Обсуждение книги " Безопасный Интернет. Возможно ли это?"

[ananas]

p2u, да Вы и сами упоминали еще про WWDC, который тоже кое-чего умеет. Но широкая рассейская душа требует мегапакета с мегавозможностями и с минимумом всяких усилий.

[XP user]

p2u, да Вы и сами упоминали еще про WWDC, который тоже кое-чего умеет. Но широкая рассейская душа требует мегапакета с мегавозможностями и с минимумом всяких усилий.

Олег даст вам такой инструмент, я в этом уверен - за бесплатно.
У меня, например, вот это:



Ссылку не дам - один раз обжёгся. Надо все параметры понимать до того, как отметить и нажать 'ОК'. То, что некоторые элементы неотмечены ничего не говорит о том, что это мой выбор - Службы Server, например, нет (то есть - недоступна; я её... да, жестоко УДАЛИЛ). Тогда и тоже не будет галочки... На Workstation, Messenger Service и RPC Locator я тоже крест поставил. Файл Hosts, например, у меня переименнован в Xhosts; недоступен системе, то есть не отмечен в программе параметр 'Set Read Only for Hosts File'. Можно создать BackUp до того, как изменить параметры, и восстановить из этого же BackUp одним кликом.

P.S.: Ещё XPTweaker есть.

Paul

[ananas]

Олег даст вам такой инструмент, я в этом уверен - за бесплатно.

Нет. Не мне. Я не прошу, в топике про восстановление параметров по-умолчанию уже высказался, что мне более интересно и по-душе прикладывать усилия самому. И хорошо, когда есть возможность проконсультироваться с более знающими и, тем более - с экспертами. Спасибо всем.

[sergey888]

У меня, например, вот это:

Ссылку не дам - один раз обжёгся.

Paul

Спасибо ссылка и так видна. Но я никому не скажу
Но я не из тех кто бездумно экспериментирует на своей системе. Я лучше буду экспериментировать на чужой. Может с сотого раза высчитаю универсальную конфигурацию.

[XP user]

Спасибо ссылка и так видна.

Признайте, признайте... У меня чувство юмора есть...

Paul

[NRA]

Уважаемые форуманы, всё по сути и в тему, HO
проблема в том что
1. ВСЮ работу никто не хочет делать
2. а если делать, то делать "на уровне"
3. определить целевую аудиторию
4. как лучше визуалировать и реализовать
5. инфа постоянно обновляется
... и по моему самое главное
такие проекты выполняются либо для личного пользования, либо в свободное время свободными мастерами, например вот что пишет Volker Birk /автор Shutdown Windows' servers/

Why are you doing this?
I developed it on Easter Monday - I was bored a little bit then ;-)
And: I think, that the work of Frank Kaune and Torsten Mann can be used by many people. Especially Ansgar Wiechers, Uli Dangel, Dominik Meyer and Stephan Weber of Chaostreff Bad Waldsee as well as Umut Dilbaz are helping me with support.
Third, at last: it's useful, isn't it?

Зачем Вы это делаете?
Я сделал это на Пасху в понедельник - мне было децл скушно ;-)
А ещё я считаю что работа Frank Kaune и Torsten Mann может пригодится многим. Особенно Ansgar Wiechers, Uli Dangel, Dominik Meyer и Stephan Weber из Chaostreff Bad Waldsee, как и Umut Dilbaz и тем, кто помогает мне.
В третьих, наконец-то: это ведь нужно, не так ли?

Так что предлагаю создать опрос по пунктам и... мучить Олега

[XP user]

например вот что пишет Volker Birk /автор Shutdown Windows' servers/

Volker Birk - великий специалист по файрволам, кстати. Его идеи по этому поводу практически совпадают с моими - то есть: бессмысленно пытаться контролировать код в системе с помощью файрвола - отрубить или удалить надо нежелаемый код (множество служб Windows в эту группу входит).

Если привилегированная системная служба открывает порт, то тогда это брешь в системе защиты

Жаль, что до сих пор так мало людей это понимают. Отчёт netstat в идеале не должен показать ничего на 'LISTENING'.



Paul

[NRA]

Paul, несмотря на Ваши, как мне кажется, немного радикальные идеи, я всё же пользуюсь относительно стабильным фаерволлом и стараюсь "контролировать" запущеные процессы и выполняемые ими действия
Кстати, a как Вам TCP LISTENiNG 1110,19780 [AVP.EXE]?

Ближе к теме:
даже очень хорошие специалисты (такие как Volker Birk или Олег) развивают свободные проекты в свободное время.

мне было децл скушно

Что в принципе логично, но очень замедляет реализацию идей (в данном случае - воплощение книги).

Вывод:
надо поддерживать таких людей - это обоюдная выгода, главное не превратить AVZ в очередную твикалку

P.S.последний раз мне очень понравился вариант с .СHM-книгой со встроеными .REG-файлами: прочитал описание, понравился твик - клик мышкой и подтверждение - готово. Но для наших пользователей придётся добавить большущую красную кнопку - ПЕРЕДУМАЛ

[XP user]

немного радикальные идеи

Не стесняйтесь, не стесняйтесь - ОЧЕНЬ даже радикальные. Но андергаунд не шутит, так что в вопросах безопасности по другому никак...

Кстати, a как Вам TCP LISTENiNG 1110,19780 [AVP.EXE]?

Не знаю... Что это такое? У себя не заметил...
А если серьёзно - разве кто-нибудь будет пытаться блокировать свой собственный антивирус? Риск - минимален и оправдан в данном случае (вы же знаете для чего он) пока не находят огромную дыру в коде. Грустные примеры уже были с ZoneAlarm и с Symantec...

надо поддерживать таких людей - это обоюдная выгода

Ещё как! Если маркетинговые специалисты в ЛК немного подумают, то тогда они осознают, что это мощный инструмент даже для рекламы. Хотя сама Майкрософт будет не очень довольна, я это твёрдо знаю.

Ещё хотелось бы повторять просьбу про модуль похоже на NoScript, в котором можно управлять скриптами по третьим сторонам в браузере, но это, возможно будет сложнее немного.

Paul

[Alex Plutoff]

...Отчёт netstat в идеале не должен показать ничего на 'LISTENING'.



Paul

-извините, Paul, но такие настройки не всегда приемлемы...
-взять хотя бы мобильный лэптоп, в один момент времени он работает в одной сети и с одними внешними устройствами, а в другой уже сеть может измениться да и прочая периферия тоже... каждый раз менять конфигурацию вручную?. согласитесь, не очень удобно... так и на работу времени не останется

[XP user]

-извините, Paul, но такие настройки не всегда приемлемы...

Ну, я добавил 'в идеале'... Идеалы часто не достигаются, но давайте всё-таки стремиться хоть. То, что обязательно - обязательно; тут ничего не поделаешь. Но вы будете хоть знать ПОЧЕМУ. А пока Индустрия Безопасности только занимается симптомами, а не причинами. Кого мы оказываем услуги со своими ('Доверенными', прошу заметить!) службами на самом деле? У меня, например, нет желания кого-либо в анонимном Интернете 'обслуживать' если только в виде помощи здесь на форуме или в других местах.

Напоминаю пост 78, в котором я добавил инфу коричневым цветом, которую вы, возможно, ещё не читали. Там идёт речь о программном коде Майкрософта, который большинство юзеров после прочтения НЕ ХОТЯТ на своём компе...

Paul

[Alex Plutoff]

Ну, я добавил 'в идеале'... Идеалы часто не достигаются, но давайте всё-таки стремиться хоть. То, что обязательно - обязательно; тут ничего не поделаешь. Но вы будете хоть знать ПОЧЕМУ. А пока Индустрия Безопасности только занимается симптомами, а не причинами. Кого мы оказываем услуги со своими ('Доверенными', прошу заметить!) службами на самом деле? ...

-стремиться, конечно же нужно, я против этого не возражаю!.. однако акцентирую внимание на том, что нельзя одним махом отключить все потенциально уязвимые службы и при этом не потерять функциональность системы... т.е. подход к достижению 'идеала' не должен быть столь однозначным, а как раз наоборот, дифференцированным.

Напоминаю пост 78, в котором я добавил инфу коричневым цветом, которую вы, возможно, ещё не читали. Там идёт речь о программном коде Майкрософта, который большинство юзеров после прочтения НЕ ХОТЯТ на своём компе...

Paul

-спасибо, с интересом перечитал ещё раз и Ваш пост и статью на которую Вы ссылаетесь.
-извините, но я не увидел аналогий...
-отключение UAC ведёт к уязвимости целевой системы(ведь статья именно об этом, ещё об бестолковости пользователей и замечательном ПО от PC Tools), в то время как мы обсуждаем возможность повысить защищённость системы в целом, но как раз отключив потенциально уязвимые системные службы

[XP user]

- отключение UAC ведёт к уязвимости целевой системы (ведь статья именно об этом)

Сославшись на добавленную инфу, я намекал не на UAC - её, естественно не надо бы отключить - а на часть про тулзу MRST Майкрософта, якобы призванную для удаления malware...

(ещё об бестолковости пользователей)

На Win2000 более толковые юзеры, чем на Висте? Именно поэтому там меньше заражений, чем на Висте с отключённым UAC?

в то время как мы обсуждаем возможность повысить защищённость системы в целом, но как раз отключив потенциально уязвимые системные службы

Предотвращение установки нежеланного программного кода тоже входит в 'повышении защищённости системы в целом'. Если такой программный код уже установлен, то тогда мы либо отключаем, либо удаляем.

Paul

[Alex Plutoff]

...На Win2000 более толковые юзеры, чем на Висте? ...l

-рискну предположить, что таки да, более толковые, т.к. эта ОС всё ещё продолжает использоваться, в основном, на предприятиях и в учреждениях, а там, как известно, имеются профессиональные админы, штатные или приходящие, которые как раз и призваны защищать систему от "чрезмерной толковости" пользователей

[XP user]

-рискну предположить, что таки да, более толковые, т.к. эта ОС всё ещё продолжает использоваться, в основном, на предприятиях и в учреждениях, а там, как известно, имеются профессиональные админы, штатные или приходящие, которые как раз и призваны защищать систему от "чрезмерной толковости" пользователей

Допустим, что это так. В таком случае надо именно этих админов обвинять в некомпетентности - на Win2000, как и на XP заражение не обязательно. Я настроил достаточно много экземпляров этой чудесной ОС - и там заражения не замечено...
P.S.: Я рискну предположить, что Виста опаснее гораздо, чем предшествующих ОС - ладно, там переписали ядро, но то, что над этим ядром стоит даже ещё хуже, чем на XP. Поэтому, если отключить UAC или не умеете отвечать на её многочисленные криптограммы, то тогда вам не сладко будет...

Paul

[Alex Plutoff]

Допустим, что это так. В таком случае надо именно этих админов обвинять в некомпетентности - на Win2000, как и на XP заражение не обязательно. Я настроил достаточно много экземпляров этой чудесной ОС - и там заражения не замечено...

Paul

-что тут можно возразить?..
-мне, равно как и моим коллегам, в силу своей профессиональной деятельности, приходится много разъезжать и при этом пользоваться ноутбуками, на которых Win XP со стандартной конфигурацией системных служб + NOD32 (ESET - политика фирмы), заметьте, пользуемся мы ими не только для настройки/тестирования нашего оборудования или для обработки специфических данных, но в свободное время и для отдыха/развлечения, Интернет сёрфинга в том числе... так вот, эти многострадальные служебные ноуты, если и инфицируются, то только исключительно по вине их пользователей...

[rav]

так вот, эти многострадальные служебные ноуты, если и инфицируются, то только исключительно по вине их пользователей...

А поставить действительно надёжную песочницу/HIPS на них не судьба или мешает политика компании? Простым пользователям нужны технические средства, позволяющие их защищать, а просто утверждать, что они сами и виноваты в заражении не есть конструктивно.

[santy]

...я вот читаю обсуждение и все больше прихожу к выводу, что должно быть как минимум два уровня:
1. Книга - для продвинутых юзеров, желающих прочитать, понять, придти сюда поспорить/подискутировать наконец о каких то позициях и т.п....

2. Скрипт AVZ и (или) небольшая программулина (написать которую несложно, а еще проще сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность"....

Преимущество (ЦЕННОСТЬ) АВЗ в том, что АВЗ обычно "говорит" о том, какие изменения будут выполнены в системе. Имхо, следует (по возможности) придерживаться единообразного алгоритма работы всех мастеров (исследование системы, поиск и устранение проблем, безопасность...) по внесению изменений_исправлений в систему: выбор_анализ параметров исследования, генерация (html) лог-файла с возможностью выбора действия, автогенерация скрипта в зависимости от выбора действия, исполнение скрипта в режиме "выполнить скрипт".

[Vadim Sterkin]

Привет всем еще раз

Прошу прощения за задержку с ответом.

p2u
Вы говорите

преимущество XP в том, что её можно настроить так, что и конфиденциальность не страдает. Этого на Висте нельзя делать - НЕЛЬЗЯ.

Что конкретно вы имеете в виду? Вы уже не первый раз об этом говорите. Может мы вместе найдем эти настройки?

Я согласен, что конфиденциальность - важный аспект, однако я не связываю его с безопасностью автоматически, несмотря на ваши протесты Например, я не вполне разделяю подход, при котором отключается передача любых данных в Microsoft. Это мера предотвращает пересылку конфиденциальных данных (однако не личных данных/файлов пользователя), но не факт, что она повышает безопасность. Возьмем, например, службу WER (Windows Error Reporting). Во всех твикерах и рук-вах есть твики отключения отправки отчетов в Microsoft, и огромное кол-во пользователей отключают. Ок, позаботились о конфиденциалности, молодцы. А им приходит при этом в голову, что если отослать отчет, то может статься так, что решение найдется в MOCA? Вряд ли приходит... Да, предлагаемые решения зачастую тривиальны - типа, пойдите и установите такой-то хотфикс. Но уж какие есть... (буквально пару недель назад таким образом я восстановил IE6, который падал при заходе в Gmail - да, и IEFix пробовал, и в бубен стучал - сразу в голову не пришло, что корпоративная машина не пропатчена, а MOCA сразу написал и ссылку любезно предоставил).

Скажу также и о том, что WER помогает отловить баги в продуктах МС, т.е. сделать их лучше. Разве это не в интересах пользователей? У меня нет свежей статистики, но вот, что попалось под руку (Sucess stories внизу). Такие сведения для производителя намного ценнее, чем многочисленные стенанания в форумах по поводу "глючной винды".

Меня не удивляет нежелание пользователей делиться информацией с МС, но у меня стойкое ощущение, что в большинстве случаев это скорее связано с негативным образом Microsoft или Windows, чем с трогательной заботой о конфиденциальности. Ну и с советами экспертов по безопасности, конечно Я не ставлю под сомнения ваши экспертные знания. Я просто привожу еще один аргумент в пользу того, что "закручивая гайки", пользователи лишаются различных средств поддержания системы в актуальном и/или работоспособном состоянии.

Конечно, если WER или MSRT, передавая данные, открывают дыру в системе, и нет другого способа ее предотвратить, тогда да, нужно отключать без вопросов. Но если это не так, то нужно пытаться достичь баланса функциональности и безопасности, как бы скептически вы не относились к такой идее Но та же WER передает данные только после того, как пользователь сам согласится на отправку отчета (ЕМНИП, поправьте, если ошибся).

Что же касается доверия к стат. отчетам, то я не защищаю и не превозношу MSRT. Какими бы низкими способностями отлова живности утилита не обладала, она дает МС статистику в огромных объемах. Да, она также дает им возможность делать какие-то маркетинговые ходы на основе этих данных, но больший объем статистики трудно собрать. И статистика PCTools меня как-то не очень убеждает (я помню эту новость). Точнее, не статистика, а выводы, о том, что 2к безопаснее Vista. На ХР они нашли в 1.5 раза больше заражений, чем на Vista. Я вообще не знаю, где они нашли достаточное кол-во машин с 2000. Дело в том, что эта ОС никогда не ставилась на ПК домашних пользователей ОЕМ производителями и в розничной продаже ее, скорее всего, не было - домашним пользователям пихали МЕ. В секторе домашних ПК в США вы найдете 98, ME, XP, Vista, но не 2000. Предположу, что это были корпоративные машины, которые должны быть лучше защищены - согласен с Alex Plutoff. Равно как и с p2u - PCTools не должны стоять на такой машине, без них админы должны уметь настроить все

Да, статистика с вашего форума была бы мне (и не только мне) наиболее интересна, но вряд ли ее можно собрать - руками устанешь, а автоматизации нет. Но посчитать удельный вес заражений на ее основе было бы любопытно.

Спасибо, что поделились своими предпочтениями по поводу будущей ОС Учитывая то, что ваши требования к управлению параметрами безопасности и конфиденциальности на порядок выше, чем у обычного пользователя, логично смотреть в сторону продуктов с открытым исходным кодом ОС. По поводу даунгрейда с Vista до ХР замечу, что проблема тут такая: негативное паблисити, сформированное в немалой степени самими вендорами, комплектовавшими Vista слабые машины (и ноутбуки в первую очередь) + ставящими свое bloatware. Конечно, МС тоже виновна в том, что была выпущена ОС, опережающая по требованиям существующее на рынке железо низшей ценовой категории и маргинально подходящая для средней (хотя с ХР было то же самое - ведь ОС делается на перспективу). Тем самым вендорам выбора не оставили - пропихивали новую ОС. Но так или иначе, проблема комплектации компьютера и настройки ОС ОЕМ производителями весьма актуальна, даже сейчас - ведь если что не так, то виновата ОС На эту тему недавно Андрей Бешков писал в блоге, кстати Почему у меня не тормозит Windows Vista? (автор работает в МС). Сорри за оффтоп.

Но обычно описание той или иной функциональсности как страшный чёрный ход для зловредов более, чем достаточно для обычного юзера для того, чтобы отказаться от такой функциональности, какой удобной она ни была бы.

Конечно, но я бы все равно информировал пользователей о последствиях. И обоснования тоже разные бывают - вспомним то же восстановление системы в книге...

И то, что можно ВСЕ ликтесты Матусека проходить без файрвола и/или HIPS для многих тоже удивительное открытие, я предполагаю.

Для меня - открытие

При этом, КАЖДЫЙ может эффективно работать на моём компе, я в этом более, чем уверен; функциональность не страдает, и удобство не страдает. Некоторые вещи, возможно, непривычны, но 'непривычно' и 'неудобно' - разные вещи.

К удобному быстрее привыкают Да и выбора у ваших домашних нет, хотя он может им и не нужен особо - если сразу внушить, что это работает так, то вопросов может и не возникнуть. Впрочем, я могу согласиться с тем, что многим пользователям достаточно весьма ограниченного набора приложений и функционала ОС - почта, интернет, мультимедиа.

Теперь я все-таки пару слов скажу по поводу большой красной кнопки и того, почему я ее не люблю В этом вопросе я весьма консервативен. Она по праву любима пользователями, ибо отменяет потребность в мыслительном процессе. Однако множество проблем в интерфейсе и функциональности ОС пользователи создают себе сами таким вот кнопками (и не только ими - "я скачал с вашего сайта REG-файл с сотнями твиков, и теперь у меня не работает бла-бла-бла" - видели, знаем; но они в этом плане немного лучше, поскольку дают визуальный путь в реестре). Причем создав проблему, они зачастую обнаруживают ее много позже, никак не связывая с твикингом системы, произведенным две недели назад. Поэтому я и приветствую идею мастера, который подразумевает бОльшую информативность, чем расставление флажков.

Было бы хорошо сделать ползунок (Или что то подобное с упоминанием этого) "Безопасность - Удобства(Пока не привыкнешь)"

Красивая идея, хотя не знаю, насколько реализуемая

Более того, производители этих красных кнопок иногда автоматически переносят твики с одной ОС на другую, не утруждая себя проверками (это, кстати, одна из тем нашего разговора). А потом, знаете ли, бывает трудно установить, почему в проводнике Vista пропала панель ссылок, если не знать, что это вызвано использованием горячо любимого твика для XP по удалению стрелок с ярлыков. Разница же в том, что в указанной библиотеке нет прозрачного значка по старому адресу (и вообще нет), а значит нужно поставлять его вместе с твиком. И твикеров с такой проблемой кто-то привел с пяток на осзоне (и популярный XP Tweaker в том числе) - я не проверял, конечно.

P.S.последний раз мне очень понравился вариант с .СHM-книгой со встроеными .REG-файлами: прочитал описание, понравился твик - клик мышкой и подтверждение - готово. Но для наших пользователей придётся добавить большущую красную кнопку - ПЕРЕДУМАЛ

Оно?

Ок, в заключения я приведу таки рез-ты опроса по поводу использования автоматического обновления в ХР и Vista. Они весьма любопытны На момент отправки этого сообщения АО использует 70% пользователей Vista и менее 30% XP. Я не думаю, что такая большая разница обусловлена только WGA... Может оно все-таки удобнее в Vista?

Спасибо всем участвущим в дискуссии!

[drongo]

Когда сделают нормальную обновлялку, которая не будет использовать для своего функционирования Bits, или какой-либо другой сервис- тогда и будет удобно. Засунул его в шедуллер, поставил время когда включать и всё. А пока это не удобно, а одна большая дырка.Пусть проверяют легальность, но зачем же такую дырку (bits) использовать для меня не понятно.