Перейти к основному содержимому

Безопасность и системное администрирование

Опытному пользователю
Связь с блоком 401+

Модель угроз дома, WireGuard, Vaultwarden — в приватности и self-hosting. Здесь — конкретные программы на Windows.


Sysinternals Suite (Microsoft)

УтилитаНазначение
Process ExplorerДерево процессов, DLL, handles
Process MonitorФайлы/реестр в реальном времени
AutorunsВсё автозапуска (глубже диспетчера)
TCPViewКто держит сетевые соединения
PsToolsPsExec, удалённое выполнение

Скачать: Sysinternals. Использование — в процессах Windows.


Шифрование и локальные данные

ПродуктСценарий
BitLockerШифрование системного диска (Pro+)
VeraCryptКонтейнеры, второй том
7-Zip AESАрхив с паролем для пересылки

Модель угроз дома

УгрозаМера
Украли ноутбукBitLocker / VeraCrypt
Утечка пароля с одного сайтаУникальные пароли (Bitwarden / KeePass)
Открытый RDP в интернетVPN (WireGuard), не проброс портов
"Что держит файл?"Process Explorer или PowerToys File Locksmith

Подробнее — приватность (401+).


Безопасность и администрирование

Продвинутый пользователь владеет инструментами настройки программного обеспечения и осознанно управляет собственной цифровой средой. Такая позиция включает ответственность за три ключевых свойства данных:

СвойствоОписание
ЦелостностьГарантия отсутствия несанкционированных изменений информации
КонфиденциальностьЗащита от чтения неавторизованными лицами
ДоступностьОбеспечение работы сервисов при необходимости

Два основных направления обеспечивают эти требования:

  1. Информационная безопасность — защита данных от несанкционированного доступа, утечки или повреждения
  2. Системное администрирование — обеспечение корректного, эффективного и прозрачного функционирования программно-аппаратного комплекса.

Здесь пробегаемся кратко. На самом деле инфобезу посвящен целый раздел.


Управление учётными данными

Классификация учётных параметров

Любой доступ к ресурсам использует один из следующих типов учётных параметров:

Тип параметраПримерХранениеРиски
ПарольMyP@ssw0rdТекстовый файл, заметкиПеречитывание, фишинг
ТокенeyJhbGciOiJIUzI1NiIsInR5cCI6Ik...Браузер, памятьИзвлечение из памяти
API-ключsk-live-abcdef123456Исходный кодКоммиты в репозитории
Файл-ключkeyfile.binUSB-накопитель, папкаПотеря, копирование

Требования к менеджеру паролей

Надёжное решение для хранения учётных данных выполняет следующие функции:

  • Генерация криптостойких паролей с заданными параметрами
  • Шифрование базы с использованием алгоритмов AES-256 или ChaCha20
  • Локальное хранение базы данных синхронизацией по выбору пользователя
  • Поддержка многофакторной аутентификации для доступа к базе

Сравнение решений для хранения

ХарактеристикаKeePassBitwarden
Модель храненияЛокальный файл (.kdbx)Облачный сервер / Self-hosted
ЛицензияGPLAGPLv3
СинхронизацияЧерез внешний механизмВстроенная
Файл-ключДаНет
TOTP-генераторПлагинВстроенный
Экспорт в другой форматДаДа
Web-доступKeeWeb-плагиныВеб-интерфейс

KeePass — архитектурные особенности

KeePass сохраняет базу данных в одном файле с расширением .kdbx. Эта модель обеспечивает:

  • Копирование файла резервирование контрольные суммы
  • Вторичное шифрование через VeraCrypt
  • Размещение в любой среде синхронизации

Процесс расширения ключа выглядит следующим образом:

Мастер-пароль → Argon2/PBKDF2 → Ключ шифрования

Файл-ключ (бинарник 32 байта) → Двухфакторная защита

Компоненты экосистемы KeePass:

  • KeePassXC — кроссплатформенный форк (Windows, macOS, Linux)
  • KeePassDX — клиент для Android
  • KeePassium — клиент для iOS
  • KeeWeb — веб-версия с собственным хостингом

Bitwarden — модель облачного доступа

Bitwarden применяет end-to-end encryption архитектуру:

Устройство пользователя → Мастер-пароль → PBKDF2-SHA256(100000 итераций) → Ключ AES-256-CBC → Сервер Bitwarden

Только зашифрованные данные

Серверные компоненты хранят только зашифрованную информацию. Расшифровка происходит исключительно на устройстве пользователя.


Анализ системных процессов

Наблюдаемость системы

Понятие наблюдаемости включает способность понять:

  • Какие процессы выполняют операции в текущий момент
  • Какие ресурсы потребляются системой
  • Где могут находиться аномалии работы

Штатные инструменты предоставляют базовую информацию:

Операционная системаИнструментДоступные метрики
WindowsДиспетчер задачCPU, память, диск, сеть
macOSActivity MonitorCPU, память, энергия
Linuxtop / htopЗагрузка ядра, процессы

Process Hacker — функциональность

Process Hacker расширяет возможности анализа процессов через Native API Windows. Основные характеристики:


Информация о процессах

КатегорияДетализация
ДескрипторыФайлы, реестр, сокеты, мьютексы
ПотокСтатус, приоритет, время CPU, стек вызовов
Модули.dll файлы, цифровые подписи, хеши
Системные вызовыРеестр, файлы, сетевые соединения

Мониторинг дескрипторов

Процессы удерживают дескрипторы объектов. Процесс Hacker позволяет идентифицировать блокировки файлов:

1. Откройте Process Hacker
2. Выделите процесс с заблокированным файлом
3. Выберите вкладку "Дескрипторы"
4. Отфильтруйте по типу "File"
5. Найдите путь к заблокированному файлу

Аудит загруженных модулей

Проверка библиотек включает следующие параметры:

ПараметрОписание
Цифровая подписьПроверка подлинности разработчика
Хеш файлаСравнение с эталонным значением
РасположениеПолный путь к файлу
Дата компиляцииВремя создания бинарника

Интеграция с VirusTotal позволяет проверить хеш файла против известной базы угроз.


Под капотом — Procmon, шифрование и пароли

Process Monitor (Procmon) — драйвер фильтрации — каждый вызов Registry, File, Process, Network отображается в таблице. Фильтр Path contains hosts — кто трогает C:\Windows\System32\drivers\etc\hosts.

Autoruns читает все точки автозапуска (реестр, планировщик, службы, Winlogon) — удобнее вкладки "Автозагрузка" в taskmgr.

BitLocker шифрует том на уровне тома (XTS-AES); ключ в TPM + PIN или recovery key на бумаге. Без ключа данные на украденном ноутбуке — шум для вора.

VeraCrypt — контейнер или шифрование раздела; пароль + опционально keyfile. Отличие от BitLocker: кроссплатформенность.

Bitwarden / KeePass — база паролей за мастер-паролем; браузерное расширение подставляет через API. KeePass — локальный файл .kdbx; Bitwarden — сервер (или свой Vaultwarden).


Опыт, мнение и истории

"Файл занят". Process Explorer → Find Handle → имя файла → завершил зависший excel.exe — сохранил чужой отчёт без перезагрузки сервера терминалов.

Procmon и "тормозит ПК". Тысячи обращений к несуществующему пути в реестре от сломанного драйвера принтера — удаление драйвера, тишина.

BitLocker. Забыли recovery key, переустановка Windows — урок: ключ в менеджере паролей и на бумаге у родственников, не "вспомню потом".

Мнение. Sysinternals — must-have на Windows у power user. Второй антивирус не нужен; Procmon + Process Explorer закрывают "что происходит на машине" лучше, чем магические кнопки "ускорить".