Nibiru honlapja
Egy csepp Igazság

 

 


Veritas Vincit!

Honlapom folyamatosan
építés alatt. (v 0.4.55)

Nyitóoldal, változásokInformatikaPolitika, közélet Magyar SzívvelEgészségSzabadidő, hobbiTudományEgyéb írások

  Nibiru honlapja - Számítógép és biztonság  4.                                        Frissítve   2010.05.17

Barátaim oldalai

Számítógép és biztonság 4.

A Windows XP beállításai - alapozástól a finomhangolásig

     :: Windows XP - Első lépések
     :: Átállás SP3-ra
     :: SP3 problémák
     :: Egyedi Windows install készítése (nLite)
     :: A Windows mint kémprogram - Ellenszer: az XP AntiSpy
     :: Az Autorun/Autoplay (automatikus lejátszás) letiltása
     :: A hálózati kapcsolatok helyes beállítása, a NetBIOS protokoll letiltása
     :: Fiókok: Vendég és Support fiók letiltása, felhasználói fiók létrehozása, jelszó beállítás
     :: Rendszergazda jogokkal, vagy felhasználóként?
     :: Az admin megosztások kikapcsolása
     :: Az IPC$ azaz a hálózati kiajánlások biztonsági problémája 
     :: A Windows Scipting Host (WSH) kikapcsolása
     :: Finomhangolás - Tippek trükkök (folyamatban)
     :: A HOSTS fájl használata
     :: Teljesítmény optimalizálás

Windows XP  - Első lépések


Először is telepítsük a Windows XP-t a gépünkre! A jogtisztaság nem csak a BSA miatt fontos, hanem mert ha feketelistás a Windows XP verziónk, akkor bizony nem fog frissülni. Ez főleg a régebbi, javítócsomag nélküli telepítőanyagok esetében okozhat gondot. 2005 óta a Windows update csak azokon a gépeken végezhető el sikeresen, amelyen egy ellenőrző szoftver előzetesen lefutott. Ha nem aktiváltuk még az XP-nket, akkor tegyük meg, mert különben telepítés után 30 nappal a rendszer használhatatlanná válik és kezdhetünk mindent elölről!

Ha telepítéskor nem lát lemezt az XP, az azt jelenti, hogy SATA csatolós a merevlemezünk, és egy hozzá tartozó olyan SATA vezérlőnk van, aminek a drivere nincs integrálva az XP telepítőjébe. Keressük meg a vezérlő driverét, és amikor a telepítő kéri a "más gyártótól származó drivereket", kínáljuk fel neki egy floppyn. Ha ezen bárki kiakad, akkor jogosan teszi. Bizony a 21. században a Microsoft operációs rendszere floppyt kér, ez azt jelenti, hogy ha nincs floppy meghajtó a gépünkben, akkor vagy veszünk a boltban egy külső, USB-s floppy meghajtót, vagy készítünk egy másik gépen egy új, a kérdéses hardver driverét is tartalmazó XP telepítő lemezt. Más lehetőség nincsen sajnos.

Ha készen vagyunk a telepítéssel, és a megfelelő driverek is fent vannak, ne rohanjunk rögtön netezni, mert csak saját magunkkal szúrunk ki! Rengeteg a tennivalónk még mielőtt az érdemi használatot megkezdhetjük. 

Legelőször is az ismert biztonsági lyukakat kell betömködnünk. Jó pár ilyen van, de nem kell azért berezelni! A hackerek nem állnak neki egy ismeretlen ember gépének poénból. Egyszerűen nem éri meg. A frissítések azért kellenek, mert vadon élő kártevők hada várja, hogy valaki egy frissen felinstallált Windows-zal kapcsolódjon föl az internetre. Ilyenkor szinte semmit sem kell tennünk, a netről érkező szemét szempillantás alatt ellep bennünket, vagy akár azonnal zombivá is válhat a gépünk. Még mielőtt tehát bármi egyebet is installálnánk, legyünk túl a szükséges frissítéseken. Ha lehet, gyűjtsük össze őket még előre, és installáláskor ne az online Windows frissítéssel éljünk. Egy külön CD-n érdemes vezetni a későbbiekben megjelenő biztonsági javítócsomagokat, hogy ha valamilyen hardver hiba vagy más miatt mégis újra kéne telepíteni a gépet és nincs róla image fájl, akkor kéznél legyenek.

A már működő rendszerrel havonta legalább egyszer - egy ismertebb, a média által is felkapott biztonsági rés beharangozása után pedig azonnal - indítsuk el a Windows frissítőjét, vagy menjünk rá a Microsoft webhelyére, és töltsük le, majd telepítsük a szükséges frissítéseket, megakadályozandó, hogy a rendszerünk később tálcán kínálja föl önmagát. Ne feledjük, hogy ezek egy része egymásra épül, tehát ha egy frissítéssel készen vagyunk, térjünk vissza a Microsoft webhelyére és nézzük meg, hogy nem akarnak-e újabb csomagok lejönni. Ezt addig csináljuk, amíg békén nem hagy bennünket.

Ha SP2-t, vagy SP3-at  akarunk ráhúzni egy már régebben működő gépre, először csináljunk a rendszerről másolatot, hogy ha valami gondunk támad, ne kelljen megint mindent elölről kezdeni. Új telepítés esetében természetesen ez nem probléma, ha egyébként a hardverünk fel van rá készítve, azaz rendelkeznünk kell a megfelelő firmware-ekkel, és új, legalább SP2 kompatibilis driverekkel, különben nem fog rendesen működni a gépünk. Olyan gépre, melynek a hardvertámogatottsága nem éri el ezt a szintet, ne is próbáljunk SP2-es Windows XP-t telepíteni. Ez azt jelenti, hogy bizonyos hardverelemeket le kell cserélni, ha SP2-t akarunk telepíteni. Nem feltétlenül újabbra, csak valami olyanra, amit nem a 482. webhely nélküli dzsunkán készítettek pár évig. Sajnos akad több olyan egyébként ismert márkanév is, akik bizonyos termékeikre nem fejlesztenek új drivert egy időn túl. Azzal sajnos így jártunk.

Átállás SP3-ra

A Microsoft a Windows XP-t kivonta a forgalomból 2008 június 30-cal. Ez azt is jelenti, hogy az XP-hez 2008 április végén megjelent harmadik javítócsomag egyben az utolsó is volt a sorban.

Az SP3 számos biztonsági frissítésen túl, néhány észrevehető különbséget is hozott. Attól függően, hogy éppen milyen alkalmazások vannak rajta, valamivel gyorsabban bootol a gépek egy része, és az alkalmazások is gyorsabban töltődnek be SP3 megléte esetén. Ez utóbbit azonban csak mérni lehet, észrevenni már kevésbé. Főleg azok tapasztalnak pozitív változást, akik teljesen újrahúzzák a gépüket a telepítéskor. Az SP2-nél tapasztaltakhoz hasonló szoftver-kompatibilitási problémákról nincs tudomásom, leszámítva a Pinnacle Studio 10 nevű videoeditáló szoftver esetét, mely még települni sem hajlandó SP3 mellett.

A Windows Update-ről letöltődő csomagok többségének településéhez már régen alapfeltétel az SP2 megléte a gépen. Az SP3 kikerülése óta pedig már elég sok idő eltelt, várható tehát, hogy előbb-utóbb olyan frissítések is megjelennek, melyeknek előfeltétele lesz az SP3, tehát nem érdemes sokat morfondírozni az SP3 telepítésén.

Az SP3-ra, de legalább SP2-re átállás egyébként sem elhanyagolható szempontja, hogy az újabb, kettő, vagy több magos processzorokat a Windows XP nem támogatja, csak ha legalább a második szervizcsomagot ráengedtük. A többmagos proci és az XP SP1 egyébként nem zárja ki egymást, de akkor a BIOS-ban le kell tiltani a Core Duo, vagy Quad támogatást. Az meg olyan, mintha vennénk egy négyhengeres autót, de csak egyetlen dugattyút engednénk működni benne.

Új szervizcsomag telepítésekor készüljünk föl minden eshetőségre. Akár arra is, hogy teljesen újra kell húznunk az oprendszert. Ennek ugyanis nem teljesen elhanyagolható az esélye, főleg, ha hosszabb ideje nem frissítettük a gépünket, vagy ha SP1-ről akarunk rögtön SP3-ra ugrani. Egyébként is sokkal egészségesebb egy teljesen új telepítést végigcsinálni  ilyen esetben, és nem csak azért, mert az örökség lassítja a frissített rendszert. Előfordulhat például, hogy egy már régebb óta működő, kusza regisztrációs adatbázissal bíró XP-re rányomva az SP2/SP3-at, a gép nem bootol be többé, vagy kék halállal elszáll. Az így elromlott rendszert az esetek egy részében már nem, vagy csak igen körülményesen, a megfelelő helyreállító (restore) lemezek birtokában lehet visszaállítani az eredeti állapotába.

A telepítés megkezdése előtt tehát mentsünk el minden a rendszerpartíción található felhasználói adatot. A word, excel és egyéb fájljaink mellett ne felejtsük el a levelezésünket, a profilunk tartalmát, a böngészőnk "kedvencek" állományát, stb.
Ha ezt nem tettük meg előre, akkor egy esetleges rendszerösszeomlást követően egy másik gépre is szükségünk lesz, amibe át lehet tenni a vinyónkat az adatmentés idejére, vagy egy Windows PE alapú bootlemezre (pl. ERD Commander) amivel látszik mind a külső, mint a belső merevlemez.

Az új SP2 vagy SP3 szervizcsomag telepítése előtt győződjünk meg róla, hogy minden általunk használt hardverelemhez létezik kompatibilis driver. Ezek régebbi, vagy névtelen gyártótól származó eszközök esetében nem mindig beszerezhetőek, így az SP2 vagy annál magasabb verziójú csomag telepítése esetenként a hardver egyes elemeinek kényszerű cseréjét is jelentheti. Csere esetén olyan eszközt válasszunk, amely megfelelő támogatással rendelkezik.

Az SP2 óta a Windows XP nem kompatibilis néhány régebbi kiadású alkalmazással. Ha olyan szoftvert használunk, amiről ismert, hogy nem működik SP2 alatt, akkor vagy szerezzük be hozzá a javítócsomagot, esetleg verziófrissítést, vagy vásároljuk meg az újabb verziót. Ha ilyen nem létezik, és nem nélkülözhetjük az adott alkalmazást, akkor sajnos nem telepíthetjük fel az SP2-t, sem az SP3-at. Frissítés nélkül viszont exponenciálisan romlik a gép biztonsága az idő előrehaladtával. Essünk tehát túl rajta!

Az igazság kedvéért megjegyzendő, hogy egy speciálisan telepített és konfigurált XP, ha az ismert, potenciális veszélyeket hordozó alkalmazásokat mással helyettesítjük, és a rendszer el van látva a szükséges biztonsági szoftverekkel is, egy router tűzfala mögött nem fertőződhet meg. Vagyis inkább úgy fogalmaznék, hogy ennek az esélye közel egyenlő a nullával. Ilyen biztonságosra épített konfigurációkat én is szoktam készíteni kérésre, melyek azután kis odafigyeléssel hosszú évekig üzemelnek kártevőmentesen.

Az SP2/SP3 telepítésével a Windows XP tűzfala rögtön bekapcsolt állapotot vesz föl. Ez működésképtelenné tesz bizonyos alkalmazásokat és játékokat. Ha egyébként is volt valamilyen tűzfal a gépünkön, és be volt állítva, akkor kapcsoljuk ki a Windows tűzfalát, és a hibák megszűnnek. Ha nem volt - ami öreg hiba - akkor meg kell nyitni a szükséges portokat az alkalmazások számára. A Windows XP tűzfalának biztonsága messze elmarad ugyan a piacon beszerezhető tűzfalakétól, sőt a legtöbb ingyenesen elérhető tűzfal is kenterbe veri, de a semminél mindenképpen jobb! Ha a lehető legegyszerűbben akarjuk megoldani a tűzfal-kérdést, vagy éppen nincs más kéznél, akkor kapcsoljuk be a Windows tűzfalát! (Bővebben a tűzfalas részben olvashatsz a témáról.)

A SP2-re, SP3-ra frissítés utáni kék halálos elszállásnak több oka is lehet. Leggyakrabban a már említett inkompatibilis driverek miatt van, melyek nem férnek össze az SP2-ben (SP3 is) benne lévő Data Execution Protection (DEP) nevű technológiával. Mivel a hibaüzenetből sajnos képtelenség rájönni, hogy melyik driver a hibás, ezért ha nem akarunk kínlódni a próbálgatásokkal, érdemes a drivereket még a szervizcsomag telepítése előtt lecserélni, mint ahogy azt már említettem. Amennyiben ideiglenes jelleggel még rákényszerülünk arra, hogy egy régi, inkompatibilis driverrel rendelkező eszközt használjunk, akkor kapcsoljuk ki a DEP-et. Fontos tudni azonban, hogy a DEP az egyik legjobb dolog az SP2-ben, már ami a biztonságot illeti. Bizonyos, elég elterjedt kártevőkkel szemben részben immunissá teszi a rendszert. Ha tehát nem feltétlenül muszáj, ne kapcsoljuk ki! Ha nem driverrel, hanem alkalmazással van baj, ami DEP eredetű hibát produkál, akkor állítsuk be a DEP kivételi listáját. Itt találjuk meg hogyan. Elképzelhető, hogy driverek esetében is alkalmazható ez a módszer, bár nem valószínű, mert azok már nagyon a kernel közelében futnak. A gyakorlatban szerencsére nem kényszerültem még rá, hogy ezt leteszteljem.

Fontos információk!

Gyakori oka a BSOD-vel (kékhalállal) végződő frissítéseknek, hogy valami felderítetlen kártevő van a gépen és úgy engedik rá a telepítőt. Mielőtt tehát nekilátunk, alaposan fésüljük át a gépet kémprogramok és vírusok után. És ne valami lejárt vacakkal, hanem legalább valami olyan vírusirtó próbaverziójával, amely elnyerte a VB100% minősítést.

Némelyik gép BIOS-a is tartalmaz a DEP-hez hasonló, vagy azzal azonos funkciót. Ezt ki kell kapcsolni az SP2/SP3 telepítése előtt!

A vírusok, kémprogramok elleni védelmet és az olyan szoftvereket, melyek a regisztrációs adatbázis (is) védik, feltétlenül lőjük le a frissítés megkezdése előtt! A legbiztosabban úgy frissíthetünk, ha az összes biztonsági szoftvert kikapcsoljuk és offline telepítjük az SP3-at.
Ha valamilyen (akár általam javasolt) szoftveres beállítás megakadályozza, hogy az SP3 telepítő átvegye az uralmat a gép fölött, az ehhez hasonló hibákat eredményez.

SP3 problémák

A saját tesztjeimkor nem tapasztaltam komoly problémákat, de több olvasóm is jelzett különböző anomáliákat az SP3 telepítésével kapcsolatban, és a neten is lehet olvasni az SP3-mal kapcsolatos kudarcokról. Lássuk mikről  is van szó.
- Az SP3 leáll telepítés közben. Megoldás: ki kell lőni a telepítőt, majd az explorer.exe folyamatokat. Kis idő elteltével az SP3 folytatja a telepítést. Ha a telepítő netán 404-es hibával áll le frissítés közben, az bizony szívás, a gépet újra kell húzni.

- Az Outlook Expressből eltűnik a "Fiókok" menüpont. Inkább nem minősítem, hogy ha valaki még mindig ezt a klienst használja, de itt találja a megoldást.

- Nem indul el az Internet Explorer. Ez nem hiba! Abban az esetben van így, ha még mindig IE 6-ot használsz. No comment. :(  Mivel az SP3 egy magasabb szintre emeli az XP biztonságát, az IE6 már nem használható alatta. Amennyiben eléggé el nem ítélhető módon ragaszkodsz az Internet Explorerhez, tedd föl legalább a 7-es verziót! Egyébként meg használj alternatív böngészőt!

- Nem lehet föltelepíteni az Internet Explorer 7-et. Ezt nagy valószínűséggel annak köszönhetjük, hogy amikor anno frissülni akart a böngésző, fixen megtiltottuk neki, és az SP3 ezt állandósította. Akkor is ez van, ha az XP Antispy nevű programból tiltottuk meg az IE7 upgrade-jét. De ne sajnáljuk. Használjunk valami rendes böngészőt!

- Eredeti telepítőlemezed van, de nem telepszik az SP3, kulcsot kér. Bizonyos régebbi telepítőkben a setupp.ini fájlban (az i386 mappában található) nem az a PID érték szerepel, mint ami az SP3 átal telepített PID.INF fájlban. A megoldás az, hogy át kell írni a setupp.ini fájlban a PID azonosítókat az alábbiak szerint:

Windows XP Professional OEM: 76487OEM
Windows XP Professional FPP: 76487000
Windows XP Home Edition OEM: 76477OEM
Windows XP Home Edition FPP: 76477000

- Az SP3 nem szereti az AMD procikkal szerelt HP PC-ket.
Ez kizárólag a HP és Dell gépek bizonyos típusait érinti. A gépek folyamatosan rebootolnak. Egy nem megfelelő (inteles) driver betöltése okozza a hibát. Egy volt Microsoft dolgozó készített rá egy ideiglenes megoldást. Aki nem ért angolul, forduljon a disztribútorhoz, vagy a Microsoft supporthoz.

- Norton Internet Security 2008, vagy azzal rokon Symantec termék volt a gépen frissítéskor, és az SP3 szétcseszte a rendszert. (pl. eltűntek a hálókártyák a rendszerből, az eszközkezelő üresen tátong, stb) A problémára a Symantec készített megoldást.

- A névfeloldás nem működik, azaz csak IP-címet beírva lehet böngészni. (DNS hiba)
Ha ezt tapasztalod, akkor majdnem biztos, hogy Alcatel/Thomson gyártmányú ADSL Bridge (modem) van a birtokodban, és nincs routered. Megoldást jelenthet, ha a hálókártyád TCP/IP beállítások részében manuálisan beállítod az elsődleges és másodlagos DNS-ek IP-címét. Ezt a szolgáltatótól kell megkérdezni. Ha ez nem válik be, iktass a bridge és a gép közé egy routert, vagy kérj egy más típusú bridge-et a szolgáltatódtól. A probléma megoldásáig vissza kell térned az SP2-höz. Hogy a konkrét kérdésben ki a hunyó, egyelőre még nem tudni.

- Használhatatlanná válik a Windows Installer, ami azt jelenti, hogy az MSI csomagban kapott telepítő készleteket nem tudjuk futtatni. A hiba nem csak az SP3 telepítéséből adódhat. Ha igen, akkor a következő a megoldás:
Ha a szolgáltatás még működik, akkor manuálisra állítva és elindítva, el kell távolítani a régi Windows Installert. Ezt az erre kitalált eszközzel (Windows Installer Cleanup Utility) tehetjük meg. Utána tegyük föl a legfrissebb Windows Istallert, ami jelen esetben a 4.5-ös verzió. (Figyelem! A 4.5-öt nem lehet, csak SP3 alá telepíteni.)

- Nem sikerül integrálni az SP3-at a telepítőkészletbe. Megoldás. Ez csak azoknak probléma, akik ilyennel kísérleteznek. Az átlagos felhasználó nemigen játszik ilyenekkel.
Ha mégis, akkor arra ott az nLite.

Egyedi Windows install készítése (nLite)

Ha nem akarunk minden telepítés alkalmával szívni a rossz driverek, vagy a telepítéskor sok esetben hiányzó SATA driver miatt, valamint el akarjuk kerülni, hogy minden reinstall után elkezdődjön "a Windows frissíti magát" tortúra, akkor egy saját telepítőanyagot érdemes készíteni, amiben mindez benne van. Ilyet az nLite-tal készíthetünk. A program használata végtelenül egyszerű, és nagyszerű. Némi kísérletezéssel gyakorlatilag bárki képes vele egy saját install lemezt készíteni, amiben nem csak az adott gépre vonatkozó driverek vannak testre szabva vagy kiegészítve, de elvileg integrálhatjuk a kedvenc böngészőnket, levelező kliensünket és bármi egyebet amire csak szükségünk van. Ezen felbuzdulva sokan túlzásokba esnek. Nem telepítőt, hanem teljes rendszert készítenek. Ezzel az a baj, hogy ha egy év múlva elővesszük, akkor az alkalmazások jelentős része már elavult lesz, és amúgy is muszáj őket újrainstallálni, vagy frissíteni, ami lényegében ugyanannyi időt vesz igénybe, mintha akkor telepítenénk föl az új verziót. Az alaprendszeren és a drivereken kívül tehát inkább ne integráljunk semmi mást a telepítőbe. A fontos alkalmazásaink aktuális telepítői pedig legyenek kéznél, ha valamiért szükség van rájuk.

Az Nlite sokban megkönnyíti mind az informatikusok, mind az egyszerű felhasználó munkáját, ha újra kell rántani az oprendszert.

A Windows mint kémprogram - ellenszer: XP AntiSpy

Egy jó rendszer tartalmazza az összes fontos és nélkülözhetetlen szerviz- és biztonsági javítócsomagot,  jól működő, lehetőleg napra kész meghajtóprogramokat (driver), és a napi használatban lévő fontosabb alkalmazásokat amire majd lejjebb kitérek. Miután a biztonsági frissítésekkel befoltozott operációs rendszerünk készen van és működőképes, fel kell készíteni azt napjaink fokozottan veszélyes internetjére. Nem elég ugyanis felcsatlakozni, aztán utánunk az özönvíz, a Windows ugyanis alapból futtat egy rakás szolgáltatást és programot a háttérben, aminek neki lehet ugyani állni legyalulni, ha tudjuk mit csinálunk, de ha nem, akkor vagy ezért, vagy azért lesz problémánk. Ha nem akarjuk aprólékosan meghackelni a Windows-t, akkor a gép biztonságos üzemeltetéséhez néhány nélkülözhetetlen segédprogramot is szükséges telepíteni a frissítések után, de még a hálóra való fellépés előtt. 

Sajnálatos, hogy a Windows - jelen esetben az XP - esetében már maga az operációs rendszer számos ponton bizonyos értelemben kémprogramnak tekinthető. Nem véletlen, hogy az illegális Windows másolatokra oly könnyen rátalálnak  a Microsoft emberei. A jövőt illetően pedig egyenesen rémisztőek a kilátások. A Microsoft 2007 nyarán bejelentett szabadalmából egy olyan Windows rémképe látszik kibontakozni, mely beleolvas az e-mailjeinkbe és a dokumentumainkba, belehallgat a zenéinkbe, és ez alapján határozza meg, mit érdemes reklámozni nekünk. Még a gépet is megkérdezi, nem szorulna-e cserére valamelyik alkatrésze – ha igen, arra is bedobna egy hirdetést.

Jelenleg ez utóbbi még nem fenyeget, és ha a Windows-unk legális, nem is igazán a Microsofttól kell félnünk, hanem a meglévő gyári kiskapukat kihasználó kártevőktől, no meg a neten szórakozó úgymond vicces emberektől. Az egyéb felhasználói szoftverek föltelepítése előtt tehát futtassuk le az XP AntiSpy nevű progit, és tiltsuk le legalább a beépített kémeket. A program egy alsó ablakban el is meséli, hogy melyiket miért érdemes letiltani. Van benne pár túlzás, de nem követhetünk el semmi baklövést, ha esetleg túlzottan szigorúak vagyunk, mert ha valami nem úgy működne a beállítás után, ahogy megszoktuk, később visszaállítható ugyanezzel a progival másodpercek alatt, kivéve a törölt Windows Messengert, de azt ne is sajnáljuk, mert a használata rendkívül aggályos, hemzseg a vélhetően szándékosan programozott biztonsági lyukaktól, és ebből kifolyólag a fertőzések egyik kiemelt forrásának számít. (Lásd pl. a Bropia F nevű férget.)

Érdemes tudni, hogy még az FBI is a Windows rendszerekre készített kémprogrammal végez online házkutatást. Persze, hogy az ügybe mennyire vannak beavatva a vírusok és kémprogramok elleni szoftverek gyártói, azt nem tudom. Ilyen alapon azonban bárki megteheti velünk ugyanezt, ha nem vigyázunk.

Amennyiben - helyesen - nem kívánjuk használni az Internet Explorert, tiltsuk le a Javascript-et és az ActiveX-et. Ha netán mégis, akkor ne tegyük, mert azzal lényegében használhatatlanná válik a böngésző ezáltal.

Az XP Antispy-al ki tudjuk kapcsolni az automatikus frissítést is. Ez alapvetően nem egy haszontalan szolgáltatása a Microsoftnak, de mivel folyton pofázik, hogy frissíteni kéne, akkor is, ha csak valami teljesen szükségtelen dolgot akar fölnyomni a gépünkre én a manuális frissítést  szoktam inkább javasolni. Ezzel azt is elkerülhetjük, hogy egy kártevő Windows frissítésnek álcázva települjön a gépünkre. Feledékeny embereknek inkább az automatikus frissítés ajánlott.

A Windows számos olyan szolgáltatást futtat a háttérben, amire semmi szükség. Erről akartam is írni, de aztán rátaláltam Málnás István: A Windóz lemeztelenítése* c. mókás, de annál tanulságosabb írására. Az alcíme valami olyasmi lehetne, hogy "hogyan szabaduljunk meg a sallangoktól, de használjunk inkább Linuxot".  A cikkben foglaltak inkább csak haladóknak vagy próbálgatni vágyóknak ajánlottak. Azoknak, akiknek az írás olvasása közben leereszkedik a köd, inkább ajánlom a fentebb említett XP AntiSpy használatát.

Ha az XP Antispy-al mindent letiltottunk, később amikor manuálisan frissíteni akarjuk az operációs rendszert, problémáink adódhatnak. A Windows Update használatához szükséges, hogy a "Megbízható (Trusted) zónához" hozzáadjuk a Microsoft bizonyos webhelyeit. Engedélyezni kell továbbá az ActiveX-et és az Automatikus frissítés szolgáltatást is, az XPAntispyból helyreállítva, különben hiába kínlódunk, nem leszünk képesek elvégezni a szükséges frissítéseket. A frissítések befejezése után ne felejtsük el újra letiltani az említett szolgáltatásokat, feltéve, hogy nem akarunk átállni az automatikus frissítésre!

Még egyszer leírom: ne feledjük aktiválni a Windows-unkat, különben 30 nap múlva azon fogjuk észrevenni magunkat, hogy nem indul a rendszerünk. Egy mezei rendszert nem lenne probléma aktiválni utólag, de ha egyszer az XP Antispy-al "helyre tettük", akkor ez már nem fog menni!

Fontos! Az XP Antispy beállításai csak arra a fiókra vonatkoznak, amivel beléptünk! Ha új lokális felhasználót hozunk létre, először rendszergazdaként lépjünk be a kérdéses fiókkal, intézzük el XP Antispy-al, és csak utána soroljuk be a megfelelő csoportba.
 
* A link egy 2007-es repost. Az eredeti cikk elveszett.

A hálózati kapcsolatok helyes beállítása, a NetBIOS protokoll letiltása

Nagyon fontos! A hálózati beállításoknál a NetBIOS sem alapbeállításként, sem pedig direktben ne legyen engedélyezve! A NetBIOS egy ősöreg protokoll, annyi a lyuk rajta, mint egy szivacson. Csak akkor van rá szükség, ha fájl- vagy nyomtatómegosztást használunk a belső hálózaton. Ezek a szolgáltatások sajnos nem működnek másképpen, az összes Windows verzió ezt a könnyen hackelhető protokollt használja erre. Javaslom, hogy használjunk más megoldást. Irtsuk ki a NetBIOS-t és inkább használjunk nyomtatószervert a közös nyomtatáshoz. Ez már csak azért is praktikus, mert nem kell annak gépnek folyton bekapcsolva lennie, amelyikhez a nyomtató van csatlakoztatva.

Aki nem LAN-hoz csatlakozik, csak közvetlenül az internethez, annak egyáltalán nincs is  szüksége a NetBIOS-ra, tehát nyugodtan (és feltétlenül) kapcsolja ki! A lényeg, hogy a hálózati beállításoknál semmi se legyen engedélyezve a TCP/IP protokollon és szélessávú kapcsolat esetében a QoS csomagkezelőn kívül!

Ha már itt tartunk, a QoS létjogosultsága is eléggé vitatott . Azt a közkeletű hiedelmet viszont, hogy a QoS lefoglalja 20%-át az elérhető sávszélességnek, felejtsük el, mert marhaság.

Ha a NetBIOS-t az XP telepítési alapbeállításán hagyjuk, akkor a teljes vinyónk tartalma szabad préda lehet, és nem csak a hackerek számára, hanem akárki számára a világhálón, kivéve, ha van egy megfelelő tűzfalunk. Mint azt azonban később látni fogjuk, egy tűzfal vagy egy vírusirtó adott esetben kilőhető, és ha ekkor a NetBIOS be van kapcsolva, akkor lényegében azt művelnek a dolgainkkal, amit akarnak.

Azoknak, akiknek mégis szüksége van a belső hálón történő megosztások miatt a NetBIOS-ra, ajánlom, hogy olvassák végig Steve Gibson útmutatóját a beállításokat illetően. Sajnos a cikk írásakor a Windows XP még nem volt használatban, de a protokoll-kötések beállítása apró eltérésekkel lényegében alkalmazható az XP-re is.

A NetBIOS-t kényszerűségből használóknak melegen ajánlom ezen kívül egy olyan program beszerzését, ami megvédi a biztonsági szoftverek (tűzfal, vírusirtó, stb.) folyamatait a kilövéstől. A DiamondCS Processguard -ja kiválóan megfelel erre a célra. Nem csak az említett kilövések ellen véd, de sok speciális kártevő (rootkitek) működését is alapból megakadályozza. A Processguard-ról még szó lesz a későbbiekben.


Az Autorun/Autoplay (automatikus lejátszás) letiltása

Eddig már négyszer volt szerencsém driverlemezen, vagy újság CD-n, kapcsolt áruként elhelyezett vírushoz, ami a beépített Autorun szolgáltatással szépen föltelepedett volna a gépemre, ha az nem lett volna kikapcsolva. Újabban a gépek közötti pendrive forgalom nő exponenciálisan, ami ugyanezt a veszélyt hordozza magában. Tekintve, hogy egy jó kis rootkitre, (lásd a kártevőknél) vagy trójaira nem nagyon van szükségünk, az autorunt ajánlott kikapcsolni. Mellesleg az is elég idegesítő tud lenni, hogy a Windows állandóan zaklatja az embert, hogy ezzel vagy azzal most mit kezdjen, ha beteszünk egy lemezt a CD/DVD meghajtóba, vagy bedugunk egy pendrive-ot függetlenül attól, hogy egyszer már beállítottuk, hogy semmit se csináljon! Ez egy mindmáig kijavítatlan XP hiba. Kapcsoljuk ki az Autorun szolgáltatást! Kell a fenének!

Ha csak a CD/DVD autorun-ját akarjuk kikapcsolni, akkor azt az XP Antispyban is megtehetjük, de saját magunk is beállíthatjuk a registryben:

A regiszrációs adatbázis beállítása a CD-ROM Autorun kikapcsolásához

Rendszerkulcs:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDRom
Név:               Autorun
Típus:             REG_DWORD
Érték:             0 (Alap esetben, azaz ha be van kapcsolva, ez az érték 1)
 
 

Ha az összes meghajtó automatikus lejátszását le akarjuk tiltani, (CD/DVD, USB-s vinyó, pendrive-ok, stb) akkor a következő kulcsot kell a registryben beállítani:

Regiszrációs Adatbázis beállítások az Autorun kikapcsolásához (minden)

Rendszerkulcs:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
Név:               NoDriveAutoRun
Típus:             REG_DWORD
Érték:             03ffffff
 


Ha letiltjuk az Autorun szolgáltatást, akkor ha kicseréljük a lemezt a CD/DVD meghajtóban, a Windows nem fogja látni az új lemez nevét, csak ha újraindítjuk az operációs rendszert.
A CD/DVD böngészhető, és működik, de pl. azt vesszük észre, hogy mondjuk a World of Warcraft-tal játszunk, de még mindig az Age of Empires ikonja látszik az Intézőben. Ez sokakat zavar, ezért nem tiltják le élből az egészet, hanem szelektíven engedélyezik a meghajtó tulajdonságainál az Automatikus lejátszás fülön. Nem próbáltam ki, de könnyen előfordulhat, hogy ezzel a Windows-os módszerrel csak a folytonos zaklatást ússza meg az ember, a trójait nem, mivel az oprendszer attól függetlenül ránéz a meghajtóra, hogy azt állítottuk be, hogy semmit se csináljon. Ráadásul a pendrive-ok betűjele folyton változik attól függően, hogy mi az utolsó helyi meghajtó. Arról nem is beszélve, hogy ha egy másik típusú pendrive-ot helyezünk be a gépbe, akkor a Windows  gyakran figyelmen kívül hagyja a beállításokat, még akkor is, ha az új meghajtó betűjele megegyezik egy már régebben beállított pendrive betűjelével. Ezért ha szelektíven állítjuk be a meghajtókat, legyünk nagyon körültekintőek. Vagy nagyon gondoljuk meg, hogy mit dugunk be és hová. :) Mondjuk erre találták ki a vírusirtókat, de mivel abszolút 100%-os védelem nem létezik, jobb félni, mint megijedni.

Fiókok:  

A Vendég és Support fiók letiltása, felhasználói fiók létrehozása, jelszó beállítás

A felhasználói fiókok közül, első dolgunk legyen, hogy tiltsuk le a "Vendég" valamint a "Support" vagy "Segítségnyújtó" fiókokat. Ezen fiókok ugyanis biztonsági lyukat jelentenek. Pl. a Vendég fiók megléte és egy megfelelő megosztás mellett, egy szakértő percek alatt behatolhat a gépünkbe. Mint azt majd látni fogjuk, a kását nem eszik ennyire forrón, de a számítógépes biztonság alapja, hogy az összes ismert lehetőséget kiiktassuk, még akkor is, ha egyébként szoftveresen mindent megteszünk a gépünk védelmében.

A Linuxhoz hasonlóan a Windows-ban is telepíthetünk rendszergazdai jogokkal kontext menüből (jobb kattintás) a <Run As>, azaz <Futtatás mint> felhasználásával, de ez nem teljesen azonos azzal, mint amikor valaki rendszergazdaként lép be a Windows-ba. Számos szoftver létezik (pl. a Microsoft Office) mely kizárólag csak igazi rendszergazdai fiók alatt hajlandó települni, <Run As>-zel nem. Az pedig elég gyakran előfordul sajnos, hogy egyes szoftverek nem úgy viselkednek mint kéne, vagy egyáltalán nem működnek, ha sima felhasználói jogokkal lépünk be a Windowsba. Különösen, ha játékokról van szó. Mindezek miatt aztán a felhasználók túlnyomó többsége rendszergazdaként csücsül bent a gépén. Erről a szakemberek általában le szokták beszélni az embereket, mert így sokkal nagyobb mozgásteret biztosítunk a kártevőknek. Én nem látom ezt olyan véresen, lásd az ezután következő jegyzetet. Az viszont már igenis komoly és általános biztonsági probléma, hogy  a belépésre a beépített Rendszergazda fiókot, jelszóként pedig az  <Enter> billentyűt használják. (ti: nincs jelszó beállítva). Ha így járunk el, az egyik legalapvetőbb biztonsági előírást szegjük meg. Ha nincs jelszava a rendszergazdának, gyerekjáték a géphez kívülről hozzáférni, lokálisan meg aztán pláne.

Ne legyünk tehát lusták, hozzunk létre egy új felhasználót és tegyük meg rendszergazdának, majd találjunk ki egy biztonságos jelszót, amiben vannak nagy és kisbetűk, valamint számok is. Ezek után szintén biztonsági okból érdemes a rendszergazda fiókot átnevezni valami másra, és annak is adni valami jó kis jelszót. Ez utóbbira azért van szükség, mert ha netán valaki a gépünk tartalmára pályázik, és valamilyen módon bejutott a gépünkre minden védelem ellenére, nem tudja átvenni a gép fölött az uralmat anélkül, hogy tudná a "rendszergazda" fiók új elnevezését. Ezt még fokozhatjuk azzal, hogy mellé létrehozunk egy másik fiókot "rendszergazda" névvel, ezt viszont tiltott fiókként állítjuk be.

Azt azért tudni kell, hogy egy hozzáértő számára a Microsoft operációs rendszereinek egyike sem jelent problémát még tökéletesen lejelszavazott és beállított állapotban sem. Ha a géphez az illető fizikailag hozzáfér, azt egy szempillantás alatt feltörheti, kivéve, ha merevlemez titkosítást használunk, vagy az érzékeny adatainkat chipkártyás tanúsítvánnyal védjük meg. A hangsúly azonban elsősorban azon van, hogy kívülről ne férjenek hozzá a gépünkhöz és a rajta lévő állományokhoz.
 
Amikor jelszót választunk, lehetőleg ne a gyermekeink, kutyánk, macskánk nevét írjuk be, és soha ne legyen azonos a felhasználói nevünkkel, mert akkor bárki illetéktelen aki leül a gépünkhöz felhasználó szintű ismerettel, pillanatok alatt a magáévá teheti az adatainkat. Akkor jó egy jelszó, ha minél értelmetlenebb, és változatosabb. Használjunk nagy és kisbetűket is, és lehetőleg tartalmazzon számo(ka)t is a jelszó. Az emberek többnyire az elejére, és a végére tesz számokat. Ha mi nem így teszünk, ezzel is biztonságosabb jelszavunk lesz. Főleg, ha nem személyhez köthető dátumokat vagy számokat használunk. A jelszót cifrázhatjuk még kiegészítő karakterekkel is, ezeket az <Alt Gr> billentyűvel érhetjük el. Az ismert jelszóválasztási problémák elkerülése érdekében olvassuk még el Mark Burnett örökzöld írását.

A Windows jelszavunkat ne írjuk le sehová, és ne azt a jelszót használjuk a neten lévő honlapokon szükséges regisztrációkor. Ez persze ugyanúgy be kell tartani a levelezéshez használt jelszavaink esetében is. Ha megfelelően erős jelszót választottunk, és nem áll valaki a hátunk mögött rendszeresen miközben begépeljük, akár nem is muszáj megváltoztatnunk többé.

Rendszergazda jogokkal, vagy felhasználóként?

Ha a Windows operációs rendszert mezei felhasználóként (user jogokkal) használjuk, az a korlátozott jogok miatt bizonyos ritka vírusok esetében, vagy egyes trójaiak számára, Uram bocsá' egy esetleges betörésnél előny lehet. Sajnos azonban számos esetben előfordul, hogy valamilyen szoftver nem működik, vagy nem úgy viselkedik mint kellene, ha nem vagyunk rendszergazdák a gépen. Ezeket a problémákat többnyire át lehet hidalni a Futtatás mint... paranccsal, ami a jobbkattintás menüből érhető el a program ikonjára kattintva. Ez elsősorban arra való, hogy a rendszergazdák user alól tudják manipulálni a hozzáféréseket és hasonlók, de többnyire jól használható programok futtatására is.

Telepíteni is lehet ilyen módon, de ha nem Microsoft Installerrel készült anyaggal rendelkezünk, akkor nem biztos, hogy sikerrel járunk. Létezik egy sor olyan eset is (pl. MS Office XP és újabb, Visio, stb) amikor még az első indításkor is rendszergazdának kell lennünk a gépen, ha az alapbeállítás szerint installáltuk. A rendszer lelkébe pedig végképp nem lehet belenyúlni csak rendszergazdaként. Például driver frissítésnél.

Én azt mondom, hogy ha valaki végigköveti az oldalamon olvashatókat, akkor felesleges a gépén felhasználói jogokkal, vagy a "Run As"-zel  (Futtatás mint...) szenvednie. Ennek ellenére ha tartani akarjuk a maximális biztonságot, és semmi speciális dolgot nem futtatunk a gépen aminek a működéséhez feltétlenül rendszergazdai jogok szükségesek, fontoljuk meg a felhasználóként való géphasználatot. Hogy veszteni nem vesztünk vele semmit, az biztos.

A másik lehetőség, hogy általánosságban rendszergazdaként használjuk a gépet, viszont bizonyos kritikus alkalmazásokat, mint a böngésző, e-mail kliens, MSN, stb. alacsony jogokkal futtatunk. Ehhez ad segítséget a DropMyRights nevű, a Microsoft egyik szakembere által írt kiegészítő programocska. Az alkalmazások linkjeit egyenként be kell állítani, hogy ne direkt, hanem a DMR-en keresztül induljanak el, más dolgunk nincs. A DropMyRights használatáról itt találunk egy tömör magyar leírást.

Az admin megosztások kikapcsolása

Mielőtt ennek nekilátunk, érdemes tudni, hogy megfelelő tűzfalas és kártevővédelemmel ellátott gépek esetében elhanyagolható az esélye, hogy minket kívülről az admin megosztásokon keresztül megtámadjanak. Ha azonban a szükséges védelmek egyike hiányzik, vagy elégtelen, és a biztonsági programokat számunkra észrevétlenül kilövik, a gép tálcán kínálja fel magát az illetékteleneknek, ha az admin megosztások be vannak kapcsolva.

A Windows XP a merevlemezeket, a megosztott nyomtatót, stb. rejtett megosztásként feltálalja a hálózatnak. A C: partíciónk például \\gépnév\C$-ként a windows mappánk pedig ADMIN$-ként bárki számára elérhető, aki elég ügyes, pl. egy ún. sniffer (szaglászó) segítségével. Ezeket az admin megosztásokat meg lehet szüntetni, amennyiben nem használunk semmi olyan programot, aminek szüksége van rá, vagy nem támogatnak bennünket távoli gépről. Ha nem vagyunk belső hálózatba kötve, csak egyedüli gépként lógunk a neten, akkor ezeket minden gond nélkül lelőhetjük. Ez a következő módon történik: futtassuk a regedt32.exe-t és állítsuk be a következőt:

Az admin share kikapcsolása

Rendszerkulcs:    HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
Név:                 AutoShareWks
Típus:               REG_DWORD
Érték:               0
 
 

Ha a bejegyzés hiányozna, hozzuk létre. Végül indítsuk újra a gépet.
(Ha netán egy szerverrel szórakozunk, akkor a név: AutoShareServer értelemszerűen.)

 Az IPC$ és a hálózati kiajánlások biztonsági problémája

Az admin kiajánlásoknál még könnyebben támadható pontja a gépeknek a hálózati nyomtatók és fájlmegosztások IPC$ kiajánlása. Sajnos az admin share-ek elleni registry trükk erre nem hat, viszont ha nem védjük meg, akkor pár perc alatt feltörheti és  szétgányolhatja valaki a gépünket távolról. A hackerek az IPC$ megosztást használják, hogy a gépre, és a felhasználókra vonatkozó adatokat megszerezzék. Ez élő IPC$ mellett akkor történhet meg, ha:

1, a fájlok hozzáférési beállításai (ACL) nem megfelelőek
2, nem törölted, vagy kapcsoltad ki a Vendég nevű felhasználói fiókot
    (Elvileg már nem lenne szabad Vendég felhasználónak lennie a gépünkön, ha az XP
      Antispy részen már túljutottunk.)
3, nem zártad ki az anonim bejelentkezés lehetőségét

A régebbi Windows rendszereken elég volt az IPC$ megosztást egyszerűen törölni, az XP ezt sajnos csak ideiglenesen teszi meg, újraindítás után újra megjelenik. Csak úgy tehetjük igazán biztonságossá, ha:

Első lépés: a fájl- és nyomtatómegosztást uninstalláljuk a hálózati protokollok közül.
Ezt a hálózati kapcsolat tulajdonságainak "általános" füléről tehetjük meg.

Második lépés: kikapcsoljuk az anonim bejelentkezést.
Ehhez állítsuk át a következő kulcsot a regedit-tel:


Anonim bejelentkezés kikapcsolása

Rendszerkulcs:    HKLM\System\CurrentControlSet\Control\Lsa
Név:                 restrictanonymous
Típus:               REG_DWORD
Érték:               2
 
Alapértelmezés:  0

Az értékek a következőket jelentik:

0: Nincs megszorítás. A rendszer az alapértelmezett engedélyek szerint jár el.
1: A SAM fiókok és nevek felsorolása nem engedélyezett.
2: Névtelen hozzáférés csak külön engedéllyel

A 2-essel tehát lehetetlenné tettük a null session kapcsolatokat, magyarul kizártuk a NetBios anonim bejelentkezés lehetőségét, ami azt jelenti, hogy ha valaki az IPC$-on keresztül akar valamit a géptől, akkor a rendszer jelszót kér tőle. Mivel az nincs neki, védve van a gép, mellette viszont megmarad a belső hálózati megosztások lehetősége.

Az IPC$ még mindig ott csücsül?

Hát persze, de már semmi jelentősége. Ha valaki igazi paranoiás, akkor akár ki is kapcsolhatja a "Server" (kiszolgáló) szolgáltatást. Ezzel végképp kinyíródik az IPC$ és minden más admin és nem admin megosztás is. A Kiszolgáló nevű szolgáltatás kilövése azonban nem helyettesíti a fentebb leírt két lépést.

A Kiszolgáló szolgáltatást a Sajátgép [jobbklikk] > Kezelés > Szolgáltatások és kiszolgáló alkalmazások > Szolgáltatások pontban találjuk meg. Le kell állítani, majd az "indítás típusánál" kiválasztani, hogy "Letiltva". Probléma megoldva.

Megfelelő központi tűzfal és a kliens gépeket futó kártevővédelem (vírus- és kémprogram irtók) mellett nem kell félnünk a fájl- és nyomtatómegosztástól, de ha nem feltétlenül muszáj, kerülni kell őket. A nyomtatót inkább hardveres nyomtatószerveren keresztül használjuk, a könyvtárainkat, fájljainkat pedig ne osztogassuk meg csak úgy üttre-püffre.
Ha a fájlmegosztás feltétlenül szükséges, akkor ma már olcsón beszerezhető olyan önálló fájlszerver, amely hálózati elemként üzemel, és egy merevlemezt tartalmaz.
Ha több gép is van a hálózatban és nem tudjuk másképp megoldani a nyomtatóhasználatot, csak megosztással, akkor viszont az a legkevesebb, hogy töröljük a "Vendég" nevű felhasználót a felhasználói listából, és az anonim bejelentkezést letiltjuk. A fájl- és nyomtatómegosztást ilyenkor persze nem szabad kigyomlálni a protokollok közül. Aki egy így beállított gépen nyomtatni akar, attól a gép jelszót fog kérni, de tudja majd használni. Ha valaki sokat nyomtat a gépünkön lévő nyomtatóra, ez nem biztos, hogy célszerű megoldás. Ez utóbbi esetben inkább javaslom a már említett printszerver hardver beszerzését. Ez már csak azért is célszerű, mert nem kell a nyomtatás miatt egy számítógépet folyton bekapcsolva tartani.


A Windows Scipting Host (WSH) kikapcsolása

A WSH szolgáltatás a Windows operációs rendszerek része, egy időzített bomba! Ha nem kapcsoljuk ki, a levelek csatolmányaiként érkező férgek önálló életre kelhetnek (Outlook Express esetében) de a kártevők is kihasználhatják. A bomba hatástalanításához használjuk az XP Antispy-t, kapcsoljuk ki a WSH-t, majd futtassuk le a noscript.exe nevű programocskát, és nyomjuk meg a "Disable" gombot. Ez utóbbi egy másik szinten akadályozza a scriptek futását, biztos ami biztos.


Finomhangolás - Tippek, trükkök

  A page file (virtuális memória) méretét úgy állítsuk be, hogy az legalább 1.5-szer, max. 3-szor akkora legyen, mint amennyi RAM van a gépünkben. Ez az optimális mennyiség. Állítsuk be továbbá, hogy kilépéskor törlődjön a page file. Ezzel megelőzhetünk néhány működési problémát, és biztonsági szempontból sem egy hátrány, bár annyit azért hozzá kell tegyek, hogy ha ez így van beállítva, akkor a gép valamivel lassabban áll le. Régi, lassú merevlemezek, vagy nem megfelelő méretű virtuális RAM beállításnál még lassabban.
A page file kilépéskor való törlődését legegyszerűbben az XP Antispy-al állíthatjuk be.

  Gyorsíthatunk a gépen, ha a virtuális memóriát egy gyors merevlemezen működtetjük.
Minél gyorsabb a merevlemez, annál gyorsabb a Windows. Tudni kell azonban, hogy ha a page file nem a rendszerpartíción van és egyben, hanem vagy egy másik partíción/lemezen, vagy szétszórva több vinyón, akkor egy rendszerösszeomlás esetén a memóriatartalom lemezre mentése (memory dump) lehetetlenné válik az operációs rendszer számára. Ez azt jelenti, hogy bár nyerünk a sebességgel, de bizonyos esetben gondot okozhat a dolog. Az ún. "kékhalál", angolul BSOD (blue screen of death), jelenség azonban szinte kizárólag akkor fordul elő, ha valami baj van a hardver, vagy annak drivere körül, ezért egy hardver szempontjából rendben lévő gép esetében nyugodtan megkockáztathatjuk a virtuális memória áthelyezését.

  A BIOS-ban a PNP-t (Plug and Play) csak akkor kapcsoljuk ki installáció után, ha valamilyen gyengébb minőségű eszközt időnként újra felismer az oprendszer bekapcsoláskor, ellenben állítsuk vissza a PNP-t minden olyan esetben, amikor új hardvert teszünk be, vagy egy régit helyezünk át egy másik slotba, különben az eszközhöz újra kell telepíteni a drivert. Egy összetettebb működésű hardver esetében ezzel az aprósággal sok időt megspórolhatunk.

  Csak bizonyos nagyon régi eszközöknél szükséges, hogy az XP bootolási folyamatba beavatkozva az IRQ csatornát az eszköz számára fenntartsuk a BIOS-ban. Az újabb keletű ISA buszos kártyáknál ez már nem szükséges. A modern alaplapokon pedig már ISA busz sincs, úgyhogy ennek már nincs jelentősége.

  Ha szükséges, a számítógép állapotáról teljes képet kaphatunk, ha a Futtatás sorból elindítjuk az MSINFO32.EXE programot.

  Zajos a DVD, vagy a CD meghajtónk? Korunk eme zajgépeit egy pillanat alatt megszelidíthetjük. A Vezérlőpult - Energiagazdálkodási lehetőségek beállításaiban kattintsunk a Egyéb fülre. Legfelül A CD-ROM sebességnél állítsuk be, hogy "Csöndes", és okézzuk le. Sajnos csak notebook-ok esetében használható ez a megoldás, azoknál is csak akkor, ha a BIOS/driver támogatja. A többi gép esetében, beleértve az összes asztali gépet is, ez a beállítási lehetőség sajnos nem jelenik meg. Akik asztali gépet használnak, és túl hangos a meghajtójuk, próbálják meg a DriveSpeed, újabb keletű nevén a Nero CD-DVD Speed nevű programocskát. Ha CD/DVD írót használunk, akkor először teszteljük le vele, nehogy írás közben gondot okozzon.

  Ha bootolási időt akarunk megtakarítani, akkor kikapcsolás helyett inkább hibernáljuk a gépünket. (suspend to disk) Ehhez oda kell figyelnünk, hogy a merevlemezt ne a maximum kapacitásáig használjuk ki. A hibernáláshoz minimum annyi szabad helyre van szükség a merevlemezen mint amennyi RAM van a gépünkben.

  A merevlemez méretét lehetőleg úgy válasszuk ki, hogy a duplája legyen annak, amit gondoltunk. Hamar meg fogjuk látni, hogy még az is kicsi lesz. És bár a Windows XP maga el tud indulni ha legalább 5Mb szabad hely van a vinyón, de ha nincs megfelelő hely a virtuális memóriának, akkor az a rendszer sebességének drasztikus csökkenését vonja maga után. Ha a rendszerlemezünk éppen betelni készül, három dologgal segíthetünk magunkon. Egyrészt törölhetünk, vagy CD-re írhatunk felesleges állományokat, uninstallálhatunk nem használt alkalmazásokat, játékokat. Először ezeket a legcélszerűbb  megtenni.
A másik lehetőség, hogy a page fájlt (virtuális memória) áttesszük egy másik partícióra sőt inkább egy másik vinyóra! Ezt arra is jó megoldás, ha valamilyen alkalmazás miatt túl sok művelet folyik a rendszerlemezen, és sebességet akarunk nyerni. Erről majd még bővebben.
A harmadik lehetőség a System Restore (rendszerhelyreállítás szolgáltatás) kikapcsolása, amivel beállítástól függően akár a merevlemez kapacitásának 12%-át is visszakaphatjuk. Ez a szolgáltatás néha jól jöhet, úgyhogy hosszú távon inkább ne ezzel éljünk.
 

A HOSTS fájl használata

A hosts fájl használata nagyon egyszerű, különösebb tudást nem igényel, és nagyon hatásos megoldást jelenthet egyes problémákra. A hosts fájl a
%system drive%/windows/system32/drivers/etc mappában található és Notepad-del szerkeszthető. A logikája végtelenül egyszerű. Ha valamelyik webhelyet, vagy IP címet ki akarjuk zárni, beleírunk egy sort, ami az ún. localhost IP címével (127.0.0.1) kezdődik, majd szóköz után a letiltandó webhely neve következik. Arra kell csak vigyázni, hogy a hosts fájl különbséget tesz a www.akármi.hu és az akármi.hu között. Mivel a domainek többsége ma már a www előtag nélkül is elérhető, ha le akarunk tiltani egy helyet, akkor mind a két formátumban be kell írni a nevét a hosts fájlba.

Mire jó ez?

Ezzel a módszerrel kitilthatjuk a reklámszolgáltatókat, azaz eltüntethetők a számunkra nem kívánatos reklámok bármely böngészőből a frame-ek összeesése nélkül.

Gyermekeink gépén korlátlan mennyiségű webhelyet le tudunk tiltani a segítségével. Igaz erre vannak ennél jobb megoldások, de akkor is működik, és végtelenül egyszerű.

A leghasznosabb dolog viszont, hogy a kémprogramokat, szarvereket és trójaiakat terjesztő szemétre való webhelyeket egyszer s mindenkorra kitilthatjuk a gépünkről. Ezt a módszert több biztonsági alkalmazás is használja. Pl. a Spybot S&D.

Tiltó bejegyezés a HOSTS fájlban (példa)

127.0.0.1    reklamok.hu
127.0.0.1    www.reklamok.hu
 
 


Teljesítmény optimalizálás

 Ha optimalizálni akarjuk a Windows-unkat, barátkozzunk  meg a perfmon.exe nevű programmal. A futtatás sorból indítható, és a segítségével könnyen rábukkanhatunk rendszerünk szűk keresztmetszeteire. A legfontosabb paramétereket (merevlemez, processzor, és memóriaterheltség) alapból mutatja, ehhez talán még az IRQ foglaltságot érdemes hozzátenni. Egy adott rendszer teljesítménye elsősorban három dologtól függ:

   A virtuális memória kezelhetőségétől. A virtuális memória a merevlemezen foglal helyet, így ha nem akarjuk, hogy a gépünk ezzel szenvedjen, akkor érdemes megvennünk a rendszerünkhöz illő, megfelelő csatolóval rendelkező gyors merevlemezt. Ez sokat dobhat a rendszerünk sebességén, a merevlemez ugyanis több százszor lassabb, mint a RAM. Ha egy ideje már üzemelő gépről van szó, és láthatóan visszaesett a lemez teljesítménye, akkor pedig ne habozzunk töredezettségmentesíteni! Töredezett lemezen ugyanis a virtuális memória is töredezett lesz. Nagyon fontos még, hogy soha ne használjunk merevlemez tömörítést azon a lemezen, amelyiken a page file van!
(Lásd még a Finomhangolás rész második pontját.)

   A processzortól. Ha a processzor foglaltsága összesített átlagban 80% fölé kerül, az általában azt jelenti, hogy a proci teljesítménye nem elegendő arra, amire használni akarjuk. Már amennyiben minden periféria egészséges. Egy rossz merevlemez (vagy akármilyen hardver) okozhat pl. túlzott IRQ használatot.

Ha merevlemez tömörítést használunk, az sokat zabál a processzoridőből. Ha a túlzott processzorfoglaltság a problémánk, kapcsoljuk ki a tömörítést! Ma már olyan olcsók a nagy méretű merevlemezek, hogy véleményem szerint a merevlemez tömörítést már csak ideiglenes megoldásnak szabad használni, vagy még annak sem.

   A RAM mennyiségétől. Ha kevés a RAM a gépünkben, akkor a rendszer a fizikai RAM helyett kénytelen  a merevlemezre dolgozni (virtuális memória), ami mocskosul lassítja a működést. A virtuális memória nem pótolja a RAM-ot! Ha kevés a memóriánk ne használjunk animált kurzorokat, az asztalunkon feleslegesen tevékenykedő mozgó idétlenségeket, mint kutya, macska, és más egyéb. Ne használjuk háttérképeket sem, és távolítsuk el a nem használt protokollokat. Nagy memóriazabálók még a háttérben futó szolgáltatások is, de ezekhez csak akkor nyúljunk hozzá, ha tudjuk mit csinálunk. Ha a tálcán (jobb oldalt alul az óra melletti rész) túl sok apró ikon sorakozik, az nem túl jó jel.

A teljesítmény optimalizálás persze korántsem merül ki ennyiben. Aki többre is kíváncsi, annak ajánlom a Lassú a computer? Bottleneck! c. írásomat.



Tovább

1 2 3 4 5 6 7 8 9 10 11 12 13

Főoldal, tartalomjegyzék


 
                                       Copyright (c) Nibiru 1997-2011 - Minden jog fenntartva. A felhasználási feltételekről itt olvashatsz.