Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

Ochrana Windowsu nastaveniami Windowsu a ine moznosti

Moderátoři: james008, JaRon, Moderátoři

Pravidla fóra
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
Odpovědět
Zpráva
Autor
Tatry03
Rádce
Rádce
Příspěvky: 1164
Registrován: 22 srp 2009 18:06

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#181 Příspěvek od Tatry03 »

Hrozby ransomware sa mnozia a preto vznikaju aj nastroje na ochranu.
Malwarebytes vydal free specializovany nastroj, zatial v Beta verzii. :)
:arrow: https://blog.malwarebytes.org/news/2016 ... ware-beta/

A trochu prelozeneho pokecu:
:arrow: http://translate.google.sk/translate?hl ... ter.com%2F
----

KEO
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 459
Registrován: 09 črc 2004 15:41
Bydliště: Hlava, vlastna...

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#182 Příspěvek od KEO »

Nieco podobne ma aj Bitdefender. O nieco mensie.

https://labs.bitdefender.com/projects/c ... l-vaccine/

Len to neni moc ucinne. Cez GPO - chrani to pred EXE subormi v %APPDATA%, ale len v jej ROOT zlozke, nie podzlozkach.
Plus to brani spustaniu .EXE v start menu/.../startup adresari.

Zatial pracujem na vlastnej ochrane, zameranej na prevenciu.

Stiahol som tu verziu na videu a ani nevyskusam. Neni urcena pre WinXP :D
Čínske príslovie: Víno pi z pohára, vedomosti z veľkej čaše.---Hebbel: Často je treba väčšej odvahy k tomu, svoj názor zmeniť, než za ním pevne stáť.---Konfucius: Mudrc hľadá všetko v sebe, nerozumný človek všetko v druhom.---Edison: Nie je múdry ten, kto veľa vie, ale ten, kto vie, čo je treba.---Plutarchus: Nepotrebujem priateľa, ktorý prikyvuje na všetko, čo poviem. Môj tieň sa kýve častejšie.---Wang Čchung: Ak sa začneš učiť, poznáš, ako málo vieš. Ak začneš učiť iných, poznáš, aké je to ťažké poslanie.--- Michelangelo: Dokonalosť spočíva v maličkostiach, cez to všetko, nie je dokonalosť maličkosťou.---Seneca: Rozumný je ten, kto skôr premýšľa, než uverí.---O.Wilde: Starci všetkému veria. Muži o všetkom pochybujú. Mladí všetko vedia.---Konfucius: Dobrý liek chutí horko, dobrá rada drása dušu.

KEO
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 459
Registrován: 09 črc 2004 15:41
Bydliště: Hlava, vlastna...

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#183 Příspěvek od KEO »

Moje tipy:

- zakladom je zaloha. V pripade offline zalohy neni co riesit. Problem je, ze offline zalohy sa zabudaju robit casto, takze je riziko straty dat tiez.

Takze pri automatickom zalohovani:

- nastavit uzivatelovi co najmensie prava a ak je mozne, este ich aj osekat. Uzivatela nazveme narp. U1.
- zalohovat data /idealne na druhy disk/ - ci uz lokalne, alebo lokalne + po sieti mimo PC /este lepsie/.
- nastavit zalohovanie tak, ze prebieha pod inym uctom napr. U2.
- vytvorit si alternativny ucet administratora. Napr. A1
- premenovat hlavny ucet administratora napr. na A2 a tomuto uctu ponizit opravnenia
- zrusit vsetky administratorske pristupy k zalohovacej zlozke, vratane uctu system a nechat tam pristup iba jednemu uctu U2.
- pouzit minimalne 2 metody zalohovania
- jedna na synchronizaciu dat s pomocou task schedulera, alebo spustania po starte, ci alternativneho task schedulera ci jedneho programu
- druha za pouzitia programu, ktoreho zalohovanie vie bezat pod sluzbou. Pristup sluzby bude vsak nastaveny pre pouzitie prav s uzivatelom U2. Detto plati aj pre task scheduler, pod uctom U2.
- U2 bude mat jediny pristup k zaloham na zapis.
- pre U1 sa nazdielaju zalohy iba na citanie
- ak je siet, tak z tejto chranenej zlozky, si iny pocitac moze vybrat zalohu pod uctom U1 a lokalne si ju ulozit. U1 nema dialkovo pristup nikde na druhy pocitac.
- zalohy vytvarat najlepsie full backup so silnou komprimaciou + casovym razitkom a nech su vytvarane dlhodobo. Drzat ich podla uvazenia. Dalsie rozpisovanie by uz bolo skor na temu zalohovania...

----------------------

Teraz k ochrane pred ransomware:
- vypnut sluzbu Windows Installer
- zakazat pristup *.EXE pre root zlozku systemoveho disku
- zakazat pristup *.EXE pre uzivatelske profily a vsetky ich adresare. Cez GPO aj NTFS opravnenia, vratane podadresarov.
- zakazat pristup *.EXE pre Plochu, Startup, Moje dokumenty /vratane podadresarov/
- zakazat pristup *.EXE pre vsetky TEMPove adresare, vratane podadresarov.
- zakazat pristup *.EXE pre vsetky datove disky a klucenky, pre root zlozku a minimalne 1-2 urovne podadresarov.
- povolit pristup tymto opravneniam pre jeden administratorsky ucet, povedzme A3, pre pripad potreby instalacii.

- pouzivat standardne, alebo alternativne bezpecnostne opatrenia.

Najdolezitejsia v tychto pripadoch je zaloha mimo dosahu ransomware. Archivy zaloh by som odporucal premenovat priponu este na nejaku nestandardnu /plus chranit heslom, sifrovanim/.

Ak ma niekto nejake napady a usmernenia, su vitane.
Čínske príslovie: Víno pi z pohára, vedomosti z veľkej čaše.---Hebbel: Často je treba väčšej odvahy k tomu, svoj názor zmeniť, než za ním pevne stáť.---Konfucius: Mudrc hľadá všetko v sebe, nerozumný človek všetko v druhom.---Edison: Nie je múdry ten, kto veľa vie, ale ten, kto vie, čo je treba.---Plutarchus: Nepotrebujem priateľa, ktorý prikyvuje na všetko, čo poviem. Môj tieň sa kýve častejšie.---Wang Čchung: Ak sa začneš učiť, poznáš, ako málo vieš. Ak začneš učiť iných, poznáš, aké je to ťažké poslanie.--- Michelangelo: Dokonalosť spočíva v maličkostiach, cez to všetko, nie je dokonalosť maličkosťou.---Seneca: Rozumný je ten, kto skôr premýšľa, než uverí.---O.Wilde: Starci všetkému veria. Muži o všetkom pochybujú. Mladí všetko vedia.---Konfucius: Dobrý liek chutí horko, dobrá rada drása dušu.

Echo
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 64
Registrován: 10 led 2009 09:27

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#184 Příspěvek od Echo »

Prečítal som si všetky stránky, bola to fuška o čase ani nehovorím.
Do cela zaujímavá téma preto že ja okrem stálej ochrany Avast a ešte jedného programu
ktorý ma upozorní v prípade nepovoleného prístupu k mojej domácej sieti, používam
na preventívnu kontrolu niekoľko programov a tie testy trvajú dohromady dosť dlho.

KEO... môžeš prosím ťa napísať návod kde zakážem prístup "Teraz k ochrane pred ransomware".
Naposledy upravil(a) Echo dne 01 úno 2016 13:09, celkem upraveno 1 x.

KEO
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 459
Registrován: 09 črc 2004 15:41
Bydliště: Hlava, vlastna...

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#185 Příspěvek od KEO »

Echo píše:....návod kde zakážem prístup "Teraz k ochrane pred ransomware".
Nerozumiem nejak formulacii.

Ochrana cohokolvek sa ma skladat z viacerych urovni, ktore sa daju aplikovat roznymi sposobmi.
Kto vie, ake su moznosti, najde sposoby, ako ich vykonat. Podrobne navody v takychto diskusiach su kontraproduktivne.

Trebars pouzivam sam rozne metody, ale ked napisem metodologiu, uplne presnu, je to akoby som vystavil navod, ako ich obchadzat.

Z hrubeho navodu sa da urobit niekolko variacii tej istej funkcie, len inak. To zhorsuje moznosti tvorcom malware, aby mali pre nieco take ochranu.

V skratke - najdolezitejsou castou ochrany pred ransomware neni ani ochrana pred jej spustenim, ale neutralizacia problemov tym, ze bude zvolena vhodna a bezpecna zaloha a archivacia, ktora je nedostupna uzivatelovi a teda aj ransomware.

Zjednoduseny navod - pouzijem napr. program na zalohovanie a archivaciu - trebars Cobian Backup. Instalujem ho ako sluzbu, ktora sa bude spustat pod uctom ZALOHA. Ucet ZALOHA ma jediny opravnenia v NTFS systeme pre adresar ZALOHY. Uzivatel sa do adresara ZALOHY nedostane vobec, alebo iba na citane. Zaroven je adresar ZALOHY nazdielany a ine PC si z neho tie zalohy vybera. Vytvaraju sa 2 kopie zalozneho archivu. Jedna ostava v PC, druha sa PRESUNIE do druheho PC. Takto sa zabezpeci aj ochrana pred prepisanim zaloh a vsetko sa vykonava automaticky. Je zabezpecena ochrana dat aj pri zniceni komplet celeho PC.
Čínske príslovie: Víno pi z pohára, vedomosti z veľkej čaše.---Hebbel: Často je treba väčšej odvahy k tomu, svoj názor zmeniť, než za ním pevne stáť.---Konfucius: Mudrc hľadá všetko v sebe, nerozumný človek všetko v druhom.---Edison: Nie je múdry ten, kto veľa vie, ale ten, kto vie, čo je treba.---Plutarchus: Nepotrebujem priateľa, ktorý prikyvuje na všetko, čo poviem. Môj tieň sa kýve častejšie.---Wang Čchung: Ak sa začneš učiť, poznáš, ako málo vieš. Ak začneš učiť iných, poznáš, aké je to ťažké poslanie.--- Michelangelo: Dokonalosť spočíva v maličkostiach, cez to všetko, nie je dokonalosť maličkosťou.---Seneca: Rozumný je ten, kto skôr premýšľa, než uverí.---O.Wilde: Starci všetkému veria. Muži o všetkom pochybujú. Mladí všetko vedia.---Konfucius: Dobrý liek chutí horko, dobrá rada drása dušu.

KEO
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 459
Registrován: 09 črc 2004 15:41
Bydliště: Hlava, vlastna...

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#186 Příspěvek od KEO »

ECHO - koncepcie, ktore robis som v minulosti vytvaral tiez. Len sa skor uz zamotas do funkcnosti.

Potom ma napadlo, ze staci koncepciu obratit. Netreba sa chranit pred samotnymi utokmi a spoliehat sa, ze nenastanu.

Ale pocitat s nimi, ze su uplne bezna cast virtualneho sveta a jedine zalezi na tom, ako sa vysporiadame z s dosledkami.

Cize, ak mam citlive data, ci mi vadi unik. Ak nie, ako skody sa daju napachat a ak sa napachaju, ako rychlo sa daju zlikvidovat, nech su skody minimalne. Da sa to kombinovat aj s povodnou taktikou, ale toto prakticky staci na eliminaciu problemov.
Čínske príslovie: Víno pi z pohára, vedomosti z veľkej čaše.---Hebbel: Často je treba väčšej odvahy k tomu, svoj názor zmeniť, než za ním pevne stáť.---Konfucius: Mudrc hľadá všetko v sebe, nerozumný človek všetko v druhom.---Edison: Nie je múdry ten, kto veľa vie, ale ten, kto vie, čo je treba.---Plutarchus: Nepotrebujem priateľa, ktorý prikyvuje na všetko, čo poviem. Môj tieň sa kýve častejšie.---Wang Čchung: Ak sa začneš učiť, poznáš, ako málo vieš. Ak začneš učiť iných, poznáš, aké je to ťažké poslanie.--- Michelangelo: Dokonalosť spočíva v maličkostiach, cez to všetko, nie je dokonalosť maličkosťou.---Seneca: Rozumný je ten, kto skôr premýšľa, než uverí.---O.Wilde: Starci všetkému veria. Muži o všetkom pochybujú. Mladí všetko vedia.---Konfucius: Dobrý liek chutí horko, dobrá rada drása dušu.

Echo
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 64
Registrován: 10 led 2009 09:27

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#187 Příspěvek od Echo »

Ten program čo si napísal Cobian Backup, dokáže zálohovať aj systém windows do zvoleného bodu obnovy.
Pýtam sa preto lebo sa mi raz stalo že sa vírus zakorenil do System Volume Information. Antivírový program
ho síce našiel ale nedokázal ho odstrániť, tak som vymazal celý SVI.

KEO
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 459
Registrován: 09 črc 2004 15:41
Bydliště: Hlava, vlastna...

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#188 Příspěvek od KEO »

Echo píše:Ten program čo si napísal Cobian Backup, dokáže zálohovať aj systém windows do zvoleného bodu obnovy.
Pýtam sa preto lebo sa mi raz stalo že sa vírus zakorenil do System Volume Information. Antivírový program
ho síce našiel ale nedokázal ho odstrániť, tak som vymazal celý SVI.
Hovorime iba o zalohovani dat. Zalohovanie systemoveho oddielu je nieco uplne ine a ten program neni na to urceny. Na to su ine programy. Znicene data sa nevratia spat. Poskodeny systemovy oddiel sa da bud obnovit zo zalohy /ine tema/, alebo zrusit a preinstalovat. Tam je to len otazka straty casu, pripadne nakladov na obnovu.
Čínske príslovie: Víno pi z pohára, vedomosti z veľkej čaše.---Hebbel: Často je treba väčšej odvahy k tomu, svoj názor zmeniť, než za ním pevne stáť.---Konfucius: Mudrc hľadá všetko v sebe, nerozumný človek všetko v druhom.---Edison: Nie je múdry ten, kto veľa vie, ale ten, kto vie, čo je treba.---Plutarchus: Nepotrebujem priateľa, ktorý prikyvuje na všetko, čo poviem. Môj tieň sa kýve častejšie.---Wang Čchung: Ak sa začneš učiť, poznáš, ako málo vieš. Ak začneš učiť iných, poznáš, aké je to ťažké poslanie.--- Michelangelo: Dokonalosť spočíva v maličkostiach, cez to všetko, nie je dokonalosť maličkosťou.---Seneca: Rozumný je ten, kto skôr premýšľa, než uverí.---O.Wilde: Starci všetkému veria. Muži o všetkom pochybujú. Mladí všetko vedia.---Konfucius: Dobrý liek chutí horko, dobrá rada drása dušu.

KEO
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 459
Registrován: 09 črc 2004 15:41
Bydliště: Hlava, vlastna...

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#189 Příspěvek od KEO »

Pridam este k ochrane pred malware:

- vypnutie skriptovania, alebo ich blokovanie
- pre MS Office - maximalne zabezpecenie pre pouzitie makier, alebo minimalne to, kde sa spustaju. Ak nepotrebujete makra, naco ich vobec spustat.
- nespoliehat sa na 1 typ zabezpecenia, danu metodu si poistit viacerymi sposobmi
- napr. zakaz cez reigstry,
- pristupove opravnenia v registroch, alebo NTFS
- globalne politiky
- externe aplikacie
- zlikvidovanie aplikacie
- presmerovanie aplikacie alebo jej asociacie do stratena

Ak zlyha jedna metoda, funguju dalsie.

Pripominam:

- pri tvrdych opravneniach radsej zalohovat vopred system.
- nechat si moznost, ako obchadzat tieto opravnenia - trebars pre jedneho konkretneho uzivatela /nie defaultneho administratora/
Čínske príslovie: Víno pi z pohára, vedomosti z veľkej čaše.---Hebbel: Často je treba väčšej odvahy k tomu, svoj názor zmeniť, než za ním pevne stáť.---Konfucius: Mudrc hľadá všetko v sebe, nerozumný človek všetko v druhom.---Edison: Nie je múdry ten, kto veľa vie, ale ten, kto vie, čo je treba.---Plutarchus: Nepotrebujem priateľa, ktorý prikyvuje na všetko, čo poviem. Môj tieň sa kýve častejšie.---Wang Čchung: Ak sa začneš učiť, poznáš, ako málo vieš. Ak začneš učiť iných, poznáš, aké je to ťažké poslanie.--- Michelangelo: Dokonalosť spočíva v maličkostiach, cez to všetko, nie je dokonalosť maličkosťou.---Seneca: Rozumný je ten, kto skôr premýšľa, než uverí.---O.Wilde: Starci všetkému veria. Muži o všetkom pochybujú. Mladí všetko vedia.---Konfucius: Dobrý liek chutí horko, dobrá rada drása dušu.

KEO
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 459
Registrován: 09 črc 2004 15:41
Bydliště: Hlava, vlastna...

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#190 Příspěvek od KEO »

Odpoved z inej temy pre:

caRrrnifex. píše:
@ KEO: SmartScreen ve Windows XP se vztahoval pouze k IE, od Windows 8 je to vestavěná funkce OS - pleteš jabka a hrušky; Tvoje custom řešení opravdu neznám, ale trochu mě děsí - jak zalepíš díry v kódu Windows XP? pokud odkazuješ na téma, tak doporučení typu spouštějte něco pod jiným účtem je neúčinné - většina virů získává práva účtu System; používání RAM disku je k čemu? je to jen další oddíl s rychlým přístupem, jak to ale řeší bezpečnost? mazat tempy můžeš i skripty po spuštění, v čem je bonus navíc? jak mi pomůže, když mám od všeho zálohy, když dojde ke krádeži firemního know-how při využití děr OS, to řešíš jak? tipy v tématu se určitě dají využít a při jejich kombinování se systém stává bezpečnějším, ale pořád je to Tvoje iluze o bezpečnosti starého OS promiň, jestli jsem hloupý, ale bez konkrétních tipů Ti moc nevěřím a radši bych svěřil data záplatovanému OS s pár úpravami v zabezpečení než podnikat (pro mě) krkolomné variace na bezpečnost ve starém OS, ale třeba se pletu
-----------------
Takze znovu napisem - uplne konkretny byt nemozem. Hovorit vsetko o svojom zabezpeceni je ako, ukazat navod, mapu a zaroven poskytnut moznost vytvorenia konkretneho utoku.

Preto budem len navadzat sposoby, ktorymi je to mozne urobit bezpecne. Pojem bezpecne je vsak relativny. Pre mna znamena bezpecne to, ze su minimalizovane dopady a skody.

ad smartscreen - zistovanie nebezpecnych pripon fungovalo ako lokalne, tak aj na subory spustane zo siete. Ze to zabezpecoval samotny IE, ktory bol v tych casoch sucast systemu, je jedno.
jak zalepíš díry v kódu Windows XP?
- su diery o ktorych vieme a tie o ktorych nevieme. Kym bol WinXP podporovany, dali sa vyuzivat aktualizacie, ale platilo detto. Diery o ktorych nevieme byvaju najvacsie hrozby. Preto spoliehanie sa na aktualizacie, riesi problem iba ciastocne.
- diery v systeme su z nejakeho dovodu /pretoze je nieco zle nastavene, alebo chybne/. Ale system ma tolko vela casti, ze na istej urovni staci urobit zmenu a instalacia, alebo prienik nebude zdareny.
- ked uzivatel pouziva USERS ucty s nizkymi opravneniami a zaroven pouziva read only profil, alebo osekane NTFS opravnenia v zlozkach, kde si aplikacie ukladaju svoje data / i docasne/, tak bez pristupoveho prava v NTFS na execute, neni mozne ich bezne spustit /pokial tam neni nejake zranitelnost/. Vacsina malware sa dnes riesi socialnym inzinierstvom.
- detto, ak pouzivame k tomu GroupPolicy na zablokovanie software, tak mozeme mat velmi vela toho, co nepojde ani spustit, ani instalovat.
- podobne metody vytvara aj napr. Kaspersky client na staniciach /alebo iny SW/, kde je zoznam povoleneho SW, ciastocne povoleneho napr. na aktualizacie, alebo vsetko zakazane. Blacklisty, whitelisty.

vo firmach sa da robit naviac este:
- antivirova ochrana u providera
- antivirova ochrana na postovom serveri a internetovej brane

a potom uz klasicky -
- antivirova ochrana koncovej stanice
- antivirova ochrana postoveho klienta, webu, realtime

Pri osekanych opravneniach uzivatelskeho profilu, mozeme mat tiez osekane opravnenia aplikacii.

Tu su moznosti ako:
- virtualizacia aplikacie vo vlastnom systeme
- virtualizacia aplikacie v cudzom systeme a streaming aplikacie na desktop /napr. Terminalove sluzby servera alias Remote Desktop, alebo VNC server, alebo ine stremovanie aplikacii napr. z Linucu/. V takom pripade sa prenasa len obrazovka a neni mozne infikovat realny system.

- alebo sa tieto metody este daju kombinovat so systemom bleskovej obnovy zo zaloh
- pripadne sa pouziva varianta, kde sa nove zmeny neulozia
- alebo sa pouzije read only system /napr. z liveCD, alebo flash/
- alebo sa pouzije jednorazovy system - napr. 1x pouzitie systemu a ten je na CF karte a tie sa striedaju/a prepisuju/
- alebo nie su data vobec v stanici a vsetko je na serveroch
- alebo PC nema ani HDD a vyuziva sa PXE boot po sieti.

V dalsich kombinaciach zase sa extra dolezite data, alebo zariadenia mozu prevadzkovat v oddelenej VLANe, pripadne este moze byt PC na VLANe iba ako predvoj a k nemu je nepristupna dualna siet, z ktorej PC nemoze ist nikde, ani na internet a nemoze ho nic ohrozit, maximalne tak to jedno PC pred nim. Ale ani to nie, ak sa tam pouzivaju podobne metody a kombinuju sa na vsetkych PC.

No a data ? Je uplne jedno, ake mate privilegia, ak uzivatel povoluje a klika na cokolvek a potvrdi to.
Lenze degradovanim uzivatelskych opravneni mozete zabezpecit napr. to, ze tam, kde sa spustaju subory z browserov, posty atd... tam si uzivatel klikne a da instalovat a nic sa nestane. Proste to bude system ignorovat.

Ochrana pred ransomware zase moze byt riesena viacnasobnymi zalhami, kde prve pre rychlost su v pocitaci lokalne /pre ochranu sifrovane/. Kde cast dat je pristupna a archivne kopie su v nepristupnej casti, kde ma pristup len jeden uzivatel a trebars aj syste uctu su su tam odoprete opravnenia... Zaroven si moze zalohovaci server vyberat tieto data a ukladat ich dalej do nepristupnych zloziek. To je ochrana pred znicenim /sifrovanie pred odcudzenim/. Samozrejme vo viac variantach, aby sa zachovavali rozne verzie suborov.

Takze suma sumarum, ak sa nieco nezname dostane do systemu, nespusti sa. Ak sa spusti, neuskodi. Ak chce skodit a pacha skody, tak naprava je trivialna. Ak sa to dostane do systemu, tak systemom filtrovania, zase sa mu nemusi vobec podarit komunikovat von. A ak aj ano, je niekde bud vo virtualnej aplikacii, vo virtualnej ci realnej masine - ale vobec nemusi byt v tej, ktorej chcel byt. Je v nejakom chranenom karantnennom priestore.

Pri velkej ochrane, ak je naviac v dedikovanej sieti - ta moze byt premostena povedzme iba na aktualizacie antiviru a na nic ine.

Pri tychto postupoch je potom uplne jedno, ci mate aj nezname viry. Ak sa pouzivaju postupy, ze kazde spustenie aplikacie, alebo systemu znamena cisto, nemate zavislost na aktualizaciach systemu a neohrozuju vas ani zero day zranitelnosti /ani tie o ktorych neviete/.

Plus cele to moze byt pre uzivatela jednoduche, ze sa nemusi ani extra nic nove ucit. System mu moze dovolit skoro vsetko, alebo takmer nic a tak isto po nom moze pozametat a dat vsetko do povodneho stavu.

Co sa tyka ochrany bank transferov - tak tam je zase vhodne mat jednorazove kody, nezavisle a nepripojovane k PC, z ktoreho sa robi transakcia. Napr. bezpecnostne tokeny su schopne overovat cez PIN a generovat jednorazove kody a mat bezpecne transakcie aj pri infikovanom systeme. Tie lepsie zvazuju napr. cislo uctu prijemcu a sumu, takze neni mozne ani podvrhnut trasakciu a falosne ju overit.
Čínske príslovie: Víno pi z pohára, vedomosti z veľkej čaše.---Hebbel: Často je treba väčšej odvahy k tomu, svoj názor zmeniť, než za ním pevne stáť.---Konfucius: Mudrc hľadá všetko v sebe, nerozumný človek všetko v druhom.---Edison: Nie je múdry ten, kto veľa vie, ale ten, kto vie, čo je treba.---Plutarchus: Nepotrebujem priateľa, ktorý prikyvuje na všetko, čo poviem. Môj tieň sa kýve častejšie.---Wang Čchung: Ak sa začneš učiť, poznáš, ako málo vieš. Ak začneš učiť iných, poznáš, aké je to ťažké poslanie.--- Michelangelo: Dokonalosť spočíva v maličkostiach, cez to všetko, nie je dokonalosť maličkosťou.---Seneca: Rozumný je ten, kto skôr premýšľa, než uverí.---O.Wilde: Starci všetkému veria. Muži o všetkom pochybujú. Mladí všetko vedia.---Konfucius: Dobrý liek chutí horko, dobrá rada drása dušu.

KEO
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 459
Registrován: 09 črc 2004 15:41
Bydliště: Hlava, vlastna...

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#191 Příspěvek od KEO »

Navrh jedneho domaceho pocitaca tzv. blbuvzdorne riesnie.

Zabezpecil sa systemovy disk /je na to X sposobov/. Ale ak ho mate zabezpeceny, stale vas ohrozuje ransomware.

Riesenie:
1/ start domaceho PC bez hesla /alebo skor automaticke prihlasenie/. Uzivatelovi sa spusti prehliadac a ma jeden priecinok, kde moze ukladat dokumenty, ktore v PC ostanu. Do ziadneho ineho adresara sa nedostane a ak miesto dokumentu nahra EXE, nespusti ho. Uzivatel ma este pristupne nazdielane vseobecne obrazky a videa. Avsak iba v rezime read only. Nemoze ich zmazat. Do takeho profilu mozete pustit aj 1 rocne dieta a nechat ho tam klikat o zavod. Nedokaze nic zlikvidovat.
Uzivatelske prava su maximalne osekane, skupina users.

2/ ak sa uzivatel odhlasi a prihlasi sa pod inym profilom /nazvem ho dvojka/ - tak ma pristup k vsetkym datam, ale OKREM ZALOH. Tie nema dostupne, pripadne ich moze mat iba na citanie. System je samozrejme tiez chraneny. Uzivatelske opravnenia, skupina users.

3/ profil "trojka" - kde je system tiez chraneny, ale je tam administratorsky pristup. Konto administrator je vsak premenovane na ine konto /napr. MAJITEL/ a bolo vytvorene konto administrator, ktore ma odobrate pravo administratora a je v skupine, ktora neni nikde pridelena. Pripadne je to konto vypnute, ako falosna navnada. Konto majitel /administratorsky ucet/ moze mat pristup vsade - ale k zaloham odporucam mat tiez pristup read only.

4/ profil zalohy - s pravami users, ktory nema nikde inde pristup, len k zaloham na plne prava. Je vlastnik celeho adresara. Zalohy su automaticky vytvarane task schedulerom za pomoci tohoto konta. Ak je dostupny iny pocitac, tak data mozu byt po sieti vyberane a umiestnene niekde nepristupne, pripadne len na citanie.

Uzivatel pre bezne surfovanie a prezeranie obrazkov, ci videi - konzumaciu obsahu - nemusi zadavat ziadne hesla. Take PC moze poskytnut aj hostom, cudziemu cloveku. Po prepnuti na profil 2 moze robit vacsinu. S profilom 2 moze byt este kombinovany zalohovaci skript, ak je tam vlozena urcita klucenka /neplati pre vsetky/, tak spusti rychlu komprimaciu a ulozenie na flashku s casovym razitkom.

Myslim, ze je to celkom blbuvzdorne riesenie. Ocenim pripomienky, napady, navrhy, kritiku... :)
Čínske príslovie: Víno pi z pohára, vedomosti z veľkej čaše.---Hebbel: Často je treba väčšej odvahy k tomu, svoj názor zmeniť, než za ním pevne stáť.---Konfucius: Mudrc hľadá všetko v sebe, nerozumný človek všetko v druhom.---Edison: Nie je múdry ten, kto veľa vie, ale ten, kto vie, čo je treba.---Plutarchus: Nepotrebujem priateľa, ktorý prikyvuje na všetko, čo poviem. Môj tieň sa kýve častejšie.---Wang Čchung: Ak sa začneš učiť, poznáš, ako málo vieš. Ak začneš učiť iných, poznáš, aké je to ťažké poslanie.--- Michelangelo: Dokonalosť spočíva v maličkostiach, cez to všetko, nie je dokonalosť maličkosťou.---Seneca: Rozumný je ten, kto skôr premýšľa, než uverí.---O.Wilde: Starci všetkému veria. Muži o všetkom pochybujú. Mladí všetko vedia.---Konfucius: Dobrý liek chutí horko, dobrá rada drása dušu.

Uživatelský avatar
Pavuk29
VIP in memoriam
VIP in memoriam
Příspěvky: 6954
Registrován: 31 říj 2003 08:26
Bydliště: Banská Bystrica
Kontaktovat uživatele:

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#192 Příspěvek od Pavuk29 »

Tej jednotke by si ten adresar vytvoril kde?
------------------------------------------------------------------------------------------------------------------------------
:!: PLS NEPISTE MI SZ, NA ICQ A MAILY S OTAZKAMI, PISTE DO FORA :!: :spam:
------------------------------------------------------------------------------------------------------------------------------
V pripadne akutnych problemov s chodom fora, :207: pripadne s inymi uzivatelmi, :whip: kontaktujte ma na ICQ alebo mailom :31: na pavuk29 zavinac forum.viry.cz. Byvam pri pocitaci casto aj ked nie som online na fore.
http://www.icq.com/people/267560078/
:183: hotline: http://forum.viry.cz/viewtopic.php?f=12&t=116821
:!: pravidla fora: http://forum.viry.cz/viewtopic.php?f=12&t=5601

KEO
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 459
Registrován: 09 črc 2004 15:41
Bydliště: Hlava, vlastna...

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#193 Příspěvek od KEO »

Pavuk29 píše:Tej jednotke by si ten adresar vytvoril kde?
Osobne uprednostnujem presmerovanie "Plochy/Desktopu" na druhu particiu a tak istu aj "Moje dokumenty". Takze povedzme disk D.
Da sa to urobit aj na systemovej particii, ale potom moze dochadzat k zbytocnej fragmentacii systemovej jednotky.
Cez pristupove prava, alebo systemove politiky sa obmedzi pristup/spustanie..
Čínske príslovie: Víno pi z pohára, vedomosti z veľkej čaše.---Hebbel: Často je treba väčšej odvahy k tomu, svoj názor zmeniť, než za ním pevne stáť.---Konfucius: Mudrc hľadá všetko v sebe, nerozumný človek všetko v druhom.---Edison: Nie je múdry ten, kto veľa vie, ale ten, kto vie, čo je treba.---Plutarchus: Nepotrebujem priateľa, ktorý prikyvuje na všetko, čo poviem. Môj tieň sa kýve častejšie.---Wang Čchung: Ak sa začneš učiť, poznáš, ako málo vieš. Ak začneš učiť iných, poznáš, aké je to ťažké poslanie.--- Michelangelo: Dokonalosť spočíva v maličkostiach, cez to všetko, nie je dokonalosť maličkosťou.---Seneca: Rozumný je ten, kto skôr premýšľa, než uverí.---O.Wilde: Starci všetkému veria. Muži o všetkom pochybujú. Mladí všetko vedia.---Konfucius: Dobrý liek chutí horko, dobrá rada drása dušu.

Tatry03
Rádce
Rádce
Příspěvky: 1164
Registrován: 22 srp 2009 18:06

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#194 Příspěvek od Tatry03 »

Prispejem do temy navodom na zlepsenie odolnosti PC voci hrozbam typu ransomware.
Ide o navrhy nastaveni programov ESETu, ale myslienky sa daju pouzit vseobecne aj u inych rieseni.

Prezentovane su tri okruhy:
* filtrovanie na urovni emailu
* pravidla v Personalnom firewalle
* pravidla v module HIPS

:arrow: https://servis.eset.cz/Knowledgebase/Ar ... mware#hips
----

Tatry03
Rádce
Rádce
Příspěvky: 1164
Registrován: 22 srp 2009 18:06

Re: Ochrana Windowsu nastaveniami Windowsu a ine moznosti

#195 Příspěvek od Tatry03 »

Inspiracia pre tych, co to s bezpecnostou myslia vazne. :D
Google má v dátových centrách detektory kovu, skompilovaný BIOS, vlastný bezpečnostný čip
:arrow: http://www.dsl.sk/article.php?article=19300
----

Odpovědět