вторник, 30 сентября 2008 г.

Безопасность для чайника. Часть 3.

Части один и два и четыре.

image 11. Не делайте расшаренные папки с разрешениями для чтения всем. Никогда нет image уверенности, что Вы не выложите туда что-то, что не должно быть доступно самому широкому кругу лиц. Если Вы создали такую папку, то будьте бдительны по отношению к ее содержанию.

11а. (Примечание Владимира Безмалого)

Не делайте простой общий доступ к файлам и папкам. Это позволит вам сделать парольный доступ к содержимому общей папки и вы всегда будете знать кому и что вы разрешили. Если разрешили парольный доступ, то по окончании сеанса смените этому пользователю пароль.

12. Никогда, повторяю, никогда не делайте расшаренные папки с разрешениями на запись. Даже у хороших людей могут завестись вирусы, которыми они с удовольствием с Вами поделятся.

13. Если Вы сделали запись в общую папку доступной для всех... Что ж... Я провел эксперимент: выставил компьютер с такой папкой в свою домовую сеть. В течении часа там лежал первый вирус. Через сутки их было три. =)

14. В свете предыдущих пунктов встает необходимость использовать онлайн (мы для простоты считаем, что эти сервисы заслуживают доверия. Если Вы считаете иначе, то для Вас услуги фельдъегерской службы =) ) сервисы для обмена файлами. Будьте осторожны и помните, что я написал здесь. Правило 11 работает и в этой ситуации.

15. Открывать онлайн службу на запись так же нельзя. Пусть человек, который хочет передать Вам данные, откроет Вам к ним доступ на чтение.

16. Если Вы все-таки нарушили правила и Вам записали долгожданный файл... Проверьте его антивирусом до того, как открыли. Еще лучше, дайте ему вылежаться сутки-другие и проверьте еще раз. Что объяснить, image зачем, я расскажу Вам мини-историю. В процессе исследований (давайте назовем это так =) ) по одному спамерскому письму я скачал к себе (на специально для этого созданную виртуальную машину). Антивирус определил, что в этом файле только через несколько часов.

Продолжение следует.

9 комментариев:

Анонимный комментирует...

Про расшаренный папки, я бы начал с того, что их вообще не нужно расшаривать. Для передачи и публикации информации есть другие сервисы (как для дома, так и в офисе: обратитесь к администратору)
:)

Alexander Trofimov комментирует...

Мммм... Хочешь об этом поговорить? На самом деле, цель этих заметок не столько показать "Путь Воина", то есть как все должно быть в идеале, сколько дать правила, которые реально можно выполнить. Согласись - требование не шарить документы вовсе - требование в большинстве своием для домашнего пользователя нереальное =)

Анонимный комментирует...

А когда будет продолжение?

Alexander Trofimov комментирует...

Будет, Вадимс. Просто реально не было времени даже на copy/paste...
Сегодня попробую выкинуть оставшийся пока сырой материал.

Анонимный комментирует...

К пункту 15: Если Вы не собираетесь предоставлять свои данные для других пользователей - можно удалить компонент File and Printer Sharing. Тогда attack surface снизится самым решительным образом, равно как и высвободится RAM и прочее. Компонент же для доступа - "клиент для сетей Microsoft" который - можно оставлять, он не делает доступными ресурсы локальной машины.

Alexander Trofimov комментирует...

Опять же для "сложных советов", но учту. Кстати, в Vista для не безопасных подключений оно и так по умолчанию отключено... -=)

Анонимный комментирует...

Отключено - одно. Тогда сервис работает. А удалено - другое. Тогда и с simple file sharing будет проще - банально ничего не расшарить случайно. :)

Alexander Trofimov комментирует...

Нууу... Возразить нечего. Тем не менее, для простых советов - сложновато =)

Анонимный комментирует...

Ну, в общем, да - если уж заставлять даже просто что-то вида "наберите services.msc", то как минимум надо бы объяснить, что это и зачем оно. Что резко утяжеляет и утолщает данное пособие, которое претендует на заламинированный лист формата A4. :)