15 лет назад 1 января 2004 в 22:50 119

Никогда еще средства массовой информации не уделяли столько внимания вопросам безопасности современных операционных систем. В программных продуктах обнаруживаются все новые и новые уязвимые места, а разработчики осознают, что в борьбе за безопасность пользователь, как ни странно, не всегда является их союзником.

Универсальных рекомендаций по настройке безопасности не существует. Эта проблема слишком тесно связана с задачами, выполняемыми на том или ином компьютере. Для домашних и офисных систем можно выделить пять основных конфигураций, настройки безопасности которых коренным образом различаются (в порядке ужесточения требований):

  • одиночный пользователь;
  • многопользовательская конфигурация;
  • наличие подключения к интернету;
  • наличие подключения к локальной сети;
  • наличие строго конфиденциальной информации.

При этом если ваша конфигурация подпадает сразу под две категории (например, вы – одиночный пользователь, имеющий подключение к интернету), то необходимо следовать наиболее жесткому сценарию, равному сумме настроек обеих категорий.

ОДИНОЧНЫЙ ПОЛЬЗОВАТЕЛЬ
Даже в наше время повсеместного распространения интернет-технологий и передачи данных посредством мобильных телефонов (GPRS) пользователь ПК, не подключенный к Сети, – далеко не редкость. При таком раскладе задача обеспечения безопасности, как ни странно, сводится только к обеспечению защиты операционной системы от этого самого одиночного пользователя. Если нет интернета или локальной сети, никакой хакер в вашу систему не проникнет.

Если нет других пользователей, никто не подсмотрит ваши приватные файлы. Если нет документов “двойной” бухгалтерской отчетности, “маски-шоу” вам не грозит. От чего же в таком случае надо защищаться? Только от собственных необдуманных действий. Уничтожить плоды своего многомесячного труда проще простого – достаточно вставить в дисковод чужую дискету с документом, зараженным макровирусом, или запустить купленный в ближайшем ларьке пиратский компакт-диск с каким-нибудь очередным “Чихом”, перезаписывающим BIOS мусорными байтами.

Таким образом, главная задача одиночного пользователя – не допустить проникновения в систему вирусов. Решение ее, казалось бы, элементарное – установил антивирус и спи спокойно… Но мы ведь условились, что интернета у нас пока нет, а как без него обновлять антивирусные базы?

Конечно, если есть хороший приятель, у которого можно хотя бы раз в неделю разжиться обновлениями антивируса, то проблема практически снимается, например, для антивируса Касперского достаточно скопировать папку C:\Program Files\Common Files\KAV Shared Files\Bases, а для DrWeb можно просто взять всю директорию C:\Program Files\DrWeb (разумеется, свои лицензионные файлы необходимо оставить).

Если же ситуация такова, что до Сети добраться невозможно и даже интернет-кафе на горизонте не наблюдается, то выход один. Вернее – два, которые в обязательном порядке должны дополнять друг друга. А именно – включение эвристического анализа в настройках антивируса (очень требовательная к ресурсам штука…) и полный бэкап (резервное копирование) системы.

В этом случае появляется шанс, что антивирус благодаря своим интеллектуальным возможностям вовремя выявит отсутствующую в его базе инфекцию. Даже если такого не произойдет, останется хотя бы возможность восстановить важные документы, а то и всю ОС из своевременно сделанной резервной копии.

Другая, не менее странная задача, которая обычно встает перед одиночным пользователем, – защита самого пользователя от излишней опеки со стороны операционной системы. Дело в том, что изначальные настройки Windows XP нацелены на некий усредненный вариант конфигурации ОС. А потому в них изначально задействованы механизмы безопасности, подчас совершенно излишние при отсутствии многопользовательского режима или интернет-соединения.

Все это только доставляет пользователю немало лишних неудобств, а потому снижает эффективность его работы за компьютером. Например, нужна ли вам аутентификация пользователя, если, кроме вас, к ПК больше никто не подходит? Чтобы избавиться от процедуры ввода пароля при загрузке Windows можно, например, сделать автоматический ввод пароля с помощью утилиты TweakUI – вкладка Logon.

Использование пароля можно просто отключить. В Windows XP для этого следует в меню “Панель Управления” – > “Учетные записи пользователей” – > “Изменение учетной записи” – > [имя пользователя] выбрать пункт “Удаление пароля” (Control Panel – > User Accounts – > Change an Account – > Remove my password). А чтобы избавиться еще и от необходимости нажимать клавиши CTRL-ALT-DEL при загрузке ПК откройте диалог “Панель управления” – > “Администрирование” – > “Локальная политика безопасности” – > “Параметры безопасности” (Control Panel – > Administrative Tools – > Local Security Policy – > Local Policies – > Security Options) и установите параметр “Interactive logon: Do not require CTRL+ALT+DEL” в положение Enabled.

От использования файловой системы NTFS также вполне можно отказаться, поскольку ее основное предназначение – разграничение пользовательских полномочий – останется невостребованным. Зато при наличии более легкой FAT32 становится гораздо удобнее прямо из-под MS-DOS делать резервные копии реестра и восстанавливать “упавшую” систему.

МНОГОПОЛЬЗОВАТЕЛЬСКАЯ КОНФИГУРАЦИЯ
Операционные системы семейства Windows NT – это в первую очередь многопользовательские системы, задача которых – грамотное разделение прав доступа. В таких системах необходимо полностью исключить ситуацию, когда один пользователь имеет шанс каким-то образом навредить другому: прочитать чужой документ или изменить настройки чужой конфигурации.

Поэтому применение нескольких учетных записей с разными полномочиями и файловой системы NTFS обсуждению не подлежит. Для каждого пользователя необходимо завести специальную “рабочую” учетную запись с минимальными привилегиями, (например, входящую в группу “Пользователи”) – именно под этими записями все и будут осуществлять повседневную работу. В качестве же администратора (им назначается наиболее ответственный и знающий сотрудник) можно регистрироваться в системе только по особым случаям, например при установке нового ПО.

Также необходимо, используя возможности NTFS, жестко разграничить документы, к которым имеют доступ пользователи. Тут есть два варианта: либо выделить каждому пользователю отдельную папку (подойдет даже стандартная “Мои документы”), полностью закрыв к ней доступ для других пользователей, либо сделать на диске несколько разделов (по числу пользователей) и также назначить соответствующие права.

При этом получится даже некоторая разновидность квотирования дискового пространства – каждый будет ограничен объемом выделенного лично ему раздела, с которым сможет делать что угодно, не рискуя нанести ущерб другим пользователям. А чтобы чужие разделы не мозолили глаза, их можно еще и скрыть с помощью известной утилиты TweakUI. Установите права доступа к папкам таким образом, чтобы обычные пользователи не могли изменять содержимое директорий WinNT и Program Files (исключением могут быть отдельные файлы с настройками пользовательских программ) – к системным файлам полный доступ должен иметь только администратор.

В Windows XP Home, к сожалению, отсутствует возможность удобного назначения прав доступа к папкам и файлам – там для этого придется прибегать к консольным программам типа cacls.exe. Даже в Windows XP Pro для нормальной работы с правами доступа придется совершить дополнительные телодвижения – вернуть к “нормальному” виду закладку “Доступ” (Sharing) в свойствах папок и вкладку “Безопасность” (Security) на томах NTFS. Для этого надо в свойствах папок (Folder Options) на странице “Вид” (View) снять флажок “Использовать простой общий доступ к файлам (рекомендуется)” (Use simple file sharing (Recommended)).

Кроме того, существует немало утилит для еще большего ужесточения политики разграничения полномочий. Так, программа DeviceLock (www.ntutility.com) позволяет закрывать отдельным индивидуумам доступ к определенным устройствам вплоть до WiFi и Bluetooth.

Вообще же, если в системе зарегистрирован пользователь, откровенно не разбирающийся в Windows или, наоборот, желающий самолично поковыряться в ее внутренностях, то необходимо уделить должное внимание и запрету изменения настроек Windows. И тут как нельзя лучше подходят всевозможные программы-твикеры, которые умеют “прятать” от неблагонадежного пользователя почти все апплеты Панели управления, а также вкладки и команды различных меню, например WinBoost (www.magellass.com) или бесплатный X-Tech Setup (www.xteq.com).

Имеются и программы, созданные специально для этого, например XP Protector (dolsoft.webpark.cz/xp_protector.htm) или Security Administrator (www.softheap.com/secagent.html). И, разумеется, не стоит забывать о стандартных, чуть менее удобных, чем специализированные “твикеры”, оснастках – Редакторе групповых политик (gpedit.msc) и Редакторе политик безопасности (secpol.msc): при настройке системы надо пройти буквально по каждому пункту этих программ.

При наличии нескольких пользовательских профилей нелишним будет организовать и автоматическую зачистку временных файлов, поскольку Windows и программы для нее оставляют на диске слишком много следов, которые могут содержать приватную информацию. Для этого неплохо подходит программа Evidence Eliminator (www.evidence-eliminator.com). Чистить следы на диске и в реестре умеет и почти стандартная утилита TweakUI, но ее возможности гораздо скромнее.

ИНТЕРНЕТ
При подключении к интернету кардинально меняется вся политика безопасности, так как основная угроза теперь исходит из Сети. Даже если информация на вашем ПК не представляет серьезного интереса для посторонних, угроза потери важных для вас файлов или вывода Windows из строя все равно существует. Если и не найдется хакера, позарившегося на ваши файлы, то уж безмозглых интернет-червей, эксплуатирующих многочисленные уязвимые места ОС, – пруд пруди. Поэтому главными условиями защиты любого веб-серфера являются своевременная установка сервис-паков и “горячих” обновлений Windows и прикладных программ, а также качественный и хорошо настроенный файерволл.

Файерволл надо включить еще до первого выхода в Сеть, так как в противном случае (если не установлен соответствующий патч) высок риск оказаться пораженным тем самым MSBlast, перегружающим компьютер спустя несколько минут после подключения к интернету. Подобные вирусы просто не дадут вам скачать файерволл и заплатки к ОС. Кстати, патч от уязвимости DCOM не всегда устанавливается удачно, а потому рекомендуется проверить систему специальной утилитой DCOMbobulator (grc.com/default.htm) – она точно покажет, уязвим ваш ПК или нет, и поможет закрыть эту брешь в защите.

К счастью, в Windows XP уже встроен простейший файерволл, которого на начальном этапе его будет достаточно. Главное – не забыть его активировать. В общем же случае брандмауэр должен блокировать весь входящий трафик через порты 69, 4444, 135, 137, 138 и 139 – именно благодаря им злоумышленникам и интернет-червям удается получить доступ к вашим файлам. Крайне желательно, чтобы файерволл еще умел блокировать и потенциально опасное активное содержимое веб-страниц: JAVA-апплеты и элементы ActiveX. Качество же настройки персонального файерволла можно проверить с помощью специальных сайтов:
grc.comsecurity2.norton.com/us/intro.asp?venid=sym&langid=us
www.dslreports.com/scanscan.sygatetech.com

Эти сайты просканируют ваши порты в поисках возможных брешей в системе безопасности. Но процесс этот довольно длительный, особенно при не очень хорошей связи.

Еще больше в борьбе с хакерами поможет использование прокси-сервера (хотя бы даже прокси интернет-провайдера) или программ-анонимайзеров вроде AntiFirewall (www.antifirewall.com), которая надежно скроет ваш истинный IP-адрес, даже если вы будете активно использовать такие подверженные атакам приложения как ICQ и IRC. Вообще тема защиты тайны частной жизни – privacy – заслуживает особого внимания, а потому интересующимся можно порекомендовать специальную статью: stn-vidnoye.narod.ru/html/articles/privacy.htm. Из нее вы узнаете, почему и как нужно скрывать свой IP-адрес и чем вообще может грозить рядовому пользователю подключение к интернету.

Не менее важно для защиты от вторжения из Сети отключить неиспользуемые службы, особенно Сервер (Server), Телнет (Telnet), Службу терминалов (Terminal Services), Службу удаленного управления реестром (Remote Registry Service), Узел универсальных PnP-устройств (Universal Plug and Play Device Host), Службу обнаружения SSDP (SSDP Discovery Service), Службу сообщений (Messenger Service), Модуль поддержки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper). Тем самым вы исключите возможность подключения к вашему ПК с их помощью.

Кроме того, в свойствах модемного соединения необходимо удалить все лишние протоколы, оставив только TCP/IP. В свойствах же самого TCP/IP (Properties – > General – > Advanced – > WINS) установите переключатель NetBIOS setting в положение Disable NetBIOS over TSP/IP.

Можно несколько усилить защиту и Internet Explorer, если в его настройках “Свойства обозревателя” – > “Безопасность” (Internet Options – > Security) сначала установить параметры для всех зон в положение по умолчанию (Default), а затем для зоны Internet немного ужесточить правила – нажать кнопку Custom Level и, например, по всем параметрам, касающимся активного содержимого веб-страниц, установить переключатели в положение Prompt. Это особенно важно, если используется встроенный файерволл Windows XP или ваш файерволл не способен блокировать активное содержимое веб-страниц.

Почему надо блокировать активное содержимое веб-страниц
В Internet Explorer до последнего момента не было прикрыто уязвимое место, определяемое антивирусами как Exploit.CodeBaseExec. Оно позволяет запускать любые программы, расположенные на ПК пользователя, открывшего веб-страничку с нехитрым кодом. Чтобы проверить, подвержен ли ваш ПК такой атаке, создайте простейший html-файл следующего содержания:

Если спустя несколько секунд после его открытия в Internet Explorer сам собой запустится Блокнот, то ваш ПК уязвим. Антивирусы выявляют такой код и, возможно, не дадут ему запуститься. Если же вы хотите повысить уровень защиты самого IE от подобных атак, то в реестре установите такой параметр:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
“1004”=dword:00000001
– после этого при попытке запуска потенциально опасного скрипта будет выдаваться запрос к пользователю.

ЛОКАЛЬНАЯ СЕТЬ

При работе в составе локальной сети, особенно если к вашему ПК имеют физический доступ другие лица, возникают две дополнительные задачи, противоречащие друг другу: предотвратить несанкционированный доступ к приватным документам и обеспечить удаленным пользователям возможность работы с файлами, которые вы хотите выложить на всеобщее обозрение. Для решения этой проблемы обычно используют возможности NTFS по разграничению прав пользователей. Иначе говоря, на своем ПК необходимо завести несколько учетных записей удаленных пользователей и разрешить им доступ из сети к разделенным (Shared) ресурсам.

Разумеется, эти самые ресурсы общего пользования необходимо задать очень четко, чтобы случайно не открыть на обозрение всей сети диск C: или папку “Мои документы”. Для этого в свойствах предназначенной для “зашаривания” папки надо выбрать вкладку “Доступ” (Sharing), отметить опцию “Открыть общий доступ к этой папке” (Share this folder) и затем на вкладке “Безопасность” (Security) указать, каким учетным записям или группам пользователей разрешается работать с файлами этой папки – читать, изменять и так далее.

Лучше всего, если вы ограничите круг пользователей, которым разрешен доступ. Если же необходимо сделать так, чтобы папка была доступна всей сети, то можно разблокировать учетную запись Гостя и в свойствах этой папки установить соответствующие разрешения. Учтите только, что изначально в Windows XP Pro для повышения безопасности учетная запись Гостя (Guest) заблокирована не только в диалоге “Управление компьютером” – > “Локальные пользователи и группы” – > “Пользователи” (Computer Management – > Local Users and Groups – > Users). Необходимо еще снять блокировку в диалоге “Панель управления” – > “Администрирование” – > “Локальная политика безопасности” – > “Параметры безопасности” – > “Локальные политики” – > “Назначение прав пользователя” (Control Panel – > Administrative tools – > Local Security settings – > Security settings – > Local Policies – > User Rights Assignments): щелкнув на строке “Отказ в доступе к компьютеру из сети” (Deny access to this computer from the network), удалите из списка заблокированных пользователей учетную запись Гостя.

Кроме того, в Windows XP появилась новая системная папка “Общие документы” (Shared Documents) – если в нее переместить мышью какой-либо файл или папку, то они станут доступны из сети. Если же вам не нравится эта опция и вы хотите сами контролировать ресурсы общего пользования, то просто удалите раздел реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}

– папка Shared Documents после перезагрузки исчезнет.

Такой метод работы с разделяемыми ресурсами наиболее приемлем в локальных сетях небольших предприятий (если у вас на работе имеется администратор, то предоставьте все настройки ему). Главный же его недостаток состоит в том, что приходится открывать порты NetBIOS, тем самым частично дезавуируя настройки безопасности, рекомендуемые при работе с интернетом. То есть для IP-адресов локальной сети придется открывать те самые порты 137, 138 и 139. При этом нужно добиться того, чтобы эти порты были закрыты для доступа из интернета. Далеко не каждый файерволл позволяет удобно отграничить правила, применяемые для внешних адресов, от правил, применяемых для внутренних. К тому же любитель поискать прорехи в защите вашего ПК может найтись и во внутренней сети.

Если же вы хотите обмениваться файлами в городской или “подъездной” LAN, то наиболее безопасным и простым в настройке будет отказ от инструментов Windows и переход на использование FTP-сервера. При этом вы не только запретите стандартный File Sharing, но и сможете без усилий определять полосу пропускания для каждого входящего соединения, дабы желающие скачать у вас новый фильм не перекрыли доступ в сеть вам самому, полностью забив линию связи. Кроме того, FTP-серверы обычно позволяют создавать учетные записи пользователей, разрешать или запрещать анонимный доступ, устанавливать ограничения времени работы и числа потоков. Можно даже установить правило, согласно которому удаленный пользователь, чтобы получить возможность скачивания, обязан будет сначала загрузить некий объем файлов на ваш диск! Одним из самых популярных FTP-серверов считается Serv-U (www.serv-u.com).

Таким образом, доступ к локальным файлам из сети мы обеспечили. Теперь надо позаботиться о том, чтобы это не вышло нам боком. Первым делом проследите, чтобы в вашей системе не было зарегистрировано лишних пользователей. Для этого в диалоге “Управление компьютером” (Computer Management) на вкладке пользователей (Local Users and Groups – > Users) нужно заблокировать учетную запись Гостя, если в ней нет необходимости, а стандартные “секретные” учетные записи HelpAssistant и SUPPORT_586975a0 вообще удалить. Они встроены в систему для того, чтобы вы могли получить удаленную помощь от службы технической поддержки, имеют административные привилегии, а потому являются потенциально опасными.

Вообще говоря, работать в интернете и локальной сети безопаснее из-под учетной записи с ограниченными правами. Далее, еще раз запустив оснастку “Локальная политика безопасности” (Local Security Settings, файл secpol.msc), откройте диалог – “Параметры безопасности” – > “Локальные политики” – > “Назначение прав пользователя” (“Security settings” – > “Local Policies” – > “User Rights Assignments”) и обратите внимание на такие параметры, как Access this computer from the network, Allow logon through Terminal Services, Deny access to this computer from the network, Deny logon locally, Deny logon through Terminal Services, Log on locally – разобраться в том, что они означают, совсем не сложно. В идеале необходимо проштудировать вообще все параметры оснасток secpol.msc и gpedit.msc – благодаря им можно существенно повысить устойчивость системы к внешним атакам.

Например, для конкретного пользователя можно разрешить удаленный доступ к ресурсам ПК, одновременно запретив локальный вход, чтобы излишне любопытный коллега по работе не смог загрузить ваш ПК, пока вы пьете кофе в столовой. Для этого измените значение параметра Deny logon locally таким образом, чтобы в списке локально заблокированных учетных записей оказался и выбранный пользователь (имя пользователя либо выбирайте из списка Add User or Group – > Advanced -> Find, либо вводите в виде Имя компьютера\Имя пользователя).

В этом же меню можно проделать и обратную процедуру – запретить определенным пользователям доступ из сети. За это отвечает параметр Deny access to this computer from the network.
Далее обратите внимание на то, что после каждой загрузки система автоматически открывает скрытый доступ к локальным дискам компьютера (С$, D$) для пользователей, входящих в группу Администраторов. Если необходимости в этих системных ресурсах нет (уточните у администратора сети, если таковой имеется), то вполне допускается запретить их создание. Для этого нужно в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
установить равным “0” параметр “AutoShareServer” (типа REG_DWORD) для сервера (то есть Windows 2000/2003 Server) или параметр “AutoShareWks” для рабочей станции (Windows XP). Правда, отключение этих ресурсов иногда вызывает проблемы (например, появляется сообщение об ошибке “The RPC Service is not available”). В этом случае попробуйте вернуть все на свои места.
Следующий этап – защита паролей учетных записей. Достаточно злоумышленнику подсмотреть через плечо ваш пароль или перехватить его по сети, как все усилия по защите системы будут сведены на нет: заходи кто хочешь, бери что хочешь. Если говорить коротко, то обязательно выбирайте для своей учетной записи очень длинный пароль – более 14 знаков (например, строку из любимого стихотворения, причем лучше вводить ее кириллическими символами).

Ни в коем случае не используйте одно слово – по словарю подобные пароли вскрываются за несколько секунд. Если же вас интересуют подробности, изучите статью о методах взлома и защиты Windows 2000/XP, расположенную по адресу stn-idnoye.narod.ru/html/articles/win2k_hack.htm. И, наконец, просто блокируйте компьютер, когда теряете его из виду: либо нажмите клавиши Win+L – появится Welcome Screen, либо используйте такой ярлык: %SystemRoot%\system32\rundll32.exe USER32.DLL,LockWorkStation.

КОНФИДЕНЦИАЛЬНЫЕ ДАННЫЕ
Самое сложное – если ваш ПК, вернее, хранящаяся на нем информация действительно представляет какой-то интерес для третьих лиц. Дело в том, что говорить о какой-то серьезной защите Windows XP можно только в том случае, если у злоумышленников нет физического доступа к компьютеру. Например, вне зависимости от прав доступа к файлам, паролей и разграничения привилегий любая информация из разделов NTFS может быть считана с помощью элементарной программы NTFS For DOS (www.winternals.com) или загрузочного диска ERD Commander от того же производителя.

В конце концов, можно просто вытащить жесткий диск и препарировать его в спокойной обстановке. Частично от этого спасает шифрование важных файлов средствами самой NTFS (вернее – EFS), однако уже существует несколько программ, позволяющих при ряде условий декодировать такие файлы (например – Advanced EFS Data Recovery (www.elcomsoft.com)). Кроме того, даже если вы зашифруете папку Мои документы, то конфиденциальная информация может оказаться во временных файлах, файле hyberfil.sys, создаваемом при переходе ПК в спящий режим, или в файле подкачки.

Конечно, от спящего режима можно отказаться, swap-файл можно заставить обнуляться при выключении компьютера, если прописать в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
параметр “ClearPageFileAtShutdown” типа DWORD со значением “1”, а для удаления временных файлов написать небольшой скрипт или bat-файл. Однако, по слухам, уже существуют методы восстановления информации на диске по следам остаточной намагниченности “блинов” винчестера. Впрочем, средство для борьбы с восстановлением удаленных файлов тоже имеется – это, например, утилиты типа Kremlin (www.kremlinencrypt.com), затирающие файлы в несколько проходов.

Но все это слишком неудобно. Поэтому, если не требуется профессиональная, сертифицированная система защиты, то оптимальное решение – шифрование всего системного диска, а не отдельных файлов. Шифрованная файловая система EFS из состава Windows для этого не подходит, так как она не способна зашифровать системные файлы.

Программы же, работающие с виртуальными контейнерами или логическими дисками, скорее всего, оставят без внимания файл виртуальной памяти и временные файлы. Одна из лучших программ, работающих начиная с этапа загрузки компьютера и шифрующих целиком системный жесткий диск, – DriveCrypt Plus Pack (www.securstar.com). Кроме того, она имеет встроенную защиту против подбора пароля, клавиатурных шпионов и троянских вирусов. Если же такой уровень защиты вы считаете излишним, то попробуйте PGP (www.pgp.com) или программы от Steganos (www.steganos.com/en/products.htm).

Максимальную же степень защиты информации SOHO-систем обеспечивают аппаратные средства вроде специализированных контроллеров дисков, способных шифровать на лету любые данные, записываемые на жесткий диск. На российском рынке наибольшее распространение получили шифрующие устройства семейства КРИПТОН. Это и платы шифрующих дисковых контроллеров, и различные замки, и их программные аналоги-эмуляторы, и сетевые карты, и шифрующие маршрутизаторы. Устройства КРИПТОН (разработаны и производятся компанией АНКАД, www.ancud.ru) реализуют криптографический алгоритм ГОСТ 28147-89 “Системы обработки информации. Защита криптографическая.

Алгоритмы криптографического преобразования”. Большинство из них сертифицированы ФАПСИ. Самый последний аппаратный шифропроцессор – плата “Криптон-9/PCI” – позволяет шифровать информацию на лету при скорости 10 Мб/c! Выполнены такие устройства в виде плат расширения ISA или PCI, продаются достаточно свободно, и использовать их может любое предприятие, заботящееся о безопасности своих данных. Конечно, существуют и другие средства защиты от несанкционированного доступа – подробнее о них можно узнать, например, на сайте “Защита Информации” (www.zinfo.ru).

Настройка параметров безопасности Windows XP – занятие не самое трудоемкое, но требующее от пользователя хотя бы минимального уровня подготовки. В этом вопросе нельзя добиться успеха, не понимая, что делаешь. Но зато как наглядно проявляется эффект от качественно защищенной Windows в случае глобальных вирусных эпидемий, поражающих компьютеры менее предусмотрительных пользователей!..