avatar_alexsf

Как уменьшить риск заражения системы.

Автор alexsf, 05-12-2012, 23:13

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

alexsfTopic starter

Как уменьшить риск заражения системы.

Я постарался собрать основные рекомендации которых нужно придерживаться:
1) Одним из основных векторов распространения зловредов являются флешки - поэтому я настоятельно рекомендую отключить автозапуск со сменных носителей (а лучше вообоще полностью).
Сделать это можно несколькими способами:

1) Через "Редактор объектов групповой политики":
а) В поле выполнить вводим gpedit.msc и нажимаем enter - тем самым мы вызываем "Редактор объектов групповой политики" (кстати поизучайте его на досуге - оттуда можно много чего ещё делать - например блокировать-разблокировать диспетчер задач и редактор реестра и т.д.)
б) Переходим там по пути Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Политика автозапуска - Отключить автозапуск.
в) Ставим галочку включен и выбираем параметр "Все устройства" - жмём ПРИМЕНИТЬ - ОК.

2) С помощью AVZ:
Открываем AVZ и переходим в Файл - Мастер поиска и устранения проблем - Системные проблемы - жмём пуск.
Ставим галочки на пунктах в названиях которых встречается слово автозапуск - жмём Исправить отмеченные проблемы.
Также можно написать скрипт для отключения автозапуска, например для отключения автозапуска со всех устройств кроме CD/DVD приводов нужно выполнить такой скрипт в AVZ (AVZ - Файл - Выполнить скрипт - вставить туда скрипт - Запустить):

Код:

Цитироватьbegin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.

3) Ручной правкой реестра:
а)

Код:

ЦитироватьHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom

Установить значение параметра AutoRun равным 0.

б)

Код:

ЦитироватьHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Создать ключ "NoDriveTypeAutoRun" (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.
в)

Код:

ЦитироватьHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf

Задать строковой параметр (типа REG_SZ) со значением:

Код:

Цитировать@SYS:DoesNotExist

г)

Код:

ЦитироватьHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files

Создать строковый параметр типа REG_SZ с названием:

Код:

Цитировать*.*

4) Кто не хочет самостоятельно вносить изменения в реестр указанные в третьем пункте - могут воспользоваться AutorunDell_FINAL - скачать его можно по ссылке:

Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">You are not allowed to view links. Register or Login

P.S. Вы можите использовать любой из приведённых способов - какой вам больше понравится))

2) В повседневной работе за компьютером желательно использовать учётную запись с ограниченными правами, так как это в значительной мере снижает вероятность заражения ПК. А учётную запись администратора использовать только при установке программ и внесение в систему изменений требующих соответствующих привелегий.
В Windows Vista и Windows 7 данную проблему решили введением компонента UAC. Если вы пользуетесь этими операционными системами - то используете встроенную учётную запись с включенным UAC - это почти полностью убережёт вас от прописания зловреда в автозагрузку (естественно если вы сами это не одобрите) и внесения им критических изменений в системные настройки (т.е. значительно уменьшит возможность закрепления зловреда на ПК).

3) Регулярно обновляйте систему и программы (особенно не стоит принебрегать обновлением браузеров (Internet Explorer в том числе), Adobe Acrobat, Java, Adobe Flash Player, антивирусов и другого защитного софта). Для обнаружения наиболее часто используемых уязвимостей (которые нужно устранить в первую очередь) вы можете воспользоваться скриптом написанным участник форума You are not allowed to view links. Register or Login AndreyKa (AVZ - Файл - Выполнить скрипт - вставить туда скрипт - Запустить):

Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">You are not allowed to view links. Register or Login

4) Желательно произвести тонкую настройку системы, в этом вам поможет следующая книжка (в той книге много полезной инфы по информационной безопасности):

Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">You are not allowed to view links. Register or Login

P.S. При внесение изменений затрагивающих сетевые настройки проконсультируйтесь в техподдержке вашего интеренет провайдера.

5) Желательно включить показ расширений файлов - для этого перейдите:
ПУСК - Панель управления - Свойства папки - выберети вкладку ВИД - снимите галочку с пункта "Скрывать расширения для зарегистрированных типов файлов" - нажмите применить - ОК.
Для чего это следуют сделать - многие зловреды сейчас используют для обмана пользователей двойное расширение (скрытое расширение) - т.е. например Фото.jpg.exe - если у вас будет стоять там галочка то вы можете не понять что перед вами замаскированный исполняемый файл, так как будет отображаться Фото.jpg
Если вы увидите файл с двойным расширением, то будьте максимально осторожны - пошлите в вирусную лабораторию на изучение, проверьте на VT и лишь потом если файл окажется чист запускайте.

6) Желательно произвести тонкую настройку браузера, выполнив хотя бы основные рекомендации:
- использовать сессионные куки (cookies)
- отключить Java
- отключить плагины (использовать их только по необходимости)
- отключить фреймы и inline-фреймы
- также желательно запретить исполнение JavaScript (разрешать только для доверенных сайтов)
- менеджерами паролей лучше не пользоваться (надёжнее хранить их в собственной памяти)
Если вы не хотите разбираться в тонкой настройке вашего браузера (выполнять выше изложенные пункты) - то для вас рационально будет использовать его в песочниче (например Sandboxie).

7) Необходимо соблюдать элементарную гигиену при сёрфенге в интернете:
- качать софт только с оффициальных сайтов
- не кликать на сомнительные ссылки полученный по почте, месенджеру и т.д.
- файлы лучше сразу скачать (нажать правую кнопку мыши и выбрать пункт сохранить как), изучить (проверить соответствие расширения обещанного файла скачанному (например картинка уж точно не должна иметь расширение exe), наличие двойного расширениия, отправить на VirusTotal) и лишь потом (если не возникнет подозрений) запускать.
- перед посещением подозрительного сайта лучше проверить заражен ли он, для этого можно например использовать: Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">You are not allowed to view links. Register or Login

8) Рекомендую вам изучить что-такое hosts файл и для чего он нужен.
Общая информация: Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">You are not allowed to view links. Register or Login

Для чего это нужно - зловреды внося изменения в этот файл могут блокировать определённые сайты (например серверы обновлений для антивирусов, операционной системы и т.д.) и перенаправлять ваши запросы на другие (фишинговые или зараженные) сайты.
Если в кратце - то hosts файл как правило находится здесь:

Код:

Цитироватьc:\windows\system32\drivers\etc\hosts

Редактироваться он может с помощью обычного блокнота.
По умолчанию должен содержать только строчку:

Код:

Цитировать127.0.0.1 localhost

Если операционная система поддерживает протокол интернета версии 6 (IPv6), то по умолчанию там есть ещё строчка:

Код:

Цитировать::1 localhost

Если вы увидите там другие строки кроме этих - то их следует удалить (P.S. следует иметь ввиду что некоторый защитный софт также может вносить изменения в hosts файл - для блокирования зловредных сайтов).
Очистить hosts файл от нежелательных записей можно автоматически - выполнив скрипт в AVZ (AVZ - Файл - Выполнить скрипт - вставить туда скрипт - Запустить):

Код:

Цитироватьbegin
ClearHostsFile;
end.

Назначение записей в hosts файле:
127.0.0.1 localhost - адрес вашего компьютера
216.246.90.119 You are not allowed to view links. Register or Login - указывает адрес для ускорения загрузки сайта You are not allowed to view links. Register or Login (т.е. при вводе в браузере адреса You are not allowed to view links. Register or Login - будет сразу устанавливаться соединение с удалённым IP-адресом 216.246.90.119 - это часто используется зловредами для перенаправления запросов на другие сайты)
127.0.0.1 You are not allowed to view links. Register or Login - блокирует сайт You are not allowed to view links. Register or Login (часто используется зловредами для блокирования серверов обновлений антивирусов (защитного софта) и операционной системы)

9) Желательно запомните стандартный ключ запуска проводника:

Код:

Цитировать[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe
"

Для чего это нужно - многие зловреды (например блокеры) модифицируют его, например внося такие изменения:

Код:

Цитировать[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\svvghost.exe"

Т.е. при загрузке Windows вместо проводника (explorer.exe) будет грузиться зловредный процесс (svvghost.exe).

10) Для тестирования нового софта и запуска подозрительных файлов установите себе виртуальную машину, программу типа "песочница" или регулярно делайте образы системного раздела соответствующими утилитами - это поможет вам продлить срок службы и снизит риск заражения (или облегчит лечение) системы. Также регулярно делайте резервные копии важных данных - чтобы не потерять их при заражение системы.
Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

В одни руки выдаем любой 1 ключ. Всего 1 любой ключ.

Следующий ключ не ранее, чем за 3 дня до окончания лицензии.

Есть ключи на Norton AntiVirus Plus 2023 1 ПК / до 10.2024 You are not allowed to view links. Register or Login

Есть Не активы для NS и NSBU на 90 дней

You are not allowed to view links. Register or Login

🡱 🡳

* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.