PDA

Просмотр полной версии : Настройка безопасности в Windows.



Палыч
21.03.2006, 16:04
А давайте в одном месте (например, здесь) соберём все действия по конфигурированию Windows в плане безопасности.
То есть, например, отформатировали диск, поставили Windows XP SP2.
Установщик отработал. Вот на компе новенькая свежеустановленная Винда. Теперь, ещё до установки антивируса и фаерволла, необходимо доработать ОС: поставить апдейты, позакрывать ненужные опасные порты, отключить запуск ненужных служб и сервисов. Может быть ещё в реестре надо что-то ручками подправить. И т.д.

Я просто обратил внимание, что вся эта нужная и полезная информация разбросана по форуму в разных местах. И подумал, что хорошо бы было собрать всё в одном месте и расписать всё подробно. А потом можно оформить всё собранное в одну статью и закинуть её в ЧАВО.

Тут, на нашем форуме, актив состоит из практиков. То есть людей, которые, занимаются практической компьютерной деятельностью. Наверняка у каждого есть наработанный опыт по конфигурированию Винды после установки.

Прошу поделиться опытом.

RiC
21.03.2006, 16:44
Наверняка у каждого есть наработанный опыт по конфигурированию Винды после установки.
Опыт есть, но для каждого конкретного случая свой подход :)
Общую методику сделать весьма проблематично.
Потому как в каждом конкретном случае софт уникален и настройки своеобразные, а базовое - выключение 2-ры служб за ненадобностью, да отключение расшаренных админских ресурсов. Я например всегда выношу Security центр & Co. включая фаервол и заменяю эту абстракцию на нормальный фаервол + антивирус + баннерорезалку.
Моя "базовая конфигурация" - WinXP + Sygate + Antivir + Proxomitron (по желанию) + Naomi (http://virusinfo.info/showthread.php?t=4154) (по желанию).
Остальное по вкусу, и наличию возможностей ($).

dark
21.03.2006, 17:26
Что могу сказать, я полностью согласен с Ric'ом.
Конфигурация такова - Nod32 - Outpost.

Палыч
21.03.2006, 18:33
Нет-нет, я имел в виду действия ДО установки антивируса и фаерволла.

To RiC,
Какие пару служб отключаешь? И как?
Как отключаешь расшаренные админские ресурсы? Напиши подробней, плиз. Напишешь, вот и будет начало треда. Потом и другие присоединяться.

Я вот навскидку могу назвать проблему 5000 порта, TELNET и Windows Messenger.
Geser как-то давно давал ссылку на программульку, которая в два клика убирает этот messenger из системы. А вот сейчас попробуй, найди эту ссылку... Поиск не находит... Так же и со всем остальным.
Чем искать эти ценные крупицы знаний по всему форуму, лучше сложить всё в одном месте.

DoggoD
24.03.2006, 06:45
Сразу говорю, что:
- Я пользователь домашний (сетки всмысле у меня нет).
- Лично у меня за последний год проблем не возникало ни разу (в плане серфинга сети) с моей последней конфигурацией..
Тема про безопасность, но некоторые мои пункты будут касаться просто настройке ОС.
0. В БИОС ставлю загрузку с HDD (только).
1. Ставлю классический вид (если ХР)
2. Правая КМ на "Мой ПК" - Свойства
- "Удаленные сеансы". Снимаю все галки.
- "Автоматическое обновление" отключаю его.
- "Дополнительно" - "Быстродействие" меняю файл подкачки.
- "Дополнительно" - "Загрузка и восстановление". Убираю галку с "Выполнить автоматическую перезагрузку" и убираю дамп памяти.
- "Дополнительно" - "Отчет об ошибках". Выставляю только "Отключить очет об ошибках, но уведомлять о критических".
- "Восстановление системы" - я отключаю (не ругайте - это мой личный выбор, у знакомых, которым что-нить подтягиваю, я эту службу не трогаю)
3. На HDD ПМ - Свойства - Отключаю индексирование (Сам не знаю зачем).
4. Пуск - Выполнить - gpedit.msc. Настраиваю интерфейс Виндовс вырезаю меню, которые мне не нужны, в "компонентах Виндовс" отключаю на WMP выход в интернет (для загрузки кодеков и пр.)
5. Пуск - secpol.msc. Точно не помню, что меняю здесь, но что-то эт точно в "Назначение прав пользователя" и в "Параметры безопасности" (хотя на стэндэлоне, думается, в этом вовсе нет необходимости).
6. Пуск - compmgmt.msc - Службы. Я отключаю достаточно много служб и повторюсь, что ниразу проблем на данной конфигурации у меня небыло (сети нет, модемное соединение с интернетом, асями не пользуюсь).


DHCP клиент - отключено (авто)
DNS клиент - отключено (авто)
NetMeeting Remote Desktop Sharing - отключено (вручную)
QoS RSVP - отключено (вручную)
Telnet - отключено (вручную)
Автоматическое обновление - отключено (авто)
Адаптер производительности WMI - отключено (вручную)
Беспроводная настройка - отключено (авто)
Брандмеуэр Windows/Общий доступ к Интернету (ICS) - отключено (авто)
Веб-клиент - отключено (авто)
Вторичный вход в систему - отключено (авто)
Диспетчер авто-подключений удаленного доступа - отключено (вручную)
Диспетчер сеанса справки для удаленного рабочего стола - отключено (вручную)
Журналы и оповещения производительности - отключено (вручную)
Источник бесперебойного питания - отключено (вручную)
Локатор удаленного вызова процедур (RPC) - отключено (авто)
Модуль поддержки NetBIOS через TCP/IP - отключено (авто)
Обозреватель компьютеров - отключено (авто)
Планировщик заданий - отключено (авто)
Сервер - отключено (авто)
Сетевой вход в систему - отключено (вручную)
Служба восстановления системы - отключено (авто)
Служба времени Windows - отключено (авто)
Служба загрузки изображений (WIA) - отключено (вручную)
Служба индексирования - отключено (вручную)
Служба обнаружения SSDP - отключено (вручную)
Служба регистрации ошибок - отключено (авто)
Служба серийных номеров переносных устройств мультимедиа - отключено (вручную)
Служба сетевого расположения (NLA) - отключено (вручную)
Служба шлюза уровня приложения - отключено (вручную)
Службы IPSEC - отключено (авто)
Службы терминалов - отключено (вручную)
Смарт-карты - отключено (вручную)
Совместимость быстрого переключения пользователей - отключено (вручную)
Темы - отключено (авто)
Удаленный реестр - отключено (авто)
Узел универсальных PnP-устройств - отключено (вручную)
Фоновая интеллектуальная служба передачи (BITS) - отключено (вручную)
Центр обеспечения безопасности - отключено (авто)

Отключение некоторых служб приводит к закрытию некоторых портов (покрайней мере, они не находятся в состоянии прослушивания при загрузке ОС),
"Закрываю" оставшиеся порты: при помощи команды "sc" выставляю службу "netbt" в disabled по умолчанию она (system_start)
И в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols (REG_MULTI_SZ) удаляю "ncacn_ip_tcp", которая вроде 443 UDP закрывает (не пинайте сильно, не помню точно).
7. Удаляю Messenger. Вроде это можно сделать через gpedit.msc, но если ошибаюсь, то можно воспользоваться твикерами (например xp-AntiSpy), и некоторыми другими методами.
8. Ставлю JV16 PowerTools. Пишу об этой проге, т.к. там есть такая полезная функция, "Отметить как старые", которая пригодится в случае установки всякого непонятного софта, короче это типа про ветки HKCU\Software и HKLM\Software. Да и много там другого полезного имеется.
9. Ставлю Антивирус
10. Ставлю OutPost (V 2.1)
- (Параметры -> Системные -> ICMP). "Получатель недоступен" (в +; из -).
- (Параметры -> Системные -> Общие правила). Отключить "Allow inbound identification", "Allow loopback", "Allow GRE protocol", "Allow PPTP control connection".
- TCP possible trojan. (Параметры -> Системные -> Общие правила). Создать правило: протокол TCP; направление исходящее; удаленный порт 53; запретить; дать отчет.
- UDP possible trojan. (Параметры -> Системные -> Общие правила). Создать правило: протокол UDP; направление исходящее; удаленный порт 53; запретить; дать отчет.
- Unused protocols. (Параметры -> Системные -> Общие правила). Создать правило: протокол IP; отметить все, кроме 1, 2, 50, 51; блокировать эти данные.
- Unknown protocols. (Параметры -> Системные -> Общие правила). Создать правило: протокол неизвестный; блокировать эти данные.
- Web browsers. Протокол TCP; Исходящее; Удаленный порт 80, 443, 21; Разрешить.
- Download managers. Протокол TCP; Исходящее; Удаленный порт 80, 443, 21; Разрешить.
Я не претендую на истину высшей инстанции, и все, о чем я написал - не я придумал, это я к тому что я сам не уверен в том к каким последствиям может привести любой пункт этой ахинеи.:P
P.S. Если есть какие-то грубые косяки, то разъясните мне их пожалуйста..

orvman
24.03.2006, 08:44
"Восстановление системы" - я отключаю Мда. Сильно.

DHCP клиент - отключено (авто)
DNS клиент - отключено (авто)
Зависит от метода подключения и требований сетевых настроек от провайдера.
при помощи команды "sc" выставляю службу "netbt" в disabled по умолчанию она (system_start)
И в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols (REG_MULTI_SZ) удаляю "ncacn_ip_tcp", которая вроде 443 UDP закрывает (не пинайте сильно, не помню точно).
445 порт. Но лучше через реестр не делать. Лучше юзать wwdc программулину, если уж началась такая пьянка (ссылки были на форуме).

Ставлю OutPost (V 2.1) v2.1 ????? Тоже сильно.
Насчет настроек ОР тоже многое зависит от личных требований, провайдера, топологии подключения по сетевым интерфейсам и т.д.
"Allow GRE protocol", "Allow PPTP control connection". Ага, а потом неработающие VPN-соединения. А вообще настройки для Outpost - дело тонкое. Хорошие настройки описаны в Руководстве по созданию безопасной конфигурации Outpost - вопрос1 - ссылка: http://forum.five.mhost.ru/kb2/

Dime3us
24.03.2006, 08:50
orvman

"Восстановление системы" - я отключаю
Мда. Сильно.А почему? Я вот тоже его обычно первым делом отключаю.По мне так гораздо проще и надежней сделать снимок диска Norton ghostom,и при необходимости закинуть его из-под доса.Помогает даже если система оказалась почти полностью уничтожена.Но это конечно имхо.

Din Gior
15.04.2006, 15:28
ПАЛЫЧ - молодец!
Присоединяюсь к почину. Я конечно немного систем установил, около 20 - 30 не больше, но весьма разнородных. В том числе и DOS 6, Win 95, 98, 2КProf, 2KAdvancedServer, 2003StandartServer. Первые три уже не актуальны, а остальные работают и приносят пользу. Так вот при установке каждой системы возникают повторяющиеся вопросы и ошибки (у каждого свои в меру профподготовки и навыка) Давайте сведем их к минимуму поделившись своим опытом инсталляций. Меня тоже прошу сильно не пинать т.к. я непрофессионал :)
Начну с системы принесшей мне наибольшее количество забот:

Купил ноутбук с предустановленной WinXPHomeSP2,
ошибка №1 эта система не может быть членом домена и поэтому я не смог подключить ноубук на работе к сети имеющей доменную организацию.
Правой кнопкой мой компьютер Сетевая идентификация. Свойства Является членом домена НЕДОСТУПНО. Так что имеем только рабочую группу :(
Групповую политику и политику безопасности тоже настроить не сможем за неимением таковой. Кто хочет убедится может проверить Администрирование\Управление компьютером Локальные политики и группы отсутствуют. Единственное место где я обнаружил следы пользователей и групп - это реестр, но как конфигурировать правила доступа к ветвям реестра рекомендовать не могу за недостатком опыта.
Рекомендации: инсталлировать WinXPProfSP2 или хотя-бы Win2000prof.

ошибка №2 Абсолютно не отключал никаких Служб, Брэндмауэров, портов, Восстановлений системы и прочих дефолтных настроек Windows, а надо сказать на ноутбуке служб висит чуть ли не на треть больше чем в обычной системе, благодаря наличию батарей, WiFi и прочих прелестей которыми как правило не пользуются.
Рекомендации: Doogod выше описал многое из того, что можно отключить, но DHCP клиент, DNS клиент при выходе по модему через обычного интернет провайдера отключать не советую, так как именно посредством этих служб нашему компу Автоматически сервером назначается адрес, и лучше правила для этих служб настроить чуток позже при установке фаервола.Службу индексирования тоже можно оставить (Поиск файлов ускоряет).
В моем случае также можно отключить из автозапуска устройства Wireless(WIFI) контроля прописанные в реестре. Можно при этом использовать AVZ менеджер автозапуска, но само собой на машину AVZ ставим с флэшки или CD, а не из инета, т.к. машина к этому еще не готова.

ошибка №3 имея на этой системе предустановленный Norton Internet Security, я не особо беспокоился за безопасность и смело вонзил телефон в разъем модема. И сделал это с благой целью обновить антивирусные базы Нортона, и скачать обновления безопасности Windows. Вот здесь я и облажался. Атакован был сразу и вероломно без всяких церемоний. Крики -Погодите! Дайте обновиться! не помогли. Через пару дней очнулся на этом сайте. :)
Поэтому сырой необновленный антивирус и видимо ненастроенный фаерволл тоже НИКАК Вас не защитят в сегодняшнем интернете.
Хотя пару лет назад такая последовательность действий у меня прокатывала.

Какой же выход? Мое мнение: Сегодня Первое обновление (и Антивирус и Фаерволл и Виндовс) только через защищенную корпоративную сеть у которой уровень иммунитета уже достаточно высок с грамотным админом к тому же. Без обновлений в Инет не выходить. У кого другие мысли прошу подробно изложить.
Нортон Антивирус2005 и Нортон Интернет секьюрити кроме кнопки LiveUpdate других способов обновления видимо не понимают, поэтому Антивирус надо ставить такой, что бы мог обновляться из директории. У меня опыт общения только с Нортоном и Antivir (Avira)(Может обновляться из каталога к тому ж пока бесплатный http://www.free-av.com ). Буду переходить видимо на DrWeb если он может лечить из под Дос моды. Или посоветуйте.
По настройкам АутПостФаервола ORVMAN хорошо разбирается, правильные ссылки дает. Здесь главная проблема самому в своих правилах не запутаться, да и Аутпосту Ваши настройки могут не понравится он при этом свои воткнет и вас при этом не спросит, Но русской альтернативы этому безобразию я увы не знаю. На инглише бегло не умею, а переводами заниматься времени до слез жалко. Поэтому по поводу Фаера тоже рад буду послушать кто чего знает.

Всего бодрого!

SDA
15.04.2006, 15:38
Еще рекомендации:

1. Поставить самый последний Service Pack

2. NT должна быть единственной ОС на компьютере

3. Использовать файловую систему NTFS

4. Установить timeout=0 в файле boot.ini

5. Заблокировать account Guest

6. Установить : UserManager -> Policies -> Account -> Account Lockout

7. Установить : UserManager -> Policies -> Audit -> Logon and Logoff

8. UserManager -> Policies -> User Rights -> Access this computer from network удалить группу Everyone и назначить только необходимые группы.

9. Переименовать account Administrator

10. System policy editor : Local ( Default ) Computer -> Windows NT Network -> Sharing снять отметки с Create hidden drive shares

11. Запретить запуск службы Server на машинах, ресурсы которых не выделяются для совместного использования в сети.

12. Хранить свои данные не на системном разделе ( system partition )

13. Password protected screen saver

14. Зашифровать SAM с помощью программы syskey.exe ( необходим SP3 )

15. Удалить группу Everyone из списков контроля доступа к папке system_root\repair

16. Права на ключ реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\SecurePipeServers\winreg определяют права на доступ к реестру по сети.

17. Установить для папки %SYSTEMROOT% и всех вложенных папок и файлов права:
Administrators Full Control
SYSTEM Full Control
Users List

Установить права для группы USERS :
C:\TMP (C:\temp) Add папка для временных файлов
RECYCLER Add корзина
%SYSTEMROOT% и все вложенные папки Read winnt
C:\Users Read домашние папки пользователей
%SYSTEMROOT%\System32\Config List
%SYSTEMROOT%\Config List
%SYSTEMROOT%\Repair List
%SYSTEMROOT%\System32\Spool Change

Установить права для группы CREATOR OWNER :
C:\TMP Full Control
RECYCLER Full Control

Для каждого пользователя добавить право Change на его рабочую папку C:\Users\%USERNAME% и на папку с профилем %SYSTEMROOT%\Profiles\%USERNAME%

Эти разрешения являются минимальными, в ряде случаев могут понадобиться большие права, рекомендации даны по книге "Безопасность сетей на основе Windows NT".

18. Разорвать привязку ( binding ) между WINS Client (TCP/IP) и Workstation, Server, Net BIOS Interface, что исключит возможность доступа к расшаренным ресурсам по TCP/IP.

DoggoD
15.04.2006, 18:30
Скажите пожалуйста:
6. В ХР на русском языке это как должно называться?
8. А если ПК без локальной сети, может ли пагубно сказаться удаление ВСЕХ пользователей из этой политики?
10. В ХР я не нашел? Если есть, то скажите как по русски будет?
15. Что использует эту папку? Восстановление в случае чего? С нее автоматом восстанавливаются параметры или пользователь должен предварительно где-то выбрать соответствующую команду?
16. А если отключена служба "Удаленный реестр", то разве это не решает эту проблему? Или здесь что-то другое?
17. Что такое "List"? Разрешение на чтение содержимого папки?
Заранее пасибо..

Sunix
15.04.2006, 20:29
SDA, копирайты ставить полезно ;) это ж ваще как я понял для NT 4.0 писалось, про syskey там и др. смех)
DoggoD забей, права все по-умолчанию в ХР.

0. конечно ставить все апдейты какие нашли, я их отдельно скачиваю и храню на диске. либо с сайта мс(в разделе TechSupport for Professionals или как-то так(microsoft.com, даются прямые ссылки на критические апдейты, с описаниями, сортировкой) или с левых

1. почему никто не упомянул создание пользователя не-с-админскими правами? я создаю "Опытный пользователь" со своим ником, "Администратор" оставляю в покое(даже не вижу смысла его переименовывать) далее под "Адми.." настраиваю систему, а под своим юзером живу. это очень хорошая вещь и от порчи системы какой-либо умной прогой и от родственников/друзей/проходящих мимо. "быстрое переключение пользователей", "Запуск от имени" и runas рулят.
Разграничение прав доступа к разным папкам на винте.

2. Ставить Firefox. благо он умеет правильно регистрировать себя "браузером по-умолчанию". Забить на IE и пользоваться им только на некорректно отображающихся сайтах(эта некорректность теоретически даже может использоваться как ловушка...хз). есть и плагин для переключения движка сразу в окне firefox: ietab называется. DropMyRights не нужен. Жду IE7.

3. То же в "свойстах системы" ограничить своп, обработку ошибок, удаленные сеансы типа как DoggoD писал. Восстановление системы не отключаю, мне не мешает. Отключать индексирование тоже не знаю зачем? во первых безопасность не при чем, да и скорость записи файлов не прибавляется(субъективно).

4. настройка интерфейса типа "простой общий доступ к файлам" в проводнике, скрытых файлов, колонок. в том числе запрещение запуска мессенджера и авторана в групповых политиках

5. твикеры не юзаю, это зло. признаю только confignt & TweakUI. чистильщики реестра тоже не все люблю, лучший из VCOM SystemSuite, от найденного jv16PowerTools где-то половину оставляю в реестре. а люблю чистить Microsoft RegClean 4.1 от 1997 года, как ни странно, крики "старье" не принимаются:)

6. Антивирус - DrWeb, раньше был включен SpiderGuard - но вирусы че-то не встречались. Потому что все закачки с инета сохраняю в отдельную папку Downloads и ее проверяю сканером, все что приносят на винте - тоже в отдельную папку, сканером, а потом уже раскидывать по своим папкам на винте

7. Firewall - раньше стоял Outpost Freeware(или про аналогичный), все было хорошо:) ее бы и щас можно было поставить если б интеграция с центром безопасности ХР была. ставил более свежие версии - тяжелые слишком, память жрут как чужую, проверка DLL - это паранойа. Kerio 2.1 - стоит у меня на NT4, ощущения нормальные. на ХР ставил Kerio 4.2.2, тоже тяжелый, через 30 дней отключается HIPS, NIPS, блок рекламы. ну и теперь пользуюсь встроенным в ХР, исходящий трафик не фильтруется, ну и ладно, статистика считай отсутствует(лог не в счет), нельзя назначить открытые порты конкретным программам. все остальное отлично, не вижу причин его не использовать

Sunix
15.04.2006, 20:30
8. Службы. DHCP-клиент, DNS-клиент нафик не нужны в локалке со статическими ip и с диалапом:) Пытался сравнить список со списком DoggoD'a, но лучше приведу какие у меня остались включены:
PnP, Windows Audio, Брандмауер, Вторичный вход в систему, Диспетчер логических дисков, Диспетчер подключений удаленного доступа, Дисп. учетных записей безопасности, Журнал событий, Запуск серверных процессов DCOM, Защищенное хранилище, Инструментарий управления Windows, Модуль поддержки Netbios через tcp\ip, Обозреватель компьютеров, Планировщик заданий, Рабочая станция, Сервер, Сетевые подключения, Система событий COM+, Системное приложение COM+, Служба восстановления системы, Служба сетевого расположения, Служба шлюза уровня приложения, Службы криптографии, Службы терминалов, Совместимость быстрого переключения пользователей, Телефония, Темы, Уведомление о системных событиях, Удаленный вызов процедур(RPC). если у вас нету локалки то запросто можно отключить
Модуль поддержки Netbios через TCP/IP; Обозреватель компьютеров; Рабочая станция; Сервер если нет и модема то идите покупайте:)

Din Gior
16.04.2006, 11:32
[quote=Sunix]8. Службы. DHCP-клиент, DNS-клиент нафик не нужны в локалке со статическими ip и с диалапом
А как же при ДайЛапе осуществляются DNS Запросы если DNS отключена? и как по вашему назначается IP Адрес при откл. DHCP?

Sunix
16.04.2006, 14:42
а там передается по протоколу PPP, и сервера DNS & IP назначается. отключи и попробуй ;)

DoggoD
22.04.2006, 08:38
DoggoD забей, права все по-умолчанию в ХР.
Ну что это еще значит "забей"? >:( Разбираться нада.. Некоторые вещи которые SDA запостил для NT, но некоторые из них и в ХР есть.. Значит то, чего я в ХР не нашел - про NT писалось?
Тогда меня очень интересуют пункты 8, 15 и 16.. если вы не возражаете :P

DoggoD
22.04.2006, 09:37
1. почему никто не упомянул создание пользователя не-с-админскими правами?
Вот еще что следовало бы добавить по этому поводу (если ХР):
На работе под НЕадмином палюбому надо, согласен, но дома, много софта, который админские права требует, вот к примеру, DrWeb с Runas "Админ" все равно не проверил загрузочные сектора (где-то неделю назад пробовал..) Мож эт конечно и баг??, но в любом случае проблемы возникают для и с некоторыми другими программами.. Чтобы пользоваться RunAs, админская учетка (или та учетка от имени которой хотим запуститься) ДОЛЖНА ИМЕТЬ ПАРОЛЬ (либо идем в "secpol.msc -> Локальные политики -> Параметры безопасности -> Учетные записи: ограничить использование пустых паролей только для консольного входа" Отключить), тогда пустые пароли будут канать, что много упростит использование RunAs в домашних условиях..

если у вас нету локалки то запросто можно отключить Рабочая станция
Про отключение службы "Рабочая станция".. Сам не пробовал, но вроде как везде говорится о ее необходимости.. Может всетки не горячиться и оставить эту службу в покое?

pig
22.04.2006, 12:47
тогда пустые пароли будут канать, что много упростит использование RunAs в домашних условиях..
А также втюхивание троянов через сетевой доступ с пустым паролем администратора.

Sunix
23.04.2006, 00:45
Тогда меня очень интересуют пункты 8, 15 и 16.. если вы не возражаете возражаю:
8. Доступ в сеть Windows Networks по-умолчанию закрыт для внешней сети(интернета). Все права по доступу к файлам и принтерам назначаются непосредственно на этих файлах и принтерах. Доступ в сеть закрыт пока ты специально не создашь пользователя у себя на компе(или разрешишь гостя). Если у тебя нет локалки, то к тебе не то чтобы некому заходить, а просто эти службы отключены.
15. а можно было сначала посмотреть список контроля доступа к этой папке и попробовать открыть в ней какой-нибудь файл?
16. Эта служба отключена если ты не настоящий администратор на заводе. И тоже неплохо было бы сначала посмотреть на подраздел AllowedPaths и назначенные ему права.
"все равно не проверил загрузочные сектора" -- настройки DrWeb??
"ДОЛЖНА ИМЕТЬ ПАРОЛЬ" -- естесно должна, или о чем ваще эта тема??!?
"либо идем в "secpol.msc ->..." проверял? вроде это только для входа по сети.
"Про отключение службы "Рабочая станция".." а я не принуждаю... еще говорят что есть CD-диски двусторонние может по магазинам поспрашивать?;)

DoggoD
24.04.2006, 03:06
А также втюхивание троянов через сетевой доступ с пустым паролем администратора.
Думается, в домашних условиях, вероятность этого очень невелика.. К тому же можно Админа переименовать..


настройки DrWeb??.
Не понял вопроса..


естесно должна, или о чем ваще эта тема??!?
Конкретней писать нада.. Этот момент немаловажен при использовании RunAs..


проверял? вроде это только для входа по сети.
Проверял..


а я не принуждаю...
А я предостерегаю..

Sunix, если конкретно ответить не можешь, то лучше вообще не отвечать ;) (эт про мои вопросы)

Sunix
24.04.2006, 19:10
куда еще конкретней, по слогам что ли?

DoggoD
25.04.2006, 03:07
куда еще конкретней, по слогам что ли?
Ты походу между строк читаешь.. Тока прикинь, что между строк, обычно ничего не написано.. :*

8. Доступ в сеть Windows Networks по-умолчанию закрыт для внешней сети(интернета).
Суть моего вопроса не в этом.. Я не сильно шарю (веще не разбираюсь) в том как происходит запрос из сети в мой (твой) компик на что-либо..:embarasse Вопрос в том, что если есть локальная сеть, и я удалил из этой политики ВСЕХ пользователей, то последствие - двойной клик на моем ПК в сетевом окружении не даст результата. Да или нет? Если нет, то какие будут тогда последствия?

а можно было сначала посмотреть список контроля доступа к этой папке и попробовать открыть в ней какой-нибудь файл?
Ну посмотрел.. и что? Это мне не ни о чем не сказало. Судя по setup.log я могу лишь годать, что эта папка как-то связана с проверкой файлов винды на подлинность (очень коряво сказал, просто не могу вспомнить умное название этой шняги..) Типа после замены файла когда просят диск с дистрибутивом Виндовса вставить.. Вот угадал я или нет?

Эта служба отключена если ты не настоящий администратор на заводе.
Да нет, она по умолчанию всегда включена.. Но мне просто бы да или нет узнать..
Извините за резкость - просто нервы шалят..

Sunix
25.04.2006, 14:22
а я не робот чтобы отвечать да/нет, я сторонник чтоб человек попытался сначала сам разобраться что происходит. если тебе ответить да/нет то может тебе и будет казаться что твой комп отлично защищен, но не понимая сути зачем сделать то или иное действие у тебя не будет никакой защиты, потому что в инете много че пишут, и надо думать что правильно, а что идиотизмЪ.

1. Да. ты удаляешь все группы и никто из сети не получает доступ к твоим общим файлам и принтерам
2. В этой папке лежит копия твоего реестра, сразу после установки ХР ее туда сохраняет. доступ к этим файлам закрыт
3. да вот описание прям из виндовс "Позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены."

DoggoD
26.04.2006, 07:06
Ты же не знаешь уровня моих знаний.. При чем тут САМ должен разобраться. У меня дома нет сетевого окружения, так что я не могу сам разобраться, а читать статьи, которые кто-то типа сам пробовал я не люблю, я обычно пробую на практике всякие вещи..
2. У меня админы имеют полный доступ в этой папке, опытные пользователи не имеют полного доступа, но эта группа на некоторых файлах вообще не выставлена, но "администраторы" везде имеются с полным доступом, вот..
Сам я ничего не менял, тобишь это разрешения по умолчанию..
3. Sunix, приведи пример, если можешь, как используется эти ветка (типа для чего она) [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\SecurePipeServers\winreg].. SDA написал, что она определяет права на доступ к реестру по сети.. AllowedPaths это разрешенные пути.. А что за принцип тогда использования этой ветки? Если удаленный пользователь не имеет доступ на правку удаленного реестра (пароль профиля не знает), то он не сможет вообще "увидеть" реестр удаленной машины, правильно? Если он знает пароль администратора, то он считай получил полный доступ к реестру (если классическая модель совместного использования файлов и т.д. выставлена).. Тогда, получается она не определяет пользователей, могущих на удаленный реестр канектиться, а чего-то другое делает.. Судя по тому же AllowedPaths она вроде как нужна для работы типа клиент-сервер (не забывайте, я в сетях не шарю, поэтому могу глупость написать). Балин, чуш я какую-то уже несу :wall: :baby: Расскажите вобщем зачем эта ветка конкретно нужна.. :'-(
За ответы спасибо..

gines
26.04.2006, 17:16
Расскажите вобщем зачем эта ветка конкретно нужна.. :'-(

Насколько я могу судить, эта ветка определяет права на доступ к реестру по сети таким образом: в разделе AllowedPaths параметре Machine определяются те ветки реестра, которые доступны для изменения по сети, конечно если служба удалённого реестра не остановлена. И в принципе, если удалить оттуда все значения, то доступ к реестру уже будет невозможен, даже если служба включена.