Сайт · Форум · Инструменты · Блог Форум WindowsFAQ

Назад   Форум WindowsFAQ > Общий раздел > Операционные системы Microsoft Windows

Тема закрыта
 
Действия над темой
S-Varf
Пользователь
Автор темы
 
Регистрация: июн 2009
Сообщений: 1
Сила репутации: 0
Репутация: 10
АнтиSYSTEM (способ установки и использования Windows XP) 01-06-2009, 15:01 Инфо Контакт
Идея
Для того чтобы загрузить Windows XP SP2 и в автоматическом режиме исполнить некий командный файл в каталоге system32 достаточно иметь всего-навсего 75 файлов, а в каталоге system32\drivers - 16 файлов. Необходимый объем реестра при этом просто мизерный: такие файлы кустов реестра как NTUSER.DAT и UsrClass.dat не нужны вообще; размер каждого из файлов DEFAULT, SAM, SECURITY и SOFTWARE - 8 КБ; размер файла SYSTEM - 20 КБ.
Если в качестве оболочки необходимо использовать стандартную оболочку Windows - Проводник, то количество необходимых файлов несколько увеличится, понадобится каталог WinSxS с несколькими подкаталогами и файлами. Необходимый объем реестра тоже несколько увеличится.
Для использования Интернета, системы печати, приложений Word, Excel, Lingvo, Nero, WinRAR, и т.д. также понадобится больше файлов, каталогов и содержимого реестра.
Существует много различных продуктов, таких как nLite и всяческие SuperLite-ы. То, что я предлагаю, отличается от них принципиально.
Речь идет не об установке и использовании Windows без тех или иных ненужных компонентов, а об установке и использовании Windows и всех необходимых приложений только с теми файлами и параметрами реестра, которые действительно необходимы для определенной функциональности.
При реализации такого принципа минимальной достаточности в системе не будет ни одного файла, каталога, параметра/ключа реестра необходимость в котором не будет чем-либо оправдана.
Кроме того, принцип минимальной достаточности имеет смысл применить не только к объектам файловой системы и содержимому реестра, но и к разрешениям, правам, привилегиям учетных записей и групп безопасности. Так, например, файл ntoskrnl.exe может иметь пустой ACL, минимально достаточный ACL файла unicode.nls - разрешение "Чтение" для учетной записи SYSTEM, файла winlogon.exe - разрешение "Чтение и выполнение" для учетной записи SYSTEM, а в кусте реестра SAM всего 5 ключей требуют полного доступа для SYSTEM.
Естественно, что при таком подходе ни одна группа безопасности в ACL файлов, каталогов, ключей реестра, в дескрипторах безопасности присутствовать не будет.
Более того, можно присвоить всем объектам в качестве владельца некий непонятный SID (например, S-1-9-2), в результате чего все ACL можно будет считать MACL (Mandatory Access Control List).
Степень безопасности системы при реализации вышеописанного подхода будет очень высока. Удаленно получить полный или частичный контроль над системой можно будет лишь осуществив захват нулевого кольца (Ring0), т.е. получив полномочия ядра (в этом случае все ACL не будут играть никакой роли). Однако, осуществлять такое способны немногие хакеры, и то - при определенных условиях (наличие подходящей ошибки в том или ином драйвере). Таким образом, необходимость использования каких-либо антивирусных программ и/или брандмауэров в такой системе становится сомнительной.

Кому это может быть нужно?
Тем, кому при работе за компьютером достаточно своего определенного фиксированного набора функций операционной системы и приложений, для кого безопасность является достаточно важной и кому нужен простой и удобный способ для быстрой установки (переустановки) операционной системы со всеми необходимыми приложениями, обновлениями и с нужным содержимым реестра.

Детали
Операционная система: Windows XP Service Pack 2
Функциональность (Перечисляются те функции, к которым я на практике применил принцип минимальной достаточности, т.е. я знаю минимально достаточный (для каждой отдельной функции) набор файлов и каталогов, параметров и ключей реестра, а также разрешений на них. Данный перечень, естественно, можно расширять, но на тестирование применения принципа минимальной достаточности к дополнительным функциям понадобится определенное время.):
• Загрузка операционной системы и вход в систему (в т.ч. с и без драйвера ACPI, работа драйвера видеокарты и др.)
• Программное отключение питания при работе без ACPI (работа драйвера APM)
• Dial-Up с rasdial.exe и/или rasphone.exe (в т.ч. создание/изменение/сохранение паролей - в файле телефонной книги и ключе Secrets)
• Система печати и принтер (в т.ч. с и без DOT4, на USB и параллельном порту)
• Дисковод для гибких дисков (в т.ч. проверка и форматирование дискет)
• Дисковод для CD/DVD дисков
• Проводник Windows (в т.ч. работа меню Start и его компонентов, панель быстрого запуска и произвольное перенаправление/переименование каталога "Quick Launch")
• Интернет (открытие страниц, сохранение страниц, загрузка файлов, поиск на странице, "Открыть в новом окне", JScript, отображение рисунков формата PNG и др.)
• Протокол HTTPS (открытие интернет-страниц, адрес которых начинается с https://)
• Фильтрация TCP/IP (в т.ч. закрытие для входящего IP трафика всех портов за исключением произвольного перечня портов из диапазона 1024 - 65535; никаких дополнительных файлов не требуется - нужны лишь определенные изменения в реестр; практика показывает, что для нормальной работы вполне достаточно оставить незакрытыми 50-100 портов и необязательно, чтобы они составляли сплошной диапазон).
• Шрифты (в т.ч. просмотр файлов .ttf и .fon)
• Полнотекстовый поиск в файлах (текстовых, Office, Acrobat и др., в т.ч. в RTF-файлах с кириллическим текстом)
• 16-разрядная подсистема Windows (необходима для работы многих старых программ)
• Просмотр файлов справки (.chm, .hlp)
• Утилиты Registry Editor, TaskManager, Auto Check, Check Disk, Disk Defragmenter, Extended Copy, File Encryption, Windows Calculator, HyperTerminal
• Консоль восстановления (с поддержкой дисковода для гибких дисков; каталог cmdcons: 3,26 МБ, 35 файлов)
• Сброс счетчика WPA на ноль без ручного вмешательства (требуется просто нажать на ссылку на командный файл и подождать около 50 секунд)
• Пароли (SAMR (Security Accounts Manager Remote Protocol) работает - можно задавать/изменять пароль; SAMR удален - работа с паролем или без пароля без возможности задавать/изменять пароль)
• Office 2003 Service Pack 2 (Word, Excel, PowerPoint, Equation 3.0)
• Проверка орфографии в документах Office 2003
• Вставка объектов Equation, Word, Excel, PowerPoint, и т.д. в документы Office 2003
• Гиперссылки в документах Office 2003
• Acrobat Reader 7.0.5 (в т.ч. поиск, гиперссылки, полнотекстовый поиск)
• Lingvo 8.0
• Прожиг дисков с помощью Nero Express 6.0
• Прожиг дисков с помощью NeroCmd.exe (без Nero Express)
• Архиватор WinRAR 3.80

Предлагаемый способ установки (переустановки) системы:
• загрузочный CD-ROM не требуется - установка в режиме MS-DOS с предварительной разбивкой диска и форматированием необходимого раздела с помощью загрузочной дискеты Windows 98
• запись файлов операционной системы и приложений выполняется на обычный компакт-диск (например, с помощью программы Nero Express)
• для максимального сокращения времени установки содержимое каталога i386 минимизируется (включая содержимое файлов dosnet.inf, txtsetup.sif, defltwk.inf, drvindex.inf, setupreg.hiv и др.)
• по сути роль каталога i386 и традиционной процедуры установки сводится к конвертированию файловой системы из FAT32 в NTFS, автоматическому входу в систему с поддержкой CD-ROM и возможности работы таких утилит как xcopy.exe, attrib.exe, secedit.exe, shutdown.exe
• минимально достаточный размер каталога i386 составляет 18,4 МБ (файлов: 167; папок: 10)
• в результате копирование файлов каталога i386 с компакт-диска на жесткий диск занимает всего 20 секунд, поэтому имеет смысл подождать это короткое время, чтобы при перезагрузке изменить в BIOS первое загрузочное устройство с дискеты на жесткий диск
• после этого вся установка (включая копирование всего дерева каталогов с файлами операционной системы и приложений с помощью xcopy.exe, применения к ним нужных ACL с помощью secedit.exe и нужных атрибутов с помощью attrib.exe, и т.д. - вплоть до автоматического входа в абсолютно готовую систему) происходит в автоматическом режиме и занимает не более 7-10 минут

Создание реестра
• файлы кустов реестра вовсе не обязательно создавать в процессе установки - их можно создать заранее на другом компьютере и они будут копироваться вместе со всеми остальными файлами и каталогами с помощью xcopy.exe
• определенную часть нужного содержимого реестра, а также некоторые файлы, можно получить лишь проведя обычную установку операционной системы и некоторых программ (и их активацию) на конкретном компьютере (После такой "технической" установки активировать саму операционную систему смысла нет, поскольку файл wpa.dbl не будет подходить для другой установки. Office 2003 имеет смысл установить и активировать, сохранив файл opa11.dat (а из реестра - значение соответствующего параметра DigitalProductID) для использования при установках на данном компьютере. Для Lingvo 8.0 роль, аналогичную роли файла opa11.dat для Office 2003, играет файл LvLogo.dll. Еще один файл, который необходимо будет создать на данном этапе для дальнейшего использования, это файл BOOTSECT.DAT - для установки на жесткий диск консоли восстановления.)
• идентификаторы устройств будут различными для компьютеров с различными материнскими платами и другими компонентами, а также при использовании ядра с поддержкой ACPI и без, поэтому для создания файла куста SYSTEM нужно знать правильные значения идентификаторов устройств (ключ CurrentControlSet\Enum)
• для создания файла куста SOFTWARE нужны будут правильные значения параметров DigitalProductID для Windows и Office
• что касается системного ключа (syskey), то он является аппаратно-независимым, так что все его необходимые компоненты можно взять с любого компьютера с такой же операционной системой и использовать при создании файлов кустов SAM, SECURITY и SYSTEM, предназначенных для другого компьютера
• создание файлов кустов осуществляется достаточно просто и быстро, не требуя каких-либо программных средств, отсутствующих в самой операционной системе

Интеграция обновлений
Интеграция обновлений Windows и Office осуществляется очень просто: обновленные версии файлов записываются в соответствующие им каталоги на инсталляционный компакт-диск. При этом создание нового инсталляционного диска вовсе не обязательно - такая программа, например, как Nero Express позволяет замещать файлы на компакт-диске на файлы с более поздней датой последнего изменения, не производя заново запись всего дерева каталогов с файлами.

Предлагаемые особенности использования системы:
• за счет применения жестких ACL при работе операционной системы и приложений образуется мало "мусора" - лишних файлов, каталогов, ключей и параметров реестра
• все то, что образуется в файловой системе можно легко перенаправить в один каталог, так что для удаления всего "файлового мусора" в командном файле очистки нужна будет всего одна строка: "rd /s /q <путь и имя каталога>"
• поскольку сам такой каталог должен быть неудаляемым, то наиболее очевидным кандидатом на роль "мусорного ведра" является каталог system32\config
• для меньшей узнаваемости в сети целесообразно удалять из реестра максимально возможное количество информации о компьютере (динамический куст HKLM\HARDWARE, ключи Enum и Control\DeviceClasses, некоторые другие)
• для нормальной работы системы вышеприведенные ключи реестра вообще не нужны (нужно лишь добавлять необходимые подключи и параметры в ключ Enum при перезагрузке и завершении работы, чтобы можно было загрузиться)
• работу системы можно настроить так, что все эти операции по удалению/добавлению информации реестра не будут требовать какого-либо ручного вмешательства
• запуск командного файла очистки файловой системы и реестра имеет смысл иногда производить и во время работы системы (его выполнение занимает менее секунды)
• после чистки количество файлов и каталогов операционной системы и приложений будет фиксированным, а их общий размер - почти фиксированным (Единственные файлы, размер которых будет несколько колебаться (иногда чуть-чуть увеличиваясь, а иногда чуть-чуть уменьшаясь) - это файлы некоторых "журнальных кустов" (log hives) реестра, таких как system.LOG или security.LOG. Существуют правда еще файлы index.dat, которые являются неудаляемыми при обычной работе системы и размер которых будет расти по мере URL-кэширования. Но легко настроить такой режим входа в систему, когда эти файлы будут удаляться при входе (т.е. для их удаления достаточно будет выйти из системы и войти). Начальный же размер вновь образуемых файлов index.dat хорошо известен.)

Права и привилегии, дескрипторы безопасности
Принцип минимальной достаточности реализован мной и в отношении прав и привилегий, а также дескрипторов безопасности служб, принтера и др. (в т.ч. SECURITY\Policy\SecDesc).
При применении принципа минимальной достаточности к правам и привилегиям у ключа SECURITY\Policy\Accounts должен быть всего один подключ - SID той учетной записи под которой осуществляется работа пользователя компьютера. Минимизация прав и привилегий данной учетной записи происходит путем определенного изменения значений пустых параметров ключей ActSysAc и Privilgs соответственно.
Из дескрипторов безопасности наиболее важным является дескриптор безопасности всей системы - SECURITY\Policy\SecDesc. По умолчанию объем полномочий учетной записи SYSTEM и всей группы администраторов (в которую SYSTEM всегда включена) составляет "FF 1F 0F 00". Можно работать без всяких проблем, если уменьшить данный объем полномочий SYSTEM до "01 10 00 00". Для работы системы печати, а также при использовании для Dial-Up rasphone.exe (а не rasdial.exe) объем полномочий SYSTEM нужно увеличить (но совсем незначительно).
S-Varf is offline
Реклама
Зарегистрируйтесь, чтобы скрыть этот блок
Тема закрыта


Назад   Форум WindowsFAQ > Общий раздел > Операционные системы Microsoft Windows
Сохранить ссылку на эту тему у себя в
Действия над темой

 
Быстрый переход

Похожие темы
Тема Автор темы Форум Ответов Последнее сообщение
Quick FAQ SavageNoName FAQ - Ответы на часто задаваемые вопросы 82 30-11-2015 14:44
Во время установки, после форматирования: Нет доступа к компакт-диску с файлами установки Windows XP realbkmz Операционные системы Microsoft Windows 45 08-10-2010 19:00
[решено] Синие экраны во время установки Windows XP Mstitel44 Операционные системы Microsoft Windows 33 03-06-2009 23:26
Как запустить Windows XP в Safe Mode после установки на другой раздел Vista ? Xavierus Операционные системы Microsoft Windows 3 13-10-2007 20:35
Прошу прощения, что такое ISA сервер ? svch Операционные системы Microsoft Windows 12 19-09-2001 20:23


Время 04:57. Временной пояс GMT +3.