоп: я вот читаю обсуждение и все больше прихожу к выводу, что должно быть как минимум два уровня:
> 1. Книга - для продвинутых юзеров, желающих прочитать, понять, придти сюда поспорить/подискутировать наконец о каких то позициях и т.п. Главная мораль в том, что изучать книгу (и выполнять указанные там рекомендации, размышлять и спорить о них и т.п.) будет только продвинутый юзер, причем не просто продвинутый, но и желающий всесторонне защитить свой ПК от разных напасей


Не оффтоп вовсе, мы же книгу обсуждаем  :Smiley:  А целевая аудитория книги - это один из ключевых моментов. Он определяет подбор материала и уровень сложности в подаче информации. Я однако не полностью согласен с тезисом, что только продвинутые пользователям может понадобиться поразмышлять, понять и т.д. Продвниутость во многом нужна в том, чтобы знать, как это сделать. Возможно, большинству целевой аудитории не нужно знать, почему той или иной рекомендации нужно следовать. Но существует достаточно кол-во мыслящих людей, которым будут интересны аргументы за и против той или иной рекомендации. Они нужны для принятия взвешенного решения. Если говорить об отключении служб, например, то должны быть не только обоснование отключения, но и описание тех действий, которые станут недоступными пользователю. 




> 2. Скрипт AVZ и (или) небольшая программулина (написать которую несложно, а еще проще сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность". И после двадцати подверждений (того, что юзер не пил, не курил и не нюхал ничего галюциногенного, и внимательно прочитал доку, и это не компьютер в сети со злобным админом) производить бекап текущих настроек, а далее автоматом делать настройку системы - отключать потенциально уязвимые службы, создавать политики безопасности и т.д., и т.п. по мотивам того, что описано в книге. Это именно то, что нужно среднему пользователю - чтобы что-то автоматом сделало настройку.


Мастер настройки безопасности - отличная идея! Именно мастер, а не твикер по принципу большой красной кнопки "применить все". Опять же, потребуется взвешенная подача информации для этих 20 предупреждений  :Smiley:   И, конечно, нужно предусмотреть возможность обратных изменений, на случай сильного закручивания гаек. 




> нужно для начала формализовать то, что конкретно можно фиксить/настраивать/прописывать и т.п. - списком, по пунктам


Это одна из самых трудных задач  :Smiley:  Возможно, нужно сначала определиться с категориями настроек безопасности, т.е. каждая должна относиться к той или иной категории, чтобы пользователю было понятнее.

----------


## NickGolovko

> Злостный оффтоп: я вот читаю обсуждение и все больше прихожу к выводу, что должно быть как минимум два уровня:
> 1. Книга - для продвинутых юзеров, желающих прочитать, понять, придти сюда поспорить/подискутировать наконец о каких то позициях и т.п. Главная мораль в том, что изучать книгу (и выполнять указанные там рекомендации, размышлять и спорить о них и т.п.) будет только продвинутый юзер, причем не просто продвинутый, но и  желающий всесторонне защитить свой ПК от разных напасей
> 2. Скрипт AVZ и (или) небольшая программулина (написать которую несложно, а еще проще сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность". И после двадцати подверждений (того, что юзер не пил, не курил и не нюхал ничего галюциногенного, и внимательно прочитал доку, и это не компьютер в сети со злобным админом) производить бекап текущих настроек, а далее автоматом делать настройку системы - отключать потенциально уязвимые службы, создавать политики безопасности и т.д., и т.п. по мотивам того, что описано в книге. Это именно то, что нужно среднему пользователю - чтобы что-то автоматом сделало настройку.


Замечу, что это уже третье предложение написать настройщик по мотивам книги. Первое было отклонено, второе было начато, но автор его не закончил (не знаю, почему). Вся надежда на вас  :Smiley:

----------


## chap

Прочитал,и обрадовался-появилась таки надежда,что появится "большая красная кнопка", или программа,которая повысила бы общую безопасность.И не надо будет рыскать по форумам о безопасности ,выискивая чего надо отключить. Вы не представляете,сколько простых юзеров,было благодарно её создателю.Ведь обычному пользователю,все равно в какой ветке реестра что прописано,куда копируются файлы и т.д.,т.п.ИМХО конечно.

----------


## zerocorporated

> Причем визард может быть умным и предлагать некие действия в зависимости от ранее выбранного типа ПК и режима (повышение быстродействия, повышение защищенности и т.п.)


Было бы хорошо сделать ползунок (Или что то подобное с упоминанием этого) "Безопасность - Удобства(Пока не привыкнешь)", чтоб пользователь осознавал с какими трудностями он столкнется, переходя на новые настройки. Ведь главное не как осуществить настройку, а как к ней привыкнуть потом.

----------


## XP user

> Если верить тому, что цифры правдивые, то получается, что на Vista количество заражений известным набором зловредов в N раз ниже, чем в XP.


Они разного рода. Да, на Висте не будут вирусы, которые могут разрушить систему полностью, это, скорее всего так. Но преимущество XP в том, что её можно настроить так, что и конфиденциальность не страдает. Этого на Висте нельзя делать - НЕЛЬЗЯ. Не забудем при этом, что отправка данных разного рода можно осуществить со сами низкими привилегиями. Это особенно важно так как люди банкируют в он-лайне, и передают разные личные данные. Упоминаю, что если алертов о зловредах не было, что это ещё не значит, что система не заражена чем-нибудь! Не забываем также, что хакнуть систему - это НЕ разрушить или угрожать её! Это НЕЗАМЕТНО управлять, желательно без следов. Интересно становится, когда вы начинаете исследовать исходящий трафик с помощью сниффера. Но и это скоро нельзя будет делать по закону, я уже чувствую, куда двигаемся...  :Roll Eyes (Sarcastic): 



> А какие отчеты вы порекомендуете?


Во всяком случае не отчёты MSRT, который не может обнаружить и/или удалить даже ничего, что во время проверки не активно. Я рекомендовал бы (с осторожностью и с оговоркой) - отчёты ресурсов, где люди приходят 'лечиться'. Ваш ресурс тоже в эту группу входит. Однако, то, что больше пациентов приходят с XP ещё не значит, что поэтому Виста - более безопасна. Можно лишь сравнивать ТИП ЗАРАЖЕНИЯ. К нам и с Вистой приходят, если я правильно понял. Статистик у меня нет по этому поводу. Есть личная практика - удалить на Висте (с установленной UAC, Windows Defender, и другими приблюдами) 'ручками' приходится обычно 
1) Флеш-червей (хорошо ли это? Безопасные ли они, если они до самой системы не дотрагиваются?) UAC, Windows Defender, и предустановленный обновлённый Norton при этом молчат и последний мечтает о том, как пройти следующий VB100%...  :Roll Eyes (Sarcastic): ) и 
2) вредные тулбары всякие, которые сами по себе не предоставляют опасность для самой системы, но зато здорово раздражают. Скрипты работают в IE на Висте так же 'хорошо', как и на XP. У племянника видел - он на что-то щёлкнул, и потом не мог избавиться от девушек всяких... UAC, Windows Defender, и предустановленный обновлённый Norton молчали, кстати. Угроз для системы же не было?  :Smiley: 

*= = = = = = = = = = = = = = = = = = = =* Опять офф-топ, но достаточно важный:

Update: Нашёл всё-таки статью про статистику заражения Висты (16 мая этого года), которая более, чем серьёзно отличается от отчётов Майкрософта:
Почти 70% компов с установленной Вистой заражены - PCTools обвиняет UAC; Microsoft обвиняет юзеров. К сожалению для многих - на английском:



> *Out of every 1,000 Vista machines, 639 were infected by malware at some stage in the past six months, compared with 586 infections for PCs running Windows 2000.*


То есть: из 1000 машин с Вистой 639 были заражены (то есть 6-7 из 10!). 
Даже если это маркетинг со стороны PCTools, и надо отнимать 50%, то тогда всё равно у меня одна только реакция -> 
Вы представляете, что там говорится?! Больше заражений на Висте, чем на Win2000, которую Microsoft уже давно бросила?! Естественно скоро 'ещё лучше' будет...  :Roll Eyes (Sarcastic): 

P.S.: Посмотрим на 'fight-or-flight reaction' от Майкрософта. Аргумент, что юзеры все, допустим, отключают UAC (не верю, но допустим) ничего такого не доказывает - на Win2000 тоже все сидят под Админа, щёлкуют на те же вещи в он-лайн, устанавливают те же ActiveX штучки, - я в этом не сомневаюсь. Выходит, что если UAC убрать, то тогда Виста опаснее, чем её 'младшая сестра'? Даже аргумент о том, что, скорее всего, не пропатчили Висту не состоится - для Win2000 ниже сервис пак 4 уже давно не выдаются обновления. Сравнительно больше пиратских версий Висты, может быть? Нет, нет... На Win2000 вообще WGA не распространяется и требуется проверка лицензионности только для определённых некритических обновлений; если где-то пираты должны быть, то тогда там...

И если эти отчёты PCTools так различаются от отчётов Майкрософта, с какой цели Майкрософт тогда шпионит у нас на компе? Правильно, MRT = Mission Readiness Test, и работает не совсем как заявлено; это даже не маркетинговая тулза, и отчёты о зловредах 'законопослушной' Microsoft 'тупому народу' лишь - цирк небольшой...  :Wink:  
P.S.1: Одобряю цель - презираю методы (= широкомасштабный обман народа таким образом).
P.S.2: Кто хочет меня обвинить в излишней параное должен знать, что pcworld.com достаточно серьёзный ресурс; я это не сам придумал.

*= = = = = = = = = = = = = = = = = = = =* Конец офф-топа

Ещё раз насчёт XP-Vista:
Сама Майкрософт, естественно, говорит, что в этот раз всё 'ещё лучше' стала - эту пластинку они уже годами крутят. Но в итоге получается как всегда. Кто хочет, тот и найдёт высказывания экспертов о том, что Vista НЕ лучше, чем XP с точки зрения безопасности. Как только Майкрософт 'абортирует' XP, ещё увидим, какая она, эта Виста... На ней настройки управления так глубоко спрятанны, не могу прямо. А знаете почему? 'Бедный Юзер во всём виноват'. Его как элемент надо было убрать. Слов нет для такого мышления. Не там надо искать решения проблем дефективной ОС. Смотрели на Линукс, и недопоняли, как там сделано всё...



> (про MRT) Я думаю, что это вопрос не столько безопасности, сколько конфиденциальности.


1) Безопасность и конфиденциальность во многом неразрывно связаны. Я простестую против разделения этих двух понятий. Если нет конфиденциальности, то тогда часто и безопасности нет.
2) Всё хорошо, пока никто 'под MRT не косит' и не отправляет данные куда-нибудь в другое место. Я готов ДОБРОВОЛЬНО даже делиться своими данными с Майкрософтом, но давайте всё-такие договориться о том, что и как. Когда они начинают играть на дураков, и даже не предоставляют обычным юзерам кнопку для отмена Игры, то тогда они в меня нашли своего врага.



> Я вроде и не говорил ничего о продаже и популярности ОС, но раз уж вы коснулись темы внимания МС к ОС и того, следует ли ее не покупать из-за этого...


Это сама Майкрософт делает постоянно, поэтому и был вынужден об этом начинать.



> Я смотрю на это так. Нужно учитывать, что вам нужно от ОС - насколько она соответствует вашим задачам, есть в ли в ней привлекательные фичи и т.д. (конечно, железо должно быть подходящим, это даже не вопрос).


А Майкрософт же это сама не позволяет? Она подталкивает, вынуждает. Мне Виста как новшество не нужна, это я сразу понял. Я там скорее всего 2/3 функциональности отключу или удаляю (900 МБ на поддержку китайского языка вам разве нужна?  :Wink: ), и всё равно буду неуверен, что мои данные не куда-нибудь уходят. Я даже не понимаю, что людей это не волнует. Теперь, как только я буду вынужден купить себе новый компьютер, у меня выбора не будет - либо купишь Висту, либо переходишь на Линукс или Мас. Одновременно, организации по обслуживанию компов делают хороший бизнес, кстати - они даже включили 'даунгрейд' на XP как бизнес, и делают на это хорошие деньги. Спасибо Майкрософту, или как? Может быть всё-таки не все пользователи - дураки?



> Вы, наверное, смотрите еще на то, насколько она безопасна по сравнению с имеющейся сейчас. Второе - это срок поддержки ОС (и к безопасности это имеет прямое отношение). Vista будет поддерживаться до 2012 года.


Я смотрю на то, насколько она УПРАВЛЯЕМАЯ. Нет управления, нет безопасности - точка. 
Безопасность и конфиденциальность не разделяю как понятия. Если я должен ПОЛНОСТЬЮ ДОВЕРЯТЬ либо Майкрософту, либо какому-нибудь вендору по продуктам безопасности (получают свой статус в Редмонде же) из-за того, что некоторые вещи системно просто не настраиваются, то тогда это для меня сигнал, что надо переходить на что-нибудь другое. Я слишком часто видел, что Security Center какого-нибудь 'решения по безопасности' обозначает всё зелённым, пока спамбот какой-нибудь отправляет с бешенной скоростью спам с этой же 'полностью безопасной системы'. Такая 'защита' мне не нужна.



> А вы планируете установить 7 как только она выйдет или будете выжидать до SP1? Во втором случае вы еще года три на XP будете сидеть (думаю, что она вас вполне устраивает).


Нет, я в процессе выбора ОС другого производства. _Майкрософт и самые крупные вендоры продуктов безопасности для Windows врут по инерции_ - они меня как клиента потеряли навсегда.



> Но может они просто не знают, как может быть удобно?


Естественно - я не особо стермляюсь к удобсту и к настройкам по умолчанию. Я выше уже излагал почему. Драйвера надо иногда установить, но это же не каждый день, правильно? Вы входите под админ, и такие сложные сценарии, как вы описали вовсе не происходят. Дважды щёлкать на установщик драйвера, и всё. Какие проблемы? Через систему RunAs, однако, действительно могут быть проблемы неправильной установки из-за смешения пользовательских профилей.



> Если говорить об отключении служб, например, то должны быть не только обоснование отключения, но и описание тех действий, которые станут недоступными пользователю.


Возможно. Но обычно описание той или иной функциональсности как страшный чёрный ход для зловредов более, чем достаточно для обычного юзера для того, чтобы отказаться от такой функциональности, какой удобной она ни была бы. В таких аргументах, естественно, легче верить, когда вы уже прошли этап, где вы надеялись на программы защиты, и они вас не спасли от беды.

*****

Общее замечание - Я очень рад, что вы начали данное обсуждение - это и меня заставляет заново формулировать (но вовсе не отменить!) некоторые вещи в голове. 
Естественно, такие экстремальные твики как, например 'Как обезвредить Internet Explorer?' я в такой книге не пропагандировал бы никогда. Хотя - у меня на компьютере зловред должен таскать с собой IE, для того, чтобы хоть что-нибудь делать в системе. Здорово, не так ли?  :Wink:  И то, что можно ВСЕ ликтесты Матусека проходить *без файрвола и/или HIPS* для многих тоже удивительное открытие, я предполагаю. При этом, КАЖДЫЙ может эффективно работать на моём компе, я в этом более, чем уверен; функциональность не страдает, и удобство не страдает. Некоторые вещи, возможно, непривычны, но 'непривычно' и 'неудобно' - разные вещи.

Paul

----------


## Alex Plutoff

> ...(или) *небольшая программулина* (написать которую несложно, а еще проще сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность"...


-всё время не покидало смутное ощущение, что мне уже встречалось некое подобие такой "программулины"... и вот нашёл... 


> "Shutdown Windows' servers" is a program, which makes Microsoft Windows XP Home, Microsoft Windows XP Professional and Windows 2000 much more secure from attacks from the network...


-Shutdown Windows' servers отключает ненужные службы, правда, кажется только сетевые, но всё же...  :Roll Eyes (Sarcastic):

----------


## XP user

> -всё время не покидало смутное ощущение, что мне уже встречалось некое подобие такой "программулины"... и вот нашёл... 
> -Shutdown Windows' servers отключает ненужные службы, правда, кажется только сетевые, но всё же...


Да. Это любимый инструмент *Rene-Gad*. Он неоднократно уже дал ссылку на форуме в разных темах. Хорошо, что упомянули. Надо бы в ФАК ... гм... простите  :Roll Eyes (Sarcastic):  , в Чаво поместить...  :Smiley: 

Paul

----------


## ananas

*p2u*, да Вы и сами упоминали еще про WWDC, который тоже кое-чего умеет. Но широкая рассейская душа требует мегапакета с мегавозможностями и с минимумом всяких усилий.   :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> *p2u*, да Вы и сами упоминали еще про WWDC, который тоже кое-чего умеет. Но широкая рассейская душа требует мегапакета с мегавозможностями и с минимумом всяких усилий.


Олег даст вам такой инструмент, я в этом уверен - за бесплатно.  :Smiley: 
У меня, например, вот это:



Ссылку не дам - один раз обжёгся. Надо все параметры понимать до того, как отметить и нажать 'ОК'. То, что некоторые элементы неотмечены ничего не говорит о том, что это мой выбор - Службы Server, например, нет (то есть  - недоступна; я её... да, жестоко УДАЛИЛ). Тогда и тоже не будет галочки... На Workstation, Messenger Service и RPC Locator я тоже крест поставил. Файл Hosts, например, у меня переименнован в Xhosts; недоступен системе, то есть не отмечен в программе параметр 'Set Read Only for Hosts File'. Можно создать BackUp до того, как изменить параметры, и восстановить из этого же BackUp одним кликом.

P.S.: Ещё XPTweaker есть.

Paul

----------


## ananas

> Олег даст вам такой инструмент, я в этом уверен - за бесплатно.


Нет. Не мне. Я не прошу, в топике про восстановление параметров по-умолчанию уже высказался, что мне более интересно и по-душе прикладывать усилия самому. И хорошо, когда есть возможность проконсультироваться с более знающими и, тем более - с экспертами. Спасибо всем.

----------


## sergey888

> У меня, например, вот это:
> 
> Ссылку не дам - один раз обжёгся. 
> 
> Paul


Спасибо ссылка и так видна.  :Cheesy:  Но я никому не скажу  :Wink: 
Но я не из тех кто бездумно экспериментирует на своей системе. Я лучше буду экспериментировать на чужой. Может с сотого раза высчитаю универсальную конфигурацию.  :Stick Out Tongue:

----------


## XP user

> Спасибо ссылка и так видна.


Признайте, признайте... У меня чувство юмора есть... 

Paul

----------


## NRA

Уважаемые форуманы, всё по сути и в тему, *HO*
проблема в том что
*1.* ВСЮ работу никто не хочет делать
*2.* а если делать, то делать "на уровне"
*3.* определить целевую аудиторию
*4.* как лучше визуалировать и реализовать
*5.* инфа постоянно обновляется
... и по моему самое главное
такие проекты выполняются либо для личного пользования, либо в свободное время свободными мастерами, например вот что пишет Volker Birk /автор Shutdown Windows' servers/



> *Why are you doing this?*
> I developed it on Easter Monday - I was bored a little bit then ;-) 
> And: I think, that the work of Frank Kaune and Torsten Mann can be used by many people. Especially Ansgar Wiechers, Uli Dangel, Dominik Meyer and Stephan Weber of Chaostreff Bad Waldsee as well as Umut Dilbaz are helping me with support. 
> Third, at last: it's useful, isn't it?





> *Зачем Вы это делаете?*
> Я сделал это на Пасху в понедельник - мне было децл скушно ;-)
> А ещё я считаю что работа Frank Kaune и Torsten Mann может пригодится многим. Особенно Ansgar Wiechers, Uli Dangel, Dominik Meyer и Stephan Weber из Chaostreff Bad Waldsee, как и Umut Dilbaz и тем, кто помогает мне.
> В третьих, наконец-то: это ведь нужно, не так ли?


Так что предлагаю создать опрос по пунктам и... мучить Олега  :Stick Out Tongue:

----------


## XP user

> например вот что пишет Volker Birk /автор Shutdown Windows' servers/


Volker Birk - великий специалист по файрволам, кстати. Его идеи по этому поводу практически совпадают с моими - то есть: бессмысленно пытаться контролировать код в системе с помощью файрвола - отрубить или удалить надо нежелаемый код (множество служб Windows в эту группу входит).  :Smiley: 




> Если привилегированная системная служба открывает порт, то тогда это брешь в системе защиты


Жаль, что до сих пор так мало людей это понимают. Отчёт netstat в идеале не должен показать ничего на 'LISTENING'.



Paul

----------


## NRA

*Paul*, несмотря на Ваши, как мне кажется, немного радикальные идеи, я всё же пользуюсь относительно стабильным фаерволлом и стараюсь "контролировать" запущеные процессы и выполняемые ими действия  :Wink: 
Кстати, a как Вам TCP LISTENiNG 1110,19780 [AVP.EXE]?

Ближе к теме:
даже очень хорошие специалисты (такие как Volker Birk или Олег) развивают свободные проекты в свободное время.



> мне было децл скушно


Что в принципе логично, но очень замедляет реализацию идей (в данном случае - воплощение книги).

Вывод:
надо поддерживать таких людей - это обоюдная выгода, главное не превратить AVZ в очередную твикалку

P.S.последний раз мне очень понравился вариант с .СHM-книгой со встроеными .REG-файлами: прочитал описание, понравился твик - клик мышкой и подтверждение - готово. Но для наших пользователей придётся добавить большущую красную кнопку - ПЕРЕДУМАЛ

----------


## XP user

> немного радикальные идеи


Не стесняйтесь, не стесняйтесь - ОЧЕНЬ даже радикальные. Но андергаунд не шутит, так что в вопросах безопасности по другому никак...



> Кстати, a как Вам TCP LISTENiNG 1110,19780 [AVP.EXE]?


Не знаю... Что это такое? У себя не заметил... 
А если серьёзно - разве кто-нибудь будет пытаться блокировать свой собственный антивирус? Риск - минимален и оправдан в данном случае (вы же знаете для чего он) пока не находят огромную дыру в коде. Грустные примеры уже были с ZoneAlarm и с Symantec...




> надо поддерживать таких людей - это обоюдная выгода


Ещё как! Если маркетинговые специалисты в ЛК немного подумают, то тогда они осознают, что это мощный инструмент даже для рекламы. Хотя сама Майкрософт будет не очень довольна, я это твёрдо знаю.

Ещё хотелось бы повторять просьбу про модуль похоже на NoScript, в котором можно управлять скриптами по третьим сторонам в браузере, но это, возможно будет сложнее немного.

Paul

----------


## Alex Plutoff

> ...Отчёт netstat в идеале не должен показать ничего на 'LISTENING'.
> 
> 
> 
> Paul


-извините, Paul, но такие настройки не всегда приемлемы...
-взять хотя бы мобильный лэптоп, в один момент времени он работает в одной сети и с одними внешними устройствами, а в другой уже сеть может измениться да и прочая периферия тоже... каждый раз менять конфигурацию вручную?. согласитесь, не очень удобно... так и на работу времени не останется  :Wink:

----------


## XP user

> -извините, Paul, но такие настройки не всегда приемлемы...


Ну, я добавил 'в идеале'... Идеалы часто не достигаются, но давайте всё-таки стремиться хоть. То, что обязательно - обязательно; тут ничего не поделаешь. Но вы будете хоть знать ПОЧЕМУ. А пока Индустрия Безопасности только занимается симптомами, а не причинами. Кого мы оказываем услуги со своими ('Доверенными', прошу заметить!) службами на самом деле? У меня, например, нет желания кого-либо в анонимном Интернете 'обслуживать' если только в виде помощи здесь на форуме или в других местах.

Напоминаю пост 78, в котором я добавил инфу коричневым цветом, которую вы, возможно, ещё не читали. Там идёт речь о программном коде Майкрософта, который большинство юзеров после прочтения НЕ ХОТЯТ на своём компе...  :Wink: 

Paul

----------


## Alex Plutoff

> Ну, я добавил 'в идеале'... Идеалы часто не достигаются, но давайте всё-таки стремиться хоть. То, что обязательно - обязательно; тут ничего не поделаешь. Но вы будете хоть знать ПОЧЕМУ. А пока Индустрия Безопасности только занимается симптомами, а не причинами. Кого мы оказываем услуги со своими ('Доверенными', прошу заметить!) службами на самом деле? ...


-стремиться, конечно же нужно, я против этого не возражаю!.. однако акцентирую внимание на том, что нельзя одним махом отключить все потенциально уязвимые службы и при этом не потерять функциональность системы... т.е. подход к достижению 'идеала' не должен быть столь однозначным, а как раз наоборот, дифференцированным.






> Напоминаю пост 78, в котором я добавил инфу коричневым цветом, которую вы, возможно, ещё не читали. Там идёт речь о программном коде Майкрософта, который большинство юзеров после прочтения НЕ ХОТЯТ на своём компе... 
> 
> Paul


-спасибо, с интересом перечитал ещё раз и Ваш пост и статью на которую Вы ссылаетесь.
-извините, но я не увидел аналогий...
-отключение UAC ведёт к уязвимости целевой системы(ведь статья именно об этом, ещё об бестолковости пользователей и замечательном ПО от PC Tools), в то время как мы обсуждаем возможность повысить защищённость системы в целом, но как раз отключив потенциально уязвимые системные службы  :Roll Eyes (Sarcastic):

----------


## XP user

> - отключение UAC ведёт к уязвимости целевой системы (ведь статья именно об этом)


Сославшись на добавленную инфу, я намекал не на UAC - её, естественно не надо бы отключить - а на часть про тулзу MRST Майкрософта, якобы призванную для удаления malware...



> (ещё об бестолковости пользователей)


На Win2000 более толковые юзеры, чем на Висте? Именно поэтому там меньше заражений, чем на Висте с отключённым UAC?  :Wink: 



> в то время как мы обсуждаем возможность повысить защищённость системы в целом, но как раз отключив потенциально уязвимые системные службы


Предотвращение установки нежеланного программного кода тоже входит в 'повышении защищённости системы в целом'. Если такой программный код уже установлен, то тогда мы либо отключаем, либо удаляем.  :Smiley: 

Paul

----------


## Alex Plutoff

> ...На Win2000 более толковые юзеры, чем на Висте? ...l


-рискну предположить, что таки да, более толковые, т.к. эта ОС всё ещё продолжает использоваться, в основном, на предприятиях и в учреждениях, а там, как известно, имеются профессиональные админы, штатные или приходящие, которые как раз и призваны защищать систему от "чрезмерной толковости" пользователей  :Wink:

----------


## XP user

> -рискну предположить, что таки да, более толковые, т.к. эта ОС всё ещё продолжает использоваться, в основном, на предприятиях и в учреждениях, а там, как известно, имеются профессиональные админы, штатные или приходящие, которые как раз и призваны защищать систему от "чрезмерной толковости" пользователей


Допустим, что это так. В таком случае надо именно этих админов обвинять в некомпетентности - на Win2000, как и на XP заражение не обязательно. Я настроил достаточно много экземпляров этой чудесной ОС - и там заражения не замечено...
P.S.: Я рискну предположить, что Виста опаснее гораздо, чем предшествующих ОС - ладно, там переписали ядро, но то, что над этим ядром стоит даже ещё хуже, чем на XP. Поэтому, если отключить UAC или не умеете отвечать на её многочисленные криптограммы, то тогда вам не сладко будет...

Paul

----------


## Alex Plutoff

> Допустим, что это так. В таком случае надо именно этих админов обвинять в некомпетентности - на Win2000, как и на XP заражение не обязательно. Я настроил достаточно много экземпляров этой чудесной ОС - и там заражения не замечено...
> 
> Paul


-что тут можно возразить?..  :Smiley:  
-мне, равно как и моим коллегам, в силу своей профессиональной деятельности, приходится много разъезжать и при этом пользоваться ноутбуками, на которых Win XP со стандартной конфигурацией системных служб + NOD32 (ESET - политика фирмы), заметьте, пользуемся мы ими не только для настройки/тестирования нашего оборудования или для обработки специфических данных, но в свободное время и для отдыха/развлечения, Интернет сёрфинга в том числе... так вот, эти многострадальные служебные ноуты, если и инфицируются, то только исключительно по вине их пользователей...

----------


## rav

> так вот, эти многострадальные служебные ноуты, если и инфицируются, то только исключительно по вине их пользователей...


А поставить действительно надёжную песочницу/HIPS на них не судьба или мешает политика компании? Простым пользователям нужны технические средства, позволяющие их защищать, а просто утверждать, что они сами и виноваты в заражении не есть конструктивно.

----------


## santy

> ...я вот читаю обсуждение и все больше прихожу к выводу, что должно быть как минимум два уровня:
> 1. Книга - для продвинутых юзеров, желающих прочитать, понять, придти сюда поспорить/подискутировать наконец о каких то позициях и т.п....
> 
> 2. Скрипт AVZ и (или) небольшая программулина (написать которую несложно, а еще проще сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность"....


Преимущество (ЦЕННОСТЬ)  АВЗ в том, что АВЗ обычно "говорит" о том, какие изменения будут выполнены в системе. Имхо, следует (по возможности) придерживаться единообразного алгоритма работы всех мастеров (исследование системы, поиск и устранение проблем, безопасность...) по внесению изменений_исправлений в систему: выбор_анализ параметров исследования, генерация (html) лог-файла с возможностью выбора действия, автогенерация скрипта в зависимости от выбора действия, исполнение скрипта в режиме "выполнить скрипт".

----------


## Vadim Sterkin

Привет всем еще раз  :Smiley: 

Прошу прощения за задержку с ответом. 

*p2u*
Вы говорите



> преимущество XP в том, что её можно настроить так, что и конфиденциальность не страдает. Этого на Висте нельзя делать - НЕЛЬЗЯ.


Что конкретно вы имеете в виду? Вы уже не первый раз об этом говорите. Может мы вместе найдем эти настройки?

Я согласен, что конфиденциальность - важный аспект, однако я не связываю его с безопасностью автоматически, несмотря на ваши протесты  :Smiley:  Например, я не вполне разделяю подход, при котором отключается передача любых данных в Microsoft. Это мера предотвращает пересылку конфиденциальных данных (однако не личных данных/файлов пользователя), но не факт, что она повышает безопасность. Возьмем, например, службу WER (Windows Error Reporting). Во всех твикерах и рук-вах есть твики отключения отправки отчетов в Microsoft, и огромное кол-во пользователей отключают. Ок, позаботились о конфиденциалности, молодцы. А им приходит при этом в голову, что если отослать отчет, то может статься так, что решение найдется в MOCA? Вряд ли приходит... Да, предлагаемые решения зачастую тривиальны - типа, пойдите и установите такой-то хотфикс. Но уж какие есть... (буквально пару недель назад таким образом я восстановил IE6, который падал при заходе в Gmail - да, и IEFix пробовал, и в бубен стучал - сразу в голову не пришло, что корпоративная машина не пропатчена, а MOCA сразу написал и ссылку любезно предоставил). 

Скажу также и о том, что WER помогает отловить баги в продуктах МС, т.е. сделать их лучше. Разве это не в интересах пользователей? У меня нет свежей статистики, но вот, что попалось под руку (Sucess stories внизу). Такие сведения для производителя намного ценнее, чем многочисленные стенанания в форумах по поводу "глючной винды". 

Меня не удивляет нежелание пользователей делиться информацией с МС, но у меня стойкое ощущение, что в большинстве случаев это скорее связано с негативным образом Microsoft или Windows, чем с трогательной заботой о конфиденциальности. Ну и с советами экспертов по безопасности, конечно  :Smiley:  Я не ставлю под сомнения ваши экспертные знания. Я просто привожу еще один аргумент в пользу того, что "закручивая гайки", пользователи лишаются различных средств поддержания системы в актуальном и/или работоспособном состоянии. 

Конечно, если WER или MSRT, передавая данные, открывают дыру в системе, и нет другого способа ее предотвратить, тогда да, нужно отключать без вопросов. Но если это не так, то нужно пытаться достичь баланса функциональности и безопасности, как бы скептически вы не относились к такой идее  :Smiley:  Но та же WER передает данные только после того, как пользователь сам согласится на отправку отчета (ЕМНИП, поправьте, если ошибся).

Что же касается доверия к стат. отчетам, то я не защищаю и не превозношу MSRT. Какими бы низкими способностями отлова живности утилита не обладала, она дает МС статистику в огромных объемах. Да, она также дает им возможность делать какие-то маркетинговые ходы на основе этих данных, но больший объем статистики трудно собрать. И статистика PCTools меня как-то не очень убеждает (я помню эту новость). Точнее, не статистика, а выводы, о том, что 2к безопаснее Vista. На ХР они нашли в 1.5 раза больше заражений, чем на Vista. Я вообще не знаю, где они нашли достаточное кол-во машин с 2000. Дело в том, что эта ОС никогда не ставилась на ПК домашних пользователей ОЕМ производителями и в розничной продаже ее, скорее всего, не было - домашним пользователям пихали МЕ. В секторе домашних ПК в США вы найдете 98, ME, XP, Vista, но не 2000. Предположу, что это были корпоративные машины, которые должны быть лучше защищены - согласен с *Alex Plutoff*. Равно как и с *p2u* - PCTools не должны стоять на такой машине, без них админы должны уметь настроить все  :Smiley: 

Да, статистика с вашего форума была бы мне (и не только мне) наиболее интересна, но вряд ли ее можно собрать - руками устанешь, а автоматизации нет. Но посчитать удельный вес заражений на ее основе было бы любопытно.

Спасибо, что поделились своими предпочтениями по поводу будущей ОС  :Smiley:  Учитывая то, что ваши требования к управлению параметрами безопасности и конфиденциальности на порядок выше, чем у обычного пользователя, логично смотреть в сторону продуктов с открытым исходным кодом ОС. По поводу даунгрейда с Vista до ХР замечу, что проблема тут такая: негативное паблисити, сформированное в немалой степени самими вендорами, комплектовавшими Vista слабые машины (и ноутбуки в первую очередь) + ставящими свое bloatware. Конечно, МС тоже виновна в том, что была выпущена ОС, опережающая по требованиям существующее на рынке железо низшей ценовой категории и маргинально подходящая для средней (хотя с ХР было то же самое - ведь ОС делается на перспективу). Тем самым вендорам выбора не оставили - пропихивали новую ОС. Но так или иначе, проблема комплектации компьютера и настройки ОС ОЕМ производителями весьма актуальна, даже сейчас - ведь если что не так, то виновата ОС  :Smiley:  На эту тему недавно Андрей Бешков писал в блоге, кстати Почему у меня не тормозит Windows Vista? (автор работает в МС). Сорри за оффтоп. 




> Но обычно описание той или иной функциональсности как страшный чёрный ход для зловредов более, чем достаточно для обычного юзера для того, чтобы отказаться от такой функциональности, какой удобной она ни была бы.


Конечно, но я бы все равно информировал пользователей о последствиях. И обоснования тоже разные бывают - вспомним то же восстановление системы в книге...




> И то, что можно ВСЕ ликтесты Матусека проходить без файрвола и/или HIPS для многих тоже удивительное открытие, я предполагаю.


Для меня - открытие  :Smiley:  


> При этом, КАЖДЫЙ может эффективно работать на моём компе, я в этом более, чем уверен; функциональность не страдает, и удобство не страдает. Некоторые вещи, возможно, непривычны, но 'непривычно' и 'неудобно' - разные вещи.


К удобному быстрее привыкают  :Smiley:  Да и выбора у ваших домашних нет, хотя он может им и не нужен особо - если сразу внушить, что это работает так, то вопросов может и не возникнуть. Впрочем, я могу согласиться с тем, что многим пользователям достаточно весьма ограниченного набора приложений и функционала ОС - почта, интернет, мультимедиа.

Теперь я все-таки пару слов скажу по поводу большой красной кнопки и того, почему я ее не люблю  :Smiley:  В этом вопросе я весьма консервативен. Она по праву любима пользователями, ибо отменяет потребность в мыслительном процессе. Однако множество проблем в интерфейсе и функциональности ОС пользователи создают себе сами таким вот кнопками (и не только ими - "я скачал _с вашего сайта_ REG-файл с сотнями твиков, и теперь у меня не работает бла-бла-бла" - видели, знаем; но они в этом плане немного лучше, поскольку дают визуальный путь в реестре). Причем создав проблему, они зачастую обнаруживают ее много позже, никак не связывая с твикингом системы, произведенным две недели назад. Поэтому я и приветствую идею мастера, который подразумевает бОльшую информативность, чем расставление флажков. 




> Было бы хорошо сделать ползунок (Или что то подобное с упоминанием этого) "Безопасность - Удобства(Пока не привыкнешь)"


Красивая идея, хотя не знаю, насколько реализуемая  :Smiley: 

Более того, производители этих красных кнопок иногда автоматически переносят твики с одной ОС на другую, не утруждая себя проверками (это, кстати, одна из тем нашего разговора). А потом, знаете ли, бывает трудно установить, почему в проводнике Vista пропала панель ссылок, если не знать, что это вызвано использованием горячо любимого твика для XP по удалению стрелок с ярлыков. Разница же в том, что в указанной библиотеке нет прозрачного значка по старому адресу (и вообще нет), а значит нужно поставлять его вместе с твиком. И твикеров с такой проблемой кто-то привел с пяток на осзоне (и популярный XP Tweaker в том числе) - я не проверял, конечно. 




> P.S.последний раз мне очень понравился вариант с .СHM-книгой со встроеными .REG-файлами: прочитал описание, понравился твик - клик мышкой и подтверждение - готово. Но для наших пользователей придётся добавить большущую красную кнопку - ПЕРЕДУМАЛ


Оно?  :Smiley: 

Ок, в заключения я приведу таки рез-ты опроса по поводу использования автоматического обновления в ХР и Vista. Они весьма любопытны  :Smiley:  На момент отправки этого сообщения АО использует 70% пользователей Vista и менее 30% XP. Я не думаю, что такая большая разница обусловлена только WGA... Может оно все-таки удобнее в Vista?  :Smiley: 

Спасибо всем участвущим в дискуссии!

----------


## drongo

Когда сделают нормальную обновлялку, которая не будет использовать для  своего функционирования Bits, или какой-либо другой сервис- тогда и будет удобно. Засунул его в шедуллер, поставил время когда включать и всё. А пока это не удобно, а одна большая дырка.Пусть проверяют легальность, но зачем же такую дырку (bits) использовать для меня не понятно.

----------


## XP user

> Что конкретно вы имеете в виду? Вы уже не первый раз об этом говорите. Может мы вместе найдем эти настройки?


Как-нибудь в другой раз, пожалуйста, и точно не здесь. О проблемах такого рода можно толстую книгу писать. Причём, не надо, чтобы все всё знали. Я с вами свяжусь.



> Я согласен, что конфиденциальность - важный аспект, однако я не связываю его с безопасностью автоматически, несмотря на ваши протесты


Три примера всего, если настаиваете  :Wink: :

1) Майкрософт сохраняет ОЧЕНЬ многого в реестре о том, что мы делаем - часто эти данные самому юзеру НЕДОСТУПНЫ. При этом хочу подчёркивать, что было бы ещё ничего, если ваши данные остались бы только у Майкрософта. Но как я выше уже показал, Майкрософт охотно делится с органами. Это не может нравиться каждому...  :Roll Eyes (Sarcastic):  

Пинч, троян-вор, просматривает именно эти данные, допустим в многочисленных ключей MRU (=Most Recently Used) в реестре. Оттуда он определяет путь к программам, которые не требует установки, и крадёт на нужном месте ваши пароли. Это лишь один из многочисленных примеров в Windows, где конфиденциальность и безопасность тесно связаны. 

2) Как только у вас или у ваших друзей украли пароль или номер кредитной карточки из кэша браузера или Windows, передайте как резко изменилось ваше мнение о соотношении конфиденциальность-безопасность. На сайтах, где вы 'банкируете' это очень просто делать через XSS атаки. Уязвимости в памяти браузерах делают остальное. Без скриптов сайт вашего банка, естественно, работать не будет.

3) Когда компании стирают свои бухгалтерские данные от органов, знаете, сколько можно ещё найти 'благодаря' Индексирования Майкрософта?  :Roll Eyes (Sarcastic):  CCleaner и подобные что-то делают, но до конца они НЕ МОГУТ убрать следов.

Про Error Service хочу тоже ещё что-то сказать: Мало того, что некоторые зловреды под её косят (показывают вам поддельных алертов этой службы, и что бы вы ни нажали - да/нет/отмена - задуманное автором выполняется); она ещё тесно связана с 'великим' Dr.Watson, отладчиком Microsoft.
Когда у вас программы падают, Dr.Watson сразу же пишет dump-файл. Всё об этом сеансе, включая ваши пароли, и другая драгоценная информация может попасть в такие файлы. Для того, чтобы Dr.Watson этого больше не делал, отредактируем реестр как указано:
HKLM\Software\Microsoft\DrWatson\CreateCrashDump - (REG_DWORD) 0
Кроме, возможно, программистам, этот отладчик никому пользу не приносит. Error Service тем более. Может быть вам повезло, не знаю, но я лично от Майкрософта никогда никакой поддержки не получал, хотя у меня всё лицензионно.



> И то, что можно ВСЕ ликтесты Матусека проходить без файрвола и/или HIPS для многих тоже удивительное открытие, я предполагаю.





> Для меня - открытие


Специально для вас я скоро в отдельном топике покажу как это делается + скриншоты моей победы над каждим ликтестом отдельно. Отчёт уже отослал Матусеку.

Paul

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ananas

> Что конкретно вы имеете в виду? Вы уже не первый раз об этом говорите. Может мы вместе найдем эти настройки?


*Vadim Sterkin*, а что тут долго искать. Всего один пример.
Вопрос: как на висте закрыть 135-й порт?
Ответ: ни как.
Спросите, зачем мне это нужно?
Или расскажете, почему этого не следует делать?   :Smiley: )

----------


## XP user

> Вопрос: как на висте закрыть 135-й порт?
> Ответ: ни как.
> Спросите, зачем мне это нужно?
> Или расскажете, почему этого не следует делать?  )


Это тем более интересно если знать, что, вопреки всем заверениям Microsoft, сетевой стек Висты намного менее надёжен и безопасен, чем в XP.
Глубины и вершины сетевого стека Висты.
Symantec про векторы атак Висты (Это документ .pdf, к сожалению на английском)

Paul

----------


## Vadim Sterkin

*p2u*
Я не говорил, что конфиденциальность и безопасность не связаны. Я просто говорил о том, что я не связываю их автоматически. Спасибо за примеры! Я не настаивал, я побуждал к дискуссии  :Smiley: 

Пример 1. Согласен, но МС не собирает эти данные. Да, они могут использоваться зловредами. Но я бы лучше защищал периметр, чем отключал MRU....

Пример 2. Используйте режим InPrivate в IE8  :Smiley:  И, если я вас правильно понял, украсть могут не только из кэша ИЕ. Так что проблему нужно адресовать разработчикам браузеров...

Пример 3. Эээ... ну так тут и без индексирования можно восстановить. Как-то читал про эксперимент амер. студентов, изучающих безопасность. Они покупали на ebay старые компьютеры и восстанавливали инфу с жестких дисков. Много интересного находили, включая номера кредиток.

WER. То, что зловреды под нее косят, не слишком сильный аргумент. Это если вы точно помните, что вы отключили WER и вам всплыло сообщение от нее, вы насторожитесь. Но я думаю, что пользовтелей, помнящих конфиг своих служб назубок, единицы.
---добавлено позже---



> Может быть вам повезло, не знаю, но я лично от Майкрософта никогда никакой поддержки не получал, хотя у меня всё лицензионно.


Речь все-таки не о поддержке, а встроенных механизмах диагностики проблем и поиска решений. Честно говоря, я раньше тоже всегда отключал отчеты об ошибках, ибо в сети советов по отключению полно, а аргументов в пользу этой функции - минимум. Но она мне однажды помогла, и я поверил в то, что в ней есть смысл  :Smiley:  После этого она помогала мне еще несколько раз. Конечно, если отключать отчеты, то и о пользе их узнать невозможно. Я не знаю, какой ценности в ней больше - отлов багов для МС и вендоров или предоставление решений пользователям. Наверное, она реже помогает пользователям, чем восстановление системы, но пользу приносит. Если смотреть на большую картину, а не на отдельно взятый компьютер.  

Dr. Watson. Его нет в Vista  :Smiley:  И, ЕМНИП, его данные не передавались службой WER. Он скорее для отправки в поддержку другими средствами. Вот тут об этом говорится, например.
---конец добавления----

Ссылку на тему про ликтесты скиньте мне в ПМ, плиз, если не трудно и не забудете. А то я не читаю весь форум.




> Vadim Sterkin, а что тут долго искать. Всего один пример.
> Вопрос: как на висте закрыть 135-й порт?
> Ответ: ни как.
> Спросите, зачем мне это нужно?
> Или расскажете, почему этого не следует делать? )


И  в режиме повышенной безопасности никак? Или из командной строки нечто типа 

```
netsh advfirewall firewall add rule name="Block port 135"
dir=out action=block enable=yes profile=public
localIP=any remoteIP=any remoteport=135 protocol=TCP interfacetype=any
```

 не работает? Профиль и направление поменять по нбх. И я точно знаю, что можно заблокировать все исходящие SMB соединения, вкл. порт 135. И да, я спрошу, зачем вам это нужно. У меня есть предположения, но я же не к гадалке пришел  :Smiley:  Я не говорил, что у меня есть волшебная палочка, с помощью которой я нахожу все настройки. Я просто предложил помочь разобраться, так что ваш сарказм мне видится неуместным.

----------


## XP user

> Пример 2. Используйте режим InPrivate в IE8  И, если я вас правильно понял, украсть могут не только из кэша ИЕ. Так что проблему нужно адресовать разработчикам браузеров...


IE у меня нет уже - это само по себе очень положительно влияет на поведение других браузеров. Уже годами производители этих браузеров пытаются решать проблему памяти, но никак не получается... Так ОС работает; что тут делать?



> Пример 3. Эээ... ну так тут и без индексирования можно восстановить.


Использовать *посторонные* программы для восстановления, что входит в рекомендации Книги. Всё связано, видите?  :Wink:  



> Ссылку на тему про ликтесты скиньте мне в ПМ, плиз, если не трудно и не забудете. А то я не читаю весь форум.


Обязательно.  :Smiley: 



> И  в режиме повышенной безопасности никак? Или из командной строки нечто типа netsh advfirewall firewall add rule name="Block port 135"


Файрволом блокировать, 'прикрыть', 'перекрыть' (или как это всё по-русски называется) открытые службами Windows порты?  - Это так не делается... Отключается то, что открывает этот порт; другие решения - ложные. На Висте это (пока?) невозможно - сети не будет.
P.S.1: Кроме того, приказать Microsoft блокировать самого себя - не знаю, что из этого выйдет.
P.S.2: Кроме того, Windows файрвол пропускает входящие 'групповые' протоколы, что бы вы ни делали.

Paul

----------


## ananas

*p2u*, спасибо, что ответили за меня. Именно так и есть, закрыть и блокировать - разные понятия.
*Vadim Sterkin*, за ссылку на микроблог отдельный респект. Почитал, посмеялся. У меня никогда не тормозила и не тормозит виндоуз виста. Но как далеки они там от народа... И почему-то после прочтения этого микроблога у меня возникло смутное предположение, что его автору упала на башку коробка с дистрибутивами линукс, от того и такие советы у него родились.   :Smiley: )

----------


## Vadim Sterkin

*p2u*, как всегда, спасибо за развернутые ответы  :Smiley: 

Вы не обидите меня (угу, я подписан на тему  :Smiley: ) в том случае, если поделитесь ссылками на материалы / обсуждения данного вопроса применительно к обоим ОС. Я не являюсь экспертом по инфобезу, поэтому мое незнание сленга или мои соображения могут показаться экспертам наивными. Однако я стараюсь не упускать случаев для повышения уровня знаний путем самообразования. 

Замечу, впрочем, что направление моего ответа вполне соответствовало заданному вопросу. Когда речь заходит о _закрытии портов_, то в обычном понимании этого вопроса подразумевается использование встроенного брандмауэра или сторонних решений. В данном же случае речь, как я понял, идет о том, _как полностью исключить возможность использования данного порта_ на отдельно взятом компьютере. Посему, ув. *ananas*, каков вопрос, таков и ответ. 




> Кроме того, приказать Microsoft блокировать самого себя - не знаю, что из этого выйдет.


Ну можно попробовать и посмотреть, если знать, на что смотреть  :Smiley:  _В контексте вопроса_ я привел встроенные средства ОС, поскольку со сторонними файрволами знаком еще меньше.




> IE у меня нет уже - это само по себе очень положительно влияет на поведение других браузеров.


Гм... что вы имеете в виду?  :Smiley: 

На самом деле, появление InPrivate в IE8 подтолкнуло разработчиков Firefox к срочному внедрению аналогичного функционала. Я помню, что когда для обсуждения статьи об InPrivate я создал тему на форуме, первым вопросом в ней было "Как такое реализовать в FF?". Очевидно, разработчики FF получили достаточное кол-во таких вопросов. И разработчики Chrome тоже учли этот момент. Привет разработчикам Safari, которые это сделали первыми  :Smiley:  Как видите, даже если так работает ОС, разработчики браузера могут предоставить пользователям средства для защиты конфиденциальных данных. Было бы желание... 




> Использовать посторонные программы для восстановления, что входит в рекомендации Книги. Всё связано, видите?


Честно говоря, не вижу, где об этом говорится в книге... Зато заметил там упоминание о Norton GoBack, которого уже не существует, AFAIK.

Оффтоп.
Привожу его только потому, что он косвенно связан с автообновлением, о котором тут много говорилось  :Smiley:  Возможно, экспертов это не удивит, но факт мне показался любопытным. Сейчас в массовые СМИ (по кр. мере западные) активно продвигается тема ботнетов - т.е. до сознания обычных юзеров доводят мысль о том, что их компьютер может быть подчинен такой сети. В NYT на днях была опубликована статья, в которой приводится свидетельство одного из работников Майкрософт, занимающихся исследованием ботнетов. По его словам, они были поражены, когда обнаружили, что вредоносный код одной из таких сетей включает Windows Update (очевидно, чтобы защитить компьютер от конкурентов).

----------


## XP user

> _как полностью исключить возможность использования данного порта_ на отдельно взятом компьютере.


Полностью всё равно не исключить, конечно - как только зверь проникнет и включит службу, порт всё равно будет открыт. Но служба есть служба - она хочет кого-то обслуживать (то есть принимать данные извне). Глупость включить функционал и пытаться его блокировать файрволом, особенно если речь идёт о самой системе.

(про то, как убрать IE положительно влияет на поведение других браузеров) 



> Гм... что вы имеете в виду?


Это тема непростая. Надо подумать как это объяснить, чтобы всем было доступно. Скажем так - параметры IE в Windows почти что *приказывают* параметры запуска других приложений альтернативными браузерами (надеюсь, что не получилось по-китайски  :Wink: ). Для того, чтобы осознать опасность, надо хорошо понять, что Internet Explorer = Explorer (то есть - это расширение оболочки самой системы). Потом будет здесь на форуме ещё отдельный топик об этом. Кто заранее хочет узнать, параметры поиска в Гугле - "Cross Application Scripting" и/или "URI Vulnerabilities" дают более, чем достаточно повода для размышления. Не говорим уже об ActiveX модули в IE, которые могут быть вызваны другими браузерами в пространстве IE. Что делать против этого описано здесь.



> На самом деле, появление InPrivate в IE8 подтолкнуло разработчиков Firefox к срочному внедрению аналогичного функционала.


Это кто говорит, сама Майкрософт?  :Roll Eyes (Sarcastic):  Кто что у кого взял, любопытно... В Редмонде они как Японцы - не очень отличаются оригинальностью... 



> Я помню, что когда для обсуждения статьи об InPrivate я создал тему на форуме, первым вопросом в ней было "Как такое реализовать в FF?". Очевидно, разработчики FF получили достаточное кол-во таких вопросов. И разработчики Chrome тоже учли этот момент. Привет разработчикам Safari, которые это сделали первыми  Как видите, даже если так работает ОС, разработчики браузера могут предоставить пользователям средства для защиты конфиденциальных данных. Было бы желание...


Ааа... 'Porn Mode'...  :Wink: 
Только тот, кто Firefox и его возможности с дополнениями (extensions) плохо знает думает, что этого нет. Даю один пример: Distrust
При желании можно ещё найти. Мне это даже не нужно - у меня Firefox так уже настроен в 'Porn Mode' по умолчанию:
* Принимает куки только с 3 сайтов
* История = 0 дней - при выходе сразу же очистит всё (в отличие от IE, который сохраняет всё равно 24 часа (даже если количество дней поставлен на '0'), и только потом удалит).
* Пароли нельзя запоминать
* Автодополнение отключено
* Кэш даже отключён полностью.
* При выходе отчистит память о сессии.



> Честно говоря, не вижу, где об этом говорится в книге... Зато заметил там упоминание о Norton GoBack, которого уже не существует, AFAIK.


Действительно; в книге не указано явно, что надо заменить службу Восстановление Системы Windows чем-нибудь другим. 
P.S.: Norton GoBack до сих пор ещё есть, Симантек его заменит на Norton Save and Restore в 2009. Norton GoBack на Висте не работает. GoBack - Wikipedia

Paul

----------


## Vadim Sterkin

> Полностью всё равно не исключить, конечно - как только зверь проникнет и включит службу, порт всё равно будет открыт. Но служба есть служба - она хочет кого-то обслуживать (то есть принимать данные извне). Глупость включить функционал и пытаться его блокировать файрволом, особенно если речь идёт о самой системе.


Мне нравится общаться с экспертами по инфобезу потому, что они все рассматривают с точки зрения наихудшего развития событий  :Smiley:  Как я понял, суть проблемы в том, что в XP можно отключить службу (речь о какой, об RPC?), сохранив при этом сеть, а в Vista - нельзя. Что касается полного исключения, то да, теоретически всегда найдется сценарий, при котором службу можно включить, но практически... Насколько я понимаю, для включения службы нужны права админа. Если пользователь ограниченный, на админе стойкий пароль (и, как вы советуете, нет RunAs  :Smiley: ), то включить службу получается затруднительно. Поправьте, если не так. А по поводу блокирования файрволом... если функционал не нужен, то да, конечно, его лучше отключать в корне. Но... если речь об RPC, то на нее очень много функционала завязано.




> Для того, чтобы осознать опасность, надо хорошо понять, что Internet Explorer = Explorer (то есть - это расширение оболочки самой системы). Потом будет здесь на форуме ещё отдельный топик об этом. Кто заранее хочет узнать, параметры поиска в Гугле - "Cross Application Scripting" и/или "URI Vulnerabilities" дают более, чем достаточно повода для размышления.


Спасибо, так понятнее  :Smiley:  Такие уязвимости в Windows патчились, я по своему списку хотфиксов помню. Было меньше года назад, хотя Vista не была в списке подверженных уязвимости.




> Это кто говорит, сама Майкрософт? Кто что у кого взял, любопытно... В Редмонде они как Японцы - не очень отличаются оригинальностью...


Ну зачем же так сразу... Баг (предложение) на мозилле был открыт в 2006 году, но внедрили его только к 3.1. Вероятно, технически внедрить фичу могли и раньше, но не считали приоритетным. Однако выход ИЕ8 бета сильно подтолкнул к этому. С альтернативной точкой зрения я вряд ли соглашусь  :Smiley:  Ссылки (EN):
http://blogs.zdnet.com/security/?p=1893
https://wiki.mozilla.org/Platform/2008-09-09 (п. 2)
https://bugzilla.mozilla.org/show_bug.cgi?id=248970




> Ааа... 'Porn Mode'...
> Только тот, кто Firefox и его возможности с дополнениями (extensions) плохо знает думает, что этого нет. Даю один пример: Distrust


Не хотелось бы устраивать холивар на тему браузеров...  :Smiley:  Тем более, что ИЕ не является моим браузером по умолчанию, и я не продвигаю его использование. Тем не менее, я считаю важным рассказывать людям о возможностях бразуера, особенно, если считаю их интересными. Замечу, впрочем, что встроенный функционал браузера и функционал после установки расширений - это очень разные вещи. К ИЕ тоже аддонов хватает (вроде для IE8 теперь там... или совмещено с IE7, не суть). 

А вы, как специалист по безопасности, разве не относитесь к расширениям настороженно? Или вы безоговорочно доверяете контенту, загруженному с оф. сайта дополнений Firefox? Я без сарказма спрашиваю, просто интересно.




> у меня Firefox так уже настроен в 'Porn Mode' по умолчанию:
> * Принимает куки только с 3 сайтов
> * История = 0 дней - при выходе сразу же очистит всё (в отличие от IE, который сохраняет всё равно 24 часа (даже если количество дней поставлен на '0'), и только потом удалит).
> * Пароли нельзя запоминать
> * Автодополнение отключено
> * Кэш даже отключён полностью.
> * При выходе отчистит память о сессии.


Гм... извините, но так работать неудобно! Опять мое любимое слово  :Smiley:  Я даже по пунктам разбирать не буду. Даже если это супер-безопасно, так будут делать только параноики и эксперты по безопасности  :Smiley:  Ничего личного, конечно. Суть конфиденциального режима ИЕ в том, что он не ограничивает пользователя до такой степени как вы - он просто не сохраняет ничего из конф. сессии, но может считывать ранее сохраненные куки, например. В общем, я довольно подробно описал функционал в статье, так что не буду повторяться. 




> P.S.: Norton GoBack до сих пор ещё есть, Симантек его заменит на Norton Save and Restore в 2009. Norton GoBack на Висте не работает.


А, жив курилка  :Smiley:  Я знал, что отдельного продукта уже нет, они, оказывается, в комплект его впихнули давно. У МС есть своя система глобального отката - SteadyState, но это не замена восстановлению системы, а средство для поддержания конфигурации в общественной среде. Я не знаком с функционалом GoBack, но осмелюсь предположить, что в его точку отката может затесаться зловред точно так же, как и в точку встроенного восстановления системы...

----------


## XP user

> Мне нравится общаться с экспертами по инфобезу потому, что они все рассматривают с точки зрения наихудшего развития событий  Как я понял, суть проблемы в том, что в XP можно отключить службу (речь о какой, об RPC?), сохранив при этом сеть, а в Vista - нельзя. Что касается полного исключения, то да, теоретически всегда найдется сценарий, при котором службу можно включить, но практически... Насколько я понимаю, для включения службы нужны права админа. Если пользователь ограниченный, на админе стойкий пароль (и, как вы советуете, нет RunAs ), то включить службу получается затруднительно. Поправьте, если не так. А по поводу блокирования файрволом... если функционал не нужен, то да, конечно, его лучше отключать в корне. Но... если речь об RPC, то на нее очень много функционала завязано.


Отключить службы и настроить политики надо, естественно, делать в учётке админа. На самом деле Windows будет нормально работать только с тремя службами, и даже ещё со всеми службами отключены (только выходить из сессии нельзя будет  :Cheesy: ) но нет, - RPC не желательно отключить - вам будет очень неприятно работать на компе. Почти весь функционал explorer.exe от неё зависит. Только некоторые из её компонентов надо отключить. Я на самом деле про уязвимость в службе Server, например, которая тоже связана с портом 135. Эта дыра уже давно; я неоднократно за 5 лет предупреждал Майкрософт об этом. Слушать не желают. Теперь, вдруг, как вир-лабы ЛК, DrWeb и MessageLabs тоже проснулись, и заявляют о том, что уже месяца полтора черви ползуют через эту дыру, надо вдруг обязательно патчить. И так продолжаем, потому что у меня список - длинный. И посмотрите в Security Bulletin от 23 октября 2008 г. - 'Наличие эксплоита: *Нет*' говорит Майкрософт. Очередной 'Zero-day', как это модно называется...  :Roll Eyes (Sarcastic):  

Я уже предвижу ваш ответ - 'ну, пропатчили же?' Но это будет закрыть глаза на то, что есть - сколько людей уже заразилось червями, а? Естественно обвинять чайника в тупость - проще. НЕПОНЯТНО, почему Майкрософт сделала так, что порт 135 на Висте нельзя полностью закрывать. Идеи есть, но озвучивать их здесь лучше не буду...




> Спасибо, так понятнее  Такие уязвимости в Windows патчились, я по своему списку хотфиксов помню. Было меньше года назад, хотя Vista не была в списке подверженных уязвимости.


Смотрите выше. Патчменеджмент выражается в BASIC так:


```
10 GOSUB LOOK_FOR_HOLES
20 IF HOLE_FOUND = FALSE THEN GOTO 50
30 GOSUB FIX_HOLE
40 GOTO 10
50 GOSUB CONGRATULATE_SELF
60 GOSUB GET_HACKED_EVENTUALLY_ANYWAY
70 GOTO 10
```

Думаю, что суть будет понятна, даже если вы не программист. Для тех, которые всё равно не поняли:
Программная схема начинается на 10 (ищем дыры). Если дыр не найдено (20), идём на 50 (= поздравляем себя). Если дыра найдена, то тогда идём на 30 (патчить) и потом на 40 (говорит - иди на 10, снова искать дыры). Идём дальше на 60 = нас хакнули всё равно через *ещё неизвестные* дыры. Идём на 70, который говорит: иди на 10, дальше искать дыры. И так без конца, уже 10 лет подряд. Тупость - программа не закончится НИКОГДА. Нельзя из лоскутков делать прочное одеяло...




> А вы, как специалист по безопасности, разве не относитесь к расширениям настороженно? Или вы безоговорочно доверяете контенту, загруженному с оф. сайта дополнений Firefox? Я без сарказма спрашиваю, просто интересно.


Естественно, я и без сарказма отвечу: - чем меньше их, тем лучше. У меня всего 2:



Без них я даже не могу рекомендовать Firefox как браузер.

Тем тоже нет, кроме той, по умолчанию:



И от плагинов я вообще избавился:



так как они могут работать в пространстве IE.




> Даже если это супер-безопасно, так будут делать только параноики и эксперты по безопасности


Ваше право - если нужно, можно патчить дыры задним числом, правильно?  :Roll Eyes (Sarcastic): 
P.S.: Я отрицаю, что это неудобно. Если вы хотите, чтобы браузер запомнил сайт, поставьте его в закладку (в IE - Избранные), и всё. Какие проблемы?




> Я не знаком с функционалом GoBack, но осмелюсь предположить, что в его точку отката может затесаться зловред точно так же, как и в точку встроенного восстановления системы...


Теоретически да, НО... В GoBack можно после возврата назад отменить изменения по отдельности. Кроме того, можно даже каждый файл по отдельности вернуть на более ранее состояние, без общего восстановления системы, и т.д. То есть - если зверь проник - то тогда он погибнет по любому. Но я лично никогда в жизни не видел, чтобы GoBack мешал лечить компьютер.

P.S.: Не поделитесь опытом? Методы обхода UAC

Paul

----------


## Vadim Sterkin

*p2u*
Да... я как раз вчера читал http://www.microsoft.com/technet/sec.../MS08-067.mspx и поражался как потенциальной опасности (полный контроль), так и тому, что _уже_ есть случаи атак. Мне кажется, что это редкий случай, когда МС признает наличие атак при выпуске патча (конечно, МС может и не признавать, но это не значит, что атак нет). С другой стороны меня несколько удивляет то, что если дыре пять лет, как вы говорите, ее только сейчас кто-то проэксплуатировал. Я не оправдываю МС и не защищаю компанию в этом вопросе. Но таки лучше патчить задним числом, чем вообще не патчить  :Smiley: 

Спасибо за ссылки. К сожалению, я не разбираюсь в вопросе настолько, чтобы понять комменты в secureblog  :Smiley:  Но я представляю себе, во что выливаются подобные уязвимости. В период эпидемий lovesan и sasser в форуме ХР создавалось по несколько тем в день, несмотря на наличие прикрепленной темы с решением... Вы это тоже видели в других форумах. И тогда, кстати, включенный [по умолчанию] брандмауэр препятствовал заражению, ЕМНИП, и было просто жаль видеть такое кол-во людей без какой-либо защиты периметра. Да, нехорошо обвниять таких пользователей в тупости, но если они пошли наперекор рекомендациям производителя ОС (отключили брандмаэур и не пропатчили систему), то и оправдывать их особо не стоит - ведь _эпидемии_ пошли уже после выпуска патчей.

Конечно, я считаю, что нужно информировать о таких уязвимости, тем более есть патч - я повесил глобальное объявление на Осзоне в форумах Windows. Даже если это поможет всего сотне человек, хуже не будет. ИМХО, на этом форуме тоже можно было бы это сделать, но это прерогатива администрации, конечно.




> P.S.: Я отрицаю, что это неудобно. Если вы хотите, чтобы браузер запомнил сайт, поставьте его в закладку (в IE - Избранные), и всё. Какие проблемы?


Например, использование кэша ускоряет загрузку страниц. А автозаполнение позволяет быстрее заполнить формы. Необязательно же номера кредиток туда вводить - мне, например, часто приходится вводить адрес. Другое дело, как это реализовано в конкретном браузере. Да, ИЕ, пожалуй, запомнит и номер кредитки, если автозаполнение включено, так именно поэтому я и приветствую появление InPrivate и аналогичных решений в других браузерах! История - тоже полезна, когда хочешь найти сайт, на котором был недавно (не все же в закладки вносить, это лишние действия на каждом сайте...). В блоге ИЕ приводились цифры относительно того, какой процент страниц пользователи посещают повторно. К сожалению, найти сейчас не могу, но он был весьма большим. 

Понятно, что с точки зрения обеспечения полной конфиденциальности - это все не лучшая практика, но надо признать, что не все настолько озабочены этим вопросом. И даже если рассказывать реальные страшилки, свои привычки люди вряд ли изменят. Минимализм - он не для всех, тем более, что по умолчанию производители браузеров включают большинство этих фич. А множество пользователей никогда даже не меняет стандартные настройки.

----------


## XP user

> С другой стороны меня несколько удивляет то, что если дыре пять лет, как вы говорите, *ее только сейчас кто-то проэксплуатировал.*


Это никто не утверждал. Они сейчас узнали то, что андерграунду уже давно известно. Я не ограничиваюсь в чтении только статьей признанных 'экспертов' (было бы поменьше таких, было бы возможно лучше) - я предпочтительно хожу на 'чёрные' ресурсы, потому что там можно услышать чаще то, что больше похоже на правду, особенно через PM.  :Smiley: 

*****




> Конечно, я считаю, что нужно информировать о таких уязвимости


Надо, но в первую очередь производителей самого продукта. Но что делать, если порядок там такой:

Я:



> У меня есть логи сниффера. Посмотрите, пожалуйста. По моему имеется серьёзная уязвимость.


Майкрософт:



> А кто ты, а что ты? Эксплойт есть? Если нет, отвали.


Я: 



> Знаете, вообще-то логи сниффера достаточно всё просто доказывают; экслпойт, видимо, уже есть


Майкрософт:



> 0 реакции


*****




> Например, использование кэша ускоряет загрузку страниц. [SNIP]


Я знаю назначение кэша, но дело в том, что там часто тоже находятся зловреды, которые сложно удаляются. Cчитается, например, что Опера чуть ли не самый безопасный браузер в мире. Вот журнал Др. Веб с апреля этого года:




> >C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGG.htm\Scrip  t.0 инфицирован VBS.PackFor
> 
> >C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGG.htm\Scrip  t.1 инфицирован VBS.PackFor
> 
> C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGG.htm - архив содержит инфицированные объекты
> 
> C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHG.html инфицирован Trojan.DownLoader.46279
> 
> C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGP.html инфицирован Trojan.DownLoader.46279
> ...


Причём, удаляется это всё не всегда так просто! Такие случаи здесь на форуме также встречаются. Ходят слухи, что в кэше Оперы зверь будет просто лежать в кэше и делать ничего не может. В Firefox и в IE, однако, я твёрдо знаю, что не так всё просто.

Про кэш Windows я в этот раз не буду. Достаточно сообщить, что он у меня чистится после каждого сеанса. Выход из Windows поэтому длится одну минуту дольше, чем обычно, но я считаю, что это того стоит.  :Smiley: 

Paul

----------


## ir0n

*p2u*
Паул, а как Вы при удалённых плагинах просматриваете YouTube?

----------


## XP user

> *p2u*
> Паул, а как Вы при удалённых плагинах просматриваете YouTube?


Не смотрю уже, и об этом не жалею - и там хакеры уже начали играть с перенаправлениями всякими. Сейчас точно не могу вспомнить, но была статья в разделе новостей об этом. Бывает, однако, что знакомые скачает оттуда файлы в формате *.flv*. Вот эти я могу смотреть.

Update: старею, видимо... ; тему сам создал:
Новый вирус маскируется под ролик YOUTUBE

Paul

----------


## ir0n

Статья очень интересная, большое спасибо, но конкретно эта опасность для соображающего пользователя едва ли уж так велика. Нормальный человек ни за что не согласится на такое скачивание.

А вот перенаправления... Значит, даже и без прав администратора туда ходить уже нельзя?

----------


## XP user

> А вот перенаправления... Значит, даже и без прав администратора туда ходить уже нельзя?


Это много сказано. Надо сравнить пользу с риском, всегда.  :Smiley: 

Paul

----------


## ir0n

Неужели даже Вы с Вашей суперзащитой, не сравнимой с моей, рискуете?
Я отключил у себя в Лисе все плагины кроме Shockwave. Удалить совсем, вроде, жалко, хотя не могу сказать, для чего они мне могут понадобиться, если всё что можно я стараюсь сначала скачать, а только потом уже смотреть

----------


## ananas

> я предпочтительно хожу на 'чёрные' ресурсы, потому что там можно услышать чаще то, что больше похоже на правду, особенно через PM


*p2u*, наверное, стоит предупредить любознательных, но неосторожных, что при хождениях по черным ресурсам можно на такую проверку нарваться, что в сравнении с заражением всякими троянчегами второе покажется лишь легким насморком?

----------


## XP user

> Я отключил у себя в Лисе все плагины кроме Shockwave. Удалить совсем, вроде, жалко, хотя не могу сказать, для чего они мне могут понадобиться, если всё что можно я стараюсь сначала скачать, а только потом уже смотреть


Смотрите спокойно - риск (вероятность) - невелик. Никто не обязан жить, как я живу.  :Smiley: 



> *p2u*, наверное, стоит предупредить любознательных, но неосторожных, что при хождениях по черным ресурсам можно на такую проверку нарваться, что в сравнении с заражением всякими троянчегами второе покажется лишь легким насморком?


А я разве призывал к этому? Не надо туда ходить если искать там нечего.  :Smiley: 

Paul

----------


## ir0n

> Смотрите спокойно - риск (вероятность) - невелик. Никто не обязан жить, как я живу.


Спасибо, Паул!  :Smiley:

----------


## Vadim Sterkin

> Это никто не утверждал. Они сейчас узнали то, что андерграунду уже давно известно.


Да, я некорректно сформулировал свою фразу, так что такой ответ ожидал  :Smiley:  Может и давно известно, и использовалось в каких-то целях, но массово эту уязвимость никто не проэксплуатировал. 

Так или иначе, я считаю, что уязвимость нужно устранять по факту обнаружения, а не по факту появления эксплойтов. И оправдываться за МС я не собираюсь, тем более, что я эту компанию не представляю  :Smiley: 




> Про кэш Windows я в этот раз не буду. Достаточно сообщить, что он у меня чистится после каждого сеанса. Выход из Windows поэтому длится одну минуту дольше, чем обычно, но я считаю, что это того стоит.


А что за кэш Windows такой? Речь о ClearPageFileAtShutdown?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> А что за кэш Windows такой? Речь о ClearPageFileAtShutdown?


Этот параметр на '1' = очистить кэш, да.

Paul

----------


## Vadim Sterkin

> Надо, но в первую очередь производителей самого продукта. Но что делать, если порядок там такой:


Конечно, в первую очередь нужно сообщать производителю. Я понимаю, что сообщения об уязвимостях со стороны могут быть легко проигнорированы корпорацией... И этот факт очень отталкивает. Возможно, нужно искать людей, которые хотя и со стороны, но чье мнение просто так проигнорировать не могут. Например, обратиться к MVP Windows Security (Consumer или Enterprise, в зависимости от проблемы). Список MVP можно найти здесь. MVP нередко имеют прямой выход на продуктовые группы или могут его найти. Это не панацея, впрочем, поскольку МС не обязана отчитываться перед MVP. Однако к мнению признанных ей же экспертов корпорация скорее прислушиватся, чем к людям со стороны.




> Про кэш Windows я в этот раз не буду. Достаточно сообщить, что он у меня чистится после каждого сеанса. Выход из Windows поэтому длится одну минуту дольше, чем обычно, но я считаю, что это того стоит.


Одну минуту или нет, зависит, видимо, от размера файла подкачки. Насколько я знаю, ClearPageFileAtShutdown очищает содержимое файла подкачки не при завершении сеанса, а при завершении работы Windows, т.е. фактически при выключении компьютера или перезагрузке. К безопасности Windows эта процедура имеет весьма косвенное отношение. Если у злоумышленника есть физический доступ к компьютеру, то он уже сильно скомпрометирован, хотя содержимое файла подкачки враг не получит  :Smiley:  Если же физического доступа нет, то остается вариант с дистанционным взломом выключенного компьютера. Честно говоря, я не знаю, как это делается, но не исключаю, что это возможно. В вашей домашней сети такая возможность тоже не исключена, видимо?

----------


## XP user

> Насколько я знаю, ClearPageFileAtShutdown очищает содержимое файла подкачки не при завершении сеанса, а при завершении работы Windows, т.е. фактически при выключении компьютера или перезагрузке.


Ну да, у меня так и получается, так как запрещено переходить с одного профиля к другому.



> хотя содержимое файла подкачки враг не получит


С помощью легкодоступных инструментов *можно* отыскать важные данные; единственное условие - выйти из самой Windows.  :Smiley: 

Paul

----------


## Vadim Sterkin

Гм... я понимаю, что у вас запрещено быстрое переключение между пользователями, но выход из сеанса (log off) у вас же должен быть. Или вы перезагружаетесь каждый раз, когда нужно войти с другими учетными данными? 

Насчет важных данных не очень понял. Если есть физический доступ, то получение важных данных, скорее всего, вопрос времени. 

В общем я считаю, что твик с отключением файла подкачки имеет смысл в очень ограниченном количестве сценариев. А среднему домашнему пользователю он нужен меньше всего, ибо давая неочевидные преимущества в безопасности, замедляет выключение компьютера.

----------


## XP user

> Гм... я понимаю, что у вас запрещено быстрое переключение между пользователями, но выход из сеанса (log off) у вас же должен быть. Или вы перезагружаетесь каждый раз, когда нужно войти с другими учетными данными?


Log Off тоже убрал. Я перезагружаюсь, когда надо администрировать.




> Насчет важных данных не очень понял. Если есть физический доступ, то получение важных данных, скорее всего, вопрос времени.


Вопрос *много* времени, угу. 




> В общем я считаю, что твик с отключением файла подкачки имеет смысл в очень ограниченном количестве сценариев. А среднему домашнему пользователю он нужен меньше всего, ибо давая неочевидные преимущества в безопасности, замедляет выключение компьютера.


Это относится ко многим твикам. Даже если вероятность эскплойта 0.01 % - если я знаю твик, я буду его применять; профессиональная деформация видимо. Кличка у меня среди знакомых - 'Нострадамус'. Ещё 5 лет назад никто не верил, что можно через безобидные яваскрипты в браузере заражать систему. Теперь знают.  :Smiley: 
P.S.: Компьютер сам выключается - я выключаю комп как все. Одна минута не так уж много замедления. Только первый раз может длиться дольше из-за большого объёма кэша.

Paul

----------


## rhsyrby

Уважаемые эксперты!

При применении WWDC, а именно при отключении NetBios и перезагрузке пропадает сеть. Нашёл, что от NetBios зависит DHCP, а без него у меня сети нет. Если отключать DHCP в службах - сеть пропадает мнгновенно, в трее - "частичное подключение" Ethernet-адаптера, поиск сетевого МАС-адреса. Пришлось NetBios вернуть назад, порты UDP 137, 138 открыты, TCP 139 - открыт и ожидает соединения. Что можно сделать в моём случае?

Windows XP SP3, подключение - минипорт WAN(PPPoE), Eset SmartSecurity 3.0.672

----------


## XP user

> При применении WWDC, а именно при отключении NetBios и перезагрузки пропадает сеть. Нашёл, что от NetBios зависит DHCP, а без него сети нет. Если отключать DHCP в службах - сеть пропадает мнгновенно, в трее - "частичное подключение" Ethernet-адаптера, поиск сетевого МАС-адреса. Пришлось NetBios вернуть назад, порты UDP 137, 138 открыты, TCP 139 - открыт и ожидает соединения. Что можно сделать в моём случае?


Это так - при применении WWDC вы получаете соответственное предупреждение. Тулза умеет отключить NetBIOS частично, так чтобы ваша сеть не страдала. DHCP не следует отключить если у вас либо ADSL, либо dial-up, либо VPN. 
DHCP не оставляет порты открытыми - то есть: svchost 'слушать' не будет на портах. У меня, например, (я в Corbina теперь) DHCP работает, но NetBIOS отключён.
P.S.: Какой у вас тип сетевого подключения? Я тоже пользуюсь WAN (PPPoE), но протоколы могут быть разными.
P.S.2: Это не попытка анти-рекламы, но я не исключаю, что виноват в ваших проблемах - ESET. Слишком smart на мой вкус.
P.S.3: (Без обиды, и только для непонимающих) если вы пользуетесь WAN (PPPoE), то тогда вы, скорее всего, должны после перезагрузки сначала *вручную* включить сеть, иначе действительно ничего не будет.

Paul

----------


## rhsyrby

> DHCP не оставляет порты открытыми - то есть: svchost 'слушать' не будет на портах


139 TCP - слушает  :Sad: 




> P.S.: Какой у вас тип сетевого подключения? Я тоже пользуюсь WAN (PPPoE), но протоколы могут быть разными.


Как и где мне это уточнить?  :Clapping: 




> P.S.2: Это не попытка анти-рекламы, но я не исключаю, что виноват в ваших проблемах - ESET. Слишком smart на мой вкус.


В части файрволла? Или как комплекс? Лучше будет NOD + отдельный файрволл?
Если можно, конкретные рекомендации, комп не очень мощный.




> P.S.3: (Без обиды, и только для непонимающих) если вы пользуетесь WAN (PPPoE), то тогда вы, скорее всего, должны после перезагрузки сначала *вручную* включить сеть, иначе действительно ничего не будет.


Какие обиды, к вам - только уважение! У меня в папке "Сетевые подключения" - два значка: 
1) Подключение по локальной сети, от сетевого адаптера, именно он после отключения DHCP в службах или NetBios в WWDC становится полупрозрачным и анимированным (бегает шарик), и отображается в таком виде в трее.
2) "Подключение к интернет" - его я создал сам с помощью мастера подключений, также как и представители провайдера (NetByNet). И, конечно, я его включаю вручную.
Раньше, когда был Dial-Up, я службу DHCP отключал без последствий.
Переформулируя вопрос - как отключить порты 137 - 139, если нельзя отключать DHCP?

*Добавлено через 19 минут*




> Тулза умеет отключить NetBIOS частично, так чтобы ваша сеть не страдала


Так и сделал. Теперь в окне WWDC

А в ESS

----------


## XP user

> 139 TCP - слушает


Это не служба DHCP слушает.  :Smiley: 




> Как и где мне это уточнить?







> В части файрволла? Или как комплекс? Лучше будет NOD + отдельный файрволл?
> Если можно, конкретные рекомендации, комп не очень мощный.


Оставьте.




> Переформулируя вопрос - как отключить порты 137 - 139, если нельзя отключать DHCP?


В Windows XP:
*Выйти из сети* (из домашней тоже!) и:
1. В свойствах отдельно взятого соединения необходимо *удалить* (если имеется несколько сетевых подключений – повторить нижеследующее для остальных соединений) :
- Клиент для сетей Microsoft
- Служба доступа к файлам и принтерам сетей Microsoft

+

в Протокол Интернета (TCP/IP) – Дополнительно – WINS – отметить 'отключить NetBios через TCP/IP' и снять галочку 'Разрешить LMHost Lookup'

Проверить состояние следующих служб:
* Обозреватель компьютеров
* Модуль поддержки NetBios через TCP/IP
* служба TCP/IP NetBIOS Helper 
Желательно, чтобы тип запуска был 'отключён'. Перезагрузить комп после каждого изменения. Надо будет экспериментировать одним за другим. Обозреватель компьютеров можно в любом случае отключить, а с другими могут возникнуть проблемы, поэтому желательно один за другим.

Paul

----------


## rhsyrby

> удалить
> - Клиент для сетей Microsoft
> - Служба доступа к файлам и принтерам сетей Microsoft


Удалены во время установки ОС




> в Протокол Интернета (TCP/IP) – Дополнительно – WINS – отметить 'отключить NetBios через TCP/IP' и снять галочку 'Разрешить LMHost Lookup'


Оно!






> Проверить состояние следующих служб:
> * Обозреватель компьютеров
> * Модуль поддержки NetBios через TCP/IP
> * служба TCP/IP NetBIOS Helper


Отключены сразу после установки ОС

----------


## XP user

@ *rhsyrby* 

Покажите, пожалуйста, настройки вклади WINS в Протокол Интернета (TCP/IP) – Дополнительно.

Paul

----------


## rhsyrby

> @ *rhsyrby* 
> 
> Покажите, пожалуйста, настройки вклади WINS в Протокол Интернета (TCP/IP) – Дополнительно.
> 
> Paul




Сделал всё по вашим рекомендациям

----------


## XP user

@ *rhsyrby* 

Тогда, пожалуйста, покажите мне отчёт TCPView. Можно в личку. Я хочу посмотреть, кто открывает этот порт.

Paul

----------


## rhsyrby

> @ *rhsyrby* 
> 
> Тогда, пожалуйста, покажите мне отчёт TCPView. Можно в личку. Я хочу посмотреть, кто открывает этот порт.
> 
> Paul


Этот порт открывался именно из-за неправильных настроек.
Я сделал всё по вашим рекомендациям



> в Протокол Интернета (TCP/IP) – Дополнительно – WINS – отметить 'отключить NetBios через TCP/IP' и снять галочку 'Разрешить LMHost Lookup'


теперь этот порт закрыт

----------


## XP user

> Этот порт открывался именно из-за неправильных настроек.
> Я сделал всё по вашим рекомендациям
> 
> теперь этот порт закрыт


Я тоже так думаю. На что ещё жалуетесь?  :Wink: 

Paul

----------


## rhsyrby

> Я тоже так думаю. На что ещё жалуетесь? 
> 
> Paul


1. По прежнему терзают сомнения насчёт Eset SmartSecurity  :Wink: 
2. Что вы порекомендуете по поводу новых служб XP SP3:
Автонастройка проводного доступа
Агент защиты доступа к сети
Служба протокола EAP
Служба управления сертификатами и ключами работоспособности

----------


## XP user

> 1. По прежнему терзают сомнения насчёт Eset SmartSecurity 
> 2. Что вы порекомендуете по поводу новых служб XP SP3:
> Автонастройка проводного доступа
> Агент защиты доступа к сети
> Служба протокола EAP
> Служба управления сертификатами и ключами работоспособности


Явно открытых (в состоянии LISTENING) портов есть? Для этого нужен отчёт TCPView. Если нет, оставьте всё как есть.

Paul

----------


## alexsadko68

> @ *Vadim Sterkin*
> *Служба восстановления системы* 
> * Нагло мешает программам защиты бориться с зловредами. Если нужны доказательства, посмотрите в разделе 'Помогите'.
> * Кроме зловредов особенно ничего не восстанавливает. Когда она действительно нужна, она не может восстанавливать то, что нужно.
> * Она может восстанавливать ТОЛЬКО СИСТЕМНЫЕ файлы и папки. Недоделанная функциональность, короче. Программы третьих сторон (даже некоторые бесплатные) эту работу намного эффективнее делают.
> 
> Paul


Какие Например ?

----------


## pps

> Какие Например ?


Да хотя бы Acronis:
http://www.acronis.ru/homecomputing/products/trueimage/

----------


## Sopholos

Такого феерического бреда я еще никогда не читал от людей которые занимаются профессионально компьютерной безопасностью.
Ну никак не мог пройти мимо. Хотя ссылку на книгу и форум увидел совершенно случайно. Как только смог - так и зарегистрировался.
Начну по порядку:
Ну кхм книга.... хехе.. 35 страниц (предпросмотр печати в опере показал сию цифру) причем наверное больше половины в ней - описание ключей реестра и сервисов... это не книга, а брошюра/пособие. Ну да бог с ним. Сам пока не пишу т.ч. не смею сильно осуждать.
Далее начинается Текст Книги... Ну чтож:
Определения типов вирусов откуда взяты? С потолка? То что меня больше всего возмутило - 



> "Worm - ... Способ распространения у них такой же, как и у троянцев. ..черви направлены ... а на нанесение вреда системе. Главным образом это реализуется либо удалением системных файлов, либо модификацией / повреждением реестра, что делает систему неработоспособной."


 Это просто конгениально! Совершенно бредовое определение начиная с того, что черви распространяются автоматически и самостоятельно и заканчивая тем что червяк не занимается повреждением реестра. Если уж вы провели такую параллель между видами вирусов - потрудились бы расписать что червяк это только тип распространения зловредных программ, троян - тип зловредной программы которая распространяется в нагрузку к некому ценному контенту (собственно название Троянский конь вас на эту мысль не наводит), а вот вирус сам по себе - как раз занимается размножением по носителям самого себя и порче данных. И в реальном мире все это работает вместе - бакдор распространяется в виде вируса и червя. Сам бакдор либо крадет данные либо делает из системы "зомби" ну и так далее в таком духе.
Загляните хотя бы в википедию. Но если у вас есть более авторитетный источник информации (вики честно говоря не фонтан) с именно такими определениями как в "книге" - укажите его.
Далее 


> "Незащищенный компьютер в сети остается чистым в среднем 20 минут."


 - можно ссылку на источник?



> "Кроме того, системные и прочие службы могут открывать порты на компьютере."


 А простые программы этого не могут? Зачем акцентировать внимание именно на этом?



> "Действие LISTENING обычно и используется системными службами."


 - аналогично.



> "UPS (Uninterruptible Power Supply)" - какое отношение ЭТО имеет к "Безопасный Интернет"


? Сия книга является сборником всего, что автор знает про безопасность данных?



> "При включении DEP для всех программ система может пропустить несколько вирусов и затем начать выгружать ваш антивирус и брандмауэр, найдя их действия недопустимыми" ну я просто в восторге. "DEP плохой потому что антивирус не справился со своей задачей и когда опомнился начал использовать методы против которых собственно и направлен DEP"


. Не система пропускает вирусы, а антивирус. Система вообще про вирусы знать не обязана.



> "Кроме того, следует выполнить следующую операцию: ... Правка - Найти - ввод 'NeverShowExt' - Enter."


 можно чуть подробнее за что отвечает параметр?



> "Если при включенном показе расширений вы удалите старое имя полностью и переименуете readme.txt просто в readmenot, в дальнейшем у вас могут быть проблемы с открытием этого файла."


 таки для кого написана книга? Для обычных чайников которые после всех этих советов полезут на форумы со слезами на глазах от того что ничего не работает или все таки для продвинутых пользователей? Или для интересующихся идиотов (ламеров) которые потом еще и всех задолбают стонами что винда - говно?



> "Такой пароль нельзя взломать благодаря ошибке программистов Microsoft - он сохраняется как пароль нулевой длины."


 наверное стоит переформулировать, иначе выглядит полнейшим бредом.



> "Данные, находящиеся в зашифрованных папках, не подвержены повреждению вирусами."


 три раза ХА! Изменить или украсть - может и не смогут. А вот удалить или повредить - да 100%. Чего стоит удалить папку? Или файл где хранятся зашифрованные данные?



> "Windows Worms Doors Cleaner (http://www.firewallleaktester.com/wwdc.htm)"


 запускаем на Vista "Error : Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\Messenger\)" Таки может не стоит приводить ссылки на программы которые не совместимы с ос которой уже два года? И таких ссылок по всей "книге" очень много, не говоря уж о форуме.



> "· DNS-клиент - служба кэширования DNS, делающая запросы на соотношение доменных имен и IP-адресов. Каждая программа может самостоятельно делать этот запрос."


 хехе, почитайте что она делает http://support.microsoft.com/kb/318803



> "· MS Software Shadow Copy Provider - служба, обеспечивающая поддержку теневого копирования тома (т.е. функции копирования файлов, даже если они в данный момент используются). Постоянно эта служба не требуется."


 динь-динь! висте - два года. никогда не видели там пункт меню - Restore previous version? 



> "Брандмауэр Windows/Общий доступ к Интернету (ICS) [Windows Firewall/Internet Connection Sharing]"


 угу-угу. 


> "Антивирусом и брандмауэром должна быть оснащена любая машина в Сети "


 - поставьте и отключите. Все. Оснащено.



> "Блокировать всплывающие окна: Отключить"


 не совсем понял как это поможет безопасности....



> "FileMonitor" "RegMonitor"


 - они устарели давно. Давным-давно написан тем же сисинтерналсом новый софт для этих целей. Я поражаюсь тому что "эксперт" выставялет где только можно устаревший морально и физически софт.

Далее, форум оказался еще интереснее.
Сразу вопрос - защищаемся от 1) интернет 2) майкрософт 3) взломщика с монировкой 4) или просто брызжем слюной на то как все плохо?
По топику, про отключение автоапдейта разжевали до меня, ладно опускаем. Хотя я нифига не согласен с отключением автоапдейта и ручным его запуском "раз в месяц"



> "То, что 'Майкрософт так считает' отвергаю как аргумент."


 супер! Особенно в контексте того что мс считает про свой продукт.



> "Belarc Advisor: Тестируем безопасность XP Pro"


 - это устаревшее поделко под висту не актуально. Очнитесь, 2008 год на дворе.



> "Background Intelligent Transfer Service ... Эта служба-проститутка:"


 ага, а виндовс - это ось-проститутка - позволяет win32 вирусам запускаться: "Майкрософт говорит, что это не баг - а свойство."




> "Эталон CIS (Center for Internet Security) является компромиссом экспертов по всему миру. Я был один из 9, которые настаивали на то, чтобы отключить RunAs"


 из 9? кто оставшиеся 8? Сколько всего было экспертов?




> "И это сказкой оказалась - вспомним хакеров, которые хакнули Висту через флеш плеер. Правда, фишка там была в том, что Флеш плеер не поддерживает DEP"


 дааа... виста плохая потому что 3rd patry софт косячный. Как дети.




> "Согласен. Акцент сделан на XP. Когда она была написана, про Висту было очень мало данных. Поэтому надо бы 'ДО Висты' понимать как 'Не включая Висту'..."


 а когда она была написана? Внизу вижу 2007. Виста релизнулась в ноябре 2006 + еще довольно продолжительное время была в статусе беты рц1 рц2 и работала, чего не скажешь про 3rd party софтины которые и сейчас не работают на висте.



> "Ещё раз говорю, что Майкрософт считала, что Vista un-hackable."


 а вы как ребенок верите всему что вам говорят? Какой-то непонятный специалист по инфобезу...



> "...отключить Windows Defender (несовместим со многими программами защиты)"


 а не наборот?



> " В результате смогли хакнуть Висту, потому что Флеш плеер в нём построен, и тоже 'слушает' (то есть - принимает незапрашиваемые данные)."


 чего-чего сделан? встроен что ли? правда что ли?



> "Больше заражений на Висте, чем на Win2000, которую Microsoft уже давно бросила?! Естественно скоро 'ещё лучше' будет..."


 ну этот бред участник форума уже откомментировал.



> "Кто хочет, тот и найдёт высказывания экспертов о том, что Vista НЕ лучше, чем XP с точки зрения безопасности."


 вот беда... вы тоже себя ставите экспертом, а получается не складно и не убедительно. Вы про экспертов аналогичных себе? Может дадите ссылку на развернутую статью известных экспертов где расписано что хуже в висте чем в хп?



> "Когда компании стирают свои бухгалтерские данные от органов, знаете, сколько можно ещё найти 'благодаря' Индексирования Майкрософта?  CCleaner и подобные что-то делают, но до конца они НЕ МОГУТ убрать следов."


 так топик про интернет или про черную бухгалтерию?




> "Майкрософт: Цитата:А кто ты, а что ты?"


 А действительно. Кто?




> "Я знаю назначение кэша, но дело в том, что там часто тоже находятся зловреды, которые сложно удаляются. Cчитается, например, что Опера чуть ли не самый безопасный браузер в мире. Вот журнал Др. Веб с апреля этого года:"


 И что? Это только подтверждает то что оперой ходили на зараженные страницы. И она их благополучно закешировала. Если там небыло вирусов которые продырявят оперу - причем тут безопастность?




> "Кличка у меня среди знакомых - 'Нострадамус'. Ещё 5 лет назад никто не верил, что можно через безобидные яваскрипты в браузере заражать систему. Теперь знают."


 тоже мне ванга "The first JavaScript exploit of HTML mail capabilities was developed by Andrew Maltsev in December 1997." http://www.tbtf.com/resource/mail-html-ru.html

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Hanson

:Shocked:

----------


## Alex_Goodwin

ИМХО: Ну частично вы правы - ошибки имеются. Но эта работа лучше чем ничего. Напишите лучше - будем вашу работу рекоммендовать.

----------


## Lego

Позвольте поинтересоваться, за что забанили Sopholos ? Как я вижу, оскорблений и прочих нарушений не было, весьма четко и аргументировано опровергнуты многие высказывания автора книги...

----------


## DVi

> весьма четко и аргументировано


Две трети высказываний в стиле "ггг, лол, клоун" не считаются "аргументированным опровержением" в приличном обществе.




> оскорблений и прочих нарушений не было


А вот этого как раз более чем достаточно.

Научитесь выражать свои мысли без применения оскорблений, и Вас не будут банить.

----------


## Lego

> Две трети высказываний в стиле "ггг, лол, клоун"


Перечитал третий раз - не заметил ни иденого такого высказывания...



> А вот этого как раз более чем достаточно.


А можно поконкретнее, с цитатами, а то тоже не вижу оскорблений... вижу только цитаты автора и вполне логичные и обоснованые ответы, с четкими пояснениями...

п.с. автору совет: посмотреть, как пишут правильно книги по безопасности - http://files.zipsites.ru/fishchel/Sk...eniya_RUS.djvu

----------


## WarBeast

Все-таки хотелось бы услышать ответы автора на комментарии Sopholos.
Sopholos вроде правильно все написал. А в книге наоборот, пренебрежение рекомендациями MS, а MS вроде, лучше нас должны знать как работает их продукт.

----------


## light59

> "Незащищенный компьютер в сети остается чистым в среднем 20 минут." 
> - можно ссылку на источник?


Мне когда-то и 5ти минут хватило  :Smiley:

----------


## Geser

С Sopholos снят бан. Однако комментарии в таком тоне недопустимы. Будет обычное предупреждение с надеждой что в будущем поведение на форуме будет корректным. Если же надежды не оправдаются будет бан и автору и группе поддержки. Уж простите меня, но на этом форуме корректное общение без склок и оскорблений является главным условием.

----------


## NickGolovko

> А можно поконкретнее, с цитатами, а то тоже не вижу оскорблений... вижу только цитаты автора и вполне логичные и обоснованые ответы, с четкими пояснениями...





> Все-таки хотелось бы услышать ответы автора на комментарии Sopholos.
> Sopholos вроде правильно все написал. А в книге наоборот, пренебрежение рекомендациями MS, а MS вроде, лучше нас должны знать как работает их продукт.


Прошу меня извинить, уважаемые посетители, но я не буду комментировать сообщение, начинающееся с упоминания "феерического бреда". Подобные фразы автоматически обесценивают все сообщение, поскольку из них незамедлительно становится ясно, что пишущий не заинтересован в ведении адекватной дискуссии, т.е. является троллем.

----------


## WarBeast

> Прошу меня извинить, уважаемые посетители, но я не буду комментировать сообщение, начинающееся с упоминания "феерического бреда". Подобные фразы автоматически обесценивают все сообщение, поскольку из них незамедлительно становится ясно, что пишущий не заинтересован в ведении адекватной дискуссии, т.е. является троллем.


Тоесть возразить нечего?

Мне лично очень не понравилась идея отключать виндовс апдейт, с которым приходят в том числе и "антивирусные средства".

Ну и вообще, заявления противоречащие политике MS.

----------


## NickGolovko

> Тоесть возразить нечего?


Ложная атрибуция, см. пункты 4 и 5 Памятки участника дискуссии.

----------


## WarBeast

> Ложная атрибуция, см. пункты 4 и 5 Памятки участника дискуссии.


 
А по существу?

Я привык так. Ставлю операционку, активирую, инсталирую офис, запускаю виндовс апдейт, который подкачивает обновления и драйвера. Автоматическое обновление позволяет иметь всегда последние драйвера и заплатки и исправления ошибок. Мне как пользователю не надо заботиться о том когда и что вышло.
Кроме того, заплатки устанавливаются максимально оперативно!

----------


## ananas

*NickGolovko*, спасибо, что положили начало. Ведь у Сборника могут быть после первой редакции и последующие, с учетом пожеланий и критики?

*Geser*, спасибо. Может и до конструктивных предложений дело дойдет для общей пользы.

*Sopholos*, давайте Книжку лучше или присоединитесь к составителям? И нечего ржать. Кто ничего не делает, не допускает и ошибок. Вы что считаете, что лучше просто наплывы в Помогите! тех, кто вообще ничего не знает, в т.ч. не знает, где можно узнать?

ИМХО, то, что Сборник есть - уже хорошо. Что в названии про Интернет, а вопросы рассматриваются шире - тоже. Удобно, если рекомендации по безопасности все в одном месте. Это же - рекомендации. Кроме этого еще и моск надо иногда включать. А этот топик как раз для выяснения непонятных вопросов.

----------


## drongo

warbeast, Я вот жду, когда наконец до разработчиков Майкрософт дойдёт что для обновления нужен процесс который сам пользователь решит когда ему запускать без сопутствующих сервисов, которые могут быть использоваться для других нужд.Существует целое семейство троянов которое использует BITS для для своей эксплуатации исключительно потому что это фича оставлена всем кто хочет.Антивирус на момент заражения может и не знать данного зловреда, поэтому как привентивная мера- этот метод работает против данного семейства очень успешно.Когда BITS отключён- данные зловреды не активны.В виндоус Нет никакого  явного механизма запретить использования  BITS другим процессам.Почему?  Возможно вы передадите в Mайкрософт данное пожелание, если вам не нравиться. Я уже писал, но пока бесполезно. Надеюсь у вас получиться.
Eсли будете писать,в догонку ещё про Terminal sevice-  необходим механизм+ жёсткие правила объясняющие какой процесс может использовать его,  а остальные нет. 
Списком "разрешённых" пользователь должен иметь возможность рулить.

----------


## Зайцев Олег

> А по существу?
> 
> Я привык так. Ставлю операционку, активирую, инсталирую офис, запускаю виндовс апдейт, который подкачивает обновления и драйвера. Автоматическое обновление позволяет иметь всегда последние драйвера и заплатки и исправления ошибок. Мне как пользователю не надо заботиться о том когда и что вышло.


А по существу все просто - большинство пользователей, особенно в глубинке нашей страны, не имеют безлимитного и скоростного Инет. И выкачать десятки (а то и сотни) мегабайт обновления по GPSR или модемному соединению для них просто нереально ... вот поэтому обычно такие машинки или специально обновляют раз в некоторое время (при подключенном Инет и в специально отведенное для обновления время и имея проплаченны трафик), или приносят апдейты на флешке от знакомого админа из конторы, где есть возможность их загружать... Вот таковы суровые реалии. Конечно, если операционка лицензионная и имеется безлимитный канал со скоростью 512 кбит и более, то нет никакого резона отключать автоапдейт - пускай себе апдейтится хоть круглые сутки. Это первый аспект ... второй - это служба фоновой интеллектуальной передачи данных, BITS. Есть туча зверей, которые очень неплохо ее используют для своих целей. Это отличная дыра в системе, и неких опций типа "Разрешить BITS только для сайтов, поименованных в списке" + список сайтов MS к сожалению нет. Это не означает, что ее повально нужно душить - но задуматься стоит. Автор не не предлагает это делать всепренепременно и принудительно - он описывает свое видение вопроса так, как считает это правильным с учетом текущих реалий.

----------


## WarBeast

Про глубинку... Большенство кластеров, вроди Томска или Челябинска и т.д. Имеют локальные сервера апдейта, так что "внешка" не нужна. Также они присуцтвуют к примеру в корбине.

Я вижу это так. Закрывая БИТС, мы закрываем одну дырку. НО! Мы не даем, по мере возможности закрывать многие другие. Ну и социальная инженерия, человек не будет ставить апдейты, пока свинья не клюнет.
Уточню, я рассуждаю как простой пользователь.

----------


## drongo

> Я вижу это так. Закрывая БИТС, мы закрываем одну дырку. НО! Мы не даем, по мере возможности закрывать многие другие. Ну и социальная инженерия, человек не будет ставить апдейты, пока свинья не клюнет.
> Уточню, я рассуждаю как простой пользователь.


Так можно ведь сделать службу обновления исключительно для обновления системы, а не попутно  для троянов как это сделано сейчас, без всякого контроля.

Протокол  BITS- это фича, НО не нужнa мне такая фича, даже за деньги.

----------


## sergey888

Согласен что сообщение Sopholos написано в непозволительном тоне для данного форума. Нет есть конечно форумы где такое сообщение в порядке вещей я бывало и не так заворачивал у вас бы у всех уши завяли, но тут идет обсуждения серьезных тем и надо относится друг к другу подобающе.
Например что за высказывание:



> Или для интересующихся идиотов (ламеров) которые потом еще и всех задолбают стонами что винда - говно?


Ну я например если сравнивать меня с большинством пользователей на форуме ламер да еще какой ламер, но не стоит сравнивать это с идиотизмом. Если вам ваши знания голову жмут, то это не значит что у кого этих знаний нет идиоты. 
Да и вообще, если все с чем вы не согласны называть бредом то вокруг все сообщения начинались бы с этого слова.
А мне например книга "Безопасный Интернет. Возможно ли это?" очень помогла. Это первая книга по информационной безопасности которую я прочел и я считаю для такого ламера как я она была очень полезна.  :Wink:

----------


## Зайцев Олег

> Про глубинку... Большенство кластеров, вроди Томска или Челябинска и т.д. Имеют локальные сервера апдейта, так что "внешка" не нужна. Также они присуцтвуют к примеру в корбине.
> 
> Я вижу это так. Закрывая БИТС, мы закрываем одну дырку. НО! Мы не даем, по мере возможности закрывать многие другие. Ну и социальная инженерия, человек не будет ставить апдейты, пока свинья не клюнет.
> Уточню, я рассуждаю как простой пользователь.


И как эти сервера помогут человеку на дозвонке или с GPRS ?  :Smiley:  Я же отмечал в своем посте - если у человека есть более или менее нормальный канал, то разговор совершенно другой... А пока реалии таковы - далеко не во всех крупных городах есть нормальный Инет, провайдеры поползли развивать в них сеть в 07-08 году, да и то пока это "процесс в стадии" - а чуть в глубинку, и все, каюк. Это я точно знаю, так как энергосистема накрывает область целиком, и данные о том, что и как с каналами и Инет в глубинке я знаю точно - по данным своей энергосистемы и от соседних. 
Второй аспект - автоапдейт актуален для лицензионной системы. А если она левая ?  :Smiley: 
Ну и третий - а действительно, что мешает доработать BITS так, чтобы она могла обмениваться только с довренными серверами. Сложного ничего я не вижу, и очередным апдейтом это несложно сделать ... но не делается, так как эту службу применяет туча всевозможного ПО - от троянов до антивирусов.

----------


## WarBeast

> Второй аспект - автоапдейт актуален для лицензионной системы. А если она левая ?


Я не думаю что корректно обсуждать подобные вещи, но, автоапдейт не требует ВГА, а также есть масса методов его обойти.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Я не думаю что корректно обсуждать подобные вещи, но, автоапдейт не требует ВГА, а также есть масса методов его обойти.


Креки/хаки и методы обхода обсуждать не корректно, но тем не менее - автоапдейт кстати устанавливает компоненты проверки подлинности системы, я видел его срабатывание этих компонент ... Вот поэтому и вывод - автоапдейт хорош при условии, что есть нормальный Инет и нормальная легально купленная операционка (и я например в такой ситцации всегда советую его включить и ставить апдейты по мере выхода). В остальных случаях или проблема как загрузить апдейт, или проблема от того, что он загрузился  :Smiley:  Вот поэтому я например воздерживаюсь от огульной пропаганды включения или отключения автоапдейта - если я например настойчиво буду советовать пользователю с GPRS каналом включить автоапдейт и ставить все заплатки, он сочтет меня идиотом (так как ему 1-2 мегабайта загрузить и то проблема, а скажем 50-100 мб вообще нереально).

----------


## drongo

> Ну и третий - а действительно, что мешает доработать BITS так, чтобы она могла обмениваться только с довренными серверами. Сложного ничего я не вижу, и очередным апдейтом это несложно сделать ... но не делается, так как эту службу применяет туча всевозможного ПО - от троянов до антивирусов.



А почему нельзя добавить  в этот BITS  список  правил ,доверенных приложений и так далее? Более интересно было бы иметь возможность посмотреть и редактировать данный список. 
Я бы разрешил только тем програмам по тем  IP которым хочу, остальным бы запретил и поставил пароль на изменение .Потому что, если будет большой список- будет тормоз  :Wink:

----------


## Зайцев Олег

> А почему нельзя добавить в этот BITS список правил ,доверенных приложений и так далее?


Видимо главная проблема - использующее BITS стороннее легитимное ПО. Если активировать фильтр, то оно перестанет работать как положено ... Если выдавать запросы обучения - система заколебает запросами, а трояны научатся кликать "Да" в диалогах запроса. Сделать режим обучения и хранение разрешительно/запретительной базы в реестре - получим то, что получили с втроенным FW - каждый второй троян правит его настройки или управляет им через командную строку. 
С другой сторого, ничто не мешает скажем в локальные политики безопасности хотя-бы ввести фичу - "разрешить службе BITS работать только с серверами Microsoft", по умолчанию в положении "отключено". Во многих случаях активация этой опции никакого ущерба работе другого ПО не нанесло бы ...

----------


## drongo

> С другой сторого, ничто не мешает скажем в локальные политики безопасности хотя-бы ввести фичу - "разрешить службе BITS работать только с серверами Microsoft", по умолчанию в положении "отключено". Во многих случаях активация этой опции никакого ущерба работе другого ПО не нанесло бы ...


я за "фичу", напишите в майкрософт, может прислушаются  :Smiley:

----------


## Макcим

> Видимо главная проблема - использующее BITS стороннее легитимное ПО.


А кто им пользуется? Мне просто такой софт не попадался.

----------


## ananas

> А кто им пользуется?


Наверное, если в Центре обновления Винды включить Получать обновления для других программ Микрософт, например Офиса.

----------


## Sopholos

> Sopholos, давайте Книжку лучше или присоединитесь к составителям?


В смысле чтобы я книжку получше написал? Нет, я писать не буду ибо понимаю что знаний не хватает.
А пример книжки уже по моей просьбе лего кинул - http://files.zipsites.ru/fishchel/Sk...eniya_RUS.djvu
Она правда давно устарела, для 2к и для серверных машин в основном. Но зато если уж там написано что надо отключить винапдейт, то расписано по полочкам зачем, что делать и как обойтись и что делать с обновлениями вообще.




> И нечего ржать.


Я и не ржал, я критиковал. Может с формой критики и перегнул немного %)




> Кто ничего не делает, не допускает и ошибок.


Так я ведь не утверждал обратного. Но ошибки можно исправить, благо книга электронная.




> Вы что считаете, что лучше просто наплывы в Помогите! тех, кто вообще ничего не знает, в т.ч. не знает, где можно узнать?


А вы считаете что от этой книги наплывов тех кто не знает будет меньше? %)
Я так считаю что будет с точностью до наборот, к проблемам вирусов добавяться проблемы неработающего софта.




> Что в названии про Интернет, а вопросы рассматриваются шире - тоже.


А помоему там слабо освещены вопросы защиты в интернет чтобы еще освещать вопросы просто защиты данных.





> warbeast, Я вот жду, когда наконец до разработчиков Майкрософт дойдёт что для обновления нужен процесс который сам пользователь решит когда ему запускать без сопутствующих сервисов, которые могут быть использоваться для других нужд.


Простая аналогия - outlook использует smtp протокол. Smtp протокол используют и спамботы.
Сокеты используют все сетевые программы. Сокеты используют и зомби компьютеры для связи с сервером.
Теперь придется запретить smtp протокол для всех кто не аутлук, а сокеты для всех невиндовых приложений?
Или как?




> Существует целое семейство троянов которое использует BITS для для своей эксплуатации исключительно потому что это фича оставлена всем кто хочет.


см выше.




> В виндоус Нет никакого явного механизма запретить использования BITS другим процессам.Почему?


Возможно потому почему и фаервола не было до сп2. Но я согласен что это не есть хорошо. Ну чтож. А где производители антивирусов которые контролируют всех и вся? Тотже касперский блокирует запросы непонять кого к битс? Ну или какой другой антивирус? И если да то когда начал - дату пожалуйста.




> Это отличная дыра в системе, и неких опций типа "Разрешить BITS только для сайтов, поименованных в списке" + список сайтов MS к сожалению нет.


Ну это тоже не совсем верно, даже совсем не верно. В висте фаервол имеет в своих правилах пункт - применимо к сервису - можн оуказать тотже битс. И диапазон ип куда можно




> Так можно ведь сделать службу обновления исключительно для обновления системы, а не попутно для троянов как это сделано сейчас, без всякого контроля.


Надо просто понять что троян это обычное приложение которое использует документированные средства виндовс. И сразу отпадут такие утверждения. И придет понимание - почему так сложно ловить трояны котороых нет в сигнатурах и которые не занимаются ничем таким как вирус или червяк, а просто сидят и делают свою работу по краже паролей или рассылке спама ДОКУМЕНТИРОВАННЫМИ способами.




> Ну я например если сравнивать меня с большинством пользователей на форуме ламер да еще какой ламер, но не стоит сравнивать это с идиотизмом.


Не надо вырывать из контекста. Мой комментарий шел вместе с цитатой которая просто должна либо вызвать ухмылку читателя с достаточным уровнем знаний для кого и была собственно написана книгу (по словам авторов на форуме), либо просто обидеть своим снисхождением: ну дескать даай малышь объясню что к чему в винде и как компьютер выключать через пуск. Ну да ладно, этот коментарий не ключевой, хотя свю роль он тоже играет.




> Второй аспект - автоапдейт актуален для лицензионной системы. А если она левая ?


ВСЕ критические апдейты доступны АБСОЛЮТНО всем версиям виндовс - если только сами пираты не сломали. Такова политика мс - они не хотят сохранения ореола вирусной оси, пусть они теряют деньги на обслуживании пиратских версий ос, но в переспективе они выигрывают.




> Ну и третий - а действительно, что мешает доработать BITS так, чтобы она могла обмениваться только с довренными серверами.


1) Совместимость. Это бич все программистов и всех програмных продуктов.
2) Аналогичный пример в сокетами - почему бы не доработать так чтобы можно было коннектится только к доверенным ип? Чушь? Чушь.



> так как эту службу применяет туча всевозможного ПО - от троянов до антивирусов.


о чем собсственно и речь. Я пошукал в гугле, нашел windows update, drm songs, MSN Music http://entertainment.msn.com/help/requirements.aspx, Google Updater http://blog.palehorse.net/2008/02/13...-service-bits/
Если поискать подольше думаю найдется много софта, благо использовать битс не сложно никапли http://www.codeproject.com/KB/IP/bitsman.aspx




> Креки/хаки и методы обхода обсуждать не корректно, но тем не менее - автоапдейт кстати устанавливает компоненты проверки подлинности системы, я видел его срабатывание этих компонент ... Вот поэтому и вывод - автоапдейт хорош при условии, что есть нормальный Инет и нормальная легально купленная операционка


А давайте не будем обсуждать такие случаи, а?
А если будем то давайте рассмотрим все более реально - запуск кряка это очень хороший вариант запустить вирус. Если самостоятельно запускать вирусы - вообще о чем речь? Защитить от идиотизма невозможно никакими книжками.




> А кто им пользуется? Мне просто такой софт не попадался.


Один человек - не статистика.

*Добавлено через 11 минут*

Так, а вот для параноиков ссылка, запретить запуск всего что не разрешено
Заразится сможете если только САМИ запустите то чего запускать не надо, либо через эксплоит
http://technet.microsoft.com/en-us/l.../bb457006.aspx
Даже немного не так, сами запустите из вами добавленного доверенного места

----------


## drongo

Я не пользуюсь такими программами, которые используют BITS. Алгоритм моего поведения  примерно такой: Если программа мне очень нравиться и она использует BITS, то пишу разработчику. Далее, eсли разработчик не хочет переделать программу, то ищу альтернативы.
Во общем, не убедили. Я тоже могу кинуть статью  :Smiley:   Kстати, с цитатами аналитиков компании Симантек :Sad:  надеюсь, не будете говорить что их аналитики ничего не понимают в сфере компьютерной безопасности)
http://www.computerworld.com/action/...LT_VVR&nlid=37
С выводами  статьи я полностью согласен, компания майкрософт должна что-то сделать с BITS, разграничить его.Теперешняя политика:всем  можно использовать данный сервис, только пользуйтесь- губительна!
За 1.5 года со дня выхода этой статьи, майкрософт абсолютно  ничего не сделала в данном направлении.
Надежда умирает последней, может в новой системе Windows7 всё таки изменят политику.
 P.S.Насчёт статьи http://technet.microsoft.com/en-us/l.../bb457006.aspx -читал : не удобно настраивать, поэтому бросил  :Smiley:  Должен быть  активный модуль- менеджер с хорошим гуи. Пока майкрософ с 2002 года до сих пор его не изобрела.
Tолько, про BITS я там не нашёл ...буду признателен если дадите прямой линк.

 P.P.S. Maxim, нас теперь реально двое, кто не использует BITS, так как Sopholos
и WarBeast одно и тоже лицо. Кто третий?

----------


## drongo

Я не пользуюсь такими программами, которые используют BITS. Алгоритм примерно такой: Если программа мне очень нравиться и она использует BITS, то пишу разработчику. Если разработчик не хочет переделать программу, то ищу альтернативы.
Во общем, не убедили. Я тоже могу кинуть статью, кстати   с цитатами аналитиков компании Симантек:    (надеюсь, не будете говорить что их аналитики ничего не понимают в сфере компьютерной безопасности)
http://www.computerworld.com/action/...LT_VVR&nlid=37
С выводами  статьи я полностью согласен, компания майкрософт должна что-то сделать с BITS, разграничить его.Теперешняя политика:всем  можно использовать данный сервис, только пользуйтесь- губительна!
За 1.5 года со дня выхода этой статьи, майкрософт абсолютно  ничего не сделала в данном направлении.
Надежда умирает последней, может в новой системе Windows7 всё таки изменят политику.
 P.S.Насчёт статьи http://technet.microsoft.com/en-us/l.../bb457006.aspx -читал : не удобно настраивать, поэтому бросил  :Smiley:  Должен быть  активный модуль- менеджер с хорошим гуи. Пока майкрософ с 2002 года до сих пор его не изобрела.
Tолько, про BITS я там не нашёл ...буду признателен если дадите прямой линк.

 P.P.S. Maxim, нас теперь реально двое, кто не использует BITS, так как Sopholos
и WarBeast одно и тоже лицо. Кто третий?

----------


## Sopholos

> Я не пользуюсь такими программами, которые используют BITS. Алгоритм примерно такой: Если программа мне очень нравиться и она использует BITS, то пишу разработчику. Если разработчик не хочет переделать программу, то ищу альтернативы.


О! Вот кто сможет нам предоставить более полный список программ использхующих битс!
Можно попросить вывесить список? %)




> С выводами статьи я полностью согласен, компания майкрософт должна что-то сделать с BITS, разграничить его.Теперешняя политика:всем можно использовать данный сервис, только пользуйтесь- губительна!


Если читать мои посты внимательно то можно увидеть в них что я не спорил с этим.
Но опять же я привел способ каким можно ограничить битс определенными ip.




> P.S.Насчёт статьи http://technet.microsoft.com/en-us/l.../bb457006.aspx -читал : не удобно настраивать, поэтому бросил


А по книге удобно? %)




> Tолько, про BITS я там не нашёл ...буду признателен если дадите прямой линк.


Я не говорил что там про битс. Может уже хватит цепляться за аргумент с которым я согласился?




> так как Sopholos и WarBeast одно и тоже лицо.


Ошибаетесь

----------


## natalas

Уважаемый *Sopholos*
Смею вас уверить, что хотя бы на одного человека в "Помогите" стало меньше, и этот человек я.
Ну, в общем то, совсем простой пользователь. И это реальный факт.
Столкнувшись с проблемой, что надо как то защищаться в сети я сразу поняла, что не получить заражение становится для меня первоочередным вопросом, который позволит потом полноценно использовать все возможности сети.
Книга стала своеобразным толчком, который позволил мне двигаться в том направлении, которое я считаю правильным.
 И именно в этом контексте стоит рассматривать ее. Конечно, даже простое выполнение рекомендаций требует определенных усилий по освоению совсем нового.
Да вопросов много, но именно для этого и создан этот топик. Возможно это позволит автору выпустить новую редакцию, с учетом различных предложений. Но еще раз хочу повторить, как комплексный материал для начинающих книга весьма полезна. Именно так она и позиционируется,
 мне так показалось.
А ньюансы, более глубокое трактование той или иной проблемы можно ведь найти, в том числе и в других разделах на этом форуме.
Так что надо бы определиться
-Опровергаете полезность упомянутой книги для начинающих, что по моему мнению не верно.
-Вы ведете конструктивный диалог со специалистами по поводу разных вариантов построения
 защиты и ее тонкостей.
Это ответ от пользователя, за чьи интересы Вы ратуете.

----------


## Sopholos

> Смею вас уверить, что хотя бы на одного человека в "Помогите" стало меньше, и этот человек я.


А сколько добавилось/добавится? Нет такой статистики, поэтмоу я считаю что увеличится пока не доказано обратное.




> Ну, в общем то, совсем простой пользователь. И это реальный факт.


Объясняю различие между "простой пользователь" и "продвинутый":
Есть чайник. Обычный металлический чайник в котором кипятят воду. На газовой плите.
Есть два человека. Оба используют чайник. Оба обожглись. Оба прочитали инструкцию там написано допустим "брать в горячем состоянии с помощью прихватки".
Далее - первый просто использует прихватку, а второй начинает придумывать способы не использовать прихватку, либо исопользовать ее по другому, либо начинает читать литературу по чайникам, газовым плитам и прочее.
Угадай кто продвинутый, а кто обычный?
Подавляющее большинство людей просто использует вещи. Неважно - компьютер, чайник...
Другие ими профессинально занимаются, третьи пытаются охватить побольше знаний о предмете.
Но подавляющее ПРОСТО пользуется. Вот именно они - простые пользователи.

PS: Я не в танке, я понял что книга не для простых юзеров. Я лишь говорю что ест ьмоменты и общее впечатление создается такое что написано для простых пользователей - нет пояснений развернутых, пиведены непонятные советы не относящиеся к предмету, просто объяснение элементарных вещей.




> Это ответ от пользователя, за чьи интересы Вы ратуете.


Боюсь обидеть, но я не ратую за пользователей. Я высказал свое мнение о книге. Если хотите сравню ее в "Библией Delphi Фленова". Или с еще более фееричной его публикацией "Delphi глазами хакера". Те кто читал - поймут. Те кто не понимает в вопросе - поддержат Фленова. У всех более-менее разбирающихся программистов при упоминании Фленова начинает играть улыбка на губах.

----------


## priv8v

> я понял что книга не для простых юзеров


т.е для чудесных? (раз не для простых).  Ваше понимание лексического значения слова "простой" в данном контексте не важно, равно как и мое. Важнее как можно охарактеризовать того, кто будет читать эту книгу и пользоваться оттуда советами - в любом случае это начинающий человек в компьютерной области и в ИБ в частности. Сложных советов и разъяснений в книге нету, исходных кодов нету...
В общем - все предельно ясно и четко сказано. 
Изложенный в книге материал может помочь ориентироваться в защите своего компьютера и может стать первой ступенью в освоении тематики ИБ.

----------


## Sopholos

> Сложных ... и разъяснений в книге нету,


Угу, там их просто нету...

----------


## priv8v

а разве начинающему нужны сложные разъяснения?.. сказали, к примеру, нужно отключить такую-то службу и кое-что о ней сказали... неужели нужно описывать механизм работы службы и механизм работы эксплоита?..

нужно что-то сложнее? тогда такого "начинающего" можно отправить читать васм и майкрософт пресс )

----------


## Sopholos

> а разве начинающему нужны сложные разъяснения?.. сказали, к примеру, нужно отключить такую-то службу и кое-что о ней сказали... неужели нужно описывать механизм работы службы и механизм работы эксплоита?..
> 
> нужно что-то сложнее? тогда такого "начинающего" можно отправить читать васм и майкрософт пресс )





> Изложенный в книге материал может помочь ориентироваться в защите своего компьютера и может стать первой ступенью в освоении тематики ИБ.


Это книга или твикер? Как настройки без разъяснений помогут ориентироваться? Или цель книги обучить работе с regedit.exe и services.msc?

----------


## priv8v

в книге изложены простейшие понятия и простейшие объяснение для чего делаются те или иные действия. как могут нападать и через что и что делать, что бы защититься от перечисленного.

----------


## ananas

> А вы считаете что от этой книги наплывов тех кто не знает будет меньше? %)
> Я так считаю что будет с точностью до наборот, к проблемам вирусов добавяться проблемы неработающего софта.


Все же считаю, что проблем после прочтения будет меньше. В тексте достаточное количество раз повторяется "если". Нужно только над этими "если" задуматься: а оно лично мне надо? Или переспросить.



> А где производители антивирусов которые контролируют всех и вся? Тотже касперский блокирует запросы непонять кого к битс? Ну или какой другой антивирус? И если да то когда начал - дату пожалуйста.


Матусики кроме всего проводят тест BITS.
Дату не знаю.
А кто из экспертов поподробнее расскажет, что же в этом тесте проверяется?

----------


## Vadim Sterkin

> Прошу меня извинить, уважаемые посетители, но я не буду комментировать сообщение, начинающееся с упоминания "феерического бреда". Подобные фразы автоматически обесценивают все сообщение, поскольку из них незамедлительно становится ясно, что пишущий не заинтересован в ведении адекватной дискуссии, т.е. является троллем.


Гм... мои сообщения были написаны вполне корректно, и заинтересованность в ведении дискуссии я демонстрировал. Однако ни одного комментария от вас не услышал. Может стоит прямо указать причину? Нужное подчеркнуть -  "считаю свой материал идеальным", "вижу недостатки, но все равно не хочу ничего менять", "хочу внести исправления, но нет времени, поэтому будет все как есть". Вне зависимости от указанной причины это будет честно по отношению к читателям книги и участникам дискуссии.




> Важнее как можно охарактеризовать того, кто будет читать эту книгу и пользоваться оттуда советами - в любом случае это начинающий человек в компьютерной области и в ИБ в частности. Сложных советов и разъяснений в книге нету, исходных кодов нету...
> В общем - все предельно ясно и четко сказано.
> Изложенный в книге материал может помочь ориентироваться в защите своего компьютера и может стать первой ступенью в освоении тематики ИБ.


Ясность и четкость изложения не отменяет необходимости объяснять причины по которым дается тот или иной совет и последствия, к которым применение совета приводят. Не надо считать начинающего пользователя дураком, не способным прочесть и усвоить материал. Читатель сам решит, нужны ему подробности или нет. Тем более, что в эл. книге их легко скрыть JS-ссылкой "подробнее". Отказ от расширенной аргументации сродни жегловскому  "Я сказал!" с поправкой "можете не делать". Речь ведь не о том, что книга плохая или не помогает, а о том, что материал содержит спорные советы и его можно улучшить.




> P.S.Насчёт статьи http://technet.microsoft.com/en-us/l.../bb457006.aspx -читал : не удобно настраивать, поэтому бросил Должен быть активный модуль- менеджер с хорошим гуи. Пока майкрософ с 2002 года до сих пор его не изобрела.


Скажем прямо - ниасилил  :Smiley:  А человек, который перводил эту статью на русский язык (Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения) своих пользователей чудесно ограничил  :Smiley:  Что же касается GUI, то частично это реализовано в бесплатной Windows Steady State. Хотя с возможностями политик это сравнивать нельзя.

----------


## NickGolovko

> Гм... мои сообщения были написаны вполне корректно, и заинтересованность в ведении дискуссии я демонстрировал. Однако ни одного комментария от вас не услышал. Может стоит прямо указать причину? Нужное подчеркнуть -  "считаю свой материал идеальным", "вижу недостатки, но все равно не хочу ничего менять", "хочу внести исправления, но нет времени, поэтому будет все как есть". Вне зависимости от указанной причины это будет честно по отношению к читателям книги и участникам дискуссии.


Видите ли, я обычно предпочитаю не отвечать на вопросы по материалу, который принадлежит не моему авторству, поэтому я попросил Паула как разработчика рекомендаций по отключению служб отвечать на ваши вопросы. Так как я не автор, а автор-составитель, то при оказании технической поддержки по Книге я обращаюсь к тем специалистам, чей текст вызвал вопросы, либо отвечаю сам, если вопросы касаются моих текстов.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Sopholos

> Матусики кроме всего проводят тест BITS.


Я спрашивал не про тест, тест я и сам провести в силах. 
Я спрашивал про проактивную защиту от битс.




> А кто из экспертов поподробнее расскажет, что же в этом тесте проверяется?


Эксперты куда-то пропали или не хотят отвечать, поэтому отвечу я:
Там тупо используется bitsadmin (которого может и не быть в системе, хехе, что у меня и случилось) - консольная тулуза (похожая на schtasks) - добавляется задание, добавляеются загружаемыые файлы, запускается задача, задача ожидает завершения, стопается, получаем скачанный файл.

----------


## priv8v

> Ясность и четкость изложения не отменяет необходимости объяснять причины по которым дается тот или иной совет и последствия, к которым применение совета приводят. Не надо считать начинающего пользователя дураком, не способным прочесть и усвоить материал.


все зависит от точки приложения. вы с чем сравниваете?.. Я сравниваю с Рихтером - там, к примеру, местами и мне было не все ясно и понятно  :Smiley:

----------


## ananas

> отвечу я:
> Там тупо используется bitsadmin (которого может и не быть в системе, хехе, что у меня и случилось) - консольная тулуза (похожая на schtasks) - добавляется задание, добавляеются загружаемыые файлы, запускается задача, задача ожидает завершения, стопается, получаем скачанный файл.


А скачанный файл проверяется на зловредность и проактивно, и реактивно. И в запасе у юзера еще превентивная мера - вырубить BITS вообще, если доверия к первым двум способам проверки нет. Выходит так и нет?

----------


## natalas

Уважаемый Sopholos.
Честно сказать, меня удивило, что Вы восприняли "Книгу", как пособие "не для простых юзеров". Я то как раз поняла, что это для начинающих, ну и воспользовалась.  :Smiley:  Причем в тот момент подробные разъяснения как раз были и не нужны - ну не поняла бы все равно ничего. Все это пришло потом. да честно сказать. и сейчас продолжается. 
Кстати, здесь на форуме есть вопросы от  юзеров, прочитавших книгу и начавших выполнять рекомендации, выполнивших их и сказавших "спасибо". Это легко найти. Т.е. все это работает. 
И совсем несогласна с тем, что компьютером можно ПРОСТО пользоваться, поддержка все равно должна быть. А уж кто это будет, сам пользователь или приглашенный специалист-его решение. А вот уж когда "просто пользоваться"-вот вам и клиент "Помогите", если доберется...
Ну Вы совсем не обидели, просто показалось, если человек интересуется книгой для начинающих, ему не безразличны именно их проблемы. Поэтому и высказала свое мнение. А так что, спортивный интерес?
P.S. Пример с "прихваткой" я оценилА... :Smiley:  Наверное Вы правы, нечего соваться туда. где мало понимаешь.

----------


## Sopholos

> А скачанный файл проверяется на зловредность и проактивно, и реактивно.


Т.е. меня сейчас уже пытаются убедить в том что битс вовсе и не опасен т.к. скачиваемые файлы проверяются?




> И в запасе у юзера еще превентивная мера - вырубить BITS вообще, если доверия к первым двум способам проверки нет. Выходит так и нет?


Угу, есть. Но ежели он так опасен:



> со службой BITS активно взаимодействует 734 образца, что составляет примерно 2.5% от общего числа. Это очень большой процент , так как считается он по всем зверям всех видов, а если взять только по Trojan-Downloader, то получим уже порядка 6%


то почему его активность все еще не проверятся антивирусами?
все ждут майкрософт? почему в случае с фаероволом его не ждали, а вот битс никак не проконтролировать?
Да и вообще - хватит цепляться к битсу. Я задал множество других вопросов, и в опасности неконтролируемого битс я не сомневался.

----------


## priv8v

> Я задал множество других вопросов


да. правда. написано было много. и добрая часть этого такой бред, что на него просто неохота тратить свое время. просто противно заниматься такой туфтой...

----------


## Sopholos

> да. правда. написано было много. и добрая часть этого такой бред


Аргументированные примеры будут? Или голословный лепет?

----------


## ananas

> Да и вообще - хватит цепляться к битсу. Я задал множество других вопросов, и в опасности неконтролируемого битс я не сомневался.


*Sopholos*, я не цепляюсь ни к Вам, ни к битцу. Я пытаюсь разобраться вместе с Вами. Если битц контролируется, и это даже тестируется, зачем рекомендовать его отключать? Вывод тот же, что и у Вас. Тестеры очередное фуфло гонят. А производители антивирусов-фаерволов бессильны или как?


> Видите ли, я обычно предпочитаю не отвечать на вопросы по материалу, который принадлежит не моему авторству, поэтому я попросил Паула...


*NickGolovko*, при составлении книги Вы давали свою собственную экспертную оценку тому материалу, что в нее включали? Может все же Вы ответите по существу вопросов?

*priv8v*, с Вашим экспертным мнением мы уже ознакомились, спасибо, можете не продолжать.

----------


## Sopholos

> Если битц контролируется, и это даже тестируется, зачем рекомендовать его отключать?


Нет, не контролируется штатными средствами кроме фаервола, и пока никто не привел пример средств по контролю отличному от фаервола и отключения сервиса. А тестируется просто возможность любого програмного продукта использовать битс для приема/передачи данных.

----------


## GMAP

Кстати, насчет советов в книге по отключению служб:
-------------------
Для следующих служб необходимо выбрать тип запуска – «Отключено» и остановить. Эти службы никогда не будут запущены.
*Службы терминалов [Terminal Services]*Данная служба является основой всего функционала, предназначенного для интерактивного удаленного доступа к вашему компьютеру - удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника, - и потому настоятельно рекомендуется к отключению. Побочным эффектом ее отключения является недоступность быстрого переключения пользователей и прекращение отображения имени пользователя в Диспетчере задач.
*От этой службы зависят Совместимость быстрого переключения пользователей,* Перенаправитель портов пользовательского режима служб терминалов и Служба медиаприставки Windows Media Center.
*Совместимость быстрого переключения пользователей* [Fast User Switching Compatibility] 
В Windows XP данная служба обеспечивает возможность переключения на другую учетную запись без прекращения работы в предыдущей. После отключения Служб терминалов этот сервис не может запускаться и потому также должен быть отключен. 
---------------
Если последовать этим ценным указаниям, то произойдет одна очень неприятная штука, а именно - в "Диспетчере задач" перестанет отображаться "Имя пользователя", то есть, вас легко могут на...дуть с именем образа, который будет принадлежать не системе, а юзеру. Что такое процесс с системным именем, запущенный от имени юзера, объяснять, надеюсь, никому не нужно.
Вывод - в следующем издании ликвидировать эти "вредные советы" :-)

----------

