Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Безопасная работа в Windows без антивируса

Автор: MERCURY127
Дата сообщения: 16.08.2011 21:00
Я то тут причем? Это вы у топикстартера спросите
Автор: muravlov
Дата сообщения: 17.08.2011 07:26
Хорошие утилиты для проверки защищённости Вашей системы:
http://technet.microsoft.com/ru-ru/sysinternals/Utilities/AccessEnum.html
http://technet.microsoft.com/sysinternals/Utilities/ProcessExplorer.html
Первая сканирует файловую систему на предмет прав. Можно проверить, всё ли закрыто SRP.
Вторая отображает для программ и их библиотек поддержку dep и ASLR.

Любой эксплоит для запуска должен обойти ASLR. Это возможно только в том случае, когда система не поддерживает ASLR (системы до Windows Vista) или приложение не поддерживает ASLR или хотя бы одна из библиотек приложения не поддерживает ASLR.

В настоящее время большинство приложений поддерживают ASLR. Остальные подтянутся.
Firefox 4 и новее, Opera, Adobe flash, Java 7, VLC-player, MS Office.
Автор: 1Kipovec
Дата сообщения: 17.08.2011 08:38

Цитата:
Хорошие утилиты для проверки защищённости Вашей системы:

и где? Пишет "страница не найдена"

У меня самого и людям, что устанавливаю - своя учетка с админскими правами (ух жуть как страшно) и вирусов они не ловят, правда, винда настроена и средства защиты стоят. У многих не один комп (не считая маленьких конторок, где и сетевые принтеры и хранилища данных в сети и проги (сетевой) обработки данных) т.е. и сеть и расшареные папки и сетевые игры в полном объёме. И есть ряд софта, который работает нормально только с полными правами и "терпеть не может" даже ограниченную учетку. И под каждый подбирать ограничения и потом бегать, если что-то новое впендюрят, настраивать - НЕЕ я таким мазохизмом заниматься, не намерен, хватит с ограничением прав я в своё время намучился.
Про корзину - тоже глупость, лучше почистить, а не бегать в панике спасите-помогите, файл ГРОХНУЛ - АААА!!!!!! Тоже касается и Automatic updates, TCP/IP NetBIOS, Indexing Service, Routing and Remote Access, Отключаем сеть Windows (протокол SMB) (в замен получаем геморой), и много ещё чего. Не пожалуйста если хотим помучаться и сделать свою сеть???? безопасной - пожалуйста, но при этом помните свои возможности+трудозатраты и сравните с - А СТОИТ ли заморачиваться, по степени "важности" и "нужности" ваших данных для хакеров, я уж не говорю про обычный домашний комп.
Автор: muravlov
Дата сообщения: 17.08.2011 12:31
http://www.sysinternals.com/Utilities/AccessEnum.html
http://www.sysinternals.com/Utilities/ProcessExplorer.html

Про "дикий софт" я упомянул в шапке. Даём права на запись юзеру в папку (для примера) C:\Prog\ и ставим софт в C:\Prog\дикий софт 1\. Разрешения в SRP выдаём по хэшу.

Выше упоминали с сарказмом про запрет флешек. Если политика на фирме запрещает обмен инфой, то не проблема через gpedit.msc в Windows 7 настроить доступ. Есть варианты: запрет на выполнение, запрет на запись, запрет на чтение, запрет всего. Можно комбинировать эти варианты для каждого носителя.
gpedit.msc - Административные шаблоны - система - Доступ к съёмным запоминающим устройствам.
Сеть SMB очень многим не нужна в домашнем PC. Поэтому я даю инструкцию, как её отключить.
Автор: MERCURY127
Дата сообщения: 17.08.2011 14:48
Все верно запретить сеть/флешки можно... Но 1) чем тогда будет заниматься юзер? Писать тексты? Считать таблицы? А если ему понадобятся данные ИЗВНЕ? 2) нельзя запретить юзеру и всему что он принес, менять свой профиль. А этого достаточно, чтобы попортить нервы. Про данные ты так и не сказал - я хорошо помню, как простейший примитивный макровирус ворда потер мне весь диск а тот док был принесен из как мне казалось доверенного места - кафедры университета... Что ты с этим сделаешь?

Добавлено:
Еще раз повторяю - ты путаешь два понятия - разграничение доступа и защиту данных

Добавлено:
Сразу скажу - я не профессионал, и даже не админ я просто домашний юзер, но со знанием ассемблера и пр багажа. Поэтому если я где то наврал - пусть меня поправят
Автор: MisterGrim
Дата сообщения: 17.08.2011 17:17

Цитата:
0. Выставить в BIOS для SATA-контроллера режим AHCI. Для HDD он даёт прирост в скорости, оптимизацию перемещения блока головок, функцию hot-plug.
В данной сборке есть драйвера для большинства контроллеров. Если драйвер AHCI не найден и установка прервалась, то верните режим Legacy IDE.
Дискету с драйвером/самостоятельную интеграцию в дистрибутив отменили? После установки вернуться к AHCI будет значительно сложнее.

Цитата:
1. Разметить основной, активный NTFS-раздел не менее 8Gb.
А почему не 4? Не два, в конце концов? У меня %WINDIR% занимает уже ~7Гб, а ещё есть и Documents & Settings, и Program Files.

Цитата:
6.1. Отключаем спящий режим.
Control Panel - Display - Screen Saver - Power:
Advanced - tune "Power buttons"
Hibernate - Disable hibernation
До параметров электропитания можно добраться и проще. Но не суть.
Чем hibernate не угодил? 0,1% от жёсткого диска жалко?

Цитата:
6.2. Отключаем файл подкачки если достаточно ОЗУ и не будет ресурсоёмких программ (игр и т.п.). Для x86 - 2Gb и более (300Mb - в фоне).
Так. Вы вообще знаете, что такое swap? И как он влияет на производительность?

Цитата:
9. Отключаем лишние для нас службы.
<...>
Automatic updates (automatic)
Автоматическое обновление.
Приехали, ... .
Обосновать сможете?

Цитата:
11. Настраиваем корзину. Set Recycle Bin. Я отключаю.
См. выше — смысл?

Цитата:
13. Настройка политик безопасности.
...сюда пока после вышепрочитанного даже лезть боюсь...

Цитата:
14. Отключаем капслок, если эта клавиша раздражает. Disable Caps lock
Так и пишите: «меня раздражает». А меня вот раздражает индикатор на мониторе. А кого-то — сквозняк из форточки.

Цитата:
Программы и утилиты, которые я использую. Может что-то пригодится.
Пиратки -
Да. Пиратки охренительно повышают безопасность. Нет, я понимаю, что «проверенные», но раз пишете такую инструкцию — делитесь и ссылками.

...В общем, подробно разбирать не хочется, всё и так очевидно.

Добавлено:
...А ещё же Windows 7, ёё... Там тоже весело:
Цитата:
21. Отключаем windows defender. Вместо него периодически сканируем диск "C:" программой Dr.Web CureIt!.
Не пользуемся презервативом. Вместо этого каждый год проверяемся в кожвендиспансере.

Ну вы поняли.
Автор: ivanch_iv
Дата сообщения: 17.08.2011 17:54
Сижу под админом без пароля, антивирус только как сканер для новых файлов. За последние 5 лет, было только 2 трояна, оба непонятно как проникли и ни один антивирь их не видел в упор. Один пролез на ХР с всеми обновлениями, другой недавно залез на 7-ку. Единственное что всегда спасало это фаерволл + сторонний диспетчер задач (теперь юзаю comodo). Это были модификации известных вирусов, находил в инете как удалить и удалял в ручную. Подозрительные файлы, или файлы непонятно с каких сайтов стараюсь вообще не запускать.

Я это к тому что антивирусы на данный момент предоставляют очень слабую защиту, защищают только тогда когда вирус опознан, а то что он может провалятся на компе пару недель и слить кучу важной инфы это мелочь. А сколько было случаев с локерами которых в упор не видели антивирусы? Кстати, на слабый комп антивирус не поставишь.
Автор: simsot1
Дата сообщения: 17.08.2011 18:02
Голимый флуд попер.
Цитата:
залить эпоксидкой

а ведь правильные настройки всегда в цене.например у Лонера(скрытый Админ++).
Автор: muravlov
Дата сообщения: 17.08.2011 18:19

Цитата:
Добавлено:
Еще раз повторяю - ты путаешь два понятия - разграничение доступа и защиту данных

Уважаемый MERCUTY127, какую защиту данных Вы имеете в виду и от кого. От ошибок пользователя? Или от вредоносного ПО? Если первое, то у меня на работе за компом работает много сотрудников, поэтому я и создал в планировщике еженедельное задание по резервному копированию (архивированию) важных данных (папка с документами и папка с профилем Thunderbird) в папку с доступом только для админа. Папка c:\Users\username\AppData\ - скрытая, поэтому юзер случайно туда не влезет. А "свойства папок и поиска" в Explorer отключаются через реестр.
Если второе, то это исключено из-за политик. Напомню: разрешены пути програм файлс и виндовс (куда юзер не может писать) или ПО в папке с "диким" софтом по хэшу.


Цитата:
я хорошо помню, как простейший примитивный макровирус ворда потер мне весь диск

Буду признателен за ссылку на файлы заражённые макровирусом. Я хочу протестировать дома на 7-ке с OpenOffice и MS Office 2010.
Будут интересны также, ссылки на сайты с эксплоитами - хочу проэкспериментировать.


Цитата:
Цитата:
Программы и утилиты, которые я использую. Может что-то пригодится.
Пиратки -
Да. Пиратки охренительно повышают безопасность. Нет, я понимаю, что «проверенные», но раз пишете такую инструкцию — делитесь и ссылками.


Как вы заметили, MisterGrim, пираток там мало. В настоящее время на работе и дома мы перешли с Bat'а на Thunderbird. И вообще на своём ПО я не настаиваю, поэтому убрал из шапки. Главное - использовать популярное freeware из первоисточников и сканировать его на вирустотал. Если кто-то использует по необходимости пиратки, то лучше не использовать крэки, а пользоваться серийником, как у меня было с Bat'ом. В txt не может быть вируса.


Цитата:
Кстати, на слабый комп антивирус не поставишь.

Так и я о том же.
Автор: Selev
Дата сообщения: 17.08.2011 19:20
MisterGrim

Цитата:
9. Отключаем лишние для нас службы.
<...>
Automatic updates (automatic)
Автоматическое обновление.


Цитата: Приехали, ... .
Обосновать сможете?
Автор: muravlov
Дата сообщения: 17.08.2011 20:02
Примечательно, что мои посты на секлабе , где я поднимал тему этого топика, удаляли. Писал в обсуждениях новостей про новый вирус или уязвимость. Кому выгодно невежество пользователей? Вирусописателям, подрабатывающим для антивирусных компаний и их рекламщикам, например секлабу.
Автор: NegoroX
Дата сообщения: 17.08.2011 20:50
Selev
muravlov
ух, молодцы! не в коим случае удалять не зя! - давно таких откровений не читывал
Автор: MERCURY127
Дата сообщения: 17.08.2011 22:03
muravlov
Юзер не может писать в папку винды? Прекрасно! А оно ему надо? Он там таблицы экселя хранит? Нет, он хранит их в своем профиле, доступ к которому ты не можешь запретить, ибо это бессмысленно соот туда может писать любая прога им запущенная. Запрещен запуск приложений из других папок, кроме с:\блаблабла? Прекрасно! Очевидно, браузер как раз из нее и запускается? Прекрасно! Пишем юзеру - сохрани ка милый в эту папку симпатичную девочку троян.жпег.ехе и посмотри готово? Любуйся голыми неграми на весь экран... Да не переживай ты так! Утром придет админ и вернет тебе твой профиль недельной давности... Что говоришь? Отчет потерялся? Годичный? Ничего, неделю писал, еще неделю попишешь. А, его завтра сдавать? Ну так отправь блаблабла бабла на номер 1234567890 и все в порядке...
Автор: muravlov
Дата сообщения: 17.08.2011 23:35

Цитата:
Пишем юзеру - сохрани ка милый в эту папку симпатичную девочку троян.жпег.ехе и посмотри готово? Любуйся голыми неграми на весь экран...

Только что попробовал сохранить файл из Firefox'а в C:\Program Files (x86)\. Результат очевиден - доступ запрещён. Запуск приложений из профиля (C:\Users\) запрещён.
Вобще-то я пишу очевидные вещи и эта тема многократно обсасывалась на просторах интернета, но почему-то для многих до сих пор является откровением, что можно быть защищённым на 99% и без антивируса. На нашем невежестве зарабатывают антивирусные компании.
Автор: Selev
Дата сообщения: 18.08.2011 06:19
NegoroX
Цитата:
давно таких откровений не читывал

каких таких? Что без автоматических обновлений можно обойтись? Так это вам любой скажет кто хоть раз устанавливал пиратскую ось или даже прогу. То есть 99,999% всего населения СНГ.
Обновление порою в таких случаях грозило слетом ключей. И все это народонаселение прекрасно обходилось без обновлений, равно как и без саппорта, свои проблемы все решают сами. Если для вас эта инфа является откровением, заливайте себе и дальше котов в мешках не извесно куда и зачем.
Автор: bgreen
Дата сообщения: 18.08.2011 06:51
muravlov

Цитата:
Любой эксплоит для запуска должен обойти ASLR.

Вы не поверите они научились это делать. )))


Цитата:
В txt не может быть вируса.

Люблю самоуверенных teapot. xD


Цитата:
мои посты на секлабе , где я поднимал тему этого топика, удаляли.

они еще там не достигли вашего просветления.

Selev

Цитата:
То есть 99,999% всего населения СНГ.

Лучше писать сразу 120 %, круче звучать будет.
младенцев не забудьте посчитать, с ними до 150 % дойдете.


Цитата:
свои проблемы все решают сами

Вы вероятно сами у себя роды принимали при рождении и родились с усами.


Цитата:
Если для вас эта инфа является откровением, заливайте себе и дальше котов в мешках не извесно куда и зачем.

Грузите апельсины бочках братья Карамазовы. (с)

NegoroX

Цитата:
не в коим случае удалять не зя! - давно таких откровений не читывал  

Точно. Тема доставляет.
Перлы от местных ньюбов в треде достойны темы для нубов руборды.
Как они там это пропустили ? ))
Автор: muravlov
Дата сообщения: 18.08.2011 07:23
Цитата: Любой эксплоит для запуска должен обойти ASLR.

Вы не поверите они научились это делать. )))


Приведите пример, пожалуйста, где эксплоит обходит ASLR. Я много читал на эту тему, и уже написал выше, что "Любой эксплоит для запуска должен обойти ASLR. Это возможно только в том случае, когда система не поддерживает ASLR (системы до Windows Vista) или приложение не поддерживает ASLR или хотя бы одна из библиотек приложения не поддерживает ASLR."
Автор: crackcrack
Дата сообщения: 18.08.2011 07:25
Selev

Цитата:
Это не зыблемое правило. Иначе в один прекрасный момент когда приспичит зайти в систему из под админа с полными правами, вы вдруг обнаружите что у всех экзешников и архивов изменена точка входа, и они не являются приложением вин32. А все потому что пожалев каких то 30 метров оперативной памяти для антивиря, вы подтянули из сети зловреда сами того не зная. Вас просто не кому было предупредить.

наличие антивирусника совершенно не мешает периодически читать это самое "не являются".
Анитвирусник как спал так и продолжает на халяву деньги зарабатывать. То что он не лечит, а в лучшем случае только удаляет уже как в порядке вещей

Добавлено:

Цитата:
А итог такого жлобства - загубленная коллекция софта собираемая не один год, или зашифрованный семейный архив с фото, или вообще что угодно.

не
потом все правится и восстанавливается

Добавлено:
muravlov

Цитата:
Мне было бы интересно прочесть в интернете случай успешной атаки на компьютер закрытый srp (грамотно настроенной, как у меня в шапке). К сожалению я таких статей не встречал.

элементарно. Если никто не пользуется, никто и не пишет
Автор: bgreen
Дата сообщения: 18.08.2011 07:34
muravlov

Цитата:
Приведите пример, пожалуйста, где эксплоит обходит ASLR.

технология JIT spray.
Время работы эксплойта с JIT SPRAY — от 6 до 10 секунд.


Цитата:
Это возможно только в том случае, когда система не поддерживает ASLR (системы до Windows Vista) или приложение не поддерживает ASLR или хотя бы одна из библиотек приложения не поддерживает ASLR.

Последний пример Safary 4.0.5 именно к нему был выпущен эксплоит 0-day, основанный на этой технологии.
Работал под Win7. А Safary отвечает выше перечисленным критериям, но тем не менее произошел казус.

crackcrack

Цитата:
потом все правится и восстанавливается

когда это зашифруют, то можно будет только с бубном попрыгать.
прецеденты уже имелись. ))
Автор: crackcrack
Дата сообщения: 18.08.2011 07:47
bgreen

Цитата:
когда это зашифруют, то можно будет только с бубном попрыгать.
прецеденты уже имелись.

помогает?
Автор: bgreen
Дата сообщения: 18.08.2011 07:53
crackcrack

Цитата:
помогает?

В форматировании диска да. xD
Автор: 1Kipovec
Дата сообщения: 18.08.2011 08:07

Цитата:
Обновление порою в таких случаях грозило слетом ключей

АААААААА как страшно, то у меня-то всё обновляется и ключи-то (и прочее) не слетает, наверно что-то не так делаю. Объясните "нам неучам" как у вас такое получается, поделитесь так сказать "знаниями"

Цитата:
Что без автоматических обновлений можно обойтись? Так это вам любой скажет кто хоть раз устанавливал пиратскую ось или даже прогу. То есть 99,999% всего населения СНГ.

осознавать себя частицей 0,001% я даже и подумать "не смел", что так мало
Автор: opt_step
Дата сообщения: 18.08.2011 08:16
проголосовал
Автор: bgreen
Дата сообщения: 18.08.2011 08:19
opt_step

Цитата:
проголосовал

за это Ссылка xD
там и форматирование диска не спасет.
Автор: Selev
Дата сообщения: 18.08.2011 08:21
crackcrack
Цитата:
Анитвирусник как спал так
и продолжает на халяву деньги зарабатывать.

Антивирусник все равно нужен. Хотя бы для того что бы сэкономить время на проверке внешнего диска или флехи. Не руками все просматривать. И при любом раскладе и любом антивире, все хотя бы пионерские вирусы будут отсеяны. А это уже польза. Без антивиря можно обойтись- факт. Но не нужно и глупо, это тоже факт.
bgreen

Цитата:
Лучше писать сразу 120 %,
круче звучать будет.
младенцев не забудьте
посчитать, с ними до 150 %
дойдете.

А и верно, про младенцев я правда забыл. Во времена когда в стране учителя ставили в классах пиратки вы видимо еще ходили под себя. Но я именно таких младенцев и откинул. Что бы узнать чем отличается пиратка от лицухи запишитесь на курсы для начинающих.

Автор: bgreen
Дата сообщения: 18.08.2011 08:30
Selev

Цитата:
Во времена когда в стране учителя ставили в классах пиратки вы видимо еще ходили под себя.

Спасибо за комплимент.
В мои школьные года, учителя могли только в угол поставит или еденицу в дневник при неудачном раскладе.


Цитата:
Что бы узнать чем отличается пиратка от лицухи  запишитесь на курсы для начинающих.

Может подскажите, где записываться или просветите тупого, чем же пиратка от лицухи отличается? )
А то я ходил в школу, когда еще и калькуляторов не было в мире.
Считали на логарифмических линейках и счетах. Может слышали о таких математических инструментах?
О, мудрейщий..
Автор: opt_step
Дата сообщения: 18.08.2011 08:38
bgreen

Цитата:
за это Ссылка xD
там и форматирование диска не спасет.

за что я проголосовал можно понять если почитать предыдущие страницы
Автор: muravlov
Дата сообщения: 18.08.2011 09:41
От jit spray на 99% спасает noscript для всех сайтов кроме "белого списка", а на 100% отключение Shockwawe Flash plug-in. Существуют онлайн тесты браузеров на безопасность, например этот: http://www.browserscope.org/.
Автор: bgreen
Дата сообщения: 18.08.2011 09:57
muravlov

Цитата:
кроме "белого списка"

А если они применят доверенный сертификат, что вы будете делать?
вспоминаем Stuxnet. Как показала практика получить сертификат доверенного центра не такая уж трудная задача для хакеров. А дальше делай, что хочешь. Любой браузер съест и не подавится и все антивирусы промолчат.


Цитата:
Существуют онлайн тесты браузеров на безопасность, например этот: http://www.browserscope.org/.

Где эти самые эксплоиты и вирусы тестируют перед тем, как начать применять.
Тем более от 0-day уязвимостей они вообще не защитят.
Аналитики по безопасности давно пришли к выводу, что все ресурсы тестирования безопасности очень эфемерны.

все не так однозначно, как вы считаете. )
Нынешние сканнеры уязвимостей и другие системы поиска багов не поспевают за быстрым темпом развития веб-приложений, и эта растущая пропасть открывает все новые и новые возможности для хакерских атак.
Так считает группа ученых, которая обсуждала данную проблему на конференции Black Hat USA в Лас Вегасе.
Автор: muravlov
Дата сообщения: 18.08.2011 10:00

Цитата:
Любой браузер съест и не подавится и все антивирусы промолчат

Ключевая фраза "все антивирусы промолчат". Так и я о том же. 100% защиты безусловно нет.

Страницы: 1234567891011121314151617181920212223

Предыдущая тема: Проблема с Windows Script


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.