Если ваш антивирус нашел что то подозрительное в сборке!!! Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
Тема: Защита от вирусов с помощью политики безопасности.
Условие: файловая система NTFS
Применение:
- Флешки, внешние накопители (Больной вопрос для многих пользователей)
- Папки с открытым общим доступом по сети
- Папки на компьютере с несколькими учётными записями пользователей.
Принцип действия: Ограничение прав доступа на запись с помощью политики безопасности.
Данный пример показан на основе проекта Уважаемого Командира команды модератора mannaleks по созданию Скрытый текст.
Начинаем:
Отключаем в свойствах папки простой общий доступ к файлам и папкам:
Скрытый текст
1. Правым кликом мыши на флешке выбираем "Свойства", затем переходим во вкладку "Безопасность"
Скрытый текст
2. Удаляем всех, кроме пользователя Admin и группы "Все"
Скрытый текст
3. Разрешаем администратору полный доступ.
Скрытый текст
4. Разрешаем группе "Все" доступ на чтение и выполнение.
Скрытый текст
5. Нажимаем кнопку "Дополнительно"
Скрытый текст
6. В открывшемся диалоговом окне переходим в вкладку "Аудит"
Скрытый текст
7. Нажимаем кнопку "Добавить"
Скрытый текст
8. Нажимаем кнопку дополнительно
Скрытый текст
9. Нажимаем кнопку "Поиск"
Скрытый текст
10 Выбираем пользователей или группы и нажимаем ОК.
Скрытый текст
11. Нажимаем ещё раз ОК
Скрытый текст
12. Настраиваем необходимые разрешения, применяем изменения, нажимаем ОК.
Скрытый текст
13. Должно получиться вот так:
Скрытый текст
14. Ставим галочку как на изображении:
Скрытый текст
15. После нажатия кнопки "Применить", появится окно применения разрешений, затем появится сообщение как на изображении, нажимаем ОК и ещё раз ОК.
Скрытый текст
На этом настройка разрешений для корневого каталога завершена.
Результатом правильной настройки будет запрет на запись в корневой каталог (Именно это обычно делают Autorun-вирусы) с других компьютеров и подкаталоги.
Скрытый текст
Часто задаваемые вопросы:
У меня на флешке файловая система FAT32. Как создать на флешке файловую систему NTFS?
1. Правый клик мышью, выбираем диспетчер устройств.
2. в открывшемся окне в дисковых устройствах находим флешку.
3. правый клик мыши, выбираем свойства.
4. переходим в вкладку "Политика".
5. ставим точку как на изображении, нажимаем ОК, выходим из диспетчера устройств.
Скрытый текст
6. Извлекаем флешку и снова подключаем.
7. Правый клик мыши на флешке, форматировать, выбираем файловую систему NTFS как на изображении:
В процессе форматирования все данные будут уничтожены, поэтому перед форматированием важную информацию с флешки необходимо перенести! Скрытый текст
8. Нажимаем кнопку "Начать", далее кнопку "Да", далее в появившемся сообщении ОК.
9. Готово.
Как работает данный способ защиты?
Данный способ основан на ограничении прав доступа на запись с "чужих" учётных записей пользователей Windows. В данном примере доступ на запись разрешен только одному пользователю с правами администратора.
Возможно ли изменить данный способ защиты?
Да. Для более подробного изучения или усовершенствования данного примера в интернете есть ресурсы по настройке локальной и групповой политики безопасности и аудита пользователей.
Как записать данные на флешку с других ПК?
При необходимости доступа на запись создаём папку и разрешаем группе все полный доступ для данной папки. Применяем настройки, нажимаем ОК.
Скрытый текст ВАЖНО! Учитывая то, что доступ на запись в папку открыт вирус может записаться в эту папку.
Возможно ли изменить защиту таким образом, чтобы полный доступ был с двух и более ПК?
Да. Для этого необходимо временно разрешить полный доступ группе "Все", подключить флешку ко второму ПК, затем добавить учетную запись администратора и в настройках аудита добавить соответствующие права доступа.
После завершения настройки подключить флешку к главному ПК и вернуть разрешения для группы "Все" к исходному состоянию (Доступ только на чтение и выполнение).
После выполнения всех операций должно получиться как на изображении:
(Полный доступ разрешен с 3-х ПК и ноутбука. Не забываем что у группы "Все" разрешения только на чтение и выполнение)
Скрытый текст ВАЖНО! Если с подключаемой системы на флешку пропишется вирус, то есть вероятность получить источник заражения.
Как я могу проверить правильность настройки прав доступа?
Подключить флешку к другому ПК или на время настройки прав доступа на основном ПК создать дополнительную учётную запись пользователя. (Пуск, панель управления, учётные записи пользователей)
Как наследуются разрешения для папок, могу ли я их изменить?
Разрешения наследуются от разрешений для корневого каталога. Да, разрешения изменяются в настройках безопасности для любой папки или файла.
Применение CACLS (С помощью командной строки):
Удаляю всех пользователей:
CACLS d:\ /t /e /r СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ - удаляем создателя
CACLS d:\ /t /e /r system - удаляем учётную запись системы
CACLS d:\ /t /e /r Администраторы - удаляем группу "Администраторы"
CACLS d:\ /t /e /r Admin - удаляем администратора
CACLS d:\ /t /e /r Все - удаляем группу "Все"
Добавляю необходимых:
CACLS d:\ /t /e /g Admin: f - добавляем Админа с правами на полный доступ
CACLS d:\ /t /e /g Все: r - добавляем группу "Все" с правами на чтение и выполнение
Всем, кого заинтересовала данная тема!
Просьба отписываться корректно, подробно описывая возникающие трудности и, если справились с трудностями самостоятельно, то и пути преодоления трудностей.
_________________ Не профи, но для любителя тоже неплохо...
Последний раз редактировалось: Дон (24.06.2011 21:33), всего редактировалось 24 раз(а)
Возможно ли изменить защиту таким образом, чтобы полный доступ был с двух и более ПК?
Да. Для этого необходимо временно разрешить полный доступ группе "Все", подключить флешку ко второму ПК, затем добавить учетную запись администратора и в настройках аудита добавить соответствующие права доступа.
После завершения настройки подключить флешку к главному ПК и вернуть разрешения для группы "Все" к исходному состоянию (Доступ только на чтение и выполнение).
Я все делала по инструкции, кроме открытия и закрытия полного доступа группе "Все". При этом, даже на втором компе (для учетки которого полного доступа не было) я смогла зайти в настройки безопасности флешки и настроить разрешения для второго пользователя (то есть Админа этого второго компа).
То есть, манипуляций чуть меньше, а результат тот же: полный доступ от двух (или больше) учеток, и чтение и выполнение для "все".
Потому и возникли сомнения - зачем открывать и закрывать доступ для "все", чтоб добавить нового пользователя?
На машине (с которой пишу) на флешке права для группы "Все" срезаны и кнопка "Добавить" не активна:
Скрытый текст
Права администратора у учётной записи есть.
Дома проверю с встроенного администратора, о результатах отпишусь... _________________ Не профи, но для любителя тоже неплохо...
Вы меня заинтриговали.
Проверила флешку на других компах (для уверенности, что это не особенность сборки винды или еще какая-то особенность компа) - везде защита работает (то есть создать папку, удалить файл и т.д. нельзя), но добавлять пользователей можно (если загружена учетка админа).
Правда, других пользователей с правами администратора нет, потому такой вариант не проверяла.
1. создаю флешку по инструкции. (права для группы "Все" срезаю сразу)
2. подключаю флешку к другому компьютеру, проверяю что в доступе на запись файлов/папок отказано.
3. открываю вкладку "Безопасность", как на скриншоте выше у меня отображается неизвестная учётная запись, кнопка "Добавить" не активна, во вкладке "Владелец" запись "Не удалось отобразить текущего владельца".
Теперь импровизирую:
Вариант 1:
п. 2 права только чтение и выполнение
п. 3 становлюсь владельцем, после закрытия и повторного открытия вкладки "Безопасность" становится активной кнопка "Добавить" и я могу менять права у существующих в списке учётных записей.
Вариант 2:
п. 2 следую по инструкции, но права группе "Все" не срезаю.
п. 3 при подключении к другому компьютеру доступ на запись есть и кнопка "Добавить" активна.
Учётная запись на компьютерах одна, Admin (Установку ОС проводил в автоматическом режиме)
SID-ы у учётных записей разные.
Вышеописанный пример с запретом доступа на запись и активной кнопкой "Добавить" у меня повторить не получилось.
Поправочка:
Получилось. После смены владельца запрет записи сохраняется до того момента пока пользователь не будет добавлен в список и не будут присвоены необходимые права.
изначально в варианте 1 я не проверил доступ на запись... _________________ Не профи, но для любителя тоже неплохо...
Вы меня поняли правильно.Только что проверила владельца на разных компах. Теперь я поняла, в чем несоответствие.
Пункт 1 и 2 у меня точно такой же. А вот в третьем все так, но дело в том, что у меня на всех компах во вкладке "Владелец" определяется два владельца по имени компа (то есть каждый раз подставляется имя компа, в который воткнута флешка):
Скрытый текст
Думаю, как раз в этом и есть причина доступа к изменению безопасности. То есть доступ по прежнему на запись и т.д. закрыт, но кнопка "Добавить" активна, поскольку каждый админ считается владельцем.
Исходя из этого, варианты манипуляций, описанные Вами, в моем случае не нужны.
Теперь стало интересно, почему так происходит (смена вдалельца на каждом компе). Хотя, это чисто спортивный интерес, поскольку проблемы в этом не вижу, скорее наоборот
P.S. Пробовала не только на Звере, но и на других версиях Windows. На большинстве тоже одна учетка Admin, на этом (с которого пишу) - есть и Юзер, с которого, понятно, кнопка "добавить" неактивна.
Дело в том, что Владельцем должен быть уникальный пользователь (в вашем варианте это пользователь Admin\Biblioteka), а не группа "Администраторы". _________________ Не профи, но для любителя тоже неплохо...
Эврика! Все гениальное - просто.
"Проблема" решена. Вы, как всегда, оказались правы. После смены владельца кнопка "добавить" стала неактивной и владелец не меняется.
А если владельцем будет группа "Администраторы" - на что это может повлиять (в плане безопасности)?
То есть, мне показалось довольно удобным, что флеха защищена от записи, но при желании с любого компа я могу менять права пользователей. Нет ли здесь подводных камней?
А если владельцем будет группа "Администраторы" - на что это может повлиять
То администратор любого компьютера может изменять права доступа.
ЧеКа писал(а):
но при желании с любого компа я могу менять права пользователей.
При желании это сможет сделать и кто-то другой. _________________ Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
Ну, если этот "кто-то" будет юзать мою флеху (то есть я ему доверяю), будет достаточно опытным пользователем (что в реалиях жизни, к сожалению, встречается довольно редко), чтоб заниматься такими вещами и при этом намеренно захочет заразить меня парой-тройкой вирусов (но все же я ему должна доверять ) - то такую возможность теоретически я допускаю. Но возможность совпадения всех этих параметров в реальности фантастически ничтожна, поэтому паранойю оставлю другим... у кого больше опытных и хитрых врагов
Поскольку заниматься программным ремонтом приходится в разных местах (иногда довольно далеко от дома и работы), меня соблазняет возможность, скажем, с клиентской машины, обновить антивирусные базы и т.п.
Потому, неплохо бы оставить лазейку при желании получить доступ к своей флехе отовсюду, при этом не подцепить какую-нибудь заразу
Конечно, если этим "кто-то" не может быть вирус? Или они уже и до этого доросли?
Последний раз редактировалось: ЧеКа (16.02.2012 20:11), всего редактировалось 4 раз(а)
У некоторых вредоносных скриптов есть хитрый ключик "as Admin", вот от таких скриптов можно ожидать любых последствий... _________________ Не профи, но для любителя тоже неплохо...
У меня такая "Лазейка" есть, папка "Upload", для которой группе "Все" разрешен полный доступ. _________________ Не профи, но для любителя тоже неплохо...
ну это само собой. Это я в первую очередь сделала.
Но я имела в виду изменение именно программ в "системных" папках (например, обновление антивира, если срочно припечет кого-то полечить). Ну да ладно, переживем как-нибудь. Безопасность флехи после "втыкивания" в эти самые "кого-то" важнее!
В AlkidCD у учётной записи идентификатор (SID) одинаковый, но заранее предупреждаю что это не лучший вариант из-за того что будет возможен доступ на запись...
Ради эксперимента произвел с флешкой все необходимые действия, описанные здесь. На флешке оставил только папку с доктором вебом и папку с тотал коммандером с полными правами.
Втыкаю флешку в зараженный компьютер, пробую запустить с флешки доктора веба. Тот при запуске сразу же выдает, что исполняемый файл инфицирован. Отказываюсь от лечения, загружаюсь с компакт диска, проверяю флешку на вирусы.
Результат: Все исполняемые файлы в обеих папках заражены вирусом win32.Tufei. Корень флешки остался чистым, впрочем этот туфей и не копирует себя в корень флешки.
Выводов пока не делаю.
_________________ Не профи, но для любителя тоже неплохо...
поймать вирус в одну папку (в которую разрешен доступ всем) - не великая трагедия - такое лечится (да хоть и "ампутируется") безболезненно. Это не всю флеху с настроенными прогами и т.д. убивать.
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы