[ddddd]

Интересный подход.
Очень хотелось потестить результат.

[Severny]

Сергей Варфоломеев,
Вы скажите прямо:
Вам нужна помощь в создании?
Вы можете выложить дистрибутив и инструкцию?
Вам нужны тестеры?
Вам нужно что?

Уже все отписали --- интересно. Дальше что?

[Cibersoft Prolex]

Сергей Варфоломеев

1).В шапке темы нажмите кнопку "Редактировать" и напишите кратко и понятнее, что Вам нужно.

2).Для цитирования-выделите необходимый текст, над ним появится всплывающие окно "Цитировать", нажмите на него.

3). Для вставки в Ваше сообщение ника необходимого пользователя, просто нажмите но его ник в его сообщении.

[Bagdatmk]

В прикрепленном файле Аntisystеm.dос говорится что в этой системе можно обойтись без антивирусов и брандмауэров, правда что ли? А можно эти хитрости по настройке безопасности реализовать в обычном виндоусе? Это идея по ограничению прав администраторов вроде функционирует в Vistе, но без антивируса все равно не обойтись?

[Vadikan]

Цитата Bagdatmk:

без антивирусов и брандмауэров, правда что ли? »

Нет, конечно. Аргументов можно привести много... ограничусь одним.

Для изменения ключевых системных параметров требуются права администратора, а описываемый тут метод не изменяет структуру безопасности ОС и работу ее компонентов. Ну а если вы продолжаете работать с правами администратора, то вредносный код, проникнув в систему, тоже будет работать в контексте администратора, со всеми вытекающими из этого плачевными последствиями.

[Сергей Варфоломеев]

Цитата:

Severny - Вы скажите прямо: Вам нужна помощь в создании? Вы можете выложить дистрибутив и инструкцию? Вам нужны тестеры? Вам нужно что?

По большому счету мне ничего не нужно. Я просто хотел получить отклики по теме. У меня все работает как описано - именно такой способ установки и реализован принцип минимальной достаточности, т.е. нет ни одного лишнего файла, каталога, параметра или ключа реестра, лишних прав и привилегий у учетных записей и групп безопасности. И при этом все функционирует нормально - Интернет, принтер, нужные мне приложения и т.д.
Дистрибутив выложить невозможно. Вы это поймете, если более внимательно прочитаете файл АнтиSYSTEM.doc.
Предположив, что на основе моих наработок можно было бы предложить на рынке некую IT-консалтинговую услугу, определенное время назад я разослал файл АнтиSYSTEM.doc нескольким фирмам и организациям - но ответа не получил. Я не работаю и не планирую работать в сфере IT, поэтому тратить время на написание подробных инструкций не буду, если только это не будет нужно для реального дела.

Цитата:

Vadikan - Для изменения ключевых системных параметров требуются права администратора, а описываемый тут метод не изменяет структуру безопасности ОС и работу ее компонентов. Ну а если вы продолжаете работать с правами администратора, то вредносный код, проникнув в систему, тоже будет работать в контексте администратора, со всеми вытекающими из этого плачевными последствиями.

Все ключевые системные параметры уже зафиксированы (так, как это нужно для работы мне) и менять их впоследствии в процессе работы нет ни потребности, ни возможности (я не предоставляю таких прав ни своей учетной записи, ни каким бы то ни было иным учетным записям). Права группы администраторов описываются здесь - HKLM\SECURITY\Policy\Accounts\S-1-5-32-544. У меня этот ключ отсутствует - поэтому и своих огромных прав и привилегий администраторы не имеют. Вообще в ключе HKLM\SECURITY\Policy\Accounts у меня всего 1 подключ (и об этом сказано в файле АнтиSYSTEM.doc) - HKLM\SECURITY\Policy\Accounts\<SID моей учетной записи>. А права и привилегии, необходимые мне для работы, очень скромны - право Локальный вход в систему и 2 привилегии - Завершение работы системы и Принудительное удаленное завершение (последняя необходима для возможности осуществления перезагрузок и завершений работы с помощью командного файла - используя в нем утилиту shutdown.exe).
Есть правда еще ключ HKLM\SECURITY\Policy\SecDesc. В нем есть пустой параметр, значение которого нигде не задокументировано и непонятно как его менять и можно ли (в отличие от прав и привилегий (ключи ActSysAc и Privilgs соответственно), которые могут изменяться с помощью, например, secpol.msc). Однако, менять значение в ключе HKLM\SECURITY\Policy\SecDesc можно и, с моей точки зрения, даже нужно. В этом ключе даны разрешения определенным группам и учетным записям. Так группа администраторов там числится с правами "FF 1F 0F 00" (естественно такие права имеет и учетная запись SYSTEM, которая является членом группы администраторов). Это очень большие разрешения. Достаточными являются "01 10 00 00" - и не для всей группы администраторов, а только для учетной записи SYSTEM. Еще одна учетная запись, которой нужно дать разрешения в объеме "00 08 00 00", это учетная запись, под которой осуществляется работа на компьютере. Все остальные учетные записи и группы (включая группы Все и АНОНИМНЫЙ ВХОД) вместе с их разрешениями можно удалить из значения пустого параметра ключа HKLM\SECURITY\Policy\SecDesc.
Таким образом, можно работать как администратор, но полноценных прав, привилегий, разрешений администратора не иметь.
Кроме того, всем файлам, каталогам, ключам реестра присвоены очень жесткие ACL - практически ни один важный файл ОС или приложений не имеет права на запись (только чтение или чтение и исполнение, или вообще пустой ACL). А за счет присвоения всем объектам неизвестного системе владельца все эти ACL невозможно изменять. Ну, чтобы было понятней, давайте на примере. Создайте у себя некий файл, например с именем "1.txt". С помощью secedit.exe присвойте ему в качестве владельца например такой SID - S-1-8-1, а ACL сведите к праву на чтение для группы администраторов. Если при этом ни ваша учетная запись, ни вся группа администраторов не имеют привилегии "Овладение файлами и иными объектами" (Take ownership of files or other objects), вы не сможете изменить ACL файла 1.txt. Этого не сможет сделать и никакой другой член группы администраторов.
При таком жестком подходе к безопасности успешное выполнение вредоносного кода будет возможно только в режиме ядра (при этом все ACL не будут играть никакой роли). Но, насколько я понимаю, получить полномочия ядра очень непросто. Осуществлять такое способны немногие хакеры, и то - при определенных условиях (наличие подходящей ошибки в том или ином драйвере).
В общем, на счет антивирусов и файрволов - это предположение. Мне кажется сомнительным, что их использование существенно повысит безопасность и так достаточно безопасной системы. Более того, скорее всего для их использования понадобится значительное расширение прав, привилегий, разрешений для учетной записи SYSTEM и для той административной учетной записи, под которой осуществляется работа. Кроме того, если хакер достаточно искусен, что сможет осуществить захват Ring 0 (получив полномочия ядра), то антивирусы и файрволы уже не будут иметь для него никакого значения.

[Severny]

Ну что ответить.
Вы что-то сделали.
Никому потрогать нельзя.
Спасибо.

[Сергей Варфоломеев]

Цитата:

Severny - Вы что-то сделали. Никому потрогать нельзя. Спасибо.

А что Вы хотите потрогать? Если внимательно прочитать содержимое файла АнтиSYSTEM.doc, то должно быть понятно, что на основе этого нельзя сделать определенный программный продукт, представленный в виде "дистрибутива", который можно "потрогать". Я вкратце описал подход, метод, который реально работает - а не продукт, который можно тиражировать.
Другое дело, что у участников форума могут быть свои мнения по поводу целесообразности применения такого подхода в принципе и/или по поводу каких-либо конкретных моментов, описанных в файле АнтиSYSTEM.doc. Буду рад, если такие мнения будут конкретно высказаны.

[MKN]

Цитата Сергей Варфоломеев:

установка в режиме MS-DOS с предварительной разбивкой диска и форматированием необходимого раздела с помощью загрузочной дискеты Windows 98 »

Уже одно это отбивает охоту связываться с данным методом установки...

А самое главное - в чём смысл и практическое применение всего этого ?

[Vadikan]

Сергей Варфоломеев, большая просьба к вам - научитесь пользоваться цитированием в форуме.

Затем исправьте все сообщения, где вы цитируете других. Спасибо.

---

Цитата Сергей Варфоломеев:

Все ключевые системные параметры уже зафиксированы (так, как это нужно для работы мне) и менять их впоследствии в процессе работы нет ни потребности, ни возможности »

Честно говоря, мне не хочтется вникать в часть про возможности... я просто скажу, что если у вас нет потребности сейчас, это не значит, что эта потребность не возникнет через месяц. И тем более это не означает, что у других этой потребности тоже нет. Даже если ваша модель работоспособна, я не вижу в ней смысла.