Безпека windows xp: захисти себе сам!

Ніколи ще засоби масової інформації не приділяли стільки уваги питанням безпеки сучасних операційних систем, як зараз. Більш того, в світлі останніх подій, а саме лавиноподібного зростання виявлених вразливостей в найбільш поширеному програмному забезпеченні і операційних системах, розробники стали серйозно замислюватися про те, що в боротьбі за безпеку користувач, як не дивно, не завжди є їхнім союзником. Судіть самі, чи була б можлива глобальна епідемія вірусів типу MSBlast, якби самі користувачі з належною відповідальністю ставилися до захисту своїх комп`ютерів? Але ж мало того, що «латочка», що усуває пролом DCOM в Windows XP, з`явилася набагато раніше, ніж по всій Мережі розповзлися використовують її віруси, але ж і самі банальні фаєрвол і антивіруси могли б надійно захистити від проникнення в систему подібних інтернет-хробаків . Тобто існувало як мінімум три різні способи захисту від MSBlast! Так, може бути, є сенс взагалі усунути безладного користувача від управління безпекою системи?

На минулій недавно в Лос-Анджелесі конференції Microsoft для професійних розробників (PDC) Білл Гейтс ще раз підкреслив, що саме безпека стане для його компанії пріоритетним завданням на найближчі роки. І повідомив, що в другому пакеті оновлень SP2 для Windows XP передбачається впровадити функцію автоматичного включення брандмауера при запуску таких інтернет-додатків, як браузер або поштовий клієнт. Якщо так піде і далі, то дуже скоро в систему будуть інтегровані відключаються антивіруси і відмовитися від автоматичної закачування многомегабайтних патчів стане неможливо ... А що ще накажете робити, якщо для користувача безпеку - справа десята?

Якихось універсальних рекомендацій по налаштуванню безпеки не існує. Ця проблема дуже сильно пов`язана з завданнями, виконуваними на тому чи іншому конкретному комп`ютері. На мій погляд, при налаштуванні домашніх і офісних систем можна виділити п`ять основних конфігурацій, налаштування безпеки яких кардинально відрізняються (в порядку посилення вимог):

• одиночний користувач;
• розрахована на багато користувачів конфігурація;
• наявність підключення до Інтернету;
• наявність підключення до локальної мережі;
• наявність строго конфіденційною інформацією.

При цьому, якщо ваша конфігурація підпадає відразу під дві категорії - наприклад, ви одиночний користувач, який має підключення до Інтернету - то всі налаштування слід проводити відповідно до найбільш жорсткого сценарію, рівному сумі налаштувань обох категорій.

Відео: Як включити вкладку "Безпека" в Windows XP pro

одиночний користувач

Навіть в наш час повсюдного поширення інтернет-технологій і передачі даних за допомогою мобільних телефонів (GPRS) користувач ПК, не підключений до Світовій Павутині - далеко не рідкість. Хтось ще просто не усвідомив необхідність і неминучість залучення в глобальний інформаційний потік, а до кого-то в нашій розумом незрозумілою країні ще навіть не дійшло щастя звичайної дротяної телефонізації. При такому розкладі завдання забезпечення безпеки, як не дивно, зводиться тільки до забезпечення захисту операційної системи від цього самого одиночного користувача. Якщо немає Інтернету або локальної мережі, то ніякої хакер в вашу систему не проникне. Якщо немає інших користувачів, то ніхто не підгляне ваші приватні файли. Якщо немає документів «подвійний» бухгалтерської звітності, то «маски-шоу» вам не загрожує. Від чого ж в такому випадку треба захищатися? Тільки від власних необдуманих і необачних дій. Знищити плоди своєї багатомісячної праці простіше простого - досить вставити в дисковод чужу дискету з зараженим макро-вірусом документом або запустити куплений в найближчому кіоску піратський компакт-диск з яким-небудь черговим «чихом», перезаписувати BIOS сміттєвими байтами.

Відео: Налаштування політики безпеки IP в ОС Windows XP

Таким чином, головне завдання одиночного користувача - не допустити проникнення в систему вірусів. Рішення її, здавалося б, елементарне - встановив антивірус і спи спокійно ... Але ж ми домовилися, що Інтернету у нас поки немає, а як без нього оновлювати антивірусні бази? Виявися хитрий вірус хоча б на один день «свіжішим», ніж наявні бази Касперського (kaspersky.ru) або DrWeb (drweb.ru), і пиши пропало ... Звичайно, якщо є хороший приятель, у якого можна хоча б раз на тиждень розжитися оновленнями антивіруса, то проблема практично знімається, наприклад, для антивіруса Касперського достатньо скопіювати папку C: Program Files Common Files KAV Shared Files Bases, а для DrWeb можна просто взяти всю директорію C: Program Files DrWeb (зрозуміло, свої ліцензійні файли необхідно залишити). Якщо ж ситуація така, що до Мережі дістатися неможливо ні в якому вигляді, і навіть інтернет-кафе на горизонті не спостерігається, то вихід один. Вірніше - два, які в обов`язковому порядку повинні доповнювати один одного. А саме - включення евристичного аналізу в настройках антивіруса (дуже вимоглива до ресурсів штука ...) і повний бекап (резервне копіювання) системи. У цьому випадку з`являється шанс, що антивірус завдяки своїм інтелектуальним можливостям вчасно виявить відсутню в його базі інфекцію, а якщо таке і не відбудеться, то залишиться хоча б можливість відновити важливі документи, а то і всю ОС з своєчасно зробленої резервної копії. До того ж, при цьому ви опиняєтеся захищені і від інших видів руйнування ОС, пов`язаних, наприклад, з установкою неякісних програм. Тільки врахуйте, що робити резервні копії на тому ж самому жорсткому диску безглуздо - в разі зараження вони з такою ж легкістю виявляться «вбиті», як і основна система. Все найважливіше копіюйте на CD-RW (або DVD), наприклад, раз на тиждень, а також після серйозних змін у важливих документах, перед тим, як встановити в ПК чужий носій, новий компакт-диск, перед інсталяцією програмного забезпечення. І завжди пам`ятайте, що знищити ваші дані здатний не тільки вірус, але і збій електроживлення, жорсткого диска або навіть неякісний модуль оперативної пам`яті. Якщо на вашому ПК є хоч щось, що шкода втратити, будь то докторська дисертація або «сейви» GTA Vice City, то це обов`язково треба зберігати на змінних носіях. Програм для резервного копіювання безліч, наприклад, створення повної копії жорсткого диска можливо за допомогою таких утиліт, як:

• Norton Ghost (symantec.com)
• Paragon Drive Backup (paragon.ru/rus);
• PowerQuest Drive Image Pro (powerquest.com).

Друге завдання, яке зазвичай встає перед одиночним користувачем, не менше дивна. А саме - захист самого користувача від зайвої опіки з боку операційної системи. Справа в тому, що початкові налаштування Windows XP націлені на якийсь усереднений варіант конфігурації ОС. А тому в них спочатку задіяні механізми безпеки, часом абсолютно зайві при відсутності багато режиму або інтернет-з`єднання. Все це тільки доставляє користувачеві чимало зайвих незручностей, а тому знижує ефективність його роботи за комп`ютером. Наприклад, чи потрібна вам аутентифікація користувача, якщо крім вас до ПК більше ніхто не підходить? Щоб позбутися від процедури введення пароля при завантаженні Windows, можна, наприклад, зробити автоматичне введення пароля за допомогою утиліти TweakUI - вкладка «Logon». Вручну ж для цього слід в розділі реєстру HKEY_LOCAL_MACHINE Software Microsoft WindowsNT CurrentVersion WinLogon задати параметри строкового типу (REG_SZ):

"AutoAdminLogon" = "1"
"DefaultUserName" = Ім`я
"DefaultPassword" = Пароль

Можна також взагалі відключити використання пароля. У Windows XP для цього слід в меню «Панель Управління» - «Облікові записи користувачів» - «Зміна облікового запису» - [ім`я користувача] вибрати пункт «Видалення пароля» ( «Control Panel» - «User Accounts» - «Change an Account »-« Remove my password »). А щоб позбутися ще й від необхідності натискати клавіші CTRL-ALT-DEL при завантаженні ПК, відкрийте діалог «Панель управління» - «Адміністрування» - «Локальна політика безпеки» - «Параметри безпеки» ( «Control Panel» - «Administrative Tools» - «Local Security Policy» - «Local Policies» - «Security Options») і встановіть параметр «Interactive logon: Do not require CTRL + ALT + DEL» в положення «Enabled».

Від використання файлової системи NTFS також цілком можна відмовитися, оскільки її основне призначення - розмежування користувальницьких повноважень - залишиться незатребуваним. Зате при наявності більш легкої FAT32 стає набагато зручніше прямо з-під MS-DOS робити резервні копії реєстру і відновлювати «впала» систему.

Розрахована на багато користувачів конфігурація

Операційні системи сімейства Windows NT - це, в першу чергу, розраховані на багато користувачів системи, завдання яких - грамотне поділ прав доступу. У таких системах необхідно повністю виключити ситуацію, коли один користувач має шанс якимось чином зашкодити іншому: прочитати чужий документ або змінити налаштування чужий конфігурації. Тому в таких системах застосування декількох облікових записів з різними повноваженнями і файлової системи NTFS обговоренню не підлягає. Для кожного користувача необхідно завести спеціальну «робочу» обліковий запис з мінімальними привілеями, наприклад, що входить в групу «Користувачі» - саме під цими записами все і будуть здійснювати повсякденну роботу. Як же Адміністратора (їм призначається найбільш відповідальний і знає товариш) можна реєструватися в системі тільки в особливих випадках - при установці нового ПО, наприклад.

Також необхідно, використовуючи можливості NTFS, жорстко розмежувати документи, до яких мають доступ користувачі. Тут є два варіанти - можна кожному користувачеві виділити окрему папку (підійде навіть стандартна «Мої документи»), повністю закривши доступ до неї для інших користувачів. А можна зробити на диску кілька розділів, по числу користувачів, і також призначити відповідні права. При цьому вийде навіть деяка різновид квотування дискового простору - кожен буде обмежений об`ємом виділеного особисто йому розділу, з яким зможе робити що завгодно, не ризикуючи завдати шкоди іншим користувачам. А щоб чужі майданчиках не муляли очі, їх можна ще й приховати за допомогою відомої утиліти TweakUI. Встановіть також права доступу до папок таким чином, щоб звичайні користувачі не могли змінювати вміст директорій WinNT і Program Files (винятком можуть бути окремі файли з настройками користувача програм) - до системних файлів повний доступ повинен мати тільки Адміністратор.

У Windows XP Home, на жаль, відсутня можливість зручного призначення прав доступу до папок і файлів - там для цього доведеться вдаватися до консольних програм типу cacls.exe. Навіть в Windows XP Pro для нормальної роботи з правами доступу доведеться зробити додаткові рухи тіла - повернути до «нормального" виду закладку «Доступ» ( «Sharing») у властивостях папок і вкладку «Безпека» ( «Security») на томах NTFS. Для цього треба у властивостях папок ( «Folder Options») на сторінці «Вид» ( «View») зняти прапорець «Використовувати простий спільний доступ до файлів (рекомендовано)» ( «Use simple file sharing (Recommended)»).

Крім того, створено чимало утиліт для ще більшого посилення політики розмежування повноважень, наприклад, програма DeviceLock дозволяє закривати окремим індивідуумам навіть доступ до певних пристроїв, аж до WiFi і Bluetooth.

Взагалі ж, якщо в системі зареєстрований користувач, відверто не розбирається в Windows або, навпаки, бажає особисто поколупатися в її нутрощах, незважаючи на наслідки для її життєдіяльності, то необхідно приділити належну увагу і забороні зміни налаштувань Windows. І тут як не можна краще підходять всілякі програми-твікери, які вміють «ховати» від неблагонадійного користувача майже всі аплети Панелі Управління, а також вкладки і команди різних меню, наприклад - WinBoost (magellass.com) або безкоштовний X-Tech Setup (xteq. com). І, зрозуміло, не варто забувати про стандартні, трохи менше зручних, ніж спеціалізовані «твікери», оснащеннях - редакторі групових політик (Group Policy Editor) (gpedit.msc) і редакторі Політик Безпеки (secpol.msc): при налаштуванні системи треба пройти буквально по кожному пункту цих програм.

При наявності декількох призначених для користувача профілів незайвим буде організувати і автоматичну зачистку тимчасових файлів, оскільки Windows і програми для неї залишають на диску занадто багато слідів, які можуть містити приватну інформацію. Для цього непогано підходить програма Evidence Eliminator (evidence-eliminator.com). Втім, частково чистити сліди на диску і в реєстрі вміє і майже стандартна утиліта TweakUI, але її можливості набагато скромніше.

Інтернет

При підключенні до Інтернету кардинально змінюється вся політика безпеки, так як основна загроза тепер виходить з Мережі. Навіть якщо інформація на вашому ПК не представляє серйозного інтересу для когось стороннього, все одно загроза втрати важливих для вас файлів або виведення Windows з ладу матиме місце. Якщо і не знайдеться хакера, зазіхнув на ваші файли, то вже безмозких інтернет-хробаків, які експлуатують численні уразливості ОС - хоч греблю гати. Тому головними умовами захисту будь-якого веб-серфера є своєчасна установка сервіс-паків і «гарячих» оновлень Windows і прикладних програм, а також якісний і добре налаштований фаєрвол.

Як Фаєрвол можна спробувати такі продукти:

• Sygate Personal Firewall (sygate.com);
• BlackICE PC Protection (networkice.com);
• Zone Alarm (zonelabs.com);
• McAfee Personal Firewall (mcafee.com);
• Outpost (agnitum.com);
• Norton Internet Security (symantec.com);
• Kaspersky Anti-Hacker (kaspersky.ru).

Причому фаєрвол треба включити ще до першого виходу в Мережу, так як в противному випадку (якщо не встановлений відповідний патч) високий ризик опинитися ураженим тим самим MSBlast, перевантажувати комп`ютер через пару хвилин після підключення до Інтернету. Подібні віруси просто не дадуть вам завантажити фаєрвол і заплатки до ОС! До речі кажучи, патч від уразливості DCOM не завжди встановлюється вдало, а тому рекомендується перевірити свою систему необхідні інструменти DCOMbobulator (grc.com) - вона точно покаже, вразливий чи ваш ПК, і допоможе закрити цей пролом у захисті.

Відео: ЯК ПОСТАВИТИ ПАРОЛЬ НА ПАПКУ (НА WINDOWS 7/8/10 XP)

На щастя, в Windows XP вже вбудований найпростіший фаєрвол, і на початковому етапі його буде досить - головне не забути його активувати. У загальному ж випадку брандмауер повинен блокувати весь вхідний трафік через порти 69, 4444, 135, 137, 138 і 139 - саме завдяки їм зловмисникам і інтернет-черв`якам вдається отримати доступ до ваших файлів. Вкрай бажано, щоб фаєрвол ще вмів блокувати і потенційно небезпечне активний вміст веб-сторінок: JAVA-аплети і елементи ActiveX. Якість же настройки персонального Фаєрвол можна перевірити за допомогою спеціальних сайтів:

• grc.com/default.htm
• security2.norton.com/us/intro.asp?venid=symlangid=us
• dslreports.com/scan
• scan.sygatetech.com

Ці сайти просканує ваші порти в пошуках можливих прогалин у системі безпеки. Але процес цей досить тривалий, особливо при не дуже хорошій зв`язку.

Ще більше в боротьбі з хакерами допоможе використання проксі-сервера (хоча б навіть проксі інтернет-провайдера) або програм-анонімайзерів типу AntiFirewall (antifirewall.com), яка надійно приховає ваш істинний IP-адреса, навіть якщо ви будете активно використовувати такі схильні до атак додатки, як ICQ і IRC.

Не менш важливо для захисту від вторгнення з Мережі вимикайте служби, особливо Сервер (Server), Телнет (Telnet), Службу терміналів (Terminal Services), Службу віддаленого управління реєстром (Remote Registry Service), Вузол універсальних PnP-пристроїв (Universal Plug and Play Device Host), Службу виявлення SSDP (SSDP Discovery Service), Службу повідомлень (Messenger Service), Модуль підтримки NetBIOS через TCP / IP (TCP / IP NetBIOS Helper) - тим самим ви виключіть можливість підключення до комп`ютера за їх допомогою.

Крім того, у властивостях модемного з`єднання необхідно видалити всі зайві протоколи, залишивши тільки TCP / IP. У властивостях ж самого TCP / IP (Properties - General - Advanced - WINS) виберіть «NetBIOS setting» в положення «Disable NetBIOS over TSP / IP».

Відео: Як відкрити загальний доступ до папки в Windows XP

Можна трохи підсилити захист і Internet Explorer, якщо в його настройках «Властивості оглядача» - «Безпека» ( «Internet Options» - «Security») спочатку встановити параметри для всіх зон в положення за замовчуванням ( «Default»), а потім для зони Internet трохи посилити правила - натиснути кнопку «Custom Level» і, наприклад, за всіма параметрами, що стосуються активного вмісту веб-сторінок, встановити перемикачі в положення «Prompt». Це особливо важливо, якщо використовується вбудований фаєрвол Windows XP, або ваш фаєрвол не здатний блокувати активний вміст веб-сторінок.