3. Содержание
• Операционная система – тонкая настройка
4. Настройка ОС
1. Форматирование разделов в файловой системе
NTFS
2. Установка операционной системы в
нестандартную папку (например OSRoot или
MyWindows)
5. Настройка ОС
Установка операционной системы в
нестандартную папку (например OSRoot или
MyWindows)
Вот примеры зловредов использующие например путь к папке Windows
в явном виде:
…
echo.set
a=Wscript.CreateObject(quot;Wscript.Shellquot;)>>c:windowssystemtmptmpdelis.v
bsquot;
echo.set
b=CreateObject(quot;Outlook.Applicationquot;)>>c:windowssystemtmptmpdelis.vbsquot;
echo.set c=b.GetNameSpace(quot;MAPIquot;)>>c:windowssystemtmptmpdelis.vbsquot;
echo.for y = 1 To c.AddressLists.Count>>c:windowssystemtmptmpdelis.vbsquot;
echo.set d=c.AddressLists(y)>>c:windowssystemtmptmpdelis.vbsquot;
…
Этот кусочек кода из Trojan-Dropper.BAT.Dmenu.k не будет работать, если
пользовательская система установлена не в папку c:windows
6. Настройка ОС
3. Пароль администратора не менее 10 символов,
пользователей – не менее 6.
4. Создание отдельных пользователей для каждого
человека использующего компьютер
5. Отключение лишних служб
Запускаем services.msc и отключаем
автоматический запуск
• Remote Registry
• Messenger
7. Настройка ОС
6. Отключение скриптов, ActiveX и проч. в Internet Explorer
Control Panel -> Internet Options -> Internet + Custom Level:
• Scripting (везде Disable)
• ActiveX controls and plugins (везде Disable)
• .NET Framework-reliant components ( Run components not
signed with Authenticode = Disable)
7. Настройка Проводника:
Control Panel -> Folder Options -> View:
(установить) Show hidden files and folders
(установить) Display the contents of system folders
(установить) Display the full path in the address bar
(снять) Hide extensions for known file types
(снять) Hide protected operating system files
(снять) Remember each folder’s view settings
8. Настройка ОС
Настройка Проводника:
Два варианта отображения файлов через Проводник: Показывать и
Скрывать расширения зарегистрированных типов файлов. В первом
случае пользователь может открыть “текстовый документ” не
подозревая, что это приложение. Во втором случае (при
использовании рекомендованных настроек) видно, что кто-то
пытается одурачить пользователя.
9. Настройка ОС
8. Запрет запуска следующих приложений
%WINDIR%System32ftp.exe %WINDIR%System32debug.exe
%WINDIR%System32at.exe %WINDIR%System32attrib.exe
%WINDIR%System32format.com %WINDIR%System32cacls.exe
%WINDIR%System32cscript.exe %WINDIR%System32wscript.exe
%WINDIR%System32edit.com %WINDIR%System32ipconfig.exe
%WINDIR%System32nbtstat.exe %WINDIR%System32netstat.exe
%WINDIR%System32netsh.exe %WINDIR%System32ping.exe
%WINDIR%System32tracrt.exe %WINDIR%System32tftp.exe
Запускаем gpedit.msc идём в LocalComputerPolicy->ComputerConfiguration-
>WindowsSettings->SecuritySettings->SoftwareRestrictionPolicies-
>AdditionalRules: там создать правила для запрета запуска файлов из
списка выше (меню Action->New Hash Rule…)
10. Настройка ОС
Запрет запуска следующих приложений
…
set IPCONFIG=%SystemRoot%system32ipconfig.exe
…
echo Checking DHCP ...
quot;%ipconfig%quot; -all | quot;%find%quot; /i quot;Leasequot; > nul
if errorlevel 1 (
rem trying other method for DHCP
quot;%ipconfig%quot; -all | quot;%find%quot; /i quot;DHCP-Serverquot; > nul
…
Этот кусочек кода из Trojan-Downloader.Win32.Agent.ahu не будет
работать, если пользователь запретил запуск ipconfig без его ведома.
11. Настройка ОС
9. Установка проверки целостности системных
файлов:
Start->Run: “sfc.exe /scanboot”
10. Отключение видимости компьютера в сети:
запускаем regedit и в *HKEY_LOCAL_MACHINE
SYSTEM CurrentControlSet Services
LanmanServer Parameters+ создаём значение
quot;Hiddenquot;='1'
13. Настройка Интернет
1. Не использовать широко распространенные
браузеры (IE,Opera,Firefox)
2. Запретить работу JavaScript/ActiveX/.Net
components. Разрешить только для доверенных
сайтов, добавив их в число надежных узлов
(Trusted zone) в IE
3. Не позволять браузеру и веб-страницам
запоминать пароли от ваших
веб-ресурсов, выполнять автоматический вход
14. Настройка Интернет
4. При вводе критичных конфиденциальных данных
(например номер и код для доступа к кредитной карте) на веб-
странице, убедитесь что с сервером установлено
SSL-соединение
(адрес страницы будет начинаться с “https://”)
5. Скачивая любые файлы из интернета, прежде всего
проверьте их антивирусом. Если антивируса нет -
воспользуйтесь бесплатным он-лайн сканером:
http://www.kaspersky.ru/virusscanner
6. Закончив работу, следует отключить компьютер от
интернета
15. Настройка Интернет
7. Следите за адресом веб-страницы и за настоящим
адресом скрываемым под текстом ссылки. Если вы
кликнули на ссылку www.gmail.com проследите на какую
страницу вы попали, если адрес открывшейся страницы
будет, например www.gmail-service.com или
www.gmaill.com , то это скорее всего подмена адреса и
ваши данные уйдут не на сервер Google Mail.
8. Если вы пытаетесь зайти на сайт антивирусной компании,
например www.kaspersky.ru, а сайт не доступен, при том,
что все остальные работают хорошо – проверьте
содержимое файла
%WINDIR%System32driversetchosts.
Если там содержится строчка 127.0.0.1 www.kaspersky.ru
то её следует удалить и попробовать зайти на сайт ещё раз
16. Настройка Интернет
9. Не скачивайте обновления ОС и программ
установленных на вашем компьютере с сайтов
отличных от сайтов производителей
10. При работе в интернет рекомендуется
установить персональный файервол с
возможностью блокировки рекламы
17. Настройка Интернет
11. Если вы не используете интернет, но видите что
система отсылает/скачивает данные в
интернет/из интернета стоит проверить какие
сетевые соединения открыты в системе. Это
можно сделать с помощью firewall, или с
помощью команды: netstat –a –o
в последнем столбце отобразиться
идентификатор процесса открывшего
соединение. Что это за процесс можно узнать
используя Диспетчер задач