Защита операционных систем.
 

Тема данного раздела звучит несколько некорректно, так как сразу возникает нехороший вопрос: "Каких систем?" Надеюсь никто спорить не будет что Windows XP, Windows Vista и Windows Server 2003 будут защищаться по разному?
Базовыми же будут только несколько общих правил.

Постараюсь их привести здесь:

1. После установки системы отключите неиспользуемые службы (если не знаете что, не лезьте)
2. Установите (включите) файервол
3. Установите антивирус
4. Установите необходимые обновления (наилучшим вариантом будет если обновления у вас заранее стянуты и записаны на CD-R или DVD-R)
5. Обновите антивирус
6. Проверьте обновленным антивирусом содержимое ваших жестких дисков (партиций), особенно если вы собираетесь или уже установили с них драйвера и прочее ПО
7. Работайте с минимально необходимыми вам правами
8. Ну и далее уже стандартное - будьте внимательны!
9. И последнее правило, хорошо усвоенное мною за долгую жизнь. НЕ ЗНАЕШЬ - НЕ ТРОГАЙ!!!

и если есть под рукой акронис, делайте бекап после каждого выполненного пункта.

п.9 -- не знаешь --- не трогай... лучше так: не знаешь -- узнай, если не узнал -- не трогай.

На самом деле есть еще масса всего что нужно делать. Например политика паролей и т.д. Но об этом можно говорить долго-долго

VladimirB
На нашем форуме нечто близкое было в теме - Борьба с троянами, шпионскими и рекламными модулями
Там же есть ссылка на довольно расширенный FAQ с другого форума - Важно знать!, Компьютерная безопасность, защита, лечение

А почему бы не осветить? я бы позагарал в этом свете. Интересно, еще пригодиться может ;)

Greyman, в таком случае тему можно закрывать?

Зачем же? Просто желательным была бы новая информация, т. е. то, что не освещено в тех темах, или хотя бы поправки и замечания к ним...

VladimirB, хочу внести свою лепту. Я бы п.4 поставил сразу за п.1 ибо при установленом антивире обновления ух как медленно будут ставица... ИМХО.

madmax24, это можно сделать только в том случае если вам за обновлениями не нужно лезть в Интернет.
PS
На самом деле далее следует (после всех этих пунктов) :
1. настройка системы
2. Настройка прав пользователей
3. Настройка политик безопасности
4. Определение разрешенного для запуска программного обеспечения на этом компьютере
Список можно продолжать и далее
Однако с учетом того, что мы с вами не оговаривали, для какой системы это делается, мы здесь сможем давать только общие рекомендации, и не более.
Для тех же кому это нужно, я могу лишь порекомендовать свои статьи на данном форуме. В частности по настройке безопасности Windows XP, по противодействию атакам социальной инженерии, по аппаратной аутентификации и т.д. Этот список можно продолжать и продолжать. На самом деле такой раздел (безопасность ОС) нуждается в отдельной ветке на каждую операционную систему

Да. Забыл еще добавить, что ко всему существует еще и проблема USB устройств, напрямую связанная с безопасностью, решаемая правда, средствами ОС только в Windows Vista и Windows Server 2008 (см http://www.osp.ru/win2000/2007/07/4559452/) статья "Флеш не для всех" (статья тоже моя :))
И на самом деле таких превентивных мер можно привести массу.

Да. не спорю, но там в скобочках было приписано
Поэтому я и ляпнул свою мысль :)
Но в общем случае, вы правы.

madmax24, спасибо. Я знаю

И еще немаловажно -- отключите в браузере ActivX и JavaScript. Включайте только для сайтов, которым вы доверяете.

А почему первым делом нужно отключать "неиспользуемые" службы? Очевидно, что сразу после установки ОС имеются только системные службы. Тогда такое заявление предполагает, что системные службы Windows несут в себе угрозу безопасности ОС. В таком случае нужно указывать, какие конкретно. Если таковых нет, то службы лучше не трогать вообще и пункт 1 убрать.

Заявление становится более понятным если рассматривать его в "вероятностом" ключе (как было принято в СССР), а не прагматичном (перечень угроз и средств защиты).
И действительно самая надежная дверь - ее полное отсутсвие.
-----------------------------

Примеры
-------------
1) При работе с домовыми сетями, если не планируется предоствление Win-ресурсов, отключить все службы (привязки) кроме TCP/IP на "наружнем" интерфейсе

2) При использовании Windows, в качестве сервера - узла бастионного типа (фаервола), и использовании ПО не MS, обычно отключают, как минимум, слудующие службы:
- Server
-Workstation
-Network browser
-PnP

Так же данные службы могут отключаться при развертывании RDBMS сервера не MS (Oracle, DB2)
Классическому Web-серверу даром не сдались SMB-Службы

----------------
Вышеприведенные действа свершаются исходя из двух соображений:
1) Чем меньше щелей - тем меньше дует, читай возможностей ошибиться.
2) Полное отсутствие службы выгодно отличается от закрытия порта фаерволом:
- принципиально не возможно устроить DDoS для того что не существует.
- экономятся ресурсы, что важно для высоконагруженных систем.
-сознательно делается более сложной внесение изменений в текущую конфигурацию, что, лично я, воспринимаю как защиту от дурака.

Vadikan, мое заявление о службах связано (правильно заметилkim-aa, ) с тем что чем меньше возможностей вы используете, тем меньше дыр у вас будет! Т.е. не используешь - отключи! Не знаешь - не трогай!

kim-aa, спасибо за развернутый ответ.

VladimirB, это было слишком общее заявление, такие нужно конкретизировать. Далеко не все службы имеют отношение к сети.

Vadikan, естественно. Однако, ведь не хуже меня знаешь, что права пользователя в любом случае нужно ограничивать, верно? Чем больше запущено служб, особенно если их не используешь, тем больше вероятность того, что какая-то из них может содержать ошибки (уязвимости) тебе не известные. Верно? Может содержит, может не содержит. Но от греха я бы отключил, тем более если я ее не использую!

А можете дать конкретные рекомендации ?.
Система WIN2003R2, EXCHANGE2003
Два сетевых интерфейса один с прямым ip в инете, другой в локалке. Требуется от него только Outlook Web Access и smtp естественно. Также там стоит Netop Gateway.
Что мне сделать чтоб спокойно уехать в командировку на 2 месяца ?
На данный момент я в инет интерфейсе включил tcp filtering с такими параметрами:
TCP - 25, 53, 80, 110, 443, 6502
UDP - 53, 6502
IP -6, 17
Достаточно ли этого ? Нужно ли включать windows firewall (по умолчанию он был отключён) ? Могу ли я обойтись стандартными средствами WindowsServer или каким либо бесплатным софтом (так как покупать ничего не будут а контрафакт я стараюсь минимизировать). Мне уже посоветовали ZoneAlarm поставить, но как я уже писал выше это не очень приемлемо.