Автор Тема: Руководство по настройке Windows для максимально эффективной защиты от вирусов  (Прочитано 43086 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9100
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Петер Губаревич, известный в айтишных кругах как WindowsNT, любезно согласился на публикацию своего Протокола на нашем форуме.
 
Руководство по настройке Microsoft Windows XP и Microsoft Windows Server 2003 для повышения уровня безопасности и максимально эффективной защиты от вирусов. - * Gubarevich Peter - Windows XP and Server 2003 Installation Protocol v1.2 (Russian).pdf (1533.62 кБ - загружено 4260 раз.)

Цитировать
В данном Руководстве рассказывается, как правильно установить операционные системы Microsoft Windows XP Professional и Windows Server 2003 и сконфигурировать их для безопасной работы на одиночных (в т.ч. домашних) компьютерах и в рабочих группах. Эту же методику, но с учётом некоторых особенностей, можно применять и для следующих систем:
  • Microsoft Windows 2000 всех версий;
  • Microsoft Windows XP Home (некоторые настройки придётся делать в системном реестре вручную, а также применять средства сторонних производителей);
  • Microsoft Windows Vista/Windows Server 2008.

Главное отличие Руководства от аналогичных документов заключается в том, что оно последовательно описывает точную конфигурацию, которую необходимо выполнить для получения защищённой от вирусного поражения  среды. Акцент смещён с "вы  можете настроить такие‐то параметры" на "вы должны указать конкретно такие‐то значения таких‐то параметров".
Несмотря на то, что документ ориентирован в первую очередь на одиночные машины и рабочие группы, данный подход не менее эффективно проявляет себя и в доменах Active Directory, где однажды выполненная настройка применяется сразу на большом количестве компьютеров.

От себя добавлю, что в документе основное внимание уделено настройке Software Restriction Policy.
Пример Инструкции Пользователя, выдаваемой конечным пользователям (предположительно, домашним) вместе с системой, настроенной по Протоколу. - * Optimal Solutions - 09-Jun-2008 - Optimal Product Guide (Russian).pdf (470.79 кБ - загружено 2036 раз.)
« Последнее редактирование: 03 ноября 2010, 12:54:39 от Shurikz »

Оффлайн Xiatsu

  • Постоялец
  • ***
  • Сообщений: 116
  • Рейтинг: 0
    • Просмотр профиля
Shurikz а нет чего нибудь подобного по всусу, dfs, dns ну и каким нибудь службам windows?

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9100
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
carlson, как Software Restriction Policy связано с DNS, DFS и WSUS?
Пожалуйста без флуда, в этой теме вопросы только по этим двум руководствам.

Оффлайн Hirurg

  • Новичок
  • *
  • Сообщений: 6
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
самое страшное - это сидеть под учеткой встроенного админа.....вирусы хватает на глазах

особенно раздражает переделывать все после криворуких "админов"
многие недо-админы любят работу себе подкидывать..


ни дома ни на работе вирусов уж с год не видавал
обязательно обновляю ОС, антивирусы, файрвол + ограниченные учетки


интересные документы....завтра почитаю полностью...
"Забей на все и не парься по пустякам"

Оффлайн Kazun

  • Пользователь
  • **
  • Сообщений: 73
  • Рейтинг: 9
    • Просмотр профиля
  • Откуда: Иваново
Факт в том,что сейчас появились POC коды,которые с легкостью обходят SRP,Applocker.Осталось только грамотно скомпилировать dll(поменяв на свои параметры) и все прекрасно работает.Пример можно найти загрузка POC через PowerPoint(пример работает с Office 2007).А от подготовленного пользователя и явно не спасет.

Так,что теперь документ можно назвать,базовая защита и не как не 99%.

« Последнее редактирование: 09 ноября 2010, 22:15:37 от Kazun »

Оффлайн Morleys

  • Постоялец
  • ***
  • Сообщений: 375
  • Рейтинг: 12
  • Пол: Мужской
  • Мурр... Мяу!
    • morleys.ru
    • Просмотр профиля
  • Откуда: Питер!
Ты же нас конечно сейчас ссылками завалишь на сиё чудо ;)

Оффлайн Kazun

  • Пользователь
  • **
  • Сообщений: 73
  • Рейтинг: 9
    • Просмотр профиля
  • Откуда: Иваново
http://www.securityfocus.com/bid/1699/exploit
depositfiles.com/files/tosmktxwp (готовая dll ) -лично у меня работает,Office 2007,только не надо говорить,что смени Office и прочее.

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Осталось только грамотно скомпилировать dll(поменяв на свои параметры) и все прекрасно работает
Ну, тогда включаем более строкие настройки SRP: Применять SRP "ко всем файлам программ" (вместо "ко всем файлам программ, кроме библиотек (DLL)")

Оффлайн Kazun

  • Пользователь
  • **
  • Сообщений: 73
  • Рейтинг: 9
    • Просмотр профиля
  • Откуда: Иваново
Осталось только грамотно скомпилировать dll(поменяв на свои параметры) и все прекрасно работает
Ну, тогда включаем более строкие настройки SRP: Применять SRP "ко всем файлам программ" (вместо "ко всем файлам программ, кроме библиотек (DLL)")
Вот теперь надо в статье написать,что требуется обязательный контроль DLL,что приводит к уменьшению производительности.

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Осталось только грамотно скомпилировать dll(поменяв на свои параметры) и все прекрасно работает
Ну, тогда включаем более строкие настройки SRP: Применять SRP "ко всем файлам программ" (вместо "ко всем файлам программ, кроме библиотек (DLL)")
Вот теперь надо в статье написать,что требуется обязательный контроль DLL,что приводит к уменьшению производительности.
Написать надо (но это к автору).
Включил у себя контроль dll в SRP. Субъективно (на глазок, без замеров) падения производительности не заметил (возможно потому, что падение производительности из-за контроля dll при помощи SRP мало (по сравннеию с падением производительности, которое мне обеспечивает работающий на моем компьютере антивирусный монитор ;) )).
Не смотря на то, что SRP не является панацеей (даже в режиме с контролем dll), включать ее все равно надо. Ее эффективность в борьбе с большинством зловредов очень велика.
« Последнее редактирование: 10 ноября 2010, 10:15:10 от shs »

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
И вдогонку: SRP, к сожалению, не решает проблемы блокирования маросов и большинства другого активного содержимого, выполняющегося в своей собственной среде (а это, как видно из примера выше, может быть использовано для обхода|выключения самого SRP). Поэтому важно использовать встроенные механизмы защиты ПО, поддерживающего выполнение макросов, от выполнения зловредных макросов. Если вы не используете макросы в данном конкретном продукте - отключайте возможность их запуска напрочь, если используете - подписывайте и т.п.

ЗЫ Вот так, например, я отключаю использование встроенного JavaScript в Adobe Reader'е, который, зачем-то, включен по дефолту, и который за всю мою жизнь мне ни разу не понадобился.

Оффлайн Kazun

  • Пользователь
  • **
  • Сообщений: 73
  • Рейтинг: 9
    • Просмотр профиля
  • Откуда: Иваново
Да,заманчиво,хорошо,что основная масса зловредного ПО пишется не достаточно обращающих внимание на SRP,Applocker.

А то некоторые вещи не радуют:
http://hype-free.blogspot.com/2009/07/bypassing-srp-from-powershell.html
http://hype-free.blogspot.com/2008/10/limitations-of-software-restriction.html
http://blog.didierstevens.com/2008/06/25/bpmtk-bypassing-srp-with-dll-restrictions/
runas /trustedlevel:"Unrestricted" cmd.exe
« Последнее редактирование: 10 ноября 2010, 17:46:21 от Kazun »

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
А то некоторые вещи не радуют

Меня заинтересовала эта фраза:
Цитировать
•Because Windows 7 (like Vista) changes the loading address at each reboot (ASLR), the actual patch address needs to be calculated relative to the base address of kernel32 (obtained via GetModuleHandle)


Мол, ASLR обойти - как два пальца об асфальт? Это правда?
« Последнее редактирование: 11 ноября 2010, 10:21:34 от shs »

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
runas /trustedlevel:"Unrestricted" cmd.exe
Я в шоке!

Запретил запуск runas.exe у себя на XP. Прверил: теперь runas не стартует, возможность запуска через GUI - ПКМ->"Запуск от имени.." продолжает работать. Надеюсь, что UAC не отвалится на Vista,7 после этих действий...
« Последнее редактирование: 11 ноября 2010, 11:43:21 от shs »

Оффлайн Kazun

  • Пользователь
  • **
  • Сообщений: 73
  • Рейтинг: 9
    • Просмотр профиля
  • Откуда: Иваново
А то некоторые вещи не радуют

Меня заинтересовала эта фраза:
Цитировать
•Because Windows 7 (like Vista) changes the loading address at each reboot (ASLR), the actual patch address needs to be calculated relative to the base address of kernel32 (obtained via GetModuleHandle)


Мол, ASLR обойти - как два пальца об асфальт? Это правда?

Оказалось не сложно.
http://net-ninja.net/blog/?p=124
http://www.corelan.be:8800/index.php/2009/09/21/exploit-writing-tutorial-part-6-bypassing-stack-cookies-safeseh-hw-dep-and-aslr/