Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Безопасная работа в Windows без антивируса

Автор: muravlov
Дата сообщения: 13.08.2011 13:53
Правильные пацаны не ставят антивирь, а защищают винду через политики безопасности.
После прочтения блога Вадима Поданса и аналогичных ресурсов, я так и поступаю.

[more="Мой шаблон для настройки Windows XP."]
1. Установка Windows XP (сборка от http://c400.ru).

Выставить в BIOS для SATA-контроллера режим AHCI. Для HDD он даёт прирост в скорости, оптимизацию перемещения блока головок, функцию hot-plug.
В данной сборке есть драйвера для большинства контроллеров. Если драйвер AHCI не найден и установка прервалась, то верните режим Legacy IDE.

Разметить основной, активный NTFS-раздел не менее 8Gb. Назначить первую загрузку с CD/DVD, вторую - с HDD.
Подключить все устройства к компьютеру для автоустановки драйверов. Установить Windows XP. В процессе установки обязательно повторно отформатировать раздел в NTFS. Активация не требуется. Корпоративная версия.

2. Обновление и настройка.

2.1. Обновляем все дополнительные библиотеки (Java, VC, Flash, DirectX 9 и т.п.), устанавливаем недостающие драйвера. Устанавливаем обновление вышедшие после релиза сборки Windows XP SP3 от c400.ru.

2.2. Устанавливаем необходимый софт. На время установки следует SRP выставить Unrestricted.
При установке и настройке всех программ данные и настройки сохраняются по умолчанию в C:\Documents and Settings\UserName\Application Data\ProgramName.

2.3. Ставим пароль на администратора. Для удобства или маскировки локального администратора можно переименовать с Administrator на более короткое имя. Создаём пользователя с ограниченными правами (group "Users") группы User.
Control Panel\Administrative Tools\Computer Management\Local Users and Groups\Users - New User
Входим в систему под User'ом и далее работаем только под ним. При необходимости установки программ под обычным пользователем следует использовать команду Run As... (Запуск от имени), потребуется ввод имени и пароля администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
Аккаунт "Guest" и "Administrator" отключены (Account is disabled).

2.4. Устанавливаем русский или другие языковые пакеты при необходимости. После можно включать языковую локализацию меню виндовс для каждого пользователя отдельно, что позволяет работать за одним компьютером пользователям разных национальностей.
Control Panel\Regional and Language Options - Keyboards and Languages - Install/uninstall languages.
Install russian language pack (.cab)
Добавляем рускую раскладку клавиатуры и назначаем клавиши для смены раскладки.
Control Panel\Regional and Language Options - Keyboards and Languages - Change keyboards - Add.
Set russian as second keyboard layout.
Настроить русский для не-юникодных программ.
Control Panel\All Control Panel Items\Region and Language - Administrative - Language for non-Unicode programs: Russian (Russia)

Лично я всегда, в любых программах использую пароль на английском.
Если при логоне при вводе пароля русский язык по-умолчанию (Для русских редакций виндовс), то изменить ключ:
---------------------------------------
Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"2"="00000419"
"1"="00000409"


---------------------------------------


Отключаем капслок, если эта клавиша раздражает. Disable Caps lock:
------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,3a,00,00,00,00,00
------------------


2.5. Включение автологона для удобства (если у юзера нет пароля):
Нажмите Start, наберите “control userpasswords2 и нажмите Enter.
Выберите своего пользователя из списка и снимите галочку с опции “User must enter a user
name and password to enter this computer” (Требовать ввод имени пользователя и пароль при
входе в компьютер), нажмите «Применить» и OK.

2.6. Настраиваем режим энергосбережения.

2.7. Настраиваем вид меню "Пуск", Проводника и т.п.

2.8. Настраиваем время
Control Panel\All Control Panel Items\Date and Time:
Date and Time - Change time zone: UTC+4:00 (Устанавливаем часовой пояс). Turn Off "Automatically adjust clock for Daylight Saving Time" (отключаем автоматический перевод часов на летнее/зимнее время).
Internet Time - Change settings: Server: ntp.mobatime.ru, ru.pool.ntp.org.

2.9. Оптимизация системы.

Отключение спящего режима.
Control Panel - Display - Screen Saver - Power:
Advanced - tune "Power buttons"
Hibernate - Disable hibernation

Отключаем или минимизируем (~20Mb) файл подкачки если достаточно ОЗУ и не будет ресурсоёмких программ (игр и т.п.). Для x86 - 2Gb и более (300Mb - в фоне).
Control Panel - System - system properties:
Advanced - Performance - settings (Performance option) - advanced - Virtual memory - Change:
No paging file - Set.

Настраиваем восстановление системы. Или отключаем его. При крахе системы восстановление системы часто неэффективно.
Control Panel\All Control Panel Items\System - advanced system settings.
Tune System Restore on "C:\" 1Gb disk space.

Настраиваем корзину (после монтирования всех дисков). Set Recycle Bin. Я отключаю, но оставляю запрос на подтверждение удаления файлов.

Отключаем лишние программы.
Control Panel\All Control Panel Items\Programs and Features - Turn windows features on or off:
Outlook Express - off
Windows Media Player - off
Indexing Service - off (индексирование)

Настраиваем или отключаем индексирование для выбранных папок.

Лично я не пользуюсь ярлыками на рабочем столе, и не позволяю его захламлять, поэтому:
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.

Отключаем фоновую дефрагментацию. Можно дефрагментировать вручную. Пользы нет, а диск грузит.



3. Настройка безопасной работы.

3.1. Отключаем автозапуск и поиск драйверов в интернете.
Групповая политика безопасности (Group Policy).
Run as administrator c:\windows\system32\gpedit.msc (Local Group policy Editor)

Computer Configuration:
Administrative templates - System - Turn off autoplay: Enabled (All drives)
Administrative templates - System - Turn off Windows Update device driver search prompt: Enabled
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.
Administrative templates - System - Turn off autoplay: Enabled (All drives)
Administrative templates - System - Turn off Windows Update device driver search prompt: Enabled

3.2. Включаем DEP (если все программы корректно с ним работают). Enable DEP (AlwaysOn).
Change c:\boot.ini. Example boot.ini:
------------------------------
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /PAE /NoExecute=AlwaysOn

------------------------------


3.3. Отключаем сеть Windows если она не нужна (протокол SMB). Этот протокол имеет массу уязвимостей.
Control Panel - Network Connections - Change adapter settings:
Disable NetBIOS for TCP/IP v4, disable "Client for microsoft networks", disable "File and printer sharing..."

3.4. Отключаем лишние для нас службы.
Control Panel - Administrative Tools - Services
Disable services (перевести в "off"):

Automatic updates (automatic) - Автоматическое обновление Ставим "manual" или "off".
Remote Desktop Help Session Manager (manual)
Remote Registry (m)
Server (a) - Сервер. Эта служба нужна для расшаренных папок и передачи файлов по Bluetooth. Этот протокол имеет массу уязвимостей.
TCP/IP NetBIOS Helper (a)
Windows Firewall/Internet Connection Sharing (ICS) (a)
Фаерволл в XP неудобен. Лучше использовать "железный" роутер или стороннюю программу.
Indexing Service (a) - Служба индексирования дисков. Ускоряет поиск, но постоянно грузит HDD.
Computer Browser (m)
Routing and Remote Access (m) - Маршрутизация и удаленный доступ
Terminal Services (m)
Themes (a)

3.5. Настройка локальной политики безопасности.
Control Panel - Administrative Tools - Local Security Policy:

Запрещаем доступ к компьютеру из сети (удалённое управление).
Security Settings - Local Policies - User Rights Assignment:
Access this computer from the network - none (remove all),
Allow log on trough Terminal Services - none (remove all),
Deny Access to this computer from the network - Everyone,
Deny log on locally - Guest, ASPNET,
Deny log on trough Terminal Services - Everyone,
Change the system time - Administrators
Log on locally - Administrators, Users,

Параметры для безопасного входа в систему.
Security Settings - Local Policies - Security Options:
Accounts: Rename administrator account - boss,
Interactive logon: Display user information when the session is locked - Do not display user information
Interactive logon: Do not display last user name - Enabled
Interactive logon: Do not require CTRL+ALT+DEL - Disabled
Network access: Remotely accessible registry paths and subpaths - None
Devices: Prevent users from installing printer drivers - Enabled

3.6. Настройка политики ограниченного использования программ (Software Restriction Policies - SRP).
Доступен для Windows XP редакций Professional.
Control Panel - Administrative Tools - Local Security Policy - Security Settings - Software Restriction Policies.

RightMouseClick - New Software Restriction Policies.
Software Restriction Policies - Security Levels - Disallowed.
Enforcement: All software files , All users except local administrators.
После установки всех программ, драйверов, настройки системы, изменяем:
Enforcement: All users. Для установки новых программ временно ставим Security Levels - Unrestricted.

Дополнительные правила. Разрешаем запуск из папок, в которые запрещена запись User'ам. Запрещаем запуск из папок, в которые разрешена запись User'ам.

Software Restriction Policies - Additional Rules:
Правила для путей. (New Path Rule)
Неограниченный. Unrestricted:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

Запрещено. Dissalowed:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\Temp
%systemroot%\Debug\UserMode
%systemroot%\Registration\CRMLog
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\system32\spool\PRINTERS

Планировщик заданий - потенциально опасная служба. Если он не нужен, то можно просто отключить службу.
Запрет запуска из папки заданий.
Disallowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks

Запрет создавать задания обычному пользователю. Задания могут создавать вирусы (с правами User's).
C:\Windows\Tasks\ - запретить запись только в эту папку обычному пользователю (Special permissions - Apply to: This folder only)

Запрещаем потенциально опасные приложения в папке Windows (некорректно работают с SRP)
Запрет по хэшу (New Hash Rule) или пути (New Path Rule) (Disallowed or Basic User).
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe, c:\windows\system32\runas.exe
(runas опасно тем, что позволяет запустить из командной строки любое приложение в обход SRP (уязвимость исправлена в Windows 7):
C:\Documents and Settings\user>runas /trustlevel:"Unrestricted" C:\temp\bad_program.exe)

Designated File Types:
добавить расширения (add file extension): scf , dll.
удалить расширения (remove file extension): lnk.

Решение проблем совместимости.
Есть программы, которые пишут данные не в Application Data, а в свои папки, например игры. Для обеспечения безопасности в этом случае такие программы следует установить не в "C:\Program Files\" а в другую папку. Дать группе Users права на запись в эту папку. В настройках SRP дать разрешения на эту программу и её библиотеки только по хэшу. То ессть для всех исполняемых файлов в папках, доступных для записи пользователю с ограниченными правами (например игры, установленные в D:\Games\ ) - разрешения только по хэшу, во избежание подмены или инфицирования файла.


3.7. Для закрытия доступа через проводник к свойствам папок.
-----------------------------------------
Windows Registry Editor Version 5.00

;Отключить возможность выбора свойств папки.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000001

3.8. Дополнительное ПО.
Для более надёжной защиты можно установить бесплатный набор средств EMET (Enhanced Mitigation Experience Toolkit) от Microsoft
и настраивать DEP и другие технологии защиты памяти как для всей системы, так и индивидуально для выбранных приложений.
Для аудита прав файловой системы используем AccessEnum от Sysinternals. Некоторые программы при установке могут давать права на запись юзеру в Program Files. Такие программы следует устанавливать в отдельную папку и давать разрешения по хэшу.
Для анализа запущенных приложений и dll используем ProcessExplorer от Sysinternals.


4. Решение некоторых проблем совместимости.

4.1. Как сделать, чтобы пользователь с ограниченными правами смог сам включать и отключать интернет-соединение?
Это может понадобиться при работе пользователя через GSM USB-modem.
Добавьте пользователя (или группу INTERACTIVE) в локальную группу Network Configuration Operators.

4.2. Передача прав обычному пользователю на запись CD/DVD:
----------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"allocatedasd"="2"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoCDBurning"=dword:00000000


-----------------------------
Если это не помогло, то:

Дать полный доступ на ветку реестра для всех пользователей (Everyone):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDrom]

Control Panel - Administrative Tools - Local Security Policy - Security Settings - Local Policies - User Rights Assignment:
Load and unload device drivers - (add group "Users")

Security Settings - Local Policies - Security Options:
Devices: Allowed to format and eject removable media - Administrators and Interactive Users
Devices: Restrict CD-ROM access to locally logged-on user only - Enabled

Если всё вышеперечисленное не помогло, то в качестве программы для записи дисков следует использовать CDBurnerXP, т.к. она ставит свой собственный драйвер записи. Или Nero.


Выводы.
При таких настройках политик безопасности отпадает необходимость в резидентном антивирусе. Я сканирую только новые программы скачанные из интернета на предмет вирусов. При наличии выбора стараюсь использовать Freeware из проверенных источников и положительно зарекомендовавшие себя на форумах.
[/more]

[more="Мой шаблон для настройки Windows 7."]
Windows 7 в плане безопасности и гибкости настроек лучше XP. Помимо Data Execution Prevention есть Address Space Layout Randomization, что защищает от атак на переполнение буфера.

en_windows_7_enterprise_with_sp1_x64_dvd_u_677651
Windows 7 x64 Enterprise SP1 (05.2011)

1. Установка Windows 7.

Выставить в BIOS для SATA-контроллера режим AHCI. Для HDD он даёт прирост в скорости, оптимизацию перемещения блока головок, функцию hot-plug.
В данной сборке есть драйвера для большинства контроллеров. Если драйвер AHCI не найден и установка прервалась, то верните режим Legacy IDE.

Основной, активный NTFS-раздел не менее 30Gb разметить (желательно 40Gb, т.к папка C:\Windows\winsxs будет разрастаться). Назначить первую загрузку с CD/DVD, вторую - с HDD. Физически отключить второй HDD (если он имеется) во избежание автоматического форматирования основного раздела на нём под bootmngr установщиком Windows.
Этот вариант беспроигрышный. Иногда помогает вариант отключения второго HDD в BIOS. После перезагрузки в BIOS в качестве загрузочного можно выставить только первый HDD. Установщик Windows видит второй HDD, но поскольку загрузка с него невозможна (он невидим в BIOS), то Установщик Windows не создает bootmngr-раздел.
В процессе установки обязательно повторно отформатировать раздел в NTFS (можно quick format)

2. Обновление и настройка.

2.1. Устанавливаем все дополнительные библиотеки (Java, VC, Flash, DirectX 9 и т.п.), недостающие драйвера. Устанавливаем обновление вышедшие после релиза Windows 7 Service pack 1.
Я использую оригинальную английскую сборку (релиз Windows 7 Service pack 1) подписана майкрософт 12-04-2011. ISO можно найти на трекерах, а также ISO локализаций всех языков.

2.2. Устанавливаем необходимый софт. На время установки следует SRP выставить Unrestricted. При установке UAC потребует пароль администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
При установке и настройке всех программ данные и настройки сохраняются по умолчанию в C:\Users\UserName\AppData\Roaming\ProgramName.
Все 32-bit программы устанавливаем в C:\Program Files (x86)\
Все 64-bit программы устанавливаем в C:\Program Files\
(Обычно это происходит автоматически)

2.3. Ставим пароль на администратора. Для удобства или маскировки локального администратора можно переименовать с Administrator на более короткое имя. Создаём пользователя с ограниченными правами (group "Users") группы User.
Control Panel\All Control Panel Items\Administrative Tools\Computer Management\Local Users and Groups\Users - New User
Входим в систему под User'ом и далее работаем только под ним. При необходимости вводим пароль администратора на запрос UAC.
При необходимости установки программ под обычным пользователем следует использовать команду Run As Administrator (Запуск от имени Администратора), потребуется ввод имени и пароля администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
Аккаунт "Guest" и "Administrator" отключены (Account is disabled).

2.4. Устанавливаем русский или другие языковые пакеты при необходимости. После можно включать языковую локализацию меню виндовс для каждого пользователя отдельно, что позволяет работать за одним компьютером пользователям разных национальностей.
Control Panel\All Control Panel Items\Region and Language - Keyboards and Languages - Install/uninstall languages.
Install russian language pack (.cab)
Добавляем рускую раскладку клавиатуры и назначаем клавиши для смены раскладки.
Control Panel\All Control Panel Items\Region and Language - Keyboards and Languages - Change keyboards - Add.
Set russian as second keyboard layout.
Настроить русский для не-юникодных программ.
Control Panel\All Control Panel Items\Region and Language - Administrative - Language for non-Unicode programs: Russian (Russia)

Лично я всегда, в любых программах использую пароль на английском.
Если при логоне при вводе пароля русский язык по-умолчанию (Для русских редакций виндовс), то изменить ключ:
---------------------------------------
Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"2"="00000419"
"1"="00000409"


---------------------------------------

Переключение раскладки для запроса пароля UAC с Alt-Shift на Ctrl-Shift (Для русских редакций виндовс):
-------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="2"


--------------------------------------------

Отключаем капслок, если эта клавиша раздражает. Disable Caps lock:
------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,3a,00,00,00,00,00
------------------


2.5. Включение автологона для удобства (если у юзера нет пароля):
Нажмите Start, наберите “control userpasswords2 и нажмите Enter.
Выберите своего пользователя из списка и снимите галочку с опции “User must enter a user
name and password to enter this computer” (Требовать ввод имени пользователя и пароль при
входе в компьютер), нажмите «Применить» и OK.

2.6. Настройка режима энергосбережения. Control Panel\All Control Panel Items\Power Options

Preferred plans: Balanced (recommended)
Turn off the display - never
Put the computer to sleep - never

Change advanced power settings:
turn off hard disk after - 0 (never)
sleep after - 0 (never)
Allow hybrid sleep - Off
Hibernate after - 0 (never)
Turn off display after - 0 (never)

2.7. Настраиваем вид. Control Panel\All Control Panel Items\Personalization. Logon as "user1" and tune Start menu, Folder View, Deskop background, Desktop gadgets, Screensaver.

2.8. Настраиваем время. Control Panel\All Control Panel Items\Date and Time:
Date and Time - Change time zone: UTC+4:00 (Устанавливаем часовой пояс). Turn Off "Automatically adjust clock for Daylight Saving Time" (отключаем автоматический перевод часов на летнее/зимнее время).
Internet Time - Change settings: Server: ntp.mobatime.ru, ru.pool.ntp.org.

2.9. Оптимизация системы.

Отключение спящего режима для удаления hiberfil.sys.
"Run as Administrator" %SystemRoot%\system32\cmd.exe
Вводим следующие команды:
powercfg /h off
exit

Отключаем или минимизируем (~20Mb) файл подкачки если достаточно ОЗУ и не будет ресурсоёмких программ (игр и т.п.). Для x64 - ОЗУ 3Gb и более (1.06Gb - в фоне), для x86 - 2Gb и более (600Mb - в фоне).
Control Panel\All Control Panel Items\System - advanced system settings (system properties):
Advanced - Performance - settings (Performance option) - advanced - Virtual memory - Change:
Turn off "Automatically manage paging file size for all drives"
No paging file - Set.

Настраиваем восстановление системы. Или отключаем его. При крахе системы восстановление системы часто неэффективно.
Control Panel\All Control Panel Items\System - advanced system settings - System Protection.
Tune System Restore on "C:\" 1Gb disk space.
Turn off "Allow Remote Assistance":
Control Panel\All Control Panel Items\System - advanced system settings - Remote

Настраиваем корзину (после монтирования всех дисков). Set Recycle Bin. Я отключаю, но оставляю запрос на подтверждение удаления файлов.

Отключаем лишние программы. Control Panel\All Control Panel Items\Programs and Features - Turn windows features on or off:
Internet Explorer - off
Media features - off
Windows search - on или off
Internet printing client - off

Настраиваем или отключаем индексирование для выбранных папок.
Control Panel\All Control Panel Items\Performance Information and Tools - Adjust indexing options

Лично я не пользуюсь ярлыками на рабочем столе, и не позволяю его захламлять, поэтому:
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.

Отключаем фоновую дефрагментацию. Можно дефрагментировать вручную. Пользы нет, а диск грузит.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Disk Defragmenter (%windir%\system32\dfrgui.exe)
Push "configure schedule": turn off schedule

Отключаем windows defender. Вместо него периодически сканируем диск "C:" программой AVZ или Dr.Web CureIt! или аналогичной.
Control Panel\All Control Panel Items\windows defender
Disable Automatic scanning
Или в сервисах: Windows Defender - Disabled



3. Настройка безопасной работы.

3.1. Отключаем автозапуск.
Control Panel\All Control Panel Items\AutoPlay
disable autoplay and ("take no action")

3.2. Включаем DEP (если все программы корректно с ним работают). Enable DEP (AlwaysOn).
"Run as Administrator" %SystemRoot%\system32\cmd.exe
Вводим следующие команды:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set nx AlwaysOn
(The operation completed successfully)
Для проверки настроек:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
Если есть конфликты с установленными программами, то установить режим DEP по-умолчанию:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set nx OptIn
(The operation completed successfully).

3.3. Включаем проверку цифровой подписи драйверов:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set loadoptions ENABLE_INTEGRITY_CHECKS
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set TESTSIGNING OFF
Для проверки настроек:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE
Для отключения:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set loadoptions DDISABLE_INTEGRITY_CHECKS
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /set TESTSIGNING ON
Для проверки настроек:
c:\windows\system32\bcdedit.exe /store c:\boot\bcd /enum ACTIVE

3.4. Настраиваем UAC на максимум. Control Panel\All Control Panel Items\Action Center - Change User Account Control Settings: Always Notifi
Включаем файерволл. Windows Firewall - turn on now

3.5. Отключаем сеть Windows если она не нужна (протокол SMB). Этот протокол имеет массу уязвимостей.
Control Panel\All Control Panel Items\Network and Sharing Center\Advanced sharing settings:
Turn off network discovery
Turn off file and printer sharing
Turn off public folder sharing
Use 128-bit encryption...
Turn on password protection sharing
Allow windows to manage homegroup connections

Control Panel\All Control Panel Items\Network and Sharing Center - Change adapter settings:
Disable NetBIOS for TCP/IP v4, disable "Client for microsoft networks", disable "File and printer sharing..."

3.6. Отключаем лишние для нас службы. Control Panel\All Control Panel Items\Administrative Tools\Services
Disable services (default startup type):

Службы удалённого управления:
Remote Desktop Configuration (manual)
Remote Desktop Services (m)
Remote Desktop Services UserMode Port Redirector (m)
Remote Registry (m)

Службы для WMP:
Windows Media Center Receiver Service (m)
Windows Media Center Scheduler Service (m)
Windows Media Player Network Sharing Service (m)

Службы для SMB (расшаренных папок и передачи файлов по Bluetooth)
Routing and remote access (m)
Маршрутизация и удаленный доступ
Server (a)
Сервер. Эта служба нужна для расшаренных папок и передачи файлов по Bluetooth. Этот протокол имеет массу уязвимостей.
TCP/IP NetBIOS Helper (a)
WebClient (m)
Computer Browser (a)

Прочие службы:
Windows Biometric Service (m)
Background Intelligent Transfer Service (auto)

Windows Update (a). Ставим "manual" или "off"
Автоматическое обновление.
Windows Update настраивается здесь: Control Panel\All Control Panel Items\Action Center
Я ставлю "Check for updates but let me choose whether to download and install them".
Записав номера предложенных мне обновлений я читаю о них в интернете и только затем скачиваю. Чтобы не нарваться на "антипиратское" обновление, а также обновить компьютеры без доступа к интернету.

Windows Search (a) (Если не пользуетесь и не отключили по п.17)
Служба индексирования дисков. Ускоряет поиск, но постоянно грузит HDD.

3.7. Настройка файерволла (без домена).
Windows Firewall with advanced security:

Domian profile - off
Private profile - on; Inbound - block, Outbound - block
Public profile - on; Inbound - block, Outbound - block
Public profile Settings - Customize:
Rule merging: Yes, Yes.
Display a notification - Yes
Возможен экспорт/импорт настроек файерволла из сохранённого файла ~.wfw

3.8. Настройка локальной политики безопасности.

Control Panel\All Control Panel Items\Administrative Tools\Local Security Policy:

Запрещаем доступ к компьютеру из сети (удалённое управление).
Security Settings - Local Policies - User Rights Assignment:
Allow log on trough Remote Desktop Services - none (remove all),
Deny log on trough Remote Desktop Services - Everyone.
Запрет доступа к компьютеру по SMB (при этом можно заходить на другие компьютеры)
Access this computer from the network - none (remove all),
Deny Access to this computer from the network - Everyone,
Другие параметры:
Allow logon locally - Administrators, Users,
Change the time zone - Administrators, LOCAL SERVICE,

Параметры для безопасного входа в систему, параметры UAC.
Security Settings - Local Policies - Security Options:
Interactive logon: Display user information when the session is locked - Do not display user information
Interactive logon: Do not display last user name - Enabled
Interactive logon: Do not require CTRL+ALT+DEL - Disabled
User account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode - Prompt for consent on the secure desktop,
User account Control: Behavior of the elevation prompt for standard users - Prompt for credentials on the secure desktop
Devices: Prevent users from installing printer drivers - Enabled

3.9.1. Настройка политики ограниченного использования программ (Software Restriction Policies - SRP).
Доступен для Windows 7 редакций Professional, Ultimate и Enterprise.
(Если не используется AppLocker)
Control Panel\All Control Panel Items\Administrative Tools\Local Security Policy - Security Settings - Software Restriction Policies.

RightMouseClick - New Software Restriction Policies.
Software Restriction Policies - Security Levels - Disallowed.
Enforcement: All software files (программы и библиотеки) , All users except local administrators, Ignore certificate rules.
После установки всех программ, драйверов, настройки системы, изменяем:
Enforcement: All users. Для установки новых программ временно ставим Security Levels - Unrestricted.

Дополнительные правила. Разрешаем запуск из папок, в которые запрещена запись User'ам. Запрещаем запуск из папок, в которые разрешена запись User'ам.

Software Restriction Policies - Additional Rules:
Правила для путей. (New Path Rule)

Неограниченный. Unrestricted:

Для Windows 7 x86:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

Для Windows 7 x64:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%

Запрещено. Dissalowed:

Для Windows 7 x86:

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing

Для Windows 7 x64:

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
%systemroot%\SysWOW64\com\dmp
%systemroot%\SysWOW64\FxsTmp
%systemroot%\SysWOW64\Tasks

Планировщик заданий - потенциально опасная служба, куда могут прописаться вирусы. Если он не нужен, то можно просто отключить службу.
Запрет запуска из папки заданий.
Disallowed - %systemroot%\System32\Tasks

Запрет создавать задания обычному пользователю. Задания могут создавать вирусы (с правами User's).
C:\Windows\System32\Tasks\ - запретить запись только в эту папку обычному пользователю (Special permissions - Apply to: This folder only)

Запрещаем потенциально опасные приложения в папке Windows (некорректно работают с SRP)
Запрет по хэшу (New Hash Rule) или пути (New Path Rule) (Disallowed or Basic User).
Для Windows 7 x86:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
Для Windows 7 x64:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
C:\Windows\SysWOW64\hh.exe, C:\Windows\SysWOW64\mshta.exe, C:\Windows\SysWOW64\reg.exe, C:\Windows\SysWOW64\regedt32.exe, C:\Windows\SysWOW64\regedit.exe C:\Windows\SysWOW64\runas.exe

Designated File Types:
добавить расширения (add file extension): scf , dll.
удалить расширения (remove file extension): lnk.

Решение проблем совместимости.
Есть программы, которые несовместимы с многопользовательским режимом Windows, т.к. пишут данные не в Application Data, а в свою папку установки в "Program Files", например старые игры, или плохие поделки криворуких программистов, которые ничего не слышали про многопользовательский режим. Для обеспечения безопасности в этом случае такие программы следует установить не в "C:\Program Files\" а в другую папку. Дать группе Users права на запись в эту папку. В настройках SRP дать разрешения на эту программу (EXE) и её библиотеки (DLL) только по хэшу. То есть для всех исполняемых файлов в папках, доступных для записи пользователю с ограниченными правами (например игры, установленные в D:\Games\ ) - разрешения только по хэшу, во избежание подмены или инфицирования файла.

3.9.2. Настройка Applocker. Доступен для Windows 7 редакций Ultimate и Enterprise (Если не используется SRP)

Вместо SRP можно использовать AppLocker в Windows 7 версий Ultimate и Enterprise.
Security Settings - Application Control Policies.
Служба (Service) «Удостоверение приложения» (Application Identity) должна быть включена (автоматически). Она помогает AppLocker в Windows 7 идентифицировать приложения, входящие в список заблокированных. Эту службу можно отключить, если AppLocker не используется.
Правила по-умолчанию созданы аналогично SRP (п.18.1.3) и записаны в файле AppLocker-Default.xml который можно импортировать.
В правилах по-умолчанию разрешён запуск всех файлов администратором. Если эти правила удалить, то будет безопаснее, но при установке / удалении программ нужно перевести политику с "Enforce rules" в "Audit only"

Правила для Applocker (Executable Rules):

Правило для пути 1:
%PROGRAMFILES%\*
разрешено для всех. Исключений нет.

Правило для пути 2:
%WINDIR%\*
разрешено для всех
Добавить исключения по путям и хэшу:

Исключения по путям для Windows 7 x86:

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing

Исключения по путям для Windows 7 x64:

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\debug\WIA
%systemroot%\Registration\CRMLog
%systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
%systemroot%\System32\com\dmp
%systemroot%\System32\FxsTmp
%systemroot%\System32\spool\drivers\color
%systemroot%\System32\spool\PRINTERS
%systemroot%\System32\Tasks
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\tracing
%systemroot%\SysWOW64\com\dmp
%systemroot%\SysWOW64\FxsTmp
%systemroot%\SysWOW64\Tasks

Исключения по хэшу для Windows 7 x86:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
Исключения по хэшу для Windows 7 x64:
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe c:\windows\system32\runas.exe
C:\Windows\SysWOW64\hh.exe, C:\Windows\SysWOW64\mshta.exe, C:\Windows\SysWOW64\reg.exe, C:\Windows\SysWOW64\regedt32.exe, C:\Windows\SysWOW64\regedit.exe C:\Windows\SysWOW64\runas.exe

Правила для Applocker (Script Rules):

Правило для пути 1:
%PROGRAMFILES%\*
разрешено для всех. Исключений нет.

Правило для пути 2:
%WINDIR%\*
разрешено для всех
Добавить исключения только по путям (те же что и в Executable Rules).

Правила для Applocker (DLL Rules):

Правило для пути 1:
%PROGRAMFILES%\*
разрешено для всех. Исключений нет.

Правило для пути 2:
%WINDIR%\*
разрешено для всех
Добавить исключения только по путям (те же что и в Executable Rules).

Удобство Applocker в том, что создав один раз правила можно экспортировать / импортировать в файл ~.xml
Можно создавать только одно правило для хэшей группы файлов exe или dll в папке программы несовместимой с многопользовательским режимом Windows.

3.10. Групповая политика безопасности (Group Policy).
Run as administrator c:\windows\system32\gpedit.msc (Local Group policy Editor)

Computer Configuration:
Отключаем автозапуск и запуск приложений с флешек и дисководов (шаг 2).
Administrative templates - Windows Components - AutoPlay Policies:
Turn off Autoplay - Enabled on all drives,
Default behavior foe AutoRun - Enabled (Do not execute any autorun commands.
Administrative Templates - System - Driver Installation: Turn off Windows Update device driver search prompt - Enabled.
Administrative Templates - System - Removable Storage Access:
CD and DVD: Deny execute access - Enabled
Floppy Drives: Deny execute access - Enabled
Removable Disks: Deny execute access - Enabled
В этой ветке GP существует возможность запретить не только запуск, но и чтение, запись, чтение-запись со сменных носителей различных типов.

3.11. Для закрытия доступа через проводник к свойствам папок.
-----------------------------------------
Windows Registry Editor Version 5.00

;Отключить возможность выбора свойств папки.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000001

-----------------------------------------

3.12. Дополнительное ПО.
Для более надёжной защиты можно установить бесплатный набор средств EMET (Enhanced Mitigation Experience Toolkit) от Microsoft
и настраивать DEP, SEHOP, ASLR и другие технологии защиты памяти как для всей системы, так и индивидуально для выбранных приложений.
Для аудита прав файловой системы используем AccessEnum от Sysinternals. Некоторые программы при установке могут давать права на запись юзеру в Program Files. Такие программы следует устанавливать в отдельную папку и давать разрешения по хэшу.
Для анализа запущенных приложений и dll используем ProcessExplorer от Sysinternals.


4. Решение некоторых проблем совместимости.

4.1. Как сделать, чтобы пользователь с ограниченными правами смог сам включать и отключать интернет-соединение?
Это может понадобиться при работе пользователя через GSM USB-modem.
Добавьте пользователя (или группу INTERACTIVE) в локальную группу Network Configuration Operators.


Выводы.
При таких настройках политик безопасности отпадает необходимость в резидентном антивирусе. Встроеммый в Windows 7 файерволл также вполне вменяемый и легко настраеваемый (есть возможность экспорта/импорта настроек в файл). Я сканирую только новые программы скачанные из интернета на предмет вирусов. При наличии выбора стараюсь использовать Freeware из проверенных источников и положительно зарекомендовавшие себя на форумах.
[/more]

[more="AppLocker-W7SP1x64-Default.xml"]
<AppLockerPolicy Version="1">
<RuleCollection Type="Dll" EnforcementMode="Enabled">
<FilePathRule Id="0cb0c2a5-0391-48b7-8766-4d31df28b95c" Name="Microsoft Windows DLLs" Description="Allows members of the Everyone group to load DLLs located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\*" />
</Conditions>
<Exceptions>
<FilePathCondition Path="%WINDIR%\debug\WIA\*" />
<FilePathCondition Path="%WINDIR%\Registration\CRMLog\*" />
<FilePathCondition Path="%WINDIR%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\*" />
<FilePathCondition Path="%WINDIR%\System32\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\System32\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\drivers\color\*" />
<FilePathCondition Path="%WINDIR%\System32\Tasks\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Temp\*" />
<FilePathCondition Path="%WINDIR%\tracing\*" />
<FilePathCondition Path="WINDIR%\System32\spool\PRINTERS\*" />
</Exceptions>
</FilePathRule>
<FilePathRule Id="3737732c-99b7-41d4-9037-9cddfb0de0d0" Name="(Default Rule) All DLLs located in the Program Files folder" Description="Allows members of the Everyone group to load DLLs that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%PROGRAMFILES%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="fe64f59f-6fca-45e5-a731-0f6715327c38" Name="(Default Rule) All DLLs" Description="Allows members of the local Administrators group to load all DLLs." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
</RuleCollection>
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(Default Rule) All files located in the Program Files folder" Description="Allows members of the Everyone group to run applications that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%PROGRAMFILES%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="fd686d83-a829-4351-8ff4-27c7de5755d2" Name="(Default Rule) All files" Description="Allows members of the local Administrators group to run all applications." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="c7c9ea6e-9da2-4d78-b3f3-f915f7fbde33" Name="All files located in the Windows folder" Description="Allows members of the Everyone group to run applications that are located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\*" />
</Conditions>
<Exceptions>
<FilePathCondition Path="%WINDIR%\debug\WIA\*" />
<FilePathCondition Path="%WINDIR%\Registration\CRMLog\*" />
<FilePathCondition Path="%WINDIR%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\*" />
<FilePathCondition Path="%WINDIR%\System32\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\System32\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\drivers\color\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\PRINTERS\*" />
<FilePathCondition Path="%WINDIR%\System32\Tasks\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Temp\*" />
<FilePathCondition Path="%WINDIR%\tracing\*" />
<FileHashCondition>
<FileHash Type="SHA256" Data="0x74940A5E6E5C7F58627E88BC8953581B9C2C799A1452F021A02F53D1573A6E61" SourceFileName="hh.exe" SourceFileLength="16896" />
<FileHash Type="SHA256" Data="0x053A6D9C29A8A9C4DB3600CA46F8D4C32ABFFC090C87726DA5CA2EC8E068EAD1" SourceFileName="regedit.exe" SourceFileLength="427008" />
<FileHash Type="SHA256" Data="0x7E12502375BEFB5E755C590E0DA084E133572F630874D9342BC0D3339587DF4C" SourceFileName="reg.exe" SourceFileLength="74752" />
<FileHash Type="SHA256" Data="0x52FC97E688A8718A7DD71A807954D1503DD98846B5D863388D3DD8FD6C4CEBF0" SourceFileName="regedt32.exe" SourceFileLength="10240" />
<FileHash Type="SHA256" Data="0x4313F783D8378F78CD879435EC1471D99A9FDCCEEF3BFAC75B89A749CDF7ECDB" SourceFileName="mshta.exe" SourceFileLength="12288" />
</FileHashCondition>
<FileHashCondition>
<FileHash Type="SHA256" Data="0x1A25B4F65E1B5B521F5F5F4FE69DE287625F3EC5A3B147978C592F6FAA72228B" SourceFileName="regedit.exe" SourceFileLength="398336" />
<FileHash Type="SHA256" Data="0xB2D1B7C792764B6ADD9F2F5ECE131B0D4F3675701471C362ADA1E365CFFF35FC" SourceFileName="hh.exe" SourceFileLength="15360" />
<FileHash Type="SHA256" Data="0x1D81F687393050268099F94A09D5C6679942374CB80B697D57C72972F87543A0" SourceFileName="regedt32.exe" SourceFileLength="9216" />
<FileHash Type="SHA256" Data="0xA6A6E3B868B70B587BA29F0F73C422584F570A3BF3133819190AE4703AAEFE3D" SourceFileName="mshta.exe" SourceFileLength="11776" />
<FileHash Type="SHA256" Data="0x5FFA7AAE3407077C98FEE44D2DAE2610CF82046296C2C29CDDCD963246953F68" SourceFileName="reg.exe" SourceFileLength="62464" />
</FileHashCondition>
<FileHashCondition>
<FileHash Type="SHA256" Data="0x60139DABFE6102554AF83DB826E4556BC1C2C71B6B012C1C47F6D48ED2FEE1F6" SourceFileName="runas.exe" SourceFileLength="17408" />
<FileHash Type="SHA256" Data="0xFF9F6AF1F95ECCDDB0D431653D1B1BDFADBA10966CF54211662E5CA40865F5C8" SourceFileName="runas.exe" SourceFileLength="20480" />
</FileHashCondition>
</Exceptions>
</FilePathRule>
</RuleCollection>
<RuleCollection Type="Msi" EnforcementMode="Enabled">
<FilePathRule Id="64ad46ff-0d71-4fa0-a30b-3f3d30c5433d" Name="(Default Rule) All Windows Installer files" Description="Allows members of the local Administrators group to run all Windows Installer files." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*.*" />
</Conditions>
</FilePathRule>
</RuleCollection>
<RuleCollection Type="Script" EnforcementMode="Enabled">
<FilePathRule Id="06dce67b-934c-454f-a263-2515c8796a5d" Name="(Default Rule) All scripts located in the Program Files folder" Description="Allows members of the Everyone group to run scripts that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%PROGRAMFILES%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="540b4bf1-0edf-4c80-bcec-be0c1c07210e" Name="All scripts located in the Windows folder" Description="Allows members of the Everyone group to run scripts that are located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\*" />
</Conditions>
<Exceptions>
<FilePathCondition Path="%WINDIR%\debug\WIA\*" />
<FilePathCondition Path="%WINDIR%\Registration\CRMLog\*" />
<FilePathCondition Path="%WINDIR%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\*" />
<FilePathCondition Path="%WINDIR%\System32\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\System32\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\drivers\color\*" />
<FilePathCondition Path="%WINDIR%\System32\spool\PRINTERS\*" />
<FilePathCondition Path="%WINDIR%\System32\Tasks\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\com\dmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\FxsTmp\*" />
<FilePathCondition Path="%WINDIR%\SysWOW64\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Tasks\*" />
<FilePathCondition Path="%WINDIR%\Temp\*" />
<FilePathCondition Path="%WINDIR%\tracing\*" />
</Exceptions>
</FilePathRule>
<FilePathRule Id="ed97d0cb-15ff-430f-b82c-8d7832957725" Name="(Default Rule) All scripts" Description="Allows members of the local Administrators group to run all scripts." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
</RuleCollection>
</AppLockerPolicy>
[/more]
Автор: opt_step
Дата сообщения: 13.08.2011 13:59
немножко наивно
Автор: muravlov
Дата сообщения: 13.08.2011 14:01
Будут вопросы - пишите в тему. Имею опыт. Дома, у знакомых, друзей и на работе настраиваю по этим шаблонам. Я самоучка и профессия не связана с администрированием компьютеров.

Добавлено:
Почему наивно? У меня опыт несколько лет в XP и 1 год в W7. На работе, знакомым, дома.
Автор: Neon2
Дата сообщения: 13.08.2011 17:45
Наивно потому, что клиентура не хочет задумываться и скачивает с тырнета всё завлекательное с её точки зрения, и если что-то "мешает", не даёт запустить скачанное, то "мешающее" тут же отключается.
Автор: eXtenSionFeAr
Дата сообщения: 13.08.2011 20:19

Цитата:
muravlov

В "вашем" шаблоне во-первых все в перемешку: и оптимизация и запрещение служб и настройка безопастности. Правильные пацаны раскладывают все по полочкам или хотя бы каталогизируют по сфере применения. Ваш пост - сущяя колбаса непонятно чего. Читать трудно и советы не всегда полезные.

Два - раз уж зареклись об не использовании антивируса, то хотя бы не писали след. пункт:


Цитата:
Microsoft Security Essentials. Антивирус от Майкрософт. При настройке требует прав администратора. Устанавливается как сервис Microsoft Antimalware Service

WTF? Опять антивирус? Вы же говорили, без него.


Цитата:
После прочтения блога Вадима Поданса

Это еще кто? Новый Билл Гейтс?

Антивирус нужен всегда. Играться с учётками - дело личное и не всегда есть заявленные плюсы/минусы. К сожалению - засырать компьютер люди умеют и без вирусов и ограниченных учёток. Просто не туда файлы складывают, не так выключают, не так удаляют и т.д. А потом - ну это ж вирусы...
Автор: KaFuzLuM
Дата сообщения: 13.08.2011 22:55
букаф очень много, нашёл пару полезных и используемых уловок, но в остальном - вода, вода, вода. всегда лучше использовать антивирус, ибо эксплоиты на поднятие прав учётки, которые используются вирусом, не всегда и не сразу фиксятся. тем более, если отключить службу автоапдейта.

имхо, то, что описано в первой статье (вторую даже не открыл) - мазохизм чистой воды. нет, разумеется, на автомобиле можно ездить и без сидений, сидя на корточках, а на педали давить ушами, потому что подошва у ботинок стирается. но это дело сугубо индивидуальное

З.Ы. насчёт службы индексации и дефрагментатора поржал, спасибо
Автор: userpuser
Дата сообщения: 14.08.2011 08:46

Цитата:
Правильные пацаны

Ключевое слово в заглавном посте этой темы ПАЦАНЫ!
Автор: CVN5510
Дата сообщения: 14.08.2011 09:46
В конце концов и антивирусы придумали не от хорошей жизни! Та что как же без них?
Автор: ua3vui
Дата сообщения: 14.08.2011 09:50
Ну сам я конечно обхожусь без предмета обсуждения,но людям которым я восстанавливал компы,ставил ОС по новой итд - они просто пользователи...Тут нельзя без АВ.
Автор: opt_step
Дата сообщения: 14.08.2011 10:29

Цитата:
Тут нельзя без АВ

естестно
Автор: ua3vui
Дата сообщения: 14.08.2011 10:55
opt_step Люди стремятся скачать видеоролик порнухи весом в 60 килобайт...
Автор: opt_step
Дата сообщения: 14.08.2011 11:03
ua3vui

Цитата:
opt_step Люди стремятся скачать видеоролик порнухи весом в 60 килобайт...

ага
Автор: ua3vui
Дата сообщения: 14.08.2011 11:10
opt_step
Цитата:
ага
Чего ага? АГА потом появляется после просмотра акта любви продолжительностью ноль целых,одна десятых секунды. Незабываемые впечатления после просмотра обеспечены и не только на всю ночь...

Автор: MERCURY127
Дата сообщения: 14.08.2011 12:31
Ага, было дело ... Но грешен - антивирусами все таки не пользуюсь - комп слабый ...
Автор: opt_step
Дата сообщения: 14.08.2011 12:37
MERCURY127
так есть и слабые ав
Автор: MERCURY127
Дата сообщения: 14.08.2011 12:58
На хп комп с целероном и ддр1? Это ж риторический вопрос уже зачем нужен слабый антивирус - может уж просто пусть будет голова на плечах? Пяток разномастых осей от Дос до Куэникс, пара мультибутовых винтов, Ограниченная учетка, Опера/хром/фокс с выключенными картинками/плагами, знание мест, куда лучше не ходить, Сисинтерналс, ну и конечно, Софтайс... Если честно, это даже интересно, когда что то слетает и надо чинить недавно вот ради безопасности запретил порты 135 и 445 - отвалился адсл, так стало интересно ...
Автор: Selev
Дата сообщения: 14.08.2011 13:07
Хрень полная. Правильные пацаны используют не только антивирь, но и песочницу, и обязательное бэкапирование, и все это должно работать параллельно. Любая защита строится на принципе наращивания. Это не зыблемое правило. Иначе в один прекрасный момент когда приспичит зайти в систему из под админа с полными правами, вы вдруг обнаружите что у всех экзешников и архивов изменена точка входа, и они не являются приложением вин32. А все потому что пожалев каких то 30 метров оперативной памяти для антивиря, вы подтянули из сети зловреда сами того не зная. Вас просто не кому было предупредить.
А итог такого жлобства - загубленная коллекция софта собираемая не один год, или зашифрованный семейный архив с фото, или вообще что угодно. Кому и ради чего это надо ?
Ради дешевых понтов только, другой причины не вижу.
Автор: MERCURY127
Дата сообщения: 14.08.2011 13:11
Да, забыл еще фаер нужен простенький, типа Жетико - простой, не перегруженный функционалом, "не шибко умный", но чтоб все докладывал
Автор: ua3vui
Дата сообщения: 14.08.2011 13:14

Цитата:
но и песочницу, и обязательное бэкапирование
Вот это правильно. Наступает эпоха Акрониса. Песочница не спасает. Два дня назад запускал в ней всякую херню из новых вирусов. Наутро включил комп ---- приложение такое то (без ЦП) ищет доступ в Инет...Все понятно. В систем 32 какая то х...ня прописалась.Песочница в принципе обходится...Ну я это и увидал...И опять ...Акронис помоги Как Отче наш....
Автор: MERCURY127
Дата сообщения: 14.08.2011 13:17
Может, тогда лучше вообще в сеть не ходить постороннее не открывать, и вообще, зачем нужен компьютер?

Добавлено:
To HDD Виртмашина тоже не панацея где то читал, что уже научились смм обработчик в отдельно взятом биос подменять... А вообще то и виртуалками пользуемсо ага...
Автор: ua3vui
Дата сообщения: 14.08.2011 15:08

Цитата:
и вообще, зачем нужен компьютер?
Ну а как? Люди придут посторонние ...а у Вас нет компьютера....- Последний че......
Автор: muravlov
Дата сообщения: 14.08.2011 15:27
Мне было бы интересно прочесть в интернете случай успешной атаки на компьютер закрытый srp (грамотно настроенной, как у меня в шапке). К сожалению я таких статей не встречал. А вот успешные инфицирования компов с резидентным антивирусом случаются регулярно. У знакомых (не игроманов) на домашних компах я всё настраиваю через политики. На работе в соседней фирме тупые админы позволяют всем работать под административной учёткой. В итоге постоянные глюки от вирусов и игрушек. Я говорю: один раз настройте политики и работу под ограниченной учёткой и спите спокойно долгие годы. В ответ - а зачем мы тогда будем нужны, нас уволят. Если бы пользователи думали головой, то антивирусные фирмы давно бы разорились. В моей фирме ещё ни один сотрудник мне не жаловался, что у него что-то не работает.
П.С. Я не админ, а инженер-электрик, но приходится делать чужую работу из-за низкой квалификации админов.
Автор: opt_step
Дата сообщения: 14.08.2011 16:31
muravlov

Цитата:
инженер-электрик, но приходится делать чужую работу из-за низкой квалификации админов.

насмешил
Автор: userpuser
Дата сообщения: 14.08.2011 17:06
Скажите мне, с каких пор инженеры-электрики (слесари-гинекологи) начали писать ИНСТРУКЦИИ по настройке винды без антивиря? Да ещё и выкладывать их в общий доступ, в качестве рекомендаций, да ещё и пытаться с таким (как написано в посте) БОГАТЫМ багажом знаний учить ТУПЫХ системных администраторов?
Автор: Rapax_M
Дата сообщения: 14.08.2011 17:09
А вообще, ребята, прочитав всё это, я понял - разговор ни о чём. Ставьте эсэншлс или панду клоуд, не оставляйте в машине "ключей" и важной для вас информации (держите то же в облаке) и живите спокойно. Ну в случае чего переустановите систему и все дела.

Добавлено:
P.S. Очень неправильный совет: ставить мини KMS постоянной службой - тут-то и можно нарваться. Всё правильно - с чего бы ему фильтровать каждое обновление? Паранойя. Активировал агрегат на 180 дней и работай на здоровье. Выйдет срок - предупредят, после чего надо потратить ровно полминуты и всё O.K.!
Автор: eXtenSionFeAr
Дата сообщения: 14.08.2011 20:55

Цитата:
атаки на компьютер закрытый srp

SRP - это новый термин? Что он означает? (сами придумали акроним?)


Цитата:
(грамотно настроенной, как у меня в шапке)

Я сомневаюсь, что удаление некоторых служб, о которых электрик даже не знает и отказ от использования защитного ПО являтся грамотной настройкой. Может в Хацапетовке - да, но не в корпоративном секторе.


Цитата:
На работе в соседней фирме

Уважаемый, а какое отношение Вы имеете к соседней фирме? Вы Бетмен, Робин или Супермен? Мы ваш опыт и ваши рабочие будни мы не обсуждаем, оставьте все это при себе.


Цитата:
В итоге постоянные глюки от вирусов и игрушек.

Какие игрушки могут быть на рабочем месте / станции? Вы хотите в региональные новости попасть, как преподователь из дальне-восточной школы в селе, который ставил пиратские винды? Или вы ярый противник компьютерных игр? К чему эти разговоры о них?


Цитата:
В моей фирме ещё ни один сотрудник мне не жаловался, что у него что-то не работает.

Не жалуються - потому что вы не админ. Верно? Вы же только что это подтвердили. Полетит электрика - будут вам жалобы.


Цитата:
спите спокойно долгие годы

Сомневаюсь. Система безопастности должна улучшаться и укрупняться со временем. Т.к. появляються новые виды угроз и разновидности дыр. Вы этого не замечали? Я открыл Америку господа.

Вообще вся тема - сущий цирк. Электричество - электрику, компы - админам и комп. техн. сознательным пользователям.
Автор: 1Kipovec
Дата сообщения: 14.08.2011 21:14

Цитата:
Вообще вся тема - сущий цирк

+ много
Автор: muravlov
Дата сообщения: 15.08.2011 07:24
Прочтите, умники.
http://social.technet.microsoft.com/Forums/ru/defotherru/thread/d55020e7-e505-455d-9ec6-5716f2bf460e
http://forum.sysadmins.su/index.php?showtopic=16346
Я просто даю подробную инструкцию, как настроить SRP и другие ньюансы.

Кто-нибудь может написать по-делу - как обойти SRP с "белым списком"?
Автор: userpuser
Дата сообщения: 15.08.2011 10:46
Да эти инструкции написаны уже задолго до Вас, и кстати, гораздо более грамотно. Это Вы для себя америку открыли. Дело в том, что на таком ТОТАЛЬНО ОГРАНИЧЕННОМ компе дома работать не то что не в кайф, а лучше его и не включать вовсе, чтобы НЕ ЗАЛЕТЕТЬ. Да и вообще-то в семерке, дела с настроенной по-умолчанию безопасностью обстоят довольно таки сносно, чего не скажешь про ХР. Так, что если изредка включать мозг, при юзании компа, то можно вообщем-то и без таких СПАРТАНСКИХ методик спокойно работать, а если мозг не включать (или он просто не включается), то тут и "Ваша" инструкция не поможет ничем.
Автор: NegoroX
Дата сообщения: 15.08.2011 14:26
во блин уже две страницы накатали, а чЁ не во "флейме" там самое место или переименуйте например так "как из камня сделать пар, знает доктор наш гаспар".
( скоро в школу не забыли?

Страницы: 1234567891011121314151617181920212223

Предыдущая тема: Проблема с Windows Script


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.