Рекомендации по безопасности Windows XP
🕛 14.02.2008, 17:30
Переименуйте учетные записи Администратор и Гость, это затруднит вход в систему при подборе пароля. Сделать это можно используя оснастку secpol.mscОтключите учетную запись Гость, если она включена. (встроенная учетная запись Гость не имеет пароля). Сделать это можно, используя компонент панели управления Учетные записи пользователей или используя оснастку secpol.msc
Не устанавливайте несколько операционных систем
Используйте только файловую систему NTFS
Используйте безопасный вход в систему - нажатие клавиш CTRL+ALT+DEL перед входом в систему, это гарантирует вывод на экран подлинного окна входа в систему Windows. Включение режима использования клавиш CTRL+ALT+DEL повышает безопасность и помогает защититься от некоторых программ, действующих по принципу троянского коня и имитирующих окно входа в систему для перехвата имени пользователя и пароля. Чтобы использовать эту опцию, используйте компонент панели управления Учетные записи пользователей.
Запретите отображение имени последнего пользователя, вошедшего на данный компьютер на экране входа в Windows. Используйте для этого оснастку secpol.msc
Запретите в BIOS загрузку с гибких дисков, CD и других носителей информации кроме жесткого диска (как это сделать смотрите в руководстве к материнской плате), тогда станет невозможным загрузка других операционных систем с этих носителей и доступ к файлу SAM (диспетчер защиты учетных записей) - при загруженной операционной системе Windows XP нельзя получить доступ к этому файлу, так как он используется операционной системой.
Установите пароль на доступ к настройкам BIOS (как это сделать смотрите в руководстве к материнской плате) для того чтобы не позволить отменить запрет на загрузку с другого носителя.
Запретите использование экранной заставки при входе в систему (по умолчанию при входе в систему при отсутствии нажатий клавиатуры или движений мыши через 10 минут включается заставка с логотипом Windows , проблема заключается в том, что можно заменить этот файл на исполняемый файл, или изменить путь к заставке в разделе реестра [HKEY_USERS\.DEFAULT\Control Panel\Desktop] "SCRNSAVE.EXE=logon.scr" на путь к исполняемому файлу, при этом вместо заставки будет запущен указанный исполняемый файл с правами системы, например, cmd.exe - командная строка) Для запрета использования экранной заставки при входе в систему найдите в реестре раздел [HKEY_USERS\.DEFAULT\Control Panel\Desktop] и установите значение строкового параметра "ScreenSaveTimeOut=0"
Отключите службу RemoteRegistry (Удаленный реестр), которая позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере. Сделать это можно используя оснастку services.msc
Задайте политику учетных записей на блокировку входа в систему после нескольких неудачных попыток входа в систему, а также используйте другие политики учетных записей. Задать эти настройки можно с помощью оснастки secpol.msc
Установите аудит неудачных входов в систему. Сделать это можно используя оснастку services.msc
Не используйте учетную запись администратора для работы в Интернет, воспользуйтесь учетной записью пользователя - работа в Windows XP в качестве администратора делает систему уязвимой для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На незнакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена.
Проверяйте все программы, попадающие на ваш компьютер антивирусными программами
Не открывайте вложений электронной почты в почтовом клиенте - сначала сохраните вложение на диск и проверьте антивирусной программой, независимо от расширения файла (Windows XP поддерживает двойные расширения и то что кажется обычным текстовым файлом может оказаться исполняемой программой)
При работе в Интернет используйте сетевые экраны (файрволы), можно использовать входящий в Windows XP Брандмауэр подключения к Интернету, но лучше воспользоваться программами сторонних разработчиков.