Хочу настроить Windows так, чтобы максимально исключить доступ из вне. Я думаю, что не только я один обеспокоен сейчас безопасностью и думаю, что при нашем общем усилии мы сможем создать образ правильного и максимально безопасного Windows'a. Так что пишите свои идеи\добавления\исправления сюда.

Итак, что я хочу:
- Ставим Windows XP Pro Corp Eng + SP1 (SP2 ставить не хочу, так как не весь софт идёт)
- Ставим DirectX 9.0c, дрова для чипсета, дрова для видео и т.д.
- Отключаем Windows Update
- Отключаем не нужные сервисы. Я отключаю вот эти:
DHCP Client
MS Software Shadow Copy Provider
NetMeeting Remote Desktop Sharing
Telnet
Automatic Updates
WMI Performance Adapter
Wireless Zero Configuration
Internet Connection Firewall/Internet Connection Sharing
Secondary Logon
Upload Manager
Print Spooler
Remote Desktop Help Session Manager
Network DDE DSDM
Performance Logs and Alerts
Uninterruptible Power Supply
Distributed Link Tracking Client
Distributed Transaction Coordinator
Routing and Remote Access
TCP/IP NetBIOS Helper
Smart Card Helper
Computer Browser
Task Scheduler
Server
ClipBook
Portable Media Serial Number
Net Logon
IMAPI CD-Burning COM Service
SSDP (SSDP Discovery Service)
Error Reporting Service
Network DDE
(NLA) (Network Location Awareness (NLA)
Messenger
Terminal Services
Fast User Switching Compatibility
Help and Support
System Event Notification
Remote Registry Service
WebClient
Smart Card
Universal Plug and Play Device Host
Background Intelligent Transfer Service
- Ставим Анти-вирус, только не могу определиться какой - Каспер 5.х или лучше какой-нить другой (посоветуйте)
- Ставим Firewall (в моём случае BlackICE 3.06cob) Outpost не хочу, так как из-за его популярности стали его ломать. Сразу же закрываем все "нужные" порты 137, 138, 139, 445, 31337, 27347, 12348 и т.д. И ставим его в режим макс. блокирования всего и вся - разрешаем запуск только проверенных программ.
- Заходим в Пуск - Выполнить - печатаем там "gpedit.msc" - в этом окне делаем откл. то, что считаете нужным (там очень много настроек)
- Браузер ессно Opera 7.50 (жду пока полную 8-ю), хотя иногда пользуюсь IE...так же советую FireFox
- Какой почтовик кто использует? У меня стоит The Bat 3.0.1.33 - опять же надо прикрутить к нему плагин PGP для отправки писем.

Пока вроде всё, что смог вспомнить. Ещё хотел бы узнать какие есть проги для поиска на компе шпионов, keyloger'ов (как вообще обезопаситься от них) и т.д.

JMS

Ad-Aware сильно рулит, находит даже то, что не всякая антивирусная программа находит

spybot search&destroy мне больше всего нравится

JMS
Что думаете об Антивирусе Касперского® 5.0?
Оптимальная версия Firewall'a на сегодняшний день.
Какое ПО использовать для полной зашиты ПК ???
[Опрос] Каким антивирусом ты пользуешься?
И до тебя многие пытались создать неуязвимый Windows. Поиск рулит, туда и отправляйся за the bat!

Ну эти темы я читал...хотел услышать о ваших решениях защиты

берем nlite, кастрируем винду дальше некуда - ставим и радуемся

Может проще будет Linux поставить, чем столько извращаться?:)

[Overclocker] Настроить правильно надо сначало... а настройка там посложнее чем в винде........ Для таких "которым проще" даже irc-клиент хчат под рутом не запускается.... Ибо все "проще" естественно сидят постоянно под рутом, ратуя, что линукс - сверхсекретная и супербезопасная ос.... Не в ос дело, а в прямых руках...

Хотя если начитаться руководств, настроить фаервол и тд. будет понадежнее винды, и главное! линукс - не панацея, постоянно находят баки в разных функциях, модулях ядер...переполнение буфера, срыв стека и иже с ними.... Хотя понадежней винды будет именно из-зи того, что винда не всюду пускает поменять настройки.....

Меньше лазить по левым сайтам
Меньше ставить левого софта
____
Я не делал и 99% из приведенного в первом посту и чувствую себя нормально и без проблем.

Fractal Если по хорошему то необходимо, на своей тачке держать, более трех антивирей!!!

JMS
2 года комп к инету подключен, за это время взломов 0, вирусов 0(может просто я никому не нужен ). Зашишаюсь DrWeb'овским Spider'ом и Outpost Firewall(Block НАХРЕН ALL). Вроде помагает.....

У меня 2000 винь+Аутпост в режиме все блокировать, антивирус Панда Платинум установлен, но АВП отключено, периодически проверяю комп. Пользуюсь Оперой.Пока ничего не словил. Хотя в нашей локалке куча червей и вирусов гуляет из-за чайников. Винь ХП не живет больше несколький минут. Рекорд секунд 20.

JMS


Это в твоем понимании безопасный Windows?
Антивирь и файрволл это конечно хорошо, но без них такой Windows (а тема об этом, о Windows, с хорошим фаером и в 98 можно ни о чем не беспокоиться) проживет в сети около минуты, поймав первый попавшийся червь. С другой стороны с последними заплатками и файр не сильно нужен (хотя желателен).

Это какой (чтобы обновы для совместимости уже не вышло)? Уже появляется софт требующий SP2.

У меня стоит (никому ничего не навязываю):
XP SP2 + апрельские обновы (в мае будут майские и т.д.)
антивирь и файр - norton + последний live update

<--Oberdan-->
Перебор. Более того, они вместе могут при старте системы уводить ее в перезагрузку!

Fractal
Ну а зачем их всех в автозагрузке оставлять 1 в полне хватит, а все остальные оставить как добрых друзей, сканеров!

JMS

Итак, что я хочу:
”- Ставим Windows XP Pro Corp Eng + SP1 (SP2 ставить не хочу, так как не весь софт идёт)”

От этого ооооочень сильно пострадает безопастность.

“Отключаем Windows Update”
Зачем? Или тебе не интересуют все выходящие заплатки по безопасности?


”Отключаем не нужные сервисы. Я отключаю вот эти:”
”DHCP Client”

И получаем неработоспособную сеть или диалап, если распределение адресов идет по DHCP или тебе интернет не нужен (тогда ради чего ты это затеял?)?

”Automatic Updates”
См. Windows Update

”Print Spooler”
Принтера нет и печать не собираешься? Можешь словить глюки с некоторым софтом при установке и работе.

”Network DDE DSDM
- Ставим Анти-вирус, только не могу определиться какой - Каспер 5.х или лучше какой-нить другой (посоветуйте)
- Ставим Firewall (в моём случае BlackICE 3.06cob) Outpost не хочу, так как из-за его популярности стали его ломать. Сразу же закрываем все "нужные" порты 137, 138, 139, 445, 31337, 27347, 12348 и т.д. И ставим его в режим макс. блокирования всего и вся - разрешаем запуск только проверенных программ.
- Заходим в Пуск - Выполнить - печатаем там "gpedit.msc" - в этом окне делаем откл. то, что считаете нужным (там очень много настроек)
- Браузер ессно Opera 7.50 (жду пока полную 8-ю), хотя иногда пользуюсь IE...так же советую FireFox
- Какой почтовик кто использует? У меня стоит The Bat 3.0.1.33 - опять же надо прикрутить к нему плагин PGP для отправки писем.”

Значит интернет нужен?


В локальных политиках безопасности, выбираем импорт политик и импортируем политики:

1) hisecws – для максимальной безопасности
2) securews – для безопасности среднего уровня
3) compatws – для обычного уровня безопасности

Реально все твои действия больше приведут к появлению глюков, нежели к безопасности, так как безопасность, в первую очередь зависит от пользователя который сидит за компьютером.

Если есть сето то все сетевые должны быть включены обязательно! Иначе затрахаешься искать причины глюков с сетью или админов запаришь! Ставишь винды сп2(главное дэп не выключать если хочешь безопасности), антивирь симантек 9 или каспер 5. Ставишь фаервол на выбор нынче очень много хороших фаерволов.
Если так всего боишься ставишь политики безопасности для эксплорера на макс безопасность и сидишь за абсоютно безопасной но очень гиморойной машиной.

Для начала стОит посмотреть то, что уже придумано
http://csrc.nist.gov/itsec/guidance_W2Kpro.html
Смотрим 800-43 и 800-68 (пока драфт)
Там же забираем готовые *.inf (download the document and templates)
ЗЫ согласен с 2133, за исключением: Windows Update не тоже самое, что Automatic Updates. Если SUS нет - AU можно отключать смело.

Blaz


Я по AU слежу за выходом новых заплаток, вместо того, чтобы переодически лазить на сайт WU

Добавлено спустя 47 секунд:
Dark Lоrd

удалено. Fractal