-
Junior Member
- Вес репутации
- 53
KIS 2010 + ?
После атаки вирусов и переустановки системы созрел для установки межсетевого экрана. Что можете посоветовать новичку в пару к KIS 2010.Критерии - легкость настройки и эффективность.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
akmasha
После атаки вирусов и переустановки системы созрел для установки межсетевого экрана. Что можете посоветовать новичку в пару к KIS 2010.Критерии - легкость настройки и эффективность.
Зачем к KIS 2010 ещё один firewall - он там уже есть.
Вообще KIS 2010 является самодастаточным приложением и не требует установки каких-либо других продуктов по обеспечению безопасности ПК - может вы имели ввиду KAV 2010 + ... - тогда другой разговор.
Если у вас установлен KIS 2010 и вы хотите чтобы он лучше вас защищал - то переведите HIPS в настройках в интерактивный (ручной) режим работы - если конечно вас устроит такой вариант (так как в автоматическом режиме он защищает не очень хорошо - подробнее почитайте например тут или сами погоняйте набор тестов CLT).
[OFF]А вообще лучше не просто надеятся на защитный софт, а углублять свои знания в сфере информационной безопасности.
Я постарался собрать основные рекомендации которых нужно придерживаться (чтобы вы не искали их по всем темам):
1) Одним из основных векторов распространения зловредов являются флешки - поэтому я настоятельно рекомендую отключить автозапуск со сменных носителей (а лучше вообоще полностью).
Сделать это можно несколькими способами:
1) Через "Редактор объектов групповой политики":
а) В поле выполнить вводим gpedit.msc и нажимаем enter - тем самым мы вызываем "Редактор объектов групповой политики" (кстати поизучайте его на досуге - оттуда можно много чего ещё делать - например блокировать-разблокировать диспетчер задач и редактор реестра и т.д.)
б) Переходим там по пути Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Политика автозапуска - Отключить автозапуск.
в) Ставим галочку включен и выбираем параметр "Все устройства" - жмём ПРИМЕНИТЬ - ОК.
2) С помощью AVZ:
Открываем AVZ и переходим в Файл - Мастер поиска и устранения проблем - Системные проблемы - жмём пуск.
Ставим галочки на пунктах в названиях которых встречается слово автозапуск - жмём Исправить отмеченные проблемы.
3) Ручной правкой реестра:
а)
Код:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom
Установить значение параметра AutoRun равным 0.
б)
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
Создать ключ "NoDriveTypeAutoRun" (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.
в)
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
Задать строковой параметр (типа REG_SZ) со значением:
г)
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
Создать строковый параметр типа REG_SZ с названием:
4) Кто не хочет самостоятельно вносить изменения в реестр указанные в третьем пункте - могут воспользоваться Autorun disabled - скачать его можно по ссылке:
http://rapidshare.com/files/26779866...abled.reg.html
P.S. Вы можите использовать любой из приведённых способов - какой вам больше понравится)))
2) В повседневной работе за компьютером желательно использовать учётную запись с ограниченными правами, так как это в значительной мере снижает вероятность заражения ПК. А учётную запись администратора использовать только при установке программ и внесение в систему изменений требующих соответствующих привелегий.
В Windows Vista и Windows 7 данную проблему решили введением компонента UAC. Если вы пользуетесь этими операционными системами - то используете встроенную учётную запись с включенным UAC - это почти полностью убережёт вас от прописания зловреда в автозагрузку (естественно если вы сами это не одобрите) и внесения им критических изменений в системные настройки (т.е. значительно уменьшит возможность закрепления зловреда на ПК).
3) Регулярно обновляйте систему и программы (особенно не стоит принебрегать обновлением браузеров (Internet Explorer в том числе), Adobe Acrobat, Java, Adobe Flash Player, антивирусов и другого защитного софта).
Для обнаружения наиболее часто используемых уязвимостей (которые нужно устранить в первую очередь) вы можете воспользоваться скриптом написанным участник форума virusinfo.info AndreyKa - скачать его можно тут.
4) Необходимо произвести тонкую настройку системы, в этом вам поможет следующая книжка (в той книге много полезной инфы по информационной безопасности):
http://security-advisory.virusinfo.info/
P.S. При внесение изменений затрагивающих сетевые настройки проконсультируйтесь в техподдержке вашего интеренет провайдера.
5) Желательно включить показ расширений файлов - для этого перейдите:
ПУСК - Панель управления - Свойства папки - выберети вкладку ВИД - снимите галочку с пункта "Скрывать расширения для зарегистрированных типов файлов" - нажмите применить - ОК.
Для чего это следуют сделать - многие зловреды сейчас используют для обмана пользователей двойное расширение (скрытое расширение) - т.е. например Фото.jpg.exe - если у вас будет стоять там галочка то вы можете не понять что перед вами замаскированный исполняемый файл, так как будет отображаться Фото.jpg
Если вы увидите файл с двойным расширением, то будьте максимально осторожны - пошлите в вирусную лабораторию на изучение, проверьте на VT и лишь потом если файл окажется чист запускайте.
6) Необходимо произвести тонкую настройку браузера, выполните хотя бы основные рекомендации:
- использовать сессионные куки
- отключить Java
- отключить плагины (использовать их только по необходимости)
- отключить фреймы и inline-фреймы
- также желательно запретить исполнение JavaScript (разрешать только для доверенных сайтов)
- менеджерами паролей лучше не пользоваться (надёжнее хранить их в собственной памяти)
Если вы не хотите разбираться в тонкой настройке вашего браузера (выполнять выше изложенные пункты) - то для вас рационально будет использовать его в песочниче (в KIS 2010 она кстати встроена).
7) Необходимо соблюдать элементарную гигиену при сёрфенге в интернете:
- качать софт только с оффициальных сайтов
- не кликать на сомнительные ссылки полученный по почте, месенджеру и т.д.
- файлы лучше сразу скачать (нажать правую кнопку мыши и выбрать пункт сохранить как), изучить (проверить соответствие расширения обещанного файла скачанному (например картинка уж точно не должна иметь расширение exe), наличие двойного расширениия, отправить на VirusTotal) и лишь потом (если не возникнет подозрений) запускать.
- перед посещением подозрительного сайта лучше проверить заражен ли он, для этого можно установить:
http://www.freedrweb.com/browser/
Или просто проверять ссылки вбивая их здесь:
http://online.us.drweb.com/?url=1
8.) Рекомендую вам изучить что-такое hosts файл и для чего он нужен.
Общая информация: http://ru.wikipedia.org/wiki/Hosts
Для чего это нужно - зловреды внося изменения в этот файл могут блокировать определённые сайты (например серверы обновлений для антивирусов, операционной системы и т.д.) и перенаправлять ваши запросы на другие (фишинговые или зараженные) сайты.
Если в кратце - то hosts файл как правило находится здесь:
Код:
c:\windows\system32\drivers\etc\hosts
Редактироваться он может с помощью обычного блокнота.
По умолчанию должен содержать только строчку:
Если операционная система поддерживает протокол интернета версии 6 (IPv6), то по умолчанию там есть ещё строчка:
Если вы увидите там другие строки кроме этих - то их следует удалить (P.S. следует иметь ввиду что некоторый защитный софт также может вносить изменения в hosts файл - для блокирования зловредных сайтов).
Очистить hosts файл от нежелательных записей можно автоматически - выполнив скрипт в AVZ:
Код:
begin
ClearHostsFile;
end.
Назначение записей в hosts файле:
127.0.0.1 localhost - адрес вашего компьютера
216.246.90.119 virusinfo.info - указывает адрес для ускорения загрузки сайта virusinfo.info (т.е. при вводе в браузере адреса virusinfo.info - будет сразу устанавливаться соединение с удалённым IP-адресом 216.246.90.119 - это часто используется зловредами для перенаправления запросов на другие сайты)
127.0.0.1 virusinfo.info - блокирует сайт virusinfo.info (часто используется зловредами для блокирования серверов обновлений антивирусов (защитного софта) и операционной системы)
В KIS 2010 встроена HIPS и она контролирует изменения hosts файла - но для обшего развития вам будет полезна инфа данная выше.
9) Запомните стандартный ключ запуска проводника:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
Для чего это нужно - многие зловреды (например блокеры) модифицируют его, например внося такие изменения:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\svvghost.exe"
Т.е. при загрузке Windows вместо проводника (explorer.exe) будет грузиться зловредный процесс (svvghost.exe).
HIPS это контролирует - но вам для общего развития будет полезно это знать.[/OFF]
Последний раз редактировалось Ingener; 12.10.2009 в 02:10.
GHETTO/STREET WORKOUT
-
-
-