ZV

00:00:00

Автор Тема: Как уменьшить риск заражения системы.  (Прочитано 1418 раз)

0 Пользователей и 1 Гость просматривают эту тему.


  • Хозяин сайта
  • Гл. Администратор
  • *****
  • ru

<---Информация--->

  • Сообщений: 71979
  • Регистрация: 29-03-2010
  • Возраст: 58
  • Расположение: Крым
  • Спасибо за пост:
  • -Сказал(а) спасибо: 102249
  • -Поблагодарили: 172980
  • Награды За 50 000 сообщений Главному Админу Новостнику форума Ключнику форума За активность в разделе Игры За активность в разделе Софт За активность в разделе Киноиндустрия За активность в разделах Книги и Аудио-книги За активность в разделе Музыка За активность в разделе Кулинария Тем, кто привел пользователей на наш форум За искрометный юмор
    • Награды
Как уменьшить риск заражения системы.

 Я постарался собрать основные рекомендации которых нужно придерживаться:
 1) Одним из основных векторов распространения зловредов являются флешки - поэтому я настоятельно рекомендую отключить автозапуск со сменных носителей (а лучше вообоще полностью).
 Сделать это можно несколькими способами:

 1) Через "Редактор объектов групповой политики":
 а) В поле выполнить вводим gpedit.msc и нажимаем enter - тем самым мы вызываем "Редактор объектов групповой политики" (кстати поизучайте его на досуге - оттуда можно много чего ещё делать - например блокировать-разблокировать диспетчер задач и редактор реестра и т.д.)
 б) Переходим там по пути Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Политика автозапуска - Отключить автозапуск.
 в) Ставим галочку включен и выбираем параметр "Все устройства" - жмём ПРИМЕНИТЬ - ОК.

 2) С помощью AVZ:
 Открываем AVZ и переходим в Файл - Мастер поиска и устранения проблем - Системные проблемы - жмём пуск.
 Ставим галочки на пунктах в названиях которых встречается слово автозапуск - жмём Исправить отмеченные проблемы.
 Также можно написать скрипт для отключения автозапуска, например для отключения автозапуска со всех устройств кроме CD/DVD приводов нужно выполнить такой скрипт в AVZ (AVZ - Файл - Выполнить скрипт - вставить туда скрипт - Запустить):

 Код:

 
Цитировать
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 end.


 3) Ручной правкой реестра:
 а)

 Код:

 
Цитировать
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom


 Установить значение параметра AutoRun равным 0.

 б)

 Код:

 
Цитировать
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer


 Создать ключ "NoDriveTypeAutoRun" (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
 Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.
 в)

 Код:

 
Цитировать
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf


 Задать строковой параметр (типа REG_SZ) со значением:

 Код:

 
Цитировать
@SYS:DoesNotExist


 г)

 Код:

 
Цитировать
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files


 Создать строковый параметр типа REG_SZ с названием:

 Код:

 
Цитировать
*.*


 4) Кто не хочет самостоятельно вносить изменения в реестр указанные в третьем пункте - могут воспользоваться AutorunDell_FINAL - скачать его можно по ссылке:

 [Ссылки могут видеть только зарегистрированные пользователи. ]

 P.S. Вы можите использовать любой из приведённых способов - какой вам больше понравится))

 2) В повседневной работе за компьютером желательно использовать учётную запись с ограниченными правами, так как это в значительной мере снижает вероятность заражения ПК. А учётную запись администратора использовать только при установке программ и внесение в систему изменений требующих соответствующих привелегий.
 В Windows Vista и Windows 7 данную проблему решили введением компонента UAC. Если вы пользуетесь этими операционными системами - то используете встроенную учётную запись с включенным UAC - это почти полностью убережёт вас от прописания зловреда в автозагрузку (естественно если вы сами это не одобрите) и внесения им критических изменений в системные настройки (т.е. значительно уменьшит возможность закрепления зловреда на ПК).

 3) Регулярно обновляйте систему и программы (особенно не стоит принебрегать обновлением браузеров (Internet Explorer в том числе), Adobe Acrobat, Java, Adobe Flash Player, антивирусов и другого защитного софта). Для обнаружения наиболее часто используемых уязвимостей (которые нужно устранить в первую очередь) вы можете воспользоваться скриптом написанным участник форума virusinfo.info AndreyKa (AVZ - Файл - Выполнить скрипт - вставить туда скрипт - Запустить):

 [Ссылки могут видеть только зарегистрированные пользователи. ]

 4) Желательно произвести тонкую настройку системы, в этом вам поможет следующая книжка (в той книге много полезной инфы по информационной безопасности):

 [Ссылки могут видеть только зарегистрированные пользователи. ]

 P.S. При внесение изменений затрагивающих сетевые настройки проконсультируйтесь в техподдержке вашего интеренет провайдера.

 5) Желательно включить показ расширений файлов - для этого перейдите:
 ПУСК - Панель управления - Свойства папки - выберети вкладку ВИД - снимите галочку с пункта "Скрывать расширения для зарегистрированных типов файлов" - нажмите применить - ОК.
 Для чего это следуют сделать - многие зловреды сейчас используют для обмана пользователей двойное расширение (скрытое расширение) - т.е. например Фото.jpg.exe - если у вас будет стоять там галочка то вы можете не понять что перед вами замаскированный исполняемый файл, так как будет отображаться Фото.jpg
 Если вы увидите файл с двойным расширением, то будьте максимально осторожны - пошлите в вирусную лабораторию на изучение, проверьте на VT и лишь потом если файл окажется чист запускайте.

 6) Желательно произвести тонкую настройку браузера, выполнив хотя бы основные рекомендации:
 - использовать сессионные куки (cookies)
 - отключить Java
 - отключить плагины (использовать их только по необходимости)
 - отключить фреймы и inline-фреймы
 - также желательно запретить исполнение JavaScript (разрешать только для доверенных сайтов)
 - менеджерами паролей лучше не пользоваться (надёжнее хранить их в собственной памяти)
 Если вы не хотите разбираться в тонкой настройке вашего браузера (выполнять выше изложенные пункты) - то для вас рационально будет использовать его в песочниче (например Sandboxie).

 7) Необходимо соблюдать элементарную гигиену при сёрфенге в интернете:
 - качать софт только с оффициальных сайтов
 - не кликать на сомнительные ссылки полученный по почте, месенджеру и т.д.
 - файлы лучше сразу скачать (нажать правую кнопку мыши и выбрать пункт сохранить как), изучить (проверить соответствие расширения обещанного файла скачанному (например картинка уж точно не должна иметь расширение exe), наличие двойного расширениия, отправить на VirusTotal) и лишь потом (если не возникнет подозрений) запускать.
 - перед посещением подозрительного сайта лучше проверить заражен ли он, для этого можно например использовать: [Ссылки могут видеть только зарегистрированные пользователи. ]

 8) Рекомендую вам изучить что-такое hosts файл и для чего он нужен.
 Общая информация: [Ссылки могут видеть только зарегистрированные пользователи. ]

 Для чего это нужно - зловреды внося изменения в этот файл могут блокировать определённые сайты (например серверы обновлений для антивирусов, операционной системы и т.д.) и перенаправлять ваши запросы на другие (фишинговые или зараженные) сайты.
 Если в кратце - то hosts файл как правило находится здесь:

 Код:

 
Цитировать
c:\windows\system32\drivers\etc\hosts


 Редактироваться он может с помощью обычного блокнота.
 По умолчанию должен содержать только строчку:

 Код:

 
Цитировать
127.0.0.1 localhost


 Если операционная система поддерживает протокол интернета версии 6 (IPv6), то по умолчанию там есть ещё строчка:

 Код:

 
Цитировать
::1 localhost


 Если вы увидите там другие строки кроме этих - то их следует удалить (P.S. следует иметь ввиду что некоторый защитный софт также может вносить изменения в hosts файл - для блокирования зловредных сайтов).
 Очистить hosts файл от нежелательных записей можно автоматически - выполнив скрипт в AVZ (AVZ - Файл - Выполнить скрипт - вставить туда скрипт - Запустить):

 Код:

 
Цитировать
begin
 ClearHostsFile;
 end.


 Назначение записей в hosts файле:
 127.0.0.1 localhost - адрес вашего компьютера
 216.246.90.119 virusinfo.info - указывает адрес для ускорения загрузки сайта virusinfo.info (т.е. при вводе в браузере адреса virusinfo.info - будет сразу устанавливаться соединение с удалённым IP-адресом 216.246.90.119 - это часто используется зловредами для перенаправления запросов на другие сайты)
 127.0.0.1 virusinfo.info - блокирует сайт virusinfo.info (часто используется зловредами для блокирования серверов обновлений антивирусов (защитного софта) и операционной системы)

 9) Желательно запомните стандартный ключ запуска проводника:

 Код:

 
Цитировать
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
 "Shell"="explorer.exe
"

 Для чего это нужно - многие зловреды (например блокеры) модифицируют его, например внося такие изменения:

 Код:

 
Цитировать
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
 "Shell"="C:\Windows\svvghost.exe"


 Т.е. при загрузке Windows вместо проводника (explorer.exe) будет грузиться зловредный процесс (svvghost.exe).

 10) Для тестирования нового софта и запуска подозрительных файлов установите себе виртуальную машину, программу типа "песочница" или регулярно делайте образы системного раздела соответствующими утилитами - это поможет вам продлить срок службы и снизит риск заражения (или облегчит лечение) системы. Также регулярно делайте резервные копии важных данных - чтобы не потерять их при заражение системы.

 


* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.