Это средство есть и оно совершенно бесплатное, правда оно не гарантирует 100% защиту, но его использование сильно увеличивает стойкость системы. Средство доступно всем пользователям Windows (за исключением Windows Home) и называется оно «Политика Ограниченного Использования программ» (Software Restriction Policies) и встроено оно в следующие системы Microsoft:

• Windows XP Professional, Windows XP Media Center.
• Windows Vista Business, Windows Vista Enterprise & Ultimate.
• Windows 7 Professional, Windows 7 Enterprise & Ultimate.
• Windows Server 2003 и выше(все редакции).

Примечание: К сожалению, для пользователей использующих линейку операционных систем «Домашняя *» (Windows Home) оно не доступно. С одной стороны правильно, а с другой Микрософт мог бы дать этот крайне полезный инструмент…

Механизм защиты прост и эффективен, суть его в том что пользователю разрешено запускать только явно разрешенные приложения, это избавляет от всяческих неприятностей с установкой adware, spyware и прочей мути в профиль пользователя и еще от ряда неприятностей.

Настройка

Откройте оснастку «Локальная политика безопасности» одним из методов:

1. «Пуск» -> «Выполнить» -> secpol.msc -> «Политики ограниченного использования программ» (Software Restriction Policies)
2. «Пуск» -> «Панель управления» -> «Система и безопасность» -> «Администрирование» -> «Локальная политика безопасности» -> «Политики ограниченного использования программ» (Software Restriction Policies)

Политика включена. Теперь требуется произвести несколько настроек. Выберите пункт «Применение» и задайте правила как указано ниже. Это включит проверку всех программ и обеспечит защиту пользователей и администраторов на данном компьютере. Если же вы не хотите стеснять администратора в действиях то во втором пункте выберите «Всех пользователей, кроме локальных администраторов».

Что бы пользователи могли использовать ярлыки на рабочем столе и в прочих местах необходимо разрешить их использовать.

Открываем пункт «Назначенные типы файлов» и удаляем из него расширение LNK.

Примечание: Удаление расширения LNK крайне спорное решение, но для упрощения реализации поставленной задачи поступить стоит именно так.

Теперь включаем правила «Белого списка». Для этого переходим в подпапку «уровни безопасности» и задаем пункту «Запрещено» значение «По умолчанию».

При необходимости разрешения выполнения программ из папок отличных от C:\Windows и C:\Program Files (они задаются как разрешенные по умолчанию) вам нужно добавить правило пути.

Например добавление пути C:\Distr c «Неограниченным» доступом. В этом случае стоит сразу учитывать что разрешения на запись в эту папку надо ограничивать и выдавать только администраторам.

Примечание: Если Вы устанавливали программное обеспечение на другой диск, например D:\Program Files и пр. что бы ПО могло запускаться необходимо добавить правило «пути».

Дальнейшие действия просты и заключаются они в создании ярлыков на reg-файлы.

- Зачем? Вроде все уже настроено…
- Что бы упростить обновление системы и установку новых программ.

Создайте два файла и сохраните из на диске. Я предпочитаю C:\Program Files\Tools
SRP_Disable.reg – Отключение SRP

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000

SRP_Enable.reg – Включение SRP

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000

Проверка

Для проверки действия политики создайте в корне диска C: две папки C:\TEMP и C:\Distr. Положите в них любой исполняемый файл, я скачал утилиту autoruns, перезагрузите ваш компьютер. Зайдите в систему и попробуйте запустить утилиту из папки C:\TEMP

А теперь из папки C:\Distr

Как видите, нужный результат достигнут.

Остается решить самый важный вопрос. при работе с reg-файлами, которые мы создали выше, есть шанс забыть включить политику обратно (администратор просто забыл или забил нужное подчеркнуть). Для этого необходимо выполнить последнее мероприятие.

Подстраховка

В меню пуск, в строке поиска вводим cmd, на найденном ярлыке говорим «запустить от имени администратора». Дальше вводим

gpedit

В открывшемся редакторе групповой политики выбираем – «Конфигурация компьютера» – «Конфигурация Windows» – «Сценарии».

Добавляем наш reg-файл в автозагрузку так как показано на рисунке.

Теперь, в случае даже если администратор забудет реестром обратно включить политику SRP, то после перезагрузки политика вернется в её исходное состояние – Запрещено.

Ни для кого не секрет что интернет разделился на два лагеря, даже нет, на три:

• Пользователи Windows. Преобладают и никуда не денутся.
• Пользователи Linux. Малочисленны, но временами очень громкие.
• Приверженцы продуктов компании Apple. Сильно смахивают на секту.

Многочисленные мифы и легенды которые годами складывались вокруг Windows, в основном стандартными заблуждениями и стараниями фанатов Линукса, создали некий стереотип.

Примечание: В большинстве случаев, народ почему то ведется на то что втирают им «мега специалисты» по линуксу Я не утверждаю что линукс это плохо и не говорю что по нему нет хороших специалистов. Мне крайне непонятны истерические выходки некоторых его представителей которые с пеной у рта и необоснованными репликами пытаются что то доказать… Хотите пользоваться – вперед никто не против…

Миф первый – Windows является рассадником вирусов.

Не спешите потирать руки и кричать – «Я это знал!». Вынужден вас огорчить потому что это далеко не так потому что пользователи самостоятельно открывают дорогу всякой нечисти когда нарушают все рекомендованные правила безопасности.

1. Создайте вторую учетную запись для выполнения административных задач.
2. Использовать сложные пароли.
3. Не устанавливать программное обеспечение из непроверенных источников. Непроверенные источники драйверы и программное обеспечение НЕ с сайта производителя. Яркий пример это недавний скандал с nmap.
4. Регулярно обновлять не только ОС но и все ПО что установлено. Например старые версии Java или Flash очень часто являются причиной проблем при серфинге.

Как правило, пользователи по умолчанию используют учетную запись обладающую излишними привилегиями (поставил, заработало). В части случаев это происходит от неосведомленности (МС нигде даже не намекает на то что неплохо было бы использовать вторую учетку, естественно обычный пользователь об этом не знает), но в части от того что это удобно и доводом является то что пользователю надо «админить» или «настраивать».

Примечание: подобные удобства весьма сомнительны, а последствия, чаще всего, вполне предсказуемые.

Вредная привычка, работать с лишними привилегиями, имеет очень глубокие корни. В ранних операционных системах Windows 95, Windows 98 и Windows ME, не существовало различия между ролями и каждый пользователь был администратором.

Стоит сказать что в системах Windows NT, Windows 2000 и Windows XP из за неправильно написанного софта (программеры не старались учитывать разделение ролей и написанный софт требовал дополнительных привилегий) было трудно работать в качестве пользователя, не имеющего прав администратора. Поэтому многие работали с учетной записью администратора.

О плюсах работы под администратором сказать ничего не могу, без необходимости это не только потенциально опасно (однако работали, работаем и будем работать) , но и неправильно по своей сути. Минусы таковы:

• Стоимостью ошибки может быть потеря данных и нервов.
• При попадании в систему зловредного кода он сразу получает максимальный контроль. Для домашнего пользователя это ужасно, но для предприятия на котором нерадивый администратор шарахается по интернету под учетной записью включенной в группу Domain Admins последствия могут быть катастрофическими.

Типовые сценарии, которые встречаются чуть ли не ежедневно, просты:

1. После установки системы как правило отключается брандмауэр (если включить то что то может заработать), обязательно отключается UAC (заставляет собака, сотню раз вводить пароль). В ряде случаев видел как отключают или удаляют службу автоматического обновления (правильно, нет обновок – нет проблем). Дальше идет установка софта. В момент запуска кряка антивирус взвизгивает о том что увидел троян или что то еще. Антивирус тут же отключается, запускается кряк. Результат может быть самый непредсказуемый…

2. На днях слышал реплику о том что Windows не надо ломать…

Естественно не нужно, достаточно под учеткой администратора системы, с неустановленными обновлениями и старыми версиями плагинов походить по сайтам и нахватать какой нибудь гадости

Итог.

Миф о том что операционная система Windows небезопасна является сборником вредных привычем.

1. Создайте отдельную учетную запись для повседневных задач.
2. Не вносите изменения в конфигурацию системы если не имеете четкого понимания о том чего хотите достичь.
3. Своевременно устанавливайте обновления не только для операционной системы, но и для всего программного обеспечения установленного в системе.

Миф второй – Windows глючит.

Второй миф, о глючности Windows опять же, основан на распространенной ошибке - поставил систему она должна работать. Это не так. Вы, покупая машину знаете что нужно изучить правила дорожного движения, выбрать автомобиль, пройти ТО.

Для компьютера, процедура технического обслуживания так же обязательна как и для вашего автомобиля. От проведенных работ зависит скорость работы вашего компьютера.

Удалите неиспользуемые программы.

Часто производители устанавливают на компьютере программы которые пользователь не заказывал и скорее всего не будет использовать. Это пробные версии программ. Программы установленные пользователем, но не используемые им тоже следует удалить т.к. это сохранит не только дисковое пространство, но и оперативную память (очень часто По по управлению принтерами пихает в автозагрузку какого нибудь агента и пр.).

Ограничение количества программ, запускаемых при загрузке системы

Некоторые программы, разработаны с учетом автоматического запуска при загрузке системы. Подобная функциональность полезна для программ, используемых регулярно. Программы используемые редко следует отключить из автозапуска.

Производите очистку и дефрагментацию диска.

Необходимо регулярно производить очистку и дефрагментацию диска. Если не вдаваться в детали, то для нормального функционирования системы необходима периодическая уборка мусора. Без этого система отягощенная горами мусора начинает нещадно тормозить.

Примечание: Дефрагментация это приведение диска, вернее оптимизация структуры файлов, в порядок. После дефрагментации ускоряется чтение и запись файлов, и как следствие работа программ

Миф третий – обновления вредны.

Я бы не стал так категорично утверждать что они «вредны», они полезны и выпускаются для устранения найденных уязвимостей и ошибок.

Очень часто я слышу восклицание о том что после установки очередных обновлений все поломалось, но ближайшем рассмотрении проблемы оказывается что очередное обновление безопасности негативно сказалось на работе ПО третьих сторон. Как правило, эта проблема решается установкой обновления для соответствующего продукта, но на практике это очередной пово поорать…

Примечание: Миф вредоносности обновлений произрастает из незапамятных времен борьбы Микрософта с пиратами путем выпуска обновлений которые блокировали самые популярные ключи или приводили в чувство счетчики активации. Поэтому родился миф о том что обновления вредны и после них все ломается.

Вспомните про то что было с Conficker-ом. Информация о проблеме была озвучена аж в октябре 2008 года, были выпущены нужные обновления, но это не помешало их проигнорировать и в дальнейшем вызвало эпидемию отголоски которой слышны и сегодня. По прошествии полугода, если судить по поисковым запросам народ еще искал методики борьбы с этой напастью.  О методике поиска неустановленных хотфиксов я писал в отдельной заметке.

Можно привести еще один пример – недавний патч 2570791. Пик поисковой активности по проблеме отмены перевода времени уже прошел, но я ежедневно вижу запросы типа «патч для отмены перевода времени» или «2570791 для windows XP без сервис пака».

Каков вывод?

Никогда не стоит пренебрегать установкой обновлений. Устанавливайте хотя бы обновления имеющие статус «Critical» вреда это не принесет

Вроде как ничего не забыл.

Задача

Пользователь на компьютере Host-A жалуется что не может попасть в общую папку на компьютере Host-B (например \\Host-B\Public). Необходимо обеспечить доступ пользователя с компьютера Host-A к общей папке \\Host-B\Public

Диагностика

Прежде чем приступать к диагностике необходимо проверить правильность настроек сетевых карт на исходном и целевом хосте.

Проверка разрешения имен

Скажу сразу что в большинстве случаев проверку стоит начинать с проверки работоспособности DNS-клиента, а вернее в состоянии ли он разрешить имя узла.

Шаг 1
Открываем командную строку, вводим последовательность команд

nslookup
ip_addr
host_name

записываем результаты

Шаг 2
Сравниваем полученные результаты с исходными, полученными ранее (ip адрес целевого хоста).

Если имена разрешаются некорректно то на целевом хосте выполняем команду

ipconfig /registerdns

Через некоторое время на исходном выполняем команду очистки кэша DNS-клиента

ipconfig /flushdns

Шаг 3
Повторяем действие из первого шага. Если проблема доступа разрешилась то пытаемся понять почему было некорректно зарегистрировано имя или почему его не было. Эта тема выходит за рамки данной публикации, но если потребуется можно написать отдельную статью.

Если проблема не решена то переходим к следующему этапу диагностики.

Проверка брандмауэра

Логика проверки работоспособности брандмауэра проста – пакет отправляется с машины Host-A и должен достигнуть машины Host-B, дальше он должен быть принят на Host-B.

Для функционирования такой цепочки необходимы условия:

• Пакет должен быть отправлен с Host-A
• Пакет должен быть принят на Host-B

Примечание: В примерах ниже обсуждается только Windows 7. Примеры для Windows XP не приводятся, но представленная логика вполне подходит для этой операционной системы (для Windows XP будут приводится соответствующие сноски).

Шаг 1
Для того что бы убедится что проблема именно в брандмауэре необходимо его отключить на исходном и целевом хосте. Для этого открываем оснастку Wf.msc и отключаем брандмауэр для всех профилей.

Примечание: Для Windows XP необходимо выключить службу mpssvc командой (net stop mpssvc).

Если проблема решена то причина с вероятностью 99% кроется в правилах брандмауэра. Переходим к шагу №2.

Шаг 2
Поочередно включаем брандмауэры на исходном и целевом хосте. Включили на первом, проверили соединение, включили на втором. Если соединение пропадает то переходим к Шагу №3.

Шаг 3
Виновник проблемы найден, приступаем к изучению настроенных правил бранжмауэра.

• Если есть документация по правилам то проверьте ее на соответствие действительности.
• Если документации нет то постарайтесь понять и задокументировать все настройки.
• Если специфичных настроек не обнаружено то не мучайтесь и сделайте сброс всех правил на изначальные.

Итог

Приведенный выше алгоритм не универсален, но вполне работоспособен. Стоит учитывать и возможность существования правил IPSec, неверно указанных маршрутов, но об этом уже в другой раз.

В этот раз потребовалось развернуть аж два (делаю скорбное выражение лица ) тестовых сервера в такой конфигурации:

• RAM – 8 Gb
• HDD1 – 32 Gb
• HDD2 – 130 Gb

Зацените иронию на системный диск заказывается слишком мало ресурсов.

Предлагаю немного посчитать и воспользоваться Гуглом для поиска нужных данных.

Для начала посмотрим что требуется для установки Windows 2008 и для Windows 2008 R2 .

Диски

Память Windows 2008

Память Windows 2008 R2

Требования для обоих ОСей одинаковы, но в Windows 2008 R2 добавлена еще Foundation-редакция.

Теперь давайте посчитаем что должно получится в итоге.

Системы с 32-бит архитектурой рассматривать не будем т.к. их почти не осталось (надежды… надежды…), но все равно скажу что для нормальной установки необходимо как минимум 20Гб.

Отправной точкой расчета берем рекомендованные 40 Гб.

• К ним добавляем место под файл подкачки. Как правило это 1.5 размера памяти.
• Добавляем место под приложения.
• Обязательно учитываем размер возможного Dump-файла. Как правило это 1х от физической памяти.
• Учитываем размеры всех журналов.
• Прибавляем место 15% для работы дефрагментатора.

На практике, при исходных данных указанных в самом начале, это выглядит следующим образом.

40 Гб (базовая часть) + 12 Гб (файл подкачки) + 8 Гб (место под dump-файл) + место под приложение (читаем требование к приложению) + место под журнальные файлы (система и приложение) + свободное место 15% минимум.

Итого, по самым скромным подсчетам нужно как минимум хотя бы 70Гб, но никак не 32Гб как заказали для тестовой системы.

Кто то скажет – можно же расширить, благо это виртуалка или можно нарезать сразу по 100 гигов благо места достаточно.

Да, можно.

Небольшие диски допустимы в случаях тестовых окружений (в этом случае диски могут быть динамическими) и когда требования по хранилищу ограничены. Конечно приложение можно, в части случаев даже нужно, на диск D:\, но случаи бывают разные…

Каждый хотя бы раз с ней сталкивался и по разному решал эту проблему, но малый процент задумывался о предупреждении её.

Если в вашем подчинении находится десяток-другой компьютеров то пройтись по ним и посмотреть и посмотреть на состояние дисков не составит труда. а если компьютеров больше ста, например 500 или 600 или 1000 и больше?

Предлагаю рассмотреть скрипт который собирает данные о свободном месте на дисках.

Получить данные о свободном месте на нескольких компьютерах довольно легко, в WMI есть класс Win32_LogicalDisk и одним из его атрибутов является freespace.

Powershell – наше все…

Им то мы и воспользуемся. Нужно немного времени и терпения.

Итак.
1. готовим файл hostlist.txt вот такого содержания

host1
host2
host3

2. Создаем powershell-скрипт

На выходе получаем табличку в которой будет указано имя хоста, буква диска, размер и свободное место.

Если результат необходимо отправить в файл слегка меняем скрипт.

При необходимости готовый отчет можно отправить администратору на email.

Это можно легко решить при помощи старой доброй Uptime.exe
Утилита отлично работает на платформах NT, Win2000 и Win2003 всех редакций, на х86 и х64. С Вистой, Windows 7 и Win2008 Server возникают ошибки при вызове утилиты с дополнительными параметрами.

Просто Uptime.exe HostName выдаст время работы во вполне человеческом виде

C:\Users\user>uptime HostName
\\HostName has been up for: 32 day(s), 8 hour(s), 34 minute(s), 5 second(s)

Далее используем ключ /s который покажет детальный отчет о выключениях и перезагрузках, и ключ /а который выведет количество падений приложений, с указанием этих приложений. А так же будет итоговая статистика доступности и количество выпадений в BSD.

C:\Users\user>uptime  /s /a HostName

Uptime Report for: \\HostName

Current OS: Microsoft Windows Server 2003 R2, Service Pack 2, Multiprocessor Free.
Time Zone: Russian Daylight Time

System Events as of 06.10.2009 18:14:20:

Date:      Time:        Event:               Comment:
---------- -----------  -------------------  -----------------------------------
21.09.2007    13:24:08  Shutdown
21.09.2007    13:26:31  Boot                 Prior downtime:0d 0h:2m:23s
07.11.2007    10:47:20  Shutdown             Prior uptime:1d 22h:5m:25s
13.02.2008    19:16:12  Boot                 Prior downtime:0d 0h:6m:2s
13.02.2008    19:16:13  Bluescreen           STOP 0x0000000a
20.03.2008    11:23:46  Shutdown             Prior uptime:35d 16h:7m:34s
20.03.2008    11:28:30  Boot                 Prior downtime:0d 0h:4m:44s
28.04.2008    11:54:56  Abnormal Shutdown    Prior uptime:38d 23h:26m:26s
28.04.2008    17:44:33  Boot                 Prior downtime:0d 5h:49m:37s
28.04.2008    21:02:39  Shutdown             Prior uptime:0d 3h:18m:6s
28.04.2008    21:05:23  Boot                 Prior downtime:0d 0h:2m:44s
29.04.2008    19:18:19  Abnormal Shutdown    Prior uptime:0d 22h:12m:56s
29.04.2008    20:06:32  Boot                 Prior downtime:0d 0h:48m:13s
29.05.2008    11:23:21  Shutdown             Prior uptime:29d 15h:16m:49s
29.07.2008    17:17:21  Boot                 Prior downtime:0d 0h:42m:44s
29.07.2008    17:17:22  Bluescreen           STOP 0x00000077
29.07.2008    17:23:07  Shutdown             Prior uptime:0d 0h:5m:46s
29.07.2008    17:25:58  Boot                 Prior downtime:0d 0h:2m:51s
10.08.2008    13:17:52  Application Failure  D:\SMS\bin\i386\srvboot.exe
29.11.2008    18:30:23  Abnormal Shutdown    Prior uptime:123d 2h:4m:25s
01.12.2008    14:52:37  Boot                 Prior downtime:1d 20h:22m:14s
17.12.2008    15:09:18  Shutdown             Prior uptime:16d 0h:16m:41s
17.12.2008    15:12:24  Boot                 Prior downtime:0d 0h:3m:6s
20.07.2009    11:08:09  Shutdown             Prior uptime:24d 1h:57m:45s
20.07.2009    11:11:32  Boot                 Prior downtime:0d 0h:3m:23s
30.07.2009    09:02:06  Application Failure  C:\WINDOWS\system32\CCM\CcmExec.exe
04.08.2009    14:32:27  Shutdown             Prior uptime:15d 3h:20m:55s
04.08.2009    14:36:00  Boot                 Prior downtime:0d 0h:3m:33s

Current System Uptime: 63 day(s), 3 hour(s), 47 minute(s), 16 second(s)

--------------------------------------------------------------------------------
Since 21.09.2007:
           System Availability: 93.0219%
                  Total Uptime: 694d 3h:8m:13s
                Total Downtime: 52d 1h:41m:59s
                 Total Reboots: 21
     Mean Time Between Reboots: 26.65 days
             Total Bluescreens: 2
    Total Application Failures: 2

Легко видно количество неожиданных выключений ОС и когда они были. Отчет выведет и остановки операционной системы типа STOP (жуткий BSOD) если таковые были.

Далее не сложно написать задание для обхода всех серверов и сохранения отчетов.
Как итог получим еще один простой инструмент для получения общих данных и интересной статистики.