Twierdza Windows
 |
 |
 |
| 20.05.2012 | |
|
1) Wstęp Wiele osób twierdzi że Linux jest bezpieczniejszy od popularnego windowsa. Jest to mylna teoria (według mnie) ponieważ wszystko zależy od odpowiedniej konfiguracji systemu oraz od wiedzy administratora. Zaletą windowsa (albo wadą co dla nie których) jest to że windows nie jest open source. Jakiego windowsa wybrać?
To pytanie zadaje sobie wielu domowych użytkowników, ja osobiście sądzę że powinien to być Windows oparty o technologie NT, czyli dla domowego użytkownika dla którego ważne są gry, www etc. najlepszy będzie XP.
2) Co i jak? I. PRZED I PO INSTALACJI Domyślnie system windows instaluje się na dysku c:/, jest to bardzo ważna informacja dla agresora więc powinniśmy instalować system na dysku oznaczonym inną literą, np. n. Kolejna rzecz: powinniśmy używać systemu plików NTFS, jest bezpieczniejszy od FAT, czy FAT32. Co zrobić gdy system zainstalowany jest na partycji FAT? Konwertujemy ją na NTFS. Start => Uruchom => cmd i wpisujesz np. dla dysku n: convert n: /fs:ntfs Utwórz konto z ograniczeniami i korzystaj z niego na co dzień, unikaj pracy z uprawnieniami administratora, chyba że jest to konieczne. Pamiętaj żeby konto gościa było wyłączone.
II. ANTYWIRUS Pierwszym krokiem do zabezpieczenia naszego Windowsa jest zainstalowanie programu antywirusowego. Wirusy to programy napisane przez bardzo dobrych programistów, najczęściej ich głównym zadaniem (niestety) jest niszczenie, lecz nie zawsze. Jest wiele rodzajów wirusów, są takie które kasują dane, a są i takie które są w stanie skasować BIOS, czy zniszczyć dysk twardy. Przy wyborze antywirusa nie powinniśmy kierować się firmą jaka stworzyła program, ale jego możliwościami (poziom wykrywalności wirusów, makrowirusów, trojanów, robaków etc; obciążenie pamięci; "jakość heurystyki"; aktualizacje online; wydajność skanowania) Osobiście (na dzień dzisiejszy) polecam Kaspersky Anti-Virus, lub NOD32. Warto od czasu do czasu skorzystać z skanerów on-line.
III. FIREWALL Jest czymś nie zastąpionym, bez niego "surfujemy po sieci z otwartymi drzwiami". Głównym zadaniem firewalla jest wykrywanie i eliminowanie prób włamania do systemu, a także zapobieganie wszelkim atakom typu DoS etc. Jakiego wybrać? Osobiście odradzam korzystania z firewalla dostarczonego nam z SP2. Polecam Agnitum Outpost Firewall, płatny ale jednak jest za co płacić: cały czas ściśle monitoruje ruch sieciowy, chroni naszą prywatność, a jego wielką zaletą są wtyczki które zwiększają jego możliwości. Warto także korzystać ze specjalnych testów które sprawdzają naszego firewalla, testy takie najczęściej możemy znaleźć na stronach producentów tych programów. Korzystnym rozwiązanie jest także stosowanie in-line IDS - jest to ciekawa "generacja" zabezpieczeń, zasada działania podobna jest do działania zwykłego firewalla. Podczas pracy mamy mniej fałszywych alarmów, tak jak to ma miejsce przy zwykłych systemach IDS. In-line IDS blokuje ataki w czasie rzeczywistym.
IV. Dodatkowe programy Bezpieczeństwa nigdy za wiele. Kolejnym krokiem jest zainstalowanie oprogramowania które wspomoże naszego antywirusa. Możemy do tego celu wykorzystać popularne programy takie jak: Ad-Aware, czy Spy-Bot - które będą usuwały takie śmieci jak np. spyware. Najlepiej stosować obydwa te programy, będą się wzajemnie uzupełniać. Jeśli korzystamy z połączenia telefonicznego powinniśmy używać jakiegoś antydialera, który nie pozwoli na "zagoszczenie" w naszym systemie programu który bez naszego przyzwolenia przekieruje nasze połączenie na np. numer 0-700 (9.99 pln/min), dobrym przykładem antydialera może być program SS Antydialer który na bieżąco monitoruje połączenie modemowe. Czasem warto zainstalować dodatkowy program typu AntyTrojan. Ciekawym programem i godnym polecenia jest WinPatrol, który czuwa nad naszym autostartem, "programami doczepiającymi się do przeglądarki" oraz usługami etc. Warto z niego korzystać bo chyba każdy chce wiedzieć co uruchamia się z jego systemem ;) Oczywiście powinniśmy sprawdzać konfiguracje naszego windowsa za pomocą narzędzia msconfig (start => uruchom => msconfig), zwracając uwagę na zakładkę usługi i uruchamianie. Dobrze jest też używać jakiegoś programu który będzie wskazywał słabe punkty naszego komputera, posłużyć nam do tego może Microsoft Baseline Security Analyzer (MBSA) - dość dobry program który skanując system szuka "dziur" w oprogramowaniu, a gdy takie znajdzie daje użytkownikowi o niej szczegółowe informacje.
V. WINDOWS UPDATE Musimy pamiętać także o instalacji najnowszych łatek, które udostępnia nam microsoft. Nie możemy tu zapomnieć o instalacji SP2 dla winxp ! Najlepiej jest ustawić w windowsie aktualizacje automatyczne - wtedy system będzie się sam aktualizował. Jeśli chcesz bardziej zainteresować się dziurami w systemach microsoftu, czytaj na bieżąco biuletyny bezpieczeństwa microsoftu.
VI. PRZEGLĄDARKA Przeglądarka WWW. Tu wybór nie jest prosty, niby IE jest daremny, niby FireFox jest najlepszy, Opera... Osobiście polecam FF, chociaż należy pamiętać że na każdej przeglądarce znajduje się sporo błędów, i to że IE jest z microsoftu, nie znaczy wcale że jest złe. Dodatkowo zamiast stosowania systemowego klienta poczty email outlooka expressa powinniśmy korzystać z jego odpowiedników, bezpieczniejszych, np programu The Bat.
VII. USŁUGI Niebezpieczne usługi. Kolejnym zadaniem do umocnienia naszej twierdzy jest wyłączenie usług systemowych które są dla nas niebezpieczne, bądź z nich nie korzystamy. Aby to zrobić przejdź do menu Start => Uruchom => wpisz services.msc i naciśnij enter. Poniżej prezentuje usługi które powinniśmy wyłączyć: Aktualizacje automatyczne - Wyłączony ClipBook – Wyłączony DDE sieci – Wyłączony DSDM DDE sieci – Wyłączony Dzienniki wydajności i alerty – Wyłączony Host uniwersalnego urządzenia Plug and Play – Wyłączony Karta inteligentna – Ręczny Klient śledzenia łączy rozproszonych – Ręczny Kompozycje – Automatyczny/Wyłączony (jeżeli nie używasz kompozycji Windows XP) Konfiguracja zerowej sieci bezprzewodowej – Wyłączony //jeśli nie korzystasz z usługi sieci bezprzewodowej. Menedżer przekazywania – Ręczny Menedżer sesji pomocy pulpitu zdalnego – Wyłączony NetMeeting Remote Desktop Sharing – Wyłączony Numer seryjny nośnika przenośnego – Wyłączony Pomoc i obsługa techniczna – Wyłączony Pomocnik karty inteligentnej – Wyłączony Posłaniec – Wyłączony Rejestr zdalny - Wyłączony Zalecane! Zdalni użytkownicy komputera nie będą mogli modyfikować zawartości Rejestru Konto z ograniczeniami – Wyłączony Usługa inteligentnego transferu w tle – Wyłączony Usługa indeksowania – Wyłączony Usługa przywracania systemu – Wyłączony Usługi IPSEC – Wyłączony WebClient – Wyłączony Zasilacz awaryjny (UPS) – Wyłączony
VIII. Konsola MMC Windows 2000/XP dysponuje narzędziem umożliwiającym odpowiednie skonfigurowanie danej opcji bez potrzeby modyfikowania rejestru ręcznie, jest to znacznie bezpieczniejsze oraz wygodniejsze. Konsola MMC pełni funkcję interfejsu przystawek służących do zarządzania systemem. Uruchamiamy secpol.msc ( start -> uruchom -> secpol.msc) Teraz mamy możliwość np. ustawienia zasad haseł dla wszystkich użytkowników komputera. W zakładce zasady lokalne powinniśmy zmienić nazwy konta administratora i gościa. Powinniśmy ustawić także stan konta gościa na wyłączony żeby ograniczyć dostęp do naszego komputera. Powinieneś także ustawić wymagania jakie musi spełniać hasło tzn. minimalna długość hasła, okres ważności hasła ... Jeśli posiadasz WinXP HE, nie zobaczysz normalnie tych przystawek po wpisaniu w uruchom secpol.msc etc. Ale to nie znaczy ze nie możesz nic więcej zrobić. Tu z pomocą przychodzi nasz CMD (start -> uruchom -> cmd). Aby zmienić zasady konta używasz komendy: net accounts z przełącznikami (np: net accounts /MINPWAGE:5 czyli minimalny okres ważności hasła to 5 dni):
IX. REJESTR
|
|
