SPECIAL FAQ
НА ВОПРОСЫ ОТВЕЧАЛ ТРУХАЧЕВ ЯРОСЛАВ (TRUKHACHOV@VITRINA.SU )
Q: Очень часто перезагружается компьютер, перед этим выводя предупреждение. Знакомые сказали, что это вирус. Как мне вылечить компьютер, если между перезагрузками я не успеваю даже установить антивирусную программу?
A: Инициированную перезагрузку можно отменить командой «shutdown -a». Для удобства можно создать bat-файл и запускать его при появлении предупреждений.
А для удаления червя воспользуйся любым антивирусом или специальной ежемесячно обновляющейся утилитой от
Microsoft, которую можно скачать по адресу: http://support.microsoft.com/?kbid=890830. При эпидемиях многие антивирусные компании выпускают бесплатные узкоспециализированные программы для обезвреживания червей.
Чтобы избегать подобных ситуаций, вовремя устанавливай обновления операционной системы и пользуйся файрволлом.
Q: Как узнать, требуются ли обновления для моей операционной системы? Если требуются, то где конкретно скачать нужные заплатки?
A: Для определения необходимых для установки обновлений рекомендую использовать бесплатную программу «Microsoft Baseline Security Analyzer 2.0». Она вместе с описанием ждет тебя по адресу:
www.microsoft.com/technet/security/tools/mbsahome.mspx.
Программа определяет наличие актуальных обновлений не только для операционной системы, но и для целого ряда продуктов от
Microsoft: Internet Information Server (IIS) SQL Server, Office и других. Также проверяются другие параметры безопасности и выдаются рекомендации по их устранению. Проверять можно не только локальный компьютер, но и целую подсеть.
Q: Обслуживаю сеть на основе Active Directory. Контроллер домена – Windows 2003. На клиентских компьютерах используется операционная система Windows XP Profesional со вторым сервис-паком. Могу ли я настраивать на них встроенный firewall с помощью групповых политик?
A: Да, можешь. Для этого нужно на контроллер домена установить пакет обновления Service Pack 1. Настройки, регулирующие работу брандмауэра
Windows, находятся в оснастке MMC «Групповая политика» (gpedit.msc) в разделе «Политика локального компьютера» (Local Computer Policy). Установи все значения в ветке «Конфигурация компьютера\Административные шаблоны\Сеть\Сетевые подключения\Брандмауэр Windows» (Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall) в папках «Профиль домена» (Domain Profile) и «Стандартный профиль» (Standard
Profile).
Q: Как узнать, работает или нет установленный антивирус?
A: Для проверки работоспособности антивирусной программы используй «симулятор вируса» EICAR-Test-File. Это стандартная тестовая программа, при запуске которой выводится сообщение: «EICAR-STANDARD-ANTIVIRUS-TEST-FILE!». Многие антивирусные программы будут детектировать его как «EICAR test file».
Получить симулятор можно, создав в блокноте файл, содержащий строку: «X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*». Или скачать с сервера Лаборатории Касперского по адресу:
ftp://ftp.kaspersky.com/utils/eicar/eicar.com.
Q: При запуске некоторых программ вдруг стало появляться окно «Ошибка: память не может быть прочтена». С чем это связано, и как с этим бороться?
A: Это может быть связано с множеством факторов. Если сообщение стало появляться недавно, при этом не производилась модернизация аппаратного обеспечения, не обновлялись драйвера или сама программа, то, скорее всего, в твоей системе орудует вирус, а данное сообщение является результатом работы встроенного механизма защиты от вирусов и эксплойтов — DEP. Следует проверить жесткий диск, загрузив другую операционную систему, например, подключив его к другому компьютеру. Попытка удаления вирусов в той же операционной системе, скорее всего, не принесет желаемого результата, так как большинство вирусов имеют механизм противодействия своему удалению.
Если вирусы не были обнаружены, то возможной причиной может быть достаточно сырая реализация Data Execution Prevention (DEP). Отключить DEP можно как для конкретной программы, так и для операционной системы в целом. Более подробную информацию читай по адресу:
http://support.microsoft.com/?kbid=875352.
Если твой компьютер работает на 64-битном процессоре AMD Athlon, оснащенном аппаратной поддержкой DEP, то попробуй установить драйвер процессора, скачав его с официального сайта:
www.amd.com.
Если проблема так и не исчезла, советую протестировать компьютер на наличие аппаратных сбоев или обратиться к разработчику программы.
Q: Не могу избавиться от вируса! Антивирус находит его, предлагает удалить при перезагрузке, но после перезагрузки вирус продолжает работать как ни в чем не бывало! При попытке удаления вручную выдается ошибка: «Диск переполнен или защищен от записи, либо файл занят другим приложением».
A: Рекомендую производить антивирусное сканирование из других операционных систем. В этом случае у вируса не будет шансов противодействовать удалению его запускаемых модулей, ссылок в реестре и так далее. Обычно для этого жесткий диск подключается к другому, заведомо безопасному компьютеру. Если такой возможности не имеется, то можешь использовать операционную систему, загружаемую с компакт-диска и поддерживающую файловую систему NTFS. Например, Live CD Windows XP PE «Infr@ Cd 6.3». Описание и ссылки на ISO-образ находятся по адресу:
www.philka.ru/forum/index.php?showtopic=6879. Следует заранее записать имя файла вируса и путь к файлу, полученные при антивирусном сканировании, а затем удалить его, загрузившись в вышеуказанной операционной системе.
Q: Перестал обновляться антивирус. Пытается соединиться с сервером обновлений, но потом выдает ошибку. С интернетом все в порядке.
A: Проверь файл HOSTS, расположенный по адресу: \Windows\System32\drivers\etc\hosts. Назначение этого файла — сопоставить имя домена с IP-адресом без обращений к серверу DNS, чем пользуются некоторые вирусы, блокируя получение настоящего IP-адреса антивирусных серверов.
Q: Видел, что некоторые пользователи отключают привычное окно «Windows XP: Приветствие» и каждый раз нажимают CTRL+ALT+DEL, чтобы вручную ввести логин и пароль. Зачем это делается? Это же так неудобно!
A: Нажатие CTRL+ALT+DEL позволяет избежать перехвата паролей клавиатурными шпионами на этапе входа в систему. Боле подробно можешь прочитать по адресу:
www.academy.fsb.ru/icccs/1251/Proskurin2.htm.
Скрытие имени пользователя позволяет избежать подбора пароля, так как при этом атакующему для доступа к системе необходимо узнать не только пароль, но и логин. Отключить отображение последнего пользователя можно как с помощью групповой политики (Параметры безопасности-> Локальные политики-> Параметры безопасности->Не отображать последнего имени пользователя в диалоге входа), так и через реестр:
- Ключ: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
- Параметр: DontDisplayLastUserName
- Тип: REG_SZ
- Значение: (0 = отключено, 1 = включено)
Q: К некоторым папкам на сервере требуется доступ по сети. Просмотр содержимого сотрудниками нежелателен. Ограничить разрешения правами доступа не могу, так как обращаюсь к этим папкам с разных компьютеров из-под разных учетных записей. Как поступить?
A: Переименуй общие папки, добавив в конец имени символ «$». Такие папки не видны при просмотре общих ресурсов. Для доступа к содержимому нужно вбивать полный путь к ним в адресной строке.
Q: Сотрудник постоянно запускает какую-то игрушку. Поиск на его компьютере и на доступных ему сетевых ресурсах ничего не дает. Везде только офисные документы. Запускаемых файлов нет.
A: Консольная команда «start» позволяет запускать программы с любым расширением, либо вообще без расширения. Пример: «start С:-> Documents and Settings-> User>file.doc», где file.doc – переименованная игра game.exe
В данной ситуации с помощью групповой политики можно назначить запуск только определенных программ: «gpedit.msc-> Конфигурация пользователя-> Административные шаблоны-> Система-> Выполнять только разрешенные приложения
Windows».
Q: Программа выполняется только с правами администратора. Установка разрешений на используемые каталоги и ветви реестра ничего не дает!
A: В Windows отдельную программу можно запускать от имени другого пользователя. Для этого следует, кликнув правой клавишей мыши на значке программы, выбрать «Запуск от имени», ввести имя пользователя с правами администратора и пароль.
Если сообщать пароль администратора человеку, использующему программу, нежелательно, то следует воспользоваться бесплатной программой
AdmiLink. Сайт программы: http://admilink.narod.ru.
Q: Для работы сотрудника требуются права администратора. Опасаюсь, что этот человек при увольнении изменит пароль администратора, не сообщив мне. Придется полностью переустанавливать ОС, а это крайне нежелательно.
A: Заранее позаботься о создании «дискеты сброса пароля» для данного компьютера. С помощью этой дискеты можно сменить пароль администратора, даже не имея возможности входа в систему. Более подробная информация находится в справке
Windows.
Содержание
|
