Отключаем опасные службы, закрываем дыры в браузерах, настраиваем почту на шифрование, включаем BitLocker, и другие важные рекомендации!
(тут не затрагиваются вопросы прав доступа: учетных записей пользователей, локальных сетевых пользователей к ресурсу, сетевых и др.)
Общие советы:
- никогда не устанавливайте на компьютер программы неизвестных, сомнительных разработчиков, а также бывших известных, типа ANB и ЦРУ
- скачивать программы только с официальных сайтов разработчиков
- при скачивании из интернета проверять хэш суммы файлов на соответствие оригиналу
- не устанавливайте сомнительные плагины в браузер
- не устанавливайте компоненты ActiveX, Flash Player в браузер при предложении веб сайтов из их источников (кроме сайтов разработчиков)
- не сохраняйте картинки с интернета, безопаснее сделать её скриншот. обнаружение закладок в картинке / как вкладывают вирусы в картинки
- не используйте keygen, crack, patch на своем компьютере
- пользоваться фаерволом, маршрутизатором для выхода в интернет (не забудьте сменить логин и пароль, по умолчанию стоит: admim/admin)
- использовать динамический DNS
- не пользоваться неизвестными бесплатными прокси серверами (там сохраняется информация)
- для соединения удаленных компьютеров через интернет используйте VPN
- иногда меняйте MAC-адрес и имя компьютера, читать система слежения "Интегрум"
- закрывайте или отключайте видеокамеру от компьютера после сеанса связи
- отключаем встроенный микрофон в ноутбуке, ссылка
- пользуйтесь ограниченной учетной записью пользователя, а учетную запись администратора отключайте.
......................................
Отключить следующие службы:
- службы удаленных рабочих столов
- служба удаленного управления Windows (WS-Management)
- маршрутизация и удаленный доступ (если не используете VPN подключение)
- удаленный реестр
Включить следующие службы:
- проверку подлинности 802.1X запустив службу Проводная настройка, после чего появится меню "Проверка подлинности" в свойствах "подключение по локальной сети" в центре управления сетями
- агент защиты сетевого доступа (napagent), включить клиентов принудительной защиты
......................................
Почта:
- правильно составьте контрольный вопрос для восстановления почтового ящика, избегая стандартных ответов.
- почту получать и отправлять лучше через специальные программы (тем самым исключив уязвимости браузеров), например: Microsoft Outlook, The Bat, Thunderbird, предварительно настроив их на шифрованное соединение с вашим почтовым ящиком (имейте в виду, что соединение будет защищено до вашего почтового ящика на сервере, а дальше не факт, что тот, кто отправил вам почту, тоже настроил свой почтовый ящик правильно, поэтому конфиденциальные файлы нужно передавать только в запароленно\зашифрованном архиве). Кто созрел для GPG, смотреть: Enigmail \ Настройка gpg \ Видео
- установить пароль на вход в почтовую программу, а папку хранения писем на компьютере можно еще и шифровать
.....................................
Настройки браузеров:
- отключите использование «JavaScript» в связи с большим количеством уязвимостей в нем
- блокировать всплывающие окна
- включить защиту от фишинга
- включить автоматическую очистку cookie после закрытия браузера
- можно отключить кэш и базы даных веб-сайтов
- отключить историю автозаполнения в адресной строке
- включить расширенный защищенный режим в IE
- блокировать небезопасные рисунки и другой смешанный контент в настройках Internet Explorer
- защитить файл hosts от изменений с помощью антивирусных программ или придав ему атрибут "только для чтения"
- отключаем в браузере Firefox: geo ip, технологию WebRTC, отправку сведений о загружаемых файлах в google. описание настроек
для этого в адресной строке Firefox набираем about:config и ищем настройки: geo.enable, media.peerconnection.enabled, browser.safebrowsing.downloads.enabled, меняем значение на fastle, и проверяем определился ли ваш локальный ip адрес на whoer.net раскрыв меню расширенных сведений.
........................................
Пароли и шифрование:
- включить пароль учетной записи пользователя и главного администратора (по умолчанию он отключен). Имейте ввиду, что этот пароль скидывается в течении 15 минут путем изменения значений в реестре вызванном через командную строку с загрузочного диска windows ссылка
- включить BitLocker для системного раздела, хранить ключ-файл в TPM модуле или на флэшке
- включить дополнительное шифрование базы данных учетных записей командой Syskey в командной строке (для WindowsXP)
- шифровать конфиденциальную информацию в папках, файловым шифрованием-EFS, хранить копию сертификата шифрования на другом носителе, для последующего восстановления доступа, в случае переустановки системы (не шифровать системный раздел, так как перестает работать восстановление системы)
- включить защищенное хранилище (Protected Storage) - это обеспечивает защищенное хранение секретных данных, таких, как закрытые ключи, для предотвращения несанкционированного доступа служб, процессов или пользователей. Позволяет сохранять локальные пароли или веб-информацию (автозаполнение). По умолчанию данная служба включена в автоматическом режиме, но из соображений безопасности ее можно отключить. С другой стороны, данная служба может вам понадобиться при работе с зашифрованными данными и ключами от различных программ. Если вы сохраняете пароли в Outlook Express, подключениях к Интернету по модему или через контроллер домена, что требует идентификации, то оставьте службу в режиме "Автоматически".
- включить шифрование файла подкачки. ОС пишет данные оперативной памяти в файл подкачки, если ей не хватает ресурсов, затем извлекает их оттуда.
Включить можно введя в командной строке: fsutil behavior set encryptpagingfile 1
Выключить шифрование: fsutil behavior set encryptpagingfile 0
.......................................
Локальная политика безопасности:
- проверить настройки консоли восстановления ( автоматический вход администратора , копирование и доступ ко всем дискам и папкам )
- не используйте гаджеты "смотрящие наружу" (погода, валюта, новости). Microsoft рекомендует вообще отключить боковую панель, ссылка
- отключить ненужные общие ресурсы скриншот /описание / как отключить ссылка Большинсто людей, работающих в локальных сетях, даже не подозревают о том, что можно обратиться к их диску C: и посмотреть их личные документы. Они считают: раз я не ставил общий доступ к папкам на моем компьютере, то другие пользователи не смогут туда залезть...
.......................................
Аппаратный уровень безопасности
- проверьте, поддерживает ли ваш процессор запрет исполнения данных DEP
.......................................
BIOS
- установить пароль на вход, как известно с помощью специальных программм уже давно можно удаленно заходить в настройки BIOS;
- отключить удаленную загрузку компьютера но сети (LAN Option ROM);
- отключить обновление BIOS по сети;
- отключить пробуждение, включение компьютера по сети (Wake On LAN) при поступлении «магического» пакета по сети или звонка на модем, подключенный к телефонной линии;
- включить защиту HDD диска от записи (Hard Disk Write Protect), эта функция запрещает, например, установку операционной системы;
- включить программно-аппаратный механизм защиты процессора от переполнения буфера (Execute Disable Bit);
- включить распознавание загрузочных вирусов (Boot Virus Detection / Virus Warning / Anti-Virus Protection). Эта настройка защищает загрузочный сектор и таблицу разделов жесткого диска от загрузочных вирусов. Любая попытка записи на участках загрузочного сектора и таблицы разделов вызовет остановку системы, и появление предупреждающего сообщения. В таком случае вы сможете перезапустить компьютер с зараннее созданной загрузочной дискеты или диска восстановления системы. Во избежание ошибок записи при установке новых операционных систем требуется, чтобы этот параметр был отключен (Disabled).
В разных версиях BIOS настройки могут отличаться по названию!
.......................................
Чистим:
Microsoft Office
- отключаем список недавно открытых документов в настройках Word
- чистим папку C:\Users\имя вашей учетной записи\AppData\Roaming\Microsoft\Office\Последние файлы
Проигрыватель Windows Media
- отключаем список последних проигрываемых файлов
- отключаем синхронизацию с USB носителем где хранится ключ запуска BitLocker
Windows
- удаляем сертификаты от удаленных программ
- отключаем список недавно открывавшихся программ
- очищаем хранилище временных файлов системы C:\Windows\Temp В операционной системе Windows постоянно происходят много всяких процессов, принадлежащих как самой ОС, так и установленным программам. В процессе этой работы, для сохранения промежуточного или незаконченного результата своей деятельности, все запущенные приложения создают временные файлы данных и активно пользуются ими.
- очищаем хранилище временных файлов пользователя, по адресу C:\Users\Имя пользователя\AppData\Local\Temp
- очищаем папку временных файлов интернета, по адресу C:\Users\Имя пользователя\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
- чистим папку быстрого запуска приложений C:\Windows\Prefetch Всякий раз при включении компьютера Windows отслеживает способ его запуска и приложения, которые обычно открываются. Эти сведения сохраняются Windows в папке Prefetch.
- удаляем оставшиеся папки от удаленных программ C:\ProgramData В этой папке хранят свои настройки, журналы, установленные на компьютере программы.
- удаляем оставшиеся папки от удаленных программ C:\Users\Имя пользователя\AppData\Roaming Здесь лежат настройки большей части установленных программ. На первый взгляд папка Roaming в App Data полностью копирует папку Local по своему содержанию, но это все не так просто. На самом деле эта папка хранит все настройки, выставленные пользователем, в том числе тут будут данные браузеров, закладки и другое, т.е информация именно об установленных программах. Если ее, к примеру, перенести вместе с собственным профилем на другой комп, то настройки тоже перейдут на него. Если удалить оттуда какую-либо папку или папку целиком, то программы не будут запускаться и придется заново устанавливать ее. Ни в коем случае не удаляйте саму папку.
- удаляем последние контрольные точки восстановления системы
- очищаем файл подкачки скрин (после перезагрузки выставляем настройки в исходное состояние)
- затираем свободное пространство диска специальными программами (CCleaner)
адрес в реестре действий пользователя, для win7: HKEY_USERS\S-1-5-21-1200180424-3191515354-140177054-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
_____________________________
_ Антивирусные программы отслеживают наш сетевой трафик !
|