[madmax24]

Цитата VladimirB:

это можно сделать только в том случае если вам за обновлениями не нужно лезть в Интернет »

Да. не спорю, но там в скобочках было приписано

Цитата VladimirB:

если обновления у вас заранее стянуты »

Поэтому я и ляпнул свою мысль
Но в общем случае, вы правы.

[VladimirB]

madmax24, спасибо. Я знаю

[Severny]

И еще немаловажно -- отключите в браузере ActivX и JavaScript. Включайте только для сайтов, которым вы доверяете.

[Vadikan]

Цитата VladimirB:

1. После установки системы отключите неиспользуемые службы (если не знаете что, не лезьте) »

А почему первым делом нужно отключать "неиспользуемые" службы? Очевидно, что сразу после установки ОС имеются только системные службы. Тогда такое заявление предполагает, что системные службы Windows несут в себе угрозу безопасности ОС. В таком случае нужно указывать, какие конкретно. Если таковых нет, то службы лучше не трогать вообще и пункт 1 убрать.

[kim-aa]

Цитата Vadikan:

А почему первым делом нужно отключать "неиспользуемые" службы? Очевидно, что сразу после установки ОС имеются только системные службы. Тогда такое заявление предполагает, что системные службы Windows несут в себе угрозу безопасности ОС »

Заявление становится более понятным если рассматривать его в "вероятностом" ключе (как было принято в СССР), а не прагматичном (перечень угроз и средств защиты).
И действительно самая надежная дверь - ее полное отсутсвие.
-----------------------------

Примеры
-------------
1) При работе с домовыми сетями, если не планируется предоствление Win-ресурсов, отключить все службы (привязки) кроме TCP/IP на "наружнем" интерфейсе

2) При использовании Windows, в качестве сервера - узла бастионного типа (фаервола), и использовании ПО не MS, обычно отключают, как минимум, слудующие службы:
- Server
-Workstation
-Network browser
-PnP

Так же данные службы могут отключаться при развертывании RDBMS сервера не MS (Oracle, DB2)
Классическому Web-серверу даром не сдались SMB-Службы

----------------
Вышеприведенные действа свершаются исходя из двух соображений:
1) Чем меньше щелей - тем меньше дует, читай возможностей ошибиться.
2) Полное отсутствие службы выгодно отличается от закрытия порта фаерволом:
- принципиально не возможно устроить DDoS для того что не существует.
- экономятся ресурсы, что важно для высоконагруженных систем.
-сознательно делается более сложной внесение изменений в текущую конфигурацию, что, лично я, воспринимаю как защиту от дурака.

[VladimirB]

Vadikan, мое заявление о службах связано (правильно заметилkim-aa, ) с тем что чем меньше возможностей вы используете, тем меньше дыр у вас будет! Т.е. не используешь - отключи! Не знаешь - не трогай!

[Vadikan]

kim-aa, спасибо за развернутый ответ.

VladimirB, это было слишком общее заявление, такие нужно конкретизировать. Далеко не все службы имеют отношение к сети.

[VladimirB]

Vadikan, естественно. Однако, ведь не хуже меня знаешь, что права пользователя в любом случае нужно ограничивать, верно? Чем больше запущено служб, особенно если их не используешь, тем больше вероятность того, что какая-то из них может содержать ошибки (уязвимости) тебе не известные. Верно? Может содержит, может не содержит. Но от греха я бы отключил, тем более если я ее не использую!

[Kvantum]

А можете дать конкретные рекомендации ?.
Система WIN2003R2, EXCHANGE2003
Два сетевых интерфейса один с прямым ip в инете, другой в локалке. Требуется от него только Outlook Web Access и smtp естественно. Также там стоит Netop Gateway.
Что мне сделать чтоб спокойно уехать в командировку на 2 месяца ?
На данный момент я в инет интерфейсе включил tcp filtering с такими параметрами:
TCP - 25, 53, 80, 110, 443, 6502
UDP - 53, 6502
IP -6, 17
Достаточно ли этого ? Нужно ли включать windows firewall (по умолчанию он был отключён) ? Могу ли я обойтись стандартными средствами WindowsServer или каким либо бесплатным софтом (так как покупать ничего не будут а контрафакт я стараюсь минимизировать). Мне уже посоветовали ZoneAlarm поставить, но как я уже писал выше это не очень приемлемо.