Правильные пацаны не ставят антивирь, а защищают винду через политики безопасности.
После прочтения блога Вадима Поданса и аналогичных ресурсов, я так и поступаю.
[more="Мой шаблон для настройки Windows XP."]
1. Установка Windows XP (сборка от http://c400.ru).
Выставить в BIOS для SATA-контроллера режим AHCI. Для HDD он даёт прирост в скорости, оптимизацию перемещения блока головок, функцию hot-plug.
В данной сборке есть драйвера для большинства контроллеров. Если драйвер AHCI не найден и установка прервалась, то верните режим Legacy IDE.
Разметить основной, активный NTFS-раздел не менее 8Gb. Назначить первую загрузку с CD/DVD, вторую - с HDD.
Подключить все устройства к компьютеру для автоустановки драйверов. Установить Windows XP. В процессе установки обязательно повторно отформатировать раздел в NTFS. Активация не требуется. Корпоративная версия.
2. Обновление и настройка.
2.1. Обновляем все дополнительные библиотеки (Java, VC, Flash, DirectX 9 и т.п.), устанавливаем недостающие драйвера. Устанавливаем обновление вышедшие после релиза сборки Windows XP SP3 от c400.ru.
2.2. Устанавливаем необходимый софт. На время установки следует SRP выставить Unrestricted.
При установке и настройке всех программ данные и настройки сохраняются по умолчанию в C:\Documents and Settings\UserName\Application Data\ProgramName.
2.3. Ставим пароль на администратора. Для удобства или маскировки локального администратора можно переименовать с Administrator на более короткое имя. Создаём пользователя с ограниченными правами (group "Users") группы User.
Control Panel\Administrative Tools\Computer Management\Local Users and Groups\Users - New User
Входим в систему под User'ом и далее работаем только под ним. При необходимости установки программ под обычным пользователем следует использовать команду Run As... (Запуск от имени), потребуется ввод имени и пароля администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
Аккаунт "Guest" и "Administrator" отключены (Account is disabled).
2.4. Устанавливаем русский или другие языковые пакеты при необходимости. После можно включать языковую локализацию меню виндовс для каждого пользователя отдельно, что позволяет работать за одним компьютером пользователям разных национальностей.
Control Panel\Regional and Language Options - Keyboards and Languages - Install/uninstall languages.
Install russian language pack (.cab)
Добавляем рускую раскладку клавиатуры и назначаем клавиши для смены раскладки.
Control Panel\Regional and Language Options - Keyboards and Languages - Change keyboards - Add.
Set russian as second keyboard layout.
Настроить русский для не-юникодных программ.
Control Panel\All Control Panel Items\Region and Language - Administrative - Language for non-Unicode programs: Russian (Russia)
Лично я всегда, в любых программах использую пароль на английском.
Если при логоне при вводе пароля русский язык по-умолчанию (Для русских редакций виндовс), то изменить ключ:
---------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"2"="00000419"
"1"="00000409"
---------------------------------------
Отключаем капслок, если эта клавиша раздражает. Disable Caps lock:
------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,3a,00,00,00,00,00
------------------
2.5. Включение автологона для удобства (если у юзера нет пароля):
Нажмите Start, наберите “control userpasswords2 и нажмите Enter.
Выберите своего пользователя из списка и снимите галочку с опции “User must enter a user
name and password to enter this computer” (Требовать ввод имени пользователя и пароль при
входе в компьютер), нажмите «Применить» и OK.
2.6. Настраиваем режим энергосбережения.
2.7. Настраиваем вид меню "Пуск", Проводника и т.п.
2.8. Настраиваем время
Control Panel\All Control Panel Items\Date and Time:
Date and Time - Change time zone: UTC+4:00 (Устанавливаем часовой пояс). Turn Off "Automatically adjust clock for Daylight Saving Time" (отключаем автоматический перевод часов на летнее/зимнее время).
Internet Time - Change settings: Server: ntp.mobatime.ru, ru.pool.ntp.org.
2.9. Оптимизация системы.
Отключение спящего режима.
Control Panel - Display - Screen Saver - Power:
Advanced - tune "Power buttons"
Hibernate - Disable hibernation
Отключаем или минимизируем (~20Mb) файл подкачки если достаточно ОЗУ и не будет ресурсоёмких программ (игр и т.п.). Для x86 - 2Gb и более (300Mb - в фоне).
Control Panel - System - system properties:
Advanced - Performance - settings (Performance option) - advanced - Virtual memory - Change:
No paging file - Set.
Настраиваем восстановление системы. Или отключаем его. При крахе системы восстановление системы часто неэффективно.
Control Panel\All Control Panel Items\System - advanced system settings.
Tune System Restore on "C:\" 1Gb disk space.
Настраиваем корзину (после монтирования всех дисков). Set Recycle Bin. Я отключаю, но оставляю запрос на подтверждение удаления файлов.
Отключаем лишние программы.
Control Panel\All Control Panel Items\Programs and Features - Turn windows features on or off:
Outlook Express - off
Windows Media Player - off
Indexing Service - off (индексирование)
Настраиваем или отключаем индексирование для выбранных папок.
Лично я не пользуюсь ярлыками на рабочем столе, и не позволяю его захламлять, поэтому:
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.
Отключаем фоновую дефрагментацию. Можно дефрагментировать вручную. Пользы нет, а диск грузит.
3. Настройка безопасной работы.
3.1. Отключаем автозапуск и поиск драйверов в интернете.
Групповая политика безопасности (Group Policy).
Run as administrator c:\windows\system32\gpedit.msc (Local Group policy Editor)
Computer Configuration:
Administrative templates - System - Turn off autoplay: Enabled (All drives)
Administrative templates - System - Turn off Windows Update device driver search prompt: Enabled
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.
Administrative templates - System - Turn off autoplay: Enabled (All drives)
Administrative templates - System - Turn off Windows Update device driver search prompt: Enabled
3.2. Включаем DEP (если все программы корректно с ним работают). Enable DEP (AlwaysOn).
Change c:\boot.ini. Example boot.ini:
------------------------------
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /PAE /NoExecute=AlwaysOn
------------------------------
3.3. Отключаем сеть Windows если она не нужна (протокол SMB). Этот протокол имеет массу уязвимостей.
Control Panel - Network Connections - Change adapter settings:
Disable NetBIOS for TCP/IP v4, disable "Client for microsoft networks", disable "File and printer sharing..."
3.4. Отключаем лишние для нас службы.
Control Panel - Administrative Tools - Services
Disable services (перевести в "off"):
Automatic updates (automatic) - Автоматическое обновление Ставим "manual" или "off".
Remote Desktop Help Session Manager (manual)
Remote Registry (m)
Server (a) - Сервер. Эта служба нужна для расшаренных папок и передачи файлов по Bluetooth. Этот протокол имеет массу уязвимостей.
TCP/IP NetBIOS Helper (a)
Windows Firewall/Internet Connection Sharing (ICS) (a)
Фаерволл в XP неудобен. Лучше использовать "железный" роутер или стороннюю программу.
Indexing Service (a) - Служба индексирования дисков. Ускоряет поиск, но постоянно грузит HDD.
Computer Browser (m)
Routing and Remote Access (m) - Маршрутизация и удаленный доступ
Terminal Services (m)
Themes (a)
3.5. Настройка локальной политики безопасности.
Control Panel - Administrative Tools - Local Security Policy:
Запрещаем доступ к компьютеру из сети (удалённое управление).
Security Settings - Local Policies - User Rights Assignment:
Access this computer from the network - none (remove all),
Allow log on trough Terminal Services - none (remove all),
Deny Access to this computer from the network - Everyone,
Deny log on locally - Guest, ASPNET,
Deny log on trough Terminal Services - Everyone,
Change the system time - Administrators
Log on locally - Administrators, Users,
Параметры для безопасного входа в систему.
Security Settings - Local Policies - Security Options:
Accounts: Rename administrator account - boss,
Interactive logon: Display user information when the session is locked - Do not display user information
Interactive logon: Do not display last user name - Enabled
Interactive logon: Do not require CTRL+ALT+DEL - Disabled
Network access: Remotely accessible registry paths and subpaths - None
Devices: Prevent users from installing printer drivers - Enabled
3.6. Настройка политики ограниченного использования программ (Software Restriction Policies - SRP).
Доступен для Windows XP редакций Professional.
Control Panel - Administrative Tools - Local Security Policy - Security Settings - Software Restriction Policies.
RightMouseClick - New Software Restriction Policies.
Software Restriction Policies - Security Levels - Disallowed.
Enforcement: All software files , All users except local administrators.
После установки всех программ, драйверов, настройки системы, изменяем:
Enforcement: All users. Для установки новых программ временно ставим Security Levels - Unrestricted.
Дополнительные правила. Разрешаем запуск из папок, в которые запрещена запись User'ам. Запрещаем запуск из папок, в которые разрешена запись User'ам.
Software Restriction Policies - Additional Rules:
Правила для путей. (New Path Rule)
Неограниченный. Unrestricted:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Запрещено. Dissalowed:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\Temp
%systemroot%\Debug\UserMode
%systemroot%\Registration\CRMLog
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\system32\spool\PRINTERS
Планировщик заданий - потенциально опасная служба. Если он не нужен, то можно просто отключить службу.
Запрет запуска из папки заданий.
Disallowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks
Запрет создавать задания обычному пользователю. Задания могут создавать вирусы (с правами User's).
C:\Windows\Tasks\ - запретить запись только в эту папку обычному пользователю (Special permissions - Apply to: This folder only)
Запрещаем потенциально опасные приложения в папке Windows (некорректно работают с SRP)
Запрет по хэшу (New Hash Rule) или пути (New Path Rule) (Disallowed or Basic User).
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe, c:\windows\system32\runas.exe
(runas опасно тем, что позволяет запустить из командной строки любое приложение в обход SRP (уязвимость исправлена в Windows 7):
C:\Documents and Settings\user>runas /trustlevel:"Unrestricted" C:\temp\bad_program.exe)
Designated File Types:
добавить расширения (add file extension): scf , dll.
удалить расширения (remove file extension): lnk.
Решение проблем совместимости.
Есть программы, которые пишут данные не в Application Data, а в свои папки, например игры. Для обеспечения безопасности в этом случае такие программы следует установить не в "C:\Program Files\" а в другую папку. Дать группе Users права на запись в эту папку. В настройках SRP дать разрешения на эту программу и её библиотеки только по хэшу. То ессть для всех исполняемых файлов в папках, доступных для записи пользователю с ограниченными правами (например игры, установленные в D:\Games\ ) - разрешения только по хэшу, во избежание подмены или инфицирования файла.
3.7. Для закрытия доступа через проводник к свойствам папок.
-----------------------------------------
Windows Registry Editor Version 5.00
;Отключить возможность выбора свойств папки.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000001
3.8. Дополнительное ПО.
Для более надёжной защиты можно установить бесплатный набор средств EMET (Enhanced Mitigation Experience Toolkit) от Microsoft
и настраивать DEP и другие технологии защиты памяти как для всей системы, так и индивидуально для выбранных приложений.
Для аудита прав файловой системы используем AccessEnum от Sysinternals. Некоторые программы при установке могут давать права на запись юзеру в Program Files. Такие программы следует устанавливать в отдельную папку и давать разрешения по хэшу.
Для анализа запущенных приложений и dll используем ProcessExplorer от Sysinternals.
4. Решение некоторых проблем совместимости.
4.1. Как сделать, чтобы пользователь с ограниченными правами смог сам включать и отключать интернет-соединение?
Это может понадобиться при работе пользователя через GSM USB-modem.
Добавьте пользователя (или группу INTERACTIVE) в локальную группу Network Configuration Operators.
4.2. Передача прав обычному пользователю на запись CD/DVD:
----------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"allocatedasd"="2"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoCDBurning"=dword:00000000
-----------------------------
Если это не помогло, то:
Дать полный доступ на ветку реестра для всех пользователей (Everyone):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDrom]
Control Panel - Administrative Tools - Local Security Policy - Security Settings - Local Policies - User Rights Assignment:
Load and unload device drivers - (add group "Users")
Security Settings - Local Policies - Security Options:
Devices: Allowed to format and eject removable media - Administrators and Interactive Users
Devices: Restrict CD-ROM access to locally logged-on user only - Enabled
Если всё вышеперечисленное не помогло, то в качестве программы для записи дисков следует использовать CDBurnerXP, т.к. она ставит свой собственный драйвер записи. Или Nero.
Выводы.
При таких настройках политик безопасности отпадает необходимость в резидентном антивирусе. Я сканирую только новые программы скачанные из интернета на предмет вирусов. При наличии выбора стараюсь использовать Freeware из проверенных источников и положительно зарекомендовавшие себя на форумах.
[/more]
[more="Мой шаблон для настройки Windows 7."]
Windows 7 в плане безопасности и гибкости настроек лучше XP. Помимо Data Execution Prevention есть Address Space Layout Randomization, что защищает от атак на переполнение буфера.
en_windows_7_enterprise_with_sp1_x64_dvd_u_677651
Windows 7 x64 Enterprise SP1 (05.2011)
1. Установка Windows 7.
Выставить в BIOS для SATA-контроллера режим AHCI. Для HDD он даёт прирост в скорости, оптимизацию перемещения блока головок, функцию hot-plug.
В данной сборке есть драйвера для большинства контроллеров. Если драйвер AHCI не найден и установка прервалась, то верните режим Legacy IDE.
Основной, активный NTFS-раздел не менее 30Gb разметить (желательно 40Gb, т.к папка C:\Windows\winsxs будет разрастаться). Назначить первую загрузку с CD/DVD, вторую - с HDD. Физически отключить второй HDD (если он имеется) во избежание автоматического форматирования основного раздела на нём под bootmngr установщиком Windows.
Этот вариант беспроигрышный. Иногда помогает вариант отключения второго HDD в BIOS. После перезагрузки в BIOS в качестве загрузочного можно выставить только первый HDD. Установщик Windows видит второй HDD, но поскольку загрузка с него невозможна (он невидим в BIOS), то Установщик Windows не создает bootmngr-раздел.
В процессе установки обязательно повторно отформатировать раздел в NTFS (можно quick format)
2. Обновление и настройка.
2.1. Устанавливаем все дополнительные библиотеки (Java, VC, Flash, DirectX 9 и т.п.), недостающие драйвера. Устанавливаем обновление вышедшие после релиза Windows 7 Service pack 1.
Я использую оригинальную английскую сборку (релиз Windows 7 Service pack 1) подписана майкрософт 12-04-2011. ISO можно найти на трекерах, а также ISO локализаций всех языков.
2.2. Устанавливаем необходимый софт. На время установки следует SRP выставить Unrestricted. При установке UAC потребует пароль администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
При установке и настройке всех программ данные и настройки сохраняются по умолчанию в C:\Users\UserName\AppData\Roaming\ProgramName.
Все 32-bit программы устанавливаем в C:\Program Files (x86)\
Все 64-bit программы устанавливаем в C:\Program Files\
(Обычно это происходит автоматически)
2.3. Ставим пароль на администратора. Для удобства или маскировки локального администратора можно переименовать с Administrator на более короткое имя. Создаём пользователя с ограниченными правами (group "Users") группы User.
Control Panel\All Control Panel Items\Administrative Tools\Computer Management\Local Users and Groups\Users - New User
Входим в систему под User'ом и далее работаем только под ним. При необходимости вводим пароль администратора на запрос UAC.
При необходимости установки программ под обычным пользователем следует использовать команду Run As Administrator (Запуск от имени Администратора), потребуется ввод имени и пароля администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
Аккаунт "Guest" и "Administrator" отключены (Account is disabled).
2.4. Устанавливаем русский или другие языковые пакеты при необходимости. После можно включать языковую локализацию меню виндовс для каждого пользователя отдельно, что позволяет работать за одним компьютером пользователям разных национальностей.
Control Panel\All Control Panel Items\Region and Language - Keyboards and Languages - Install/uninstall languages.
Install russian language pack (.cab)
Добавляем рускую раскладку клавиатуры и назначаем клавиши для смены раскладки.
Control Panel\All Control Panel Items\Region and Language - Keyboards and Languages - Change keyboards - Add.
Set russian as second keyboard layout.
Настроить русский для не-юникодных программ.
Control Panel\All Control Panel Items\Region and Language - Administrative - Language for non-Unicode programs: Russian (Russia)
Лично я всегда, в любых программах использую пароль на английском.
Если при логоне при вводе пароля русский язык по-умолчанию (Для русских редакций виндовс), то изменить ключ:
---------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"2"="00000419"
"1"="00000409"
---------------------------------------
Переключение раскладки для запроса пароля UAC с Alt-Shift на Ctrl-Shift (Для русских редакций виндовс):
-------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="2"
--------------------------------------------
Отключаем капслок, если эта клавиша раздражает. Disable Caps lock:
------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,3a,00,00,00,00,00
------------------
2.5. Включение автологона для удобства (если у юзера нет пароля):
Нажмите Start, наберите “control userpasswords2 и нажмите Enter.
Выберите своего пользователя из списка и снимите галочку с опции “User must enter a user
name and password to enter this computer” (Требовать ввод имени пользователя и пароль при
входе в компьютер), нажмите «Применить» и OK.
2.6. Настройка режима энергосбережения. Control Panel\All Control Panel Items\Power Options
Preferred plans: Balanced (recommended)
Turn off the display - never
Put the computer to sleep - never
Change advanced power settings:
turn off hard disk after - 0 (never)
sleep after - 0 (never)
Allow hybrid sleep - Off
Hibernate after - 0 (never)
Turn off display after - 0 (never)
2.7. Настраиваем вид. Control Panel\All Control Panel Items\Personalization. Logon as "user1" and tune Start menu, Folder View, Deskop background, Desktop gadgets, Screensaver.
2.8. Настраиваем время. Control Panel\All Control Panel Items\Date and Time:
Date and Time - Change time zone: UTC+4:00 (Устанавливаем часовой пояс). Turn Off "Automatically adjust clock for Daylight Saving Time" (отключаем автоматический перевод часов на летнее/зимнее время).
Internet Time - Change settings: Server: ntp.mobatime.ru, ru.pool.ntp.org.
2.9. Оптимизация системы.
Отключение спящего режима для удаления hiberfil.sys.
"Run as Administrator" %SystemRoot%\system32\cmd.exe
Вводим следующие команды:
powercfg /h off
exit
Отключаем или минимизируем (~20Mb) файл подкачки если достаточно ОЗУ и не будет ресурсоёмких программ (игр и т.п.). Для x64 - ОЗУ 3Gb и более (1.06Gb - в фоне), для x86 - 2Gb и более (600Mb - в фоне).
Control Panel\All Control Panel Items\System - advanced system settings (system properties):
Advanced - Performance - settings (Performance option) - advanced - Virtual memory - Change:
Turn off "Automatically manage paging file size for all drives"
No paging file - Set.
Настраиваем восстановление системы. Или отключаем его. При крахе системы восстановление системы часто неэффективно.
Control Panel\All Control Panel Items\System - advanced system settings - System Protection.
Tune System Restore on "C:\" 1Gb disk space.
Turn off "Allow Remote Assistance":
Control Panel\All Control Panel Items\System - advanced system settings - Remote
Настраиваем корзину (после монтирования всех дисков). Set Recycle Bin. Я отключаю, но оставляю запрос на подтверждение удаления файлов.
Отключаем лишние программы. Control Panel\All Control Panel Items\Programs and Features - Turn windows features on or off:
Internet Explorer - off
Media features - off
Windows search - on или off
Internet printing client - off
Настраиваем или отключаем индексирование для выбранных папок.
Control Panel\All Control Panel Items\Performance Information and Tools - Adjust indexing options
Лично я не пользуюсь ярлыками на рабочем столе, и не позволяю его захламлять, поэтому:
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.
Отключаем фоновую дефрагментацию. Можно дефрагментировать вручную. Пользы нет, а диск грузит.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Disk Defragmenter (%windir%\system32\dfrgui.exe)
Push "configure schedule": turn off schedule
Отключаем windows defender. Вместо него периодически сканируем диск "C:" программой AVZ или Dr.Web CureIt! или аналогичной.
Control Panel\All Control Panel Items\windows defender
Disable Automatic scanning
Или в сервисах: Windows Defender - Disabled
3. Настройка безопасной работы.
3.1. Отключаем автозапуск.
Control Panel\All Control Panel Items\AutoPlay
disable autoplay and ("take no action")
3.2. Включаем DEP (если все программы корректно с ним работают). Enable DEP (AlwaysOn).
"Run as Administrator" %SystemRoot%\system32\cmd.exe
Вводим следующие команды:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set nx AlwaysOn
(The operation completed successfully)
Для проверки настроек:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
Если есть конфликты с установленными программами, то установить режим DEP по-умолчанию:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set nx OptIn
(The operation completed successfully).
3.3. Включаем проверку цифровой подписи драйверов:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set loadoptions ENABLE_INTEGRITY_CHECKS
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set TESTSIGNING OFF
Для проверки настроек:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
Для отключения:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set loadoptions DDISABLE_INTEGRITY_CHECKS
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set TESTSIGNING ON
Для проверки настроек:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
3.4. Настраиваем UAC на максимум. Control Panel\All Control Panel Items\Action Center - Change User Account Control Settings: Always Notifi
Включаем файерволл. Windows Firewall - turn on now
3.5. Отключаем сеть Windows если она не нужна (протокол SMB). Этот протокол имеет массу уязвимостей.
Control Panel\All Control Panel Items\Network and Sharing Center\Advanced sharing settings:
Turn off network discovery
Turn off file and printer sharing
Turn off public folder sharing
Use 128-bit encryption...
Turn on password protection sharing
Allow windows to manage homegroup connections
Control Panel\All Control Panel Items\Network and Sharing Center - Change adapter settings:
Disable NetBIOS for TCP/IP v4, disable "Client for microsoft networks", disable "File and printer sharing..."
3.6. Отключаем лишние для нас службы. Control Panel\All Control Panel Items\Administrative Tools\Services
Disable services (default startup type):
Службы удалённого управления:
Remote Desktop Configuration (manual)
Remote Desktop Services (m)
Remote Desktop Services UserMode Port Redirector (m)
Remote Registry (m)
Службы для WMP:
Windows Media Center Receiver Service (m)
Windows Media Center Scheduler Service (m)
Windows Media Player Network Sharing Service (m)
Службы для SMB (расшаренных папок и передачи файлов по Bluetooth)
Routing and remote access (m)
Маршрутизация и удаленный доступ
Server (a)
Сервер. Эта служба нужна для расшаренных папок и передачи файлов по Bluetooth. Этот протокол имеет массу уязвимостей.
TCP/IP NetBIOS Helper (a)
WebClient (m)
Computer Browser (a)
Прочие службы:
Windows Biometric Service (m)
Background Intelligent Transfer Service (auto)
Windows Update (a). Ставим "manual" или "off"
Автоматическое обновление.
Windows Update настраивается здесь: Control Panel\All Control Panel Items\Action Center
Я ставлю "Check for updates but let me choose whether to download and install them".
Записав номера предложенных мне обновлений я читаю о них в интернете и только затем скачиваю. Чтобы не нарваться на "антипиратское" обновление, а также обновить компьютеры без доступа к интернету.
Windows Search (a) (Если не пользуетесь и не отключили по п.17)
Служба индексирования дисков. Ускоряет поиск, но постоянно грузит HDD.
3.7. Настройка файерволла (без домена).
Windows Firewall with advanced security:
Domian profile - off
Private profile - on; Inbound - block, Outbound - block
Public profile - on; Inbound - block, Outbound - block
Public profile Settings - Customize:
Rule merging: Yes, Yes.
Display a notification - Yes
Возможен экспорт/импорт настроек файерволла из сохранённого файла ~.wfw
3.8. Настройка локальной политики безопасности.
Control Panel\All Control Panel Items\Administrative Tools\Local Security Policy:
Запрещаем доступ к компьютеру из сети (удалённое управление).
Security Settings - Local Policies - User Rights Assignment:
Allow log on trough Remote Desktop Services - none (remove all),
Deny log on trough Remote Desktop Services - Everyone.
Запрет доступа к компьютеру по SMB (при этом можно заходить на другие компьютеры)
Access this computer from the network - none (remove all),
Deny Access to this computer from the network - Everyone,
Другие параметры:
Allow logon locally - Administrators, Users,
Change the time zone - Administrators, LOCAL SERVICE,
Параметры для безопасного входа в систему, параметры UAC.
Security Settings - Local Policies - Security Options:
Interactive logon: Display user information when the session is locked - Do not display user information
Interactive logon: Do not display last user name - Enabled
Interactive logon: Do not require CTRL+ALT+DEL - Disabled
User account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode - Prompt for consent on the secure desktop,
User account Control: Behavior of the elevation prompt for standard users - Prompt for credentials on the secure desktop
Devices: Prevent users from installing printer drivers - Enabled
3.9.1. Настройка политики ограниченного использования программ (Software Restriction Policies - SRP).
Доступен для Windows 7 редакций Professional, Ultimate и Enterprise.
(Если не используется AppLocker)
Control Panel\All Control Panel Items\Administrative Tools\Local Security Policy - Security Settings - Software Restriction Policies.
RightMouseClick - New Software Restriction Policies.
Software Restriction Policies - Security Levels - Disallowed.
Enforcement: All software files (программы и библиотеки) , All users except local administrators, Ignore certificate rules.
После установки всех программ, драйверов, настройки системы, изменяем:
Enforcement: All users. Для установки новых программ временно ставим Security Levels - Unrestricted.
Дополнительные правила. Разрешаем запуск из папок, в которые запрещена запись User'ам. Запрещаем запуск из папок, в которые разрешена запись User'ам.
Software Restriction Policies - Additional Rules:
Правила для путей. (New Path Rule)
Неограниченный. Unrestricted:
Для Windows 7 x86:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Для Windows 7 x64:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
Запрещено. Dissalowed:
Для Windows 7 x86:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
Для Windows 7 x64:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
%systemroot%\SysWOW64\com\dmp
%systemroot%\SysWOW64\FxsTmp
%systemroot%\SysWOW64\Tasks
Планировщик заданий - потенциально опасная служба, куда могут прописаться вирусы. Если он не нужен, то можно просто отключить службу.
Запрет запуска из папки заданий.
Disallowed - %systemroot%\System32\Tasks
Запрет создавать задания обычному пользователю. Задания могут создавать вирусы (с правами User's).
C:\Windows\System32\Tasks\ - запретить запись только в эту папку обычному пользователю (Special permissions - Apply to: This folder only)
Запрещаем потенциально опасные приложения в папке Windows (некорректно работают с SRP)
Запрет по хэшу (New Hash Rule) или пути (New Path Rule) (Disallowed or Basic User).
Для Windows 7 x86:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
Для Windows 7 x64:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
C:\Windows\SysWOW64\hh.exe, C:\Windows\SysWOW64\mshta.exe, C:\Windows\SysWOW64\reg.exe, C:\Windows\SysWOW64\regedt32.exe, C:\Windows\SysWOW64\regedit.exe C:\Windows\SysWOW64\runas.exe
Designated File Types:
добавить расширения (add file extension): scf , dll.
удалить расширения (remove file extension): lnk.
Решение проблем совместимости.
Есть программы, которые несовместимы с многопользовательским режимом Windows, т.к. пишут данные не в Application Data, а в свою папку установки в "Program Files", например старые игры, или плохие поделки криворуких программистов, которые ничего не слышали про многопользовательский режим. Для обеспечения безопасности в этом случае такие программы следует установить не в "C:\Program Files\" а в другую папку. Дать группе Users права на запись в эту папку. В настройках SRP дать разрешения на эту программу (EXE) и её библиотеки (DLL) только по хэшу. То есть для всех исполняемых файлов в папках, доступных для записи пользователю с ограниченными правами (например игры, установленные в D:\Games\ ) - разрешения только по хэшу, во избежание подмены или инфицирования файла.
3.9.2. Настройка Applocker. Доступен для Windows 7 редакций Ultimate и Enterprise (Если не используется SRP)
Вместо SRP можно использовать AppLocker в Windows 7 версий Ultimate и Enterprise.
Security Settings - Application Control Policies.
Служба (Service) «Удостоверение приложения» (Application Identity) должна быть включена (автоматически). Она помогает AppLocker в Windows 7 идентифицировать приложения, входящие в список заблокированных. Эту службу можно отключить, если AppLocker не используется.
Правила по-умолчанию созданы аналогично SRP (п.18.1.3) и записаны в файле AppLocker-Default.xml который можно импортировать.
В правилах по-умолчанию разрешён запуск всех файлов администратором. Если эти правила удалить, то будет безопаснее, но при установке / удалении программ нужно перевести политику с "Enforce rules" в "Audit only"
Правила для Applocker (Executable Rules):
Правило для пути 1:
%PROGRAMFILES%\*
разрешено для всех. Исключений нет.
Правило для пути 2:
%WINDIR%\*
разрешено для всех
Добавить исключения по путям и хэшу:
Исключения по путям для Windows 7 x86:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
Исключения по путям для Windows 7 x64:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
%systemroot%\SysWOW64\com\dmp
%systemroot%\SysWOW64\FxsTmp
%systemroot%\SysWOW64\Tasks
Исключения по хэшу для Windows 7 x86:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
Исключения по хэшу для Windows 7 x64:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
C:\Windows\SysWOW64\hh.exe, C:\Windows\SysWOW64\mshta.exe, C:\Windows\SysWOW64\reg.exe, C:\Windows\SysWOW64\regedt32.exe, C:\Windows\SysWOW64\regedit.exe C:\Windows\SysWOW64\runas.exe
Правила для Applocker (Script Rules):
Правило для пути 1:
%PROGRAMFILES%\*
разрешено для всех. Исключений нет.
Правило для пути 2:
%WINDIR%\*
разрешено для всех
Добавить исключения только по путям (те же что и в Executable Rules).
Правила для Applocker (DLL Rules):
Правило для пути 1:
%PROGRAMFILES%\*
разрешено для всех. Исключений нет.
Правило для пути 2:
%WINDIR%\*
разрешено для всех
Добавить исключения только по путям (те же что и в Executable Rules).
Удобство Applocker в том, что создав один раз правила можно экспортировать / импортировать в файл ~.xml
Можно создавать только одно правило для хэшей группы файлов exe или dll в папке программы несовместимой с многопользовательским режимом Windows.
3.10. Групповая политика безопасности (Group Policy).
Run as administrator c:\windows\system32\gpedit.msc (Local Group policy Editor)
Computer Configuration:
Отключаем автозапуск и запуск приложений с флешек и дисководов (шаг 2).
Administrative templates - Windows Components - AutoPlay Policies:
Turn off Autoplay - Enabled on all drives,
Default behavior foe AutoRun - Enabled (Do not execute any autorun commands.
Administrative Templates - System - Driver Installation: Turn off Windows Update device driver search prompt - Enabled.
Administrative Templates - System - Removable Storage Access:
CD and DVD: Deny execute access - Enabled
Floppy Drives: Deny execute access - Enabled
Removable Disks: Deny execute access - Enabled
В этой ветке GP существует возможность запретить не только запуск, но и чтение, запись, чтение-запись со сменных носителей различных типов.
3.11. Для закрытия доступа через проводник к свойствам папок.
-----------------------------------------
Windows Registry Editor Version 5.00
;Отключить возможность выбора свойств папки.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000001
-----------------------------------------
3.12. Дополнительное ПО.
Для более надёжной защиты можно установить бесплатный набор средств EMET (Enhanced Mitigation Experience Toolkit) от Microsoft
и настраивать DEP, SEHOP, ASLR и другие технологии защиты памяти как для всей системы, так и индивидуально для выбранных приложений.
Для аудита прав файловой системы используем AccessEnum от Sysinternals. Некоторые программы при установке могут давать права на запись юзеру в Program Files. Такие программы следует устанавливать в отдельную папку и давать разрешения по хэшу.
Для анализа запущенных приложений и dll используем ProcessExplorer от Sysinternals.
4. Решение некоторых проблем совместимости.
4.1. Как сделать, чтобы пользователь с ограниченными правами смог сам включать и отключать интернет-соединение?
Это может понадобиться при работе пользователя через GSM USB-modem.
Добавьте пользователя (или группу INTERACTIVE) в локальную группу Network Configuration Operators.
Выводы.
При таких настройках политик безопасности отпадает необходимость в резидентном антивирусе. Встроеммый в Windows 7 файерволл также вполне вменяемый и легко настраеваемый (есть возможность экспорта/импорта настроек в файл). Я сканирую только новые программы скачанные из интернета на предмет вирусов. При наличии выбора стараюсь использовать Freeware из проверенных источников и положительно зарекомендовавшие себя на форумах.
[/more]
[more="AppLocker-W7SP1x64-Default.xml"]
<AppLockerPolicy Version="1">
<RuleCollection Type="Dll" EnforcementMode="Enabled">
<FilePathRule Id="0cb0c2a5-0391-48b7-8766-4d31df28b95c" Name="Microsoft Windows DLLs" Description="Allows members of the Everyone group to load DLLs located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\*" />
</Conditions>
<Exceptions>
<FilePathCondition Path="%WINDIR%\debug\WIA\*" />
<FilePathCondition Path="%WINDIR%\Registration\CRMLog\*" />
<FilePathCondition Path="%WINDIR%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\*" />
<FilePathCondition Path="%WINDIR%\System32\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\System32\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\drivers\color\*" />
<FilePathCondition Path="%WINDIR%\System32\Tasks\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Temp\*" />
<FilePathCondition Path="%WINDIR%\tracing\*" />
<FilePathCondition Path="WINDIR%\System32\spool\PRINTERS\*" />
</Exceptions>
</FilePathRule>
<FilePathRule Id="3737732c-99b7-41d4-9037-9cddfb0de0d0" Name="(Default Rule) All DLLs located in the Program Files folder" Description="Allows members of the Everyone group to load DLLs that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%PROGRAMFILES%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="fe64f59f-6fca-45e5-a731-0f6715327c38" Name="(Default Rule) All DLLs" Description="Allows members of the local Administrators group to load all DLLs." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
</RuleCollection>
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(Default Rule) All files located in the Program Files folder" Description="Allows members of the Everyone group to run applications that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%PROGRAMFILES%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="fd686d83-a829-4351-8ff4-27c7de5755d2" Name="(Default Rule) All files" Description="Allows members of the local Administrators group to run all applications." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="c7c9ea6e-9da2-4d78-b3f3-f915f7fbde33" Name="All files located in the Windows folder" Description="Allows members of the Everyone group to run applications that are located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\*" />
</Conditions>
<Exceptions>
<FilePathCondition Path="%WINDIR%\debug\WIA\*" />
<FilePathCondition Path="%WINDIR%\Registration\CRMLog\*" />
<FilePathCondition Path="%WINDIR%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\*" />
<FilePathCondition Path="%WINDIR%\System32\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\System32\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\drivers\color\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\PRINTERS\*" />
<FilePathCondition Path="%WINDIR%\System32\Tasks\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Temp\*" />
<FilePathCondition Path="%WINDIR%\tracing\*" />
<FileHashCondition>
<FileHash Type="SHA256" Data="0x74940A5E6E5C7F58627E88BC8953581B9C2C799A1452F021A02F53D1573A6E61" SourceFileName="hh.exe" SourceFileLength="16896" />
<FileHash Type="SHA256" Data="0x053A6D9C29A8A9C4DB3600CA46F8D4C32ABFFC090C87726DA5CA2EC8E068EAD1" SourceFileName="regedit.exe" SourceFileLength="427008" />
<FileHash Type="SHA256" Data="0x7E12502375BEFB5E755C590E0DA084E133572F630874D9342BC0D3339587DF4C" SourceFileName="reg.exe" SourceFileLength="74752" />
<FileHash Type="SHA256" Data="0x52FC97E688A8718A7DD71A807954D1503DD98846B5D863388D3DD8FD6C4CEBF0" SourceFileName="regedt32.exe" SourceFileLength="10240" />
<FileHash Type="SHA256" Data="0x4313F783D8378F78CD879435EC1471D99A9FDCCEEF3BFAC75B89A749CDF7ECDB" SourceFileName="mshta.exe" SourceFileLength="12288" />
</FileHashCondition>
<FileHashCondition>
<FileHash Type="SHA256" Data="0x1A25B4F65E1B5B521F5F5F4FE69DE287625F3EC5A3B147978C592F6FAA72228B" SourceFileName="regedit.exe" SourceFileLength="398336" />
<FileHash Type="SHA256" Data="0xB2D1B7C792764B6ADD9F2F5ECE131B0D4F3675701471C362ADA1E365CFFF35FC" SourceFileName="hh.exe" SourceFileLength="15360" />
<FileHash Type="SHA256" Data="0x1D81F687393050268099F94A09D5C6679942374CB80B697D57C72972F87543A0" SourceFileName="regedt32.exe" SourceFileLength="9216" />
<FileHash Type="SHA256" Data="0xA6A6E3B868B70B587BA29F0F73C422584F570A3BF3133819190AE4703AAEFE3D" SourceFileName="mshta.exe" SourceFileLength="11776" />
<FileHash Type="SHA256" Data="0x5FFA7AAE3407077C98FEE44D2DAE2610CF82046296C2C29CDDCD963246953F68" SourceFileName="reg.exe" SourceFileLength="62464" />
</FileHashCondition>
<FileHashCondition>
<FileHash Type="SHA256" Data="0x60139DABFE6102554AF83DB826E4556BC1C2C71B6B012C1C47F6D48ED2FEE1F6" SourceFileName="runas.exe" SourceFileLength="17408" />
<FileHash Type="SHA256" Data="0xFF9F6AF1F95ECCDDB0D431653D1B1BDFADBA10966CF54211662E5CA40865F5C8" SourceFileName="runas.exe" SourceFileLength="20480" />
</FileHashCondition>
</Exceptions>
</FilePathRule>
</RuleCollection>
<RuleCollection Type="Msi" EnforcementMode="Enabled">
<FilePathRule Id="64ad46ff-0d71-4fa0-a30b-3f3d30c5433d" Name="(Default Rule) All Windows Installer files" Description="Allows members of the local Administrators group to run all Windows Installer files." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*.*" />
</Conditions>
</FilePathRule>
</RuleCollection>
<RuleCollection Type="Script" EnforcementMode="Enabled">
<FilePathRule Id="06dce67b-934c-454f-a263-2515c8796a5d" Name="(Default Rule) All scripts located in the Program Files folder" Description="Allows members of the Everyone group to run scripts that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%PROGRAMFILES%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="540b4bf1-0edf-4c80-bcec-be0c1c07210e" Name="All scripts located in the Windows folder" Description="Allows members of the Everyone group to run scripts that are located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\*" />
</Conditions>
<Exceptions>
<FilePathCondition Path="%WINDIR%\debug\WIA\*" />
<FilePathCondition Path="%WINDIR%\Registration\CRMLog\*" />
<FilePathCondition Path="%WINDIR%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\*" />
<FilePathCondition Path="%WINDIR%\System32\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\System32\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\drivers\color\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\PRINTERS\*" />
<FilePathCondition Path="%WINDIR%\System32\Tasks\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Temp\*" />
<FilePathCondition Path="%WINDIR%\tracing\*" />
</Exceptions>
</FilePathRule>
<FilePathRule Id="ed97d0cb-15ff-430f-b82c-8d7832957725" Name="(Default Rule) All scripts" Description="Allows members of the local Administrators group to run all scripts." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
</RuleCollection>
</AppLockerPolicy>
[/more]
После прочтения блога Вадима Поданса и аналогичных ресурсов, я так и поступаю.
[more="Мой шаблон для настройки Windows XP."]
1. Установка Windows XP (сборка от http://c400.ru).
Выставить в BIOS для SATA-контроллера режим AHCI. Для HDD он даёт прирост в скорости, оптимизацию перемещения блока головок, функцию hot-plug.
В данной сборке есть драйвера для большинства контроллеров. Если драйвер AHCI не найден и установка прервалась, то верните режим Legacy IDE.
Разметить основной, активный NTFS-раздел не менее 8Gb. Назначить первую загрузку с CD/DVD, вторую - с HDD.
Подключить все устройства к компьютеру для автоустановки драйверов. Установить Windows XP. В процессе установки обязательно повторно отформатировать раздел в NTFS. Активация не требуется. Корпоративная версия.
2. Обновление и настройка.
2.1. Обновляем все дополнительные библиотеки (Java, VC, Flash, DirectX 9 и т.п.), устанавливаем недостающие драйвера. Устанавливаем обновление вышедшие после релиза сборки Windows XP SP3 от c400.ru.
2.2. Устанавливаем необходимый софт. На время установки следует SRP выставить Unrestricted.
При установке и настройке всех программ данные и настройки сохраняются по умолчанию в C:\Documents and Settings\UserName\Application Data\ProgramName.
2.3. Ставим пароль на администратора. Для удобства или маскировки локального администратора можно переименовать с Administrator на более короткое имя. Создаём пользователя с ограниченными правами (group "Users") группы User.
Control Panel\Administrative Tools\Computer Management\Local Users and Groups\Users - New User
Входим в систему под User'ом и далее работаем только под ним. При необходимости установки программ под обычным пользователем следует использовать команду Run As... (Запуск от имени), потребуется ввод имени и пароля администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
Аккаунт "Guest" и "Administrator" отключены (Account is disabled).
2.4. Устанавливаем русский или другие языковые пакеты при необходимости. После можно включать языковую локализацию меню виндовс для каждого пользователя отдельно, что позволяет работать за одним компьютером пользователям разных национальностей.
Control Panel\Regional and Language Options - Keyboards and Languages - Install/uninstall languages.
Install russian language pack (.cab)
Добавляем рускую раскладку клавиатуры и назначаем клавиши для смены раскладки.
Control Panel\Regional and Language Options - Keyboards and Languages - Change keyboards - Add.
Set russian as second keyboard layout.
Настроить русский для не-юникодных программ.
Control Panel\All Control Panel Items\Region and Language - Administrative - Language for non-Unicode programs: Russian (Russia)
Лично я всегда, в любых программах использую пароль на английском.
Если при логоне при вводе пароля русский язык по-умолчанию (Для русских редакций виндовс), то изменить ключ:
---------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"2"="00000419"
"1"="00000409"
---------------------------------------
Отключаем капслок, если эта клавиша раздражает. Disable Caps lock:
------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,3a,00,00,00,00,00
------------------
2.5. Включение автологона для удобства (если у юзера нет пароля):
Нажмите Start, наберите “control userpasswords2 и нажмите Enter.
Выберите своего пользователя из списка и снимите галочку с опции “User must enter a user
name and password to enter this computer” (Требовать ввод имени пользователя и пароль при
входе в компьютер), нажмите «Применить» и OK.
2.6. Настраиваем режим энергосбережения.
2.7. Настраиваем вид меню "Пуск", Проводника и т.п.
2.8. Настраиваем время
Control Panel\All Control Panel Items\Date and Time:
Date and Time - Change time zone: UTC+4:00 (Устанавливаем часовой пояс). Turn Off "Automatically adjust clock for Daylight Saving Time" (отключаем автоматический перевод часов на летнее/зимнее время).
Internet Time - Change settings: Server: ntp.mobatime.ru, ru.pool.ntp.org.
2.9. Оптимизация системы.
Отключение спящего режима.
Control Panel - Display - Screen Saver - Power:
Advanced - tune "Power buttons"
Hibernate - Disable hibernation
Отключаем или минимизируем (~20Mb) файл подкачки если достаточно ОЗУ и не будет ресурсоёмких программ (игр и т.п.). Для x86 - 2Gb и более (300Mb - в фоне).
Control Panel - System - system properties:
Advanced - Performance - settings (Performance option) - advanced - Virtual memory - Change:
No paging file - Set.
Настраиваем восстановление системы. Или отключаем его. При крахе системы восстановление системы часто неэффективно.
Control Panel\All Control Panel Items\System - advanced system settings.
Tune System Restore on "C:\" 1Gb disk space.
Настраиваем корзину (после монтирования всех дисков). Set Recycle Bin. Я отключаю, но оставляю запрос на подтверждение удаления файлов.
Отключаем лишние программы.
Control Panel\All Control Panel Items\Programs and Features - Turn windows features on or off:
Outlook Express - off
Windows Media Player - off
Indexing Service - off (индексирование)
Настраиваем или отключаем индексирование для выбранных папок.
Лично я не пользуюсь ярлыками на рабочем столе, и не позволяю его захламлять, поэтому:
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.
Отключаем фоновую дефрагментацию. Можно дефрагментировать вручную. Пользы нет, а диск грузит.
3. Настройка безопасной работы.
3.1. Отключаем автозапуск и поиск драйверов в интернете.
Групповая политика безопасности (Group Policy).
Run as administrator c:\windows\system32\gpedit.msc (Local Group policy Editor)
Computer Configuration:
Administrative templates - System - Turn off autoplay: Enabled (All drives)
Administrative templates - System - Turn off Windows Update device driver search prompt: Enabled
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.
Administrative templates - System - Turn off autoplay: Enabled (All drives)
Administrative templates - System - Turn off Windows Update device driver search prompt: Enabled
3.2. Включаем DEP (если все программы корректно с ним работают). Enable DEP (AlwaysOn).
Change c:\boot.ini. Example boot.ini:
------------------------------
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /PAE /NoExecute=AlwaysOn
------------------------------
3.3. Отключаем сеть Windows если она не нужна (протокол SMB). Этот протокол имеет массу уязвимостей.
Control Panel - Network Connections - Change adapter settings:
Disable NetBIOS for TCP/IP v4, disable "Client for microsoft networks", disable "File and printer sharing..."
3.4. Отключаем лишние для нас службы.
Control Panel - Administrative Tools - Services
Disable services (перевести в "off"):
Automatic updates (automatic) - Автоматическое обновление Ставим "manual" или "off".
Remote Desktop Help Session Manager (manual)
Remote Registry (m)
Server (a) - Сервер. Эта служба нужна для расшаренных папок и передачи файлов по Bluetooth. Этот протокол имеет массу уязвимостей.
TCP/IP NetBIOS Helper (a)
Windows Firewall/Internet Connection Sharing (ICS) (a)
Фаерволл в XP неудобен. Лучше использовать "железный" роутер или стороннюю программу.
Indexing Service (a) - Служба индексирования дисков. Ускоряет поиск, но постоянно грузит HDD.
Computer Browser (m)
Routing and Remote Access (m) - Маршрутизация и удаленный доступ
Terminal Services (m)
Themes (a)
3.5. Настройка локальной политики безопасности.
Control Panel - Administrative Tools - Local Security Policy:
Запрещаем доступ к компьютеру из сети (удалённое управление).
Security Settings - Local Policies - User Rights Assignment:
Access this computer from the network - none (remove all),
Allow log on trough Terminal Services - none (remove all),
Deny Access to this computer from the network - Everyone,
Deny log on locally - Guest, ASPNET,
Deny log on trough Terminal Services - Everyone,
Change the system time - Administrators
Log on locally - Administrators, Users,
Параметры для безопасного входа в систему.
Security Settings - Local Policies - Security Options:
Accounts: Rename administrator account - boss,
Interactive logon: Display user information when the session is locked - Do not display user information
Interactive logon: Do not display last user name - Enabled
Interactive logon: Do not require CTRL+ALT+DEL - Disabled
Network access: Remotely accessible registry paths and subpaths - None
Devices: Prevent users from installing printer drivers - Enabled
3.6. Настройка политики ограниченного использования программ (Software Restriction Policies - SRP).
Доступен для Windows XP редакций Professional.
Control Panel - Administrative Tools - Local Security Policy - Security Settings - Software Restriction Policies.
RightMouseClick - New Software Restriction Policies.
Software Restriction Policies - Security Levels - Disallowed.
Enforcement: All software files , All users except local administrators.
После установки всех программ, драйверов, настройки системы, изменяем:
Enforcement: All users. Для установки новых программ временно ставим Security Levels - Unrestricted.
Дополнительные правила. Разрешаем запуск из папок, в которые запрещена запись User'ам. Запрещаем запуск из папок, в которые разрешена запись User'ам.
Software Restriction Policies - Additional Rules:
Правила для путей. (New Path Rule)
Неограниченный. Unrestricted:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Запрещено. Dissalowed:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\Temp
%systemroot%\Debug\UserMode
%systemroot%\Registration\CRMLog
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\system32\spool\PRINTERS
Планировщик заданий - потенциально опасная служба. Если он не нужен, то можно просто отключить службу.
Запрет запуска из папки заданий.
Disallowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks
Запрет создавать задания обычному пользователю. Задания могут создавать вирусы (с правами User's).
C:\Windows\Tasks\ - запретить запись только в эту папку обычному пользователю (Special permissions - Apply to: This folder only)
Запрещаем потенциально опасные приложения в папке Windows (некорректно работают с SRP)
Запрет по хэшу (New Hash Rule) или пути (New Path Rule) (Disallowed or Basic User).
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe, c:\windows\system32\runas.exe
(runas опасно тем, что позволяет запустить из командной строки любое приложение в обход SRP (уязвимость исправлена в Windows 7):
C:\Documents and Settings\user>runas /trustlevel:"Unrestricted" C:\temp\bad_program.exe)
Designated File Types:
добавить расширения (add file extension): scf , dll.
удалить расширения (remove file extension): lnk.
Решение проблем совместимости.
Есть программы, которые пишут данные не в Application Data, а в свои папки, например игры. Для обеспечения безопасности в этом случае такие программы следует установить не в "C:\Program Files\" а в другую папку. Дать группе Users права на запись в эту папку. В настройках SRP дать разрешения на эту программу и её библиотеки только по хэшу. То ессть для всех исполняемых файлов в папках, доступных для записи пользователю с ограниченными правами (например игры, установленные в D:\Games\ ) - разрешения только по хэшу, во избежание подмены или инфицирования файла.
3.7. Для закрытия доступа через проводник к свойствам папок.
-----------------------------------------
Windows Registry Editor Version 5.00
;Отключить возможность выбора свойств папки.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000001
3.8. Дополнительное ПО.
Для более надёжной защиты можно установить бесплатный набор средств EMET (Enhanced Mitigation Experience Toolkit) от Microsoft
и настраивать DEP и другие технологии защиты памяти как для всей системы, так и индивидуально для выбранных приложений.
Для аудита прав файловой системы используем AccessEnum от Sysinternals. Некоторые программы при установке могут давать права на запись юзеру в Program Files. Такие программы следует устанавливать в отдельную папку и давать разрешения по хэшу.
Для анализа запущенных приложений и dll используем ProcessExplorer от Sysinternals.
4. Решение некоторых проблем совместимости.
4.1. Как сделать, чтобы пользователь с ограниченными правами смог сам включать и отключать интернет-соединение?
Это может понадобиться при работе пользователя через GSM USB-modem.
Добавьте пользователя (или группу INTERACTIVE) в локальную группу Network Configuration Operators.
4.2. Передача прав обычному пользователю на запись CD/DVD:
----------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"allocatedasd"="2"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoCDBurning"=dword:00000000
-----------------------------
Если это не помогло, то:
Дать полный доступ на ветку реестра для всех пользователей (Everyone):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDrom]
Control Panel - Administrative Tools - Local Security Policy - Security Settings - Local Policies - User Rights Assignment:
Load and unload device drivers - (add group "Users")
Security Settings - Local Policies - Security Options:
Devices: Allowed to format and eject removable media - Administrators and Interactive Users
Devices: Restrict CD-ROM access to locally logged-on user only - Enabled
Если всё вышеперечисленное не помогло, то в качестве программы для записи дисков следует использовать CDBurnerXP, т.к. она ставит свой собственный драйвер записи. Или Nero.
Выводы.
При таких настройках политик безопасности отпадает необходимость в резидентном антивирусе. Я сканирую только новые программы скачанные из интернета на предмет вирусов. При наличии выбора стараюсь использовать Freeware из проверенных источников и положительно зарекомендовавшие себя на форумах.
[/more]
[more="Мой шаблон для настройки Windows 7."]
Windows 7 в плане безопасности и гибкости настроек лучше XP. Помимо Data Execution Prevention есть Address Space Layout Randomization, что защищает от атак на переполнение буфера.
en_windows_7_enterprise_with_sp1_x64_dvd_u_677651
Windows 7 x64 Enterprise SP1 (05.2011)
1. Установка Windows 7.
Выставить в BIOS для SATA-контроллера режим AHCI. Для HDD он даёт прирост в скорости, оптимизацию перемещения блока головок, функцию hot-plug.
В данной сборке есть драйвера для большинства контроллеров. Если драйвер AHCI не найден и установка прервалась, то верните режим Legacy IDE.
Основной, активный NTFS-раздел не менее 30Gb разметить (желательно 40Gb, т.к папка C:\Windows\winsxs будет разрастаться). Назначить первую загрузку с CD/DVD, вторую - с HDD. Физически отключить второй HDD (если он имеется) во избежание автоматического форматирования основного раздела на нём под bootmngr установщиком Windows.
Этот вариант беспроигрышный. Иногда помогает вариант отключения второго HDD в BIOS. После перезагрузки в BIOS в качестве загрузочного можно выставить только первый HDD. Установщик Windows видит второй HDD, но поскольку загрузка с него невозможна (он невидим в BIOS), то Установщик Windows не создает bootmngr-раздел.
В процессе установки обязательно повторно отформатировать раздел в NTFS (можно quick format)
2. Обновление и настройка.
2.1. Устанавливаем все дополнительные библиотеки (Java, VC, Flash, DirectX 9 и т.п.), недостающие драйвера. Устанавливаем обновление вышедшие после релиза Windows 7 Service pack 1.
Я использую оригинальную английскую сборку (релиз Windows 7 Service pack 1) подписана майкрософт 12-04-2011. ISO можно найти на трекерах, а также ISO локализаций всех языков.
2.2. Устанавливаем необходимый софт. На время установки следует SRP выставить Unrestricted. При установке UAC потребует пароль администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
При установке и настройке всех программ данные и настройки сохраняются по умолчанию в C:\Users\UserName\AppData\Roaming\ProgramName.
Все 32-bit программы устанавливаем в C:\Program Files (x86)\
Все 64-bit программы устанавливаем в C:\Program Files\
(Обычно это происходит автоматически)
2.3. Ставим пароль на администратора. Для удобства или маскировки локального администратора можно переименовать с Administrator на более короткое имя. Создаём пользователя с ограниченными правами (group "Users") группы User.
Control Panel\All Control Panel Items\Administrative Tools\Computer Management\Local Users and Groups\Users - New User
Входим в систему под User'ом и далее работаем только под ним. При необходимости вводим пароль администратора на запрос UAC.
При необходимости установки программ под обычным пользователем следует использовать команду Run As Administrator (Запуск от имени Администратора), потребуется ввод имени и пароля администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
Аккаунт "Guest" и "Administrator" отключены (Account is disabled).
2.4. Устанавливаем русский или другие языковые пакеты при необходимости. После можно включать языковую локализацию меню виндовс для каждого пользователя отдельно, что позволяет работать за одним компьютером пользователям разных национальностей.
Control Panel\All Control Panel Items\Region and Language - Keyboards and Languages - Install/uninstall languages.
Install russian language pack (.cab)
Добавляем рускую раскладку клавиатуры и назначаем клавиши для смены раскладки.
Control Panel\All Control Panel Items\Region and Language - Keyboards and Languages - Change keyboards - Add.
Set russian as second keyboard layout.
Настроить русский для не-юникодных программ.
Control Panel\All Control Panel Items\Region and Language - Administrative - Language for non-Unicode programs: Russian (Russia)
Лично я всегда, в любых программах использую пароль на английском.
Если при логоне при вводе пароля русский язык по-умолчанию (Для русских редакций виндовс), то изменить ключ:
---------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"2"="00000419"
"1"="00000409"
---------------------------------------
Переключение раскладки для запроса пароля UAC с Alt-Shift на Ctrl-Shift (Для русских редакций виндовс):
-------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="2"
--------------------------------------------
Отключаем капслок, если эта клавиша раздражает. Disable Caps lock:
------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,3a,00,00,00,00,00
------------------
2.5. Включение автологона для удобства (если у юзера нет пароля):
Нажмите Start, наберите “control userpasswords2 и нажмите Enter.
Выберите своего пользователя из списка и снимите галочку с опции “User must enter a user
name and password to enter this computer” (Требовать ввод имени пользователя и пароль при
входе в компьютер), нажмите «Применить» и OK.
2.6. Настройка режима энергосбережения. Control Panel\All Control Panel Items\Power Options
Preferred plans: Balanced (recommended)
Turn off the display - never
Put the computer to sleep - never
Change advanced power settings:
turn off hard disk after - 0 (never)
sleep after - 0 (never)
Allow hybrid sleep - Off
Hibernate after - 0 (never)
Turn off display after - 0 (never)
2.7. Настраиваем вид. Control Panel\All Control Panel Items\Personalization. Logon as "user1" and tune Start menu, Folder View, Deskop background, Desktop gadgets, Screensaver.
2.8. Настраиваем время. Control Panel\All Control Panel Items\Date and Time:
Date and Time - Change time zone: UTC+4:00 (Устанавливаем часовой пояс). Turn Off "Automatically adjust clock for Daylight Saving Time" (отключаем автоматический перевод часов на летнее/зимнее время).
Internet Time - Change settings: Server: ntp.mobatime.ru, ru.pool.ntp.org.
2.9. Оптимизация системы.
Отключение спящего режима для удаления hiberfil.sys.
"Run as Administrator" %SystemRoot%\system32\cmd.exe
Вводим следующие команды:
powercfg /h off
exit
Отключаем или минимизируем (~20Mb) файл подкачки если достаточно ОЗУ и не будет ресурсоёмких программ (игр и т.п.). Для x64 - ОЗУ 3Gb и более (1.06Gb - в фоне), для x86 - 2Gb и более (600Mb - в фоне).
Control Panel\All Control Panel Items\System - advanced system settings (system properties):
Advanced - Performance - settings (Performance option) - advanced - Virtual memory - Change:
Turn off "Automatically manage paging file size for all drives"
No paging file - Set.
Настраиваем восстановление системы. Или отключаем его. При крахе системы восстановление системы часто неэффективно.
Control Panel\All Control Panel Items\System - advanced system settings - System Protection.
Tune System Restore on "C:\" 1Gb disk space.
Turn off "Allow Remote Assistance":
Control Panel\All Control Panel Items\System - advanced system settings - Remote
Настраиваем корзину (после монтирования всех дисков). Set Recycle Bin. Я отключаю, но оставляю запрос на подтверждение удаления файлов.
Отключаем лишние программы. Control Panel\All Control Panel Items\Programs and Features - Turn windows features on or off:
Internet Explorer - off
Media features - off
Windows search - on или off
Internet printing client - off
Настраиваем или отключаем индексирование для выбранных папок.
Control Panel\All Control Panel Items\Performance Information and Tools - Adjust indexing options
Лично я не пользуюсь ярлыками на рабочем столе, и не позволяю его захламлять, поэтому:
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.
Отключаем фоновую дефрагментацию. Можно дефрагментировать вручную. Пользы нет, а диск грузит.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Disk Defragmenter (%windir%\system32\dfrgui.exe)
Push "configure schedule": turn off schedule
Отключаем windows defender. Вместо него периодически сканируем диск "C:" программой AVZ или Dr.Web CureIt! или аналогичной.
Control Panel\All Control Panel Items\windows defender
Disable Automatic scanning
Или в сервисах: Windows Defender - Disabled
3. Настройка безопасной работы.
3.1. Отключаем автозапуск.
Control Panel\All Control Panel Items\AutoPlay
disable autoplay and ("take no action")
3.2. Включаем DEP (если все программы корректно с ним работают). Enable DEP (AlwaysOn).
"Run as Administrator" %SystemRoot%\system32\cmd.exe
Вводим следующие команды:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set nx AlwaysOn
(The operation completed successfully)
Для проверки настроек:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
Если есть конфликты с установленными программами, то установить режим DEP по-умолчанию:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set nx OptIn
(The operation completed successfully).
3.3. Включаем проверку цифровой подписи драйверов:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set loadoptions ENABLE_INTEGRITY_CHECKS
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set TESTSIGNING OFF
Для проверки настроек:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
Для отключения:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set loadoptions DDISABLE_INTEGRITY_CHECKS
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set TESTSIGNING ON
Для проверки настроек:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
3.4. Настраиваем UAC на максимум. Control Panel\All Control Panel Items\Action Center - Change User Account Control Settings: Always Notifi
Включаем файерволл. Windows Firewall - turn on now
3.5. Отключаем сеть Windows если она не нужна (протокол SMB). Этот протокол имеет массу уязвимостей.
Control Panel\All Control Panel Items\Network and Sharing Center\Advanced sharing settings:
Turn off network discovery
Turn off file and printer sharing
Turn off public folder sharing
Use 128-bit encryption...
Turn on password protection sharing
Allow windows to manage homegroup connections
Control Panel\All Control Panel Items\Network and Sharing Center - Change adapter settings:
Disable NetBIOS for TCP/IP v4, disable "Client for microsoft networks", disable "File and printer sharing..."
3.6. Отключаем лишние для нас службы. Control Panel\All Control Panel Items\Administrative Tools\Services
Disable services (default startup type):
Службы удалённого управления:
Remote Desktop Configuration (manual)
Remote Desktop Services (m)
Remote Desktop Services UserMode Port Redirector (m)
Remote Registry (m)
Службы для WMP:
Windows Media Center Receiver Service (m)
Windows Media Center Scheduler Service (m)
Windows Media Player Network Sharing Service (m)
Службы для SMB (расшаренных папок и передачи файлов по Bluetooth)
Routing and remote access (m)
Маршрутизация и удаленный доступ
Server (a)
Сервер. Эта служба нужна для расшаренных папок и передачи файлов по Bluetooth. Этот протокол имеет массу уязвимостей.
TCP/IP NetBIOS Helper (a)
WebClient (m)
Computer Browser (a)
Прочие службы:
Windows Biometric Service (m)
Background Intelligent Transfer Service (auto)
Windows Update (a). Ставим "manual" или "off"
Автоматическое обновление.
Windows Update настраивается здесь: Control Panel\All Control Panel Items\Action Center
Я ставлю "Check for updates but let me choose whether to download and install them".
Записав номера предложенных мне обновлений я читаю о них в интернете и только затем скачиваю. Чтобы не нарваться на "антипиратское" обновление, а также обновить компьютеры без доступа к интернету.
Windows Search (a) (Если не пользуетесь и не отключили по п.17)
Служба индексирования дисков. Ускоряет поиск, но постоянно грузит HDD.
3.7. Настройка файерволла (без домена).
Windows Firewall with advanced security:
Domian profile - off
Private profile - on; Inbound - block, Outbound - block
Public profile - on; Inbound - block, Outbound - block
Public profile Settings - Customize:
Rule merging: Yes, Yes.
Display a notification - Yes
Возможен экспорт/импорт настроек файерволла из сохранённого файла ~.wfw
3.8. Настройка локальной политики безопасности.
Control Panel\All Control Panel Items\Administrative Tools\Local Security Policy:
Запрещаем доступ к компьютеру из сети (удалённое управление).
Security Settings - Local Policies - User Rights Assignment:
Allow log on trough Remote Desktop Services - none (remove all),
Deny log on trough Remote Desktop Services - Everyone.
Запрет доступа к компьютеру по SMB (при этом можно заходить на другие компьютеры)
Access this computer from the network - none (remove all),
Deny Access to this computer from the network - Everyone,
Другие параметры:
Allow logon locally - Administrators, Users,
Change the time zone - Administrators, LOCAL SERVICE,
Параметры для безопасного входа в систему, параметры UAC.
Security Settings - Local Policies - Security Options:
Interactive logon: Display user information when the session is locked - Do not display user information
Interactive logon: Do not display last user name - Enabled
Interactive logon: Do not require CTRL+ALT+DEL - Disabled
User account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode - Prompt for consent on the secure desktop,
User account Control: Behavior of the elevation prompt for standard users - Prompt for credentials on the secure desktop
Devices: Prevent users from installing printer drivers - Enabled
3.9.1. Настройка политики ограниченного использования программ (Software Restriction Policies - SRP).
Доступен для Windows 7 редакций Professional, Ultimate и Enterprise.
(Если не используется AppLocker)
Control Panel\All Control Panel Items\Administrative Tools\Local Security Policy - Security Settings - Software Restriction Policies.
RightMouseClick - New Software Restriction Policies.
Software Restriction Policies - Security Levels - Disallowed.
Enforcement: All software files (программы и библиотеки) , All users except local administrators, Ignore certificate rules.
После установки всех программ, драйверов, настройки системы, изменяем:
Enforcement: All users. Для установки новых программ временно ставим Security Levels - Unrestricted.
Дополнительные правила. Разрешаем запуск из папок, в которые запрещена запись User'ам. Запрещаем запуск из папок, в которые разрешена запись User'ам.
Software Restriction Policies - Additional Rules:
Правила для путей. (New Path Rule)
Неограниченный. Unrestricted:
Для Windows 7 x86:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Для Windows 7 x64:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
Запрещено. Dissalowed:
Для Windows 7 x86:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
Для Windows 7 x64:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
%systemroot%\SysWOW64\com\dmp
%systemroot%\SysWOW64\FxsTmp
%systemroot%\SysWOW64\Tasks
Планировщик заданий - потенциально опасная служба, куда могут прописаться вирусы. Если он не нужен, то можно просто отключить службу.
Запрет запуска из папки заданий.
Disallowed - %systemroot%\System32\Tasks
Запрет создавать задания обычному пользователю. Задания могут создавать вирусы (с правами User's).
C:\Windows\System32\Tasks\ - запретить запись только в эту папку обычному пользователю (Special permissions - Apply to: This folder only)
Запрещаем потенциально опасные приложения в папке Windows (некорректно работают с SRP)
Запрет по хэшу (New Hash Rule) или пути (New Path Rule) (Disallowed or Basic User).
Для Windows 7 x86:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
Для Windows 7 x64:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
C:\Windows\SysWOW64\hh.exe, C:\Windows\SysWOW64\mshta.exe, C:\Windows\SysWOW64\reg.exe, C:\Windows\SysWOW64\regedt32.exe, C:\Windows\SysWOW64\regedit.exe C:\Windows\SysWOW64\runas.exe
Designated File Types:
добавить расширения (add file extension): scf , dll.
удалить расширения (remove file extension): lnk.
Решение проблем совместимости.
Есть программы, которые несовместимы с многопользовательским режимом Windows, т.к. пишут данные не в Application Data, а в свою папку установки в "Program Files", например старые игры, или плохие поделки криворуких программистов, которые ничего не слышали про многопользовательский режим. Для обеспечения безопасности в этом случае такие программы следует установить не в "C:\Program Files\" а в другую папку. Дать группе Users права на запись в эту папку. В настройках SRP дать разрешения на эту программу (EXE) и её библиотеки (DLL) только по хэшу. То есть для всех исполняемых файлов в папках, доступных для записи пользователю с ограниченными правами (например игры, установленные в D:\Games\ ) - разрешения только по хэшу, во избежание подмены или инфицирования файла.
3.9.2. Настройка Applocker. Доступен для Windows 7 редакций Ultimate и Enterprise (Если не используется SRP)
Вместо SRP можно использовать AppLocker в Windows 7 версий Ultimate и Enterprise.
Security Settings - Application Control Policies.
Служба (Service) «Удостоверение приложения» (Application Identity) должна быть включена (автоматически). Она помогает AppLocker в Windows 7 идентифицировать приложения, входящие в список заблокированных. Эту службу можно отключить, если AppLocker не используется.
Правила по-умолчанию созданы аналогично SRP (п.18.1.3) и записаны в файле AppLocker-Default.xml который можно импортировать.
В правилах по-умолчанию разрешён запуск всех файлов администратором. Если эти правила удалить, то будет безопаснее, но при установке / удалении программ нужно перевести политику с "Enforce rules" в "Audit only"
Правила для Applocker (Executable Rules):
Правило для пути 1:
%PROGRAMFILES%\*
разрешено для всех. Исключений нет.
Правило для пути 2:
%WINDIR%\*
разрешено для всех
Добавить исключения по путям и хэшу:
Исключения по путям для Windows 7 x86:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
Исключения по путям для Windows 7 x64:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
%systemroot%\SysWOW64\com\dmp
%systemroot%\SysWOW64\FxsTmp
%systemroot%\SysWOW64\Tasks
Исключения по хэшу для Windows 7 x86:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
Исключения по хэшу для Windows 7 x64:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
C:\Windows\SysWOW64\hh.exe, C:\Windows\SysWOW64\mshta.exe, C:\Windows\SysWOW64\reg.exe, C:\Windows\SysWOW64\regedt32.exe, C:\Windows\SysWOW64\regedit.exe C:\Windows\SysWOW64\runas.exe
Правила для Applocker (Script Rules):
Правило для пути 1:
%PROGRAMFILES%\*
разрешено для всех. Исключений нет.
Правило для пути 2:
%WINDIR%\*
разрешено для всех
Добавить исключения только по путям (те же что и в Executable Rules).
Правила для Applocker (DLL Rules):
Правило для пути 1:
%PROGRAMFILES%\*
разрешено для всех. Исключений нет.
Правило для пути 2:
%WINDIR%\*
разрешено для всех
Добавить исключения только по путям (те же что и в Executable Rules).
Удобство Applocker в том, что создав один раз правила можно экспортировать / импортировать в файл ~.xml
Можно создавать только одно правило для хэшей группы файлов exe или dll в папке программы несовместимой с многопользовательским режимом Windows.
3.10. Групповая политика безопасности (Group Policy).
Run as administrator c:\windows\system32\gpedit.msc (Local Group policy Editor)
Computer Configuration:
Отключаем автозапуск и запуск приложений с флешек и дисководов (шаг 2).
Administrative templates - Windows Components - AutoPlay Policies:
Turn off Autoplay - Enabled on all drives,
Default behavior foe AutoRun - Enabled (Do not execute any autorun commands.
Administrative Templates - System - Driver Installation: Turn off Windows Update device driver search prompt - Enabled.
Administrative Templates - System - Removable Storage Access:
CD and DVD: Deny execute access - Enabled
Floppy Drives: Deny execute access - Enabled
Removable Disks: Deny execute access - Enabled
В этой ветке GP существует возможность запретить не только запуск, но и чтение, запись, чтение-запись со сменных носителей различных типов.
3.11. Для закрытия доступа через проводник к свойствам папок.
-----------------------------------------
Windows Registry Editor Version 5.00
;Отключить возможность выбора свойств папки.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000001
-----------------------------------------
3.12. Дополнительное ПО.
Для более надёжной защиты можно установить бесплатный набор средств EMET (Enhanced Mitigation Experience Toolkit) от Microsoft
и настраивать DEP, SEHOP, ASLR и другие технологии защиты памяти как для всей системы, так и индивидуально для выбранных приложений.
Для аудита прав файловой системы используем AccessEnum от Sysinternals. Некоторые программы при установке могут давать права на запись юзеру в Program Files. Такие программы следует устанавливать в отдельную папку и давать разрешения по хэшу.
Для анализа запущенных приложений и dll используем ProcessExplorer от Sysinternals.
4. Решение некоторых проблем совместимости.
4.1. Как сделать, чтобы пользователь с ограниченными правами смог сам включать и отключать интернет-соединение?
Это может понадобиться при работе пользователя через GSM USB-modem.
Добавьте пользователя (или группу INTERACTIVE) в локальную группу Network Configuration Operators.
Выводы.
При таких настройках политик безопасности отпадает необходимость в резидентном антивирусе. Встроеммый в Windows 7 файерволл также вполне вменяемый и легко настраеваемый (есть возможность экспорта/импорта настроек в файл). Я сканирую только новые программы скачанные из интернета на предмет вирусов. При наличии выбора стараюсь использовать Freeware из проверенных источников и положительно зарекомендовавшие себя на форумах.
[/more]
[more="AppLocker-W7SP1x64-Default.xml"]
<AppLockerPolicy Version="1">
<RuleCollection Type="Dll" EnforcementMode="Enabled">
<FilePathRule Id="0cb0c2a5-0391-48b7-8766-4d31df28b95c" Name="Microsoft Windows DLLs" Description="Allows members of the Everyone group to load DLLs located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\*" />
</Conditions>
<Exceptions>
<FilePathCondition Path="%WINDIR%\debug\WIA\*" />
<FilePathCondition Path="%WINDIR%\Registration\CRMLog\*" />
<FilePathCondition Path="%WINDIR%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\*" />
<FilePathCondition Path="%WINDIR%\System32\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\System32\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\drivers\color\*" />
<FilePathCondition Path="%WINDIR%\System32\Tasks\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Temp\*" />
<FilePathCondition Path="%WINDIR%\tracing\*" />
<FilePathCondition Path="WINDIR%\System32\spool\PRINTERS\*" />
</Exceptions>
</FilePathRule>
<FilePathRule Id="3737732c-99b7-41d4-9037-9cddfb0de0d0" Name="(Default Rule) All DLLs located in the Program Files folder" Description="Allows members of the Everyone group to load DLLs that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%PROGRAMFILES%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="fe64f59f-6fca-45e5-a731-0f6715327c38" Name="(Default Rule) All DLLs" Description="Allows members of the local Administrators group to load all DLLs." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
</RuleCollection>
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(Default Rule) All files located in the Program Files folder" Description="Allows members of the Everyone group to run applications that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%PROGRAMFILES%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="fd686d83-a829-4351-8ff4-27c7de5755d2" Name="(Default Rule) All files" Description="Allows members of the local Administrators group to run all applications." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="c7c9ea6e-9da2-4d78-b3f3-f915f7fbde33" Name="All files located in the Windows folder" Description="Allows members of the Everyone group to run applications that are located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\*" />
</Conditions>
<Exceptions>
<FilePathCondition Path="%WINDIR%\debug\WIA\*" />
<FilePathCondition Path="%WINDIR%\Registration\CRMLog\*" />
<FilePathCondition Path="%WINDIR%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\*" />
<FilePathCondition Path="%WINDIR%\System32\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\System32\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\drivers\color\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\PRINTERS\*" />
<FilePathCondition Path="%WINDIR%\System32\Tasks\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Temp\*" />
<FilePathCondition Path="%WINDIR%\tracing\*" />
<FileHashCondition>
<FileHash Type="SHA256" Data="0x74940A5E6E5C7F58627E88BC8953581B9C2C799A1452F021A02F53D1573A6E61" SourceFileName="hh.exe" SourceFileLength="16896" />
<FileHash Type="SHA256" Data="0x053A6D9C29A8A9C4DB3600CA46F8D4C32ABFFC090C87726DA5CA2EC8E068EAD1" SourceFileName="regedit.exe" SourceFileLength="427008" />
<FileHash Type="SHA256" Data="0x7E12502375BEFB5E755C590E0DA084E133572F630874D9342BC0D3339587DF4C" SourceFileName="reg.exe" SourceFileLength="74752" />
<FileHash Type="SHA256" Data="0x52FC97E688A8718A7DD71A807954D1503DD98846B5D863388D3DD8FD6C4CEBF0" SourceFileName="regedt32.exe" SourceFileLength="10240" />
<FileHash Type="SHA256" Data="0x4313F783D8378F78CD879435EC1471D99A9FDCCEEF3BFAC75B89A749CDF7ECDB" SourceFileName="mshta.exe" SourceFileLength="12288" />
</FileHashCondition>
<FileHashCondition>
<FileHash Type="SHA256" Data="0x1A25B4F65E1B5B521F5F5F4FE69DE287625F3EC5A3B147978C592F6FAA72228B" SourceFileName="regedit.exe" SourceFileLength="398336" />
<FileHash Type="SHA256" Data="0xB2D1B7C792764B6ADD9F2F5ECE131B0D4F3675701471C362ADA1E365CFFF35FC" SourceFileName="hh.exe" SourceFileLength="15360" />
<FileHash Type="SHA256" Data="0x1D81F687393050268099F94A09D5C6679942374CB80B697D57C72972F87543A0" SourceFileName="regedt32.exe" SourceFileLength="9216" />
<FileHash Type="SHA256" Data="0xA6A6E3B868B70B587BA29F0F73C422584F570A3BF3133819190AE4703AAEFE3D" SourceFileName="mshta.exe" SourceFileLength="11776" />
<FileHash Type="SHA256" Data="0x5FFA7AAE3407077C98FEE44D2DAE2610CF82046296C2C29CDDCD963246953F68" SourceFileName="reg.exe" SourceFileLength="62464" />
</FileHashCondition>
<FileHashCondition>
<FileHash Type="SHA256" Data="0x60139DABFE6102554AF83DB826E4556BC1C2C71B6B012C1C47F6D48ED2FEE1F6" SourceFileName="runas.exe" SourceFileLength="17408" />
<FileHash Type="SHA256" Data="0xFF9F6AF1F95ECCDDB0D431653D1B1BDFADBA10966CF54211662E5CA40865F5C8" SourceFileName="runas.exe" SourceFileLength="20480" />
</FileHashCondition>
</Exceptions>
</FilePathRule>
</RuleCollection>
<RuleCollection Type="Msi" EnforcementMode="Enabled">
<FilePathRule Id="64ad46ff-0d71-4fa0-a30b-3f3d30c5433d" Name="(Default Rule) All Windows Installer files" Description="Allows members of the local Administrators group to run all Windows Installer files." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*.*" />
</Conditions>
</FilePathRule>
</RuleCollection>
<RuleCollection Type="Script" EnforcementMode="Enabled">
<FilePathRule Id="06dce67b-934c-454f-a263-2515c8796a5d" Name="(Default Rule) All scripts located in the Program Files folder" Description="Allows members of the Everyone group to run scripts that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%PROGRAMFILES%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="540b4bf1-0edf-4c80-bcec-be0c1c07210e" Name="All scripts located in the Windows folder" Description="Allows members of the Everyone group to run scripts that are located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\*" />
</Conditions>
<Exceptions>
<FilePathCondition Path="%WINDIR%\debug\WIA\*" />
<FilePathCondition Path="%WINDIR%\Registration\CRMLog\*" />
<FilePathCondition Path="%WINDIR%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\*" />
<FilePathCondition Path="%WINDIR%\System32\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\System32\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\drivers\color\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\PRINTERS\*" />
<FilePathCondition Path="%WINDIR%\System32\Tasks\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Temp\*" />
<FilePathCondition Path="%WINDIR%\tracing\*" />
</Exceptions>
</FilePathRule>
<FilePathRule Id="ed97d0cb-15ff-430f-b82c-8d7832957725" Name="(Default Rule) All scripts" Description="Allows members of the local Administrators group to run all scripts." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
</RuleCollection>
</AppLockerPolicy>
[/more]
ага... 
насмешил