Форум системных администраторов

IT => Windows => Тема начата: Retif от 03 ноября 2010, 11:42:34

Название: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: Retif от 03 ноября 2010, 11:42:34
Петер Губаревич, известный в айтишных кругах как WindowsNT, любезно согласился на публикацию своего Протокола на нашем форуме.
 
Руководство по настройке Microsoft Windows XP и Microsoft Windows Server 2003 для повышения уровня безопасности и максимально эффективной защиты от вирусов. - [attach=1]

Цитировать
В данном Руководстве рассказывается, как правильно установить операционные системы Microsoft Windows XP Professional и Windows Server 2003 и сконфигурировать их для безопасной работы на одиночных (в т.ч. домашних) компьютерах и в рабочих группах. Эту же методику, но с учётом некоторых особенностей, можно применять и для следующих систем:
  • Microsoft Windows 2000 всех версий;
  • Microsoft Windows XP Home (некоторые настройки придётся делать в системном реестре вручную, а также применять средства сторонних производителей);
  • Microsoft Windows Vista/Windows Server 2008.

Главное отличие Руководства от аналогичных документов заключается в том, что оно последовательно описывает точную конфигурацию, которую необходимо выполнить для получения защищённой от вирусного поражения  среды. Акцент смещён с "вы  можете настроить такие‐то параметры" на "вы должны указать конкретно такие‐то значения таких‐то параметров".
Несмотря на то, что документ ориентирован в первую очередь на одиночные машины и рабочие группы, данный подход не менее эффективно проявляет себя и в доменах Active Directory, где однажды выполненная настройка применяется сразу на большом количестве компьютеров.

От себя добавлю, что в документе основное внимание уделено настройке Software Restriction Policy.
Пример Инструкции Пользователя, выдаваемой конечным пользователям (предположительно, домашним) вместе с системой, настроенной по Протоколу. - [attach=2]
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: Xiatsu от 03 ноября 2010, 12:22:31
Shurikz а нет чего нибудь подобного по всусу, dfs, dns ну и каким нибудь службам windows?
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: Retif от 03 ноября 2010, 12:49:06
carlson, как Software Restriction Policy связано с DNS, DFS и WSUS?
Пожалуйста без флуда, в этой теме вопросы только по этим двум руководствам.
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: Hirurg от 09 ноября 2010, 20:13:59
самое страшное - это сидеть под учеткой встроенного админа.....вирусы хватает на глазах

особенно раздражает переделывать все после криворуких "админов"
многие недо-админы любят работу себе подкидывать..


ни дома ни на работе вирусов уж с год не видавал
обязательно обновляю ОС, антивирусы, файрвол + ограниченные учетки


интересные документы....завтра почитаю полностью...
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: Kazun от 09 ноября 2010, 22:13:53
Факт в том,что сейчас появились POC коды,которые с легкостью обходят SRP,Applocker.Осталось только грамотно скомпилировать dll(поменяв на свои параметры) и все прекрасно работает.Пример можно найти загрузка POC через PowerPoint(пример работает с Office 2007).А от подготовленного пользователя и явно не спасет.

Так,что теперь документ можно назвать,базовая защита и не как не 99%.

Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: Morleys от 09 ноября 2010, 22:23:04
Ты же нас конечно сейчас ссылками завалишь на сиё чудо ;)
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: Kazun от 09 ноября 2010, 22:26:16
http://www.securityfocus.com/bid/1699/exploit
depositfiles.com/files/tosmktxwp (готовая dll ) -лично у меня работает,Office 2007,только не надо говорить,что смени Office и прочее.
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: shs от 09 ноября 2010, 23:02:47
Осталось только грамотно скомпилировать dll(поменяв на свои параметры) и все прекрасно работает
Ну, тогда включаем более строкие настройки SRP: Применять SRP "ко всем файлам программ" (вместо "ко всем файлам программ, кроме библиотек (DLL)")
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: Kazun от 09 ноября 2010, 23:27:12
Осталось только грамотно скомпилировать dll(поменяв на свои параметры) и все прекрасно работает
Ну, тогда включаем более строкие настройки SRP: Применять SRP "ко всем файлам программ" (вместо "ко всем файлам программ, кроме библиотек (DLL)")
Вот теперь надо в статье написать,что требуется обязательный контроль DLL,что приводит к уменьшению производительности.
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: shs от 10 ноября 2010, 08:34:01
Осталось только грамотно скомпилировать dll(поменяв на свои параметры) и все прекрасно работает
Ну, тогда включаем более строкие настройки SRP: Применять SRP "ко всем файлам программ" (вместо "ко всем файлам программ, кроме библиотек (DLL)")
Вот теперь надо в статье написать,что требуется обязательный контроль DLL,что приводит к уменьшению производительности.
Написать надо (но это к автору).
Включил у себя контроль dll в SRP. Субъективно (на глазок, без замеров) падения производительности не заметил (возможно потому, что падение производительности из-за контроля dll при помощи SRP мало (по сравннеию с падением производительности, которое мне обеспечивает работающий на моем компьютере антивирусный монитор ;) )).
Не смотря на то, что SRP не является панацеей (даже в режиме с контролем dll), включать ее все равно надо. Ее эффективность в борьбе с большинством зловредов очень велика.
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: shs от 10 ноября 2010, 09:43:56
И вдогонку: SRP, к сожалению, не решает проблемы блокирования маросов и большинства другого активного содержимого, выполняющегося в своей собственной среде (а это, как видно из примера выше, может быть использовано для обхода|выключения самого SRP). Поэтому важно использовать встроенные механизмы защиты ПО, поддерживающего выполнение макросов, от выполнения зловредных макросов. Если вы не используете макросы в данном конкретном продукте - отключайте возможность их запуска напрочь, если используете - подписывайте и т.п.

ЗЫ Вот так, например, я отключаю использование встроенного JavaScript в Adobe Reader'е, который, зачем-то, включен по дефолту, и который за всю мою жизнь мне ни разу не понадобился.
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: Kazun от 10 ноября 2010, 17:36:11
Да,заманчиво,хорошо,что основная масса зловредного ПО пишется не достаточно обращающих внимание на SRP,Applocker.

А то некоторые вещи не радуют:
http://hype-free.blogspot.com/2009/07/bypassing-srp-from-powershell.html
http://hype-free.blogspot.com/2008/10/limitations-of-software-restriction.html
http://blog.didierstevens.com/2008/06/25/bpmtk-bypassing-srp-with-dll-restrictions/
runas /trustedlevel:"Unrestricted" cmd.exe
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: shs от 11 ноября 2010, 10:19:25
А то некоторые вещи не радуют

Меня заинтересовала эта фраза:
Цитировать
•Because Windows 7 (like Vista) changes the loading address at each reboot (ASLR), the actual patch address needs to be calculated relative to the base address of kernel32 (obtained via GetModuleHandle)


Мол, ASLR обойти - как два пальца об асфальт? Это правда?
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: shs от 11 ноября 2010, 10:30:30
runas /trustedlevel:"Unrestricted" cmd.exe
Я в шоке!

Запретил запуск runas.exe у себя на XP. Прверил: теперь runas не стартует, возможность запуска через GUI - ПКМ->"Запуск от имени.." продолжает работать. Надеюсь, что UAC не отвалится на Vista,7 после этих действий...
Название: Re: Руководство по настройке Windows для максимально эффективной защиты от вирусов
Отправлено: Kazun от 11 ноября 2010, 12:04:27
А то некоторые вещи не радуют

Меня заинтересовала эта фраза:
Цитировать
•Because Windows 7 (like Vista) changes the loading address at each reboot (ASLR), the actual patch address needs to be calculated relative to the base address of kernel32 (obtained via GetModuleHandle)


Мол, ASLR обойти - как два пальца об асфальт? Это правда?

Оказалось не сложно.
http://net-ninja.net/blog/?p=124
http://www.corelan.be:8800/index.php/2009/09/21/exploit-writing-tutorial-part-6-bypassing-stack-cookies-safeseh-hw-dep-and-aslr/