SQL

ВНИМАТЕЛЬНО:
Прежде чем наши маленькие шаловливые ручки залезут в душу ОС необходимо сделать бэкап ака резервное копирование, с целью, в случае неправильного видоизменения реестра, его восстановить. В реестре любые изменения происходят сразу же. Об этом стоит помнить и отнестись к этому внимательно.

1. В меню «Пуск/Выполнить» наберите «regedit», войдя таким образом в редактор реестра.

2. Зайдите в меню «Файл/Экспорт». В диапазоне реестра выберите «Весь реестр» озаглавьте Ваш файл, выберите типа файла "Файлы реестра" *reg и расположите его в безопасном месте.

3. Теперь можете устанавливать любые программы и вносить изменения в данные реестра. Если вам понадобится загрузить бэкап реестра, нажмите 2 раза левой кнопкой мыши на сохраненный вами файл, на запрос "Вы действительно хотите добавить информацию из "вашего файл" в реестр?" нажмите "Да"


1. Это конечно грамотно настроенный антивирус и фаервол. Советую брать 2 продукта разные. Например Аутпост фаер в сочетании с антивирусом Нод. Или Аваст антивирус в сочетании с Комодо фаером.
Назвать что то лучшее из антивирусов я врядли смогу, потому что что не видит один, то видит другой. Из фаерволов лучшими, скорее оптимальными я могу назвать Аутпост и Комодо. Руководство по настройке прописано в документации, поэтому озвучивать эту тему я не буду и плавно перейдём к настройкам ОС.
Переодически просканиваем комп в f8 утилитами бесплатными Cureit и Avz с обнов. базами. Свой комп также можно просканить сканерами x-spider или nmap и похожими на выявление уязвимостей и закрыть дырки.

2. Следить за автоматическим обновлением.

3. Настройка аудита. Панель управления-администрирование-локальные политики безопасности- локальные политики-политика аудита. Ставим всё на Успех/Отказ. Лог аудита готов. Не забываем смотреть в него периодами.

4. C:\Windows\Prefetch
Стоит посмотреть в эту папку, в ней накапливаются ссылки на запускаемые программы и приложения. Чистка папки ускорит быстродействие системы, но не стоит сразу перезагружать комп.

5. Смотрим автозагрузку на предмет запуска на автомате программ:
6. Стоит отключить такие службы в разделе администр. как удаленное управление реестром, телнет,сервис удал. управл. Windows,служба рассылки системных оповещений,планировщик задач,убрать галки с общего доступа к файлам.

7. Пользоваться периодами программой SFC в cmd с параметром /scannow
для проверки файлов.

8. Отключаем Null-сессию
HKLM\SYSTEM\CurrentControlSet\Control\Lsa ставим значение 1 у строкового параметра RestrictAnonymous

9. Не работать под учётной записью администратора, сделать для этого пользовательскую учётку с ограниченными правами и через учётку админа отключить доступ (оставить только чтение или это тоже исключить) на папки windows, etc.
Для запуска некоторых приложений на которые стоит запрет, можно включить их с помощью "запустить от имени" и выбрать имя администратора. Учётную запись Администратор переименовать, тоже касается Гость,etc.

10. В целях безопасности переименовать cmd.exe например cff.exe или др.
c:\windows\dllcache\cmd.exe копию интерпретатора также стоит переименовать.
HKLM\Software\Microsoft\Windows\Current Version\App Patch создать вложенный раздел cmd.exe и изменить значение дефолтового параметра на путь к блокноту. В случае угрозы хакерского вторжения при запуске cmd.exe вместо шелла будет запускаться блокнотик

11. Часто бывает, что троянец записывает в файл hosts ссылку вида «microsoft.com hacker-ip-address». После обращения к сайту MS на компьютер жертвы заливается еще один троян (как правило, через дыру в браузере). Чтобы этого не произошло, измени местоположение файла hosts (и lmhosts). Это можно сделать в разделе «HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters2 - смени значение DataBasePath на другой путь.

12. Все учетки, которые существуют, но скрыты при старте системы в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurren tVersionWinlogonSpecialAccountsUserList.
На время избавления от заразы, не помешает настроить свойства подключения по локалке -- вкладка "Общие". Снимите галочки с "Клиент для сетей Microsoft", "Служба доступа к файлам и принтерам", "Ответчик обнаружения топологии уровня связи". Теперь выбираем "Протокол интернета (TCP/IP)" и его свойства -- дополнительно. Вкладка "DNS", снимите галочку с пункта "Зарегестрировать адреса этого подключения в DNS". Вкладка "WINS" -- выберите "Отключить NetBios через TCP/IP".
Теперь ваш комп не может обращаться к другим машинам в локалке, но повышен уровень безопасности на время поиска заразы. Если не используются общие ресурсы, файлообменники и т.д, то можно так и оставить, система будет меньше тормозить.

13. Смотрим net user и убираем левых пользователей, которые не прописаны нами в нашей ОС. Все учетки, которые существуют, но скрыты при старте системы в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurren tVersionWinlogonSpecialAccountsUserList .

14. Далее с шарами тема. Net share..классическое удаление net share ADMIN$ /delete..C$/delete при перезагрузке всё возвращает в исходное состояние. Поэтому как вариант написать батник и втюхать его в автозагрузку. Но лучше изменить параметры в реестре.
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServe r\Parameters
Добавьте или измените следующие значения:
Параметр Тип Значение
AutoShareServer REG_DWORD 0
AutoShareWks REG_DWORD 0

15. Достаточно эффективное средство мониторинга сетевой активности это netstat -a -b в cmd.exe
Через пару минут увидите статистику всех текущих коннектов, даже скрытых от сторонних файрволлов. Узнав имя подозрительного процесса, юзающего нестандартный порт, ничего не стоит его грохнуть, опять же через cmd.

Тема будет дополняться.

SQL

16. вход в реестр пуск-выполнить-regedit
Прячем» компьютер от других пользователей в сети
Этот ключ позволяет включить режим, при котором в режиме обзора сети другие пользователи не будут видеть вашего компьютера.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters]
"Hidden"='1'


17. Запрет доступа для анонимных пользователей
Анонимный пользователь может получить доступ к списку пользователей и открытых ресурсов, чтобы это запретить, можно воспользоваться этим ключом.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA]
"RestrictAnonymous"='1'

18. Файлы автозапуска.
Win.ini , system.ini , wininit.ini , wininit.ini , winstart.bat , config.sys , dosstart.bat , autoexec.nt , autoexec.bat , config.nt.
Просмотр этих файлов только для тех разбирается, смотрим синтаксис.

19. Appinit dlls - внедренные библиотеки во все процессы.
Обычно это spyware. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows, параметр AppInit_DLLs. Вредоносная dll
внедряется в каждый процесс и контролирует таким образом работу систему. К примеру если это направлено на ослика(iexplore.exe) то она может генерировать переход на любой сайт автоматически или генерировать накрутку посещений на сайте. Сама по себе dll служит компонентом для основного тела вредоносной программы.

Артём

Аня, инфа безусловно интересная и познавательная, только маленькое пожелание: напиши юзерам, как делать бэкап реестра. А то сама знаешь...

SQL

напишем

SQL

Решила затронуть тему про папку System Volume Information.
Приведу частые вопросы, которые касаются этой темы.
Я сканировал систему антивирусом, утилитой и т.д. и был обнаружен вирус в папке System Volume Information и не получается его удалить, антивирус его удалить не может. Как найти System Volume Information, я открываю скрытые файлы , но папки этой нету в системе среди них? А что такое System Volume Information?
Куда то пропало 1,2,3,4,etc... гигов с моего жесткого диска. И подобное. Разберём этот вопрос.
System Volume Information - это скрытая системная папка, которая используется программой восстановления системы для хранения своих данных и точек восстановления. Папка создается в каждом разделе жесткого диска. Её удалять нельзя. Если антивирус или утилита не может удалить вирус ,который находится в этой папке, то это можно сделать самому. А лучше полностью её прочистить. Ccleaner и подобные проги папку вам эту не вычистят.
Мой Компьютер->Свойства->Восстановление Системы>ставим галочку на "Отключить восстановление системы на всех дисках"->Применить.
Всё делается под учётной записью администратора. Затем перезагружаем компьютер. Затем снова заходим в Мой Компьютер->Свойства->Восстановление Системы> и снимаем галочку. Перезагружаемся. Папка очищена.
Вход в саму папку : Мой Компьютер->Сервис->Свойства папки->Вид->снимаем галочку с "Скрывать защищенные системные файлы" и ставим "Показывать скрытые папки и файлы", затем заходим в диск С и видим System Volume Information. Как быть если доступ запрещён к папке? Жмём на папку, выбираем свойства,
потом вкладку Безопасность и добавляем текущего пользователя с полным доступом. Может не получиться. Тогда делаем это в F8, в безопасном режиме.
Посмотреть объём папки можно в свойствах, если доступ запрещён, то объём виден не будет. После всех манипуляций с папкой мы возвращаем все настройки в исходное состояние. Что бы папка не набивалась, нужно переодически чистить её вышеописанным путём. Примерно 1 раз в 2 месяца.
Также желательно установить размер этой папки, в Мой Компьютер->Свойства->Восстановление Системы> поставьте примерно 500-600 метров.
Это касаемо ОС Windows XP.