Установлен у меня Windows 2000 SP4 на FAT32. Частенько подключаюсь по трафику в инет и часами вишу в нём. При этом установлена антивирусная программа Kaspersky Anti-Virus 4.5.0.94, которая часто обновляется антивирусными базами.
Один раз вышло сообщение в винде, что произведена террористическая атака на содержимое моего компа. Хотя антивирус не среагировал на это ни как.
У меня возник вопрос, как защитить содержимое моего жёского диска (файлов). Где можно в виндовсе отключить лазейки от несанкционированного проникновения в компьютер, т.е. заблокировать доступ от хакеров. Если можно поподробнее расскажите об этом, чтобы понятно было.

Clon

Для этого есть проги - Firewallы, например ZoneAlarm, OutPost и т.д.

ZyBeX
А что в виндах защита не предусмотрена? Неужели такая дырявая винда, что можно выкачивать, что угодно?

Clon

В окошках есть встроенный брандмауер, можещь глянуть в свойствах сетевого подключения в закладке "Дополнительно".



Кулхацкеры не дремлют и ищут новые дыры и баги в ОС.

Встроенные брандмаузер не слишком эффективен, лучше установить дополнительный файреволл... Сразу узнаешь много нового, что через каждые десять минут тебе кто-то сканирует например...

почаще на microsoft.com заглядывай, там патчи от дырок периодически выкладывают

HeroesX

А что из программ можете предложить для высокоэффективной защиты с информацией о сканировке из вне?

Clon

На www.xakep.ru читал неплохую статью по этому поводу, ссылку не нашел, так что даю полный текст:

Обустрой свою ХР
этой статье я расскажу как защитить Windows2000\XP как физический и\или удалённый компьютер. Эта тема достаточно разжёванная, но тем не менее во многих подобных статьях упускаются важные, на мой взгляд, моменты. Тем более, что статья писалась для "домашних" пользователей (хотя некоторые моменты могут быть полезны администраторам), которых значительно больше админов, и им тоже важно знать как обезопасить свой комп, например от воришек диал-ап'а. Я постараюсь всё подробно объяснить что, где и как настраивать.

Итак, приступим.
Зачем защищать свой компьютер? А тебя не пугает, что в твой компьютер могут проникнуть из сети? Что может пропасть какая-нибудь конфиденциальная информация? Или что вирус чего-нибудь удалит? Многие наивно полагают, что в их компьютер никто не залезет... потому что нет ничего интересного для взломщиков; да и вряд ли кто-нибудь выберет именно их компьютер. На самом деле, любой компьютер в сети представляет интерес. Одним важно получить, например, пароль к инету, а другие видят в компьютерах их технические возможности, например, возможность использования компа как "счётную машинку" для перебора паролей, для проведения DDoS атак и т. п.

Файловая система, файлы
Первое, на что надо обратить внимание - какая файловая система используется. Если тебе действительно важна безопасность, то выбор один - NTFS. И не верь всяким там супер-пупер хацкерам и другому подобному народу, утверждающему, что FAT - это сила, а NTFS - отстой. NTFS более надёжная, позволяет расставлять параметры доступа практически любому файлу. А NTFS5 поддерживает ограничение по квотам (можно ограничивать папку на занимаемое ей место). Теперь о том, как перейти с FAT на NTFS и при этом не потерять данные. Во-первых, при установке Win' 2000\XP это можно сделать автоматически - в соответствующий момент ответив утвердительно на соответствующий вопрос. Можно преобразовать FAT16 (или FAT32) в NTFS и позже - воспользовавшись командой CONVERT. Синтаксис этой команды такой:

convert [диск] /fs:ntfs [/v]

где V - параметр, позволяющий не гадать при следующей перезагрузке системы, идет конвертация или нет, а видеть соответствующие сообщения о происходящем процессе на экране. Кроме встроенных средств Windows, для преобразования FAT в NTFS можно воспользоваться замечательной программой Partition Magic, позволяющей к тому же при необходимости выполнить и обратное преобразование - из NTFS в FAT, и тоже без потери данных.

По умолчанию задавать параметры безопасности нельзя. Для того, чтобы это было возможно, лезем в Панель управления-> Свойства папки-> Вид и убираем галочку напротив "Использовать простой общий доступ к файлам". Здесь же выбираем "Показывать скрытые файлы и папки".

Настройки в панели управления
Лезем в Панель управления->Администрирование->Локальная политика->Локальные политики->Параметры безопасности. В появившемся списке слева находим строчку: "Переименование учётной записи администратора". Дважды кликаем по ней и вводим что-нибудь другое. Так же поступаем и с учётной записью гостя. Ищем строку "Состояние учётной записи 'Администратор'". Если ты хочешь всё время использовать другое имя, нежели изменённое имя администратора - выключаем эту опцию. Обязательно выключаем учётную запись 'Гость' (Guest) (по умолчанию она уже отключена, но на всякий пожарный надо самому в этом убедиться!). Ищем что-то типа "Уровень аутентификации LAN Manager" и выбираем "Использовать NTLMv2\отклонять LM&NTLM". Это для того, чтобы избавится от недостатка LM-hash, который сохраняет твой пароль для входа в систему таким образом, что "разламывает" пароль (если он длиннее 7-и символов) на две части: одна часть длинной 7 символов, другая всё, что осталось. Десятизначный пароль взламывать труднее, чем два пароля длиной 7 и 3 символа.

Ищем "Не показывать имя последнего пользователя" и изменяем параметр на "Включён"(в англ. винде это "Interactive logon: Do not display last user name"). Эта штука нужна для того, чтобы при входе в систему не показывалось имени последнего залогиневшегося юзера. Также можно изменить максимальный срок действия паролей. Изменяем "Очищать файл подкачки при завершении работы" на "Включён". А теперь в списке слева выбираем: Локальные политики->Назначение прав пользователя. Справа ищем:
Доступ к компьютеру из сети. Если ты не используешь NETBIOS для доступа к твоему компу из сети - выкидывай всех.
Отказ в доступе к компьютеру из сети. Опять же: не нужен NETBIOS-доступ к твоему компу из сети - выбираем всех, кого можно.
Отклонить локальный вход. Кого выберешь здесь тот не сможет войти в твой комп локально (для тех кто в танке: локальный вход - это вход, который производится, когда ты включаешь комп и входишь в систему). Смотри не переборщи: если выберешь всех - никто не сможет войти в твой компьютер локально (даже администраторы). Лично я выкинул только группу "Гости".
Принудительное удалённое завершение. Выкидываем из этого списка ВСЕХ!
Все остальные настройки, в которых по умолчанию в параметрах вписана группа Администраторы (Administrators) настраиваются так, чтобы по возможности сама эта группа там не фигурировала: нужны администраторы - выбирай их имена, а не всю группу.
В правом списке лезем в "Локальные политики->Аудит". Здесь настраиваются те параметры, которые должны регистрироваться в журналах системы. Можно выбирать успех и/или отказ. Особо много не выбирай, ибо систему нагружает (по большому счёту домашним пользователям регистрация в журналах особа не нужна). Всего три журнала: безопасности, приложений и системный. Доступ к ним осуществляется через Панель управления-> Администрирование-> Просмотр событий.

Снова лезем в правый список и ищем "Политики учётных записей->Политика паролей". Здесь можно настраивать по вкусу. Рекомендую включить опцию "Пароль должен отвечать требованиям сложности". В каталоге справа находим "Политика блокировки учётной записи". Пороговое значение блокировки устанавливаем на 3, блокировка учётной записи - на 30 минут. Это значит, что если кто-то пытался получить доступ к какой-то учётной записи, и три раза подряд ему было отказано в доступе, то учётная запись (имя пользователя), к которой была попытка получения доступа, будет заблокирована на 30 минут, в течение которых доступ к учётной записи даже с правильным паролем запрещён.

Реестр
Что жt, теперь наведём порядок в реестре. Лезем в HKLM\SYSTEM\CurrentControlSet\ LanmanServer\Parametrs и ищем параметр AutoShareWks и присваиваем ему значение 0. Если такового параметра нет - нужно создать его. Этот параметр отвечает за авто создание расшаренных ресурсов. Если тебе нужно использовать расшаренные ресурсы и к ним нужен удалённый доступ, лучше создать нужные ресурсы вручную.

Идем в HKLM\SYSTEM\CurrentControlSet\ Control\Lsa и создаём параметр типа REG_DWORD с названием restrictanonymous (возможно, он уже создан) и присваиваем ему значение 2. Это надо сделать для запрещения NULL-session: это когда можно присоединиться к компу для запроса различной инфы (например, НЕТБИОС имя компьютера, имя рабочей группы) без ввода имени пользователя и пароля (поэтому и нул-сешшн). Пароль и логин к инету лучше не сохранять, т.к. его можно будет вытащить специальными утилитами. По умолчанию в системе выбрано запоминать логин и пароль, но даже если галочку убрать, логин сохраняется (а пароль уже нет). Чтобы это исправить лезем в HKLM\System\CurrentControlSet\ Services\Rasman\Parameters и создаём параметр типа REG_DWORD с названием DisableSavePassword и присваиваем ему значение 1. Я ещё рекомендую вырубить RPC (Процедура удалённого вызова) из-за того, что толку он неё немного, а комп однозначно становится более уязвимым (вспомни недавние баги в RPC!). Вырубаем: HKEY_LOCAL_MACHINE\Software\ Microsoft\OLE – измените значение EnableDCOM к N. Параметры вступят в силу после перезагрузки.

К реестру возможен удалённый доступ (при условии, что известно имя пользователя и пароль того юзера, права которого позволяют изменять реестр). Чтобы выборочно ограничить доступ к реестру удалённо и локально выбираем один из главных разделов, жмём правую кнопку и выбираем "Разрешения" здесь изменяем группы. ОБЯЗАТЕЛЬНО оставь СИСТЕМУ (SYSTEM). Вместо группы "Администраторы" (Administrators). Лучше выбирать имена админов. Жмем "Дополнительно". В появившемся окне ставим галочку напротив "Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам". Так нужно сделать со всеми главными разделами. В этом же окне можно задать параметры аудита реестра. Если удалённый доступ к реестру вообще не требуется можно его вырубить: лезем в Панель управления->Администрирование-> Службы. Здесь находим Удалённый доступ к реестру (Remote Registry), дважды щёлкаем по нему и указываем тип запуска как "Отключено".

Назначение доступа к файлам\папкам
Нужно правильно распределить: каким юзерам в какой католог можно залезать (возможно в файловой системе NTFS). Для этого: щёлкни правой кнопкой на нужном файле\каталоге\диске и выбери "Свойства". Теперь ищи вкладку "Безопасность". Здесь два окошка: группы пользователей и их текущие права на данный ресурс. Редактируй его как считаешь нужным (ты ведь уже должен знать кому куда можно залезать, а кому нет!).

И напоследок:
Следует подумать о проверке своей системы сканером безопасности. Сейчас их достаточно много. Лично я - "домашний пользователь" (мой комп не является никаким веб-сервером и т.д.) Поэтому я выбрал сканер Retina: он позволяет не только проверить систему на известные уязвимости, но и профиксить их одним нажатием на кнопку (если уязвимость связана с настройками системы!).
Не забывай вовремя ставить заплатки. Истина гласит: нужно ставить заплатки сразу после их появления, а не когда очередной червь начнёт доставать!
Не забывай посещать security-сайты.
И конечно же поставь файрвол - тот же AtGuard например или Outpost.
Вот, собственно, и всё, что я хотел рассказать. Надеюсь, мои советы окажутся для тебя полезными.

По моему эту статью в каком-то номере Хакера печатали.

Еще в Windows 2000 и XP есть такое понятие, как "административные шары", которые в случае FAT32 доступны вообще любому желающему в сети, так что не надо даже никаких дыр в самой системе использовать. Как их отключить, можно прочитать по адресу http://www.3dnews.ru/reviews/software/w ... x07.htm#13
Поэтому систему нужно обязательно ставить на NTFS, причем диск не конвертировать из FAT в NTFS, а сразу форматировать в NTFS при установке системы. Кроме этого, пароль администратора должен быть сложным и длинным (стандартный админский логин лучше вообще переименовать во что-нибудь нейтральное, чтобы там не было намека на слово "администратор"). Если сидишь на быстром канале, то обязательно раз в неделю запускать Windows Update. Обязательно антивирус и обновлять его не реже раза в день, а лучше проверять обновления каждый час. Еще очень желательно послать подальше Internet Explorer и Outlook Express, а вместо них использовать менее дырявые и менее атакуемые альтернативы: Mozilla или Opera (я использую мозилку). Наиболее удобные файрволлы уже назвал ZyBeX, но лучше всего для защиты от атак не выставлять винду в интернет вообще, а поставить между виндовым компом и инетом отдельный аппарат-шлюз с NAT и файрволлом. Есть готовые небольшие аппараты, предназначенные для этого, а можно собрать такой шлюз самому - вполне хватит какого-нибудь старого пенька с двумя сетевыми платами (одна смотрит в нет, другая во внутреннюю сетку) под управлением FreeBSD или Linux.

Встроенный в винду использовать НЕ рекомендую, ибо он сам дыряв как решето. Тут недавно в нем еще одну дыру нашли и ИСПОЛЬЗОВАЛИ, да так, что у кого кучу файлов стырили


Я с эпидемии Бласта на мелкософт не заглядывал Толку от этих патчей 0. Поставишь -> старая дырка фиксится -> новая получается


Действительно, NTFS продвинутей и мощней, но в некоторых задачах FAT выигрывает по скорости, но не по надежности и стабильности Конвертить диск лучше не стоит. Лучше создайте диск сразу в NTFS (с помощью PM), в противном случае при конвертации часть свободного места теряется и структуры ФС расположены весьма не оптимально

Надо еще в ХР запретить вход пользователей бекапа и удаленной помощи.

несомненно, совет хороший и уровень безопасности повышается, НО теряется совместимость с 9х виндой.

Здесь главное не переборщить. Представьте ситуацию, что атака ведется на админа. Злоумышленник, скажем, три раза вводит неправильно его пароль и блокирует аккаунт админа, а сам в это время занимается другими делами...

Хотя бы PassView. Попробуйте! Узнаете многие свои пароли

Гм. Интересно Его же нельзя вырубить! Это составная часть системы, зато можно фрагнуть DCOM, как указано выше

(там где про разрешения)
Область применимости: юзер работает всегда как Админ. Если нет, то при использовании данного совета, не-админ не сможет работать с реестром, а это не есть гуд

Абсолютно согласен. Сам пользуюсь Оперой и веб-интерфейсом для почты. ИЕ и Аутглюком пользоваться НЕ стоит ни в каком случае. Под страхом смерти

Теперь пара советов от меня:
1) желательно создать юзера с правами, отличающимися от админских. И сидеть постоянно под ним. Когда захочется дальше оттюнить систему, то зайдете под админом. Или воспользуйтесь runas (посмотрите хелп) или su (из Resource Kit)
2) отключите ВСЕ лишние сервисы (Control Panel -> Administrative Tools -> Services или через Computer Management). Мануал можно найти здесь
3) не ставьте всякие кривые проги
4) поставьте какой-нибудь файерволл и настройте его на наиболее защищенный режим.
5) запретите доступ к системе всем "левым" дефолтным юзерам.
6) может возникнуть соблаз попользоваться Encryption, встроенным в 2000/ХР. Лучше не делайте от этого. Толку мало, а проблем обычно создает много. Частности при восстановлении данных.

Ламерский вопрос в тему - eset Nod 32 (антивирь) + все вышеперечисленные действия для защиты хватит?
Если ещё нужен файервол то какой мне выбрать (только чтобы он сильно не напрягал со своей защитой )?

Добавлено спустя 17 минут, 49 секунд:
И ещё - стоил ли вырубать IpSec?