Системное администрирование / [Из песочницы] В комнате с белым потолком

в 22:19, , рубрики: администрирование, безопасность, метки: ,

С вирусами стало сложно. С эксплойтами сложно. Антивиры помогают конечно, но машину грузят, да и надежность срабатывания не позволяет расслабиться. Но это еще ладно, вирусы это внешние факторы. А сама операционка? Раздел winsxs почистить невозможно (я нашел всего одну полурабочую тулзу) растет он по 1 гигу в месяц и размер его ввиду сплошных ссылок — сплошное же вранье. Реестр полон грязи от всевозможных левых, полулевых и очень даже правых программ. И качественно зачистить его тоже никто не может.
Однажды я понял, что лучше не будет, это технология. Регулярные чистки не помогают, антивирусы молчат. Пришлось искать другой выход. С год назад выход был установлен и опробован. Тоже, в общем технология, одним действием дело не ограничивается. Но один раз настроив — таки да можно реально расслабиться. Ничего принципиально нового, у меня просто хватило терпения довести дело до конца. Дальше — описание.
Идеология:
Системный диск должен быть «неприкасаемым». Одна сплошная «песочница» с возвратом к идеалу при перезагрузке. Т.е. любая программа делает с системой что угодно, хоть дефраг, хоть format c: /u/y. Но стоит перегрузиться, либо запустить «откат» и все вернется обратно. Это самый существенный момент, все остальный танцы будут вокруг него. Для реализации есть изрядное количество программ, я лично после нескольких экспериментов остановился на DeepFreeze, но есть еще Shadow Defender, Comodo TimeMachine, etc. На руборде имеется сравнение и полный список.
Итак, сначала надо полностью переинсталлировать систему. И никак иначе. Для «заморозки» система мало того, что должна быть чистой, ее еще неплохо бы после инсталляции почистить и настроить, потом будет сложнее. У меня для этого есть WinTools, но тут дело вкуса. И вот, у нас есть новорожденная система, быстрая, как болид, с полностью отключенными ненужными сервисами (вроде бэкапа и обновления), чищеным шедулером и всеми драйверами.
Дальше начинаются траблы. Т.к. системный диск будет «заморожен», профили пользователей (Документы, Загрузки, настройки) надо переносить на другой. Я переношу директорию Users (для W7) целиком, это проще. Ввиду большого количества хардлинков внутри нее, обычное копирование тут не работает. Надо сказать, что в W7 вообще не нашлось собственного инструмента для сплошного копирования такого рода, однако он есть у других, правда в единственном числе. Называется xxcopy. И понятное дело, это копирование возможно только при загрузке с внешней системы. Флешка, CD — без разницы, лишь бы имелась возможность проинсталлировать и запустить «xxcopy c:Users d:Users /BU» (BU — это бэкап).
После этого надо объяснить Винде, что ее профили в другом месте, т.е. заменить в реестре все вхождения c:Users на d:Users. Тут тоже трабл. Из всех редакторов реестра что я перепробовал (больше 10) только Registry Workshop делает это в полном объеме и профиль реально переезжает. Остальные, включая самые модные и популярные делают эту работу некачественно и старый профиль продолжает частично использоваться. Я обычно сразу после замены переименовываю c:Users в c:Userd_Old и проверяю, если W7 после перезагрузки опять её не создал, значит все сделано правильно. Это тонкое место, тут можно легко похоронить свежеустановленную систему, но волноваться не надо, как бы вы не корежили реестр, изменения можно откатить, а директорию вернуть на старое место.
Остальное уже дело техники. Надо накатить на чистенькую операциоку все требуемые для жизни программы, но с одним замечанием. Не забывайте — системный диск будет «заморожен» и некоторые программы лучше сразу инсталлировать куда-нибудь в другое место. Я делаю себе директорию d:Programs и ставлю все, что можно — туда. Исключения составляют программы требующие собственных драйверов, МСОфис (куда-ж без него), файрвол и антиспид. Остальное — в d:. Это не догма, можно все на диск c: забабахать, программ сохраняющих свои настройки в файлах .ini практически не осталось (а жаль). Файрфокс у меня запускается в портативном варианте с кэшем на RAMDrive. Оперу и Хром можно запустить точно также (я ими только для отладки пользуюсь). И вообще — почти все, что по жизни надо, работает в портативных вариантах. Это и систему бережет и восстановить легче, если что.
И последнее. Все Temp директории, и глобальная и локальные юзеровские перенесены на RAMDrive так и быстрее и безопаснее, случайный малварь после перезагрузки умирает. Это тоже не догма, просто дополнительный штрих. К сожалению единственный нормальный RAMDrive (VSUite) — платный, остальные, несмотря на все декларации, не умеют динамически наращивать память.
Вот собственно и все. Система настроена, программы установлены, можно ставить и включать «фриз». Добавлю только, что системный диск в этом случае не нужно делать большим. 10 гигов более чем достаточно. Новые программы инсталлировать можно и потом — «заморозка» снимается, программа ставится, «заморозка» возвращается. Главное не сидеть долго с отключенным фризом, мусор он сам по себе накапливается, а удалить его уже нельзя.
Антивирус у меня установлен. MCAfee Enterprize. Ловит кряки в основном. На половине машин в офисе антивируса нет вообще, так как практика попыток заражения показала, что при такой системе редко какой вирус выживает после перезагрузки, а если и выживает, то не блокируется операционкой и его тело лежит в открытом и беззащитном доступе зарывшись куда-нибудь в профиль.
И в заключение. Несколько машин сделанных по этой системе у меня живут с февраля прошлого года. Все такие же красивые и чистые, как тогда. Да, юзерам пришлось с кровью пополам объяснить, что корень диска с: не то место, куда удобно скидывать фотки. После потери пары файлов до них дошло. Да, обновления приходится накатывать вручную. Зато теперь я отдыхаю. Много и с пользой. Вот, даже на статью время нашлось.

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js