Печать

Мы исходим из того, что настраивается обычный домашний или офисный компьютер, который включен в локальную сеть и не имеет необходимости открывать файлы и принтеры для общего доступа. Если же Вы дома имеете несколько компьютеров и передаете между ними файлы, то настройка будет чуть-чуть другая.

Во время установки.

Рекомендую разбить диск на две части (если у Вас один диск). В первую устанавливается операционная система и программы, второй диск будем использовать для хранения документов, музыки и тому подобное. Тогда в случае краха системы можно спокойно отформатировать первый диск, установит новую операционку, а Ваши данные останутся нетронутыми. В противном случае переустановка системы потребует сохранения уцелевших данных на внешнем носителе. Однако, я понимаю, что в настоящее время зачастую (например ноутбук с предустановленной системой) не только покупаются компьютеры с уже готовой операционкой, но и диски восстановления подразумевают полную потерю данных. Следовательно, сразу стоит задуматься о приобретении внешнего жесткого диска для резервного копирования. Если же Вы все-таки разбиваете диск на две части, имейте в виду, что под системную часть надо довольно много места, там ведь будут все программы, игры и т.п., поэтому рекомендую не менее 60 Гб.

1. Вид панели управления

Пуск – Панель управления

Жмем «Переключение к классическому виду». Получили такую картинку:

 

2. Меню «Пуск»

Меню «Пуск» тоже слабовато для администратора:

 

Щелкаем в кнопку «Пуск» правой кнопкой и выбираем пункт меню «Свойства»

Нажимаем кнопку «Настроить», и, несомненно, нам нужна вкладка «Дополнительно»:

Ставим точку «Администрирование –показывать в меню программы и Пуск», как на рисунке, затем прокручиваем вниз весь список настроек, если чего надо, тоже можно исправить, единственное, что надо – галочка около пункта «Выполнить» (тоже видно на рисунке, и обычно она там уже есть). Жмем «Ок» два раза.
Теперь меню пуск нас полностью устраивает.

3. Службы.

Отключаем ненужные службы.

Пуск – Администрирование – Службы. 

Должны быть отключены следующие службы:
Telnet
Windows Media Player Network Sharing Service
Диспетчер сеанса справки для удаленного рабочего стола
Маршрутизация и удаленный доступ
Обозреватель компьютеров
Планировщик заданий *
Сервер
Сервер папки обмена
Служба сетевого DDE
Служба сообщений
Службы терминалов
Удаленный реестр

* Планировщик заданий - потенциально уязвимая служба, используется крайне редко, поэтому я рекомендую её отключить, если Вы не думаете её использовать.

Для отключения службы щелкаем в нее дважды, в открывшемся окне пункт «способ запуска» ставим «отключено» и нажимаем «Ок»

 

4. Небольшая оптимизация

Пуск-Мой компьютер ПРАВОЙ КНОПКОЙ, и в меню выбираем «Свойства»
Или
Пуск-Панель управления- Система
Или
Windows(Кнопка с логотипом Windows)+Pause (Две кнопки одновременно)
Выбираем вкладку «Дополнительно»

В разделе «быстродействие» нажмем кнопку «параметры», а там опять вкладка «дополнительно»

Внизу в разделе «Виртуальная память» жмем на кнопку «изменить»

Ставим точку напротив «размер по выбору системы», обязательно жмем кнопку «Задать», потом «Ок» три раза и «Да», перезагружаемся.

Лирическое отступление.

Оптимизация подразумевает увеличение быстродействия, но с другой стороны это повлечет отказ от визуальных эффектов и оформления, поэтому я не настаиваю на следующих рекомендациях, поскольку интерфейс станет не таким красивым.
Меню Пуск – Правой кнопкой, Выбираем свойства, отмечаем «Классическое меню Пуск», нажимаем «Ок»
 

Далее 
Мой компьютер ПРАВОЙ КНОПКОЙ, и в меню выбираем «Свойства»
Или
Пуск-Панель управления- Система
Или
Windows(Кнопка с логотипом Windows)+Pause (Две кнопки одновременно)
Выбираем вкладку «Дополнительно»
В разделе «быстродействие» нажмем кнопку «параметры», а там вкладка «Визуальные эффекты»
Ставим точку возле пункта «Обеспечить наилучшее быстродействие» и нажимаем кнопку «Применить».

 

Переходим на вкладку «дополнительно». Устанавливаем и для времени процессора, и для кэша оптимизацию для выполнения программ, нажимаем «Ок».

Переходим на вкладку «Восстановление системы» и отключаем его.

5. Удаленное управление.

Пуск-Мой компьютер ПРАВОЙ КНОПКОЙ, и в меню выбираем «Свойства»
Или
Пуск-Панель управления- Система
Или
Windows(Кнопка с логотипом Windows)+Pause (Две кнопки одновременно)
Выбираем вкладку «Удаленные сеансы» и убираем там все галочки. Жмем «Ок»

6. Политика безопасности.

Пуск-программы-администрирование-локальная политика безопасности.
Политика паролей.
Внимание: этот пункт сильно усложняет жизнь пользователей. Если Вы все сделаете так, как на рисунке, то каждый пользователь должен будет менять свой пароль раз в 42 дня, причем в этом пароле должны будут быть символы из трех разных наборов (большие, маленькие буквы и цифры, общее количество не менее восьми), и этот пароль не должен будет повторять три предыдущих.

Политика блокировки учетной записи.

Делаем, как на рисунке.

Политика аудита.

Отмеченные события будут фиксироваться в журнале безопасности.


Назначение прав пользователя.

 

В пункте «Доступ к компьютеру из сети» удаляем всех и жмем «Ок»

В пункте «Запретить вход в систему через службу терминалов» нажимаем кнопку «Добавить» и пишем «Все» (для английского ядра пишем «Everyone») и нажимаем «Ок»
Получим такую картинку и жмем «Ок»

Также поступаем в пункте «Отказ в доступе к компьютеру из сети», то есть запрещаем всем сетевой доступ к компьютеру.
В пункте «Разрешать вход в систему через службу терминалов» удаляем всех (см. рис 21)

Параметры безопасности. 

 

Интересный параметр «Завершение работы: очистка страничного файла виртуальной памяти». Настоящий параноик, конечно, включит его, так как теоретически есть возможность вынуть из этого файла пароли и личную информацию. Но практически я не слышал о таких взломах и, вдобавок, не всегда система адекватно реагирует на включение этого пункта. Иногда возможна потеря страничного файла и, следовательно, невозможно загрузиться.
«Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB серверам» - отключить.
«Сетевая безопасность: не хранить хэш-значений LAN Manager при следующей смене пароля» - включить.
«Сетевой доступ: не разрешать перечисление учетных записей SAM анонимным пользователям» - включить.
«Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимным пользователям» - включить.
«Сетевой доступ: пути в реестре доступны через удаленное подключение» - удалить все.
«Сетевой доступ: разрешать анонимный доступ к именованным каналам» - удалить все.
«Сетевой доступ: разрешать анонимный доступ к общим ресурсам» - удалить все.
Для применения политики – перезагружаемся.

7. Настройка журналов аудита.

Пуск-программы-администрирование-просмотр событий.
 

Щелкаем правой кнопкой в журнал «Приложение» и выбираем пункт «Свойства»

Устанавливаем размер файла как на рисунке (100 Мб) и ставим точку напротив пункта затирать события по мере необходимости. Более правильно было бы установить определенный период, например, 42 дня, но тогда при заполнении журнала до этого срока запись в журнал прекратится, а пользователь с неадминистративными правами не сможет войти в систему. Это не всегда удобно.
То же самое делаем с остальными журналами.

 

8. Настройка вида папки.

Пуск-панель управления-Свойства папки, закладка «Вид
 

 

Выводить полный путь в панели адреса – включить
Выводить полный путь в строке заголовка – включить
Использовать простой общий доступ к файлам – выключить
Отображать сжатые или зашифрованные NTFS файлы другим цветом – включить
Скрывать защищенные системные файлы – выключить
Скрывать расширения для зарегистрированных типов файлов – выключить
Скрытые файлы и папки – ставим точку в строке «Показывать».
Нажимаем «Ок».

9. Настройка аудита файлов.

В пункте 6 мы включили аудит файлов, но какие конкретно файлы будут отслеживаться – надо указать.
Пуск-Программы-Стандартные-Проводник.
Примечание: проводник можно запустить комбинацией клавиш «Windows»+E.
Выбираем в дереве слева диск С:

 

Щёлкаем правой кнопкой в boot.ini и выбираем пункт «Свойства»

На вкладке «Безопасность» жмем кнопку «Дополнительно»

В появившемся окне на закладке «Аудит» нажмем кнопку «Добавить», в выборе пользователя пишем «Все» (для английского ядра пишем «Everyone»), жмем «Ок»

 

В появившемся окне отмечаем события, которые должны быть отмечены в журнале:

Просто жмем в строке «Полный доступ» в колонках «успех» и «отказ». Тогда будем контролировать любое обращение к этому файлу. Однако это может слишком сильно загрузить журнал. Поэтому рекомендую отметить только те пункты, которые касаются изменений:

Жмем «Ок» три раза.

То же самое выполняем для файлов
C:\io.sys
C:\config.sys
C:\ntdlr
C:\autoexec.bat
C:\bootfont.bin
C:\msdos.sys
C:ntdetect.com
C:\windows\repair (папка, поэтому в окне ставим галочку «применять к объектам внутри контейнера»)

C:\windows\system32\config (папка)
Так же Вы можете настроить любые файлы, доступ к которым надо контролировать.
Напомню лишь, что ведение аудита отнимает ресурсы компьютера, поэтому необходимо найти золотую середину между душевным спокойствием и удобством работы.

10. Пользователи.

После установки операционной системы загрузка автоматически происходит от имени администратора или пользователя, обладающего административными правами. Это очень удобно для пользователя, можно установить программу, выполнить любую операцию, взаимодействие с компьютером ничем не ограничено. Однако, такая свобода очень опасна для компьютера. При попадании вируса в такой компьютер, он сразу получает административные права и может нанести любой ущерб системе и данным. Поэтому абсолютно необходимо завести учетные записи с меньшими правами, достаточными для выполнения обычных операций: посещение интернета, работа с офисными приложениями. Как это сделать? Очень просто.
Пуск – программы – Администрирование – Управление компьютером
 

Кстати, запомните эту оснастку, очень полезная штука.
Как Вы видите, здесь мы имеем доступ к управлению многими функциями. Сейчас нам нужны «Локальные пользователи и группы»

Открываем папку «пользователи» и видим, что администратор бессовестно и открыто называется «Администратор», может даже включена учетная запись «Гость»… Гостя сразу отключаем, для этого щелкаем в него дважды, отмечаем галочками, как отмечено на рисунке. 

Также нужно отключить остальные учетные записи типа Support, helpassistant.
Далее, переименовываем учетную запись администратора. Щелкаем в него правой кнопкой, выбираем – переименовать. В окне вписываем другое имя (совсем не обязательно то, что у меня).

Теперь добавим фальшивого администратора. Щелкнем правой кнопкой в пустое поле и в меню выберем «Новый пользователь». Заполняем поля так, как на рисунке, при выборе пароля помним, что в нем должны быть большие и маленькие буквы и цифры.

Теперь добавляем пользователей user1(пользователь). Вы можете создать их столько, сколько Вам нужно и с любыми другими именами.

Теперь открываем папку «Группы» и проверяем состав групп. В «Администрарторы» должен входить только pioneer (или как Вы его назвали), В «Пользователи» - наши пользователи, остальные группы должны быть пустыми. 

 Теперь создадим на диске отдельные папки для хранения личных документов для каждого пользователя, а также для картинок, музыки и подобного общего шлака.
Если у Вас два диска в системе, то папки создаются на втором, если один – естественно, на нем. Создаем папки: «Документы пользователей», «Общие документы», в ней «Музыка», «Видео», «Фото», «Рисунки» и т.п.

 

В папке «документы пользователей» папки “Pioner”, “User1” и т.д.

Перенаправляем свою папку Мои документы на папку Pioner
На рабочем столе, либо в меню «Пуск» есть ярлык «Мои документы». Щелкаем его правой кнопкой и выбираем пункт «свойства».
 

Нажмем кнопку «Переместить» и в окне найдем папку “Pioner”.

Жмем «Ок» два раза, на вопрос «Переместить все документы» - говорим –«Да», Если будут ещё вопросы, говорим «Да, для всех». Теперь все документы будут храниться не в папке «Document&Settings\Администратор\...», а здесь.
Меняем пароль пользователя. Если вы не переключили вид меню «Пуск» в классический вид (а если переключили, то временно включите обратно), тогда просто щелкните в пиктограмму пользователя в меню пуск. В открывшемся окне откажитесь от изменения пиктограммы (или измените, если хотите), затем выбираем «Создание пароля», либо «Смена пароля», если он у Вас уже был. Меняем пароль, не забывая, что он должен содержать большие, маленькие буквы и цифры. Это сделать обязательно, чтобы затереть LM хэш старого пароля.

Теперь зайдем от имени простого пользователя. Для этого в меню пуск выбираем «Выход из системы» и видим что-то типа такой картинки.

 

Теперь для входа в систему Вам надо будет определиться, под чьим именем Вы будете входить, сейчас выбираем user1, набираем пароль и жмем кнопку «Enter”.

Выходим из системы и опять заходим как администратор.
Проверяем разрешения на папках документов пользователей.
В проводнике щелкаем правой кнопкой по папке c:\Папки пользователей\pioner, выбираем свойства, вкладка «безопасность», на ней кнопка «Дополнительно»

Убираем галочку «Наследовать от родительского объекта …», на вопрос отвечаем «Копировать», ставим галочку «Заменять разрешеня…», убираем из списка «Пользователей» (Выделяем и нажимаем «Удалить»), после приведения в соответствие картинке – нажимаем «Ок», «Да», «Ок».
Переходим к папке «User1» (или как Вы её назвали). Выполняем все те же действия, но еще добавляем соответствующего пользователя. Жмем кнопку «Добавить», чтоб не ошибиться, при вводе имени можно нажать кнопку «Дополнительно», там «Поиск» и из списка выбрать нужного пользователя.

Нажимаем «Ок» два раза, отмечаем ему полный доступ в колонке «Разрешить»

Нажимаем «Ок», убеждаемся, что галка «Заменить разрешения …» на месте, нажимаем «Ок», «Да», «Ок».
Если Вы завели несколько пользователей, выполняем эти действия для каждого.

Теперь настроим загрузку операционной системы так, чтобы автоматически загружался профиль пользователя с ограниченными правами.
Пуск – Выполнить, в появившемся окне набираем regedit и нажимаем Enter.
Запустился редактор реестра. Находим ветку HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
 

Добавляем (щелкаем в пустое место правой кнопкой, выбираем «Создать» - «Строковый параметр») параметры «DefaultUserName» со значением равным имени пользователя и «DefaultPassword» - пароль этого пользователя. Необходимо также убедиться, что строковый параметр «AutoAdminLogon» существует и равен 1. При вводе значений и названий будьте внимательны, вводите правильно буквы и цифры, все с учетом регистра.
Перезагружаемся, - Ура, работает!
Теперь для установки программ и административных действий Вам надо будет выходить из профиля пользователя и входить с именем администратора. Также можно щелкнуть по исполняемому файлу правой кнопкой и выбрать из контекстного меню пункт «запуск от имени», и запустить эту программу с административными правами.

В открывшемся окне переставим точку в строку другого пользователя и введем его пароль

 

Теперь Ваш компьютер не видно в локальной сети, Вы работаете с учетной записью, ограниченной в правах, лишние сервисы отключены. У злоумышленника гораздо меньше шансов поразить Ваш компьютер.