Кстати, да!

Короткие полезные советы,
основанные на личном жизненном опыте,
иногда печальном.

Войдите

или зарегистрируйтесь!

Это вам пригодится, когда вы решите поделиться с нами советом, проголосовать за совет или оставить комментарий. И заодно пропадёт этот надоедливый текст!

Например, погода
8

Защитите свой ПК — продвинутая настройка ОС. +4+9/-5, 139 прочитавших

1.Если при установке Windows пароль администратора был не задан, его нужно задать.
2.В систему всегда следует входить только с ограниченной учетной записи.
3.Настройте Политики ограничения программ (Software Restriction Policies)
3.1.Для включения SRP зайдите в систему с правами администратора и выполните команду Пуск → Выполнить → gpedit.msc. В разделе Конфигурация компьютера раскройте папку Конфигурация Windows → Параметры безопасности → Политики ограничения программ
3.2.Нажмите правой кнопкой мышки по папке Политики ограничения программ и выберите команду Создать новые Политики ограничения программ. Внутри папки появится еще 2 папки и 3 значения.
3.3.Выполните двойной щелчок по значению Применение и укажите нужные параметры, максимально безопасно: Применять ко всем файлам программ, ко всем пользователям (теоретически может притормозить систему, на практике не замечал). Проверятся будут все программы и библиотеки, защищены будут все пользователи.
3.4.Выполните двойной щелчок по значению Назначенные типы файлов и удалите расширение LNK из списка, что-бы не блокировать работу ярлыков.
3.5.Раскройте папку Уровни безопасности и назначьте режим Запрещено в качестве режима по умолчанию. Теперь все программы, находящиеся в Program Files и Windows, разрешены для запуска. Из других папок ничего (включая вирусы) запускаться не будет.
3.6.Если Ваши программы установлены в другие папки, зайдите в папку Дополнительные правила и добавьте в список дополнительные разрешённые пути в режиме Не ограничено.
3.7.Также обязательно добавьте дополнительное правило для папки %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp в режиме запрещено.
3.8.Разрешайте только те пути куда запрещена запись ограниченной учетке. Что-бы запретить запись в папку необходимо от админа зайти в Панель управления → Свойства папок → Использовать простой общий доступ к папкам (убираем галку на время). Правой кнопкой мышки по нужной папке → Вкладка безопасность → выбираем ограниченную учетку и ставим нужные галочки в столбце разрешить: чтение и выполнение, остальное запрещаем — все просто.
Завершение. Бывает что необходимая программа перестает работать из-за блокировок SRP. В этом случае в учетке Администратора жмем Пуск → Выполнить → eventvwr.msc и заходим в системный журнал.
Если SRP блокирует программу, вы увидите в журнале одно или несколько предупреждений от SoftwareRestrictionPolicies с кодом 865. (Ориентируйтесь на время когда заметили не работоспособность программы или выполните поиск)
Иногда нужно установить новую программу, или обновить старую, или обновить ОС. Для этого политику SRP нужно временно отключать. (Семерка обновляется без отключения SRP).
В интернете о SRP можно найти подробнее и с картинками.

Код для вставки в блог Ой, нет, я лучше руками
×

Получится вот так
...

Написал(а) EvgeniyIK очень давно, 30 марта 2012 в 04:09

Комментарии (19)

  1.   1

    лучше бы всё таки обозначили более явно о какой винде речь идёт.. а какой смысл работать под ограниченной учёткой если всё равно UAC есть? смотреть просто надо и думать — кому давать права, а кому — нет

    Написал lvx 30 марта 2012 в 06:55¤
  2.   0

    Совет годен для любой винды.
    Вы уверены во всех, кто за Вашим ПК сидит? SRP как раз защитит от ламера за компом, UAC в этом случае не надежен.

    Написал(а) EvgeniyIK 30 марта 2012 в 17:36¤
  3.   2

    EvgeniyIK, для любой это для XP-7? или может 3.11 уже содержала сию крутую фичу? ;)

    Написал lvx 30 марта 2012 в 20:17¤
  4.   4
    Поставил TT 30 марта 2012 в 07:21¤
  5.   5
    Поставил TT 30 марта 2012 в 07:21¤
  6.   0

    Интересно, кто догадался поставить минус к этому тегу.
    Под ним на практике пишутся и советы по компьютерной безопасности, если что.

    Написал TT 30 марта 2012 в 09:45¤
  7.   3

    Тег IT

    Поставил TT 30 марта 2012 в 07:21¤
  8.   3
    Поставила kashtanka-net 30 марта 2012 в 09:12¤
  9.   1
    Поставил kinall 30 марта 2012 в 10:15¤
  10.   1

    Проверено: если есть мозги, всего этого делать не нужно, просто пользоваться мозгами при использованиии компа.

    Написал teodoris 30 марта 2012 в 11:51¤
  11.   3

    Если есть мозги, то можно вообще удалять этот сайт.
    В теории до всего можно дойти своим собственным умом.
    Но на практике предпочитают часто не изобретать велосипед, а пользоваться готовыми решениями. Что правильно. Изучать досконально все области жизни самостоятельно — жить некогда будет.

    Написал TT 30 марта 2012 в 12:00¤
  12.   2

    Реально, список советов для безопасного использования компа, будет намного короче и понятнее обычному пользователю. Например: открывать флешки только через файл-менеджер, смотря нет ли там autorun.inf, не открывать .exe — файлы, которые лезут из подозрительных сайтов, осторожно посещать порно-ресурсы и сайты со всякими кейгенами. И т.д.

    Написал teodoris 30 марта 2012 в 12:06¤
  13.   0

    Это всё уже было тут. Не скажу, что этот совет просто офигенен, но имхо он хорош и стоит того, чтобы жить тут.

    Написал TT 30 марта 2012 в 12:12¤
  14.   0

    teodoris, Вы ничего не знаете об угрозах. Надейтесь и дальше увидеть как вирус пытается пролезть к Вам в систему. То что видно невооруженным глазом или прыгает по флешкам — шалости. Серьезный вирус не увидит ни один антивирус со свежими базами (вирус тестируется перед "выходом в свет" и никто не станет писать заразу что-бы ее тут же запалили). Промолчу про файловый менеджер. Советую пароли менять почаще, с таким-то отношением к безопасности.

    Написал(а) EvgeniyIK 30 марта 2012 в 18:07¤
  15.   1

    EvgeniyIK, нехорошо судить о знаниях незнакомого человека. Я написал коментарий не из неба, а после годов опыта работы в IT. А в ваших словах узнаю админа-параноика.

    Написал teodoris 30 марта 2012 в 18:44¤
  16.   0

    teodoris, паранойя тут не причем. Просто многие расчитывают исключительно на антивирус и/или осторожность. На деле это просто иллюзия защиты, и мне кажется лучше раз разобратся и толково настроить систему чем каждый день рисковать. Если у Вас нет ценных данных то можно не переживать. Хотя кому хочется что-бы непонятно кто мог использовать его ПК в своих целях (теоретически).

    Написал(а) EvgeniyIK 30 марта 2012 в 18:59¤
  17.   0

    EvgeniyIK, спорить с параноиками бесполезно. Да, вы правы, я уважаю Ваше мнение, о великий гуру информационной безопасности!

    Написал teodoris 31 марта 2012 в 00:02¤
  18.   0

    teodoris, ладно я параноик, заодно и те люди которые пристегиваются ремнем безопасности в машине. Езжу 10 лет осторожно и ни разу ни попадал в аварию, зачем мне этот ремень, мешает только. Да и подушки ведь не зря придумали, спасают. И вообще в аварию только пьяные попадают.
    На этом спор лучше закончить, каждый останется при своем. Ваше мнение я тоже уважаю.

    Написал(а) EvgeniyIK 31 марта 2012 в 13:31¤
  19.   1

    Ниче не поняла, но если это для продвинутых пользователей, то и фиг с ним.

    Написала Alias2 30 марта 2012 в 12:20¤
  20.   1

    Форма подачи сложновата, но в целом неплохие вещи говорит товарищ.

    Написал TT 30 марта 2012 в 13:08¤
  21.   6

    Тег Windows

    Поставила jashen 30 марта 2012 в 13:43¤
  22.   1

    первый и второй советы неплохи. А третьему рады вирусы из system32.

    Написал dajmwt 30 марта 2012 в 16:15¤
  23.   0

    Чему именно они так радуются? Если настроить так чистую систему, то в system32 ничего пролезет, для этого и нужно с ограниченной учетки сидеть.

    Написал(а) EvgeniyIK 30 марта 2012 в 17:28¤
  24.   2

    EvgeniyIK, не понимаю, как ограниченная учётка мешает вирусам из папки system32. Например, маскирующимся под инсталлятор 'доверяемой' программы.

    Написал dajmwt 31 марта 2012 в 22:29¤
  25.   0

    dajmwt, надеюсь Вам действительно интересно. Правами записи в системный раздел обладает админ, а обычный пользователь не может писать в эти папки, значит и вирус обладающий этими же правами не сможет записаться туда. Есть вирусы которые обходят эти препятствия, для этого и нужно включить SRP. Все что находится вне системы не сможет запустится, а значит и записаться в систему → замкнутый круг, который сокращает вероятность заражения до минимума. Если же собираетесь установить программу то нужно скачать ее только из официального источника, можно для верности проверить и антивирусом, после этого установить, отключив на время SRP. В особых случаях пользуемся песочницей или виртуальной машиной.
    ПС. Вирусы способные обходить SRP это живущие в чужой среде (не имеющие своего файла) — скрипты в документах, пдф файлах и т.д. Но это уже отдельная тема для разговора.

    Написал(а) EvgeniyIK 1 апреля 2012 в 02:11¤

Незарегистрированные пользователи не могут оставлять комментарии.
Хотите зарегистрироваться? ?