كشف وحماية جهاز الكمبيوتر عبر الشبكة. حماية الشبكة. برنامج حماية شبكات الكمبيوتر. يا سيئ: ضعف الموارد الإدارية المشتركة
يقضي بعض الأشخاص حياتهم بأكملها في العمل على تحسين الأمان للشركات والأفراد. ويقضون جزءًا كبيرًا من هذا الوقت في إصلاح الثغرات الموجودة في Windows. نظام ويندوز هو القناة الرئيسية ل البرمجيات الخبيثة، التي تخلق الزومبي (الروبوتات)، كما تمت مناقشته في الفصل الخامس، وهذا مجرد غيض من فيض. لكي نكون منصفين، فإن شعبية Windows الهائلة هي السبب إلى حد كبير، ولكن هناك الكثير من الثغرات في Windows 7 بحيث ليس من الواضح ما إذا كان أي شخص في Microsoft منزعجًا منها.
هناك ثلاثة أنواع رئيسية من التهديدات. أولاً، هجوم مستهدف بشكل خاص من قبل شخص يحاول اختراق جهاز الكمبيوتر الخاص بك من خلال اتصال الشبكة. ثانيا، هجوم من شخص يجلس على لوحة مفاتيح جهاز الكمبيوتر الخاص بك. وأخيرًا، قد يكون هناك هجوم تلقائي يتم تنفيذه بواسطة فيروس متنقل أو أي نوع آخر من البرامج الضارة.
يتضمن نظام التشغيل Windows 7، وحتى الإصدار الأقدم من نظام التشغيل Vista، التحكم في حساب المستخدم، والذي من شأنه أن يساعد في وقف موجة عمليات تثبيت البرامج غير المقصودة وغير المرغوب فيها - المزيد عن ذلك، بالإضافة إلى كلمات المرور والتشفير
كما ورد في الفصل 7. ومع ذلك، فإن معظم الرسائل غير المرغوب فيها تأتي من خلال اتصال الشبكة لديك، ومن هنا يجب أن تبدأ في حماية جهاز الكمبيوتر الخاص بك. يتضمن نظام التشغيل Windows 7 العديد من الميزات التي تتيح توفير مستوى معين من الأمان دون الحاجة إلى الشراء برامج إضافيةأو المعدات.
ولسوء الحظ، لا يتم تمكين العديد من هذه الميزات بشكل افتراضي. العوامل التالية هي ثغرات لا ينبغي تجاهلها.
يا سيئ: ثغرة أمنية في بروتوكول UPnP
هناك ميزة أخرى تسمى UPnP (التوصيل والتشغيل العالمي) يمكنها فتح ثغرات أمنية إضافية في شبكتك. الاسم الأكثر ملاءمة لـ UPnP هو Network Plug and Play، نظرًا لأن هذه الميزة تتعامل فقط مع أجهزة الشبكة. UPnP عبارة عن مجموعة من المعايير التي تسمح للأجهزة المتصلة مؤخرًا بالإعلان
عن حضورك خوادم بنبعلى شبكتك، بنفس الطريقة التي تعلن بها أجهزة USB عن وجودها لنظام مملوك لنظام Windows
خارجيًا، تبدو وظيفة UPnP جيدة. ولكن من الناحية العملية، فإن الافتقار إلى المصادقة في معيار UPnP والسهولة التي يمكن بها للبرامج الضارة استخدام UPnP لإحداث ثغرات في جدار الحماية وإنشاء قواعد إعادة توجيه المنفذ في جهاز التوجيه ليست سوى مشكلة. يُستخدم UPnP حاليًا لبعض الألعاب ومعظم موسعات الوسائط والمراسلة الفورية والمساعدة عن بُعد وما إلى ذلك، وهو ما يفسر سبب تمكينه افتراضيًا في نظام التشغيل Windows 7 والعديد من أنظمة التشغيل أجهزة الشبكة. ولكن إذا لم تكن في حاجة إليها، فمن الأفضل إيقاف تشغيله.
إذا قمت بتحديد شبكة عامة عند الاتصال لأول مرة شبكة جديدةأو من خلال مركز الشبكة والمشاركة
^j مركز المشاركة)، ثم يتم تعطيل UPnP افتراضيًا.
لتعطيل UPnP، افتح نافذة 01usb (services.msc). ابحث عن خدمة SSDP Discovery Service في القائمة وانقر فوق زر مربع إيقاف الخدمة الموجود على شريط الأدوات. وفي الوقت نفسه، يجب أيضًا أن يتوقف مضيف جهاز UPnP. إذا لم يكن الأمر كذلك، توقف عن ذلك أيضًا. اختبر الآن أي تطبيقات أو أجهزة تشك في أنها تستخدم اكتشاف الشبكة، مثل خوادم الوسائط أو الموسعات. إذا لم يكن لديك أيًا من هذه الخدمات، فيمكنك تعطيل UPnP تمامًا عن طريق النقر المزدوج فوق كل خدمة وتحديد "معطل" من قائمة "نوع بدء التشغيل". وإلا، في المرة التالية التي تقوم فيها بتشغيل Windows، ستبدأ هذه الخدمات مرة أخرى.
افتح الآن صفحة تكوين جهاز التوجيه (الموضحة سابقًا في هذا الفصل) وقم بتعطيل خدمة UPnP. يعد هذا مطلوبًا لمنع التطبيقات من إنشاء قواعد إعادة توجيه منفذ جديدة. إذا كان جهاز التوجيه الخاص بك لا يسمح لك بتغيير إعدادات UPnP، ففكر في الترقية إلى المزيد نسخة جديدةالبرامج الثابتة، كما هو موضح في قسم "الترقية إلى إصدار أحدث من جهاز التوجيه".
يا سيئ: ثغرة أمنية في المنافذ المفتوحة
ابحث عن نقاط الضعف في نظامك باستخدام فحص المنفذ المفتوح، كما هو موضح لاحقًا في هذا الفصل.
يا جيد: مكان العمل عن بعد، ولكن عند الحاجة فقط
ميزة سطح المكتب البعيد الموضحة في " جهاز التحكمالكمبيوتر" ممكّنًا افتراضيًا في نظامي التشغيل Windows 7 Professional وUltimate. ما لم تكن بحاجة إلى هذه الميزة على وجه التحديد، فيجب عليك إيقاف تشغيلها. في لوحة التحكم، افتح النظام ثم حدد الارتباط إعدادات الوصول عن بعد. على الصفحة الوصول عن بعدفي نافذة خصائص النظام، قم بإيقاف تشغيل خانة الاختيار السماح باتصالات المساعدة عن بعد بهذا الكمبيوتر وحدد خانة الاختيار عدم السماح بالاتصالات بهذا الكمبيوتر أدناه.
حسنًا: كلمة مرور الحساب
نظريا الوصول العامإلى الملفات لا يعمل مع الحسابات التي ليس لديها كلمة مرور، وهو الإعداد الافتراضي عند إنشاء حساب مستخدم جديد. لكن الحساب بدون كلمة مرور لا يوفر أي حماية ضد أي شخص يجلس على لوحة المفاتيح الخاصة بك، وإذا كان حساب مستخدم يتمتع بحقوق المسؤول، فإن الباب مفتوح لأي مستخدم آخر لهذا الكمبيوتر. راجع الفصل السابع لمناقشة حسابات المستخدمين وكلمات المرور.
حول المجموعات المنزلية ومشاركة الملفات
من المحتمل أن يكون كل مجلد مشترك بمثابة باب مفتوح. لذلك، يجب توفير الوصول المفتوح فقط إلى تلك المجلدات الضرورية حقًا. يرجى ملاحظة أن أذونات الملفات وأذونات المشاركة هما شيئان مختلفان في نظام التشغيل Windows 7. ويتم مناقشة هذا بمزيد من التفصيل في الفصل 7.
يا سيئة: ثغرة أمنية في معالج المشاركة
أحد الأسباب الرئيسية لإنشاء مجموعة عمل هو مشاركة الملفات والطابعات. ولكن من الحكمة مشاركة المجلدات التي تحتاج إلى مشاركتها فقط وإيقاف تشغيل المشاركة لجميع الآخرين. هناك ميزة تسمى Use Sharing Wizard، الموضحة في الفصل 2 والتي تمت مناقشتها بالتفصيل في الفصل 7، لا تمنحك التحكم الكامل في من يمكنه عرض ملفاتك وتغييرها.
يا سيئ: ضعف الموارد الإدارية المشتركة
تتيح ميزة المشاركة، التي تمت مناقشتها في الفصل السابع، الوصول إلى كافة محركات الأقراص الموجودة على جهاز الكمبيوتر الخاص بك، بغض النظر عما إذا كنت تشارك المجلدات على محركات الأقراص هذه أم لا.
يا خير : جدار الحماية
قم بتكوين جدار الحماية الذي تمت مناقشته أدناه للتحكم بشكل صارم في تدفق الشبكة من وإلى جهاز الكمبيوتر الخاص بك، ولكن لا تعتمد على برنامج جدار الحماية المدمج في Windows لتوفير الحماية الكافية.
ج: مركز الدعم جيد لكن لا يجب أن تعتمد عليه كلياً، مركز الدعم الموضح في الشكل. 6.28 هي الصفحة المركزية في لوحة التحكم المستخدمة لإدارة جدار حماية Windows وWindows Defender والتحكم في حساب المستخدم والتحديثات التلقائية. كما أنه يتحكم برامج مكافحة الفيروساتولكن لأسباب سياسية بحتة، لا يمتلك Windows 7 برامج مكافحة فيروسات خاصة به.
الشيء الأكثر أهمية هو أن مركز العمل مجرد عارض. إذا رأى أنه تم تمكين إجراء حماية معين، بغض النظر عما إذا كان قيد التشغيل أم لا، فسيكون مركز العمل سعيدًا ولن تتلقى أي إشعارات.
هل سئمت من الرسائل الواردة من مركز الدعم؟ انقر فوق الرابط تغيير إعدادات مركز العمل الموجود على الجانب الأيسر واختر المشكلات التي تستحق الإبلاغ عنها والتي يمكنك تجاهلها. يمكنك تعطيل جميع الرسائل من مركز العمل عن طريق إيقاف تشغيل جميع مربعات الاختيار في هذه الصفحة، ولكن لإلغاء تنشيط الميزة بالكامل، يجب عليك فتح نافذة الخدمات (services.msc) وإيقاف تشغيل مركز العمل. لن يؤدي هذا إلى تعطيل أي جدار حماية أو برنامج مكافحة فيروسات أو تحديثات تلقائية قد تستخدمها، بل سيؤدي فقط إلى تعطيل أدوات المراقبة الخاصة بهذه الأدوات والرسائل المصاحبة لها.
لا يمكنك تغيير جدار الحماية أو إعدادات مكافحة البرامج الضارة هنا. للقيام بذلك، عليك العودة إلى لوحة التحكم وفتح البرنامج المناسب هناك.
مشكلة وباء دودة الشبكة ذات صلة بأي شخص شبكه محليه. عاجلاً أم آجلاً، قد ينشأ موقف عندما تخترق شبكة أو فيروس متنقل للبريد الإلكتروني الشبكة المحلية (LAN) ولا يتم اكتشافها بواسطة برنامج مكافحة الفيروسات المستخدم. ينتشر فيروس الشبكة عبر شبكة LAN من خلال ثغرات نظام التشغيل التي لم يتم إغلاقها في وقت الإصابة أو من خلال الموارد المشتركة القابلة للكتابة. فيروس البريد، كما يوحي الاسم، يتم توزيعه عبر البريد الإلكتروني، بشرط ألا يتم حظره بواسطة برنامج مكافحة الفيروسات الخاص بالعميل وبرامج مكافحة الفيروسات خادم البريد. بالإضافة إلى ذلك، يمكن تنظيم وباء على شبكة LAN من الداخل نتيجة لأنشطة أحد المطلعين. في هذه المقالة، سنلقي نظرة على الأساليب العملية للتحليل التشغيلي لأجهزة كمبيوتر LAN باستخدام أدوات متنوعة، وخاصة باستخدام الأداة المساعدة AVZ الخاصة بالمؤلف.
صياغة المشكلة
إذا تم اكتشاف وباء أو بعض الأنشطة غير الطبيعية على الشبكة، فيجب على المسؤول حل ثلاث مهام على الأقل بسرعة:
- اكتشاف أجهزة الكمبيوتر المصابة على الشبكة؛
- العثور على عينات من البرامج الضارة لإرسالها إلى مختبر مكافحة الفيروسات وتطوير استراتيجية مضادة؛
- اتخاذ التدابير اللازمة لمنع انتشار الفيروس على الشبكة المحلية وتدميره على أجهزة الكمبيوتر المصابة.
في حالة النشاط الداخلي، تكون الخطوات الرئيسية للتحليل متطابقة وغالبًا ما تتلخص في الحاجة إلى اكتشاف برامج الطرف الثالث المثبتة بواسطة المطلعين على أجهزة كمبيوتر الشبكة المحلية (LAN). تتضمن أمثلة هذه البرامج أدوات الإدارة عن بعد، كلوغرزوإشارات طروادة المختلفة.
دعونا نفكر بمزيد من التفصيل في حل كل مهمة.
البحث عن أجهزة الكمبيوتر المصابة
للبحث عن أجهزة الكمبيوتر المصابة على الشبكة، يمكنك استخدام ثلاث طرق على الأقل:
- التحليل التلقائي للكمبيوتر عن بعد - الحصول على معلومات حول العمليات الجارية والمكتبات وبرامج التشغيل المحملة، والبحث عن الأنماط المميزة - على سبيل المثال، العمليات أو الملفات ذات أسماء مسماه;
- تحليل حركة مرور الكمبيوتر باستخدام الشم - هذه الطريقةفعالة جدًا في التقاط برامج البريد العشوائي والبريد الإلكتروني وديدان الشبكة، ومع ذلك، فإن الصعوبة الرئيسية في استخدام أداة الشم ترجع إلى حقيقة أن شبكة LAN الحديثة مبنية على أساس المحولات، ونتيجة لذلك، لا يستطيع المسؤول مراقبة حركة مرور البيانات الشبكة بأكملها. يمكن حل المشكلة بطريقتين: عن طريق تشغيل جهاز الشم على جهاز التوجيه (والذي يسمح لك بمراقبة تبادل بيانات الكمبيوتر مع الإنترنت) وباستخدام وظائف مراقبة المفاتيح (العديد منها مفاتيح حديثةالسماح لك بتعيين منفذ مراقبة يتم من خلاله تكرار حركة مرور واحد أو أكثر من منافذ التبديل المحددة من قبل المسؤول)؛
- دراسة حمل الشبكة - في هذه الحالة، من الملائم جدًا استخدام المفاتيح الذكية، والتي لا تسمح لك بتقييم الحمل فحسب، بل أيضًا بتعطيل المنافذ التي يحددها المسؤول عن بعد. يتم تبسيط هذه العملية إلى حد كبير إذا كان لدى المسؤول خريطة شبكة تحتوي على معلومات حول أجهزة الكمبيوتر المتصلة بمنافذ التبديل المقابلة ومكان وجودها؛
- استخدام مصائد الجذب - يوصى بشدة بإنشاء العديد من مصائد الجذب على الشبكة المحلية والتي ستسمح للمسؤول باكتشاف الوباء في الوقت المناسب.
التحليل التلقائي لأجهزة الكمبيوتر على الشبكة
يمكن اختزال التحليل التلقائي للكمبيوتر الشخصي إلى ثلاث مراحل رئيسية:
- إجراء فحص كامل لجهاز الكمبيوتر - العمليات الجارية، والمكتبات وبرامج التشغيل المحملة، والتشغيل التلقائي؛
- إجراء البحوث التشغيلية - على سبيل المثال، البحث عن العمليات أو الملفات المميزة؛
- الحجر الصحي للأشياء وفقا لمعايير معينة.
يمكن حل جميع المشكلات المذكورة أعلاه باستخدام الأداة المساعدة AVZ الخاصة بالمؤلف، والتي تم تصميمها ليتم تشغيلها من مجلد شبكة على الخادم وتدعم لغة البرمجة النصية للفحص التلقائي للكمبيوتر الشخصي. لتشغيل AVZ على أجهزة كمبيوتر المستخدمين، يجب عليك:
- ضع AVZ في مجلد الشبكة على الخادم المفتوح للقراءة.
- قم بإنشاء مجلدين فرعيين LOG وQurantine في هذا المجلد واسمح للمستخدمين بالكتابة إليهما.
- قم بتشغيل AVZ على أجهزة كمبيوتر LAN باستخدام الأداة المساعدة rexec أو البرنامج النصي لتسجيل الدخول.
يجب أن يتم تشغيل AVZ في الخطوة 3 باستخدام المعلمات التالية:
\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt
في هذه الحالة، تقوم المعلمة Priority=-1 بخفض أولوية عملية AVZ، وتقوم المعلمتان nw=Y وnq=Y بتبديل العزل إلى وضع "تشغيل الشبكة" (في هذه الحالة، يتم إنشاء دليل فرعي في مجلد العزل لكل كمبيوتر، يتطابق اسمه مع اسم شبكة الكمبيوتر الشخصي)، يوجه HiddenMode=2 إلى رفض وصول المستخدم إلى عناصر التحكم GUI وAVZ، وأخيرًا، تحدد معلمة البرنامج الأكثر أهمية الاسم الكامل للبرنامج النصي مع الأوامر التي سيقوم AVZ بتنفيذها على جهاز الكمبيوتر الخاص بالمستخدم. لغة البرمجة النصية AVZ سهلة الاستخدام للغاية وتركز حصريًا على حل مشكلات فحص الكمبيوتر وعلاجه. لتبسيط عملية كتابة البرامج النصية، يمكنك استخدام محرر برامج نصية متخصص، والذي يحتوي على موجه عبر الإنترنت، ومعالج لإنشاء برامج نصية قياسية، وأدوات للتحقق من صحة البرنامج النصي المكتوب دون تشغيله (الشكل 1).
أرز. 1. محرر البرامج النصية AVZ
دعونا نلقي نظرة على ثلاثة نصوص نموذجية قد تكون مفيدة في مكافحة الوباء. أولاً، نحتاج إلى نص بحثي للكمبيوتر الشخصي. تتمثل مهمة البرنامج النصي في فحص النظام وإنشاء بروتوكول مع النتائج في مجلد شبكة معين. يبدو البرنامج النصي كما يلي:
ActivateWatchDog(60 * 10);
// ابدأ المسح والتحليل
// استكشاف النظام
تنفيذSysCheck(GetAVZDirectory+
'\LOG\'+GetComputerName+'_log.htm');
//اغلاق AVZ
أثناء تنفيذ هذا البرنامج النصي، سيتم إنشاء ملفات HTML مع نتائج دراسة أجهزة كمبيوتر الشبكة في مجلد LOG (بافتراض أنه تم إنشاؤها في دليل AVZ على الخادم ومتاح للمستخدمين للكتابة)، ولضمان التفرد، يتم تضمين اسم الكمبيوتر الذي يتم فحصه في اسم البروتوكول. يوجد في بداية البرنامج النصي أمر لتمكين مؤقت المراقبة، والذي سيؤدي إلى إنهاء عملية AVZ بالقوة بعد 10 دقائق في حالة حدوث فشل أثناء تنفيذ البرنامج النصي.
يعد بروتوكول AVZ مناسبًا للدراسة اليدوية، ولكنه قليل الاستخدام للتحليل الآلي. بالإضافة إلى ذلك، غالبًا ما يعرف المسؤول اسم ملف البرامج الضارة ويحتاج فقط إلى التحقق من وجوده أو غيابه هذا الملف، وإذا توفر، حجر للتحليل. في هذه الحالة، يمكنك استخدام البرنامج النصي التالي:
// تمكين مؤقت الوكالة الدولية للطاقة لمدة 10 دقائق
ActivateWatchDog(60 * 10);
// ابحث عن البرامج الضارة بالاسم
QuarantineFile('%WinDir%\smss.exe', 'مريب بشأن LdPinch.gen');
QuarantineFile('%WinDir%\csrss.exe', 'الاشتباه في LdPinch.gen');
//اغلاق AVZ
يستخدم هذا البرنامج النصي وظيفة QuarantineFile لمحاولة عزل الملفات المحددة. يمكن للمسؤول فقط تحليل محتويات العزل (المجلد Quarantine\network_name_PC\quarantine_date\) بحثًا عن وجود الملفات المعزولة. يرجى ملاحظة أن وظيفة QuarantineFile تقوم تلقائيًا بحظر عزل الملفات المحددة بواسطة قاعدة بيانات AVZ الآمنة أو قاعدة بيانات التوقيع الرقمي لـ Microsoft. ل تطبيق عملييمكن تحسين هذا البرنامج النصي - تنظيم تحميل أسماء الملفات من ملف نصي خارجي، والتحقق من الملفات التي تم العثور عليها مقابل قواعد بيانات AVZ وإنشاء بروتوكول نصي بنتائج العمل:
// ابحث عن ملف بالاسم المحدد
وظيفة CheckByName(Fname: string): منطقية؛
النتيجة:= FileExists(FName) ;
إذا كانت النتيجة ثم تبدأ
حالة CheckFile (FName) لـ
1: S:= '، تم حظر الوصول إلى الملف'؛
1: S:= '، تم اكتشافه كبرنامج ضار ('+GetLastCheckTxt+')'؛
2: S:= '، مشتبه به بواسطة ماسح الملفات ('+GetLastCheckTxt+')'؛
3: الخروج؛ // يتم تجاهل الملفات الآمنة
AddToLog('الملف '+NormalFileName(FName)+' له اسم مريب'+S);
// أضف الملف المحدد إلى الحجر الصحي
QuarantineFile(FName,'suspicious file'+S);
SuspNames: TStringList؛ // قائمة بأسماء الملفات المشبوهة
// فحص الملفات مقابل قاعدة البيانات المحدثة
إذا FileExists(GetAVZDirectory + 'files.db') فابدأ
SuspNames:= TStringList.Create;
SuspNames.LoadFromFile('files.db');
AddToLog('تم تحميل قاعدة بيانات الاسم - عدد السجلات ='+inttostr(SuspNames.Count));
// حلقة البحث
بالنسبة إلى i:= 0 إلى SuspNames.Count - 1 do
CheckByName(SuspNames[i]);
AddToLog("حدث خطأ أثناء تحميل قائمة أسماء الملفات");
SaveLog(GetAVZDirectory+'\LOG\'+
GetComputerName+'_files.txt');
لكي يعمل هذا البرنامج النصي، يجب عليك إنشاء دليلي Quarantine وLOG في مجلد AVZ، بحيث يمكن للمستخدمين الوصول إليهما للكتابة وكذلك ملف نصي files.db - سيحتوي كل سطر من هذا الملف على اسم الملف المشبوه. قد تتضمن أسماء الملفات وحدات ماكرو، وأكثرها فائدة هي %WinDir% (المسار إلى مجلد ويندوز) و%SystemRoot% (المسار إلى المجلد System32). يمكن أن يكون الاتجاه الآخر للتحليل هو الفحص التلقائي لقائمة العمليات التي يتم تشغيلها على أجهزة كمبيوتر المستخدم. توجد معلومات حول العمليات الجارية في بروتوكول بحث النظام، ولكن بالنسبة للتحليل التلقائي، يكون من الملائم أكثر استخدام جزء البرنامج النصي التالي:
إجراء عملية المسح؛
س:= ''; S1:= '';
// تحديث قائمة العمليات
RefreshProcessList;
AddToLog('عدد العمليات = '+IntToStr(GetProcessCount));
// دورة تحليل القائمة المستلمة
لأني:= 0 إلى GetProcessCount - 1 يبدأ
S1:= S1 + ',' + ExtractFileName(GetProcessName(i));
// ابحث عن العملية بالاسم
إذا pos('trojan.exe', LowerCase(GetProcessName(i)))> 0 ثم
S:= S + GetProcessName(i)+',';
إذا س<>''ثم
AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);
AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);
يتم إجراء دراسة العمليات في هذا البرنامج النصي كإجراء ScanProcess منفصل، لذلك من السهل وضعه في البرنامج النصي الخاص به. ينشئ إجراء ScanProcess قائمتين من العمليات: القائمة الكاملةالعمليات (للتحليل اللاحق) وقائمة العمليات التي تعتبر خطيرة من وجهة نظر المسؤول. في هذه الحالة، ولأغراض العرض التوضيحي، تعتبر العملية المسماة "trojan.exe" خطيرة. تتم إضافة معلومات حول العمليات الخطيرة إلى الملف النصي _alarm.txt، وتتم إضافة البيانات حول جميع العمليات إلى الملف _all_process.txt. من السهل أن ترى أنه يمكنك تعقيد البرنامج النصي عن طريق الإضافة إليه، على سبيل المثال، فحص ملفات العملية مقابل قاعدة بيانات للملفات الآمنة أو التحقق من الأسماء الملفات القابلة للتنفيذالعمليات على أساس خارجي. يتم استخدام إجراء مماثل في البرامج النصية AVZ المستخدمة في Smolenskenergo: يقوم المسؤول بدراسة المعلومات المجمعة بشكل دوري ويقوم بتعديل البرنامج النصي، مضيفًا إليه اسم عمليات البرامج المحظورة بواسطة سياسة الأمان، على سبيل المثال ICQ وMailRu.Agent، والذي يسمح عليك التحقق بسرعة من وجود برامج محظورة على أجهزة الكمبيوتر التي تتم دراستها. الاستخدام الآخر لقائمة العمليات هو العثور على أجهزة الكمبيوتر التي تفتقد عملية مطلوبة، مثل برنامج مكافحة الفيروسات.
في الختام، دعونا نلقي نظرة على آخر نصوص التحليل المفيدة - وهو برنامج نصي للعزل التلقائي لجميع الملفات التي لم تتعرف عليها قاعدة بيانات AVZ الآمنة وقاعدة بيانات التوقيع الرقمي لـ Microsoft:
// تنفيذ الحجر الصحي
this.ExecuteAutoQuarantine;
يفحص العزل التلقائي العمليات الجارية والمكتبات والخدمات وبرامج التشغيل المحملة، وحوالي 45 طريقة تشغيل تلقائي، ووحدات امتداد المتصفح والمستكشف، ومعالجات SPI/LSP، ومهام الجدولة، ومعالجات نظام الطباعة، وما إلى ذلك. الميزة الخاصة للعزل هي أنه تتم إضافة الملفات إليه مع التحكم في التكرار، بحيث يمكن استدعاء وظيفة العزل التلقائي بشكل متكرر.
تتمثل ميزة العزل التلقائي في أنه بمساعدته يمكن للمسؤول جمع الملفات التي يحتمل أن تكون مشبوهة بسرعة من جميع أجهزة الكمبيوتر الموجودة على الشبكة لفحصها. يمكن أن يكون أبسط أشكال دراسة الملفات (ولكنه فعال للغاية من الناحية العملية) هو التحقق من الحجر الصحي الناتج باستخدام العديد من برامج مكافحة الفيروسات الشائعة في الوضع الإرشادي الأقصى. تجدر الإشارة إلى أن التشغيل المتزامن للعزل التلقائي على عدة مئات من أجهزة الكمبيوتر يمكن أن يؤدي إلى تحميل كبير على الشبكة وخادم الملفات.
أبحاث المرور
يمكن إجراء البحوث المرورية بثلاث طرق:
- يدويا باستخدام المتشممون.
- في الوضع شبه التلقائي - في هذه الحالة، يقوم المتشمم بجمع المعلومات، ثم تتم معالجة بروتوكولاته إما يدويًا أو بواسطة بعض البرامج؛
- تلقائيًا باستخدام أنظمة كشف التسلل (IDS) مثل Snort (http://www.snort.org/) أو البرامج أو نظائرها من الأجهزة. في أبسط الحالات، يتكون نظام IDS من جهاز الشم ونظام يقوم بتحليل المعلومات التي يجمعها جهاز الشم.
يعد نظام كشف التطفل أداة مثالية لأنه يسمح لك بإنشاء مجموعات من القواعد لاكتشاف الحالات الشاذة في نشاط الشبكة. الميزة الثانية هي ما يلي: تسمح معظم IDS الحديثة بوضع وكلاء مراقبة حركة المرور على عدة عقد في الشبكة - حيث يقوم الوكلاء بجمع المعلومات ونقلها. في حالة استخدام أداة الشم، من الملائم جدًا استخدام وحدة التحكم UNIX sniffer tcpdump. على سبيل المثال، لمراقبة النشاط على المنفذ 25 ( بروتوكول SMTP) فقط قم بتشغيل جهاز الشم مع سطر الأوامريكتب:
tcpdump -i em0 -l منفذ TCP 25 > smtp_log.txt
في هذه الحالة، يتم التقاط الحزم عبر واجهة em0؛ سيتم تخزين المعلومات حول الحزم الملتقطة في ملف smtp_log.txt. من السهل نسبيًا تحليل البروتوكول يدويًا؛ في هذا المثال، يتيح لك تحليل النشاط على المنفذ 25 تحديد أجهزة الكمبيوتر التي بها روبوتات بريد عشوائي نشطة.
تطبيق مصيدة العسل
يمكن استخدام جهاز كمبيوتر قديم لا يسمح أداؤه باستخدامه في الحل كمصيدة (Honeypot). مهام الإنتاج. على سبيل المثال، تم استخدام Pentium Pro بسعة 64 ميجابايت بنجاح كمصيدة في شبكة المؤلف ذاكرة الوصول العشوائي. على هذا الكمبيوتر، يجب عليك تثبيت نظام التشغيل الأكثر شيوعًا على الشبكة المحلية (LAN) واختيار إحدى الاستراتيجيات:
- تثبيت نظام تشغيل بدون حزم التحديث - سيكون ذلك مؤشرا على ظهور دودة شبكة نشطة على الشبكة، تستغل أي من نقاط الضعف المعروفة لنظام التشغيل هذا؛
- تثبيت نظام تشغيل مع التحديثات المثبتة على أجهزة الكمبيوتر الأخرى على الشبكة - سيكون Honeypot مشابهًا لأي من محطات العمل.
كل استراتيجية لها إيجابياتها وسلبياتها؛ يستخدم المؤلف بشكل أساسي الخيار بدون تحديثات. بعد إنشاء Honeypot، يجب عليك إنشاء صورة قرص لـ انتعاش سريعالنظام بعد تعرضه للتلف بسبب البرامج الضارة. كبديل لصورة القرص، يمكنك استخدام أنظمة التراجع عن التغيير مثل ShadowUser ونظائرها. بعد إنشاء Honeypot، يجب أن تأخذ في الاعتبار أن عددًا من ديدان الشبكة تبحث عن أجهزة الكمبيوتر المصابة عن طريق مسح نطاق IP، المحسوب من عنوان IP للكمبيوتر المصاب (الاستراتيجيات النموذجية الشائعة هي X.X.X.*، X.X.X+1.*، X.X.X-1.*)، - لذلك، من الناحية المثالية، يجب أن يكون هناك مصيدة جذب على كل شبكة فرعية. كعناصر إعداد إضافية، يجب عليك بالتأكيد فتح الوصول إلى العديد من المجلدات على نظام Honeypot، وفي هذه المجلدات، يجب عليك وضع العديد من ملفات العينات بتنسيقات مختلفة، والحد الأدنى للمجموعة هو EXE، JPG، MP3.
بطبيعة الحال، بعد إنشاء Honeypot، يجب على المسؤول مراقبة تشغيله والاستجابة لأي حالات شاذة يتم اكتشافها هذا الحاسوب. يمكن استخدام المدققين كوسيلة لتسجيل التغييرات، ويمكن استخدام المتشمم لتسجيل نشاط الشبكة. نقطة مهمةهو أن معظم المتشممين يوفرون القدرة على تكوين إرسال تنبيه إلى المسؤول في حالة اكتشاف نشاط شبكة محدد. على سبيل المثال، في CommView sniffer، تتضمن القاعدة تحديد "صيغة" تصف حزمة شبكة، أو تحديد معايير كمية (إرسال أكثر من عدد محدد من الحزم أو البايتات في الثانية، أو إرسال الحزم إلى عناوين IP أو MAC غير محددة) - تين. 2.
أرز. 2. إنشاء وتكوين تنبيه نشاط الشبكة
كتحذير، هو الأكثر ملاءمة لاستخدام رسائل البريد الإلكتروني المرسلة إلى صندوق بريدالمسؤول - في هذه الحالة، يمكنك تلقي تنبيهات سريعة من جميع المصائد الموجودة في الشبكة. بالإضافة إلى ذلك، إذا كان برنامج الشم يسمح لك بإنشاء تنبيهات متعددة، فمن المنطقي التمييز بين نشاط الشبكة من خلال تمييز العمل باستخدام بالبريد الالكتروني، FTP/HTTP، TFTP، Telnet، MS Net، زادت حركة المرور لأكثر من 20-30 حزمة في الثانية لأي بروتوكول (الشكل 3).
أرز. 3. تم إرسال خطاب الإخطار
إذا تم الكشف عن الحزم المطابقة للمعايير المحددة
عند تنظيم مصيدة، من الجيد وضع العديد من خدمات الشبكة الضعيفة المستخدمة على الشبكة أو تثبيت محاكي لها. أبسطها (والمجانية) هي أداة APS الخاصة، والتي تعمل بدون تثبيت. يتلخص مبدأ تشغيل APS في الاستماع إلى العديد من منافذ TCP وUDP الموضحة في قاعدة البيانات الخاصة به وإصدار استجابة محددة مسبقًا أو تم إنشاؤها عشوائيًا في لحظة الاتصال (الشكل 4).
أرز. 4. النافذة الرئيسية لأداة APS
يوضح الشكل لقطة شاشة تم التقاطها أثناء تنشيط APS حقيقي على شبكة Smolenskenergo LAN. كما هو واضح في الشكل، تم تسجيل محاولة لتوصيل أحد أجهزة الكمبيوتر العميلة على المنفذ 21. وأظهر تحليل البروتوكولات أن المحاولات دورية ويتم تسجيلها بواسطة عدة مصائد على الشبكة، مما يسمح لنا باستنتاج أن يتم فحص الشبكة للبحث عن خوادم FTP واختراقها عن طريق تخمين كلمات المرور. يحتفظ APS بالسجلات ويمكنه إرسال رسائل إلى المسؤولين مع تقارير عن الاتصالات المسجلة بالمنافذ المراقبة، وهو أمر مناسب لاكتشاف عمليات فحص الشبكة بسرعة.
عند إنشاء Honeypot، من المفيد أيضًا التعرف على الموارد عبر الإنترنت حول هذا الموضوع، ولا سيما http://www.honeynet.org/. في قسم الأدوات بهذا الموقع (http://www.honeynet.org/tools/index.html) يمكنك العثور على عدد من الأدوات لتسجيل الهجمات وتحليلها.
إزالة البرامج الضارة عن بعد
من الناحية المثالية، بعد اكتشاف عينات البرامج الضارة، يرسلها المسؤول إلى مختبر مكافحة الفيروسات، حيث تتم دراستها على الفور من قبل المحللين وتتم إضافة التوقيعات المقابلة إلى قاعدة بيانات مكافحة الفيروسات. هذه التوقيعات من خلال تحديث أوتوماتيكيالوصول إلى جهاز الكمبيوتر الخاص بالمستخدم، ويقوم برنامج مكافحة الفيروسات تلقائيًا بإزالة البرامج الضارة دون تدخل المسؤول. ومع ذلك، فإن هذه السلسلة لا تعمل دائمًا كما هو متوقع، وعلى وجه الخصوص، من المحتمل أن تكون أسباب الفشل التالية:
- لعدد من الأسباب المستقلة عن مسؤول الشبكة، قد لا تصل الصور إلى مختبر مكافحة الفيروسات؛
- عدم كفاية كفاءة مختبر مكافحة الفيروسات - من الناحية المثالية، لا يستغرق الأمر أكثر من 1-2 ساعات لدراسة العينات وإدخالها في قاعدة البيانات، مما يعني أنه يمكن الحصول على قواعد بيانات التوقيع المحدثة في غضون يوم عمل. ومع ذلك، لا تعمل جميع مختبرات مكافحة الفيروسات بهذه السرعة، ويمكنك الانتظار عدة أيام للحصول على التحديثات (في حالات نادرة، حتى أسابيع)؛
- الأداء العالي لبرنامج مكافحة الفيروسات - يقوم عدد من البرامج الضارة، بعد التنشيط، بتدمير برامج مكافحة الفيروسات أو تعطيل عملها بطريقة أخرى. تتضمن الأمثلة الكلاسيكية إجراء إدخالات في ملف المضيفين الذي يتم حظره العمل العاديأنظمة التحديث التلقائي لمكافحة الفيروسات، وحذف العمليات والخدمات وبرامج مكافحة الفيروسات، وإتلاف إعداداتها، وما إلى ذلك.
لذلك، في الحالات المذكورة أعلاه، سيتعين عليك التعامل مع البرامج الضارة يدويًا. في معظم الحالات، هذا ليس بالأمر الصعب، حيث أن نتائج فحص الكمبيوتر تكشف عن أجهزة الكمبيوتر المصابة، بالإضافة إلى الأسماء الكاملة لملفات البرامج الضارة. كل ما تبقى هو إزالتها عن بعد. إذا لم يكن البرنامج الضار محميًا من الحذف، فيمكن تدميره باستخدام البرنامج النصي AVZ التالي:
// حذف ملف
حذف الملف('اسم الملف');
this.ExecuteSysClean;
يحذف هذا البرنامج النصي ملفًا واحدًا محددًا (أو عدة ملفات، حيث يمكن أن يكون هناك عدد غير محدود من أوامر RemoveFile في البرنامج النصي) ثم يقوم تلقائيًا بتنظيف السجل. في حالة أكثر تعقيدًا، يمكن للبرامج الضارة حماية نفسها من الحذف (على سبيل المثال، عن طريق إعادة إنشاء ملفاتها ومفاتيح التسجيل الخاصة بها) أو إخفاء نفسها باستخدام تقنية الجذور الخفية. في هذه الحالة، يصبح البرنامج النصي أكثر تعقيدًا وسيبدو كما يلي:
// مكافحة الجذور الخفية
SearchRootkit(true, true);
// التحكم في AVZGuard
SetAVZGuardStatus(true);
// حذف ملف
حذف الملف('اسم الملف');
// تمكين تسجيل BootCleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
// قم باستيراد قائمة الملفات المحذوفة بواسطة البرنامج النصي إلى مهمة BootCleaner
BC_ImportDeletedList;
// تفعيل BootCleaner
// تنظيف النظام الإرشادي
this.ExecuteSysClean;
RebootWindows(true);
يتضمن هذا البرنامج النصي مكافحة نشطة للجذور الخفية، واستخدام نظام AVZGuard (وهو مانع نشاط البرامج الضارة) ونظام BootCleaner. BootCleaner هو برنامج تشغيل يقوم بإزالة الكائنات المحددة من KernelMode أثناء إعادة التشغيل، في مرحلة مبكرة من تمهيد النظام. تظهر الممارسة أن مثل هذا البرنامج النصي قادر على تدمير الغالبية العظمى من البرامج الضارة الموجودة. الاستثناء هو البرامج الضارة التي تغير أسماء ملفاتها القابلة للتنفيذ مع كل عملية إعادة تشغيل - في هذه الحالة، يمكن إعادة تسمية الملفات التي تم اكتشافها أثناء فحص النظام. في هذه الحالة، ستحتاج إلى تنظيف جهاز الكمبيوتر الخاص بك يدويًا أو إنشاء توقيعات البرامج الضارة الخاصة بك (تم توضيح مثال لبرنامج نصي يقوم بتنفيذ بحث التوقيع في مساعدة AVZ).
خاتمة
في هذه المقالة، نظرنا إلى بعض التقنيات العملية لمكافحة وباء LAN يدويًا، دون استخدام منتجات مكافحة الفيروسات. يمكن أيضًا استخدام معظم التقنيات الموصوفة للبحث عن أجهزة الكمبيوتر الأجنبية وإشارات طروادة المرجعية على أجهزة كمبيوتر المستخدمين. إذا واجهت أي صعوبات في العثور على برامج ضارة أو إنشاء برامج نصية للعلاج، فيمكن للمسؤول استخدام قسم "المساعدة" في المنتدى http://virusinfo.info أو قسم "مكافحة الفيروسات" في المنتدى http://forum.kaspersky.com /index.php?showforum= 18. يتم إجراء دراسة البروتوكولات والمساعدة في العلاج في كلا المنتديين مجانًا، ويتم إجراء تحليل الكمبيوتر الشخصي وفقًا لبروتوكولات AVZ، وفي معظم الحالات يقتصر العلاج على تنفيذ برنامج نصي AVZ على أجهزة الكمبيوتر المصابة، تم تجميعه بواسطة متخصصين ذوي خبرة من هذه المنتديات .
والتي تضطر إلى الانتظار حتى يتم إنشاء ملف فعلي على كمبيوتر المستخدم، وتبدأ حماية الشبكة في تحليل تدفقات البيانات الواردة التي تدخل إلى كمبيوتر المستخدم من خلال الشبكة وتحظر التهديدات قبل دخولها إلى النظام.
المجالات الرئيسية لحماية الشبكة التي توفرها تقنيات Symantec هي:
التنزيلات من خلال محرك الأقراص، وهجمات الويب؛
- هجمات "الهندسة الاجتماعية": FakeAV (برامج مكافحة الفيروسات المزيفة) وبرامج الترميز؛
- الهجمات من خلال وسائل التواصل الاجتماعيمثل الفيسبوك؛
- الكشف عن البرامج الضارة والجذور الخفية والأنظمة المصابة بالروبوتات؛
- الحماية ضد التهديدات المتقدمة.
- تهديدات يوم الصفر؛
- الحماية ضد نقاط الضعف في البرامج غير المصححة؛
- الحماية من المجالات الضارة وعناوين IP.
تقنيات حماية الشبكة
يتضمن مستوى "حماية الشبكة" 3 تقنيات مختلفة.
حل منع اختراق الشبكة (Network IPS)
تفهم تقنية Network IPS أكثر من 200 بروتوكول مختلف وتفحصها. إنه يقطع بذكاء ودقة من خلال ثنائي و بروتوكول الشبكة، ويبحث في نفس الوقت عن علامات حركة المرور الضارة. يسمح هذا الذكاء بإجراء مسح أكثر دقة للشبكة مع الاستمرار في توفيره حماية موثوقة. يوجد في "قلبه" محرك لحظر الاستغلال يوفر ثغرات مفتوحة مع حماية لا يمكن اختراقها فعليًا. الميزة الفريدة لـ Symantec IPS هي أن هذا المكون لا يتطلب أي تكوين. جميع وظائفها تعمل، كما يقولون، "خارج الصندوق". يتم تمكين هذه التقنية المهمة بشكل افتراضي في كل منتج استهلاكي من Norton، وكل منتج Symantec Endpoint Protection الإصدار 12.1 والإصدارات الأحدث.
حماية المتصفح
يقع محرك الأمان هذا داخل المتصفح. إنه قادر على اكتشاف التهديدات الأكثر تعقيدًا التي لا تستطيع برامج مكافحة الفيروسات التقليدية أو Network IPS اكتشافها. في الوقت الحاضر، تستخدم العديد من هجمات الشبكة تقنيات التشويش لتجنب اكتشافها. نظرًا لأن حماية المتصفح تعمل داخل المتصفح، فهي قادرة على فحص التعليمات البرمجية غير المخفية (المبهمة) أثناء تشغيلها. يتيح لك ذلك اكتشاف الهجوم وحظره إذا تم تفويته في المستويات الأدنى من حماية البرنامج.
حماية التنزيل غير المصرح به (UXP)
يساعد خط الدفاع الأخير، الموجود داخل طبقة دفاع الشبكة، على تغطية وتخفيف تأثيرات الثغرات الأمنية غير المعروفة وغير المصححة، دون استخدام التوقيعات. وهذا يوفر طبقة إضافية من الحماية ضد هجمات Zero Day.
التركيز على المشاكل
تعمل تقنيات أمان الشبكات معًا على حل المشكلات التالية.
التنزيلات السريعة ومجموعات الهجوم على الويب
باستخدام تقنية Network IPS وحماية المتصفح وتقنية UXP، تعمل تقنيات حماية الشبكة من Symantec على حظر التنزيلات من Drive-by وتمنع بشكل أساسي البرامج الضارة من الوصول إلى نظام المستخدم. يتم ممارسة أساليب وقائية مختلفة تتضمن استخدام هذه التقنيات نفسها، بما في ذلك تقنية حظر الاستغلال العامة وأدوات الكشف عن هجمات الويب. تقوم أداة الكشف عن هجمات الويب العامة بتحليل خصائص هجوم الويب الشائع، بغض النظر عن الثغرة الأمنية المحددة التي يستهدفها الهجوم. يتيح لك ذلك توفير حماية إضافية للثغرات الجديدة وغير المعروفة. أفضل ما في هذا النوع من الحماية هو أنه إذا أصاب ملف ضار النظام "بصمت"، فسيتم إيقافه وإزالته من النظام بشكل استباقي: وهذا هو بالضبط السلوك الذي تفتقده عادة منتجات مكافحة الفيروسات التقليدية. لكن شركة Symantec تواصل حظر عشرات الملايين من أنواع البرامج الضارة التي لا يمكن اكتشافها عادةً بوسائل أخرى.
هجمات الهندسة الاجتماعية
نظرًا لأن تقنية Symantec تراقب حركة مرور الشبكة والمتصفح أثناء انتقالها، فإنها تكتشف هجمات "الهندسة الاجتماعية" مثل FakeAV أو برامج الترميز المزيفة. تم تصميم التقنيات لمنع مثل هذه الهجمات قبل ظهورها على شاشة المستخدم. معظم الحلول المنافسة الأخرى لا تتضمن هذه القدرة القوية.
تحظر Symantec مئات الملايين من هذه الأنواع من الهجمات باستخدام تقنية الحماية من التهديدات عبر الإنترنت.
الهجمات التي تستهدف تطبيقات وسائل التواصل الاجتماعي
أصبحت تطبيقات الوسائط الاجتماعية مؤخرًا شائعة على نطاق واسع لأنها تتيح لك مشاركة الرسائل المتنوعة ومقاطع الفيديو والمعلومات المثيرة للاهتمام على الفور مع آلاف الأصدقاء والمستخدمين. إن التوزيع الواسع لمثل هذه البرامج وإمكاناتها يجعلها الهدف الأول للمتسللين. تتضمن بعض حيل القرصنة الشائعة إنشاء حسابات مزيفة وإرسال رسائل غير مرغوب فيها.
يمكن لتقنية Symantec IPS الحماية من هذه الأنواع من أساليب الخداع، وغالبًا ما تمنعها حتى قبل أن ينقر المستخدم عليها. تعمل شركة Symantec على إيقاف عناوين URL والتطبيقات وأساليب الخداع الأخرى الاحتيالية والمخادعة باستخدام تقنية الحماية من التهديدات عبر الإنترنت.
الكشف عن البرامج الضارة والجذور الخفية والأنظمة المصابة بالبوت
ألن يكون من الجيد معرفة مكان وجود الكمبيوتر المصاب على الشبكة بالضبط؟ توفر حلول IPS من Symantec هذه الإمكانية، بما في ذلك اكتشاف واسترداد التهديدات التي ربما تكون قد تهربت من طبقات أخرى من الحماية. تكتشف حلول Symantec البرامج الضارة والروبوتات التي تحاول إجراء اتصالات تلقائية أو تنزيل "تحديثات" لزيادة نشاطها على النظام. يتيح ذلك لمديري تكنولوجيا المعلومات، الذين لديهم قائمة واضحة بالأنظمة التي يتعين عليهم مراجعتها، التأكد من أن مؤسستهم آمنة. يمكن إيقاف وإزالة التهديدات الخفية متعددة الأشكال والمعقدة التي تستخدم تقنيات rootkit مثل Tidserv وZeroAccess وKoobface وZbot وإزالتها باستخدام هذه الطريقة.
الحماية ضد التهديدات المبهمة
تستخدم هجمات الويب اليوم تقنيات معقدة لزيادة تعقيد هجماتها. توجد حماية متصفح Symantec داخل المتصفح ويمكنها اكتشاف التهديدات المعقدة للغاية التي غالبًا ما لا تتمكن الطرق التقليدية من اكتشافها.
تهديدات يوم الصفر ونقاط الضعف غير المصححة
إحدى الإضافات الأمنية السابقة التي أضافتها الشركة هي طبقة إضافية من الحماية ضد تهديدات اليوم صفر ونقاط الضعف غير المصححة. باستخدام الحماية بدون توقيع، يعترض البرنامج مكالمات System API ويحمي من تنزيلات البرامج الضارة. تُسمى هذه التقنية حماية التنزيل غير المصرح به (UXP). إنه خط الدعم الأخير ضمن النظام البيئي للحماية من تهديدات الشبكة. يتيح ذلك للمنتج "تغطية" الثغرات الأمنية غير المعروفة وغير المصححة دون استخدام التوقيعات. يتم تمكين هذه التقنية افتراضيًا وتم العثور عليها في كل منتج تم إصداره منذ ظهور Norton 2010 لأول مرة.
الحماية ضد نقاط الضعف في البرامج غير المصححة
غالبًا ما يتم تثبيت البرامج الضارة دون علم المستخدم، وذلك باستخدام نقاط الضعف الموجودة في البرنامج. يوفر أمان شبكة Symantec طبقة إضافية من الحماية تسمى حظر الاستغلال العام (GEB). بغض النظر عن آخر التحديثاتأم لا، فإن GEB "في الغالب" يحمي نقاط الضعف الأساسية من الاستغلال. ثغرات أمنية في Oracle Sun Java، أدوبي أكروباتقارئ، برنامج أدوب فلاش, متصفح الانترنتأو عناصر تحكم ActiveX أو QuickTime أصبحت الآن موجودة في كل مكان. تم إنشاء الحماية العامة من الاستغلال عن طريق "الهندسة العكسية" من خلال اكتشاف كيفية استغلال الثغرة الأمنية على الشبكة، مع توفير تصحيح خاص لـ مستوى الشبكة. يمكن لـ GEB واحد، أو توقيع الثغرة الأمنية، توفير الحماية ضد الآلاف من متغيرات البرامج الضارة، الجديدة وغير المعروفة.
عناوين IP الضارة وحظر النطاق
تتضمن حماية شبكة Symantec أيضًا القدرة على حظر النطاقات الضارة وعناوين IP أثناء إيقاف البرامج الضارة وحركة المرور من المواقع الضارة المعروفة. من خلال التحليل والتحديث الدقيق لموقع الويب الخاص بـ STAR، توفر Symantec الحماية في الوقت الفعلي ضد التهديدات المتغيرة باستمرار.
تحسين مقاومة التهرب
تمت إضافة دعم للتشفيرات الإضافية لتحسين فعالية اكتشاف الهجوم باستخدام تقنيات التشفير مثل base64 وgzip.
كشف تدقيق الشبكة لفرض سياسات الاستخدام وتحديد تسرب البيانات
يمكن استخدام Network IPS لتحديد التطبيقات والأدوات التي قد تنتهك سياسات استخدام الشركة، أو لمنع تسرب البيانات عبر الشبكة. من الممكن اكتشاف أو تحذير أو منع حركة المرور مثل الرسائل الفورية أو P2P أو وسائل التواصل الاجتماعي أو أنواع أخرى من حركة المرور "المثيرة للاهتمام".
بروتوكول الاتصالات الاستخباراتية STAR
تكنولوجيا أمن الشبكات لا تعمل من تلقاء نفسها. يتواصل المحرك مع خدمات الأمان الأخرى باستخدام بروتوكول STAR Intelligence Communication (STAR ICB). يتصل محرك Network IPS بمحرك Symantec Sonar، ثم بمحرك Insight Reputation. يتيح لك ذلك توفير حماية أكثر إفادة ودقة.
في المقالة القادمة سوف نلقي نظرة على مستوى محلل السلوك.
بناء على مواد من سيمانتيك
يجب تثبيت برنامج مكافحة الفيروسات على كل جهاز كمبيوتر يعمل بنظام Windows. لفترة طويلة، كان هذا يعتبر القاعدة الذهبية، ولكن اليوم يناقش خبراء أمن تكنولوجيا المعلومات مدى فعالية برامج الأمان. يجادل النقاد بأن برامج مكافحة الفيروسات لا تحمي دائما، وأحيانا حتى العكس - بسبب التنفيذ الإهمال، فإنها يمكن أن تخلق فجوات في أمان النظام. يتناقض مطورو هذه الحلول هذا الرأيأعداد هائلة من الهجمات المحظورة، وتستمر أقسام التسويق في الإشادة بالحماية الشاملة التي توفرها منتجاتها.
الحقيقة تكمن في مكان ما في الوسط. لا تعمل برامج مكافحة الفيروسات بشكل لا تشوبه شائبة، ولكن لا يمكن وصفها جميعًا بأنها عديمة الفائدة. إنها تحذر من مجموعة متنوعة من التهديدات، لكنها ليست كافية للحفاظ على Windows محميًا قدر الإمكان. بالنسبة لك كمستخدم، هذا يعني ما يلي: يمكنك إما رمي برنامج مكافحة الفيروسات في سلة المهملات، أو الثقة به بشكل أعمى. ولكن بطريقة أو بأخرى، فهي مجرد واحدة من الكتل (وإن كانت كبيرة) في الاستراتيجية الأمنية. سنزودك بتسعة أخرى من هذه "الطوب".
التهديدات الأمنية: برامج مكافحة الفيروسات
> ما يقوله النقاد إن الجدل الحالي حول برامج فحص الفيروسات قد أثاره مطور Firefox السابق روبرت أوكالاغان. يجادل: برامج مكافحة الفيروسات تهدد أمان Windows ويجب إزالتها. الاستثناء الوحيد هو Windows Defender من Microsoft.
> ما يقوله المطورون منشئو برامج مكافحة الفيروسات، بما في ذلك كاسبيرسكي لابكحجة، يستشهدون بأرقام مثيرة للإعجاب. وهكذا، في عام 2016، سجلت برمجيات هذا المختبر ومنعت حوالي 760 مليون هجمة عبر الإنترنت على أجهزة كمبيوتر المستخدمين.
> ما تعتقده شركة CHIP أنه لا ينبغي اعتبار برامج مكافحة الفيروسات بقايا أو علاجًا سحريًا. إنهم مجرد لبنة في بناء الأمن. نوصي باستخدام برامج مكافحة الفيروسات المدمجة. لكن لا تقلق كثيرًا: Windows Defender جيد. يمكنك حتى استخدام الماسحات الضوئية البسيطة التابعة لجهات خارجية.
اختر مضاد الفيروسات المناسب
نحن، كما كان من قبل، مقتنعون بأن نظام التشغيل Windows لا يمكن تصوره بدون الحماية من الفيروسات. ما عليك سوى اختيار المنتج المناسب. بالنسبة لمستخدمي Tens، قد يكون هذا هو برنامج Windows Defender المدمج. على الرغم من أنه خلال اختباراتنا لم يُظهر أفضل درجة من الاعتراف، إلا أنه مدمج تمامًا في النظام، والأهم من ذلك، دون أي مشاكل أمنية. بالإضافة إلى ذلك، قامت Microsoft بتحسين منتجها في Creators Update لنظام التشغيل Windows 10 وتبسيط إدارته.
غالبًا ما تتمتع حزم مكافحة الفيروسات المقدمة من مطورين آخرين بمعدل تعرف أعلى من Defender. نحن ندافع عن حل مدمج. زعيم تصنيفنا على هذه اللحظةهو كاسبيرسكي أمن الإنترنت 2017. أولئك الذين يمكنهم رفض هذه الخيارات الإضافية مثل مراقبة اهليةومدير كلمات المرور، يجب أن يحولوا انتباههم إلى خيار أكثر ملاءمة للميزانية من Kaspersky Lab.
متابعة التحديثات
إذا كان علينا اختيار إجراء واحد فقط للحفاظ على أمان Windows، فسنختار بالتأكيد التحديثات. في هذه الحالة، بالطبع، نحن نتحدث في المقام الأول عن التحديثات لنظام التشغيل Windows، ولكن ليس فقط. ويجب أيضًا تحديث البرامج المثبتة، بما في ذلك Office وFirefox وiTunes، بانتظام. على نظام التشغيل Windows، يعد الحصول على تحديثات النظام أمرًا سهلاً نسبيًا. في كل من التصحيحات "السبعة" و"العشرة"، يتم تثبيت التصحيحات تلقائيًا باستخدام الإعدادات الافتراضية.
في حالة البرامج، يصبح الوضع أكثر صعوبة، حيث أنه ليس من السهل تحديثها جميعًا مثل Firefox وChrome، اللذين يحتويان على وظيفة التحديث التلقائي المضمنة. ستدعمك الأداة المساعدة SUMo (مراقب تحديث البرامج) في حل هذه المهمة وإعلامك بتوفر التحديثات. سيقوم البرنامج ذو الصلة، DUMo (مراقب تحديث برنامج التشغيل)، بنفس المهمة لبرامج التشغيل. ومع ذلك، فإن كلا المساعدين المجانيين يبلغانك فقط بالإصدارات الجديدة - سيتعين عليك تنزيلهما وتثبيتهما بنفسك.
قم بإعداد جدار الحماية
يقوم جدار الحماية المدمج في Windows بعمله بشكل جيد ويحظر جميع الطلبات الواردة بشكل موثوق. ومع ذلك، فهو قادر على المزيد - إمكاناته ليست محدودة بالتكوين الافتراضي: الكل البرامج المثبتةلديهم الحق في فتح المنافذ في جدار الحماية دون أن يطلبوا ذلك. ستمنحك الأداة المساعدة المجانية للتحكم في جدار حماية Windows المزيد من المزايا.
قم بتشغيله وفي قائمة "الملفات الشخصية" اضبط الفلتر على "تصفية متوسطة". وبفضل هذا، سيتحكم جدار الحماية أيضًا في حركة المرور الصادرة وفقًا لمجموعة معينة من القواعد. عليك أن تقرر بنفسك ما هي التدابير التي سيتم تضمينها. للقيام بذلك، في الزاوية اليسرى السفلية من شاشة البرنامج، انقر على أيقونة الملاحظة. بهذه الطريقة يمكنك عرض القواعد ومنح الإذن بنقرة واحدة برنامج منفصلأو منعه.
استخدم حماية خاصة
التحديثات ومكافحة الفيروسات وجدار الحماية - لقد اهتمت بالفعل بهذا الثالوث العظيم من الإجراءات الأمنية. حان الوقت الكون المثالى. غالبًا ما تكون مشكلة البرامج الإضافية لنظام التشغيل Windows هي أنها لا تستفيد من جميع ميزات الأمان التي يوفرها النظام. تعمل أداة مكافحة الاستغلال مثل EMET (مجموعة أدوات تجربة التخفيف المحسنة) على تعزيز البرنامج المثبت. للقيام بذلك، انقر فوق "استخدام الإعدادات الموصى بها" واترك البرنامج يعمل تلقائيًا.
تعزيز التشفير
يمكنك تعزيز حماية البيانات الشخصية بشكل كبير عن طريق تشفيرها. حتى لو وقعت معلوماتك في الأيدي الخطأ، فلن يتمكن المتسلل من إزالة الترميز الجيد، على الأقل ليس على الفور. في المهنية إصدارات ويندوزالأداة المساعدة BitLocker متوفرة بالفعل، وتم تكوينها من خلال لوحة التحكم.
سيكون VeraCrypt بديلاً لجميع المستخدمين. هذا البرنامج مفتوح المصدر هو الوريث غير الرسمي لبرنامج TrueCrypt، الذي تم إيقافه منذ عامين. لو نحن نتحدث عنفقط فيما يتعلق بحماية المعلومات الشخصية، يمكنك إنشاء حاوية مشفرة من خلال عنصر "إنشاء وحدة تخزين". حدد خيار "إنشاء حاوية ملف مشفر" واتبع تعليمات المعالج. يتم الوصول إلى خزنة البيانات الجاهزة من خلال Windows Explorer، تمامًا مثل القرص العادي.
حماية حسابات المستخدمين
تظل العديد من نقاط الضعف غير مستغلة من قبل المتسللين وذلك ببساطة لأن العمل على الكمبيوتر يتم تنفيذه بموجب حساب قياسي بحقوق محدودة. لذلك، بالنسبة للمهام اليومية، يجب عليك أيضًا إعداد واحدة مثل هذه حساب. في نظام التشغيل Windows 7، يتم ذلك من خلال لوحة التحكم وعنصر "إضافة وإزالة حسابات المستخدمين". في "العشرة الأوائل"، انقر على "الإعدادات" و"الحسابات"، ثم حدد "العائلة والأشخاص الآخرون".
تفعيل VPN خارج المنزل
في المنزل في شبكة لاسلكيةمستوى الأمان الخاص بك مرتفع لأنك تتحكم في من يمكنه الوصول إلى الشبكة المحلية وتكون مسؤولاً عن التشفير ورموز الوصول. كل شيء يختلف في حالة النقاط الساخنة، على سبيل المثال،
في الفنادق. هنا يتم توزيع شبكة Wi-Fi بين مستخدمي الطرف الثالث، ولا يمكنك أن يكون لديك أي تأثير على أمان الوصول إلى الشبكة. للحماية، نوصي باستخدام VPN (الشبكة الافتراضية الخاصة). إذا كنت تحتاج فقط إلى تصفح المواقع من خلال نقطة وصول، فإن شبكة VPN المدمجة فيها احدث اصدارمتصفح اوبرا. قم بتثبيت المتصفح وفي "الإعدادات" انقر على "الأمان". في قسم "VPN"، حدد المربع "تمكين VPN".
قطع الاتصالات اللاسلكية غير المستخدمة
نعم حتى التفاصيل يمكن أن تحدد نتيجة الموقف. إذا كنت لا تستخدم اتصالات مثل Wi-Fi وBluetooth، فما عليك سوى إيقاف تشغيلها لإغلاق الثغرات المحتملة. في نظام التشغيل Windows 10، أسهل طريقة للقيام بذلك هي من خلال مركز العمل. يقدم "Seven" قسم "اتصالات الشبكة" في لوحة التحكم لهذا الغرض.
إدارة كلمات المرور
يجب استخدام كل كلمة مرور مرة واحدة فقط ويجب أن تحتوي على أحرف خاصة وأرقام وأحرف كبيرة وصغيرة. وتكون أيضًا أطول فترة ممكنة - ويفضل أن تكون عشرة أحرف أو أكثر. لقد وصل مبدأ أمان كلمة المرور إلى حدوده اليوم لأنه يتعين على المستخدمين أن يتذكروا الكثير. ولذلك، حيثما أمكن، ينبغي استبدال هذه الحماية بطرق أخرى. خذ تسجيل الدخول إلى Windows على سبيل المثال: إذا كان لديك كاميرا تدعم Windows Hello، فاستخدم التعرف على الوجه لتسجيل الدخول. بالنسبة للرموز الأخرى، نوصي باستخدام مديري كلمات المرور مثل KeePass، والتي يجب حمايتها بكلمة مرور رئيسية قوية.
تأمين خصوصيتك في المتصفح
هناك العديد من الطرق لحماية خصوصيتك على الإنترنت. يعد ملحق إعدادات الخصوصية مثاليًا لمتصفح Firefox. قم بتثبيته واضبطه على "الخصوصية الكاملة". بعد ذلك، لن يقدم المتصفح أي معلومات حول سلوكك على الإنترنت.
عوامة النجاة: النسخ الاحتياطي
> النسخ الاحتياطية مهمة للغاية دعميبرر
نفسك ليس فقط بعد الإصابة بالفيروس. كما أنه يعمل بشكل جيد عند ظهور مشاكل في الأجهزة. نصيحتنا: قم بعمل نسخة من جميع أنظمة Windows مرة واحدة، ثم قم بعمل نسخ احتياطية لجميع البيانات المهمة بالإضافة إلى ذلك وبشكل منتظم.> الأرشفة الكاملة لنظام التشغيل Windows Windows 10 الموروث من وحدة "الأرشفة والاستعادة" "السبعة". معها سوف تخلق نسخة إحتياطيةأنظمة. تستطيع ايضا استخذام المرافق الخاصة، على سبيل المثال True Image أو Macrium Reflect.
> يمكن لحماية ملفات True Image والإصدار المدفوع من Macrium Reflect عمل نسخ ملفات معينةوالمجلدات. بديل مجانيللأرشفة معلومات مهمةسوف يصبح برنامج النسخ الاحتياطي الشخصي.
الصورة: شركات التصنيع؛ نيكولينينو/فوتوليا.كوم
كيف يمكنك حماية جهاز الكمبيوتر الخاص بك من الوصول إليه عن بعد؟ كيفية منع الوصول إلى جهاز الكمبيوتر من خلال المتصفح؟
كيفية حماية جهاز الكمبيوتر الخاص بك من الوصول عن بعد، عادة ما يفكرون عندما يحدث شيء ما بالفعل. لكن بطبيعة الحال، هذا قرار خاطئ بالنسبة لشخص يشارك على الأقل في بعض أنشطته الخاصة. ومن المستحسن لجميع المستخدمين قصر الوصول إلى أجهزة الكمبيوتر الخاصة بهم على الغرباء. وفي هذه المقالة لن نناقش طريقة تعيين كلمة مرور لتسجيل الدخول إلى جهاز كمبيوتر، ولكننا سننظر في خيار حول كيفية رفض الوصول إلى جهاز كمبيوتر من شبكة محلية، أو من كمبيوتر آخر إذا كانا متصلين بنفس الشبكة شبكة. ستكون هذه المعلومات مفيدة بشكل خاص لمستخدمي أجهزة الكمبيوتر الشخصية الجدد.
وهكذا، في نظام التشغيليحتوي Windows على ميزة تسمى "الوصول عن بعد". وإذا لم يتم تعطيله، فيمكن للمستخدمين الآخرين الاستفادة من ذلك للتحكم في جهاز الكمبيوتر الخاص بك. حتى لو كنت مديرًا وتحتاج إلى مراقبة موظفيك، فمن الطبيعي أن تحتاج إلى الوصول إلى أجهزة الكمبيوتر الخاصة بهم، ولكن عليك إغلاق جهاز الكمبيوتر الخاص بك حتى لا ينظر هؤلاء الموظفون أنفسهم إلى مراسلاتك مع سكرتيرتك - وهذا أمر محفوف بالمخاطر.. .
| الاثنين | دبليو | تزوج | الخميس | الجمعة | قعد | شمس |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 | |||||
دعاية
كالعادة، يتم الترويج للمشاريع عبر الإنترنت. عادة، يحاول مؤلفو تحسين محركات البحث (SEO) وضع أكبر قدر ممكن في النص استعلامات البحث، ويميلهم إلى ذلك
سيساعدك فهم الفروق الدقيقة التي تميز أجهزة iPhone المزيفة عن المنتجات الحقيقية على توفير المال وتجنب الشراء من البائعين المهملين. لماذا
