Операційна система Microsoft Windows XP вийшла на ринок 25-го листопада 2001 року. Співробітники компанії покладали на неї великі надії і, як виявилося, не прогадали. За заявою самих розробників, новоспечена на той момент XP включала в себе досвід, накопичений за багато років побудови операційних систем. Як і очікувалося, перед виходом, користувачам було дано безліч обіцянок (наприклад, непробивну захист від несанкціонованого доступу, небачену раніше стабільність і "багоустойчівость"), але не все виявилося настільки вже гладко. Але досить ліричних відступів, сьогодні на порядку денному - підвищення безпеки операційної системи. Покроковий формат обраний не з проста - так найбільш просто виконувати інструкції, описані в статті.

Операційна система Microsoft Windows XP вийшла на ринок 25-го листопада 2001 року. Співробітники компанії покладали на неї великі надії і, як виявилося, не прогадали. За заявою самих розробників, новоспечена на той момент XP включала в себе досвід, накопичений за багато років побудови операційних систем. Як і очікувалося, перед виходом, користувачам було дано безліч обіцянок (наприклад, непробивну захист від несанкціонованого доступу, небачену раніше стабільність і "багоустойчівость"), але не все виявилося настільки вже гладко. Але досить ліричних відступів, сьогодні на порядку денному - підвищення безпеки операційної системи. Покроковий формат обраний не з проста - так найбільш просто виконувати інструкції, описані в статті.

Купили ви диск, доверху набитий корисним програмним забезпеченням. Принесли додому, вставили в дисковод, автоматично запустився диск, а там - вірус. Щоб цього не сталося, вам потрібно пройти за наступною адресою в реєстрі - HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Cdrom, і параметру AutoRun привласнити значення 0. Для редагування реєстру вам потрібно запустити програму RegEdit, яка запускається так: Пуск - Виконати - regedit.

Як кожному з нас відомо, досить часто в операційних системах Windows знаходяться помилки і критичні огріхи в безпеці, виправити які слід відразу ж після виходу патча. Минулий 2004-ий рік зайвий раз це довів, явивши світу кілька глобальних вірусних епідемій.
Тому натискаємо правою кнопкою миші по іконці Мій Комп'ютер, а потім прямуємо по шляху Властивості - Автоматичне Оновлення. Перед нами постає дилема - або зупинити свій вибір на опції "Автоматично", або зробити активної опцію "Повідомляти, але не завантажувати і не встановлювати їх автоматично".

Дам кілька рекомендацій. Якщо ви власник виділеного інтернет-каналу, і закачувати кожен день в фоновому режимі (а саме так відбувається оновлення системи через Windows Update) файлу пристойного розміру не складає великої проблеми, то однозначно ваш вибір - Автоматично.
Іншим же користувачам, а особливо модемним, раджу вибрати "Повідомляти, але не завантажувати і не встановлювати їх автоматично", де качати і встановлювати файли ви будете, попередньо оцінивши їх важливість, щоб не захаращувати отже слабкий інтернет-канал.

Не знаю навіщо, але Білл Гейтс і співтовариші нагородили в Windows XP таку силу-силенну непотрібних служб, що запускаються автоматично, що ні відключити їх - гріх. Але так як розмова ми ведемо про безпеку операційної системи, звернемо нашу увагу на системні сервіси, що підривають наші старання. Для цього пройдемо по шляху Панель управління - Адміністрування - Служби і займемося роботою.
Нагадаю, як працювати зі службами. Клікнувши на одну з них, перед собою ви побачите вікно з чотирма закладками: Загальні, Вхід в систему, відновлення, Залежності. По суті справи, найбільш важливими є дві: перша і остання. На першій вкладці, "Загальні", ви можете прочитати назву служби, її функції, виконуваний файл, а також виставити тип запуску: авто, вручну, відключено. Так як ми маємо деактивувати непотрібні системні сервіси, ми буде виставляти тип "відключено". На останній вкладці, "Залежності", ви можете побачити, з якими з служб обраний вами сервіс знаходиться в залежності, тобто якщо служба відключена або неправильно працює, це може відбитися на залежних від неї сервісах.

Увага: перш ніж почати різке видалення непотрібних служб, я раджу зберегти початкові настройки, щоб уникнути можливих конфліктів. Для цього потрібно пройти по HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Serviсes і клікнувши правою кнопкою, вибрати пункт "Експорт". Далі зберігаємо дані в * .reg-файл.
Служба віддаленого управління реєстром (Remote Registry Service) - дозволяє дистанційно керувати системним реєстром. Якщо служба зупинена, то редагувати реєстр може тільки локальний користувач. Сподіваюся, зайвих питань не виникає. Ріжемо.
Служба повідомлень (Messenger) - дана служба дозволяє отримувати і відправляти повідомлення. Часто використовується для розіграшів і спаму. Воно вам треба? Ріжемо.
Служба терміналів (Terminal Service) - однієї з функцій служби є надання послуг Remote Desktop. Безсумнівно, даний сервіс не є безпечним, тому потребує відключення, що і робимо.
NetMeeting Remote Desktop Sharing - служба дозволяє певним користувачам отримувати доступ до робочого столу Windows. Давно ви користувалися Windows NetMeeting? І користувалися взагалі? Ріжемо.
Telnet - дозволяє віддаленим користувачам працювати з машиною за протоколом Telnet. Якщо ви не користуєтеся даними послугами, відключення відбудеться непомітно. Ріжемо.

Згідно зі статистикою, більшість зловмисників, які існують в мережі, ламають не встановлені системи, а шляхом сканування виявляють слабкі точки і роблять свої "брудні" справи. Щоб не стати їх жертвою, вам обов'язково потрібно встановити брандмауер. У комплекті з XP йде вбудований фаєрвол, але він не відповідає тим вимогам, які пред'являються хорошим програмним продуктам.

На жаль, тема і формат статті не дозволяє нам провести порівняльне тестування n-го кількості програм (що ми обов'язково зробимо в майбутньому), але, грунтуючись на своєму досвіді, я можу порадити вам зупинити свій вибір або на Outpost Firewall Free від Agnitum Limited, або на Zone Labs 'ZoneAlarm. За своєю функціональністю - це схожі продукти, тому вибір за вами.

На думку більшості IT-експертів, саме недбалість користувачів при складанні паролів великою мірою визначає хід подій при зломі. Паролі на призначені для користувача аккаунти зберігаються в файлі .sam в директорії systemroot \ system32 \ config \. Але доступ до файлу під час роботи комп'ютера не має навіть користувач з правами адміністратора.
Локально отримати доступ не складає ніяких труднощів. Мені бачиться два варіанти. Перший - завантажити на дискету альтернативну вісь (Trinux, PicoBSD), здатну читати з розділу NTFS, і прочитати файл. Другий - досить поширена зв'язка Win9x + WinXP, де перша система ставиться для ігор, а друга для роботи. І, природно, щоб уникнути зайвих маніпуляцій, користувачі охоче ставить WinXP на файлову систему FAT32 для отримання доступу до робочих файлів. Що з цього вийде - величезна діра в безпеці.
Паролі в Windows XP шифрується відразу за двома алгоритмами. Перший - LM-Hash, існуючий для аутентифікації в мережах LanMan, другий - NT-Hash. Алгоритм LM-Hash працює досить нерозумно, чим і користуються програми розшифровки паролів, що зберігаються в файлі .sam. LM-Hash розділяє отриманий пароль на частини по 7 символів (наприклад, якщо пароль з 10 символів, то пароль буде розділений на дві частини - 7 символів і 3), переводить всі символи у верхній регістр, шифрує кожну частину окремо, і два отриманих хеша об'єднує в LM-Hash.
Чи варто говорити про те, що пароль з десяти символом розшифрувати складніше, ніж два, що складаються з 7 і 3 символів? Цією огріхи і користуються програми для злому. Швидко розшифрувавши другу частину, можна скласти загальне враження про пароль, що, погодьтеся, погано. З огляду на вищесказане, пароль з 7 символом буде надійніше 8,9 або 10. Але боротися з цією проблемою можна. Для цього пройдемо по шляху Панель Управління - Адміністрування - Локальні параметри Безпеки, далі Локальні політики - Параметри безпеки, і шукаємо в списку опцію "Мережева безпека: рівень перевірки автентичності LAN Manager".
У випадаючому списку вибираємо "Відправляти тільки NTLM відповідь" і натискаємо на ok. Однією проблемою стало менше.

Для початку дайте відповідь на питання: ви коли-небудь замислювалися про те, наскільки легко можна вгадати ваш пароль? Якщо так, то добре. А якщо ні, то погано. Своєю халатністю ви тільки спростите роботу зломщика, яка поставила за мету укласти на лопатки вашу систему. У мережі Інтернет існує величезна кількість програм, що підбирають пароль методом bruteforce (або ж "в лоб"). Підбір може вестися як за словником, так і за певними правилами, встановленими хакером. По-перше, ніколи не використовуйте як паролі ПІБ, дату народження, кличку улюбленого собаки і т.д.
Цією інформацією дуже легко заволодіти, слідуючи звичайній логіці. Якщо людина без розуму від собак, то чому б йому не призначити паролем для доступу до e-mail ім'я свого улюбленого пса? Зловмисник же, дізнавшись це, легко представиться в ICQ таким же собаківником, і почне ретельне опитування. А ви, того не підозрюючи, в чисту викладіть всю інформацію про себе і свого вихованця.

Пароль потрібно придумати. І для цього є свій алгоритм, яким я поспішаю поділитися з вами. Візьміть папірець і напишіть будь-яке слово. Потім додайте дві цифри між букв. Залучіть до справи знак пунктуації, вставивши його в найнесподіваніше місце. З легко вгадується пароля password ми отримали pass2w! Ord. Міцний горішок, згодні? Ото ж бо.

За наполяганням компанії Microsoft, змінимо логін адміністратора на що-небудь більш звучне і одночасно менш кидає в очі. Тому пройдемо по Панель Управління - Адміністрування - Локальна політика безпеки. У випадаючому списку виберемо опцію "Локальна політика", далі Параметри безпеки, і після шукаємо в списку "Облікові записи: Перейменування облікового запису адміністратора". Придумуємо логін, і відповідно, вписуємо у вікні. І ще - ніколи не використовуйте аккаунт Адміністратора при щоденних справах. Для цього створіть інший користувальницький аккаунт, і саме з нього подорожуйте в мережі, працюйте і розважайтеся.

Нешкідливий на перший погляд файл заставки несе в собі велику небезпеку, так як всередині файлу може бути все що завгодно. Для виправлення бага потрібно пройти по наступного ключа в реєстрі - HKEY_USERS \ .DEFAULT \ Control Panel \ Desktop і знайшовши параметр ScreenSaveActive, привласнити значення 0.

Реєстр дуже корисна річ. Полазити, можна налаштувати систему так, що робота буде тільки в задоволення. Щоб не займати багато місця, розбиваючи по кроках, я вирішив представити вашій увазі підбірку ключів в системному реєстрі, пройти повз які неможливо.
Очищення файлу PageFile - HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Memory Management - присвоївши значення 1 параметру ClearPageFileAtShutdown, тим самим ви активуєте можливість видаляти при завершенні роботи всі дані, які могли зберегтися в системному файлі. Автоматичні видалення трешевих файлів після роботи в мережі Інтернет - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Cache - присвоївши 0 значенням Persistent, ви більше не будете змушені власноруч прати залишки подорожей по мережі Інтернет. Internet Explorer буде робити це за вас. Зручно.
Установка мінімальної кількості символів в паролі - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network - щоб відбити у вас бажання кожен раз вписувати пароль менше 6-ти символів, надайте значення hex: 6 параметру MinPwdLen. Відтепер всі паролі у вашій системі будуть більше 6 символів.
Вимагати паролі тільки з букв і цифр - HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network - попередній ключ відбив охоту придумувати пароль менше 6-ти символів. Дана опція змусити вас комбінувати при складанні пароля як літери, так і цифри. Активувати опцію можна присвоївши значення 1 параметру AlphanumPwds.

І останнє, що ми сьогодні виправимо, стосуватиметься програми Провідник. Мало хто знає, що в реєстрі можна вказати шлях, де фізично розташовується Провідник, щоб уникнути несанкціонованої заміни. Для цього пройдемо по _LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon і вкажемо повний шлях до Провідника.

Shared-ресурси, в народі звані просто "кулі", завжди були і будуть однією з головних головних болів користувачів Windows XP. Спочатку задуманий як неоціненна допомога для користувачів, що знаходяться в локальних мережах, проект містив безліч багів, якими неодмінно і користувалися зловмисники при захопленні віддаленої машини.
Але, не втримавшись, дам пораду користувачам локальних мереж. Якщо при роботі вам настільки необхідно часто обмінюватися файлами, для цього є більш безпечні методи.
Як приклад - створення ftp-сервера. Скажу по секрету, що такого роду матеріал планується для написання, так що чекайте анонсів та частіше заходьте на http://www.3dnews.ru/ ! Але повернемося до справи. Наше завдання - відключити розшарені ресурси, до чого і приступимо. Заглянемо в властивості диска C, потім на вкладку "Sharing".

Поглянувши на скріншот, ми бачимо, що у нас є розшарений диск. І його негайно потрібно відключити. Це потрібно зробити, зазначивши опцію "Do not share This Folder". Так потрібно зробити з усіма логічними дисками, що мають місце у вас в системі.
Ще одна особливість Windows XP - поява папки Shared Documents (Загальні документи). Переміщаємо в папку будь-який файл, і вуаля - він доступний по мережі. Щоб припинити дане неподобство, в який раз скористаємося послугами редактора системного реєстру. Пройдемо сюди - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MyComputer \ NameSpace \ DelegateFolders \ {59031a47-3f72-44a7-89c5-5595fe6b30ee}, видалимо в пух і прах цей розділ реєстру, після чого папка стане недоступна.

Все б добре, але розслаблятися ще рано. В системі присутній протокол під назвою NetBIOS, який також слід видалити від гріха подалі. Суть протоколу полягає в тому, що він надає віддалений доступ до файлів і папок і може розкрити небажану інформацію про комп'ютер. Сумнівів не залишилося? Тоді в властивості використовуваного з'єднання, у вкладці "властивості протоколу TCP / IP" -> "додатково" вибираємо пункт "відключити NetBIOS через TCP / IP". Там же прибираємо галочку навпроти сервісу "Доступ до файлів і принтерів мережі Microsoft".

Часто користувачі персональних комп'ютерів не цікавляться тим, які програмні продукти стартують при завантаженні системи. Цим фактом і користуються зловмисники, підсаджуючи трояни та іншу нечисть в автозавантаження.

Тому хоча б раз на тиждень запускайте програму msconfig (Пуск-Виконати), щоб перевірити, які утиліти завантажуються при старті. Крім автозавантаження, вирусописатели люблять засовувати старт своїх дітищ в наступні гілки реєстру:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ Run.
Виходів, як зазвичай, є безліч. Наприклад, можна проводити аудит даних гілок на предмет нових записів самостійно. А можна для цього використовувати програмний продукт, такий як RegMon.

А навіщо вам потрібні користувачі, обліковими записами яких ви ніколи і не скористаєтеся? Компанія Microsoft, крім стандартних записів, встигла запхати "секретні" облікові записи на кшталт SUPPORT_586975a0, яка, до речі, призначена для отримання віддаленої допомоги від служби технічної підтримки. Ви собі це уявляєте? Я - ні. І саме з цього беріть в руки пилку, рухайтеся у напрямку до Панель Управління - Адміністрування - Управління комп'ютером - Локальні користувачі та групи - Користувачі і починайте пиляти всіх, хто попадеться під гарячу руку.

Взагалі, дотримуючись порад різних IT-експертів, використовувати Internet Explorer в якості основного браузера для подорожей по мережі недоцільно. Виною тому величезна кількість вразливостей, щодня знаходять в коді. Наприклад, розберемо одну досить серйозну уразливість, яка дозволяє запускати будь-які додатки, наявні на жорсткому диску. Для цього наберемо в блокноті наступний html-код:

Зберігши код як exploit.html, запустіть його в браузері.

Якщо у вас сталося таке ж подія, як і показано на скріншоті, то використовуваний IE вразливий. Проявивши трішки фантазії, ви, безсумнівно, зможете придумати, як зловмисник може використовувати дану дірку в системі безпеки. І повірте мені, таких дірок буде ще багато. Але, а поки пройдіть по даному шляху - HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 0 і надайте значення dword: 00000001 параметру "104".

Про автора:

Мене звати Андрій Золкін . З більш, ніж п'ятнадцяти років роботи в сфері інформаційних технологій, десять років працюю з системами, що базуються на відкритому вихідному коді. На сторінках сайту Aitishnik.Ru веду блоги по CMC Joomla і Debian GNU / Linux.

Ще статті про Windows