ACC: Pánem ve svém Operačním systému |
Napsal Accuphose: ACC TestCentrum | ||||||||||||||||||||||||||||||||||||||||||||||||
Wednesday, 23 August 2006 | ||||||||||||||||||||||||||||||||||||||||||||||||
Windows XP se Service Packem s označením 2 není sice žádná novinka, ale dalo by se říct, že dětské léta má za sebou a všechny smrtelné choroby se podařilo přežít a nyní ho používá drtivá většina uživatelů. Co si budeme nalhávat, dokud nebude umět konkurence rozkousnout rozhraní Direct X, na kterém je postavena drtivá většina her, tak se podíl OS s označením XP minimálně do uvedení Visty nezmenší. Proto by jsme se měli už s dostatečným odstupem podívat pod jeho kabát a rozebrat ho z hlediska bezpečnosti, výkonu a spotřeby systémových zdrojů a jak toto vše správným nastavením optimalizovat k maximální spokojenosti.. Pokud si přejete být svými pány ve svých XPéčkách, právě Vám je určen tento článek. Upozornění: Redakce ddworld neručí za potíže způsobené neodborným zásahem do software na základě tohoto článku. Článek je majetkem autora a veškeré dotazy směřujte na něj :). Předně musím upozornit všechny čtenáře, že tento článek není zaměřen nováčkům, ale i ti si jej mohou přečíst a odnést si z něj řadu poznatků. Mnohá nastavení vyžadují právě Service Pack 2 a úprava na jiném OS může mít nepředvídatelné následky. Rozhodně toto nepraktikujte ve firemním systému, kde je nutná celá řada služeb vzhledem k různým aplikacím, všechny věci byly odzkoušeny na domácím počítači s připojením na internet, bez sdílení jiným síťovým počítačům, vyjma např. sdílení na bázi Torrentu, pokud má nějaký krok fatální následky z hlediska jeho nepochopení, budete upozorněni, nemělo by se jednat o nezvratné kroky. Předpokladem je, že používáte jeden společný účet a to administrátorský, čemuž je podřízeno i nastavení, není problém cokoliv změnit následně. Celý článek je pojat s ohledem na výkon, na úkor efektů a klade si za cíl úsporu systémových zdrojů. Veškeré reg soubory jsou námi prověřené a fungují. Nedoporučujeme však jejich další šíření s ohledem na nutné info k jejich použití. Za případné problémy v souvislosti s některými úpravami nepřebíráme zodpovědnost, doporučujeme to dělat na čisté instalaci, pokud Vám některé kroky nejsou jasné, raději se přesvědčte, že víte co děláte, na případné otázky nebo nejasnosti Vám rádi odpovíme.
Služby ve Windows … První věcí, kterou by jsme měli začít, je použití zkratek potřebných k určité činnosti a sloužících k tomu, aby jste nemuseli hledat příslušná menu nebo proces. Všechny tyto výrazy zadávejte do tlačítka „spustit“, které se objeví po vyvolání hlavního menu - zdroj Technet První věcí na kterou by jsme se měli zaměřit jsou služby Windows. Pokud optimalizujeme jejich počet na nutné minimum, tak se můžeme dodstat na cca 50MB operační paměti, které si pro sebe ukořistí operační systém a to je velmi zajímavé číslo. Výměnou shellu se můžeme dostat dokonce i na 40MB, ale o tom zase jindy. Dejte Start – spustit – services.msc Služby se dají zastavovat spouštět, některé se zastavit nedají, pouze zakázat a tam doporučuji opatrně, tyhle by jste měly nechat automatickx povolené:Plug and Play Spouštěč procesů serveru DCOM – nutné zejména pro instalaci programů atd. Vzdálené volání procedur RPC – nutné pro stabilitu Zvuk systému Windows Síťové služby: nutno zapnout Klient DHCP nebo ručně vložit parametry DNS do nastavení TCP/IPprotokolu dle poskytovatele někde je nutno mít zapnutý Telefonní subsystém, pokud jste připojeni přes LAN klient DNS - vypnutí může zpomalit načítání stránek, vyzkoušejte Co je dobré nechat na ručně: HTTP SSL Správa aplikací Správa logických disků + jeho služba Šifrování Rozšíření ovladače WMI Windows Installer Zařazování tisku Další služby je možno zakázat v závislosti na dalších nastaveních: Služby WMI + adaptér - pokud nepoužíváte Windows Firewall a nevadí Vám, že některým aplikacím chybí info, každopádně Windows firewall nahraďte skurečným firewallem Aut. Kon. bezdrátových zařízení - pokud používáte přenosná zařízení nebo si přejete proWi-Fi, tak zapněte Automatické aktualizace - stahujte to co chcete a ne všechno, více v Belarc Advisor, některé věci jsou pro automatickou aktualizaci nutné !!! Win Firewall - použijte skutečný ne toto šidítko Chhráněné úložiště - data si chráníme sami, nespoléhat na funkci Motivy - IE a WMP vypadají bez toho hrozně, ale udělejme si vlastní vzhled Nápověda a odborná pomoc - zbytečné Oznamování sys. událostí + výstrahy a protokolování - není potřeba Protokol událostí - myslím že to nevyužijete, v případě problémů povolit, při zákazu se malinko pozdrží start Přístup k zařízením standardu HID - pouze zapnout pokud Vám nefunguje správně polohovací zařízení Síťové připojení - pokud ho máte nastaveno, můžete deaktivovat, pokud si net nevypínáte během spuštění, pak je třeba zapnout Obnovení systému mám vypnuto - ale je to na Vás Smart Card - pokud ji nemáte a nepoužíváte ke startu, zákaz Správce zabezpečení účtů - dá se vypnout Služby modelu COM+ - není potřeba proces svchost.exe občas způsobuje v závislosti na mnoha zapnutých službách vytížení na 99%-100% CPU, touto optimalizací tomu předejdeme Ukázka nastavení, pokud potřebujete zakázanou službu povolte jí a není problém Poznámka: mám vypnuto obnovení systému, ovšem Vám toto doporučovat nebudu, ale k tématu maximalizace výkon a minimalizace zdrojů to patří, v případě problémů se však vystavujete riziku reinstalu OS. !!
Měření bezpečnosti dle kritérií Belarc Advisor: Belarc Advisor si stáhněte zde Belarc Advisor je program, který zhodnotí bezpečnost nastavení Vašeho operačního systému, vhodné zejména pro Windows XP. Se Service Packem 2 by jste měli dosáhnout zhruba hodnot 2,5 u NTFS 3,13 z 10 možných Pojďme k tomu, jak si zvýšit na svém počítači bezpečnost, začli jsme službami, co dále? 1. stáhněte si dle odkazů v Belarcu ručně aktualizace, které Vám chybí, já jsem stahoval jen ty co potřebuji, takže jsem zde ztratil body, ale Vy si raději stáhněte všechny aktualizace, v těchto dnech vyšla nová verze Belarcu s novými fixy. 7.2 screeny jsou z verze 7.1 2. stáhněte si tento reg soubor, který podstatné věci udělá za Vás a spusťte (pokud se Vám to otevře jako text, tak dejte uložit jako reg soubor) Nyní musíme přejít k ručním změnám: Start – Spustit – secpol.msc Nastavte dle screenů:
Poté by podrobný popis k hodnocení měl vypadat zhruba takto:
Komentář: Na snímcích bylo dosaženo hodnot 6,67 pokud by byly staženy veškeré záplaty, byla by hodnota 7,92, v případě NTFS dokonce 8,55. V otázce bezpečnosti jsme šli dále jak doporučení Belarc Advisor a proto nebylo možno dosáhnout maximálních hodnot. K některým věcem: Test je určen primárně pro firmy, z toho plyne taky vyhodnocení některých položek: popis některých věcí Security Options: Zpráva pro přihlašující se: nevidíme důvod na domácím PC nutnost cokoliv sdělovat povinně a závislost na zabezpečení Vymazání swapovacího souboru při vypnutí a restartu: čas od času je to dobré, ale při každém to zbytečně prodlužuje dobu při vypnutí PC User rights: tam jsme šli dál zejména s ohledem na to, že se k nám nikdo přihlašovat nebude
Další nastavení … Dalším krokem ke zvýšení bezpečnosti je uzavření děr, které Windows nabízí, např. netBIOS, Windows Scripting Host 1. Windows Worms Doors Cleaner v1.4.1 u všeho co jde dejte „disabled“ u něčeho však by jste měli mít už neaktivní znak, protože služba je vypnuta 2. No Windows Scripting Host:(zakazuje a povoluje skripty) Pomocí WSH můžete být nakaženi například infikovanými cookies 3. Microsoft Virtual Java Machine Removing odstranění klíče, pokud ho neodstraníte, nepůjde Vám pak nainstalovaná nová verze MVJM !! 4. urychlení vypínání počítače, reg soubor 5. zrychlení startu a vypnutí zobrazení loga při bootování, pro jistotu porovnejte verzi OS a že nemáte více OS v systému, toto je pro Professional verzi - INI Jenom bych upozornil aby jste se např. nedivili, že máte naplánovánu kontrolu disku a uvidíte pouze černé okno, v tom případě odstraňte parametr /noguiboot pokud chcete opět zapnout gfraafické rozhraní, výhoda spočívá v tom, že pokud je rozhraní vypnuto, vidíte všechny případné chybové hlášky Problémy s TCP/IP: zdroj Technet, neodzkoušeno pokud máte problém se špatným nastavením a nebo jste měnili zařízení pomocí kterého se připojujete či poskytovatel je jiiný, možná postačí, když v adresáři "INF" naleznete soubor "nettcpip.inf" a pravým tlačítkem myši klepnete a dáte nainstalovat, mělo by se vrátit nastavení do výchozího stavu při instalaci. Vypnutí Windows File Protection a 50% úspora adresáře s Win XP Jako u všeho ostatního, toto by neměli dělat začátečníci, pro které je WFP nezbytnou součástí OS Návod platí pro Win XP + SP2 u jiných OS je to jiné 1. zálohujte sfc_os.dll (adresář s Win/system32) zkopírujte si ho někam a editujte v hexaeditoru, např. CodePad vyhledejte offset ECE9(0x00ECE9) a tyhle tři offsety přepsat: z 33CD40 na 909090 uložit... 2. zkopírujte do system32\dllcache, nejlépe pomocí manažeru souborového, nebo syntaxe pomocí cmd.exe, případnou žádost o CD nebo nahrazení ignorovat 3. v system32 se bude soubor bránit, nejjednodušší se ukázalo přejmenovat koncovku souboru na bak například (myšleno u toho co je využíván v system32 a nechce se nechat přepsat) poté stačí jen zkopírovat rychle upravený soubor a žádost o nahrazení ignorovat. 4. spustit regedit HKLM\Software\Microsoft\Winnt\CurrentVersion\Winlogon\SFCDisable změnit hodnotu na (0x)FFFFFF9D ukončit regedit, restart a enjoy. Jak uspořit místo: 1. editujte sysoc.inf v adresáři INF ve Winech a názvy "HIDE" smazat, poté konečně můžete odebrat co chcete z instalace OS 2. můžete smazat tyto adresáře: pokud jste si jisti, že to nepotřebujete Help(nápověda), PcHealth(odborná pomoc), Drivercache(záloha), Dllcache(záloha v adresáři system32) Pokud následně dojde ke smazání důležitého souboru, budete vyzvání k vložení instalačního CD. Mně se takto povedlo dostat se z cca 920MB na 450MB. Accuphose: ACC TestCentrum
Pouze registrovaní uživatelé mohou přidat komentář! |