Forum wszystko o hackingu i nie tylko Strona Główna
RejestracjaSzukajFAQUżytkownicyGrupyGalerieZaloguj
Bepieczeństwo

 
Odpowiedz do tematu    Forum wszystko o hackingu i nie tylko Strona Główna » Windows Zobacz poprzedni temat
Zobacz następny temat
Bepieczeństwo
Autor Wiadomość
haker512
Administrator
 Administrator



Dołączył: 07 Lut 2007
Posty: 58
Przeczytał: 0 tematów

Ostrzeżeń: 0/5
Skąd: Kłodawa

Post Bepieczeństwo
1.Po pierwsze jeżeli już bierzemy się za robienie bezpiecznej windy to powinnismy przeinstalowac ja (tak na wszelki wypadek gdyby juz jakies szajsy sie nam wchrzanily na kompa [na 100% tak jest ;D] .Szybki format i instalacja. Nastepnie musimy uaktulnic wszytkie stery i PROGRAMY typu winamp, WMP itp. (ponioeważ to czesto w nich znajduja sie rozne bugi.) Dobra gdy mamy juz jako taka winde warto zainstalowac Ad-aware Pro i jakiegos dobrego AV np Avasta!.[najlepiej tez w wersji Pro]
----
Nastepnie co jest roniez rzecza wazna instalujemy wszelkie poprawki (najwazniejsze to SP1 iSP2[ServicePacki-dostepne na stronie microsoftu]) nastepnie klikamy prawym na moj komputer przechodziy do zakladki Aktualizacji automatycznych i zaznaczamy je. Wylaczamy przy tym tak zwany ,,pulpit zdalny."[zakładka na lewo]
Kwestią związaną z trzymaniem systemu w jak najbardziej aktualnej postaci jest wybór wersji językowej. Polska lokalizacja XP, podobnie jak i lokalizacje innych produktów Microsoftu, zazwyczaj nie są traktowane priorytetowo. Dlatego też często zdarza się, że łatka do znanego problemu jest już dostępna, jednak tylko dla angielskiej edycji (same Service Packi wychodzą z kilkumiesięcznym opóźnieniem!). To spory argument ZA używaniem angielskiej wersji systemu, która przecież z powodzeniem obsługuje polskie czcionki, klawiaturę czy polskie programy.
----
Bezwględnie polecam korzystanie z NTFS'a zamiast staruszka FAT'a. Dlaczego? Z kilku powodów - przede wszystkim, system ten oferuje zaawansowane możliwości kontroli dostępu do zasobów. Dzięki temu można swodobnie ustawiać prawa odczytu i zapisu nawet dla pojedyńczych plików czy katalogów (co przyda się w opisywanym później udostępnianiu materiałów w sieci lokalnej czy też tworzeniu tzw. bezpiecznych katalogów, w których w sposób zaszyfrowany przechowywać możemy swoje najcenniejsze rzeczy). Mało tego, NTFS jest znacznie bardziej odporny na uszkodzenia (powstałe np. w wyniku zawieszenia się lub spontanicznego restartu komputera). Jeśli zainstalowaliśmy już system na partycji FAT'owej, możemy skorzystać z narzędzia do konwersji. Wpisując w polu Start/Run polecenie convert c: /fs:ntfs dokonamy konwersji istniejącego systemu plików na dysku c: bez utraty istniejących danych.
----
Windows XP w trakcie instalacji tworzy konta użytkowników: Administrator i Guest. Dzięki temu potencjalny hacker od razu zna przynajmniej dwa funkcjonalne loginy, a to czasem już całkiem sporo. Można to prosto i szybko poprawić. Uruchamiamy secpol.msc (np. przez Start/Run), rozwijamy zakładkę Local Policies i wybieramy Security Options. Interesujące nas opcje to Accounts: Rename administrator account i Accounts: Rename guest account. Zmieniamy w tym miejscu te dwie wartości na wybrane przez nas. Następnie opcję Accounts: Guest account status ustawiamy na Disabled, żeby uniemożliwić anonimowy dostęp do naszego komputera. W celu udostępniania plików najlepiej jest zrobić osobne konto użytkownika i jego hasło przekazać tylko tym, którym z całą pewnością chcemy dać dostęp do naszych zasobów.
---
W tej samej zakładce, w której edytowaliśmy parametry kont administratora i gościa, warto wyłączyć (ustawić na Disabled) następujące opcje:


Interactive logon: Do not require CTRL+ALT+DEL.
Network access: Allow anonymous SID/name translation.
Network access: Let Everyone permissions apply to anonymous users.
Recovery console: Allow automatic administrative logon.
Recovery console: Allow floppy copy & access to all drives & all folders.
Natomiast jako włączone (Enabled) z kolei te:


Devices: Restrict CD-ROM access to locally logged-on user only.
Devices: Restrict floppy access to locally logged-on user only.
Interactive logon: Do not display last user name.
Network access: Do not allow anonymous enumeration of SAM accounts.
Network access: Do not allow anonymous enumeration of SAM accounts & shares.
Network security: Do not store LAN Manager hash value on next password change.
System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links).
Wejdźmy teraz w zakładkę Local Policies/User Rights Assignements. Także tutaj jest kilka ciekawych rzeczy, o których wypada wiedzieć:


Access this computer from network: ta opcja pozwala wybrać nazwy konkretnych użytkowników, którzy będą mieli dostęp do tego komputera z sieci. Najlepiej pozostawić tam jedynie stworzonych własnoręcznie (publiczne konto Guest wyłączyliśmy już wcześniej) użytkowniów tylko na użytek połączeń sieciowych.
Deny access to this computer from the network: tutaj możemy podać użytkowników, którym chcemy zabronić możliwości, którą omawialiśmy powyżej. Jeśli jednak poprzednią opcję skonfiguruje się wg. naszych zaleceń, nie potrzeba już tutaj dodatkowo potwierdzać swojego wyboru. Niemniej, warto wiedzieć o takiej możliwości.
Deny logon locally i Deny logon through Terminal Services: tutaj podajemy nazwy użytkowników, którym chcemy zabronić logowania się na nasz komputer - czy to w formie bezpośredniej posiadając fizyczny dostęp do maszyny, czy też przez usługi zdalnego dostępu. Należy tutaj podać wszystkich użytkowników, których używamy do udostępniania plików czy innych zasobów (drukarki itp) w sieci (namawialiśmy do tego przy okazji wyłączania konta Guest).
Ponadto, w zakładce Computer Configuration/Administrative Templates/System/Windows File Protection modułu gpedit.msc (uruchamiamy go tak samo jak secpol.msc) znajdźmy opcję Set Windows File Protection scanning. WFP to moduł sprawdzający integralność systemu reagujący na próbę podmiany kluczowych jego plików. Różne poradniki wyciskania siódmych potów z XP zalecają wyłączenie WFP, my jednak ostrzegamy, że fakt ten zdecydowanie odbije się na stabilności i bezpieczeństwu. Dlatego też radzimy ustawić tą opcję na Enabled/Scan during setup, dzięki czemu sprawdzanie będzie dokonywane dodatkowo przy każdym restarcie.
---
Ciężko jest wymyślić hasło, którego nie da się zcrakować. Skupmy się zatem na tym, żeby ewentualne złamanie hasła uczynić jak najcięższym zadaniem. A że do problemu stosowania haseł podchodzimy w większości przypadków ze znudzeniem i rutyniarstwem, czas nałożyć sobie samemu ograniczenia, które przypomną o konieczności dbania o bezpieczeństwo. W tym celu ponownie uruchamiamy program secpol.msc, rozwijamy zakładkę Account Policies i wybieramy Password Policy. Jest tutaj klika opcji, z którymi warto się bliżej zapoznać:


Enforce password history: ustala, ile razy musimy zmienić własne hasło, nim będziemy mogli ponownie użyć któreś stosowane już wcześniej. Najlepiej unikać czegoś takiego zupełnie, dlatego też zalecamy ustawienie tej opcji na najwyższą możliwą wartość, 24.
Maximum password age: określa, jak długo możemy używać danego hasła. Po upływie tego czasu (liczonego w dniach) zostaniemy poproszeni o zmianę. Defaultowa wartość 0 jest raczej niewskazana, zalecalibyśmy ustawienie jej na rząd 30-60 dni.
Minimum password length: to minimalna liczba znaków, jaką może mieć dopuszczalne hasło. Zalecamy ustawienie tej wartości na minimum 6-8.
Password must meet complexity requirements: to opcja, której włączenie powoduje akceptowanie haseł o dużej złożoności. System nie zaakceptuje wtedy hasła zawierającego w sobie ciąg znaków z loginu lub takiego, które nie składa się z dużych i małych liter oraz cyfr i znaków specjalnych.
Opcje te szczególnie przydatne są, gdy chcemy narzucić innym użytkownikom stosowanie się do odpowiednio wysokich standardów zabezpieczeń (co może się przydać, kiedy współdzielimy komputer z innymi ludźmi). Jest też i batem dla nas samych - jeśli system przypomni nam o konieczności zmiany hasła, prościej będzie je zmienić (tutaj Windows z odpowiednimi ustawieniami zadba o to, żebyśmy wybrali w miarę bezpieczny ciąg znaków) niż grzebać w ustawieniach zabezpieczeń w secpol.msc Smile
---

Warto też skorzystać z narzędzi, które w bezpieczny sposób przeskanują nasz system w poszukiwaniu dziur w zabezpieczeniach. Polecane przez nas to:


Microsoft Baseline Security Analyzer: Narzędzie autorstwa Microsoftu, które pomoże wytknąć nam dziury w posiadanym systemie.
Qualys BrowserCheck: Ciekawa strona webowa, która próbuje robić użytek z instejących w naszej przeglądarce dziur. Przedstawia odpowiedni raport i sugestie rozwiązania problemów.
XP AntiSpy: Bardzo popularny program do wykrywania i wyłączania wszystkich opcji Windowsa XP mogących umożliwić komuś naruszenie naszej prywatności. Jedno z najlepszych narzędzi tego typu.
Privacy Inspector: Nie chcecie żeby dzieci, rodzeństwo, szef czy ktokolwiek inny mający fizyczny dostęp do komputera którego właśnie używaliście, mógł podejrzeć co robiliście? Z pomocą przyjdzie program Privacy Inspector 1.0. To ciekawe narzędzie wyczyści komputer ze wszelkich śladów prywatnych informacji, jakie mogą zostać w pamięci w różnych miejsach. Bufory cache, wpisy w rejestrach, historie wywołań, ostatnio przeglądane dokumenty itd... Ma zaawansowane funkcje kontroli nad tym, czego chcemy się pozbyć, oferuje też metody zabezpieczania danych przez szyfrowanie.
Lavasoft AD-Aware: Narzędzie skanujące cały system (pliki, rejestr, ...) w poszukiwaniu komponentów figurujących na listach oprogramowania znanego jako SpyWare (czyli ingerującego w prywatność użytkowników).
SpyStopper: Cały czas monitoruje przeglądarkę webową pod kątem korzystania z treści naruszających prywatność.
---

Ważna rzecza jest rowniez odinstalowanie calkowicie Internet Explorera a wzamian zainstalowac sobie albo Opere(polecam) albo FireFoxa

=========================
//////////////////Zmaiana praw dostepu/////[pochodzi z faq brain fackerra!!!/////////////////////////////

=Zakładanie konta...
1. Mój komputer->Panel Strowania->Konta użytkowników, podajemy nazwę konta i dajemy typ jako ograniczone.
2. Zakładany hasło na nowo utworzone konto i hasło na konto administratora, wszystko w aplecie konta użytkowników.

i tutaj wychodzi pewna słabość windowsa odnośnie zabezpieczeń, uprawnienia dostępu do plików i folderów są przyznawane domyślnie ;-/ co nam się nie podoba więc to zmieniamy:
Mój komputer->Panel Strowania-> Wygląd i kompozycje->Opcje folderów, w widok odznaczamy "używaj prostego udostępniania plików (zalecane). Teraz możemy przyznawać lub odmawiać dostępu do każdego pliku/folderu na naszym dysku ale zanim to zrobimy trzeba się zalogować na nowo utworzone konto i pokonfigurować sobie środowisko pracy itp. (to jest opcjonalne ale może jednak pomóc)

=Konfigurujemy uprawnienia ...

Teraz wystarczy odrobinę pomyśleć. Na pewno katalogi Windows i Program Files powinny być tylko do odczytu (dzięki temu żadna aplikacja nie będzie nam się mogła bez naszej wiedzy i zgody zainstalować w systemie czy modyfikować plików systemowych):

Jako administrator kilkamy prawym na katalog Windows i przechodzimy do zakładki zabezpieczenia. W "nazwa grupy lub użytkownika" dajemy dodaj otwiera nam się kolejne okienko w "Wprowadź nazwy obiektów do wybrania" piszemy nazwę konta z ograniczeniami i kilkamy na ok. Teraz powinno się ono pokazać w "nazwa grupy lub użytkownika" Zaznaczmy je i w uprawnienia odznaczamy wszystko, następnie zaznaczamy w zezwalaj na odczyt a w odmów zapis.

Analogiczne postępujemy z Program Files: w zezwalaj dajemy:odczyt, wyświetlij zawartość, a w odmów: zapis, zeszta powinna być odznaczona.

=========/////////////Ode mnie////////////////
Polecam rowniez zablokowac zapis w folderze autostart a takze prawa odczytu i zapisu dla plikow cmd.exe, command.com oraz regedit.exe.
=============

=Zabezpieczanie kluczy rejestru...

Jako administrator uruchamiany program regedit.exe i przechodzimy do:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
zaznaczamy i dajemy na uprawnienia. Dodajemy użytkownika tak jak zrobiłem to troszkę wyżej i zaznaczamy z zezwól na odczyt, reszta powinna być odznaczona.

=Blokowanie dostępu do niebezpiecznych narzędzi

C:\windows\system32\ftp.exe i tftp.exe czyli systemowy klient ftp, cześć wirusów go wykorzystuje a my go nie używamy, przecież można zkorzystać z innych klientów Very Happy więc proponuję go całkowicie zablokować lub skasować Smile
(odmów odczyt)

C:\windows\system32\netsh.exe czyli konfigurator firewalla + sieci proponuję go zablokować
(odmów odczyt)

=Co nam wolno a co nie ?

Na nowo utworzonym koncie możemy robić wiele rzeczy Very Happy serfować po necie, programować i używać programów bez jakichkolwiek ograniczeń. Jeśli gramy w gry to ważne aby w C:\Program Files\GRA\SaveGame dać uprawnienia do odczytu i zapisu.
Konta admina będziemy wykorzystywać tylko do instalacji programów i konfiguracji systemu. Możemy tworzyć i modyfikować pliki w swoim katalogu domowym itp. W brew pozorom możemy normalnie korzystać z tego konta.

=Dobra ale po co to wszystko ?

Odpalane programy nie mogą modyfikować systemu, nie zainstaluje się nam w systemie żaden trojan czy spware. Będziemy częściowo odporni na ataki nowych robaków sieciowych. No i sami sobie nie uszkodzimy tak łatwo systemu Wink .

============================
Ode mnie

No i doszlismy do konca FaQa ;DD Tak zrobiony windows jest naprawde BARDZO bezpiecznym OS'em. I jezeli nie bedziemy mieli jakiegos super pecha to nasz komp jest bezpieczny przed Wiekszoscia trojanami, virami itp.[Pomijajac oczywiste zagrozenia plynace z exploitow wychodzacych co jakis czas w necie(jednak po to wlasnie mamy aktualizacje automatyczne ;DDD)]. Fakt Faktem ze pingwinkowiw security Winda raczej nie dorowna ale mozna na niej naprawde komfortowo pracowac.

Darknoid


Post został pochwalony 0 razy
Pią 22:44, 09 Lut 2007 Zobacz profil autora
Wyświetl posty z ostatnich:    
Odpowiedz do tematu    Forum wszystko o hackingu i nie tylko Strona Główna » Windows Wszystkie czasy w strefie EET (Europa)
Strona 1 z 1

 
Skocz do: 
Możesz pisać nowe tematy
Możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach


fora.pl - załóż własne forum dyskusyjne za darmo
Powered by phpBB © 2001, 2005 phpBB Group
Design by Freestyle XL / Music Lyrics.
Regulamin
Na skróty:UwagaHackingKursy ProgramowaniaDownloadReklamaBezpieczeństwoWindowsLinuxLicznikRóżneróżneRóżne programy hakerskieróżneBezpieczeństwo serwerówExploityExploityPrzechwytywanie informacji w sieciach LANGadu-GaduDoSXSSŁatyWindowsPHPXHTMLSkaneryPhishingHTMLBugtraqAssemblerC/C++