Обсуждение книги " Безопасный Интернет. Возможно ли это?"

Всем привет!

Я не нашел обсуждения книги [URL="http://security-advisory.virusinfo.info/"]"Безопасный Интернет. Универсальная защита для Windows ME - Vista"[/URL]. Если обсуждение существует, прошу перенести мое сообщение туда.

В первую очередь я бы хотел поблагодарить авторов за понятное изложение основ безопасной работы в Интернете. В книге очень доступно изложены многие понятия, равно как и методы предотвращения заражений.

Однако по поводу некоторых методов я бы хотел получить дополнительные разъяснения от экспертов по информационной безопасности. В частности, мои вопросы касаются отключения ряда служб NT-систем для повышения безопасности компьютера. В книге предлагается отключить такие службы.

[B][COLOR=red][FONT=Arial][URL="http://security-advisory.virusinfo.info/EBook2.0.htm#Seclogon"][COLOR=red]Вторичный вход в систему[/COLOR][/URL] [[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]Secondary[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]Logon[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]] (если вы единственный пользователь компьютера) [/FONT][/COLOR][/B]

Назначение службы такое. [I]Позволяет запускать процессы от имени другого пользователя. Если эта служба остановлена, этот тип регистрации пользователя недоступен[/I]. Если следовать рекомендациям производителя ОС Windows и работать с правами ограниченного пользователя, то для выполнения административных задач следует запускать их от имени администратора. Отключение этой службы лишает такой возможности, поэтому пользователь должен будет выполнить выход из системы и войти с учетной записью администратора, тем самым понижая безопасность. Конечно, работать с правами ограниченного пользователя не всегда удобно, особенно в ХР, но вполне можно в Vista.

Предположу, что идея состоит в том, что отключив службу, можно предотвратить выполнение вредоносного кода от имени администратора. Хотелось бы получить развернутый комменатрий по этому вопросу - возможно, есть какие-то конкретные примеры, оправдывающие отключение этой службы.

[B][COLOR=red][FONT=Arial][URL="http://security-advisory.virusinfo.info/EBook2.0.htm#FastUser"][COLOR=red]Совместимость быстрого переключения пользователей[/COLOR][/URL] [[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]Fast[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]User[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]Switching[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]Compatibility[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]] (если вы – единственный пользователь компьютера).[/FONT][/COLOR][/B]

Вопрос, в принципе, такой же, как и по поводу предыдущей службы.

[B][COLOR=red][FONT=Arial][URL="http://security-advisory.virusinfo.info/EBook2.0.htm#SysRest"][COLOR=red]Служба восстановления системы[/COLOR][/URL] [System Restore Service]

[/FONT][/COLOR][/B]Не вполне очевидно, каким образом отключение восстановления системы повышает ее безопасность. Предположу, что рекомендация связана с тем, что если вылечить компьютер и откатить его к точке после заражения, проведенное лечение оказывается бесполезным. Однако в случае заражения достаточно удалить все точки, отключив восстановление, а затем включить его снова.

[quote][FONT=Arial]System[/FONT][FONT=Arial]Restore[/FONT][FONT=Arial]– неудобным и опасным средством восстановления [/FONT][FONT=Arial]Windows[/FONT][FONT=Arial]. [/FONT][FONT=Arial]System[/FONT][FONT=Arial]Restore[/FONT][FONT=Arial] желательно отключить, заменив его более качественным сторонним продуктом[/FONT][/quote]В книге, однако, не поясняется, что в нем неудобного и опасного, равно как и не предлагаются сторонние продукты схожей функциональности.

С другой стороны, отключая восстановление системы, пользователь лишает себя достаточно мощного механизма возврата системы к работоспособному состоянию в случае других неполадок (установка ПО, драйверов, твики). Дополнительную аргументацию я излагал в блоге: [URL="http://vadikan.spaces.live.com/blog/cns%213270464DC78ABAEE%21171.entry"]Восстановление системы - нужно ли его отключать?[/URL]

[B][COLOR=red][FONT=Arial][URL="http://security-advisory.virusinfo.info/EBook2.0.htm#IndSer"][COLOR=red]Служба индексирования[/COLOR][/URL] [/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial][[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]Indexing Service]

[/FONT][/COLOR][/B]Честно говоря, у меня нет идей, каким образом отключение индексирования способствует повышению безопасности при работе в Интернете. ЕМНИП, в Vista этой службы не существует, ее роль выполняет Поиск Windows.

[B][COLOR=red][FONT=Arial][URL="http://security-advisory.virusinfo.info/EBook2.0.htm#WinUpd"][COLOR=red]Автоматическое обновление[/COLOR][/URL] [[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]Automatic[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]Updates[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]] (включать раз в месяц для обновления [/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial]Windows[/FONT][/COLOR][/B][B][COLOR=red][FONT=Arial])

[/FONT][/COLOR][/B]Эта рекомендация мне также совсем непонятна. Во-первых, неясно, каким образом отключение этой службы повышает безопасность. Во-вторых, неочевидно, чем обновление "раз в месяц" лучше обновления по факту доступности обновлений. Ведь тем самым уязвимость будет оставаться открытой дольше, чем при регулярном обновлении. Наконец, у меня есть большие сомнения, что пользователь, отключивший службу, будет помнить о том, что раз в месяц ее надо включать. А у вас таких сомнений разве нет? Поэтому рекомендация фактически оставляет ОС без обновлений, что противоречит другой рекомендации книги.
[quote][FONT=Arial]Желательно также [B][U]устанавливать обновления [/U][/B][/FONT][B][U][FONT=Arial]Windows[/FONT][/U][/B][FONT=Arial] – по крайней мере критические. Отключение служб не отменяет этой необходимости.[/FONT][/quote]Получается, что пользователь не должен использовать удобный способ обновления, а пользоваться неудобным, при этом не объясняется, как же это делать :)

В списке служб, рекомендуемых к отключению, есть и другие, которые, на мой взгляд, никоим образом не повышают [B]безопасность[/B]. Возможно, отключение "ненужных" служб позиционируется для повышения производительности (что является отдельной большой темой), но связь с безопаснотью неочевидна. Также, никакой аргументации в пользу повышения производительности не приводится. Поэтому я бы хотел получить разъяснения именно в контексте безопасности, что является темой книги и специализацией ее авторов, а не общей оптимизации, что является как минимум побочной тематикой для данной книги.

Спасибо за внимание к моим вопросам!

скажу пару слов...:

[QUOTE]Во-вторых, неочевидно, чем обновление "раз в месяц" лучше обновления по факту доступности обновлений.[/QUOTE]
при автоматическом обновлении каждый день больше, к примеру, шансов схватить бажное обновление.

[QUOTE]В списке служб, рекомендуемых к отключению, есть и другие, которые, на мой взгляд, никоим образом не повышают [B]безопасность[/B]. Возможно, отключение "ненужных" служб позиционируется для повышения производительности (что является отдельной большой темой), но связь с безопаснотью неочевидна.[/QUOTE]
а эксплоиты?:)

[quote=priv8v;295653]
при автоматическом обновлении каждый день больше, к примеру, шансов схватить бажное обновление. [/quote]Да, такая вероятность существует. Но если такое произойдет, можно воспользоваться службой восстановления системы для отката, если ее не отключать... Кроме того, можно настроить АО на получение обновлений, но не их автоустановку, принимая решение об установке обновлений в индивидуальном порядке. Я считаю, что вероятность достаточно мала по сравнению с вероятностью того, что система вообще останется необновленной, если рассматривать достаточно большое кол-во пользователей ОС.

[quote=priv8v;295653]а эксплоиты?:)[/quote]Развернутая аргументация приветствуется. Вы можете привести пример эксплойта службы Machine Debug Manager?

@ [b]Vadim Sterkin[/b]

Во-первых, хороший принцип безопасности - жёсткий минимализм, то тесть: чем меньше программного кода запущено на компе, тем безопаснее в системе будет. То, что и производительность улучшается, это лишь побочный эффект, не самоцель.

[url=http://virusinfo.info/showthread.php?t=19517]Belarc Advisor: Тестируем безопасность XP Pro[/url]
Там обсуждение (7 разделов) идёт про CIS Benchmark (эталон безопасности), в созданнии которого участвовали и сама Майкрософт, и ваш покорный слуга. Все службы, отключение которых вы ставите под сомнением там перечисляются. Настоятельно рекомендую на чтение.

[b]Вторичный вход в систему[/b] + [b]Совместимость быстрого переключения пользователей[/b]
Профили надо держать чистыми. В идеале, юзер даже не должен знать, как Администратора зовут (переименуем эту учётку и ставим ОЧЕНЬ крепки пароль - не менее 15 знаков). Существуют ряд уязвимостей в системе разрешений NTFS, которые облегчает повышения привилегий при эксплойтах. Привести примеры не буду. Это тема хакерской направленности, что противоречит правилам данного форума. Пользуйтесь Гуглом. Нельзя недооценивать возможности malware.

[b]Служба восстановления системы[/b]
* Нагло мешает программам защиты бориться с зловредами. Если нужны доказательства, посмотрите в разделе 'Помогите'.
* Кроме зловредов особенно ничего не восстанавливает. Когда она действительно нужна, она не может восстанавливать то, что нужно.
* Она может восстанавливать ТОЛЬКО СИСТЕМНЫЕ файлы и папки. Недоделанная функциональность, короче. Программы третьих сторон (даже некоторые бесплатные) эту работу намного эффективнее делают.

[b]Служба индексирования[/b]: Про вопросов конфиденциальности мы здесь не будем, хотя и это фактор, который влияет на безопасность.
Существуют ряд уязвимостей в данной службе, которые до сих пор не пропатчены. Несколько раз уже получилось убедить Майкрософт выпустить патч, например с MS06-053, выупущен месяц после того, как я писАл [url=http://forum.kaspersky.com/index.php?showtopic=30184]это[/url], что как раз привело к созданию Книги.
Далее, она призвана увеличить скорость поиска, но дело в том, что когда вы её отключаете (+ запретите индексирование вручную в свойствах всех дисках), поиск никак медленнее не становится. Наоборот, если ваш компьютер начинает иногда 'подтормаживать', то тогда ищите в первую очередь в её сторону - она стоит на 'Вручную', но запускается когда хочет, особенно во время короткого простоя. Код, который тормаживает систему делает её уязвимой, так как мешает всем остальным. Это вторая причина, по которой мы отключаем эту службу.

[b]Автоматическое обновление[/b]: Без [url=http://www.oszone.net/2594/]Фоновой интеллектуальной службы передачи (Background Intelligent Transfer Service)[/url] эта служба не будет работать.
Если вы знаете, что эта служба делает, и на что она способна, все вопросы отпадают сразу же. Эта служба-проститутка:
* позволяет продолжить загрузку ВСЕГО, ЧТО УГОДНО при завершении сеанса или выключении компьютера (при следующем его запуске)
* выполнит работу для КОГО УГОДНО, включая для троянов.
Майкрософт говорит, что это не баг - а свойство.

[quote]Вы можете привести пример эксплойта службы Machine Debug Manager?[/quote]
Форум не той направленности. Есть форумы, где вам приведут, запросто. Гугл в помощь.
Программа Machine Debug Manager (Mdm.exe) устанавливается вместе с редактором сценариев, чтобы обеспечить поддержку для отладки программ. Программа Machine Debug Manager выполняется в качестве службы и загружается при запуске компьютера. Если компьютер не используется для отладки программ, то тогда Майкрософт сама рекомендует отключить это приложение. Почему? Спросите у неё - она своё барахло лучше знает, чем мы с вами.

Paul

По поводу BITS, которая "Фоновая интеллектуальная служба передачи данных" могу привести пару цифр ... в оперативном анализе у меня находится 28875 образцов, явная зловредность которых гарантирвоано доказана, причем этот кеш построен по принципу "по одному образцу из каждого семейства". из них со службой BITS активно взаимодействует 734 образца, что составляет примерно 2.5% от общего числа. Это очень большой процент , так как считается он по всем зверям всех видов, а если взять только по Trojan-Downloader, то получим уже порядка 6%.
С mdm.exe тоже оригинально - тьма зверей просто "косит" под него, и отличить реальный mdm от зверя средствами системы невозможно. Типовой пример - Backdoor.Win32.IRCBot.cvo, он копирует себя в систему под именем C:\WINDOWS\system32\mdm.exe (а диспетчер задач показывает как известно только имя процсса, без пути). Аналогично например Trojan.Win32.Agent.abt(который создает C:\WINDOWS\MDM.EXE)

По поводу восстановления системы [B]p2u[/B] все уже и так предельно ясно описал, я могу только подтвердить его слова - штатный механизм "восстановления" весьма чудной, в случае заражения вирусами больше мешает, чем помогает. В случае системных сбоев откат нередко вообще создает очень интересные ситуации, когда что-то откатилось, что-то нет - и система остается в непонятном состоянии. Причем что интересно - многие звери ее просто отключают, например Trojan-PSW.Win32.Agent.eb - от выключает восстановление системы в придачу к типовой блокировке редактора реестра и диспетчера процессов. А такой "замечательный" экспонат как Worm.Win32.AutoRun.dc останавливает принадлежащую восстановлению системы службу ... Worm.Win32.VB.ck идет еще дальше - он блокирует настройки восстановления системы.

Спасибо за развернутые ответы!

[b]p2u[/b]
Я согласен с принципом минимализма. Возможно, его стоит включить в качестве предисловия в раздел настройки служб?

[b]Вторичный вход в систему + Совместимость быстрого переключения пользователей[/b]
Я не могу согласиться с вашей аргументацией. Книга написана для [b]домашних пользователей[/b], как я понимаю. Домашний пользователь является администратором своего компьютера. Он должен знать название адм. учетной записи и помнить пароль к ней. Это может понадобиться для выполнения административных задач, работы в безопасном режиме и т. д. Как специалист по инфобезу, вы прекрасно знаете о том, что кол-во пользователей, имеющих 15-символьный сложный пароль к учетной записи администратора ничтожно. Если вы отключаете вторичный вход, вы фактически побуждаете домашнего пользователя к повседневной работе с правами администратора. Мне кажется, что такой подход не просто противоречит рекомендациям МС по обеспечению безопасной рабочей среды, но и потенциально опаснее, чем уязвимости в системе разрешений NTFS (извините, мне не удалось найти конкретных уязвимостей в гугле, поэтому буду признателен за ссылку в ПМ для самообразования). Я также не смог найти, где МС соглашается с тем, что вторичный вход лучше отключать. Вообще не нашел упоминания этой службы ни на одной из семи страниц.

[b]Служба восстановления системы[/b]
Ваша аргументация понятна, но для меня она не выглядит убедительной в контексте обеспечения безопасности компьютера... конкретнее, в контексте предотвращения заражения (сведения Олега о конкретных зловредах, влияющих на работу службы, интересны, но это опять же проявляется после заражения). У меня создалось впечатление, что негативное к ней отношение во многом сформировано в связи с многочисленными проблемами с лечением. Такова специфика этого форума, но это не полная картина - существует множество ситуаций, в которых простой откат решает проблему. Причем намного быстрее, чем пляски с бубном опытных траблшутеров. Ведь не все же проблемы пользователей связаны с заражением - намного чаще проблема создана самим пользователем или установкой ПО/драйверов. Конечно, речь о системных файлах и настройках, а также о пользовательских параметрах - это восстановление системы, а не всего содержимого диска. Ваше мнение о качестве работы механизма, похоже, основано на Windows XP. Я неоднократно использовал его в Vista, и у меня не было проблем с откатами драйверов, роняющих систему в BSOD, или последствий правки реестра. В книге же рекомендации для обоих ОС одинаковы. Это неидеальный, но простой механизм, встроенный в ОС. Программы третьих сторон в книге даже не упомянуты, но если речь о продуктах типа Acronis True Image, то они небесплатны и выполняют несколько другую работу. В ту же Vista включена возможность полного бэкапа диска или всего содержимого компьютера. И представьте, работает :)

[b]Служба индексирования[/b]
Убедительный аргумент, спасибо. Однако в Vista работает поиск Windows, и скорость его работы очень сильно зависит от наличия индекса. В книге же не делается различия и не упоминается о разнице в службах.

Я все это к тому, что желательно учитывать различия в ОС, а не автоматически переносить рекомендации для одной системы к другой. Книга же не только для пользователей XP написана...

[b]Автоматическое обновление[/b]
Если отключение аргументируется уязвимостью BITS, то надо это написать в комментарии к совету по отключению этой службы. В описании BITS сказано, что она нужна для автообновления, но обратная связь не указана. Я, однако, хочу посмотреть на проблему с другой стороны. А так ли много вреда от нее по сравнению с потенциальной пользой регулярного обновления системы?

[b]Зайцев Олег[/b], большое спасибо за цифры - это самые убедительные аргументы :) А нет ли у вас данных о том, какой процент зловредов эксплуатирует уязвимости, официально признанные Microsoft путем выпуска заплаток? Если такой статистики нет, то, возможно, вы сможете дать общую оценку ситуации? Я к тому, что массовые эпидемии, типа msblast (просто яркий пример), стали возможны потому, что исправления были не установлены [ну и встроенный брандмауэр был отключен, ибо народная мудрость в том, что он - фуфло... (но таки лучше, чем совсем ничего)]. Я действительно сомневаюсь в том, что большинство пользователей, отключивших АО, регулярно обновляют ОС раз в месяц. Гм... стало интересно даже, я организую опрос пользователей на oszone :)

Что же касается MDM, то ваше обоснование только улучшило бы книгу, ибо оно дано непосредственно в контексте безопасности.

Возможно, у кого-то сложилось впечатление, что я сюда пришел покритиковать книгу :) Это не очень интересно, и я бы мог сделать это где-нибудь в блоге в одностороннем порядке. Суть поднятого обсуждения в том, чтобы дать пользователям объективную картину и разносторонню информацию, включающую обоснования рекомендаций. Вам может показаться странным, что за разъяснениями по поводу этой книги кто-то может обратиться ко мне, но в контексте того, что мои рекомендации могут расходиться с книгой, это нормальное явление. Вместо того, чтобы "посылать" пользователя "вот у них и спрашивайте", я пришел на форум авторов книги.

Однако из раздела обсуждений публикаций сайта тему перенесли в форум для начинающих, где, исходя из списка тем, обсуждаются всевозможные проблемы с ОС, а не только проблемы безопасности. Должен ли я расценивать это действие как некий способ "указать на место", равно как и то, что авторы книги заинтересованы лишь во мнении участников данного сообщества со стажем? Если да, то, наверное, не стоит и тратить время.

Спасибо за развернутые ответы.

Лично я сам убедился, что большинство зловредов копируют себя в папку системного востановления, даже если в системе все нормально, там можно найти парочку троянов.(если так корректно будет выражаться :))
Не думаю что не найти бесплатной альтернативы(правда сам я еще не искал) ,наверняка сдесь же на форуме.

[QUOTE=Vadim Sterkin;297012] Вторичный вход в систему + Совместимость быстрого переключения пользователей[/quote]
Перепутал желаемое за действительное... :D
Эталон CIS (Center for Internet Security) является компромисcом экспертов по всему миру. Я был один из 9, которые настаивали на то, чтобы отключить RunAs
- из-за возможных переходов зловредов с одного профиля на другой именно через эту систему,
- и ещё из-за возможности повышения привилегий по всей системе со стороны ограниченного пользователя.

Хотя аргументы были сильные, они не прошли. Очень жаль, потому что при эксплойтах именно это и происходит. Хотя вы запускаете (по документации Майкрософта) якобы только [b]один[/b] процесс как амдин, на самом-то деле происходит совсем другое. Рутовская это даже на Висте доказала - ограниченный процесс может на заднем фоне запускать другой процесс со серьёзными привилегиями. Я понимаю, что это мало кто волнует - это же теория? У нас так не будет, правда? :>
Зловред, однако, тоже знает, что Администратора зовут Администратор. Это обычно в его инструкциях предусмотрено... :>
[QUOTE=Vadim Sterkin;297012] Я не могу согласиться с вашей аргументацией. Книга написана для [b]домашних пользователей[/b], как я понимаю. Домашний пользователь является администратором своего компьютера. Он должен знать название адм. учетной записи и помнить пароль к ней. Это может понадобиться для выполнения административных задач, работы в безопасном режиме и т. д. [color=blue][i]Как специалист по инфобезу, вы прекрасно знаете о том, что[/i][/color] кол-во пользователей, имеющих 15-символьный сложный пароль к учетной записи администратора ничтожно.[/quote]
Что это за аргумент? :>
Как специалист по инфобезу, я также прекрасно знаю, что ничтожное количество пользователей вообще настроит Windows и всё, что на ней стоит. Как специалист по инфобезу, я также прекрасно знаю, что ничтожное количество пользователей вообще думает, до того, как щёлкать на ссылку или открыть вложения от незнакомых в почте. Ну и что? Это теперь должно стать нормой?

Книга была написана для:
* отдельно стоящих компьютеров
* людей, которые НЕ ХОТЯТ отказаться от работы в учётке админа (а это большинство). Мы с Николаем даже не стали продробно описать возможностей работы под ограниченного пользователя - ещё обидятся... ;)

Зачем тогда оставить открытым и незащищённым встроенного Админа (=рут), скажите?

Длинный пароль необзяательно сложный. Это может быть фраза какая-нибудь, например:
[quote]ПошёлТы,Блин,ЗнаешьКуда[/quote]
Крепкий пароль, кстати (23 знака). Жизнь не хватает, чтобы его взломать. Разве сложно выучить? ;)

[QUOTE=Vadim Sterkin;297012]Если вы отключаете вторичный вход, вы фактически побуждаете домашнего пользователя к повседневной работе с правами администратора. [/quote]
А это не совсем верно. У меня дома комп. Пользователя - 3. Я админ, но я работаю как ограниченный пользователь. Только использую учётку админа для админ задач. Выхожу из ограниченного профиля, и НИКОГДА не вхожу через RunAs (эта функция у меня спрятена, и запрещенна политиками).

Жена и сын работают как ограниченные пользователи. Друг к другу доступа не имеют. Они даже за миллион долларов не могут вам сказать, какое имя у встроенного Админа, и какой у него пароль. При этом у них в работе проблем нет совсем. Знаете почему? [b][color=red]Когда что-то не работает, НЕ НАДО стать админом по всей системе![/color][/b] Единственное, что требуется: не лениться, и настроить разрешения на папку программы, которая неправильно работает -> дать право запись или полный доступ [b]к этой папке[/b], и всё заработает. Не лучше ли это, чем работать под админ, и получать полный доступ на ВСЮ систему, а?
[QUOTE=Vadim Sterkin;297012]Мне кажется, что такой подход не просто противоречит рекомендациям МС по обеспечению безопасной рабочей среды, но и потенциально опаснее, чем уязвимости в системе разрешений NTFS (извините, мне не удалось найти конкретных уязвимостей в гугле, поэтому буду признателен за ссылку в ПМ для самообразования). [/quote]
Ну, нашли на кого надеяться в области безопасности. Вчера опять 11 патчов выпустили. Сколько это ещё будет продолжаться? Не скажете? :>
Насчёт того, чтобы описать вам, что именно возможно через этих служб, какие дыры существуют в системе NTFS - подумаю, ОК? Я не совсем уверен, что все вещи надо назвать своими именами. Если делаете поиск по Joanna Rutkowska и у вас с английским нормально, то тогда найдёте то, что вы хотите. Можете быть уверены, что предложенное решение в Книге - не случайность.
[quote][b]Служба восстановления системы[/b]
У меня создалось впечатление, что негативное к ней отношение во многом сформировано в связи с многочисленными проблемами с лечением. [/quote]
А что, это не состоятельный аргумент разве? ;)
Сам я не 'лечу', даже здесь, так как 'религия не позволяет'; для самого себя считаю это бессмысленным занятием. То, что компьютер 'заболел' доказывает явно, что система защиты провалисась. И программы защиты в этом редко сами виноваты!

Если хотите, оставьте себе эту ценную службу. Надеюсь, что она вас не подведёт когда действительно беда будет. :)

Вы в качестве аргумента приводите часто то, настолько та или та служба полезная или удобная. Полезно для одного, ещё не полезно или нужно для другого. Если вы считаете, что полезности больше, чем опасности - оставьте всё как есть по умолчанию ДЛЯ СЕБЯ. Не беритесь, однако, советовать другим если речь идёт о вопросах безопасности если у вас нет точного основания. 'Презумпция Невиновности' к творениям Майкрософта нельзя применять...

По Москве я уже настроил сотные компы по этой схеме, и всё прекрасно работает без проблем. У этих людей и заражений не было совсем за 3-5 лет. Они довольны и приобрели душевное спокойство; то, что традиционные способы защиты не могли дать...

[QUOTE=Vadim Sterkin;297012]мои рекомендации могут расходиться с книгой[/quote]
Отсюда подробнее, пожалуйста. Где именно они будут расходиться и на каком основании?
* То, что 'Майкрософт так считает' отвергаю как аргумент. Делаю одно лишь исключение - если они там в Редмонде сами считают, что надо бы что-то отключить, так как это обычно значит, что речь идёт о чём-то из ряда вон выходящем.
* Ваше мнение просто так без обоснования - тоже не аргумент. ;)
[QUOTE=Vadim Sterkin;297012]Однако из раздела обсуждений публикаций сайта тему перенесли в форум для начинающих, где, исходя из списка тем, обсуждаются всевозможные проблемы с ОС, а не только проблемы безопасности.[/quote]
Это может означать что это такая информация, которые продвинутые ВСЕ знают, поэтому теме не место в данном разделе. То, что определённые службы надо отключить в целях безопасности не отрицают даже на oszone, я предполагаю. Telnet, Диспетчер сеанса справки для удалённого рабочего стола, Служба сообщений, Удалённый реестр - такие игрушки... :> Любой себя уважающий продвинутый участник этого ресурса должен знать сайт [url=http://www.blackviper.com/]BlackViper[/url], уже годами эталон того, как надо.

P.S.: Добавляю ещё, что Майкрософт на Висте изменила правила игры - там вам даже не удастся всё настроить, как вы хотите. Служба Восстановления, например, там теперь зависит от службы 'Теневое Копирование', служба, которую на XP каждый эксперт в здравом уме у себя дома отключает.

Paul

[QUOTE=p2u;297061]Ну, нашли на кого надеяться в области безопасности. Вчера опять 11 патчов выпустили. Сколько это ещё будет продолжаться? Не скажете? :>
[/QUOTE]
Паул, Паул 8) А что, в других ОС дыр уже нет? И патчи никто не выпускает?

[QUOTE]Единственное, что требуется: не лениться, и настроить разрешения на папку программы, которая неправильно работает -> дать право запись или полный доступ к этой папке, и всё заработает[/QUOTE]
Оно то конечно верно.. Вот только очень часто (благодаря умным програмерам) программе чертовски нужно распихать себя по системным папкам :( И периодически ещё чего-то туда писать или хранить промежуточные результаты работы прямо в корне диска С ну или ещё чего... А дать права на запись в папку system32 так оно проще под админом тогда посидеть... Есть хорошие проги, которые устанавливаются от админа, а потом спокойно работают под ограниченным пользователем даже без игры с правами, но хватает и обратных примеров

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

А есть ещё такая програмулина, АВК-3, так вот из-за "особенностей защиты от нелегального использования" она может работать только с админскими правами :(

[QUOTE=ALEX(XX);297077]...А есть ещё такая програмулина, АВК-3, так вот из-за "особенностей защиты от нелегального использования" она может работать только с админскими правами :([/QUOTE]
-угу... а есть ещё и такие которым при каждом запуске, непременно, нужно в реестр залезть, причём, отнюдь не не в пользовательские ветки...
[URL=http://www.radikal.ru][IMG]http://s49.radikal.ru/i123/0810/14/2f54f0e6e42e.jpg[/IMG][/URL]
-хотя с другой стороны, а что такому профессиональному софту делать на домашнем ПК?... ;) :)

[QUOTE=Alex Plutoff;297135]-хотя с другой стороны, а что такому профессиональному софту делать на домашнем ПК?... ;) :)[/QUOTE]
Ммм... К примеру АВК-3 могут спокойно использовать. Человек может выполнять заказы и дома.

[QUOTE=ALEX(XX);297147]Ммм... К примеру АВК-3 могут спокойно использовать. Человек может выполнять заказы и дома.[/QUOTE]-ну, коль так, выполнять заказы на дому, тогда и сконфигурировать систему нужно в соответствии, т.е. Home + Business :)

Выскажу свое небольшое мнение:
Служба восстановления системы использовал давно, но именно из-за кривизны драйвера и какой то глюкнувшей игрушки, сейчас уже не помню. По поводу "Ведь не все же проблемы пользователей связаны с заражением - намного чаще проблема создана самим пользователем или установкой ПО/драйверов" согласен наполовину, насколько "чем заражение" неуверен, такой статистики нет.
По поводу остального: я несколько ленив, а уж если сравнивать меня с Paul, то вообще лентяй :) и поэтому работать не из под администратора мне лениво. Даже дочке на комп доступ даю обычный, без разделения пользователей. Но использую Акронис и раз в месяц делаю полный бэкап, естественно антивирусная защита, отключение ненужных служб, работа с FF, тоже присутствует.
Подведу небольшой итог, для ленивых имеет смысл разориться на какие-то 400 рублей и приобрести Акронис или прогу подобного типа. Бекап есть самый надежный способ, других пока не придумано (кроме того, в Акронис можно и издеваться над ОС в особом режиме"песочницы"), а затраты смехотворные и для этого ненадо быть специалистом по информационной безопасности. Другое дело, что что некоторые пользователи и про бекап не знают или даже про системное восстановление. Т.е. моя мысль - бекап - альтернатива продвинутым мерам по инф-ой безопасности описанной в книге, но простые правила безопасности знать надо, как соблюдение личной гигиены.

[QUOTE=SDA;297182] раз в месяц делаю полный бэкап[/QUOTE]

По моему файлы при этом тоже убиваются(или я что-то пропустил), это тоже не очень удобно, хотя действенно. :)

[quote=SDA;297182] Т.е. моя мысль - бекап - альтернатива продвинутым мерам по инф-ой безопасности описанной в книге, но простые правила безопасности знать надо, как соблюдение личной гигиены.[/quote] Бекапы ведь не спасают от кражи паролей и прочей личной инфы, а защита её- главное, как мне кажется...

[QUOTE=ALEX(XX);297077]Паул, Паул 8) А что, в других ОС дыр уже нет? И патчи никто не выпускает?[/QUOTE]
Именно так. Я в процессе выбора системы Линукс, и понял, что вопрос об отключении ненужной функциональности на Линуксе тоже стоит. :)
[QUOTE=Dr.;297283]Бекапы ведь не спасают от кражи паролей и прочей личной инфы, а защита её- главное, как мне кажется...[/QUOTE]
От кражи паролей в конечном итоге НИЧЕГО не защищает; может быть, ну совсем может быть шифрование, и ваша собственная бдительность. Тот же Пинч спокойно работает в учётке ограниченного пользователя.

Вопросы [b]Олегу[/b]:
1) А Пинч и другие трояны-воры читают и отсылают пароль Админа, который топикстартер хочет ввести для того, чтобы использовать RunAs?
2) Бывают ли Трояны, которые делают, например, так:
[code]CreateProcess("runas.exe", "/savecred /user:administrator \"cmd /c
команда по вкусу\"",
...)[/code]
?

Paul

Использовать RunAs по своему опыту скажу: компромисс вполне приемлемый.

[quote=p2u;297305]

Вопросы [B]Олегу[/B]:
1) А Пинч и другие трояны-воры читают и отсылают пароль Админа, который топикстартер хочет ввести для того, чтобы использовать RunAs?
2) Бывают ли Трояны, которые делают, например, так:
[code]CreateProcess("runas.exe", "/savecred /user:administrator \"cmd /c
команда по вкусу\"",
...)[/code]
?

Paul[/quote]

1. Пинч - это понятие обтекаемое, его очень много разновидностей существует, и набор воруемой информации может меняться от версии к версии. Классического пинча больше интересуют пароли на почту, FTP, сохраненные в IE пароли и т.п. Системный пароль троян в чистом виде утащить не может - так как в системе хранится не пароль, а его хеш (исключение - когда системный пароль хранится где-то в открытом виде, или скажем юзер кругом применяет одинаковые имя юзера и пароль). Трояну же в общем случае гораздо проще скрытно завести в сситеме еще одного юзера и задать ему пароль (что позволит злоумышленнику войти на ПК), или содержать Backdoor-модуль, открывающий "черный ход" на пораженную машину.
2. Я пробил по моим базам - такого запуска в поведении строянов я не нашел (искал я событие по маске "запуск runas"). Однако троян может вызвать процесс от имени другого юзера через API - есть для этого особая функция CreateProcessAsUser. Вот таких троянов не сказать чтобы много, но попадаются

[QUOTE=p2u;297305]От кражи паролей в конечном итоге НИЧЕГО не защищает[/QUOTE]
Это не так. От зловредов типа пинча защищают HIPS с разделение ресурсов.

[QUOTE=drongo;297369]Использовать RunAs по своему опыту скажу: компромисс вполне приемлемый.[/QUOTE]
На Black Viper дают такие значения:
Display Name: Secondary Logon
Service Name (Registry): seclogon
DEFAULT: Automatic (Started)
Home DEFAULT: Automatic (Started)
MCE 2005 DEFAULT: Automatic (Started)
Pro DEFAULT: Automatic (Started)
Tablet PC Edition 2005:
[b][color=red][u]"SAFE"[/u] (то есть - 'безопасно'): [u]Disabled *[/u][/color][/b]
Tweaked: Disabled *
Bare Bones: Disabled *

Paul

[quote=Vadim Sterkin;297012][B]Зайцев Олег[/B], большое спасибо за цифры - это самые убедительные аргументы :) А нет ли у вас данных о том, какой процент зловредов эксплуатирует уязвимости, официально признанные Microsoft путем выпуска заплаток? Если такой статистики нет, то, возможно, вы сможете дать общую оценку ситуации? Я к тому, что массовые эпидемии, типа msblast (просто яркий пример), стали возможны потому, что исправления были не установлены [ну и встроенный брандмауэр был отключен, ибо народная мудрость в том, что он - фуфло... (но таки лучше, чем совсем ничего)]. Я действительно сомневаюсь в том, что большинство пользователей, отключивших АО, регулярно обновляют ОС раз в месяц. Гм... стало интересно даже, я организую опрос пользователей на oszone :)

Что же касается MDM, то ваше обоснование только улучшило бы книгу, ибо оно дано непосредственно в контексте безопасности.[/quote]
Общая оценка такова - значительный процент пользователей раздолбами :) Т.е. не нужен хитрый эксплоит, или мудреный метод обхода Firewall или свеженайденная уязвимость - зачастую достаточно послать юзеру письмо типа "Ты выиграл миллион, подробности в аттаче" с приложенным EXE или ссылкой... и вроде здравый смысл говорит о том, что явно что-то нечисто, но любопытство важнее всего... можно вспомнить недавние эпидемии "детских" деструктивных троянов, которые картинки и документы поганили - пострадавших тьма, но ведь там были лобовые ссылки на файлы типа SCR, народ его качал и запускал, подтверждая запросы системы о том, что файл исполняемый и получен неизвестно откуда.
С другой стороны, я реально сталкивался с ситуациями, когда например "ложится" сеть, где все ПК скажем работают под W2K и там есть незакрытая до сих пор уязвимость (в XP она пропатчена). И получается - админы вроде грамотные, и патчи все стоят, и сделано вроде все по науке - и тем не менее машина заражатся по 2-3 штуки в секунду. Или взять за пример тьму взломанных сайтов, в странички которых встроены эксплоиты (по моей статистике взломан в среднем один сайт на 100-500 штук (точная цифра зависит от доменной зоны и т.п.). На правильно настроенном IE7 со всеми заплатками большинство эксплоитов не работают, а на непатченном браузера отрабатывают без проблем и идет заражение системы

Конечно классно что у вас тут идёт высокопрофессиональный спор о построении обсолютной защиты. Но, возможно, простым пользователям стоит давать более простые советы, которые не повергнут их в ступор а помогут реально повысить защищенность компьютера. Например иметь лицензионную Винду с включенным сервисом обновлений. Держать всегда включенной встроенную стенку, если нет другой. Иметь лицензионный, а не крякнутый антивирус, и переодически контролировать что лицензия не закончилась и обновления скачиваются. Использовать альтернативный браузер или использовать какой-то браузерно ориентированный ХИПС/песочницу. Они обычно просты в использовании и не выдают кучу напонятных алертов.
А так, получаются советы ходить в бронежилете, каске и противогазе. А лучше на танке в окружении роты автоматчиков. НИ один нормальный человек, всем этим заниматься не будет.

[QUOTE=Geser;297390] Но, возможно, простым пользователям стоит давать более простые советы, которые не повергнут их в ступор а помогут реально повысить защищенность компьютера. Например иметь лицензионную Винду с включенным сервисом обновлений. Держать всегда включенной встроенную стенку, если нет другой. Иметь лицензионный, а не крякнутый антивирус, и переодически контролировать что лицензия не закончилась и обновления скачиваются. Использовать альтернативный браузер или использовать какой-то браузерно ориентированный ХИПС/песочницу. Они обычно просты в использовании и не выдают кучу напонятных алертов.[/QUOTE]
* У нас с Ником всё просто объясняется в Книге. Кто хочет, тот и применяет советы. Свободная страна же? ;)
* Я не совсем понял как 'иметь лицензионную Винду' защищает от того, что можно делать с Telnet и подобными.
* То, что Майкрософт обещает не всегда соответствует действительности. Цитат Рутковской:
[quote]Because firefox.exe is now marked as a Low integrity file, Vista will also create a Low integrity process from this file, unless you are going to start this executable from a High integrity process (e.g. elevated command prompt). Also, if you, for some reason (see below), wanted to use runas or psexec to start a Low integrity process, it won’t work and [color=blue][b]will start the process as Medium, regardless that the executable is marked as Low integrity.[/b][/color][/quote]
Речь идёт о Висте, лучшая ОС до сих пор с точки зрения безопасности. То есть - вы думаете, что процесс запущен с низкими привилегиями, а на самом-то деле это не так. Простых юзеров это, скорее всего, мало интересует, но продвинутых...

P.S.: Проясняю:
На висте существуют шесть уровней доверия вместе с группами, которые их используют:

[b]Доверенный инсталлятор[/b]. Объекты, имеющие статус доверенного инсталлятора имеют наивысший уровень доверия из возможных и могут вносить изменения в ОС.
[b]Системный[/b]. Объекты, имеющий данный статус, являются общими службами или объектами, которые являются частью ОС. С данным приоритетом, к примеру, запускаются учётные записи локальных или сетевых служб.
[b]Высокий[/b]. Учётная запись администратора запускается с высоким уровнем доверия, впрочем, как и другие учётные записи продвинутых пользователей, таких как оператор архива или оператор шифрования. Практически во всех случаях, когда код запущен с высоким уровнем доверия, он может вносить изменения в ОС.
[b]Средний[/b]. Это обычный уровень для стандартных учётных записей и связанных с ними данных.
[b]Низкий[/b]. Такой статус имеют учётная запись Everyone и временные файлы. Данный уровень, по данным Майкрософта, также используется для входа в Интернет. Данные Рутковской, однако, противоречат этому - то есть: при определённых [b]недокументированных[/b] условиях вы будете сидеть уже в Интернете с привилегиями среднего уровня, что можно назвать достаточно рискованной ситуацией. Какие ещё тайны скрываются? :>
[b]Недоверенный[/b]. Такой статус присваивается анонимной и гостевой учётным записям.

Самое основное ограничение, введённое между уровнями доверия, - это то, что Microsoft назвала политикой NO_WRITE_UP. Это означает, что по умолчанию ни один объект одного уровня не может редактировать объект более высокого уровня. И это сказкой оказалась - вспомним хакеров, которые хакнули Висту через флеш плеер. Правда, фишка там была в том, что Флеш плеер не поддерживает DEP (предотвращение выполнение данных), что для программы, которая так глубоко внедряется в систему - глупость, конечно...

Paul

[QUOTE=SDA;297182]моя мысль - бекап - альтернатива продвинутым мерам по инф-ой безопасности описанной в книге, но простые правила безопасности знать надо, как соблюдение личной гигиены[/QUOTE]Не знаю, почему так сложилось, но среди моих коллег/друзей/знакомых подавляющее большинство именно приверженцев такого же, как у Вас, [B]SDA[/B], подхода. И про всякие бэкапы, в т.ч. просто откаты, инкрементивные и т.д., они знают гораздо больше, чем про "личную гигиену" от [B]p2u[/B]. Правда, программые средства для этого используются весьма различные. Мне даже кажется, что это довольно распространенная тенденция, имхо, для озабоченных некоторой собственной безопасностью, но ленивых в ней глубоко копать.

[quote=Geser]Но, возможно, простым пользователям стоит давать более простые советы, которые не повергнут их в ступор а помогут реально повысить защищенность компьютера. Например иметь лицензионную Винду с включенным сервисом обновлений. [/quote]

[quote=Книга, страница 22]Желательно также устанавливать обновления Windows – по крайней мере критические. Отключение служб не отменяет этой необходимости.[/quote]

[quote=Geser]Держать всегда включенной встроенную стенку, если нет другой. Иметь лицензионный, а не крякнутый антивирус, и переодически контролировать что лицензия не закончилась и обновления скачиваются.[/quote]

[quote=Книга, страница 10]Антивирусом и брандмауэром должна быть оснащена любая машина в Сети[/quote]

[quote=Geser]Использовать альтернативный браузер или использовать какой-то браузерно ориентированный ХИПС/песочницу. [/QUOTE]

[quote=Книга, страница 22]Следует использовать альтернативные ICQ-клиенты (к примеру, программу QIP, Miranda и другие) и браузеры – целесообразно заменить Internet Explorer на Firefox или Opera.[/quote]

:)

[QUOTE=p2u;297394]* У нас с Ником всё просто объясняется в Книге.
Paul[/QUOTE]
Не совсем просто, но достаточно доступно.(я довольно с опаской отключал службы, и сис.востановление отключил когда удостоверился что все работает-ОК)

Там было выше
[QUOTE=p2u;297394] Мы с Николаем даже не стали продробно описывать возможностей работы под ограниченного пользователя - ещё обидятся...[/QUOTE] Не нашел подобной темы, не обиделся бы если кто-нибудь кинул ссылку. :)

[QUOTE=ananas;297395]Не знаю, почему так сложилось, но среди моих коллег/друзей/знакомых подавляющее большинство именно приверженцев такого же, как у Вас, [B]SDA[/B], подхода. И про всякие бэкапы, в т.ч. просто откаты, инкрементивные и т.д., они знают гораздо больше, чем про "личную гигиену" от [B]p2u[/B]. Правда, программые средства для этого используются весьма различные. Мне даже кажется, что это довольно распространенная тенденция, имхо, для озабоченных некоторой собственной безопасностью, но ленивых в ней глубоко копать.[/QUOTE]

Единственный минус - это то, что пока сделаешь бекап (при подозрении, обнаружении зверька и соответственно заглючевшей системой)), зловред успеет похитить информацию. Поэтому антивирус, фаервол и обновления никто не отменял,особенно при наличии ценной информации (по крайней мере они зловреда и обнаружат и предотвратят увод инфы), но бекап никто не отменял :) .
В идеале это выглядит так:антивирус, фаервол обнаруживают зловреда, нейтрализуют (на мой взгляд это комбайн типа всевозможных Internet Security) и откат на заведомо чистый бекап, ведь система все равно скомпрометирована, даже при удачном удалении зловреда антивирусом.
Итог 10 минут бекапа и никаких проблем с лечением для обычного юзера.

[b]p2u[/b]
Спасибо, что находите время на подробные ответы :)

Благодарю за разъяснения по CIS. Для меня действительно было очень странно услышать, что МС согласилась с отключением вторичного входа, тем самым подорвав всю свою концепцию работы под пользователем с ограниченными правами. Что же касается воплощения теоретических уязвимостей в практические, то у меня нет сомнений, что рано или поздно кто-то попытается это реализовать. О найденных Рутковска уязвимостях (привилегии процессов) я читал раньше, весьма внимательно, но я не обладаю достаточной экспертной базой по безопасности, хотя и понимаю, чем это может быть опасно.

Относительно автоматического обновления мне не удалось найти статистики, которой я мог бы подтвердить свое предположение о том, что поддержание системы в актуальном состоянии позволяет обезопасить ее от большего кол-ва зловредов, чем отключение службы. Тут и МС не сможет никаких данных привести, потому что их отчеты по безопасности во многом построены на данных, собраных на основе анализа защитных механизмов, использующих автообновление :-/ И тем не менее, я сомневаюсь, что пользователи регулярно читают бюллетени безопасности, а потом бегут скачивать апдейты. У многих система так и останется непропатченной, несмотря на рекомендацию в книге.

Я, конечно, согласен с Олегом, что необязательно использовать хитрые уязвимости - пользователь сам аттач запустит... Что же касается W2k, забавно, но на работе у меня именно она и стоит, поскольку основное бизнес-приложение глючит под ХР. Конечно, ни о каком IE7 тут речи быть не может, равно как и об альтернативных браузерах.

[quote]Книга была написана для:
* <...>
* людей, которые НЕ ХОТЯТ отказаться от работы в учётке админа (а это большинство). Мы с Николаем даже не стали продробно описать возможностей работы под ограниченного пользователя - ещё обидятся..[/quote]
Гм... в книге об этом не упоминается, если я ничего не пропустил. Это все-таки важный момент. К нему я вернусь чуть ниже :)

[quote]Зачем тогда оставить открытым и незащищённым встроенного Админа (=рут), скажите?[/quote]
А я и не говорил, что его нужно оставлять открытым и незащищенным. Я лишь сказал о том, что никто не запомнит 15-символьный сложный пароль. И вы сразу привели отличный контраргумент.
[quote]Длинный пароль необзяательно сложный. Это может быть фраза какая-нибудь, например:
Цитата:
ПошёлТы,Блин,ЗнаешьКуда
Крепкий пароль, кстати (23 знака). Жизнь не хватает, чтобы его взломать. Разве сложно выучить[/quote]
Для меня это новостью не является, но для вашей целевой аудитории - вполне возможно. Сравните с рекомендациями, которые вы даете в книге.
[quote=книга]Советы по созданию надежных паролей:

1) Старайтесь не использовать никаких слов (ни русских, ни английских). Если бессмысленные сочетания знаков вам сложно запомнить, придумайте какое-нибудь слово сами.

2) Используйте в пароле цифры. Желательно не одну и не две.

3) Не записывайте пароли ни на каких бумажках для памяти. Нигде. Пароль должен храниться у вас в голове, потому что это единственное место, куда пока еще никто не имеет доступа, кроме вас.

4) Создавайте длинный пароль (желательно 18 знаков или больше). Такой пароль нельзя взломать благодаря ошибке программистов Microsoft – он сохраняется как пароль нулевой длины.[/quote]
Следуя пунктам 1,2,4, пользователь должен, не используя никаких слов, придумать слово, содержащее цифры и состоящее из 18 знаков. Я таких не знаю :) Вы согласны с тем, что эту рекомендацию можно облечь в более понятную форму, предложив использовать парольную фразу и продемонстировав эту идею на примере?

Спасибо за пример администрирования домашнего компьютера. Собственно, я и не говорил, что каждый пользователь домашнего компьютера должен знать пароль администратора. Изначально я даже написал "по кр. мере один обязан знать", но потом стер, решив, что это будет ясно из контекста. Ошибся, извините.

[quote]Знаете почему? Когда что-то не работает, НЕ НАДО стать админом по всей системе! Единственное, что требуется: не лениться, и настроить разрешения на папку программы, которая неправильно работает -> дать право запись или полный доступ к этой папке, и всё заработает. Не лучше ли это, чем работать под админ, и получать полный доступ на ВСЮ систему, а?[/quote]
Гм... я с вами согласен, но можно я этот вопрос вам адресую? :) Ведь вы же написали книгу для людей, которые не хотят отказываться от работы с правами админа... А теперь в этой дискуссии с жаром убеждаете меня в том, что лучше так не делать. И очень жаль, что вы решили, что читатели могут обидеться на предложение работать с ограниченными правами (я, видимо, не должен обижаться? :)). Ваши рекомендации помноженные на собственный опыт работы в таком режиме могли бы оказаться очень полезными. Но для этого пришлось бы рассматривать работу пользователем в Vista, что не то же самое, что работа пользователем в ХР. Как я говорил раньше, в книге различия между этими ОС фактически не делается. Я считаю такой подход слишком общим. По данным МС (Microsoft Security Intelligence Report) Vista подвергается заражениям значительно реже, чем XP (имеются в виду нормализованные данные). Конечно, к заявлениям МС можно относиться скептически, но демонстрировать их некорректность нужно с цифрами в руках.

[quote]Ну, нашли на кого надеяться в области безопасности. Вчера опять 11 патчов выпустили. Сколько это ещё будет продолжаться? Не скажете?[/quote]
Вопрос не по адресу, я даже не работаю в МС :) Что же касается рекомендаций производителя по работе с ОС вообще и обеспечения ее безопасности в частности, то я не могу согласиться с тем, что им не нужно следовать, только потому, что "их написал Билл Гейтс" :) Возьму Vista для примера. Ну какие там рекомендации? Поставьте антивирус (об этом система напомнит сама, если не отключить уведомления). Используйте антишпиона (защитник входит в комплект). Обновляйте ОС и ПО реуглярно (АО и так включено, обновит защитника и загрузит MSRT). Используйте защищенный режим ИЕ7 (нужен UAC). Работайте под ограниченным пользователем с UAC (да, раздражает жутко, простите уж, но безопасность улучшает). Можно высмеивать способности защитника или MSRT к выявлению шпионов, можно размазывать по стенке запросы UAC, можно не считать ИЕ7 за браузер. Можно указывать на многочисленные уязвимости. Оно все так. Но если человек следует этим нехитрым рекомендациям, то в форуме "ПОМОГИТЕ" вы его не увидите с большой вероятностью. Это я не в защиту ПО или ОС МС говорю. Речь исключительно о рекомендациях и следовании им. К этому я тоже вернусь в конце поста :)

[quote]А что, это не состоятельный аргумент разве? ;)[/quote]
Состоятельный, но не имеющий отношения к предотвращению заражения. Я понимаю, это трудно признать... ;)

[quote]Если хотите, оставьте себе эту ценную службу. Надеюсь, что она вас не подведёт когда действительно беда будет. :)

Вы в качестве аргумента приводите часто то, настолько та или та служба полезная или удобная. Полезно для одного, ещё не полезно или нужно для другого. Если вы считаете, что полезности больше, чем опасности - оставьте всё как есть по умолчанию ДЛЯ СЕБЯ. Не беритесь, однако, советовать другим если речь идёт о вопросах безопасности если у вас нет точного основания.[/quote]
Я считаю эту службу ценной не только для себя, но и для других пользователей. Ваше же рекомендации по ее отключению, приведенные в книге, я никак не могу назвать имеющими точное основание. И именно в этом заключается расхождение, которым вы поинтересовались.

Помимо безопасности есть еще понятие удобства работы в ОС, поэтому я использую его в качестве аргумента. Если рекомендация по безопасности создает пользователю значительные неудобства, она будет проигнорирована. Сюрприз? Вряд ли. Да, эксперт умывает руки - он же сказал, что нужно отключить вторичный вход и выходить из системы каждый раз для админ задач, вводя потом слово из 18 букво-цифр. А будет ли кто-то следовать рекомендации, его уже не особо волнует - главное, это "расставить грабли"? :) Поэтому я вижу задачу не в том, чтобы обезопасить домашнего пользователя любой ценой, а достичь необходимого баланса между удобством работы и безопасностью ОС, давая такие рекомендации, которым человек будет следовать. Такой подход, конечно, не обеспечивает абсолютную безопасность отдельно взятого компьютера (что, видимо, неприемлемо для эксперта по безопасности), но в общей массе он даст свои результаты.

[quote]P.S.: Добавляю ещё, что Майкрософт на Висте изменила правила игры - там вам даже не удастся всё настроить, как вы хотите. [/quote]
Это аргумент в пользу того, что информацию в книге нужно обновить? :) А что вы имеете в виду, говоря о невозможности настройки?

Как я уже сказал ранее, я сюда не ругаться пришел. Я создал дискуссию в надежде, что из нее выльется что-нибудь достойное внесения в книгу, делающее ее объективнее, понятнее, лучше... для читателя лучше. Я считаю, что некоторые комментарии в данной теме вполне удовлетворяют этой задаче. Вы хотя бы один такой видите? Если нет, то мы зря тратим время :)


[quote=SDA;297182]Выскажу свое небольшое мнение:
Служба восстановления системы использовал давно, но именно из-за кривизны драйвера и какой то глюкнувшей игрушки, сейчас уже не помню. По поводу "Ведь не все же проблемы пользователей связаны с заражением - намного чаще проблема создана самим пользователем или установкой ПО/драйверов" согласен наполовину, насколько "чем заражение" неуверен, такой статистики нет.[/quote]
Да, такой статистики нет :) Признаю некорректность заявления. Видимо, оно основано на том, что я на протяжении шести лет онлайн-помощи пользователям XP/Vista видел множество проблем, которые откат решил бы, но служба была отключена либо из соображений производительности, либо место на диске экономили. Насчет безопасности - не уверен...

[b]All[/b]
Спасибо, что принимаете участие в дискуссии. Конечно, интересно услышать мнения не только авторов книги, но и других участников форума :)

[QUOTE=Vadim Sterkin;297534][b]p2u[/b]Относительно автоматического обновления мне не удалось найти статистики, которой я мог бы подтвердить свое предположение о том, что поддержание системы в актуальном состоянии позволяет обезопасить ее от большего кол-ва зловредов, чем отключение службы. Тут и МС не сможет никаких данных привести, потому что их отчеты по безопасности во многом построены на данных, собраных на основе анализа защитных механизмов, использующих автообновление :-/ И тем не менее, я сомневаюсь, что пользователи регулярно читают бюллетени безопасности, а потом бегут скачивать апдейты. У многих система так и останется непропатченной, несмотря на рекомендацию в книге.[/quote]
Не путайте, пожалуйста, одно с другим. Отключить эти службы ПО УМОЛЧАНИЮ не исключает обновление системы до актуального состояния!
Единственное, что требуется: раз в месяц (второй вторник - для нас вторую среду) поставить на 'Авто' (!) и включить BITS + Automatic Updates. Остальное время эти службы ничего не делают, кроме:
* Открыть порты
* Выполнить задачи по загрузке файлов для других (здесь я про BITS). Если вы отключаете одну службу, то тогда вы должны и отключить её 'дочь', иначе будут сбои в системе. Если уж о неудобствах говорим, то тогда это бывает весело; система загружена на 90% потому что Automatic Updates пытается включить BITS и расходывает на это очень много ресурсов, даже до такой степени, что вся система начинает тормозить... Вспомните, что я против самой службы Automatic Updates ничего не говорил!
* Как Олег уже говорил, ДРУГИЕ косят под эти службы. Если вы твёрдо знаете, что они отключены, и вы увидите что-то похоже на них в Диспетчере Задач, то тогда вы знаете, что у вас есть поблемы. Косвенно всё-таки связь есть с заражением. BITS - дура, может запросто выполнить приказ о загрузке новых зловредов когда у вас система уже заражена.

А теперь скажите, пожалуйста - целосообразно ли оставлять эти службы работать остальные 29/30 дней в месяце если они НИЧЕГО полезного не делают в это время?
[QUOTE=Vadim Sterkin;297534]Следуя пунктам 1,2,4, пользователь должен, не используя никаких слов, придумать слово, содержащее цифры и состоящее из 18 знаков. Я таких не знаю :) Вы согласны с тем, что эту рекомендацию можно облечь в более понятную форму, предложив использовать парольную фразу и продемонстировав эту идею на примере?[/quote]
Да, я согласен; надо придумать примеры, да, и указать, что [b]фразы[/b] более эффективны, чем какие-нибудь ничего не говорящие символы, которые можно ещё и забыть. Не должно быть слов из словаря, что избегать брут-атаки. Если выполнить эти указания, то тогда всё равно сложно не должно быть. Допустим:
[quote]TryToCr@ckTh1$,$ucker[/quote]
или по-русски:
[quote]С03датьХ0р0ш1йПар0ль-сл0жн0?[/quote]
о = 0
з = 3
и = 1
Требования выполнены. Так можно придумать свою систему. Самое главное - чтоб легко запоминалось.

(Офф-топ)
P.S.: [url=http://research.sun.com/people/diffie/Dr. Whitfield Diffie[/url]Dr. Whitfield Diffie[/url], начальник в Sun Microsystems знаете, что говорит?
Надо написать свой пароль на бумажку и сунуть себе в кошолёк - у вас кошолёк более надёжное место, чем ваш компьютер. :)
(Конец офф-топа)
[QUOTE=Vadim Sterkin;297534]Спасибо за пример администрирования домашнего компьютера. Собственно, я и не говорил, что каждый пользователь домашнего компьютера должен знать пароль администратора. Изначально я даже написал "по кр. мере один обязан знать", но потом стер, решив, что это будет ясно из контекста. Ошибся, извините.[/quote]
Вы лучше извините меня. Из-за того, что я пытаюсь писАть как можно грамотно на русском (чтобы слишком стыдно не было) я иногда забываю свою мысль. Здесь тоже неправильно выразил то, что хотел на самом деле сказать.
[QUOTE=Vadim Sterkin;297534] Ведь вы же написали книгу для людей, которые не хотят отказываться от работы с правами админа... А теперь в этой дискуссии с жаром убеждаете меня в том, что лучше так не делать.[/quote]
Знаете, когда вы сидите под ограчинного пользователя, то тогда и Книга не очень нужна на самом деле. Но я предпочитаю всё-таки смотреть как есть. Все знают, что не надо пьяным за за рулём сидеть, но некоторые вещи в поведении людей нельзя изменить. Я думаю, что если их не заставить, что они НЕ БУДУТ сидеть под простым юзером. В наших с вами интересах, пусть тогда хоть выполняют то, что описано. Спасёт их от заражения, и нас от атак с их компьютеров.
[QUOTE=Vadim Sterkin;297534]И очень жаль, что вы решили, что читатели могут обидеться на предложение работать с ограниченными правами (я, видимо, не должен обижаться? :)). [/quote]
Я поставил смайлик. Я думал, что будет ясно, что я шучу...
[QUOTE=Vadim Sterkin;297534]Ваши рекомендации помноженные на собственный опыт работы в таком режиме могли бы оказаться очень полезными.[/quote]
Может быть, но надо делать выбор. Слишком много материала предлагать тоже не имеет смысла. Так уже целая Библия. :)
[QUOTE=Vadim Sterkin;297534]Но для этого пришлось бы рассматривать работу пользователем в Vista, что не то же самое, что работа пользователем в ХР. Как я говорил раньше, в книге различия между этими ОС фактически не делается. Я считаю такой подход слишком общим. [/quote]
Согласен. Акцент сделан на XP. Когда она была написана, про Висту было очень мало данных. Поэтому надо бы 'ДО Висты' понимать как 'Не включая Висту'...
[QUOTE=Vadim Sterkin;297534]По данным МС (Microsoft Security Intelligence Report) Vista подвергается заражениям значительно реже, чем XP (имеются в виду нормализованные данные). Конечно, к заявлениям МС можно относиться скептически, но демонстрировать их некорректность нужно с цифрами в руках.[/quote]
There are lies, damned lies, and statistics. (c)
Будьте начеку, когда Майкрософт или Индустрия Компьютерной Безопасности начинают привести цифры и статисткику, всегда! Обычно преследуются маркетинговые цели. Пользователи, которые сейчас сидят на Висте - Бэта-тестеры, не больше. Win-7 уже за углом; Висту сама Майкрософт скоро оставит. Она выполняет такую же функцию, как тогда Millenium.
Не отрицаю пока данных, но это из-за менее популярности этой системы. Ещё раз говорю, что Майкрософт считала, что Vista un-hackable. Когда она говорит одно, всегда получается совсем другое. Линуксоиды же тоже говорят, что Линукс ГОРАЗДО безопаснее, чем Windows. Как только Линукс станет более популярным, ещё увидим... :)
[QUOTE=Vadim Sterkin;297534]можно размазывать по стенке запросы UAC[/quote]
Майкрософт уже переписывает UAC для Win-7. Знаете почему? А потому что слишком многие юзеры (включая профессиональные АДМИНИСТРАТОРЫ?!?) разрешают всё, что угодно, либо из-за того, что алерт не поняли, либо из-за усталости от этих алертов:
[url=http://www.lifehacker.com.au/tips/2008/10/10/microsoft_kind_of_promises_to_fix_uac.html]Microsoft Kind Of Promises To Fix UAC[/url]
[quote]Microsoft has also acknowledged that the all-pervasive nature of UAC might be counter-productive:
We are seeing consumer administrators approving 89% of prompts in Vista and 91% in SP1. We are obviously concerned users are responding out of habit due to the large number of prompts rather than focusing on the critical prompts and making confident decisions.[/quote]
[QUOTE=Vadim Sterkin;297534]Помимо безопасности есть еще понятие удобства работы в ОС, поэтому я использую его в качестве аргумента.[/quote]
У меня ответ на это очень простой - 'удобства', предлагаемые Майкрософтом и безопасность редко сочетаются - история это доказала и доказывает постоянно. Они скорее всего друг друга исключают в большинстве случаев. Именно из-за принципов удобства все эти проблемы начались. Атакуются именно настройки по умолчанию. Майкрософт же сама хочет, чтобы удобно было; тогда продажи больше будет. Но хакеры тоже знают это. Для того, чтобы атака оплачивалась, надо, чтобы побольше жертв было. Значит - надо атаковать настройки 'удобсвта'.
[QUOTE=Vadim Sterkin;297534]Это аргумент в пользу того, что информацию в книге нужно обновить? :) А что вы имеете в виду, говоря о невозможности настройки?[/quote]
Книгу надо дополнить, да. Лишь бы время найти на это.
Невозможность настройки:
1) Попробуйте на Висте отключить Windows Defender (несовместим со многими программами защиты) так, чтобы не было раздражающих алертов о том, что он не запущен, и так, чтобы в системном журнале не было единной записи об ошибках.
P.S.: Это на самом деле ещё возможно, но это уже нелегко.
2) Загрузите [url=http://download.sysinternals.com/Files/TcpView.zip]TCPView[/url] и посмотрите что там творится с портами на Висте. Теперь попробуйте закрыть на Висту все порты, которые стоят на 'LISTENING' ('вороты' к вашему компу, то есть, готовые принимать незапрашиваемый трафик). На XP можно этого добиться. На Висте это вам НЕ удастся. Даже IE стоит на 'LISTENING'. Firewall от этого не может защищать - вы сами создали дыры в нём (вернее, это Майкрософт сделала 'для вашего же удобства' видимо). В результате смогли хакнуть Висту, потому что Флеш плеер в нём построен, и тоже 'слушает' (то есть - принимает незапрашиваемые данные). Это тем более грустно из-за тенденции вендеров продуктов безопасности создать огромные базы 'доверенных' приложений (тоже для удобства, прошу заметить). Удобно, - да. Безопасно, - нет.
[QUOTE=Vadim Sterkin;297534]Вы хотя бы один такой видите? Если нет, то мы зря тратим время :) [/quote]
Зря время не тратим - надо дополнить и доработать Книгу, это правда. Скоро уже новая ОС будет, и информация будет уже не соответствовать. Возможно лучше бы издать Книги про XP, Vista, Win-7 отдельно.

То, что Николай Головко сделал для русскоязычных пользователей в развитии представления о [b]реальных[/b] принципах безопасности в XP (в отличия от того, что обычно предлагается) - БЕСЦЕННО.

Paul

То, что [B][I]p2u и Николай Головко[/I][/B] сделали для русскоязычных пользователей в развитии представления о реальных принципах безопасности в XP (в отличия от того, что обычно предлагается) - БЕСЦЕННО.

:)

Я скорее автор-составитель и литературный редактор, чем создатель всей совокупности советов, изложенных в книге. Просто они давно требовали интеграции и каталогизации. :)

[QUOTE=NickGolovko;297405]:)[/QUOTE]

А я не сказал что в книге этого не хватает. Книга, несомненно, полезна для продвинитого пользователя. Но рядового пользователя, который использует компьютер в основном для сёрфинга в интернете и скачивания музыки/фильмов она скорее напугает. Рядовому пользователю нужны советы как включить автообновление, как включить встроенный брандмауер, как сделать что бы при этом работал осёл, торрент и т.п. Где скачать альтернативный браузер и как его установить в картинках. Где проверить подозрительные файлы и т.п.

кстати, почему делается такой упор на сложность и длину пароля администратора?..
Считаю, что это неактуально для домашнего ПК. В принципе, хватит и обычного пароля - знаков 8 - стандартный пароль - какое-то близкое слово + обвески из цифр (префиксы разные и т.д).

Т.е - если ставим пароль против зловреда - то зловред, тянущий пароль админа - очень редок (я не встречал троя, тянущего пароль админа на ХР).
Возможно, что Олегу встречались такие трои. Надо спросить.

Если же злоумышленник получит физический доступ на долгое время к ПК - то ему, в принципе, будет все равно какой длинны там пароль - 9 там знаков нормальных или 15.

[QUOTE=priv8v;297876]кстати, почему делается такой упор на сложность и длину пароля администратора?..
[/QUOTE]
Как известно, крэкеры не взламывают сам пароль, а его хэш. Я не знаю, как сейчас на Висте, но XP храняет LM хэш пароля, 15 знаков или длинее как
[code]AAD3B435B51404EEAAD3B435B51404EE[/code]
= null session. Это такая своеобразная ошибка в коде Windows XP. То есть - область пароля - пустой. Но так как пароль на самом деле НЕ пустой, нельзя будет взламывать этот хэш, даже если у вас физический доступ.

Paul

Паул, имхо, это не важно - будет долгий физический доступ к ПК - пароль админа совсем не нужен.

[QUOTE=priv8v;297892]Паул, имхо, это не важно - будет долгий физический доступ к ПК - пароль админа совсем не нужен.[/QUOTE]
Это понятно, но защита этой учётной записи крепким паролем + переименованием всё равно имеет смысл на практике, хотя бы в качестве дополнительного препятствия.

Paul

препятствия к чему?..
нужно определится какая задача у злоумышленника, который получил физический доступ к ПК.
:)

[quote=p2u;297895]Это понятно, но защита этой учётной записи крепким паролем + переименованием всё равно имеет смысл на практике, хотя бы в качестве дополнительного препятствия.

Paul[/quote]
Если в политиках безопасности запретить сетевой коннект под именем админских учетных записей + удалить протокол MS из сетевого подключения, связывающего ПК с Инет, то можно админу задать пустой пароль или скажем 123 - и ничего страшного не будет :)

[QUOTE=priv8v;297900]препятствия к чему?..
нужно определится какая задача у злоумышленника, который получил физический доступ к ПК.
:)[/QUOTE]
Это выходит за рамки данного топика, и мы ещё рискуем здесь обсудить запрещённые правилами форума темы. Поэтому ограничиваюсь следующем: самая главная его задача, что бы он ни делал на данном компьютере - не оставлять следов. Чем больше ловушек поставлены... :)

Paul

Паул, Вы уходите не туда :)
От кого мне защищать свой домашний ПК 15-значным паролем крутой криптостойкости ?) :)
От родных? они не смогут ломать обычный 8-значный + надо имя админа знать.
От злоумышленника? если он просто стырит мой компьютер/хард/получит к компу доступ на пару дней и будет иметь на руках все инструменты... - то тоже не спасет. Вывод: от кого спасаемся???..

Утилит при физ.доступе к ПК для работе с SAM файлом - куча. (сброс пароля, брут пароля, замена пароля и т.д и т.п)
И смотря что нужно злоумышленнику?.. если ему нужен важный документ лежащий на харде - то на пароль админа - ему "по-барабану".

[QUOTE=priv8v;297905]Паул, Вы уходите не туда :)
От кого мне защищать свой домашний ПК 15-значным паролем крутой криптостойкости ?) :)
От родных? они не смогут ломать обычный 8-значный + надо имя админа знать.
От злоумышленника? если он просто стырит мой компьютер/хард/получит к компу доступ на пару дней и будет иметь на руках все инструменты... - то тоже не спасет. Вывод: от кого спасаемся???..[/quote]
Я защищаю свой комп, например, где лежат ОЧЕНЬ важные, конфиденциальные вещи, от друзей-умников своего сына, которые приходят сюда и хотят показать какие они крутые. Бэк-ап есть, дело не в этом, но комп мой - я хозяин, и всё. Могу с радостью сообщить, что никому до сих пор не удалось что-нибудь сделать на уровне админа, и что все попытки что-нибудь такое предпринимать у меня регистрируются. Именно поэтому и знаю. Чёрные ходы естественно заблокировал. У меня увлечение как раз Computer Forensics, то есть - исследование компов после преступления. :)

[QUOTE=priv8v;297905]Утилит при физ.доступе к ПК для работе с SAM файлом - куча. (сброс пароля, брут пароля, замена пароля и т.д и т.п)[/QUOTE]
У вас слабое преставление о предмете если честно. Только халтурщик так работает... :)

Paul