Перейти к содержанию
Black_Z

Защищенная версия Windows, созданная для ВВС США – миф или реальность?

Recommended Posts

Black_Z

Сейчас очень популярная тенденция создания национальной безопасной операционной системы похоже, СМИ в США тоже проявляют интерес по этому вопросу в свете недавно появившихся материалов о абсолютно безопасной Windows XP выпущенной для ВВС США.

Материал уже был озвучен на форуме см. тут Сообщение #152.

Очевидно, это вызвало большой интерес в общественности, ибо появилось обсуждение см. тут

где утверждается, что (извините за некачественнный перевод):

"По утверждению Microsoft информация появившаяся в СМИ о специальной версии Windows для ВВС США несколько преувеличена ибо специальной версии нет. Они используют те же системы что и остальные. ВВС просили компанию Microsoft создать более жесткие правила групповых политик и образы, которые ВВС могли бы использовать в качестве стандартного шаблона. Microsoft согласился оказать им помощь, как и любой другой компании, которая просит оказать помощь в урегулировании собственной политики безопасности в Windows.

Сотрудничество с ВВС вылилось в программу - Federal Desktop Core Configuration (FDCC) рекомендации, поддержанные NIST. Есть различия, но они несущественные. NIST первоначально использовал еще более жесткие, безопасные параметры настройки (многие из которых были с тех пор смягчены ввиду возникших проблем, и теперь он еще больше похож на то, что было предложено ВВС).

По заверению любой пользователь может скачать FDCC настройки, документы и даже полные образы. Данный проект FDCC развивался на протяжении многих лет. В него включены «offers all sorts of public knowledge» и полезные инструменты. Здесь, представлено несколько полезных инструментов, которые каждый может использовать для применения FDCC настройки локальной групповой политики. Так же включен исходный код, для желающих настроить их под себя...

Параметры настройки FDCC, возможно, не наилучшим образом подойдут для каждой компании, но это - хорошая модель для сравнения."

Хотелось бы знать мнение специалистов о данном материале и возможности применения предоставленных средств с целью повышения безопасности... :rolleyes:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Хотелось бы знать мнение специалистов о данном материале и возможности применения предоставленных средств с целью повышения безопасности... :rolleyes:

Полезно для продвинутых пользователей, хотя многое из этих политик относится к компьютерам, которые работают в домене. Я когда-то создал тему по этому поводу на virusinfo. Если у вас есть XP Pro, то тогда вы можете тестировать уровень безопасности по данным нормам (на Home не имеет смысла, так как там нет редактора политик). Скачаем сначала Belarc Advisor отсюда. Мы получим бал в шкале от одного до десяти. Короче, всё описывается в следующих статьях I-VII:

I, II, III, IV, V, VI, VII.

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z
Полезно для продвинутых пользователей, хотя многое из этих политик относится к компьютерам, которые работают в домене. Я когда-то создал тему по этому поводу. Если у вас есть XP Pro, то тогда вы можете тестировать уровень безопасности по данным нормам. Скачаем сначала Belarc Advisor отсюда. Мы получим бал в шкале от одного до десяти. Короче, всё описывается в следующих статьях I-VII:

I, II, III, IV, V, VI, VII.

Paul

Спасибо, буду изучать... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Эх, если б все тоже самое для Виндоус 7 намудрить можно было бы... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z
Эх, если б все тоже самое для Виндоус 7 намудрить можно было бы...

Если пользоваться рекомендациями, изложенными на virusinfo (опять же благодаря Paul) с использованием Belarc Advisor то думаю труда особого разобраться не составит, разумеется, после выхода 7-ки, т.к. на данный момент Belarc Advisor поддерживает только, цитата:

Operating Systems: Runs on Windows Vista, 2008, 2003, XP, 2000, NT 4, Me, 98, and 95. Both 32-bit and 64-bit Windows is supported.

Что касается Federal Desktop Core Configuration (FDCC) то там предоставлены настройки так же пока для Windows XP и Vista, думаю, что не за горами и для Windows 7...

http://nvd.nist.gov/fdcc/download_fdcc.cfm

А в остальном, как говорится, все в наших руках... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

У моей жены на нетбуке ХРюшка Хоум стоит (лично меня устраивают и Виста и 7-ка). Как-то можно к версии Хоум применить эти чудо-политики и как это сделать? Или, как написал Паул, это имеет смысл только для версии Про?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z
Как-то можно к версии Хоум применить эти чудо-политики и как это сделать? Или, как написал Паул, это имеет смысл только для версии Про?

Лично с Home не сталкивался...

Для настроек, описание которых на virusinfo разместил Paul необходимо наличие редактора групповых политик (gpedit.msc), а, как известно в версии XP Home его нет, собственно это и доставляет некоторое неудобство.

А в остальном не все так и сложно: загрузить и установить последние обновления в систему, подкорректировать ветки реестра, отключить не используемые службы, думаю, это позволит улучшить настройки безопасности…

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Или, как написал Паул, это имеет смысл только для версии Про?

Да, Хомяку пофиг проблемы групповых политик и работа в домене. Он любит уединение. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Эх, если б все тоже самое для Виндоус 7 намудрить можно было бы... :rolleyes:

А зачем?

Если вы опытный пользователь, то так настраивать свою систему - это только излишне тратить ваше драгоценное рабочее время.

Ну если конечно, вы не фанатик этого дела, то думаю - излишне.

Да, Хомяку пофиг проблемы групповых политик и работа в домене. Он любит уединение.

В хомяке все тоже самое делается через реестр -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
В хомяке все тоже самое делается через реестр -))

Реестр в Home не всё поддерживает что есть в Pro, кстати. Ключи создать можно, конечно, но они применяться просто не будут. У меня где-то список валяется того, что *можно* делать на Home. При необходимости найду. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Ясно, значит будем отключать по интернет-книжке г-на Головко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
    • gromm
    • gromm
×