Windows XP: полное руководство по блокировке

В этой статье мы рассмотрим безопасность на основе Windows в ваших настольных системах XP. Я еще не видел ничего о том, как проверить и защитить свой рабочий стол в новейшей ОС Microsoft. В этой статье мы рассмотрим Windows XP Professional и то, что вам нужно сделать, чтобы обеспечить безопасность. Это статья от начала до конца, посвященная основам безопасности настольных ОС в стиле Microsoft. Прочитав это, вы, возможно, удивитесь некоторым пунктам, которые вы, возможно, приняли как должное! Давайте взглянем…

Заблокируйте его - немедленно!

В этой статье мы рассмотрим следующие элементы и пошаговые инструкции по их блокировке. Это позволит вашей системе XP быть компактной, подлой и готовой к битве с злоумышленниками всех типов.

• Сведения о контрольном списке настройки Windows XP Professional
  
• Убедитесь, что все разделы диска отформатированы в NTFS.
  
• Защитите общие файловые ресурсы
  
• Используйте общий доступ к подключению к Интернету для общих подключений к Интернету
  
• Включить брандмауэр подключения к Интернету
  
• Использовать политики ограниченного использования программ
  
• Используйте пароли учетных записей
  
• Отключить ненужные службы
  
• Отключить или удалить ненужные учетные записи
  
• Убедитесь, что гостевая учетная запись отключена
  
• Установите более строгие политики паролей
  
• Установить политику блокировки учетной записи
  
• Установите антивирусное программное обеспечение и обновления
  
• Будьте в курсе последних обновлений безопасности
  

Убедитесь, что все разделы диска отформатированы в NTFS.

Разделы NTFS предлагают средства контроля доступа и защиты, недоступные в файловых системах FAT, FAT32 или FAT32x. Убедитесь, что все разделы на вашем компьютере отформатированы с использованием NTFS. При необходимости используйте утилиту Convert для неразрушающего преобразования разделов FAT в NTFS. Будь осторожен! Я сам облажался, поэтому будьте осторожны и всегда делайте резервную копию важных данных, но это само собой разумеется!

Защитите общие файловые ресурсы

По умолчанию системы Windows XP Professional, не подключенные к домену, используют модель доступа к сети под названием «Простой общий доступ к файлам», при которой все попытки входа на компьютер через сеть будут принудительно использовать учетную запись «Гость». Это означает, что доступ к сети через блок сообщений сервера (SMB, используемый для доступа к файлам и печати), а также удаленный вызов процедур (RPC, используемый большинством инструментов удаленного управления и доступ к удаленному реестру) будет доступен только для гостевой учетной записи. Хорошо, это отстой, и мы должны изменить это. Чтобы изменить его, перейдите в: «Пуск» => «Программы» => «Стандартные» => «Проводник Windows», в раскрывающемся меню «Инструменты» выберите «Параметры папки».

В модели «Простой общий доступ к файлам» файловые ресурсы могут быть созданы таким образом, чтобы доступ из сети был только для чтения или доступ из сети позволял читать, создавать, изменять и удалять файлы. Простой общий доступ к файлам предназначен для использования в домашней сети и за брандмауэром, например, в Windows XP. Если вы подключены к Интернету и не работаете за брандмауэром, вам следует помнить, что любые создаваемые вами файловые ресурсы могут быть доступны любому пользователю в Интернете.

Моя рекомендация состоит в том, что вы ОТКЛЮЧИТЕ ЭТО!

Чтобы отключить простой общий доступ к файлам

• Перейдите к параметрам папки, как показано выше.
  
• Выберите вкладку «Вид»
  
• Перейти к дополнительным настройкам
  
• Снимите флажок «Использовать простой общий доступ к файлам».
  
• Закрыть параметры папки

Дополнительные сведения о совместном использовании файлов с XP см. в статье Q304040.

Включить брандмауэр подключения к Интернету (ICF)

ICF обеспечивает защиту компьютеров Windows XP, которые напрямую подключены к Интернету, или компьютеров или устройств, подключенных к хост-компьютеру общего доступа к Интернету, на котором работает ICF.

Чтобы включить ICF, щелкните правой кнопкой мыши подключение к Интернету в разделе «Сетевые подключения», выберите «Свойства», перейдите на вкладку «Дополнительно» и установите соответствующий флажок.

Я бы посоветовал приобрести настоящий брандмауэр, более надежный, чем этот, но если это все, что у вас есть, включите его!

Использовать политики ограниченного использования программ

Политики ограниченного использования программ предоставляют администраторам управляемый политиками механизм, который идентифицирует программное обеспечение, работающее в их домене, и контролирует возможность запуска этого программного обеспечения. Используя политику ограниченного использования программ, администратор может предотвратить запуск нежелательных программ; это включает вирусы и троянские кони или другое программное обеспечение, которое, как известно, вызывает конфликты при установке. Политики ограниченного использования программ можно использовать на отдельном компьютере, настроив локальную политику безопасности. Политики ограниченного использования программ также интегрируются с групповой политикой и Active Directory.

Используйте пароли учетных записей

Для защиты пользователей, которые не защищают паролем свои учетные записи, учетные записи Windows XP Professional без паролей могут использоваться только для входа в систему с физической консоли компьютера. По умолчанию учетные записи с пустыми паролями больше нельзя использовать для удаленного входа на компьютер по сети или для любых других действий по входу в систему, кроме основного экрана входа в физическую консоль.

Отключить ненужные службы

После установки Windows XP следует отключить все сетевые службы, которые не требуются компьютеру. В частности, следует подумать, нужны ли вашему компьютеру какие-либо веб-службы IIS. По умолчанию IIS не устанавливается как часть Windows XP, и его следует устанавливать только в том случае, если его службы особенно необходимы. Я рекомендую, если они вам не нужны, как можно скорее отключите следующие службы:

• Телнет
  
• Хост универсального устройства Plug and Play
  
• IIS (не установлен по умолчанию)
  
• Общий доступ к удаленному рабочему столу Netmeeting
  
• Диспетчер сеансов справки удаленного рабочего стола
  
• Удаленный реестр
  
• Маршрутизация и удаленный доступ
  
• Служба обнаружения SSDP

Я также рекомендую исключить серверную службу и компьютерный браузер, если вы работаете на автономной машине, подключенной к Интернету. От них нет практической пользы, и они оставят вас незащищенными.

Отключить или удалить ненужные учетные записи

Вам следует просмотреть список активных учетных записей (как пользователей, так и программ) в системе в оснастке «Управление компьютером». Отключите все неактивные учетные записи и удалите все учетные записи, которые больше не нужны.

Убедитесь, что гостевая учетная запись отключена

Эта рекомендация по настройке применяется только к компьютерам с Windows XP Professional, принадлежащим к домену, или к компьютерам, не использующим модель простого общего доступа к файлам.

В системах Windows XP Professional, не подключенных к домену, пользователи, пытающиеся войти в систему через сеть, по умолчанию будут вынуждены использовать гостевую учетную запись. Это изменение предназначено для предотвращения входа хакеров, пытающихся получить доступ к системе через Интернет, с использованием учетной записи локального администратора, не имеющей пароля.

Установите более строгие политики паролей

Для защиты пользователей, которые не защищают паролем свои учетные записи, учетные записи Windows XP Professional без паролей могут использоваться только для входа в систему с физической консоли компьютера. По умолчанию учетные записи с пустыми паролями больше нельзя использовать для удаленного входа на компьютер по сети или для любых других действий по входу в систему, кроме основного экрана входа в физическую консоль. Используйте оснастку «Локальная политика безопасности», чтобы усилить системные политики для принятия паролей. Microsoft предлагает внести следующие изменения:

• Установите минимальную длину пароля не менее 8 символов.
  
• Установите минимальный срок действия пароля, соответствующий вашей сети (обычно от 1 до 7 дней).
  
• Установите максимальный срок действия пароля, соответствующий вашей сети (обычно не более 42 дней).
  
• Установите ведение истории паролей (с помощью радиокнопки «Запомнить пароли») не менее 6
  
  

Установить политику блокировки учетной записи

Windows XP включает функцию блокировки учетной записи, которая отключает учетную запись после определенного администратором количества неудачных попыток входа в систему.

Рассмотрите разумные настройки для вашей среды и подумайте, насколько безопасной должна быть ваша среда. Если это слишком много, то пользователи будут волноваться.

Установите антивирусное программное обеспечение и обновления

Одной из самых важных вещей для защиты систем является использование антивирусного программного обеспечения и обеспечение его актуальности. На всех системах в Интернете, корпоративной интрасети или домашней сети должно быть установлено антивирусное программное обеспечение.

Будьте в курсе последних обновлений безопасности

Функция автоматического обновления в Windows XP может автоматически обнаруживать и загружать последние исправления безопасности от Microsoft. Автообновление можно настроить на автоматическую загрузку исправлений в фоновом режиме, а затем предложить пользователю установить их после завершения загрузки. Чтобы настроить автоматическое обновление, нажмите «Система» на панели управления и выберите вкладку «Автоматические обновления». Выберите первый параметр уведомлений, чтобы автоматически загружать обновления и получать уведомления, когда они будут готовы к установке.

В сумме,

Теперь вы можете спокойно спать по ночам, зная, что ваша система XP, по крайней мере, находится в лучшем состоянии безопасности, чем когда-либо… вы должны следить за своими обновлениями и следить за тем, чтобы определения вирусов также обновлялись. Если вы сделаете эти несколько вещей, вы обнаружите, что ваша система XP намного безопаснее, чем когда-либо.