Безпека Windows XP: захисти себе сам!

Ніколи ще засоби масової інформації не приділяли стільки уваги питанням безпеки сучасних операційних систем, як зараз. Більше того, у світлі останніх подій, а саме лавиноподібного зростання виявлених вразливостей в найбільш поширеному програмному забезпеченні та операційних системах, розробники стали серйозно замислюватися про те, що в боротьбі за безпеку користувач, як не дивно, не завжди є їхнім союзником. Судіть самі, чи була б можлива глобальна епідемія вірусів типу MSBlast, якби самі користувачі з належною відповідальністю ставилися до захисту своїх комп'ютерів?

Нещодавно в Лос-Анджелесі конференції Microsoft для професійних розробників (PDC) Білл Гейтс ще раз наголосив, що саме безпека стане для його компанії пріоритетним завданням на найближчі роки. І повідомив, що в другому пакеті оновлень SP2 для Windows XP передбачається впровадити функцію автоматичного включення брандмауера при запуску таких інтернет-додатків, як браузер або поштовий клієнт. Якщо так піде і далі, то дуже скоро в систему будуть інтегровані відключаються антивіруси і відмовитися від автоматичної закачування багатомегабайтного патчів стане неможливо … А що ще накажете робити, якщо для користувача безпека – справа десята?

Якихось універсальних рекомендацій по налаштуванню безпеки не існує. Ця проблема занадто сильно пов'язана з завданнями, виконуваними на тому чи іншому конкретному комп'ютері. На мій погляд, при налаштуванні домашніх і офісних систем можна виділити п'ять основних конфігурацій, налаштування безпеки яких докорінно відрізняються (у порядку посилювання вимог):



При цьому, якщо ваша конфігурація підпадає відразу під дві категорії – наприклад, ви одиночний користувач, який має підключення до Інтернету – то всі налаштування слід робити відповідно до найбільш жорсткого сценарієм, рівному сумі налаштувань обох категорій.


Одиночний користувач


Навіть у наш час повсюдного поширення інтернет-технологій та передачі даних за допомогою мобільних телефонів (GPRS) користувач ПК, не підключений до Світовій Мережі – далеко не рідкість. Хтось ще просто не усвідомив необхідність і неминучість залучення в глобальний інформаційний потік, а до кого-то в нашій розумом незрозумілою країні ще навіть не дійшло щастя звичайної дротяної телефонізації. При такому розкладі завдання забезпечення безпеки, як не дивно, зводиться тільки до забезпечення захисту операційної системи від цього самого одиночного користувача. Якщо немає Інтернету або локальної мережі, то ніякої хакер на вашу систему не проникне. Якщо немає інших користувачів, то ніхто не підгляне ваші приватні файли. Якщо немає документів «подвійний» бухгалтерської звітності, то «маски-шоу» вам не загрожує. Від чого ж у такому випадку треба захищатися? Тільки від власних необдуманих і необережних дій. Знищити плоди своєї багатомісячної праці простіше простого – досить вставити в дисковод чужу дискету з зараженим макро-вірусом документом або запустити куплений в найближчому кіоску піратський компакт-диск з яким-небудь черговим «чихом», перезаписуючий BIOS сміттєвими байтами.


Таким чином, головне завдання одиночного користувача – не допустити проникнення в систему вірусів. Вирішення її, здавалося б, елементарне – встановив антивірус і спи спокійно … Але ж ми домовилися, що Інтернету у нас поки немає, а як без нього оновлювати антивірусні бази? Виявися хитрий вірус хоча б на один день «свіжішим», ніж наявні бази Касперського (www.kaspersky.ru) або DrWeb (www.drweb.ru), і пиши пропало … Звичайно, якщо є хороший приятель, у якого можна хоча б раз на тиждень розжитися оновленнями антивіруса, то проблема практично знімається, наприклад, для антивіруса Касперського досить скопіювати папку C: Program Files Common Files KAV Shared Files Bases, а для DrWeb можна просто взяти всю директорію C: Program FilesDrWeb (зрозуміло, свої ліцензійні файли необхідно залишити). Якщо ж ситуація така, що до Мережі дістатися неможливо ні в якому вигляді, і навіть інтернет-кафе на горизонті не спостерігається, то вихід один. Вірніше – два, які в обов'язковому порядку повинні доповнювати один одного. А саме – включення евристичного аналізу в налаштуваннях антивіруса (дуже вимоглива до ресурсів штука …) і повний бекап (резервне копіювання) системи. У цьому випадку з'являється шанс, що антивірус завдяки своїм інтелектуальним можливостям вчасно виявить відсутню в його базі інфекцію, а якщо таке і не відбудеться, то залишиться хоча б можливість відновити важливі документи, а то й усю ОС з своєчасно зробленої резервної копії. До того ж, при цьому ви опиняєтеся захищені і від інших видів руйнування ОС, пов'язаних, наприклад, з установкою неякісних програм. Тільки врахуйте, що робити резервні копії на тому ж самому жорсткому диску безглуздо – у разі зараження вони з такою ж легкістю виявляться «вбиті», як і основна система. Все найважливіше копіюйте на CD-RW (або DVD), наприклад, раз на тиждень, а також після серйозних змін у важливих документах, перед тим, як встановити в ПК чужий носій, новий компакт-диск, перед інсталяцією програмного забезпечення. І завжди пам'ятайте, що знищити дані здатний не тільки вірус, але і збій електроживлення, жорсткого диска або навіть неякісний модуль оперативної пам'яті. Якщо на вашому ПК є хоч щось, що шкода втратити, будь то докторська дисертація або «сейви» GTA Vice City, то це обов'язково треба зберігати на змінних носіях. Програм для резервного копіювання безліч, наприклад, створення повної копії жорсткого диска можливо за допомогою таких утиліт, як:



Друге завдання, яке зазвичай постає перед одиночним користувачем, не менш дивна. А саме – захист самого користувача від зайвої опіки з боку операційної системи. Справа в тому, що початкові налаштування Windows XP націлені на якийсь усереднений варіант конфігурації ОС. А тому в них спочатку задіяні механізми безпеки, часом абсолютно зайві при відсутності багатокористувацького режиму або інтернет-з'єднання. Все це тільки доставляє користувачеві чимало зайвих незручностей, а тому знижує ефективність його роботи за комп'ютером. Наприклад, чи потрібна вам аутентифікація користувача, якщо крім вас до ПК більше ніхто не підходить? Щоб позбутися від процедури введення пароля при завантаженні Windows, можна, наприклад, зробити автоматичне введення пароля за допомогою утиліти TweakUI – вкладка «Logon». Вручну ж для цього слід в розділі реєстру HKEY_LOCAL_MACHINE Software Microsoft WindowsNT CurrentVersion WinLogon задати параметри строкового типу (REG_SZ):



“AutoAdminLogon”=”1”
"DefaultUserName" = Ім'я
"DefaultPassword" = Пароль


Можна також взагалі вимкнути використання пароля. У Windows XP для цього слід у меню «Панель Управління» – «Облікові записи користувачів» – «Зміна облікового запису» – [ім'я користувача] вибрати пункт «Видалення пароля» («Control Panel» – «User Accounts» – «Change an Account» – «Remove my password»). А щоб позбутися ще й від необхідності натискати клавіші CTRL-ALT-DEL при завантаженні ПК, відкрийте діалог «Панель управління» – «Адміністрування» – «Локальна політика безпеки» – «Параметри безпеки» («Control Panel» – «Administrative Tools» – «Local Security Policy» – «Local Policies» – «Security Options ») і встановіть параметр« Interactive logon: Do not require CTRL + ALT + DEL »в положення« Enabled ».


Від використання файлової системи NTFS також цілком можна відмовитися, оскільки її основне призначення – розмежування користувальницьких повноважень – залишиться незатребуваним. Зате при наявності більше легкої FAT32 стає набагато зручніше прямо з-під MS-DOS робити резервні копії реєстру і відновлювати «впала» систему.


Розрахована на багато користувачів конфігурація


Операційні системи сімейства Windows NT – це, в першу чергу, розраховані на багато користувачів системи, завдання яких – грамотне розділення прав доступу. У таких системах необхідно повністю виключити ситуацію, коли один користувач має шанс якимось чином зашкодити іншому: прочитати чужий документ або змінити налаштування чужий конфігурації. Тому в таких системах застосування декількох облікових записів з різними повноваженнями і файлової системи NTFS обговоренню не підлягає. Для кожного користувача необхідно завести спеціальну «робочу» обліковий запис з мінімальними привілеями, наприклад, що входить до групу «Користувачі» – саме під цими записами все і будуть здійснювати повсякденну роботу. У якості ж Адміністратора (їм призначається найбільш відповідальний і знаючий товариш) можна реєструватися в системі тільки в особливих випадках – при установці нового ПЗ, наприклад.


Також необхідно, використовуючи можливості NTFS, жорстко розмежувати документи, до яких мають доступ користувачі. Тут є два варіанти – можна кожному користувачеві виділити окрему папку (підійде навіть стандартна «Мої документи»), повністю закривши до неї доступ для інших користувачів. А можна зробити на диску декілька розділів, по числу користувачів, і також призначити відповідні права. При цьому вийде навіть деяка різновид квотування дискового простору – кожен буде обмежений обсягом виділеного особисто йому розділу, з яким зможе робити що завгодно, не ризикуючи завдати шкоди іншим користувачам. А щоб чужі розділи не муляли очі, їх можна ще й приховати за допомогою відомої утиліти TweakUI. Встановіть також права доступу до папок таким чином, щоб звичайні користувачі не могли змінювати вміст директорій WinNT і Program Files (винятком можуть бути окремі файли з налаштуваннями користувача програм) – до системних файлів повний доступ повинен мати тільки Адміністратор.


У Windows XP Home, на жаль, відсутня можливість зручного призначення прав доступу до папок і файлів – там для цього доведеться вдаватися для програм типу cacls.exe. Навіть у Windows XP Pro для нормальної роботи з правами доступу доведеться зробити додаткові рухи тіла – повернути до «нормального" виду закладку «Доступ» («Sharing») у властивостях папок і вкладку «Безпека» («Security») на томах NTFS. Для цього треба у властивостях папок («Folder Options") на сторінці «Вид» («View») зняти прапорець «Використовувати простий спільний доступ до файлів (рекомендовано)» («Use simple file sharing (Recommended)»).


Крім того, створено чимало утиліт для ще більшого посилення політики розмежування повноважень, наприклад, програма DeviceLock дозволяє закривати окремим індивідуумам навіть доступ до певних пристроїв, аж до WiFi і Bluetooth.


Взагалі ж, якщо в системі зареєстрований користувач, відверто не розбирається в Windows або, навпаки, бажає особисто поколупатися в її нутрощах, незважаючи на наслідки для її життєдіяльності, то необхідно приділити належну увагу і забороні змінити установки Windows. І тут як не можна краще підходять усілякі програми-твікери, які вміють «ховати» від неблагонадійного користувача майже всі аплети Панелі Управління, а також вкладки і команди різних меню, наприклад – WinBoost (www.magellass.com) або безкоштовний X-Tech Setup (www.xteq.com). І, зрозуміло, не варто забувати про стандартні, трохи менш зручних, ніж спеціалізовані «твікери», оснащеннях – редакторі групових політик (Group Policy Editor) (gpedit.msc) і редакторі Політик Безпеки (secpol.msc): при налаштуванні системи треба пройти буквально по кожному пункту цих програм.


За наявності декількох призначених для користувача профілів незайвим буде організувати і автоматичну зачистку тимчасових файлів, оскільки Windows і програми для неї залишають на диску занадто багато слідів, які можуть містити приватну інформацію. Для цього непогано підходить програма Evidence Eliminator (www.evidence-eliminator.com). Втім, частково чистити сліди на диску і в реєстрі вміє і майже стандартна утиліта TweakUI, але її можливості набагато скромніші.


Інтернет


При підключенні до Інтернету кардинально змінюється вся політика безпеки, так як основна загроза тепер виходить з Мережі. Навіть якщо інформація на вашому ПК не представляє серйозного інтересу для когось стороннього, все одно загроза втрати важливих для вас файлів або виведення Windows з ладу буде мати місце. Якщо і не знайдеться хакера, що зазіхнули на ваші файли, то вже безмозких інтернет-хробаків, які експлуатують численні уразливості ОС – ставок гати. Тому головними умовами захисту будь-якого веб-серфера є своєчасна установка сервіс-паків і «гарячих» оновлень Windows і прикладних програм, а також якісний і добре налаштований фаєрвол.


Як Фаєрвол можна спробувати такі продукти:



Причому файерволл треба включити ще до першого виходу в Мережу, тому що в противному випадку (якщо не встановлений відповідний патч) високий ризик виявитися ураженим тим самим MSBlast, перевантажувати комп'ютер через пару хвилин після підключення до Інтернету. Подібні віруси просто не дадуть вам завантажити фаєрвол та заплатки до ОС! До речі кажучи, патч від вразливості DCOM не завжди встановлюється вдало, а тому рекомендується перевірити свою систему необхідні інструменти DCOMbobulator (www.grc.com) – вона точно покаже, вразливий чи ваш ПК, і допоможе закрити цей пролом у захисті.


На щастя, в Windows XP вже вбудований найпростіший фаєрвол, і на початковому етапі його буде достатньо – головне не забути його активувати. У загальному ж випадку брандмауер повинен блокувати весь вхідний трафік через порти 69, 4444, 135, 137, 138 і 139 – саме завдяки їм зловмисникам і інтернет-черв'якам вдається отримати доступ до ваших файлів. Вкрай бажано, щоб файерволл ще вмів блокувати і потенційно небезпечне активний вміст веб-сторінок: JAVA-аплети і елементи ActiveX. Якість же налаштування персонального Фаєрвол можна перевірити за допомогою спеціальних сайтів:



Ці сайти просканує ваші порти в пошуках можливих вразливостей в системі безпеки. Але процес цей досить тривалий, особливо при не дуже хорошої зв'язку.


Ще більше в боротьбі з хакерами допоможе використання проксі-сервера (хоча б навіть проксі інтернет-провайдера) або програм-анонімайзерів типу AntiFirewall (www.antifirewall.com), яка надійно приховає ваш справжній IP-адресу, навіть якщо ви будете активно використовувати такі схильні до атак програми, як ICQ і IRC.


Не менш важливо для захисту від вторгнення з Мережі вимикайте служби, особливо Сервер (Server), Телнет (Telnet), Службу терміналів (Terminal Services), Службу віддаленого управління реєстром (Remote Registry Service), Вузол універсальних PnP-пристроїв (Universal Plug and Play Device Host), Службу виявлення SSDP (SSDP Discovery Service), Службу повідомлень (Messenger Service), Модуль підтримки NetBIOS через TCP / IP (TCP / IP NetBIOS Helper) – тим самим ви виключите можливість підключення до вашого ПК з їх допомогою.


Крім того, у властивостях модемного з'єднання необхідно видалити всі зайві протоколи, залишивши тільки TCP / IP. У властивостях ж самого TCP / IP (Properties – General – Advanced – WINS) встановіть перемикач «NetBIOS setting" в положення "Disable NetBIOS over TSP / IP".


Можна дещо посилити захист і Internet Explorer, якщо в його налаштуваннях «Властивості оглядача» – «Безпека» («Internet Options» – «Security») спочатку встановити параметри для всіх зон в положення за замовчуванням («Default»), а потім для зони Internet трохи посилити правила – натиснути кнопку «Custom Level» і, наприклад, за всіма параметрами, що стосуються активного вмісту веб-сторінок, встановити перемикачі в положення «Prompt». Це особливо важливо, якщо використовується вбудований фаєрвол Windows XP, або ваш фаєрвол не здатний блокувати активний вміст веб-сторінок.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*