Алексей (alexdsp) wrote,
Алексей
alexdsp

Category:

Безопасность без антивируса для чайников

Вдогонку предыдущему посту, где мы выяснили, что доверять антивирусам нельзя, решил сделать пошаговое руководство на тему "защити себя сам". Речь будет идти исключительно о Windows XP SP3, - с другими версиями виндовс наверняка всё делается аналогично, а линукс и так защищён по самое не могу.
Зачем всё это надо? Многие спросят: - "Аваст же бесплатный и такой клёвый, да и многие другие антивирусы тоже. Ведь всё уже придумано за нас!" Однако:
1) Есть серьёзные предпосылки и подозрения, что некоторые антивирусы ангажированы и могут использовать личные данные пользователя в чужих интересах.
2) Никакой антивирус не даёт 100% защиты, особенно, когда дело касается 0day атак, или таких вредоносов, стратегия которых вообще не попадать ни в какие антивирусные базы.
3) Чем "мощней" антивирусная защита, тем она прожорливей до ресурсов. Думаю, никому не нравится, когда их система тратит свои мипсы, мегафлопсы и мегабайты неизвестно на что, когда всё тормозит, хотя по идее, железо вроде таково, что должно бы и "летать".

Поиск в гугле по теме вывел меня на одну очень интересную статью Криса Касперски. Только не путайте его с автором популярного антивируса - то совсем другой человек с другими целями и задачами.
В принципе некоторым людям дальше можно и не читать. В этой замечательной статье есть вся информация, и более менее грамотный человек в состоянии её переработать и переосмыслить как надо. Я же просто расскажу, что и как делал сам, какие есть проблемы и подводные камни настройки всего этого хозяйства.

Итак, настраиваем 100% безопасность в Windows XP без использования антивируса. Впрочем, за последствия я не отвечаю :) Если вы что-то в принципе не понимаете из моих слов, лучше не продолжайте.


Суть действий такова. Чтобы правильно настроить "песочницу" - надо создать пользователя с ограниченными правами, причём такого, чтобы его действия никак не могли повредить остальной системе и другим, более привилегированным пользователям. Из под этого самого юзера можно спокойно запускать браузер и ходить в сети где угодно. Этот юзер по сути своей никак не защищён, но зато троян пролезший в его аккаунт не сможет поменять никаких системных файлов, не может украсть пароли у других программ запущенных с админскими правами, и т.д. и т.п. Сама система становится практически неуязвима.
Схема действий такова:
Изначально мы имеем в операционке свой главный рабочий (админский) аккаунт под которым делаем всё самое нужное и полезное. Запускаем, устанавливаем и удаляем программы, настраиваем систему и т.д. Мы же хотим оградить этот аккаунт от потенциальных угроз, но в то же время лишаться прав админа мы ессно не хотим...
Мы делаем специальный юзерский аккаунт с ограниченными правами, настраиваем запуск браузера (firefox) из этого аккаунта-песочницы.
Настраиваем права доступа на файловую систему операционки. Это довольно тонкий момент и делать это можно по разному. Вообще-то система разграничения прав доступа виндовс такова, что способна вызвать шизофрению у любого, но у нас попросту нет другого выбора :)
По идее, права на файлы можно не трогать и оставить их по дефолту такими, какие они получились после создания ограниченного юзера, но лучше так не делать. ВиндовсХР почему-то изначально пускает на чтение всех кого ни попадя к любому файлу. То есть даже обычный юзер с ограниченными правами, созданный через апплет добавления пользователя, может спокойно просматривать документы другого юзверя, в том числе и "одмина". Это ужасно, скажу я вам... То есть получается, если мы запустим "аську" из под админа, и в сторонке нашу песочницу с браузером - троян всё равно может прочитать хеш пароля аськи (а может и сам пароль). Этого нам не надо.
Ессно, всё это не защищает "от дурака". Надо хорошо понимать что вы делаете. Например, чего нельзя делать никогда. Запускать из-под админа файлы неизвестного происхождения и сомнительного назначения. Запускать в одной и той же песочнице в браузере, например, порносайт и страницу веб-клиента вашего банка, где деньги лежат. Не надо вводить под песочницей ценные пароли и тем более хранить их в браузере и т.д.
Тут ещё придётся вот что сказать. Если в песочницу залез вирус, троян или что-то ещё вредное (а это рано или поздно случиться), есть два продолжения банкета. Зловред повредить систему не может, это понятно, но саму песочницу либо придётся почистить, либо пересоздать заново. Почистить можно любым оффлайновым антивирусом, который никуда в систему не устанавливается и ничего не тырит. Такие бывают. Например "AVZ", или "CureIt", или "ClamWin" или... ручками, почистить кэш браузера и т.д. Другой вариант - один раз настроить юзера "sandbox", настроить всё что надо под его аккаунтом и просто тупо забекапить каталог "C:\Documents and Settings\sandbox" куда-нибудь в безопасное место, откуда его можно всегда достать неповреждённым, предварительно стерев заражённый каталог аккаунта "sandbox".

Итак, приступаем. Далее будет много картинок "для чайников" с пояснениями, многие можно пролистывать не глядя.

1. Заходим в панель управления. Создаём юзера "sandbox".

sandbox1

2. Юзер должен быть с ограниченными правами.

sandbox2

Учётной записи нужно задать пароль. Любой, хоть "раз два три". Это обязательно, иначе впоследствии не будет работать "запуск от имени". Теперь, на всякий случай надо хотя бы один раз зайти в систему под этим юзером, чтобы система создала каталоги окружения. Затем, выходим и логинимся назад в родной админский аккаунт.

3. Настроим запуск браузера Firefox из "песочницы".
На рабочем столе создаём новый ярлык, называем его... ну например "Firefox sandbox" чтоб не спутать случайно с обычным фаерфоксом, и на вкладке "Ярлык" в поле "Объект" вписываем примерно следующее:

C:\WINDOWS\system32\runas.exe /profile /user:sandbox "C:\Program Files\Mozilla Firefox\firefox.exe"

Это означает, что мозилла будет запускаться от имени свежесозданного пользователя "sandbox" используя в качестве окружения его же каталог. Поправьте пути на свои, если виндовс или фаерфокс у вас установлены не по дефолту.
Примерно так:
sandbox15

Ещё неплохо было бы сменить иконку на нормальную, но это уже сами как-нибудь сделаете...
Попробуем теперь запустить это. В появившемся консольном окошке нас прост ввести пароль, мы вводим. Браузер должен запуститься в новом, девственном окружении и будет спрашивать всякую чепуху. Отвечайте что хотите, настраивайте, как удобно. Если всё получилось, то полдела уже сделано и как бы даже на этом можно остановиться, но...

4. Юзера "sandbox" мы создали, фаерфокс из песочницы запустили, но виндовс довольно либеральна и слишком многое позволяет. Теперь надо заняться правами доступа файловой системы. Суть проблемы в том, что из песочницы все файлы админской учётки видны как на ладони. Менять их нельзя, как и другие системные, но пялиться в них - сколько угодно. Убираем этот недочёт. Самый простой способ - удалить из списка доступа вообще всех "пользователей", оставив одних "администраторов".
Через "Мой компьютер" идём в каталог "C:\Documents and Settings", находим там каталог своей (админской) учётной записи. Напоминаю, что сейчас вы должны быть залогинены именно под ней, чтобы иметь доступ к изменению собственных прав.

sandbox3
Правой кнопкой мыши на своём каталоге (наверняка он называется у вас иначе) выбираем "Свойства", затем вкладку "Безопасность", и видим, что неплохо бы удалить "Пользователей", так как под пользователями здесь понимаются буквально любые пользователи, в том числе и наша песочница. Им доступ к нашим документам давать не надо.

sandbox4
Жмём "Дополнительно", видим, что для "пользователей" там два правила, позволяющие читать всё подряд, а также создавать новые файлы для записи.

sandbox5
Удаляем нахрен, но кнопка "Удалить" пока что недоступна ибо есть всякие наследования от корневого каталога.
Снимаем галочку с "Наследовать от родительского объекта....", оно нас спросит что делать с правами, унаследованными от корня.

sandbox6
Жмём "Копировать" от греха подальше, т.к. старые и полезные права нам пригодятся. (Извиняюсь за пиздец с картинками съехавшими набекрень, просто сил уже никаких нет их править и перезаливать)
Галочка снялась, можно и удалять негодников.

sandbox7
Получаем следующую картинку. Ставим уже другую галочку, т.к. нас интересует не только сам каталог, но ещё и всё то вкусное, что в нём.

sandbox8
Жмём "Применить". Оно нас спросит на предмет вменяемости:

sandbox9
Мы жмём и в зависимости от размера файлопомойки идём пить чай или пиво.

sandbox10
Когда пиво или чай, или процесс закончатся, жмём "ОК" в появившемся окошке, запускаем мозиллу в песочнице по предварительно созданному ярлыку и смело идём на порносайты.
Но это ещё не всё. Если из дисков у вас есть что-то кроме "C:" надо бы ограничить доступ песочницы и к ним тоже. Мало ли что ценное хранится на тех дисках. Мы же не хотим это всё потерять?

sandbox12
Аналогично, правой кнопкой мыши на значке диска выбираем "Свойства", затем вкладку "Безопасность".

sandbox13
Видим кошмар и ужас. Удаляем "пользователей" и особенно этих "всех".

sandbox14
Ставим галочку и применяем права ко всему содержимому со всеми подкаталогами, как показано выше.
Ждём когда закончит и с чувством полного удовлетворения удаляем вконец доставший резидентный антивирус.

Вообще, конечно надо бы настроить права доступа и в других каталогах, но тут уже можно напортачить, ибо в виндовс с этим происходит некий упорядоченный хаос. Дело в том, что юзерам по умолчанию разрешено писать вообще куда угодно, хоть в каталог SYSTEM32, создаать там новые файлы, изменять их, удалять. Правда, нельзя менять системные файлы, каталоги, жизненно важные и другие нужные системе. По идее, это тоже надо бы разрулить, закрыть для песочницы доступ, но того, что сделано, уже достаточно для почти 100% неуязвимости. При условии, конечно, правильного использования, о чём я писал выше. Ну и дыры самой операционки никто не отменял, но это уже настолько маловероятно, что я даже писать устал...


Tags: всячина, хард и софт
Subscribe

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 9 comments