1.Если при установке Windows пароль администратора был не задан, его нужно задать.
2.В систему всегда следует входить только с ограниченной учетной записи.
3.Настройте Политики ограничения программ (Software Restriction Policies)
3.1.Для включения SRP зайдите в систему с правами администратора и выполните команду Пуск → Выполнить → gpedit.msc. В разделе Конфигурация компьютера раскройте папку Конфигурация Windows → Параметры безопасности → Политики ограничения программ
3.2.Нажмите правой кнопкой мышки по папке Политики ограничения программ и выберите команду Создать новые Политики ограничения программ. Внутри папки появится еще 2 папки и 3 значения.
3.3.Выполните двойной щелчок по значению Применение и укажите нужные параметры, максимально безопасно: Применять ко всем файлам программ, ко всем пользователям (теоретически может притормозить систему, на практике не замечал). Проверятся будут все программы и библиотеки, защищены будут все пользователи.
3.4.Выполните двойной щелчок по значению Назначенные типы файлов и удалите расширение LNK из списка, что-бы не блокировать работу ярлыков.
3.5.Раскройте папку Уровни безопасности и назначьте режим Запрещено в качестве режима по умолчанию. Теперь все программы, находящиеся в Program Files и Windows, разрешены для запуска. Из других папок ничего (включая вирусы) запускаться не будет.
3.6.Если Ваши программы установлены в другие папки, зайдите в папку Дополнительные правила и добавьте в список дополнительные разрешённые пути в режиме Не ограничено.
3.7.Также обязательно добавьте дополнительное правило для папки %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp в режиме запрещено.
3.8.Разрешайте только те пути куда запрещена запись ограниченной учетке. Что-бы запретить запись в папку необходимо от админа зайти в Панель управления → Свойства папок → Использовать простой общий доступ к папкам (убираем галку на время). Правой кнопкой мышки по нужной папке → Вкладка безопасность → выбираем ограниченную учетку и ставим нужные галочки в столбце разрешить: чтение и выполнение, остальное запрещаем — все просто.
Завершение. Бывает что необходимая программа перестает работать из-за блокировок SRP. В этом случае в учетке Администратора жмем Пуск → Выполнить → eventvwr.msc и заходим в системный журнал.
Если SRP блокирует программу, вы увидите в журнале одно или несколько предупреждений от SoftwareRestrictionPolicies с кодом 865. (Ориентируйтесь на время когда заметили не работоспособность программы или выполните поиск)
Иногда нужно установить новую программу, или обновить старую, или обновить ОС. Для этого политику SRP нужно временно отключать. (Семерка обновляется без отключения SRP).
В интернете о SRP можно найти подробнее и с картинками.
1
1
?
лучше бы всё таки обозначили более явно о какой винде речь идёт.. а какой смысл работать под ограниченной учёткой если всё равно UAC есть? смотреть просто надо и думать — кому давать права, а кому — нет
Совет годен для любой винды.
Вы уверены во всех, кто за Вашим ПК сидит? SRP как раз защитит от ламера за компом, UAC в этом случае не надежен.
EvgeniyIK, для любой это для XP-7? или может 3.11 уже содержала сию крутую фичу? ;)
1 компьютеры
1 безопасность
Интересно, кто догадался поставить минус к этому тегу.
Под ним на практике пишутся и советы по компьютерной безопасности, если что.
1 IT
1 многабукаф
1 параноики юнайтед
Проверено: если есть мозги, всего этого делать не нужно, просто пользоваться мозгами при использованиии компа.
Если есть мозги, то можно вообще удалять этот сайт.
В теории до всего можно дойти своим собственным умом.
Но на практике предпочитают часто не изобретать велосипед, а пользоваться готовыми решениями. Что правильно. Изучать досконально все области жизни самостоятельно — жить некогда будет.
Реально, список советов для безопасного использования компа, будет намного короче и понятнее обычному пользователю. Например: открывать флешки только через файл-менеджер, смотря нет ли там autorun.inf, не открывать .exe — файлы, которые лезут из подозрительных сайтов, осторожно посещать порно-ресурсы и сайты со всякими кейгенами. И т.д.
Это всё уже было тут. Не скажу, что этот совет просто офигенен, но имхо он хорош и стоит того, чтобы жить тут.
teodoris, Вы ничего не знаете об угрозах. Надейтесь и дальше увидеть как вирус пытается пролезть к Вам в систему. То что видно невооруженным глазом или прыгает по флешкам — шалости. Серьезный вирус не увидит ни один антивирус со свежими базами (вирус тестируется перед "выходом в свет" и никто не станет писать заразу что-бы ее тут же запалили). Промолчу про файловый менеджер. Советую пароли менять почаще, с таким-то отношением к безопасности.
EvgeniyIK, нехорошо судить о знаниях незнакомого человека. Я написал коментарий не из неба, а после годов опыта работы в IT. А в ваших словах узнаю админа-параноика.
teodoris, паранойя тут не причем. Просто многие расчитывают исключительно на антивирус и/или осторожность. На деле это просто иллюзия защиты, и мне кажется лучше раз разобратся и толково настроить систему чем каждый день рисковать. Если у Вас нет ценных данных то можно не переживать. Хотя кому хочется что-бы непонятно кто мог использовать его ПК в своих целях (теоретически).
EvgeniyIK, спорить с параноиками бесполезно. Да, вы правы, я уважаю Ваше мнение, о великий гуру информационной безопасности!
teodoris, ладно я параноик, заодно и те люди которые пристегиваются ремнем безопасности в машине. Езжу 10 лет осторожно и ни разу ни попадал в аварию, зачем мне этот ремень, мешает только. Да и подушки ведь не зря придумали, спасают. И вообще в аварию только пьяные попадают.
На этом спор лучше закончить, каждый останется при своем. Ваше мнение я тоже уважаю.
Ниче не поняла, но если это для продвинутых пользователей, то и фиг с ним.
Форма подачи сложновата, но в целом неплохие вещи говорит товарищ.
1 Windows
первый и второй советы неплохи. А третьему рады вирусы из system32.
Чему именно они так радуются? Если настроить так чистую систему, то в system32 ничего пролезет, для этого и нужно с ограниченной учетки сидеть.
EvgeniyIK, не понимаю, как ограниченная учётка мешает вирусам из папки system32. Например, маскирующимся под инсталлятор 'доверяемой' программы.
dajmwt, надеюсь Вам действительно интересно. Правами записи в системный раздел обладает админ, а обычный пользователь не может писать в эти папки, значит и вирус обладающий этими же правами не сможет записаться туда. Есть вирусы которые обходят эти препятствия, для этого и нужно включить SRP. Все что находится вне системы не сможет запустится, а значит и записаться в систему → замкнутый круг, который сокращает вероятность заражения до минимума. Если же собираетесь установить программу то нужно скачать ее только из официального источника, можно для верности проверить и антивирусом, после этого установить, отключив на время SRP. В особых случаях пользуемся песочницей или виртуальной машиной.
ПС. Вирусы способные обходить SRP это живущие в чужой среде (не имеющие своего файла) — скрипты в документах, пдф файлах и т.д. Но это уже отдельная тема для разговора.