Обсуждение книги " Безопасный Интернет. Возможно ли это?"

[Зайцев Олег]

Зайцев Олег, большое спасибо за цифры - это самые убедительные аргументы А нет ли у вас данных о том, какой процент зловредов эксплуатирует уязвимости, официально признанные Microsoft путем выпуска заплаток? Если такой статистики нет, то, возможно, вы сможете дать общую оценку ситуации? Я к тому, что массовые эпидемии, типа msblast (просто яркий пример), стали возможны потому, что исправления были не установлены [ну и встроенный брандмауэр был отключен, ибо народная мудрость в том, что он - фуфло... (но таки лучше, чем совсем ничего)]. Я действительно сомневаюсь в том, что большинство пользователей, отключивших АО, регулярно обновляют ОС раз в месяц. Гм... стало интересно даже, я организую опрос пользователей на oszone

Что же касается MDM, то ваше обоснование только улучшило бы книгу, ибо оно дано непосредственно в контексте безопасности.

Общая оценка такова - значительный процент пользователей раздолбами Т.е. не нужен хитрый эксплоит, или мудреный метод обхода Firewall или свеженайденная уязвимость - зачастую достаточно послать юзеру письмо типа "Ты выиграл миллион, подробности в аттаче" с приложенным EXE или ссылкой... и вроде здравый смысл говорит о том, что явно что-то нечисто, но любопытство важнее всего... можно вспомнить недавние эпидемии "детских" деструктивных троянов, которые картинки и документы поганили - пострадавших тьма, но ведь там были лобовые ссылки на файлы типа SCR, народ его качал и запускал, подтверждая запросы системы о том, что файл исполняемый и получен неизвестно откуда.
С другой стороны, я реально сталкивался с ситуациями, когда например "ложится" сеть, где все ПК скажем работают под W2K и там есть незакрытая до сих пор уязвимость (в XP она пропатчена). И получается - админы вроде грамотные, и патчи все стоят, и сделано вроде все по науке - и тем не менее машина заражатся по 2-3 штуки в секунду. Или взять за пример тьму взломанных сайтов, в странички которых встроены эксплоиты (по моей статистике взломан в среднем один сайт на 100-500 штук (точная цифра зависит от доменной зоны и т.п.). На правильно настроенном IE7 со всеми заплатками большинство эксплоитов не работают, а на непатченном браузера отрабатывают без проблем и идет заражение системы

[Geser]

Конечно классно что у вас тут идёт высокопрофессиональный спор о построении обсолютной защиты. Но, возможно, простым пользователям стоит давать более простые советы, которые не повергнут их в ступор а помогут реально повысить защищенность компьютера. Например иметь лицензионную Винду с включенным сервисом обновлений. Держать всегда включенной встроенную стенку, если нет другой. Иметь лицензионный, а не крякнутый антивирус, и переодически контролировать что лицензия не закончилась и обновления скачиваются. Использовать альтернативный браузер или использовать какой-то браузерно ориентированный ХИПС/песочницу. Они обычно просты в использовании и не выдают кучу напонятных алертов.
А так, получаются советы ходить в бронежилете, каске и противогазе. А лучше на танке в окружении роты автоматчиков. НИ один нормальный человек, всем этим заниматься не будет.

[XP user]

Но, возможно, простым пользователям стоит давать более простые советы, которые не повергнут их в ступор а помогут реально повысить защищенность компьютера. Например иметь лицензионную Винду с включенным сервисом обновлений. Держать всегда включенной встроенную стенку, если нет другой. Иметь лицензионный, а не крякнутый антивирус, и переодически контролировать что лицензия не закончилась и обновления скачиваются. Использовать альтернативный браузер или использовать какой-то браузерно ориентированный ХИПС/песочницу. Они обычно просты в использовании и не выдают кучу напонятных алертов.

* У нас с Ником всё просто объясняется в Книге. Кто хочет, тот и применяет советы. Свободная страна же?
* Я не совсем понял как 'иметь лицензионную Винду' защищает от того, что можно делать с Telnet и подобными.
* То, что Майкрософт обещает не всегда соответствует действительности. Цитат Рутковской:

Because firefox.exe is now marked as a Low integrity file, Vista will also create a Low integrity process from this file, unless you are going to start this executable from a High integrity process (e.g. elevated command prompt). Also, if you, for some reason (see below), wanted to use runas or psexec to start a Low integrity process, it won’t work and will start the process as Medium, regardless that the executable is marked as Low integrity.

Речь идёт о Висте, лучшая ОС до сих пор с точки зрения безопасности. То есть - вы думаете, что процесс запущен с низкими привилегиями, а на самом-то деле это не так. Простых юзеров это, скорее всего, мало интересует, но продвинутых...

P.S.: Проясняю:
На висте существуют шесть уровней доверия вместе с группами, которые их используют:

Доверенный инсталлятор. Объекты, имеющие статус доверенного инсталлятора имеют наивысший уровень доверия из возможных и могут вносить изменения в ОС.
Системный. Объекты, имеющий данный статус, являются общими службами или объектами, которые являются частью ОС. С данным приоритетом, к примеру, запускаются учётные записи локальных или сетевых служб.
Высокий. Учётная запись администратора запускается с высоким уровнем доверия, впрочем, как и другие учётные записи продвинутых пользователей, таких как оператор архива или оператор шифрования. Практически во всех случаях, когда код запущен с высоким уровнем доверия, он может вносить изменения в ОС.
Средний. Это обычный уровень для стандартных учётных записей и связанных с ними данных.
Низкий. Такой статус имеют учётная запись Everyone и временные файлы. Данный уровень, по данным Майкрософта, также используется для входа в Интернет. Данные Рутковской, однако, противоречат этому - то есть: при определённых недокументированных условиях вы будете сидеть уже в Интернете с привилегиями среднего уровня, что можно назвать достаточно рискованной ситуацией. Какие ещё тайны скрываются?
Недоверенный. Такой статус присваивается анонимной и гостевой учётным записям.

Самое основное ограничение, введённое между уровнями доверия, - это то, что Microsoft назвала политикой NO_WRITE_UP. Это означает, что по умолчанию ни один объект одного уровня не может редактировать объект более высокого уровня. И это сказкой оказалась - вспомним хакеров, которые хакнули Висту через флеш плеер. Правда, фишка там была в том, что Флеш плеер не поддерживает DEP (предотвращение выполнение данных), что для программы, которая так глубоко внедряется в систему - глупость, конечно...

Paul

[ananas]

моя мысль - бекап - альтернатива продвинутым мерам по инф-ой безопасности описанной в книге, но простые правила безопасности знать надо, как соблюдение личной гигиены

Не знаю, почему так сложилось, но среди моих коллег/друзей/знакомых подавляющее большинство именно приверженцев такого же, как у Вас, SDA, подхода. И про всякие бэкапы, в т.ч. просто откаты, инкрементивные и т.д., они знают гораздо больше, чем про "личную гигиену" от p2u. Правда, программые средства для этого используются весьма различные. Мне даже кажется, что это довольно распространенная тенденция, имхо, для озабоченных некоторой собственной безопасностью, но ленивых в ней глубоко копать.

[NickGolovko]

Но, возможно, простым пользователям стоит давать более простые советы, которые не повергнут их в ступор а помогут реально повысить защищенность компьютера. Например иметь лицензионную Винду с включенным сервисом обновлений.

Желательно также устанавливать обновления Windows – по крайней мере критические. Отключение служб не отменяет этой необходимости.

Держать всегда включенной встроенную стенку, если нет другой. Иметь лицензионный, а не крякнутый антивирус, и переодически контролировать что лицензия не закончилась и обновления скачиваются.

Антивирусом и брандмауэром должна быть оснащена любая машина в Сети

Использовать альтернативный браузер или использовать какой-то браузерно ориентированный ХИПС/песочницу.

Следует использовать альтернативные ICQ-клиенты (к примеру, программу QIP, Miranda и другие) и браузеры – целесообразно заменить Internet Explorer на Firefox или Opera.

[Kovalev]

* У нас с Ником всё просто объясняется в Книге.
Paul

Не совсем просто, но достаточно доступно.(я довольно с опаской отключал службы, и сис.востановление отключил когда удостоверился что все работает-ОК)

Там было выше

Мы с Николаем даже не стали продробно описывать возможностей работы под ограниченного пользователя - ещё обидятся...

Не нашел подобной темы, не обиделся бы если кто-нибудь кинул ссылку.

[SDA]

Не знаю, почему так сложилось, но среди моих коллег/друзей/знакомых подавляющее большинство именно приверженцев такого же, как у Вас, SDA, подхода. И про всякие бэкапы, в т.ч. просто откаты, инкрементивные и т.д., они знают гораздо больше, чем про "личную гигиену" от p2u. Правда, программые средства для этого используются весьма различные. Мне даже кажется, что это довольно распространенная тенденция, имхо, для озабоченных некоторой собственной безопасностью, но ленивых в ней глубоко копать.

Единственный минус - это то, что пока сделаешь бекап (при подозрении, обнаружении зверька и соответственно заглючевшей системой)), зловред успеет похитить информацию. Поэтому антивирус, фаервол и обновления никто не отменял,особенно при наличии ценной информации (по крайней мере они зловреда и обнаружат и предотвратят увод инфы), но бекап никто не отменял .
В идеале это выглядит так:антивирус, фаервол обнаруживают зловреда, нейтрализуют (на мой взгляд это комбайн типа всевозможных Internet Security) и откат на заведомо чистый бекап, ведь система все равно скомпрометирована, даже при удачном удалении зловреда антивирусом.
Итог 10 минут бекапа и никаких проблем с лечением для обычного юзера.

[Vadim Sterkin]

p2u
Спасибо, что находите время на подробные ответы

Благодарю за разъяснения по CIS. Для меня действительно было очень странно услышать, что МС согласилась с отключением вторичного входа, тем самым подорвав всю свою концепцию работы под пользователем с ограниченными правами. Что же касается воплощения теоретических уязвимостей в практические, то у меня нет сомнений, что рано или поздно кто-то попытается это реализовать. О найденных Рутковска уязвимостях (привилегии процессов) я читал раньше, весьма внимательно, но я не обладаю достаточной экспертной базой по безопасности, хотя и понимаю, чем это может быть опасно.

Относительно автоматического обновления мне не удалось найти статистики, которой я мог бы подтвердить свое предположение о том, что поддержание системы в актуальном состоянии позволяет обезопасить ее от большего кол-ва зловредов, чем отключение службы. Тут и МС не сможет никаких данных привести, потому что их отчеты по безопасности во многом построены на данных, собраных на основе анализа защитных механизмов, использующих автообновление :-/ И тем не менее, я сомневаюсь, что пользователи регулярно читают бюллетени безопасности, а потом бегут скачивать апдейты. У многих система так и останется непропатченной, несмотря на рекомендацию в книге.

Я, конечно, согласен с Олегом, что необязательно использовать хитрые уязвимости - пользователь сам аттач запустит... Что же касается W2k, забавно, но на работе у меня именно она и стоит, поскольку основное бизнес-приложение глючит под ХР. Конечно, ни о каком IE7 тут речи быть не может, равно как и об альтернативных браузерах.

Книга была написана для:
* <...>
* людей, которые НЕ ХОТЯТ отказаться от работы в учётке админа (а это большинство). Мы с Николаем даже не стали продробно описать возможностей работы под ограниченного пользователя - ещё обидятся..

Гм... в книге об этом не упоминается, если я ничего не пропустил. Это все-таки важный момент. К нему я вернусь чуть ниже

Зачем тогда оставить открытым и незащищённым встроенного Админа (=рут), скажите?

А я и не говорил, что его нужно оставлять открытым и незащищенным. Я лишь сказал о том, что никто не запомнит 15-символьный сложный пароль. И вы сразу привели отличный контраргумент.

Длинный пароль необзяательно сложный. Это может быть фраза какая-нибудь, например:
Цитата:
ПошёлТы,Блин,ЗнаешьКуда
Крепкий пароль, кстати (23 знака). Жизнь не хватает, чтобы его взломать. Разве сложно выучить

Для меня это новостью не является, но для вашей целевой аудитории - вполне возможно. Сравните с рекомендациями, которые вы даете в книге.

Советы по созданию надежных паролей:

1) Старайтесь не использовать никаких слов (ни русских, ни английских). Если бессмысленные сочетания знаков вам сложно запомнить, придумайте какое-нибудь слово сами.

2) Используйте в пароле цифры. Желательно не одну и не две.

3) Не записывайте пароли ни на каких бумажках для памяти. Нигде. Пароль должен храниться у вас в голове, потому что это единственное место, куда пока еще никто не имеет доступа, кроме вас.

4) Создавайте длинный пароль (желательно 18 знаков или больше). Такой пароль нельзя взломать благодаря ошибке программистов Microsoft – он сохраняется как пароль нулевой длины.

Следуя пунктам 1,2,4, пользователь должен, не используя никаких слов, придумать слово, содержащее цифры и состоящее из 18 знаков. Я таких не знаю Вы согласны с тем, что эту рекомендацию можно облечь в более понятную форму, предложив использовать парольную фразу и продемонстировав эту идею на примере?

Спасибо за пример администрирования домашнего компьютера. Собственно, я и не говорил, что каждый пользователь домашнего компьютера должен знать пароль администратора. Изначально я даже написал "по кр. мере один обязан знать", но потом стер, решив, что это будет ясно из контекста. Ошибся, извините.

Знаете почему? Когда что-то не работает, НЕ НАДО стать админом по всей системе! Единственное, что требуется: не лениться, и настроить разрешения на папку программы, которая неправильно работает -> дать право запись или полный доступ к этой папке, и всё заработает. Не лучше ли это, чем работать под админ, и получать полный доступ на ВСЮ систему, а?

Гм... я с вами согласен, но можно я этот вопрос вам адресую? Ведь вы же написали книгу для людей, которые не хотят отказываться от работы с правами админа... А теперь в этой дискуссии с жаром убеждаете меня в том, что лучше так не делать. И очень жаль, что вы решили, что читатели могут обидеться на предложение работать с ограниченными правами (я, видимо, не должен обижаться? ). Ваши рекомендации помноженные на собственный опыт работы в таком режиме могли бы оказаться очень полезными. Но для этого пришлось бы рассматривать работу пользователем в Vista, что не то же самое, что работа пользователем в ХР. Как я говорил раньше, в книге различия между этими ОС фактически не делается. Я считаю такой подход слишком общим. По данным МС (Microsoft Security Intelligence Report) Vista подвергается заражениям значительно реже, чем XP (имеются в виду нормализованные данные). Конечно, к заявлениям МС можно относиться скептически, но демонстрировать их некорректность нужно с цифрами в руках.

Ну, нашли на кого надеяться в области безопасности. Вчера опять 11 патчов выпустили. Сколько это ещё будет продолжаться? Не скажете?

Вопрос не по адресу, я даже не работаю в МС Что же касается рекомендаций производителя по работе с ОС вообще и обеспечения ее безопасности в частности, то я не могу согласиться с тем, что им не нужно следовать, только потому, что "их написал Билл Гейтс" Возьму Vista для примера. Ну какие там рекомендации? Поставьте антивирус (об этом система напомнит сама, если не отключить уведомления). Используйте антишпиона (защитник входит в комплект). Обновляйте ОС и ПО реуглярно (АО и так включено, обновит защитника и загрузит MSRT). Используйте защищенный режим ИЕ7 (нужен UAC). Работайте под ограниченным пользователем с UAC (да, раздражает жутко, простите уж, но безопасность улучшает). Можно высмеивать способности защитника или MSRT к выявлению шпионов, можно размазывать по стенке запросы UAC, можно не считать ИЕ7 за браузер. Можно указывать на многочисленные уязвимости. Оно все так. Но если человек следует этим нехитрым рекомендациям, то в форуме "ПОМОГИТЕ" вы его не увидите с большой вероятностью. Это я не в защиту ПО или ОС МС говорю. Речь исключительно о рекомендациях и следовании им. К этому я тоже вернусь в конце поста

А что, это не состоятельный аргумент разве?

Состоятельный, но не имеющий отношения к предотвращению заражения. Я понимаю, это трудно признать...

Если хотите, оставьте себе эту ценную службу. Надеюсь, что она вас не подведёт когда действительно беда будет.

Вы в качестве аргумента приводите часто то, настолько та или та служба полезная или удобная. Полезно для одного, ещё не полезно или нужно для другого. Если вы считаете, что полезности больше, чем опасности - оставьте всё как есть по умолчанию ДЛЯ СЕБЯ. Не беритесь, однако, советовать другим если речь идёт о вопросах безопасности если у вас нет точного основания.

Я считаю эту службу ценной не только для себя, но и для других пользователей. Ваше же рекомендации по ее отключению, приведенные в книге, я никак не могу назвать имеющими точное основание. И именно в этом заключается расхождение, которым вы поинтересовались.

Помимо безопасности есть еще понятие удобства работы в ОС, поэтому я использую его в качестве аргумента. Если рекомендация по безопасности создает пользователю значительные неудобства, она будет проигнорирована. Сюрприз? Вряд ли. Да, эксперт умывает руки - он же сказал, что нужно отключить вторичный вход и выходить из системы каждый раз для админ задач, вводя потом слово из 18 букво-цифр. А будет ли кто-то следовать рекомендации, его уже не особо волнует - главное, это "расставить грабли"? Поэтому я вижу задачу не в том, чтобы обезопасить домашнего пользователя любой ценой, а достичь необходимого баланса между удобством работы и безопасностью ОС, давая такие рекомендации, которым человек будет следовать. Такой подход, конечно, не обеспечивает абсолютную безопасность отдельно взятого компьютера (что, видимо, неприемлемо для эксперта по безопасности), но в общей массе он даст свои результаты.

P.S.: Добавляю ещё, что Майкрософт на Висте изменила правила игры - там вам даже не удастся всё настроить, как вы хотите.

Это аргумент в пользу того, что информацию в книге нужно обновить? А что вы имеете в виду, говоря о невозможности настройки?

Как я уже сказал ранее, я сюда не ругаться пришел. Я создал дискуссию в надежде, что из нее выльется что-нибудь достойное внесения в книгу, делающее ее объективнее, понятнее, лучше... для читателя лучше. Я считаю, что некоторые комментарии в данной теме вполне удовлетворяют этой задаче. Вы хотя бы один такой видите? Если нет, то мы зря тратим время

Выскажу свое небольшое мнение:
Служба восстановления системы использовал давно, но именно из-за кривизны драйвера и какой то глюкнувшей игрушки, сейчас уже не помню. По поводу "Ведь не все же проблемы пользователей связаны с заражением - намного чаще проблема создана самим пользователем или установкой ПО/драйверов" согласен наполовину, насколько "чем заражение" неуверен, такой статистики нет.

Да, такой статистики нет Признаю некорректность заявления. Видимо, оно основано на том, что я на протяжении шести лет онлайн-помощи пользователям XP/Vista видел множество проблем, которые откат решил бы, но служба была отключена либо из соображений производительности, либо место на диске экономили. Насчет безопасности - не уверен...

All
Спасибо, что принимаете участие в дискуссии. Конечно, интересно услышать мнения не только авторов книги, но и других участников форума

[XP user]

p2uОтносительно автоматического обновления мне не удалось найти статистики, которой я мог бы подтвердить свое предположение о том, что поддержание системы в актуальном состоянии позволяет обезопасить ее от большего кол-ва зловредов, чем отключение службы. Тут и МС не сможет никаких данных привести, потому что их отчеты по безопасности во многом построены на данных, собраных на основе анализа защитных механизмов, использующих автообновление :-/ И тем не менее, я сомневаюсь, что пользователи регулярно читают бюллетени безопасности, а потом бегут скачивать апдейты. У многих система так и останется непропатченной, несмотря на рекомендацию в книге.

Не путайте, пожалуйста, одно с другим. Отключить эти службы ПО УМОЛЧАНИЮ не исключает обновление системы до актуального состояния!
Единственное, что требуется: раз в месяц (второй вторник - для нас вторую среду) поставить на 'Авто' (!) и включить BITS + Automatic Updates. Остальное время эти службы ничего не делают, кроме:
* Открыть порты
* Выполнить задачи по загрузке файлов для других (здесь я про BITS). Если вы отключаете одну службу, то тогда вы должны и отключить её 'дочь', иначе будут сбои в системе. Если уж о неудобствах говорим, то тогда это бывает весело; система загружена на 90% потому что Automatic Updates пытается включить BITS и расходывает на это очень много ресурсов, даже до такой степени, что вся система начинает тормозить... Вспомните, что я против самой службы Automatic Updates ничего не говорил!
* Как Олег уже говорил, ДРУГИЕ косят под эти службы. Если вы твёрдо знаете, что они отключены, и вы увидите что-то похоже на них в Диспетчере Задач, то тогда вы знаете, что у вас есть поблемы. Косвенно всё-таки связь есть с заражением. BITS - дура, может запросто выполнить приказ о загрузке новых зловредов когда у вас система уже заражена.

А теперь скажите, пожалуйста - целосообразно ли оставлять эти службы работать остальные 29/30 дней в месяце если они НИЧЕГО полезного не делают в это время?

Следуя пунктам 1,2,4, пользователь должен, не используя никаких слов, придумать слово, содержащее цифры и состоящее из 18 знаков. Я таких не знаю Вы согласны с тем, что эту рекомендацию можно облечь в более понятную форму, предложив использовать парольную фразу и продемонстировав эту идею на примере?

Да, я согласен; надо придумать примеры, да, и указать, что фразы более эффективны, чем какие-нибудь ничего не говорящие символы, которые можно ещё и забыть. Не должно быть слов из словаря, что избегать брут-атаки. Если выполнить эти указания, то тогда всё равно сложно не должно быть. Допустим:

TryToCr@ckTh1$,$ucker

или по-русски:

С03датьХ0р0ш1йПар0ль-сл0жн0?

о = 0
з = 3
и = 1
Требования выполнены. Так можно придумать свою систему. Самое главное - чтоб легко запоминалось.

(Офф-топ)
P.S.: Dr. Whitfield Diffie, начальник в Sun Microsystems знаете, что говорит?
Надо написать свой пароль на бумажку и сунуть себе в кошолёк - у вас кошолёк более надёжное место, чем ваш компьютер.
(Конец офф-топа)

Спасибо за пример администрирования домашнего компьютера. Собственно, я и не говорил, что каждый пользователь домашнего компьютера должен знать пароль администратора. Изначально я даже написал "по кр. мере один обязан знать", но потом стер, решив, что это будет ясно из контекста. Ошибся, извините.

Вы лучше извините меня. Из-за того, что я пытаюсь писАть как можно грамотно на русском (чтобы слишком стыдно не было) я иногда забываю свою мысль. Здесь тоже неправильно выразил то, что хотел на самом деле сказать.

Ведь вы же написали книгу для людей, которые не хотят отказываться от работы с правами админа... А теперь в этой дискуссии с жаром убеждаете меня в том, что лучше так не делать.

Знаете, когда вы сидите под ограчинного пользователя, то тогда и Книга не очень нужна на самом деле. Но я предпочитаю всё-таки смотреть как есть. Все знают, что не надо пьяным за за рулём сидеть, но некоторые вещи в поведении людей нельзя изменить. Я думаю, что если их не заставить, что они НЕ БУДУТ сидеть под простым юзером. В наших с вами интересах, пусть тогда хоть выполняют то, что описано. Спасёт их от заражения, и нас от атак с их компьютеров.

И очень жаль, что вы решили, что читатели могут обидеться на предложение работать с ограниченными правами (я, видимо, не должен обижаться? ).

Я поставил смайлик. Я думал, что будет ясно, что я шучу...

Ваши рекомендации помноженные на собственный опыт работы в таком режиме могли бы оказаться очень полезными.

Может быть, но надо делать выбор. Слишком много материала предлагать тоже не имеет смысла. Так уже целая Библия.

Но для этого пришлось бы рассматривать работу пользователем в Vista, что не то же самое, что работа пользователем в ХР. Как я говорил раньше, в книге различия между этими ОС фактически не делается. Я считаю такой подход слишком общим.

Согласен. Акцент сделан на XP. Когда она была написана, про Висту было очень мало данных. Поэтому надо бы 'ДО Висты' понимать как 'Не включая Висту'...

По данным МС (Microsoft Security Intelligence Report) Vista подвергается заражениям значительно реже, чем XP (имеются в виду нормализованные данные). Конечно, к заявлениям МС можно относиться скептически, но демонстрировать их некорректность нужно с цифрами в руках.

There are lies, damned lies, and statistics. (c)
Будьте начеку, когда Майкрософт или Индустрия Компьютерной Безопасности начинают привести цифры и статисткику, всегда! Обычно преследуются маркетинговые цели. Пользователи, которые сейчас сидят на Висте - Бэта-тестеры, не больше. Win-7 уже за углом; Висту сама Майкрософт скоро оставит. Она выполняет такую же функцию, как тогда Millenium.
Не отрицаю пока данных, но это из-за менее популярности этой системы. Ещё раз говорю, что Майкрософт считала, что Vista un-hackable. Когда она говорит одно, всегда получается совсем другое. Линуксоиды же тоже говорят, что Линукс ГОРАЗДО безопаснее, чем Windows. Как только Линукс станет более популярным, ещё увидим...

можно размазывать по стенке запросы UAC

Майкрософт уже переписывает UAC для Win-7. Знаете почему? А потому что слишком многие юзеры (включая профессиональные АДМИНИСТРАТОРЫ?!?) разрешают всё, что угодно, либо из-за того, что алерт не поняли, либо из-за усталости от этих алертов:
Microsoft Kind Of Promises To Fix UAC

Microsoft has also acknowledged that the all-pervasive nature of UAC might be counter-productive:
We are seeing consumer administrators approving 89% of prompts in Vista and 91% in SP1. We are obviously concerned users are responding out of habit due to the large number of prompts rather than focusing on the critical prompts and making confident decisions.

Помимо безопасности есть еще понятие удобства работы в ОС, поэтому я использую его в качестве аргумента.

У меня ответ на это очень простой - 'удобства', предлагаемые Майкрософтом и безопасность редко сочетаются - история это доказала и доказывает постоянно. Они скорее всего друг друга исключают в большинстве случаев. Именно из-за принципов удобства все эти проблемы начались. Атакуются именно настройки по умолчанию. Майкрософт же сама хочет, чтобы удобно было; тогда продажи больше будет. Но хакеры тоже знают это. Для того, чтобы атака оплачивалась, надо, чтобы побольше жертв было. Значит - надо атаковать настройки 'удобсвта'.

Это аргумент в пользу того, что информацию в книге нужно обновить? А что вы имеете в виду, говоря о невозможности настройки?

Книгу надо дополнить, да. Лишь бы время найти на это.
Невозможность настройки:
1) Попробуйте на Висте отключить Windows Defender (несовместим со многими программами защиты) так, чтобы не было раздражающих алертов о том, что он не запущен, и так, чтобы в системном журнале не было единной записи об ошибках.
P.S.: Это на самом деле ещё возможно, но это уже нелегко.
2) Загрузите TCPView и посмотрите что там творится с портами на Висте. Теперь попробуйте закрыть на Висту все порты, которые стоят на 'LISTENING' ('вороты' к вашему компу, то есть, готовые принимать незапрашиваемый трафик). На XP можно этого добиться. На Висте это вам НЕ удастся. Даже IE стоит на 'LISTENING'. Firewall от этого не может защищать - вы сами создали дыры в нём (вернее, это Майкрософт сделала 'для вашего же удобства' видимо). В результате смогли хакнуть Висту, потому что Флеш плеер в нём построен, и тоже 'слушает' (то есть - принимает незапрашиваемые данные). Это тем более грустно из-за тенденции вендеров продуктов безопасности создать огромные базы 'доверенных' приложений (тоже для удобства, прошу заметить). Удобно, - да. Безопасно, - нет.

Вы хотя бы один такой видите? Если нет, то мы зря тратим время

Зря время не тратим - надо дополнить и доработать Книгу, это правда. Скоро уже новая ОС будет, и информация будет уже не соответствовать. Возможно лучше бы издать Книги про XP, Vista, Win-7 отдельно.

То, что Николай Головко сделал для русскоязычных пользователей в развитии представления о реальных принципах безопасности в XP (в отличия от того, что обычно предлагается) - БЕСЦЕННО.

Paul

[NickGolovko]

То, что p2u и Николай Головко сделали для русскоязычных пользователей в развитии представления о реальных принципах безопасности в XP (в отличия от того, что обычно предлагается) - БЕСЦЕННО.



Я скорее автор-составитель и литературный редактор, чем создатель всей совокупности советов, изложенных в книге. Просто они давно требовали интеграции и каталогизации.

[Geser]

А я не сказал что в книге этого не хватает. Книга, несомненно, полезна для продвинитого пользователя. Но рядового пользователя, который использует компьютер в основном для сёрфинга в интернете и скачивания музыки/фильмов она скорее напугает. Рядовому пользователю нужны советы как включить автообновление, как включить встроенный брандмауер, как сделать что бы при этом работал осёл, торрент и т.п. Где скачать альтернативный браузер и как его установить в картинках. Где проверить подозрительные файлы и т.п.

[priv8v]

кстати, почему делается такой упор на сложность и длину пароля администратора?..
Считаю, что это неактуально для домашнего ПК. В принципе, хватит и обычного пароля - знаков 8 - стандартный пароль - какое-то близкое слово + обвески из цифр (префиксы разные и т.д).

Т.е - если ставим пароль против зловреда - то зловред, тянущий пароль админа - очень редок (я не встречал троя, тянущего пароль админа на ХР).
Возможно, что Олегу встречались такие трои. Надо спросить.

Если же злоумышленник получит физический доступ на долгое время к ПК - то ему, в принципе, будет все равно какой длинны там пароль - 9 там знаков нормальных или 15.

[XP user]

кстати, почему делается такой упор на сложность и длину пароля администратора?..

Как известно, крэкеры не взламывают сам пароль, а его хэш. Я не знаю, как сейчас на Висте, но XP храняет LM хэш пароля, 15 знаков или длинее как

Код:

AAD3B435B51404EEAAD3B435B51404EE

= null session. Это такая своеобразная ошибка в коде Windows XP. То есть - область пароля - пустой. Но так как пароль на самом деле НЕ пустой, нельзя будет взламывать этот хэш, даже если у вас физический доступ.

Paul

[priv8v]

Паул, имхо, это не важно - будет долгий физический доступ к ПК - пароль админа совсем не нужен.

[XP user]

Паул, имхо, это не важно - будет долгий физический доступ к ПК - пароль админа совсем не нужен.

Это понятно, но защита этой учётной записи крепким паролем + переименованием всё равно имеет смысл на практике, хотя бы в качестве дополнительного препятствия.

Paul

[priv8v]

препятствия к чему?..
нужно определится какая задача у злоумышленника, который получил физический доступ к ПК.

[Зайцев Олег]

Это понятно, но защита этой учётной записи крепким паролем + переименованием всё равно имеет смысл на практике, хотя бы в качестве дополнительного препятствия.

Paul

Если в политиках безопасности запретить сетевой коннект под именем админских учетных записей + удалить протокол MS из сетевого подключения, связывающего ПК с Инет, то можно админу задать пустой пароль или скажем 123 - и ничего страшного не будет

[XP user]

препятствия к чему?..
нужно определится какая задача у злоумышленника, который получил физический доступ к ПК.

Это выходит за рамки данного топика, и мы ещё рискуем здесь обсудить запрещённые правилами форума темы. Поэтому ограничиваюсь следующем: самая главная его задача, что бы он ни делал на данном компьютере - не оставлять следов. Чем больше ловушек поставлены...

Paul

[priv8v]

Паул, Вы уходите не туда
От кого мне защищать свой домашний ПК 15-значным паролем крутой криптостойкости ?)
От родных? они не смогут ломать обычный 8-значный + надо имя админа знать.
От злоумышленника? если он просто стырит мой компьютер/хард/получит к компу доступ на пару дней и будет иметь на руках все инструменты... - то тоже не спасет. Вывод: от кого спасаемся???..

Утилит при физ.доступе к ПК для работе с SAM файлом - куча. (сброс пароля, брут пароля, замена пароля и т.д и т.п)
И смотря что нужно злоумышленнику?.. если ему нужен важный документ лежащий на харде - то на пароль админа - ему "по-барабану".

[XP user]

Паул, Вы уходите не туда
От кого мне защищать свой домашний ПК 15-значным паролем крутой криптостойкости ?)
От родных? они не смогут ломать обычный 8-значный + надо имя админа знать.
От злоумышленника? если он просто стырит мой компьютер/хард/получит к компу доступ на пару дней и будет иметь на руках все инструменты... - то тоже не спасет. Вывод: от кого спасаемся???..

Я защищаю свой комп, например, где лежат ОЧЕНЬ важные, конфиденциальные вещи, от друзей-умников своего сына, которые приходят сюда и хотят показать какие они крутые. Бэк-ап есть, дело не в этом, но комп мой - я хозяин, и всё. Могу с радостью сообщить, что никому до сих пор не удалось что-нибудь сделать на уровне админа, и что все попытки что-нибудь такое предпринимать у меня регистрируются. Именно поэтому и знаю. Чёрные ходы естественно заблокировал. У меня увлечение как раз Computer Forensics, то есть - исследование компов после преступления.

Утилит при физ.доступе к ПК для работе с SAM файлом - куча. (сброс пароля, брут пароля, замена пароля и т.д и т.п)

У вас слабое преставление о предмете если честно. Только халтурщик так работает...

Paul