ВНИМАТЕЛЬНО:
Прежде чем наши маленькие шаловливые ручки залезут в душу ОС необходимо сделать бэкап ака резервное копирование, с целью, в случае неправильного видоизменения реестра, его восстановить. В реестре любые изменения происходят сразу же. Об этом стоит помнить и отнестись к этому внимательно.
1. В меню «Пуск/Выполнить» наберите «regedit», войдя таким образом в редактор реестра.
2. Зайдите в меню «Файл/Экспорт». В диапазоне реестра выберите «Весь реестр» озаглавьте Ваш файл, выберите типа файла "Файлы реестра" *reg и расположите его в безопасном месте.
3. Теперь можете устанавливать любые программы и вносить изменения в данные реестра. Если вам понадобится загрузить бэкап реестра, нажмите 2 раза левой кнопкой мыши на сохраненный вами файл, на запрос "Вы действительно хотите добавить информацию из "вашего файл" в реестр?" нажмите "Да"
1. Это конечно грамотно настроенный антивирус и фаервол. Советую брать 2 продукта разные. Например Аутпост фаер в сочетании с антивирусом Нод. Или Аваст антивирус в сочетании с Комодо фаером.
Назвать что то лучшее из антивирусов я врядли смогу, потому что что не видит один, то видит другой. Из фаерволов лучшими, скорее оптимальными я могу назвать Аутпост и Комодо. Руководство по настройке прописано в документации, поэтому озвучивать эту тему я не буду и плавно перейдём к настройкам ОС.
Переодически просканиваем комп в f8 утилитами бесплатными Cureit и Avz с обнов. базами. Свой комп также можно просканить сканерами x-spider или nmap и похожими на выявление уязвимостей и закрыть дырки.
2. Следить за автоматическим обновлением.
3. Настройка аудита. Панель управления-администрирование-локальные политики безопасности- локальные политики-политика аудита. Ставим всё на Успех/Отказ. Лог аудита готов. Не забываем смотреть в него периодами.
4. C:\Windows\Prefetch
Стоит посмотреть в эту папку, в ней накапливаются ссылки на запускаемые программы и приложения. Чистка папки ускорит быстродействие системы, но не стоит сразу перезагружать комп.
5. Смотрим автозагрузку на предмет запуска на автомате программ:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce;
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
6. Стоит отключить такие службы в разделе администр. как удаленное управление реестром, телнет,сервис удал. управл. Windows,служба рассылки системных оповещений,планировщик задач,убрать галки с общего доступа к файлам.
7. Пользоваться периодами программой SFC в cmd с параметром /scannow
для проверки файлов.
8. Отключаем Null-сессию
HKLM\SYSTEM\CurrentControlSet\Control\Lsa ставим значение 1 у строкового параметра RestrictAnonymous
9. Не работать под учётной записью администратора, сделать для этого пользовательскую учётку с ограниченными правами и через учётку админа отключить доступ (оставить только чтение или это тоже исключить) на папки windows, etc.
Для запуска некоторых приложений на которые стоит запрет, можно включить их с помощью "запустить от имени" и выбрать имя администратора. Учётную запись Администратор переименовать, тоже касается Гость,etc.
10. В целях безопасности переименовать cmd.exe например cff.exe или др.
c:\windows\dllcache\cmd.exe копию интерпретатора также стоит переименовать.
HKLM\Software\Microsoft\Windows\Current Version\App Patch создать вложенный раздел cmd.exe и изменить значение дефолтового параметра на путь к блокноту. В случае угрозы хакерского вторжения
при запуске cmd.exe вместо шелла будет запускаться блокнотик
11. Часто бывает, что троянец записывает в файл hosts ссылку вида «microsoft.com hacker-ip-address». После обращения к сайту MS на компьютер жертвы заливается еще один троян (как правило, через дыру в браузере). Чтобы этого не произошло, измени местоположение файла hosts (и lmhosts). Это можно сделать в разделе «
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters2 - смени значение DataBasePath на другой путь.
12. Все учетки, которые существуют, но скрыты при старте системы в ветке реестра
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurren tVersionWinlogonSpecialAccountsUserList.
На время избавления от заразы, не помешает настроить свойства подключения по локалке -- вкладка "Общие". Снимите галочки с "Клиент для сетей Microsoft", "Служба доступа к файлам и принтерам", "Ответчик обнаружения топологии уровня связи". Теперь выбираем "Протокол интернета (TCP/IP)" и его свойства -- дополнительно. Вкладка "DNS", снимите галочку с пункта "Зарегестрировать адреса этого подключения в DNS". Вкладка "WINS" -- выберите "Отключить NetBios через TCP/IP".
Теперь ваш комп не может обращаться к другим машинам в локалке, но повышен уровень безопасности на время поиска заразы. Если не используются общие ресурсы, файлообменники и т.д, то можно так и оставить, система будет меньше тормозить.
13. Смотрим net user и убираем левых пользователей, которые не прописаны нами в нашей ОС. Все учетки, которые существуют, но скрыты при старте системы в ветке реестра
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurren tVersionWinlogonSpecialAccountsUserList .
14. Далее с шарами тема. Net share..классическое удаление net share ADMIN$ /delete..C$/delete при перезагрузке всё возвращает в исходное состояние. Поэтому как вариант написать батник и втюхать его в автозагрузку. Но лучше изменить параметры в реестре.
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServe r\Parameters
Добавьте или измените следующие значения:
Параметр Тип Значение
AutoShareServer REG_DWORD 0
AutoShareWks REG_DWORD 0
15. Достаточно эффективное средство мониторинга сетевой активности это
netstat -a -b в cmd.exe
Через пару минут увидите статистику всех текущих коннектов, даже скрытых от сторонних файрволлов. Узнав имя подозрительного процесса, юзающего нестандартный порт, ничего не стоит его грохнуть, опять же через cmd.
Тема будет дополняться.