Защита Windows через права пользователей
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Защита Windows через права пользователей - 2012-04-02 20:54:30.340000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Выполняя так некстати данное мной обещание попытаюсь дать некоторую информацию по улучшению защиты Windows, стандартными средствами.
Рассматривать здесь буду только работу с настройкой прав пользователей, на примере Windows XP, некоим образом не собираюсь углубляться в дебри серверных осей, ни коем образом не собираюсь рассматривать какие службы нужно и не нужно отключать и как их настраивать, ни коем образом не собираюсь выяснять какой софт, антивирус, файрволл и т.д. лучше. Все, кто попытаются здесь это обсуждать - пусть идут в жопу.
Здесь будем рассматривать как можно настраивать работу Win только с помощью политик разрешений для пользователей.
Учитывая, что данная тема не рассматривается в книгах для чайников, а в серьёзных книгах она размазана, я надеюсь, что она будет интересна для многих.
Не обещаю отвечать на все вопросы, глупые буду или игнорировать или посылать автора.
Но по мере сил и возможностей попытаюсь отвечать. Приглашаю помогать знающих и опытных.
Со вступлением все.
Сначала немного теории.
В чем наиболее упрекают не совсем опытные пользователи Windows? И за что превозносят Linux? За одно и то же (это касается не серверных вариантов осей, а рабочих машин). Защищённость! Это стоит на первом месте.
Unix создавалась изначально как сетевая, многопользовательская ось. Концепция защиты, разработанная для данной оси, оказалась очень удачной, и не особо менялась за более чем пару десятков лет. Эта концепция перекочевала и на различные клоны Unix, и соответственно на ее клоны Linux.
Основа концепции – разделение прав пользователей и разделение разрешений на файлы. Это если очень и очень упрощено.
Смысл тут вот в чем. Каждая программа (точнее будет сказано программа порождает процесс), запускается с теми правами, которые есть у пользователя, который ее запустил. Или по правильному, процесс не может иметь больше прав, чем пользователь, от имени которого она запущена.
В любой Unix-подобной оси администратор имеет имя root. Он имеет наибольшие права на выполнение любой операции, на изменение, удаление, переименование и тому подобного любого системного файла. Т.е. неверные действия root могут привести к краху системы. Чтобы не допустить этого в Unix-подобных осях, в очень многих, даже войти под учеткой root не так просто. Можно зайти под учеткой обычного пользователя, а операции требующие права root, можно выполнять, запуская процесс от имени root, находясь под учеткой обычного пользователя. Нечто подобное пытались сделать в Vista, но как-то это коряво получилось.
Но реализация подобной концепции очень хорошо работает в Unix-подобных осях и очень хорошо защищает ось. Ведь что должен фактически сделать вирус (троян), для выполнения своей задачи ( в большинстве случаев). Изменить, удалить, заменить собой какой-то системный файл. Но для этого необходимо иметь права root. А на машине работают только под учеткой обычного пользователя. Значит и вирусу запуститься и выполнить свою задачу намного сложнее. Точнее написать такой вирус будет намного сложнее. И количество их будет намного меньше. Поэтому для Unix-подобных систем очень мало эффективных вирусов. Хотя они и есть.
К сожалению почему-то практически нигде не рассказывают простым пользователям, что WindowsXP тоже может прекрасно работать, используя в качестве защиты концепцию, реализованную для Unix-подобных осей. Да, можно, создать простого пользователя с ограниченными правами, и прекрасно работать под данной учеткой, и уже таким образом улучшить защиту своей машины.
На первых порах кажется неудобным, что у тебя нет абсолютно полных прав на машине. Нельзя ставить программы (но и вирусы заодно не поставишь), нельзя менять системные файлы и настройки ( но и вирусы этого тоже не смогу), но задайся вопросом: "А как часто ты ставишь программы на настроенной оси, и насколько часто ты меняешь настройки на машине?" Это спокойно можно выполнить, зайдя на короткое время под администратором, а потом снова начать работать под обычным пользователем. Линуксоиды так постоянно работают, и даже восхваляют это. Неужто, ты тупее их.
Вот теперь и начнём работать и создавать защиту.
Что необходимо для этого?
1) Терпение, терпение и ещё раз терпение.
2) Желание его пройти: чем больше вопросов по теме, тем лучше.
3) Хотя бы владеть мышкой и клавиатурой.
4) Собственно компьютер и систему (желательно и диск с системой тоже).
5) Делать, пробовать, натыкаться на непонятное, разбирать и снова двигаться дальше. Чем больше движения, тем лучше идёт усвоение.
Для начала будем "тренироваться на кошках" . На той оси, которая сейчас на компе. Потом, возможно, будет желание ее переустановить, но для того чтобы после переустановки все пошло на "отлично", будем сначала тренироваться на имеющейся. Я лично потренировавшись, в своё время, и серьёзно накрутив в оси всё-таки её переустановил.
Сначала нужно проверить, какая файловая система на дисках. Необходима NFTS, а не FAT. Если все-таки FAT, то необходимо перевести диски на файловую систему NFTS, без потери данных. Какая файловая система можно посмотреть через Проводник, в Свойствах дисков.
Как перевести можно найти в инете.
Сначала создадим простого пользователя.
Пуск-Настройка-Панель управления-Учетные записи пользователей-Создать пользователя.
(!)Тут есть нюанс. Так как у нас часто бывает, что WinXP ломаная, как и кем попало, и дистрибутивы часто такая х…..еровая гадость, то возможно приодеться делать дополнительные телодвижения.
Вариант первый: создашь пользователя и тебе предлагается создать пользователя с админскими правами или пользователя с ограниченными правами. Если так, то создашь с ограниченными правами. Тогда все.
Вариант второй: предлагается создать пользователя только с админскими правами, а с ограниченными на даёт. Тут сначала необходимо создать пользователя с админскими правами, и только потом можно будет создать второго пользователя с ограниченными правами. Действие: создай двух пользователей: 1-го - с админскими правами (назовём его админ), 2-го – пользователя с ограниченными правами (назовём его юзер). Пароли ставить пока что не надо.
Перезагрузка. Заходишь под ново созданными пользователями и настраиваешь внешний вид под себя.
Перезагрузка. Входишь под админом.
Мой компьютер-Сервис-Свойства папки-Вид-Убрать галочку с "Использовать простой общий доступ к папкам (рекомендуется)"- Ок.
Теперь не нужно торопиться. Нужно для начала просто поработать по простым юзером и попробовать каково оно. Настроить внешний вид, покрутить, посмотреть что получается, что запускается, как запускается и что можно делать, а что нельзя.
Пробуйте. Не стоит только читать. Сколько не тренируйся на резиновой бабе - пока живую женщину не трахнул ты всё одно девственники и не крутая секс-машина.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-03 16:38:38.596666
|
|
|
bootxp
Сообщений: 68
Оценки: 0
Присоединился: 2011-11-07 00:55:33.966666
|
quote:
ORIGINAL: Xz88
Вот только у меня нету простого общего доступа к файлам. Прокрути вверх ползунок справа, увидишь.
quote:
ORIGINAL: Xz88
Так вот обязательно чтобы все жесткие диски были в файловой системе NTFS? Желательно. Да и зачем тебе ограничение в 4 гига на Fat32 ? FAT(32) рулит только в накопителях для мобилок и бытовых плееров, имхо. Спецы поправят, если шо…;)
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-03 17:33:29.096666
|
|
|
Firza001
Сообщений: 31
Оценки: 0
Присоединился: 2010-09-11 22:53:15.280000
|
Важное примечание к данной теме - пользователя с ограниченными правами надо создавать нового, а не переделывать существующего администратора. Такая переделка сильно ослабевает защиту, так как переделанный администратор может иметь полные права доступа к системным папкам как владелец.
Если данная тема относится к домашним пользователям и к домашним сетям, где нет большой необходимости жестко разделять права доступа к разшеренным папкам, то по поводу «Убрать галочку с "Использовать простой общий доступ к папкам (рекомендуется)"» вопрос спорный, надо ли это отключать. Данный пункт относится только к разшаренным папкам – упрощает процесс разшаривание. На защищенности OS это мало влияет. Если убрать галочку с данного пункта, то для разшаривание надо будет в двух местах выставлять права доступа – на самой шаре, и на разшаренную папку. Если выполнить только первый пункт, то доступ к разшаренной папке будет иметь те пользователи, которые имеют права доступа к данной папке. То есть доступ к шаре будет возможен только для авторизованных пользователей у которых есть пароль.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-03 19:14:11.326666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Так, давайте не будем гнать осла впереди арбы. Давайте я продолжу лекции. Пока идёт теоретическая часть. Дальше будет рассмотрены и возникшие сейчас вопросы. Я опишу, все далее.
Продолжим.
Важно понимать, что разрешения на доступ к файлам и выполнение отдельных действий пользователей над файлом, почти в полном объёме производится средствами файловой системы. Windows даёт только инструмент для управления. Поэтому нет отдельного файла, в котором бы были записаны все права доступа к файлам и на действия пользователя. Все права и пользователи пишутся в свойствах каждого файла в самой файловой системе. Поэтому управления правами доступа можно только в определённых файловых системах. Для Windows это файловая система NFTS, FAT не сохраняет в полном объёме свойства файла и не даёт управлять правами.
То, что разрешения и управление доступами к файлам производится средствами файловой системы легко убедиться загрузившись с любого LiveCD. Информацию о разрешения на файл можно посмотреть из-под LiveCD, когда средства «основной» операционной системы не работают. Работают только сресдства файловой системы и самой LiveCD. Да и поменять можно кое-что из-под LiveCD, при определённых обстоятельствах.
Управление правами доступа достигается это путём запрета на запуск или изменение определённого файла.
И это даёт защиту. Все действия, которые выполняются операционной системой – это результат работы отдельных файлов или группы файлов. Отсюда можно сделать вывод о то, что запрещая или разрешая средствами файловой системы, пользователю работать с тем или иным файлом, можно добиться запрета или разрешения на выполнение определённых действий в самой операционной системе.
Правда, в Linux сейчас реализован способ управления правами доступа средствами самой операционной системы. Но это в Linux.
Понятно что, управляя разрешениями и запретами можно создать любой профиль пользователя с любыми нужными комбинациями по запрету и разрешению.
Можно конечно сделать это и вручную.
Но легче воспользоваться готовыми шаблонами, предоставляемые самой Windows XP. Шаблоны представлены в виде групп учётных записей. Создай пользователя – введи его в определённую группу учётных записей и получи готового пользователя с готовым правами, которые ты, по желанию можешь отредактировать.
Теперь пойдем по группам учетных записей.
Все их можно просмотреть по Пуск-Настроки-Панель управления-Администрирование - Управление компьютером-Локальные пользователи-Группы. (данное действие можно выполнить только под учеткой Админа). Или пуск-выполнить-control userpasswords2.
Разберем их только частично.
Администраторы. Объяснять не надо. И дело даже не в том, что они имеют доступ ко всем папкам (к которым не имеют, могут сделать, хотя и здесь можно закрыть). Важно другое. Все, кого включили в эту группу, имеют полные права на выполнение всех действий на компе. Могут изменять параметры, настройки, вносить изменения, ставить, удалять и т.д. Т.е. закрыть пользователю из этой группы доступ к папкам можно, но возможность выполнять множественные действия по изменению параметров машины пользователю из этой группы ты не можешь. И он может сделать сам себе доступ к закрытым тобой папкам и файлам. Отсюда вывод: в эту группу должен в идеале входить только один пользователь. Все остальные только под дулом пистолета. Или после долгих пыток в гестапо.
Опытные пользователи. Глупая и опасная группа. Это уже чисто Майкрософтовская вынужденная мера. Обычному пользователю нет возможности работать (входить) с сервером в домене. Вот и вынуждены были создать Опытных пользователей. Опасная группа. Они нечто среднее по возможностям между Обычными пользователями и Админами. При наличии возможность работать в этой группе и наличии некоторых знаний, пароль админа ломается на раз. Даже перезагрузку делать не придется. Поэтому вывод: в эту учетку никого не ставить, а если комп не работает в домене, то можно вообще отключить всю группу.
Гость. Это вынужденно создаваемая учетка. Пример: ты пришел со своим ноутом к другу. У того стоит (должно же у него что-то стоять) сетка. Хотите подсоединить к этой сетке ноут. Все хорошо, но доступа к папкам и компам нет. Ведь Windows может допустить к себе только зарегестирированных (записанных) в данном компе пользователей. Остальных не пустит. Но создавать и настраивать нового пользователя! Это муторное дело. Создатели Windows предусмотрели такой вариант и предложили решение – учетка Гость. На ноуте включается данная учетка, на компе сетевом тоже включается данная учетка, и можно работать.
Гость фактически может немного. При определенной настройке смотреть, копировать, удалять в отдельных папках. И все, пожалуй. Еще немного изменять в сетевых настройках. Но на это у него очень маленькие права. В обычной работе лучше отключить данную учетку.
Далее учетка Все. Тут интересный момент. Войти и работать на компе могут только пользователи, для которых есть запись на компе. Например, Гость, или уже по имени. Например, пользователь Вася есть у друга на компе. Он подсоединяется к твоей машине. Подсоеденяеться как Имя компа\Вася. Соответственно ты должен создать учетку Имя компа\Вася у себя на компе, отнести к какой-нибудь группе пользователей и раскидать права. А если таких пользователей много. Например: ты даешь доступ к папке из сети другим пользователям сети. Расшарил папку. А теперь как они будут подсоеденяться? Всех расписывать? Лучше портянки солдата нюхать. Не столь жутко. Вот тогда и приходит на помощь учетка Все. Вносишь ее в доступ, загоняешь своего Васю и других в эту группу, даешь права доступа и теперь твоя папка видна в сети и к ней имеют доступ Все. Возможности по внесению управлению компом как у Гостя. Там, правда, еще куча нюансов. Но общее направление, думаю понятно. К данной учетке необходимо относиться очень осторожно и думать, что и как давать ей. Примерно как умной девушке необходимо думать. Кому давать из сообщества Все. И что доступно этим Все. Посмотреть, потрогать, положить и т.д.
Пользователь. При правильной настройке под этой учеткой и необходимо работать. Здесь вопросов, я думаю, нет.
Далее: Операторы архивов, операторы настройки, репликаторы и еще что-то. Про них можешь прочитать в инете. Обычно эти учетки необходимы только при работе в сети. И их можно спокойно удалить на локальном компе, особенности, если он управляется не админом сети, а админом локального компа. Или как минимум никого в них не ставить.
System. Это учетка самой операционной системы. Представь, что у тебя на компе стоит антивирь. Ему нужно лазить в системные файлы, ему нужно удалять некоторые, проверять их и выполнять кучу работы, которую запретили простому пользователю. А ты все время работаешь под учеткой простого пользователя. Антивирь в таком случае не сможет полноценно выполнять свои обязанности. Вот тут и приходит на помощь учетка System. Некоторые системные сервисы, антивири получают права данной учетки. Их список определяет Windows сама. Поэтому лучше не лезть настраивать данную учетку, можно грохнуть ось. Важные системные сервисы потеряют возможность выполнять свою работу и комп не будет работать.
Далее еще ньюансы.
1. Если у тебя зарегистрирован Админ домена (сетевой) на компе, и его настройки отличаться от настроек Админа локального, то при подключении к сети приоритете имеют сетевые настройки и доступы. Т.е. настройки и права доменного Админа. Так что необходимо думать, кого регистрировать на машине. Без ведома Админа локального это сделать невозможно.
2. Для чего стоит в доступе Разрешение и Запрет. Пример простой. Есть папка С:\111. Для Пользователя простого уберем все галочки на чтение, изменение и т.д. Больше ничего не изменяем. Ни Разрешение, ни Запрет галочек нет. Попробуй, войди из Проводника в эту папке под Пользователем. Не получиться. А теперь запусти браузер. Все равно какой: IE, Opera, или дугой. Набери в строке адреса С: . Оба-на! Появился проводник. А ну в папке С:\111. Можно войти и можно просмотреть. И даже кое-что попробовать запустить. Не факт, но кое-что запуститься. А теперь права для Пользователя на данную папку из-под админа изменим. Поставь Пользователю там, где нам необходимо Запрет. А теперь снова под пользователем войди из- под браузера в данную папке. Что получилось? Вот теперь и думай, как использовать Запрет, и как Разрешение. Кстати, а какое право будет действовать, если стоит и Разрешение и Запрет? Попробуй сам.
Важно различать Учетные записи пользователей и Группы пользователей.
Учетные записи пользователей – это учетки тех кто зарегистрировался и имеют право работать на компе. Они имеют имя и какие-то права, определенные тобой.
Группы пользователей. Это просто шаблоны настроек. Когда ты создаешь пользователя и регистрируешь его учетку, то ему необходимо установить какой-то уровень доступа, раскидать права. Это достаточно сложно сделать вручную. Вот потому и существуют шаблоны. Ты просто включаешь созданную учетку в состав какой-то стандартной группы, в шаблон. Учетка получает стандартные, определенной для данной группы, права. А ты уже по необходимости их подстраиваешь под свои вкусы. Так просто экономиться время и усилия. Права Групп пользователей тоже можно настроить. Через администрирование компьютера. Пуск-Настройка-Панель управления-Администрирование-Локальная политика безопасности, здесь все интересно но в частности – Локальные политики – Назначение прав пользователей. Обычно я не делаю тут изменения. Немного раскидываю, просматриваю, прикидываю.
Дополнения по говносборкам.
Те, у кого сборки могут просто отсутствовать некоторые из перечисленных групп, и могут быть неизвестно какие. Увы, но к вашему сожалению, ни я, ни создатели Windows не несут ответственности за глупые действия отдельных тупых личностей.
Особо стоит выделить учётку ASPNET, если она есть.
Майкрософт создало шаблоны-программы, облегчающие программирование. Не надо в каждой программе писать отдельные коды для выполнения типичных действий, можно просто сделать вызов стандартной процедуры. Это фактически и называется программирование с помощью .NET.
Шаблоны .NET не были, по умолчанию внесены в Windows XP, их вносят с помощью установки Framework. Тогда и создается учетка ASPNET. Сейчас уже Framework 3.0 версия, если не выше. Так вот, когда программируешь с помощью .NET необходим доступ к системным файлам, а доступ может отсутствовать у простого Пользователя. Тогда и включается учетка ASPNET, обеспечивая доступ обычному пользователю. Вроде бы можно и отключить данную учетку. Но дело в том, что некоторые программы, написанные с помощью .NET не могут работать без данной учетки. Им тоже порой необходим доступ к системным файлам, к которым нет доступа простому пользователю. И таких программ становиться больше. Так что лучше ее оставить. Особой опасности она не представляет.
Замечание по учётке Все.
Это самая непонятная учетка. В одних дистрибутивах это может быть "Все пользователи, кроме, зарегистрированных на данном компе", а может быть "Все пользователи, в том числе и зарегистрированные пользователи". Как у вас я не могу знать. Я обычно не заморачивась оставляю эту учётку, но в Безопасности, но не выставляя ей никаких прав. Насколько хорош это вариант – не знаю.
Понятное дело, что все изменения в группой политике, изменения в составе пользователей, входящих в ту или иную группу и т.д., может только пользователь входящий в группу Администраторы (или группу наделённую полномочиями Администратора).
Продолжение будет далее.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-04 11:17:09.636666
|
|
|
Brz
Сообщений: 2024
Оценки: 0
Присоединился: 2010-09-19 12:17:29.423333
|
zzsnn, зачем рассматривать морально и физически устаревшую систему, если давно уже есть 7-ка, в которой все проблемы доступа прекрасно решены?..И гораздо лучше, чем это вообще возможно в ХР!
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-04 11:43:41.096666
|
|
|
Firza001
Сообщений: 31
Оценки: 0
Присоединился: 2010-09-11 22:53:15.280000
|
quote:
У меня нету простого общего доступа к файлам там где вы сказали.
Если у Вас Windows XP Home, то там нет пункт "Использовать простой общий доступ к папкам (рекомендуется)", так же там нет возможности управлят права доступа к файлам и папкам средставми самой Windows (программа командной строки cacls.exe и управление правами в SAFE MODE нещитается). Но недо зацикливатся на этом, сперва надо просто начинать работать с правами пользователя, а "общий доступ к папкам" не как неповлияет на бозопасность Windows.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-04 19:40:14.213333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
quote:
"общий доступ к папкам" не как неповлияет на бозопасность Windows.
Влияет, еще ка влияет. Ниже я указываю почему.
quote:
zzsnn, зачем рассматривать морально и физически устаревшую систему, если давно уже есть 7-ка, в которой все проблемы доступа прекрасно решены?..И гораздо лучше, чем это вообще возможно в ХР!
1. Принципы доступа в Windows XP из всех Windows наиболее просты и более-менее понятны. И, к твоем сожалению Windows XP, на данный момент остаётся лучше дескоптной осью из всех линейки Windows.
2. В Windows 7 проблемы доступа еще более запутанные и ещё более тупы. Семёрка вообще более небезопасна в сравнении с вручную настроенной Windows XP. Я надеюсь, что если я доползу и допишу цикл ты сможешь самостоятельно сравнить и понять почему так.
quote:
вот только последняя запись Администратор непонятно откуда взялась, я её не создавал,
Увы, но это очередной закидон Майкрософт. Такой пользователь создаётся всегда при установке Windows. А потом создаётся пользователь под твоим именем, которого ты сам создаёшь в процессе установки.
Под Администратором ось начинает работать при входе в Безопасном режиме. Вообще-то это дыра. Потенциальная. Ею часто пользуются когда вход на ось по паролем, но есть возможность задать имя пользователя при входе. Так, как у этого пользователя нет пароля, то можно забить в имя Администратор и оставив пароль пустым войти в систему. Это возможно, если хотя бы раз ось грузилась в безопасном режиме. Или войти в Безопасном режиме.
Поэтому эту учётку лучше отключить. Не удалить, а отключить через управление учёток. Или как минимум, переименовать.
Поехали далее.
Вот теперь, после выдачи основных терминов и кое-каких теоретических сведений , можно приступать к практике.
И начнём с тренировок. Для того, что бы понять что и как действует нужно обязательно пробовать делать то, что я опишу в этом топике. Я настолько тупоумный, что прочитал и всё понял, здесь не прокатит. Прочитав Кама-Сутра, и не имея практики ты точно не сможешь доставить удовольствие своей девушке.
В первом моём топике я писал о первом действии после создания нового пользователя - отменить общий доступ к папкам (Мой компьютер-Сервис-Свойства папки-Вид-Убрать галочку с "Использовать простой общий доступ к папкам (рекомендуется)- Ок). Иначе не появится вкладка Безопасность, и ты не сможешь распределять права доступа. Фактически Windows делая общий доступ, открывает все папки и файлы для любого пользователя, который зарегистрирован на компе (верней не так, там сложная система, есть целых 5 уровней доступа, в зависимости от того в какой папке, кто Владелец, кто зарегистрирован, кто из сети и по каждому уровню свое, короче свихнуться можно и все равно не понять). А это не есть совсем хорошо. Особенно, если твой комп в сети и к нему могут подключаться из сети. Убрав галочку с Общего доступа означает, что все разрешения на доступ к файлам ты будешь распределять сам, а не принимаешь установленные самой Windows.
Вот мы и начнем сейчас учиться устанавливать права доступа.
Права доступа можно установить:
а) на отдельный диск (раздел диска);
б) на отдельную папке (или группу папок);
в) на отдельный файл (или группу файлов).
Причем на каждый объект можно устанавливать отдельные права доступа, независимые от прав доступа, установленных на другие объекты. Т.е. можно установить одни права доступа на папку и другие права на отдельные файлы, которые находятся в этой папке.
Давай дальше "тренироваться на кошках".
Создай на любом диске, любую папку. Пусть это будет папка c:\111, в ней создай парочку папок, например с:\111\222 и с:\111\333. Во все эти папки покидай какие угодно, не нужные тебе файлы. С десяток в одну, с десяток в другую, с десяток в третью.
Загружаешься под админом.
Идешь к новосозданной папке с:\111. По ней правой кнопкой-Свойства-Безопасноть.
Что видишь? Список пользователей на данном компе в верхнем окошке, а внизу права доступа.
Начнем с разбора прав доступа.
Полный доступ. Пользователь имеет право не только изменять файлы, а и менять права доступа к этим файлам (папкам) для других пользователей. Такие права должны иметь только Администраторы (у тебя это админ), и System (это операционная система, и она тоже пользователь, и она тоже имеет разрешения на доступ). Кроме того, по умолчанию полный доступ имеет и Создатель - Владелец файла (папки). Создатель - Владелец – это тот, кто создал этот файл (папку). Пока админ не изменил права Владельца, тот имеет Полный доступ. Т.е. Создатель-Владелец файла вправе изменять права доступа на этот файл и другим пользователям. Отсюда, кстати возникает одна интересная коллизия. Но о ней ниже.
Изменить - можно стирать, удалять, менять, смотреть.
Чтение и выполнение - можно просмотреть, что в файле (порой посмотреть можно только через другую программу, например текстовые файлы), и запустить на выполнение, если это файл, который может запустить что-то. Например, файл запуска игры. Хоп – и игра не запустится. Прав недостаточно.
Список содержимого папки - можно просмотреть, что за файлы в папке, их название, но открыть их нельзя и тем более изменить.
Чтение - просто только просмотреть, что-то менять в них нельзя.
Запись - можно дописать и изменить.
Особые разрешения. - пока трогать не будем.
Теперь колонка разрешить и запретить.
Разрешения понятно. А вот Запретить. Если галочку поставил, выше разрешения или на равные, то Запрет будет иметь абсолютный приоритет. Т.е. Разрешено Чтение, а выше стоит Запрет на Изменить. Запретить в данном случае имеет абсолютный приоритет и может даже закрыть чтение.
Так теперь верхнее окошко.
Пользователь твой (админ и юзер) может там быть, а может и не быть. Если нет, то добавим.
Ниже первого окошка Добавить - Дополнительно - Поиск - Ищешь своего пользователя -Ок. Пользователь есть.
Теперь тренируемся. Так как мы тренируемся на не особо важной папке (с не особо важными данными), то страшного ничего для оси не будет.
Тренируемся. Сначала удали пользователей. Оставь только Своих пользователей (админ и юзер), System, Создатель - владелец. Остальных можешь удалить спокойно. Хотя можешь оставить и еще кого-нибудь, возможно пользователи Все будут необходимы (о видах пользователей я позже расскажу).
Раскидываешь сначала для своего админа права. Остальных пока не трогаешь.
Полный доступ само собой.
Внизу смотри Дополнительно. Дави. Получишь еще вкладку. Пока идешь во Владелец. Замени Владельца на своего админа. Внизу галочка "Заменить владельца для субконтейнеров", поставь обязательно. Ок. Пройдет смена владельца.
Сменил Владельца – теперь только админ может поменять разрешения на действия с файлом. Кстати для папки в таком случае поменяется Владелец не только для папки, но и для всех файлов, которые в этой папке. Ибо галочку поставил «…для субконтейнеров",. Не поставишь галочку – сменишь Владельца для папки, но не для файлов в папке.
Снова ко вкладке Дополнительно в Разрешениях, смотри галочку внизу "Наследовать от родительского применительно к дочерним заданные здесь разрешения". Она должна стоять. Это значит, что если ты установил правила доступа для своей папки, то эти же правила доступа установятся и для всех файлов и папок в данной папке. Ок. Галочку не поставишь – сменишь права только на папку, а на файлы не изменится. Закрой все. Перезагрузка. Нужно что бы принялись изменения нормально. Хотя и не обязательна перезагрузка, но желательно.
Заходим под админом. Опять к своей папке. К любому файлу. И снова выходим в Безопасность, на права доступа.
Теперь ставим права для юзера.
Сначала рассмотрим по файлу.
Есть папка. Юзеру к этой папке Полный доступ. К файлам в папке тоже.
Берёшь файл в этой папке. Хочешь, допустим, дать юзеру на этот файл права Только чтение. Ок. Ставишь, убираешь. В Дополнительно на разрешениях оставил галочку « наследовать от родительского объекта применимые к дочерним разрешения…» (ну не заметил). Применить. И радостно потираешь руки. Только чтение! Хрен угадал.
Ты не учёл при этом, что к папке, в которой этот файл было разрешен юзеру Полный доступ. И галочку « наследовать от родительского объекта применимые к дочерним разрешения…» не заметил.
И что тогда получишь? Получишь Полный доступ! Ибо « наследовать от родительского объекта применимые к дочерним разрешения…». И разрешения от папки снова перешли на файл. Если хочешь новые права получить на данный файл – убери галочку. Тогда не будет наследования прав от папки. Почему так? Вопрос к создателям Windows. Этот идиотизм они поставил потому, что у них по нормальному не получилось. Только через жопу.
Теперь по папкам.
При установке разрешений на папки в Дополнительно кроме пункта « наследовать от родительского объекта применимые к дочерним разрешения…» есть ещё пункт "заменить имеющиеся здесь разрешения ……". Тут фразы прочитать нормально не получится, а уж понять их… разве, что после тяжёлых медитаций с медицинским спиртом.
Хотя попробуем и без медитаций. Но со спиртом.
Рассмотрим ситуацию. Есть папка, в папке другие папки. Ко всем папкам и файлам в родительской папке и к самой родительской доступ установлен в виде Чтение.
Это значит, что можно читать и просматривать файлы и папки в родительской папке. НО! Возникает необходимость что бы в одну папку можно было зайти и изменить. Пример. Папка Documents and Settings. В этой папке в качестве подпапок лежат папки Мои документы разных пользователей. И понятно, что хочется что бы один пользователь в своей папке крутил, как хочет, а в других нет.
Значит, нужен обход действующих ограничений и установка новых. Вот тут и поставили создатели Windows такую возможность. Хотя и спрятали её. Если убрать галочку с « наследовать от родительского объекта применимые к дочерним разрешения…», то произойдёт разрыв действующих разрешений. При этом выскочит табличка с длинной надписью, смысл которой сводится к тому, что ты должен сообразить, точно ли ты хочешь это сделать (понять её смысл сложно, читай несколько раз). Но знай, что если ты хочешь разорвать действующие разрешения (удалить старые), то нужно выбрать пункт «Удалить», если же хочешь получить что-то несуразное – выбери «Копировать». И попробуй получить удовольствие потом. Потом удовольствие в разборе разрешений сможет получить только мазохист. Поэтому не выбирайте «Копировать». Лучше «Удалить» и потом установить новые разрешения.
После этого нужно обязательно поставить галочку на пункт "заменить имеющиеся здесь разрешения ……". Тогда установятся новые разрешения, которые ты установил. Если убрать галочку с обоих пунктов – то новые разрешения вообще не установятся. И работа будет сделана зря.
Если же поставить обе галочки, то к имеющимся разрешениям (которые от родительской папки) добавятся новые разрешения, которые ты установил. И ещё неизвестно, что получится. Фактически это тоже самое, что нажать кнопочку «Копировать».
Т.е. теоретически, по задумке создателей Windows, должно к имеющимся разрешениям добавиться новоустановленные разрешения. НО! При этом на конфликтность проверка не производится. Возлагается на того, кто производит изменения. Если у тебя хватит сил и умения разобраться, что получится на выходе – можешь жать "Копировать" или ставить обе галочки. Но думай сначала!
Я думаю, что истинные идиоты ещё не перевелись и они обязательно будут жать не думая. Но разбирать проблемы приходится нормальным людям. Поэтому разборку проблем с правами нужно начинать с Дополнительно и считать действующие разрешения.
Всё, вроде разобрались.
Теперь перезагрузка. Хотя можно и не делать. Но это же Windows, здесь порой что угодно может быть. Поэтому для того, что бы быть уверенным, что ты получишь то, что нужно лучше делать перезагрузку. Особенно это касается говносборок. В "чистых" дистрибутивах такого нет и можно обойтись без перезагрузки.
Входишь под юзер. Смотришь в этой папке что получилось. Пробуй открыть, изменить, запустить. Делаешь выводы.
Для чего пункт "заменить имеющиеся здесь разрешения ……"? Это особенность Windows. Очередная, выдаваемая за откровение свыше. Если ты будешь внимательным, то заметишь, что после того как ты поменял права юзера в окошке Безопасность, то в окошке Дополнительно у тебя могут появиться два пользователя с одним и тем же именем юзер и с разными правами. С теми, которые были ранее и теми, что ты установил сейчас. Чтобы исключить подобную неразбериху и необходимо указать "заменить имеющиеся здесь разрешения ……"
Увы, но в Windows много чего сделано через задницу. Особенно права доступа и разрешения. И это осталась и в Windows Vista и в Windows 7. Только всё ещё хуже и запущенней.
Пошли дальше.
Заход под админом. Родная папка, теперь идем к подпапкам. На одной из них. Свойства – Безопасность. Даешь права юзеру для нее изменить и ниже ставь все остальное. Дополнительно - Разрешения - "заменить имеющиеся здесь разрешения ……". Ок. Перезагрузка.
Заход под юзером. Входишь в родную папку, и подпапку. Пробуешь файлы запускать, изменять, удалять, добавлять новые. А теперь вернись на уровень выше. Просто в Родную папку. Тут попробуй то же самое. Делай выводы. Так можно и к отдельным файлам. Работай с ними, меняй права, пробуй, осваивайся, тренируйся. Делай выводы и думай.
Теперь о коллизиях с Владельцем.
Начнём с вопроса о возможности запрету админу видеть, удалять и т.д. отдельные файлы.
Владелец файла (папки) может изменить права доступа для админа. Наложить запрет. Может. НО! Админ имея полные права в данной операционной системе может, так же как и Владелец войти в правление доступом файла и сделав себя Владельцем изменить права доступа так, как нужно ему.
В таком случае именно он останется Владельцем данного файла. Это, кстати позволяет проверить смотрит ли админ сети папки и файлы пользователя компа. Зайти в управление правами доступа нужной папки (файла) и удалить оттуда админа сети. А потом, через некоторое время проверить. Если админ появился в учётках и владелец поменялся – админ смотрит папки.
Второй момент с Владельцем.
Как я уже писал выше права на доступы к файлу хранятся в файловой системе, а не в операционной. Теперь представим ситуацию, что ты снёс свою операционную систему. Пусть она была на разделе C:, но у тебя сохранились файлы на разделе D:. Поставил новую ось на раздел С: и тут …. появляется какая-то херня! Попытка удалить или изменить файл с раздела D: приводит к сообщению, что это невозможно. И нужно обратиться к администратору.
Чем это вызвано? Ось та ты поменял. Но разрешения и Владелец данного файла остался от старой оси. Они же в файловой системе хранятся. А новый админ новой оси, хоть и админ, но старый Владелец круче! Такой выверт у создателей Windows.
Убедиться в этом можно просмотрев права доступа к файлу. Там можно увидеть, что от старой оси остались пользователи типа SID -123-567-789……. Дело в том, что на уровне файловой системы и оси пользователь определяется не по имени, которое ты дал, а по номеру, который формируется операционной системой особым образом. Этот номер называется SID. Если в оси зарегистрирован данный пользователь, то ось автоматом переведёт номер SID в имя пользователя. А если пользователь от старой оси? Тогда покажет номер.
В старой, удалённой тобой оси был пользователь Вася с SID -123-567-789…., а в новой оси нет такого пользователя. Пользователь с именем Вася допустим, есть, но у него другой SID, созданный новой осью. Поэтому в правах доступа старый пользователь пишется под номером. Для файловой системы и новоустановленной оси это разные пользователи.
Как же поступать, когда в новой оси не даются возможности работать с файлами от старой оси?
Ответ прост – стать Владельцем данного файла. И после этого менять доступы как хочется и нравится.
Поэтому лучше после переустановки оси сразу поменять Владельца на все файлы и папки на всех дисках. Это в Свойствах диска Проводника- Безопасность. А старые SID удалить. Тогда не будет проблем с доступом к файлам.
Такое, кстати возможно только в Windows. Они вообще доступы к файлам на коленке лепили, с похмелья, после корпоратива по случаю выпуска Windows 3.1. На трезвую и ясную голову такое невозможно сделать.
Кстати, по моему личному мнению в Windows Vista и Windows 7 положение ещё более усугубилось. Там ещё запутанней и тупей с пользователями, правами доступами, разрешениями. Корпоратив после запуска бетки следующих версий Win был ещё тяжелей. Явно виден тяжёлый прогресс. Я боюсь представить, что будет в Windows 8.
Я не будут рассматривать, кто и какие будет иметь права на файл, когда он скопирован из одной папки в другую с разными правами. Там много зависит от разных факторов: от того расположены ли данные папки на одном разделе одного винта, на разных разделах одного винта, на разных разделах разных винтов, скопирован файл или перемещён, кто был Владельцем файла, и кто Владелец в данной папке и ещё от каких-то факторов. Эта тема интересна для системных администраторов. Им такие тонкости нужны, а в данном случае нам нужно просто разобраться, как защищаться от вирусов и троянов без использования антивирусов.
Поэтому продолжение следует.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-05 18:51:30.726666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Так, сведений о работе в Windows механизма распределения прав доступ к файлам я дал достаточно. Во всяком случае, достаточно для того, что бы сделать хорошую защиту на своей домашней машине. Теперь можно подступиться к практической реализации данной задачи.
Но сначала нужно разобраться с угрозами, против которых нужна защита.
Я не буду рассматривать угрозы типа "молотком по компу", "угроза от дебила". Эти угрозы лечатся только одним способом – физическое устранение подобной угрозы. Или просто не допускать дебила к компу. Хоть с молотком, хоть без.
Я рассмотрю только угрозы от вирусов и троянов.
Сначала что это такое?
Даю краткое, хотя и не совсем академическое определение. Вирусы – программы, устанавливающиеся на компе и ведущие к повреждению данных на компе. Дебила тоже можно назвать вирусом. Но он не программа.
Вирусы повреждают не только данные пользователя, но и данные (файлы) операционной системы. Это приводит к потери данных (файлов) и невозможности выполнять определённую работу на компе.
Троян. Это тоже программа. Но в отличие от вируса, разработчик данной программы не стремится повредить данные. Наоборот, он их холит и лелеет. Троян крадёт данные. Крадёт и, чаще всего пересылает украденные данные (пароли, файлы, сообщения и .д.). Кроме того, существуют трояны, которые обеспечивают возможность управления компом удалённо, с другого компа.
При работе трояна стремятся к скрытности. Хозяин компа почти всегда и не догадывается о работе трояна на своей машине.
Вирус повреждает, но очень редко приносит своему создателю деньги. Троян работает скрытно и даёт создателю возможность заработать. Потому сейчас редко пишут вирусы, зато море троянов.
Это упрощённо.
Стоит разделить гадость на специализированные и общие.
Специализированные пишутся на заказ, под конкретную сеть, под конкретную ось, на конкретную машину. Понятно, что если условия изменились (поставили другую ось), то данный троян не пройдёт. Таких троев не стоит боятся на домашней машине. Хотя от них нет защиты в тех условиях, для которых они писались, но они работают в конкретных строго ограниченных условиях. Заточены под одно.
Есть ещё общие. Эти пишутся для широкого спектра машин. Чаще всего используют недостатки операционных систем и тупость пользователей, работающих на компах. Этих можно срезать нормальной защитой на машине. Антивирусы, в одиночку не всегда справляются с подобными. Нужна дополнительная защита в виде мозгов пользователя. Понятно, что с этим всегда напряг, потому и такие трои просто цветут пышным цветом на просторах инета и домашних компов.
Несмотря на разнообразие троев и вирусов, механизм заражения ими во многом одинаков. Далее под словом троян я буду подразумевать и вирус.
1. Трояну нужно попасть на комп. Правильней будет сказать "скопировать свои файлы на комп". И почти всегда в строго определённое место или места. А потом ещё, очень часто и правильно установиться.
2. Трояну необходимо запуститься. Или его вручную запускает пользователь, по своей глупости, или запуск производится путем запуска сервиса, который потом запускает трой.
3. Почти всегда трояну (для вируса это необязательно) нужно прописаться в автозагрузке.
4. Кроме того, для трояна, чаще всего (для вируса это необязательно), соединиться с хозяином и передать ему данные, или обеспечить возможность удалённого управления.
Думаю достаточно этих сведений по троянам и вируса.
Теперь почему работа под простым пользователем резко сокращает возможность заражения трояном и резко сокращает работоспособность троя.
1. Простому пользователю запрещено устанавливать программы.
2. Простому пользователю запрещено добавлять в автозагрузку программ.
3. Простому пользователю запрещено создавать новые сетевые соединения, и модифицировать имеющиеся.
4. Простому пользователю запрещён запуск некоторых сервисов и программ.
Думаю для человека умеющего делать выводы будет достаточно.
Работа под простым пользователем, с настройками по умолчанию ( с общим доступом к папкам и файлам (рекомендуемый)) очень хороший и прекрасный выбор. Он даёт хороший уровень защиты. Уровень Windows 7 с включенным UAC.
Но к сожалению в Windows только работа по простым пользователем, с настройками по умолчанию и наличие антивиря не всегда спасает от заражения.
В этом легко убедиться.
Посмотрим на Windows 7. В ней по умолчанию установлена работа простым пользователем. Работа под админом вообще не предусмотрена. Знаменитый разрекламированный UAC. И что?
Почитаем раздел "Windows" на данном форуме. Топик "не запускаются программы в Windows 7". Особенно посмотрим на то, сколько там человек попросило помощи! И что являлось результатом неработоспособности оси! Простой троян. Он был криво написан. Результат – валил ось. Потому его воздействие и замечали. И начинали бить тревогу. Сейчас этот троян доведён до ума. И он уже не вали ось. Работает тихо и спокойно на благо хозяина. Типа:
- Ты суслика на этом поле видишь?
- Нет.
- И я не вижу. А он есть!
Делайте вывод сами. Сколько таких троянов сейчас работает на машинах с разрекламированным UAC и с настройками по умолчанию.
И, кстати у многих, из тех, кто обратился за помощью стояли антивири. И даже Касперские. Это видно было по логам автозагрузки.
Я не буду говорить о блокираторах-вымогателях, типа отправьте деньги по смс на номер. Этой гадостью болеют как и на XP с работой под админом, так и на Семёрке с UAC.
Сейчас пошёл новый троян. Маскируется под файлы WinRAR. И тоже хвалённый UAC и антивири в заднице. Только морды умные корчат.
И куды тогда крестьянину податься? Везде, суки грабять!
Вывод – хрен мы ложили на UAC и на настройки по умолчанию. Берем настройку в свои руки и наводим порядок в этом свинарнике так, как нам нужно. Тоже делаем бардак и свинарник. Но нестандартный и наш.
НО! Сразу предупреждаю, если у вас нет опыта и ты не уверены\ в своих силах лучше это не делать. Ибо подобные действия требуют обдумывания и понимания того, что ты делаешь. И понимание того, как ты будешь восстанавливать, если что-то не так пойдёт.
Хотя тут восстановить будет не трудно. Общий доступ к папкам и файлам (рекомендуемый) восстановите. Другое дело, что разобраться что сделали и почему не пошло будет очень затруднительно.
Но для желающих… Пристегни ремни. Следующая станция - ты в жопе!
И поэтом сначала будем разбирать что нуждается в защите.
Как ни странно, но при создании трояна одной из самых больших трудностей это не эксплуатация дыры, и даже не код. Пожалуй самой большой трудностью является способ впаривания (желательно незаметный для жертвы), незаметное сохранение тела трояна на машине и его незаметный запуск.
Дело в том, что мест куда можно вообще засунуть тело трояна на машине с Windows не так уж и много.
Давай представим машину с новоустановленной Windows. На машине установлен только Windows и больше ничего. В таком случае на машине:
1. Установлены только файлы, большая часть из которых размещена по папкам, и они все принадлежат опреационной системы.
2. Эти файлы размещены строго в определенных папках, их название и место расположение почти не меняется от машины к машине с такой операционной системой.
Все, что остальное поставит пользователь на свою машину будет его личное, на каждой машине будет индивидуально, будет иметь разное название и разное расположение.
Отсюда вывод – троян нужно впихивать в те папки и к тем файлам, которые не меняются от компа к компу. И путь один и тот же для прятанья троя можно забивать в код.
Почти всегда по этому пути и идут создатели трояна и вирусов.
Отсюда вывод – защищать правами доступа нужно папки и файлы операционной системы. Которые всегда присутствуют на машине и не меняются.
Рассмотрим эти папки и файлы:
1. windows;
2. Program Files;
3. System Volume ….;
4. Recyсler;
5. Document and Setting;
6. Temp.
Ну и в корне диска файлы Boot.ini, bootfont.bin, ntdetect.com, ntldr, bootwiz.sys и наследство от DOS (хотя не всегда бывает) AUTOEXEC.BAT, IO.SYS, CONFIG.SYS, MSDOS.SYS.
Других файлов в корне диска, на котором установлена Windows быть не должно. Любой другой файл в корне этого диска должен рассматриваться как потенциально опасный.
Что бы увидеть все эти файлы и папки нужно включить в Проводнике "показывать скрытые и системные файлы".
На диске могут быть и другие папки. Но эти папки уже будут создаваться пользователем и могут иметь любой название.
Теперь разбираемся какие папки с каким разрешением можем сделать.
Я пишу то, что я ставил у себя. Ты можешь, обдумав сделать другие разрешения. Никто не запрещает. Полная свобода. Повторяю вся отвественность на тебе. Твои волосы будут страдать… когда ты начнёшь их вырывать.
Я предупредил.
Папка Windows. Здесь хранятся файлы и папки операционной системы. Как ни странно установив разрешения для пользователя в данной папке "Только Чтение" можно спокойно работать. "Только чтение" для исполняемых файлов подразумевает и запуск этих файлов.
Папка Program Files. В этe папкe, вообще-то должны устанавливать программы. Но лучше этого не делать. И так поступают опытные пользователи. Не буду перечислять каких проблем в таком случае удаётся уйти. Но поверь, от многих. Проги лучше ставить в другие создаваемые тобой отдельные папки. Тем более, что в таком случае можно и на Program Files поставить "только чтение". Правда кое-что потом придётся открыть в виде обхода, но этот вопрос я рассмотрю потом и отдельно.
Папка System Volume …. . Тут хранятся копии для восстановления в случае сбоев. Пользователю делать там нечего. Режим "только чтение".
Папка Recyсler. Корзина. Ничего не попишешь. Нужно давать доступ на изменения. Но не "полный доступ".
Папка Document and Setting. Тут нужно разбираться отдельно с каждой папкой. Сейчас не будем это делать.
Папка Temp. Тут нужно разрешить доступ на изменения. Но опять же не полный.
Файлы в корне закрыть от возможности изменения. Только чтение.
Думаю этого достаточно для обдумывания и выдачи вопросов. Пока только для начала. Потому, что продолжение ещё будет.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-05 23:34:36.243333
|
|
|
bootxp
Сообщений: 68
Оценки: 0
Присоединился: 2011-11-07 00:55:33.966666
|
quote:
ORIGINAL: zzsnn
Ну и в корне диска файлы Boot.ini, bootfont.bin, ntdetect.com, ntldr, bootwiz.sys и наследство от DOS (хотя не всегда бывает) AUTOEXEC.BAT, IO.SYS, CONFIG.SYS, MSDOS.SYS.
Других файлов в корне диска, на котором установлена Windows быть не должно. Любой другой файл в корне этого диска должен рассматриваться как потенциально опасный. Дополню, ещё в корне могут быть файлы pagefile.sys (если файл подкачки не отключен) , hiberfil.sys (если используется спящий режим) и что-то вроде diskpt0.sys, если стоИт Shadow User или Shadow Defender. А также после установки винды (чаще на нетбуках\ноутах) могут быть папки c Intel\AMD\Nvidia-названиями , но их можно удалить , т.к. дрова уже установлены в винде в профильных папках.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-06 01:17:38.270000
|
|
|
Firza001
Сообщений: 31
Оценки: 0
Присоединился: 2010-09-11 22:53:15.280000
|
quote:
Сколько таких троянов сейчас работает на машинах с разрекламированным UAC и с настройками по умолчанию. Данный вопрос хотелось бы обсудить по глубже. Речь идет о вирусах которые умеют обойти UAC и глубоко прописаться в систему, или все-таки речь идет о том что пользователь по инерции всегда нажимает «ДА» на все запросы UAC? Если второе, то уже нечего винит UAC, пользователь сам своими руками одобрил установку вируса. Если все-таки первое, то тут уже надо говорить про какие не заделанные уязвимости. Права доступа к файлам и папкам по умолчанию никто не отменял - пользователю с правами USER, папки %Windir%, %ProgramFiles%, и HKLM в registry есть только для чтение. И если вирус запушенные USER смог обойти эти ограничение значит есть какая то неизвестная уязвимость, которая позволяет это сделать.
Вообще-то и на Windows 7 есть и администратор (ограничений в правах с UAC), и есть простой пользователь. Но и на Windows 7 лучше все-таки работать с правами пользователь. Хоть и вроде кажется что “администратор + UAC = пользователь”, но все-таки между ними есть существенная разница – пользователь, для подтверждение запроса UAC должен ввести пароль администратора, а администратор должен только нажать «ДА». Если нажать «ДА» можно просто автоматом, по привычке, то ввести пароль из > 8 знаков автоматом не получится.
Конечно, в полнее возможно что есть вирусы которые на 100% работают с правами пользователя из %UserProfile% данного пользователя (Google Chrome) и UAC не выдаст никого предупреждение, но в этом нет никой ошибки UAC. UAC должен защищать системно важные места, а то что делает пользователь в своем профиле, это его личная дело. Вообще-то UAC ничего не защищает – это просто способ уведомить пользователя, что для проведение какого-то действие недостаточно прав. А это «недостаточно прав» не что иное как «права доступа к файлам и папкам» - то есть то о чем едет речь в данной теме.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-06 07:02:27.710000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
quote:
Вообще-то UAC ничего не защищает – это просто способ уведомить пользователя, что для проведение какого-то действие недостаточно прав.
Да ты чё! А вот создатели UAC почему-то другое пишут. Цитирую с сайта Майкрософт. http://windows.microsoft.com/ru-RU/windows-vista/What-is-User-Account-Control
"Контроль учетных записей пользователей (UAC) — это функция Windows, позволяющая предотвратить несанкционированные изменения в компьютере. UAC обеспечивает защиту, запрашивая разрешение или пароль администратора перед совершением потенциально опасных для компьютера действий или при изменении параметров, которые могут оказать влияние на работу других пользователей.
………………………………………
Проверяя эти действия перед запуском, UAC помогает предотвратить установку вредоносного программного обеспечения и шпионских программ, а также попытки этих программ внести несанкционированные изменения в компьютер."
То же самое можно прочитать в описании любого антивируса.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-06 10:37:31.380000
|
|
|
Firza001
Сообщений: 31
Оценки: 0
Присоединился: 2010-09-11 22:53:15.280000
|
quote:
А вот создатели UAC почему-то другое пишут. Создатели все правильно пишут: "запрашивая разрешение или пароль администратора перед совершением потенциально опасных для компьютера действий". А правила «что опасно, а что неопасно» UAC сама не придумывает, эти правила берутся из прав доступа к файлам, папкам, регистру. Если во всех возможны местах поставить полные права доступа для всех, то наверно UAC больше уже не побеспокоит никогда.
Если отключить UAC, то псевдо-администратор по умолчанию станет полноценным администраторам, а пользователей с правами USER ничего не поменяется. Как он был USER так и остался, и при попытке совершать действие для которых ему недостаточно прав, все равно появится предупреждение UAC.
UAC это только способ извещение пользователей о нехватки прав, но не сама защита (для администратора UAC все-таки это есть защита, потому как включенный UAC превращает администратор в "пользователя с кнопкой "ДА""). В случи с Windows XP, при ситуациях, когда для данного действие недостаточно прав, результат зависти от автора программы. Если программ правильная – появится предупреждение о том что для данного действие надо права администратора (или предупреждение "bla-bla-bla …. permissions"). A если программа неправильная, то она или вообще не запустится (и не будет не какой информации о причине неработоспособности) или запустится но не будет работать.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-06 21:26:18.260000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Ну насчёт того, что UAC не защита я говорил всегда. Другое дело, что само Майкрософт с этим не согласно. Хотябы вспомнить её заявления о том, что в новой оси не понадобится антивирь.
В чем разница между Windows 7 с включенным UAC и без включенного UAC. Только в появлении таблички, которую через определённое время пользователь давит автоматом и в отсуствии такой таблички. Ну ещё то, что при UAC проблемы с работай в сети. Сейчас не буду разбирать почему. Ну ещё есть типа какая-то защита по настройке имеющегося оборудования. ВСЁ! Получается, что работа с UAC в Win7 почти равносильна работе с админискими правами в WinXP. Отличия я указал.
Теперь посмотрим, что при работе под простым пользователем в Win7 и WinXP. В семёрке придёться или отключать UAC, или постоянно давить пароль. Ибо загнёшься, особенно если пароль длинный.
А в ХР? Просто не пустят выполнить действие. И или сообщат об этом, или нет. Тут уж зависит от качества программы.
При этом в ХР можно разобраться с правами доступа и настроить все под себя, а вот в семёрке…. Там куда как заморочней. А чем тупей и непонятней - тем больше проблем.
И что в таком случае более безопасно? Выводы делайте без меня. Сами.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-07 09:54:40.910000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Так продолжу.
На полноценную статью просто не хватает времени. Поэтому постараюсь давать покороче.
С какими проблемами столкнёшься ты, если начнёшь работать под простым пользователем? Не знаю. Расскажу про те, что запомнились мне.
Начну с Office. Тут выше писали о "хорошо написанных" программах и "плохо написанных" программах. Я думаю что пакет Office можно отнести к "хорошо" написанным программам.
Тем более, что данный пакет производства того же автора, что и сам Windows. Вроде бы всё должно быть нормально. Но нет.
Не знаю как понимать лицензионное соглашение в Office, но при попытке под ново созданным пользователем запустить тот же Word я получил сообщение, что данный комплект не активирован. При том, что под админом было всё нормально. Нет, у меня не лицуха и ломануть данный пакет снова мне было нетрудно. Но сам факт.
Далее пошло ещё интересней. Попытка нормально поработать в Word закончилась неудачей. При том, что Office я ставил не в Program Files. И на эту папку я дал полный доступ простому пользователю.
Оказалось, что при своей установке Office в любом случае создаёт свою папку в Program Files. Нигде об этом не сообщая. А я для простого пользователя сделал "Только чтение " для этой папки. А кроме того, этот пакет создаёт ещё папку в Моих документах. И ладно бы в общих, но почему-то упорно всовывает её в личные папки пользователя. В моём случае в папку админа.
Пришлось делать, так называемый обход существующих политик. Т.е. для всей папок и подпапок Program Files делать доступ Только чтение, а для папок Offica делать разрешение Запись и Изменения в обход существующих в Program Files. Так же пришлось поступать и с папкой в Моих документах админа.
Самое интересно другое. Если создать пользователей ДО установки Office, то таких проблем не возникает. Вообще. И сообщение об отсутствии лицензии не возникает, и папки нормально ложатся и не нужно никаких телодвижений с разрешениями и доступами. Как-то всё в процессе установки само разруливается.
Так же были проблемы с сетевыми соединениям. Вначале просто не шло. Но достаточно было в Свойствах соединения поставить галочку "Разрешить подключение всем пользователям", как такая проблема исчезла. Ну тут хоть логично. Простому пользователю без разрешения админа нельзя запускать сетевые соединения.
В результате своего опыта я могу сказать, что наилучшим будет создавать простого пользователя сразу после установки Windows, до установки любо новой программы. Это позволить избежать некоторых проблем при работе с некоторыми программами. Даже с программами от уважаемых производителей.
Теперь пойдём по реестру.
При создании простого пользователя ему автоматом запрещается вносить изменения в некоторую часть веток реестра.
Тут лучше на примере.
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOne
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOneEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOne
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOneEx
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Эти ветки обычно видны из msconfig, но есть еще и те, которые не видны из msconfig.
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOne
HKCU\Software\Microsoft\Windows\CurrentVersion\RunService
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServiceOne
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
Порядок загрузки я пока не рассматриваю.
Далее:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Теперь. В IE есть возможность запускать дополнительные встроенные апплеты, расширяющие его возможности. BHO. Вместо них могут сесть трояны. Ветвь за это отвечает:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Еще ключи:
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\Software\Policies\Microsoft\Windows\System\Scripts
HKLM\Software\Policies\Microsoft\Windows\System\Scripts
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Ну, еще есть планировщик заданий, и через почта, там тоже есть планировщик.
Достаточно для начал. Хотя это не всё.
Это ветки, в которые программы пишут свои строчки для авто запуска.
Понятное дело, что сюда же и стремятся писать себя и трояны.
А при работе под простым пользователем сюда записать ничего невозможно. Прочитать - да. Запись запрещена.
В этом легко убедиться. Зайти в редактор реестра (можно под админом, можно под простым пользователем), выбрать ключ и нажав правой кнопкой мыши по ключу выбрав Свойства, просмотреть разрешения.
Это при работе в Windows XР.
А вот, что при работе в Windows 7 c выключенным UAC.
Тут выше было отмечено, что UAC закрывает только некоторую часть реестра. Только ключи, начинающиеся с HKLM. Просмотрите пожалуйста список выше. Выводы.
На самом деле ещё хуже. UAC вообще не закрывает ничего в реестре. Даже ключи , относящиеся к HKLM. В этом легко убедиться. Откроем раздел Windows в данном форуме и перейдём в топик "Не запускаются программы в Windows 7" Откроем третью страницу данного топика и почитаем как лечить троян, который доставляет такие проблемы.
Ветка
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Комментарии излишни.
Или откроем топик "Windows Заблокирован - отправьте смс на номер с текстом… ". Просто прелесть. Блокиратор винды. И где они прописывает себя в автозагрузку? Ветки
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
И это блокиратор не разбирал, перед ним падали как XP, так и Семёрка с UAC.
А теперь представим действия подобного блокиратора на WinXP (или Семёрке) под простым пользователем. Допустим даже с Общим доступом, не настроенными тобой разрешениями.
Да этот вирус запишет своё тело в папки. Ну и что? Для запуска ему нужно прописаться в ветку реестра. А ему запрещено. Результат? А ничего не будет. Не будет ни запуска вируса, ни блокировки Windows, ни лихорадочных попыток восстановления, ни платы мастеру. Будешь работать как работал и даже не заметишь, что эта гадость у тебя есть на компе. Заметишь ты её только тогда, когда запустишь анитивирь в очередную проверку. Тот обнаружит и удалит. Всё!
В связи с нехваткой у меня времени я пожалуй закончу разбор данной темы.
Желающие пусть делают выводы сами. Я никому ничего не навязываю и никого не собираюсь ни в чём переубеждать. Будут вопросы - постараюсь ответить. Если смогу, конечно.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-07 19:05:39.003333
|
|
|
Firza001
Сообщений: 31
Оценки: 0
Присоединился: 2010-09-11 22:53:15.280000
|
quote:
Я думаю что пакет Office можно отнести к "хорошо" написанным программам.
Тем более, что данный пакет производства того же автора, что и сам Windows. Вроде бы всё должно быть нормально. Но нет. Я, на работу под простым пользователем, добровольно перешел примерно 6 лет тому назад, и за это время, я по данной теме, наверно уже с ел вагон соли.
Не знаю, что и почему у Вас не работает MS Office под простым пользователем. У меня все версии, начиная с MS Office 2000, и устанавливается и нормально работает простым пользователем. Немого понять рациональную идею для установки программа не в папку %ProgramFiles%. Прав доступа по умолчанию на эту папку в полнее достаточно, чтобы обеспечить защиту уставленных программа от посягательства вирусов и самого пользователя, а также запрещает устанавливать новые программы.
Есть такой документ «Designed for Windows XP Application Specification 2.3» где описано каким требованием должно соответствовать программа, что бы она могла получить права писать, что она «Designed for Windows XP». Одно из главных правил этого документа – программа должно работать с правами простого пользователя, и должно поддерживать “Fast User Switching”. Для программы это означает, что она не может хранить свои настройки в папке %ProgramFiles%\super-puper-program\, а также программа должна сохранять настройки отдельно для каждого пользователя. Например, когда устанавливается MS Office в папку по умолчанию, то инсталлятор создает папку %ProgramFiles%\Microsoft Office\, кучу ключей в регистр HKLM, а также ключи в регистр для конкретного пользователя в HKCU, где и будет храниться установки данного пользователя. Если после установки MS Office, в компьютер зайдет другой пользователь, и попытается запустить какою ни будь программу из пакета MS Office, то сперва MS Office будет устанавливать необходимые настройки для нового пользователя. И так будет происходит со всеми новыми пользователями, и это будет происходить с любой ПРАВИЛЬНО написанной программой.
Наверно, если сильно постараться с настройками прав доступа, то можно добиться того, что программа не сможет прописать настройки для конкретного пользователя.
По поводу UAC на Windows 7, не так yж и часто простого пользователя беспокоит предупреждение UAC. Разве что какие ни будь обновление программа, которые требуют установку (к Windows Update это не относится). Если программа ПРАВИЛЬНО написана, то она недолжна пытается что-то менять там, где у пользователя недостаточно прав доступа, что означает что она недолжна вызывать предупреждение UAC (речь не идет о специфических программах, которые без прав администратора просто не могут работать).
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-08 00:07:02.763333
|
|
|
bootxp
Сообщений: 68
Оценки: 0
Присоединился: 2011-11-07 00:55:33.966666
|
quote:
ORIGINAL: zzsnn
Папка Program Files. В этe папкe, вообще-то должны устанавливать программы. Но лучше этого не делать. И так поступают опытные пользователи. Не буду перечислять каких проблем в таком случае удаётся уйти. Но поверь, от многих. Проги лучше ставить в другие создаваемые тобой отдельные папки.
Вопрос, в какие папки ? На том-же разделе с виндой , либо на другом физическом винте или логическом разделе ?
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-08 10:32:48.720000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Firza001, по поводу Offica и требований в спецификации Майкрософт. Я не буду ссылаться на свой опыт. Ибо ты ссылаешься на свой. Это будет, что мы тут будем мерятся пиписьками.
Просто подумай, с чего бы мне писать о подобном? Что бы подорвать репутацию Майкрософт? Или просто у меня фантазия такая? Я пишу о том с чем сталкивался лично. И не пытаюсь кого-то в чём то убеждать. Просто описываю с какими проблемами сталкивался, я сам. И описал как решал данную проблему. А с какими проблемами столкнутся другие и как они будут решать - это уже их опыт и их поиск решений.
Порадовала фраза:
"По поводу UAC на Windows 7, не так yж и часто простого пользователя беспокоит предупреждение UAC."
Проведи опрос среди своих знакомых по поводу частого беспокойства UAC. И поинтересуйся их мнением. Думаю это будет лучшим ответом на твоё утверждение.
bootxp
quote:
Вопрос, в какие папки ? На том-же разделе с виндой , либо на другом физическом винте или логическом разделе ?
Давай я расскажу как обычно ставлю и постараюсь коротко сообщить почему. А уж ты сам решай как лучше для тебя.
Несколько лет назад передо мной была поставлена задача создать защиту на WinXP без использования антитвиря и других прог. Причём защита должна была быть железобетонной и самой дешёвой. Компов было четыре и они работали в оффисе. На всех, к счастью уже были Windows XP Pro.
Я сразу создал простого пользователя.
Разбил винт на два раздела. На первом разделе С: я оставил все файлы и папки операционной системы. Папку Мои документы и даже папку Temp с папкой Корзины я перекинул на диск D: . Таким образом я сразу отделил папки и файлы, в которые user может писать, и из которых он может только читать.
На диск С: сразу поставил Только чтение. Даже на корень диска и на все файлы.
Соотвественно пользователю пришлось ставить все программы на диск D:, в папки, которые я создал сам. К ним доступ Разрешено изменять. Я не кого не пытаюсь агитировать за такой способ разделения. Просто тогда мне было доступно именно таким способом сделать.
Потом мне приходилось делать по другому. Когда диск С: невозможно было разбить. Тогда я ставил на папку Program Files только чтение (если нужно было, то для некоторых папок делал обход), а пользователю давал доступ на корень Разрешение изменять. Тогда пользователь мог создавать папки от корня диска. И в эти папки уже ставить программы, или создавать свои подпапки и в них кидать.
Просто при наличии двух разных разделов (не важно на одном винте или другом), легче и понятней раскидать права.
Но это уже для опытного. Для неопытного достаточно и Простого общего доступа.
Вернёмся к моей задаче.
После раскидывания прав и раскидывания устанавливаемы программ на диск D: в папку Programm, я просто выяснил с чем будет работать пользователь на данном компе. Как ни покажется диким для большинства, но для офисного работника нужно не так уж и много программ. Office, аська, браузер, скайп, буховские проги, смета и подобные. Вот от этого я и пошёл.
В групповых политиках есть два параметра - 1 список программы которые можно запускать, и 2 - список программ которые запрещены для запуска ВСЕМ пользователям компьютера. Выполнить - gpedit.msс - Конфигурации пользователя - Административные шаблоны - Система - "Не запускать указанные приложения" и "выполнять только разрешенные приложения".
Или через реестр:
Параметр "0" - можно запускать все программы, "1" - можно запускать только разрешенные программы.
Адрес [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Параметр RestrictRun (DWORD)
Чтобы указать программы, которые можно запускать, необходимо создать список параметров в реестре
Список программ, разрешенных к доступу
Адрес [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
Имена параметров - последовательно возрастающие натуральные числа, начиная с "1". Значения параметров - имена программ, разрешенных к запуску. Имена нужно вводить без пути к файлам, что позволит запускать их из любого каталога. В первую очередь в список нужно добавить системные программы, например, "regedit.exe".
Эту защиту можно легко обойти, переименовав программу, которую необходимо запустить, в изначально разрешенную к запуску.
Я шёл от группой политики. Проще просто.
И всё! Никакого антивиря (платного), никакого файрволла, никаких допрограмм.
В той фирме, где я это делал, было тогда всего лишь 4 компа и идиотов среди пользователей не было. Две достаточно разумные женщины и один хозяин фирмы. Сейчас фирма конечно куда как круче. Но, как ни странно те компы так и остались с той настройкой, уже почти четыре года. Хотя и перехали уже в другое здание и уже у них есть свой админ (компов куда как больше, за полтинник), но почему-то он не хочет менять. Как сказал мне: "Работает - нехрен лезть". Ну это его мнение. Я никому его не навязываю. Каждый делает как хочет и сам находит наиболее удобную конфигурацию.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-08 14:50:06.516666
|
|
|
bootxp
Сообщений: 68
Оценки: 0
Присоединился: 2011-11-07 00:55:33.966666
|
zzsnn, нажал бы вам на кнопку "Спасибо", если бы она была на форуме. :) Вери полезнбл информация. Спасибо.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-08 15:28:53.216666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Данную информацию я выкладывал потому, что заставили. Ты не поверишь, но за последние полгода с просьбой помочь разобраться с правами пользователя в Win в личку мне написали около десятка человек. Я просто задолбался писать по этой теме лично.
Решил, что проще будет сюда выложит. Потому и писал так быстро. Просто брал старые записи и формировали из них отдельные сообщения.
Кстати, почему я обычно делаю системные файлы на диске С:, а не системные на диске D:.
Дело в том, что в таком случае я могу С: закрыть весь для записи. В том числе и корень диска. Это уже защита от autoruns и ему подобных.
А закрытие записи в папку Program Files обеспечивает защиту от некоторых троянов, которые пишут себя в стандартные папки, в том числе и в Program Files. Например расплодившиеся сейчас вирусы работающие Вконтакте. Дело в том, что они чаще всего пишутся в виде дополнений к браузеру. Точней к IE, настройки от которого берут остальные браузеры. А IE со всеми потрохами расположен в Program Files.
Поэтому и стоит отделять разрешения для системных и не системных папок и файлов. А наиболее удобно это делать раскидав их по разным разделам винта, или как минимум, по разным папкам.
Да и кроме того, когда на диске С: у тебя система, а на другом диске всё остальное, то в случае переустановки ты можешь отформатировать С: и поставив систему на С: снова ты получишь почти ту же систему. При этом, не поверишь, но очень большая часть программ с другого диска будут работать. Даже без переустановки. Нет, не все, но всё же приличная часть. Игры в этот перечень не входят.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-08 22:13:42.780000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Firza001 извини за позднее зажигание, но позднова-то дошло.
quote:
Не знаю, что и почему у Вас не работает MS Office под простым пользователем. У меня все версии, начиная с MS Office 2000, и устанавливается и нормально работает простым пользователем.
Мы, судя по всему немного о разном говорим.
Я говорю о случае, когда на компе есть уже пользователи и уже установлен Office. И на этой машине я создаю нового пользователя. Вот тогда я сталкиваюсь с проблемами, о которых написал выше.
При наличии различных пользователей и установке Office на эту машину проблем с распределением прав у меня не бывает.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-12 16:53:30.646666
|
|
|
Xz88
Сообщений: 22
Оценки: 0
Присоединился: 2012-02-27 11:37:52.790000
|
bootxp ну нету у меня такого Firza001 прав у меня просто стояла виндовс ХР HomeEdition почитал в интернете много материала оказывается там очень многого не хватает, знакомый посоветовал не мучиться хотя и сказал что можно самому все недостающее привентить к тому что есть но это слишком сложно.
Установил себе виндовс профешианал сп2 но она какая-то пиратская и русификатор не все перевел.
Если кто может посоветуйте ссылку на виндовс ХР профешианал сп3 х86 ОЕМ русскую версию желательно с рабочим ключом которую сами используете или использовали, заранее спасибо.
zzsnn
Спасибо огромное за пояснения по правам пользователей, буду разбираться форум не работал читать не мог, сейчас текст себе на компьютер скопирую буду вникать и тренироваться на кошках.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-13 01:19:15.070000
|
|
|
bootxp
Сообщений: 68
Оценки: 0
Присоединился: 2011-11-07 00:55:33.966666
|
quote:
ORIGINAL: Xz88
Если кто может посоветуйте ссылку на виндовс ХР профешианал сп3 х86 ОЕМ русскую версию желательно с рабочим ключом которую сами используете или использовали, заранее спасибо.
http://nnm-club.ru/forum/viewtopic.php?t=78381
… ну и гугл ещё никто не отменял…
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-13 02:15:31.113333
|
|
|
Xz88
Сообщений: 22
Оценки: 0
Присоединился: 2012-02-27 11:37:52.790000
|
Спасибо, не то что нужно, но посмотрю, уже скачал с пиратской бухты посплю потом с уроков приду поставлю.
гуглом я пользоватся умею немного только там куча ссылок на разные сборки и версии которые могут уже содержать троянов или просто ошибки, поэтому и просил проверенный виндовс.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-14 12:09:26.150000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Сборки очень редко содержат трояны. Во всяком случае я не видел. Хотя антивири при проверке могут ругаться на скачанный файл сборки, но на это они и антивири. В сборках обычно крякнутые проги, и антивири на кряки реагируют. Борются с пиратством.
Другое дело, что сборки часто делаются школотой. С соотвествующим уровнем знаний и умений. Результат удручущий.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-19 00:33:26.836666
|
|
|
mr.Reenz
Сообщений: 40
Оценки: 0
Присоединился: 2012-03-10 11:57:08.273333
|
У меня вопрос. Вот Вы говорили zzsnn, что можно ограничить доступ к папке Windows, Program Files установив атрибут только чтение. А можно как Я сделал: выбрал ползователя (точнее USER) в свойства- безопасность и на папку Windows и Program Files установил атрибут разрешить чтение, но запретить запись. Я так сделал т.к. пользуюсь через USER(интернет и т.д.) , а Админом устанавливаю программы. Так правильно Я настроил права доступа, что бы защититься от вирусов и троянов? И что значит корень системы, это случайно не папка Windows?
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-19 07:11:01.040000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
По папкам Windows и Program Files, по моему мнению ты сделал правильно. Т.е. ты сделал для User возможность прочитать и запусить файлы из этих папок. А вот запись туда запретил. Что в результатет? Можно запустить программы, можно прочитать, а вот изменить и добавить файлы User не может. Только Admin. Результат: запуск вируса под user не приведёт к копированию его файлов в эти папки.
Другое дело, что некоторые программы из папки Program Files могут потребовать возможность записи и изменения. Тогда придёться сделать обход политик для папок, в которых установлены эти программы. Я писал выше, как это сделать, но если не понял - я опишу снова.
Корень диска.
Попробую проще. Папка С:\Windows и папка С:\Program Files. Они находятся на диске С:\. А ещё на этом диске есть различные файлы, которые не входят в папки. Например файл config, ntdr и другие. И где находятся эти файлы? В папках? Нет. Они находятся на диске С:\, в корне диска.
Ещё раз. Где находятся папки Windows и Program Files? На диске С:\. Точней!? В корне диска С:\.
А вот папки и файлы из папок Windows и Program Files находятся в этих папках. В папках, а не в корне.
Почему не нужно давать возможность записи в корень диска?
Пример. Файл с именем autoruns. В Win установлено, по умолчанию, что если такой файл есть в корне диска, то он запускается автоматом при подключении диска. Это сделано для CD. Для из автоматического запуска. Удобно. Это можно отключить. Если нужно я расскажу как.
А если файл с таким именем записана в корне диска C:\? Произойдет его запуск при обращении к этому диску. А мало ли что там записано? Одно время была прям пошесть с этим autoruns. Счас сошло, но всё же частенько бывает.
Закрывать корень диска для записи User или нет - дело ваше. Я закрываю.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-19 17:09:31.936666
|
|
|
mr.Reenz
Сообщений: 40
Оценки: 0
Присоединился: 2012-03-10 11:57:08.273333
|
Если Я правильно понял то корень диска- это локальный диск на котором установленна ось. И все что мы видим сразу при его открытии- (папки и файлы (не включая подпапок)) это и есть сам корень. Я правильно понял?
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-19 22:25:11.950000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Не совсем так.
Корень есть у любого раздела диска (под диском подразумевается винчестер, под разделами подразумевается то, что у тебя обозначается в Windows С:\, D:\, E:\ и т.д.)
Путь к корню любого раздела (диска) обозначается как С: (D:, E: и т.д.). Давай попробуем открыть его. Самый простой и наглядный способ даю. Пусть у тебя есть диск C: и D:. Попробуем войти в корень этих двух дисков. Для этого:
1. Запускаешь браузер. Любой. Хоть Opera, хоть IE, хоть Mozilla. К сети или инету можно не подключаться.
2. В адресной строке браузера набери C: нажим Enter. Перед тобой откроется корень диска C:.
3. Набери в адресной строке D:, нажми Enter. Перед тобой откроется корень диска D:.
И так можно поступить со всеми другими дисками, которые у тебя есть.
Ты это можешь получить и нажав в Проводнике по диску С или D. Но мне нужна была наглядность. Потому я и воспользовался браузером.
В чём ошибка твоего утверждения выше? Ты же почти тоже самое написал? Не совсем. "корень диска- это локальный диск на котором установленна ось." Корень есть у любого диска. Не только того, на в котором установлена ось.
Так, как только хоть немного разгребусь с делами напишу небольшое продолжение по улучшению защиты. А то вопросы начинают в личку гнать. В частности попробую осветить вопросы с сервисами и службами и вопрос запрета на запуск определённых программ.
Хотя быстро не обещаю. На короткие вопросы смогу отвечать, а писать более обширно пока не хватает времени. Так, что если есть короткие вопросы, задавайте. Что коротко отвечу сразу. Что большее освещу позже.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-20 07:05:33.916666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Я прошу учесть, что я никого не агитирую за распределение прав доступа ручкам и особенно по той схеме, которая у меня. Ни в коем случае. Я просто рассказываю как у меня. А каждый выбирает сам наиболее оптимальный вариант для себя.
Я с самого начала разделил файлы оси от файлов пользователя. Всю ось поставил на раздел С:\, а программы и данные гнал на диск D:\ и Е:\. Это был мой личный выбор. Как у тебя не знаю.
Имея такое разбиение я смог закрыть корень диска С:\. В Проводнике по диску С:\ правой кнопкой-Свойства- и т.д.
У меня сразу возникла проблема. Т.к. я закрыл корень диска для изменения юзеру, и оставил галочку "для вложенных файлов и папок", то такие же разрешения легли и на ВСЕ файлы и на папки на этом разделе. И я тогда сразу обнаружил, что у меня не идёт Office. Я оставил все папки без изменений, а нужным просто расшарил доступ. Например той же папке с Office в Program Files. Так называемый обход существующих политик. Т.е. для всей папок и подпапок Program Files делал доступ Только чтение, а для папок Offica делать разрешение Запись и Изменения в обход существующих в Program Files.
Если кому не понятно - растолкую подробней.
Но повторяю ещё раз - я не агитирую именно за такое распределение прав. Дело за тобой.
Оставить "Простой общий доступ" работая под простым пользователем и не раскидывая права вручную очень хороший способ защиты. Простому пользователю нельзя выполнить множество опасных команд. Например форматирование и разбиение дисков. Простому пользователю запрещено ставить программы. Простому пользователю запрещено добавлять в автозагрузку программы. Простому пользователю запрещено создавать новые сетевые соединения, но можно пользоваться существующие. И т.д. Как видишь работа под простым пользователем без распределения прав доступа прекрасно защищает от многих проблем. И идеальна для начинающих.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-20 12:01:24.833333
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
Слушай, охренеть, я аж зачиталась. Давай ещё [sm=d03035.gif] заинтреговал прям блин.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-20 19:46:25.860000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Ага. Я как я задолбался! В горле пересохло. Времени сейчас очень мало. Работа, халтура, ремонт. Поэтому постараюсь в течении недели написать. В крайнем случае ночью напишу.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-22 20:49:26.906666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Итак, как мне не хотелось, но придётся выполнять своё обещание и писать далее.
Попытаюсь как можно простыми словами рассказать о сервисах и службах. При этом постараюсь не использовать заумные и специфические слова. Заранее прошу спецов не морщить носы по этому поводу.
Сначала начнём аксиомы. Она гласит "чем больше в оси запущенно служб и сервисов тем более она потенциально уязвима". Прошу обратить внимание на слово "потенциально". Под этим уточнением я имею в виду, что сравнивать нужно одинаковые оси. Т.е. сравнивать Linux и Windows по этому параметру нельзя. А вот Win7 и WinXP сравнивать по этому параметру, пусть и не совсем корректно, но всё же можно.
Почему увеличение сервисов и служб, особенно запускаемых автоматически ухудшает защиту? Для ответа на этот вопрос сначала нужно рассмотреть как, в некоторых случаях, производится взлом.
Итак есть взломщик и его комп подключен к сети. Взломщик на своём компе запускает программу, которая сканирует наличие компов в сети и выясняет их IP-адрес. IP-адрес — это в общем случае, имя компа в сети, как его понимают другие компы.
Комп вычислил, список IP-адресов получил. Следующим шагом будет сканирование портов.
Тут постараюсь подробней и понятней. Когда служба (сервис, программа) запускается и при этом эта служба требует выход в сеть, то ей выделяется порт.
Что такое порт?
Я думаю для тебя понятно, что соединение с сетью у тебя идёт через сетевую карточку и далее по кабелю или беспроводной. Получается окно в сеть одно, а служб (программ, сервисов), которые хотят общаться много. И посылают они свои сообщения в сеть отдельными кусками определённого размера, которые называются пакетами. И получают так же пакетами.
И вот послала служба пакет в сеть. Ладно, допустим она сама указала кому этот пакет и оси не нужно мучатся. А вот если сеть получили пакет из сети. Кому она должна его передать? Представь себя в роли почтальона и ты получил письма. Кучу. И ни на одном из этих писем нет адреса доставки. А у тебя куча клиентов. То-то. Понятно, что в таком случае ты не сможешь правильно доставить письма. А вот если адрес есть, то проблем не возникнет.
В оси выходят похожим образом. Когда служба запускается и требует выхода в сеть, то ей присваивается адрес, для получения и передачи пакетов от этой службы. Это адрес представляется в виде номера, который называется портом. Просто имя по сети передавать сложно, а вот цифры намного проще. Поэтому службе даётся номер-порт.
И когда пакет приходит, то ось ищет в этом пакете номер порта, которому предназначен данный пакет и на основании этой информации переедает пакет соответствующей службе.
В общем случае пакеты, которые идут по сети содержат в своём заголовке IP-адрес+порт. IP-адрес идентифицирует комп в сети, которому передастся пакет, а порт службу, которой предназначен данный пакет.
Для упрощения обмена сообщения между компами за некоторыми службами закреплены определённые номера портов. Например за службой DNS-сервер, которая предназначена для разрешения имен DNS путем ответа на запросы на предоставление и обновление имен DNS, закреплён порт 53, как по протоколу UDP, так и по протоколу TCP. Таких служб немного, но они есть. Кроме того есть ещё часть служб, программ, которые традиционно пользуются определённым портом. Хотя его и можно изменить вручную, но чаще всего этого не делают. Например браузеры используют при своей работе 80-й порт.
Когда служба запустилась, вышла в сеть, ей присваивается номер порта и этот порт закрепляется за этой службой на всё время работы этой службы. Условно говоря ось готова принимать данные по этом порту и передавать соответствующей службе. Говорят, что "слушает по этому порту", или "открыт порт".
Пакеты, которые приходят на порт, которые не открыт осью просто откидываются.
Теперь представим взломщика. IP-адрес компа есть. Начинается сканирование данного IP-адреса по портам. Оп! Есть сообщение, что открыты ряд портов. Далее начинаем по списку прикидывать какие службы могут работать по открытым портам. Круг значительно сузился. Следующим ходом будет отправка определённого набора пакета по выбранному порту. Это позволит определить, что за служба или программа слушает этот порт. А значит и готова отвечать. Каждая программа и служба даёт специфические ответы на определённые запросы.
Определили службу. Далее читаем мануалы и шерстим инет в поисках дыр, которые есть в данной службе. И уже используя данные дыры можно вломиться в комп.
Например выясняется, что у пользователя не отключено "Разрешить подключении удалённого помощника". Читаем по этой службе на сайте Майкрософт:
"Что произойдет при установке флажка «Разрешить <помощнику> отвечать на запросы контроля учетных записей»?
Этот флажок появляется в сообщении, когда помощник запрашивает совместное управление рабочим столом пользователя. Если установить этот флажок, помощник сможет отвечать на запросы компьютером разрешений администратора или учетных данных администратора, таких как имя пользователя или пароль. Затем помощник сможет запускать программы на уровне администратора без участия пользователя. Пользователь может разрешить своему помощнику запускать программы на уровне администратора, только если пользователь сам может их запускать. Перед предоставлением помощнику этих возможностей система может запросить разрешение или учетные данные."
Комментарии, я думаю будут излишни.
Т.е. если взломщик определил, что данная служба запущена, то ему остаётся или разобраться самому или найти в инете, как можно подключиться к данной службе без ведома пользователя и получить полный доступ к компу.
Понятно, что это не такая простая задача, но если нет данных по запущенным службам, то взлом вообще переходи в категорию теоретической задачи.
Понятно, что отключить все службы из авто запуска и закрыть им возможность подключения к сети невозможно. НО возможно уменьшить количество таких служб.
Тут есть два пути.
Первый..
Пуск-Выполнить-msconfig — Автозагрузка и Службы. Просматриваешь и через Гугл выясняешь что это за служба и программа, думаем нужна ли она тебе в авто запуске. Так ж идёшь в Администрирование — Службы и там определяешь службы и их уровень загрузки. Там три уровня: автоматом ( автозагрузка), вручную (или ты запустишь, или программа запустит, если ей необходимо), не запускать.
Разбирать какие службы и сервисы нужны в автозагрузке здесь я не собираюсь. Сам сможешь через Гугл. Информации открыта и никто не мешает тебе самому шевелить мозгами. Это полезно.
Второй путь - использовать сторонние программы. Например Autoruns ( http://technet.microsoft.com/ru-ru/sysinternals/bb963902 ) или HijackThis ( http://www.trendmicro.com.ru/products/free-tools-and-services/index.html )
По работе со второй программой был разбор здесь ( http://forum.xakep.ru/m_2629477/mpage_2/tm.htm ). Читай сам. Я не буду повторять.
Это более совершенный путь, хотя и более тяжёлый. Но что поделать. Тяжело в учении — легко в гробу.
Теперь сравним Windows 7 и Windows XP по запускаемым службам.
Как я писал выше UAC в Win7 ничего не защищает. Только сообщает. Более того, давая ложное представление защиты он наносит несомненный вред. Оставь надежду всяк запускающий UAC. С отключённым UAC Windows 7 в плане защиты ничем не отличается от Windows XP, при тех же равных условиях. НО! В Windows7 гораздо больше запускаемым служб и сервисов! И потому, как ни парадоксально, но Windows 7 более уязвима, чем WindowsXP.
Подумай сам над этим вопросом.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-27 22:54:10.756666
|
|
|
mr.Reenz
Сообщений: 40
Оценки: 0
Присоединился: 2012-03-10 11:57:08.273333
|
Вы можете объяснить как настроить запрет на чтение и изменение в обход некоторых папок. У меня Total стоит в Programm Files и настройки его в большинстве случаев не сохраняются, так и логи программ после завершения их работы не могут сохраниться.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-28 06:52:55.570000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
quote:
У меня Total стоит в Programm Files и настройки его в большинстве случаев не сохраняются,
тут подробней. Что за программу ты подразумеваешь по словом "Total" и что значит "настройки его в большинстве случаев не сохраняются"? Что-то получается сохраняется. Где находится папка с прогой и каковы разрешения на неё?
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-28 22:17:42.413333
|
|
|
Brz
Сообщений: 2024
Оценки: 0
Присоединился: 2010-09-19 12:17:29.423333
|
Я так подозреваю, что это Тотал Коммандер.
zzsnn, а как отключить Trustedinstaller в 7-ке?
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-29 09:04:48.440000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
А толком никак. Она работает с правами system. Нужно менять права на Админа. Стать Владельцем, сначала, а потом валить его (файл этой проги ) в корзину. Но сначала завалить процесс через диспетчер задач, иначе он тебе ничего не даст изменить.
Так, по вопросу выше. Нужно обойти политику разрешений, действующую в папке Programm Files. Т.е. задать для папки с Total разрешения, отличающиеся от тех, что в Programm Files, при том, что папка Total находится в папке Programm Files.
Я описывал как это сделать в посте 10. Копирую тут отдельно:
"Значит, нужен обход действующих ограничений и установка новых. Вот тут и поставили создатели Windows такую возможность. Хотя и спрятали её. Если убрать галочку с « наследовать от родительского объекта применимые к дочерним разрешения…», то произойдёт разрыв действующих разрешений. При этом выскочит табличка с длинной надписью, смысл которой сводится к тому, что ты должен сообразить, точно ли ты хочешь это сделать (понять её смысл сложно, читай несколько раз). Но знай, что если ты хочешь разорвать действующие разрешения (удалить старые), то нужно выбрать пункт «Удалить», если же хочешь получить что-то несуразное – выбери «Копировать». И попробуй получить удовольствие потом. Потом удовольствие в разборе разрешений сможет получить только мазохист. Поэтому не выбирайте «Копировать». Лучше «Удалить» и потом установить новые разрешения.
После этого нужно обязательно поставить галочку на пункт "заменить имеющиеся здесь разрешения ……". Тогда установятся новые разрешения, которые ты установил. Если убрать галочку с обоих пунктов – то новые разрешения вообще не установятся. И работа будет сделана зря.
Если же поставить обе галочки, то к имеющимся разрешениям (которые от родительской папки) добавятся новые разрешения, которые ты установил. И ещё неизвестно, что получится. Фактически это тоже самое, что нажать кнопочку «Копировать».
Т.е. теоретически, по задумке создателей Windows, должно к имеющимся разрешениям добавиться новоустановленные разрешения. НО! При этом на конфликтность проверка не производится. Возлагается на того, кто производит изменения. Если у тебя хватит сил и умения разобраться, что получится на выходе – можешь жать "Копировать" или ставить обе галочки. Но думай сначала!"
Если это объяснение непонятно - сообщите. постараюсь другими словами тоже самое описать. Попроще.
|
|
|
|
|
RE: Защита Windows через права пользователей - 2012-04-29 20:41:49.270000
|
|
|
Brz
Сообщений: 2024
Оценки: 0
Присоединился: 2010-09-19 12:17:29.423333
|
quote:
ORIGINAL: Brz
zzsnn, а как отключить Trustedinstaller в 7-ке?
quote:
ORIGINAL: zzsnn
А толком никак. Она работает с правами system. Нужно менять права на Админа. Стать Владельцем, сначала, а потом валить его (файл этой проги ) в корзину. Но сначала завалить процесс через диспетчер задач, иначе он тебе ничего не даст изменить.
Я спрашивал, как отключить, а не как обойти.
Если не знаешь - так и скажи. Зачем философию разводить?
|
|
|
|
|
|
