ev › Quraşdırma və konfiqurasiya › Şəbəkə üzərindən kompüterin aşkarlanması və qorunması. Şəbəkə qorunması. Kompüter şəbəkələrini qorumaq üçün proqram. O Pis: Paylaşılan inzibati resursların zəifliyi

Şəbəkə üzərindən kompüterin aşkarlanması və qorunması. Şəbəkə qorunması. Kompüter şəbəkələrini qorumaq üçün proqram. O Pis: Paylaşılan inzibati resursların zəifliyi

Bəzi insanlar bütün həyatlarını korporasiyaların və fərdlərin təhlükəsizliyini yaxşılaşdırmaq üçün çalışırlar. Və bu vaxtın əhəmiyyətli bir hissəsini Windows-da deşikləri yamaqlayırlar. Windows sistemi əsas kanaldır zərərli proqram, 5-ci fəsildə müzakirə edildiyi kimi zombilər (robotlar) yaradan və bu, aysberqin yalnız görünən hissəsidir. Ədalətli olmaq üçün, Windows-un kütləvi populyarlığının günahı böyükdür, lakin Windows 7-də o qədər çox boşluq var ki, Microsoft-da hər kəsi narahat edib-etmədiyi bəlli deyil.

Üç əsas təhlükə növü var. Birincisi, şəbəkə bağlantısı vasitəsilə kompüterinizi sındırmağa çalışan bir şəxs tərəfindən xüsusi hədəflənmiş hücum. İkincisi, kompüterinizin klaviaturasında oturan bir insanın hücumu. Nəhayət, bir qurd və ya digər növ zərərli proqram tərəfindən həyata keçirilən avtomatik hücum ola bilər.

Windows 7 və hətta daha əvvəlki Vista-ya İstifadəçi Hesabına Nəzarət daxildir ki, bu da arzuolunmaz və arzuolunmaz proqram quraşdırmalarının qarşısını almağa kömək edəcək - bu barədə daha çox məlumat, həmçinin parollar və şifrələmə.

Fəsil 7-də deyilir. Bununla belə, lazımsız şeylərin çoxu sizin şəbəkə bağlantınız vasitəsilə gəlir, ona görə də kompüterinizi qorumağa buradan başlamalısınız. Windows 7 əməliyyat sistemi satın almadan müəyyən təhlükəsizlik səviyyəsini təmin etməyə imkan verən bir neçə funksiyanı özündə birləşdirir əlavə proqramlar və ya avadanlıq.

Təəssüf ki, bu funksiyaların çoxu standart olaraq aktiv deyil. Aşağıdakı amillər göz ardı edilməməli olan boşluqlardır.

O Pis: UPnP protokol açığı

UPnP (Universal Plug-and-Play) adlı başqa bir xüsusiyyət şəbəkənizdə əlavə boşluqlar aça bilər. UPnP üçün daha uyğun ad Network Plug and Play olacaq, çünki bu funksiya yalnız şəbəkə cihazları ilə məşğul olur. UPnP bu yaxınlarda qoşulmuş cihazlara reklam etməyə imkan verən standartlar toplusudur

varlığınız haqqında UPnP serverləriŞəbəkənizdə, USB cihazlarının Windows-a məxsus sistemdə mövcudluğunu elan etdiyi kimi

Xarici olaraq, UPnP funksiyası yaxşı görünür. Amma praktikada UPnP standartında autentifikasiyanın olmaması və zərərli proqramın UPnP-dən istifadə edərək firewallda deşiklər açmaq və marşrutlaşdırıcıda port yönləndirmə qaydaları yaratmaq asanlığı problemdən başqa bir şey deyil. UPnP hazırda bəzi oyunlar, əksər media genişləndiriciləri, ani mesajlaşma, uzaqdan yardım və s. üçün istifadə olunur ki, bu da onun Windows 7 və bir çox sistemlərdə standart olaraq niyə aktiv olduğunu izah edir. şəbəkə cihazları. Ancaq ehtiyacınız yoxdursa, onu söndürmək daha yaxşıdır.

İlk qoşulduğunuz zaman İctimai şəbəkəni seçsəniz yeni şəbəkə və ya Şəbəkə və Paylaşım Mərkəzi vasitəsilə

^j Paylaşım Mərkəzi), onda UPnP defolt olaraq söndürülür.

UPnP-ni söndürmək üçün 01usb (services.msc) pəncərəsini açın. Siyahıda SSDP Discovery Service xidmətini tapın və Alətlər Panelində Xidməti dayandırın qutusu düyməsini klikləyin. Eyni zamanda, UPnP Device Host da dayanmalıdır. Əgər belə deyilsə, bunu da dayandırın. İndi media serverləri və ya genişləndiricilər kimi şəbəkə kəşfindən istifadə edə biləcəyindən şübhələndiyiniz hər hansı proqram və ya cihazları sınaqdan keçirin. Əgər bunlardan heç biri sizdə yoxdursa, hər bir xidmətə iki dəfə klikləyərək və Başlanğıc növü siyahısından Disabled seçimini etməklə UPnP-ni tamamilə söndürə bilərsiniz. Əks halda, Windows-u növbəti dəfə yüklədiyiniz zaman bu xidmətlər yenidən başlayacaq.

İndi marşrutlaşdırıcının konfiqurasiya səhifəsini açın (bu fəsildə əvvəllər təsvir edilmişdir) və UPnP xidmətini söndürün. Bu, tətbiqlərin yeni port yönləndirmə qaydaları yaratmasının qarşısını almaq üçün tələb olunur. Routeriniz UPnP parametrlərini dəyişməyə icazə vermirsə, daha çoxuna təkmilləşdirməyi düşünün yeni versiya“Yönləndiricinin daha yeni versiyasına təkmilləşdirmə” bölməsində təsvir olunduğu kimi proqram təminatı.

O Pis: Açıq Liman Zəifliyi

Bu fəsildə daha sonra qeyd edildiyi kimi, açıq port skanından istifadə edərək sisteminizdə zəiflikləri axtarın.

O Yaxşı: uzaq iş sahəsi, lakin yalnız lazım olduqda

Uzaq masa üstü funksiyası "" bölməsində təsvir edilmişdir. Uzaqdan nəzarət kompüter" standart olaraq Windows 7 Professional və Ultimate-də aktivdir. Bu xüsusiyyətə xüsusi ehtiyacınız yoxdursa, onu söndürməlisiniz. İdarəetmə Panelində Sistemi açın və sonra Uzaqdan Giriş Parametrləri bağlantısını seçin. Səhifədə Uzaqdan giriş Sistem Xüsusiyyətləri pəncərəsində Bu kompüterə Uzaqdan Yardım bağlantılarına icazə ver onay qutusunu söndürün və aşağıda Bu kompüterə qoşulmalara icazə verməyin qutusunu yoxlayın.

O Ok: hesab parolu

Nəzəriyyədə ümumi giriş fayllara yeni istifadəçi hesabı yaratarkən standart parametr olan parolu olmayan hesablar üçün işləmir. Ancaq parolsuz hesab klaviaturanızda oturan hər kəsə qarşı heç bir qorunma təmin etmir və əgər bu, administrator hüquqlarına malik bir istifadəçi hesabıdırsa, bu kompüterin hər hansı digər istifadəçisi üçün qapı açıqdır. İstifadəçi hesabları və parolların müzakirəsi üçün Fəsil 7-ə baxın.

Ev qrupları və fayl paylaşımı haqqında

Hər paylaşılan qovluq potensial olaraq açıq qapıdır. Buna görə də, açıq giriş yalnız həqiqətən zəruri olan qovluqlara təqdim edilməlidir. Nəzərə alın ki, Windows 7-də fayl icazələri və paylaşma icazələri fərqli şeylərdir. Bu, 7-ci Fəsildə daha ətraflı müzakirə olunur.

O Bad: Paylaşma Sihirbazı zəifliyi

İşçi qrupunun yaradılmasının əsas səbəblərindən biri faylları və printerləri paylaşmaqdır. Ancaq yalnız paylaşılmalı olan qovluqları paylaşmaq və bütün digərləri üçün paylaşmanı söndürmək ehtiyatlıdır. 2-ci Fəsildə təsvir edilən və 7-ci Fəsildə ətraflı müzakirə edilən Paylaşım Sihirbazından İstifadə adlı xüsusiyyət sizə fayllarınızı kimin görə və dəyişdirə biləcəyinə tam nəzarət vermir.

O Pis: Paylaşılan inzibati resursların zəifliyi

7-ci Fəsildə müzakirə edilən paylaşma xüsusiyyəti, həmin disklərdə qovluq paylaşmağınızdan asılı olmayaraq, kompüterinizdəki bütün disklərə giriş imkanı verir.

Ey Yaxşı: Firewall

Kompüterinizə və kompüterinizdən gələn şəbəkə axınına ciddi nəzarət etmək üçün aşağıda müzakirə olunan təhlükəsizlik duvarını konfiqurasiya edin, lakin kifayət qədər qorunma təmin etmək üçün Windows-un daxili təhlükəsizlik duvarı proqramına etibar etməyin.

Yaxşı: Dəstək mərkəzi yaxşıdır, lakin siz ona tam etibar etməməlisiniz.. Şəkildə göstərilən dəstək mərkəzi. 6.28 Windows Firewall, Windows Defender, UserAccount Control və avtomatik yeniləmələri idarə etmək üçün istifadə edilən İdarəetmə Panelindəki mərkəzi səhifədir. O da nəzarət edir antivirus proqramları, lakin sırf siyasi səbəblərə görə Windows 7-nin öz antivirus proqramları yoxdur.

Ən əsası odur ki, Fəaliyyət Mərkəzi yalnız izləyicidir. Verilmiş qoruma tədbirinin aktiv olub-olmamasından asılı olmayaraq aktiv edildiyini görsə, Fəaliyyət Mərkəzi sevinəcək və siz heç bir bildiriş almayacaqsınız.

Dəstək Mərkəzindən gələn mesajlardan bezdiniz? Sol tərəfdəki Fəaliyyət Mərkəzinin parametrlərini dəyişdirin linkinə klikləyin və hansı məsələlərin hesabat verməyə dəyər olduğunu və hansına məhəl qoymayacağınızı seçin. Bu səhifədəki bütün qeyd qutularını söndürməklə Fəaliyyət Mərkəzindən bütün mesajları söndürə bilərsiniz, lakin bütün funksiyanı tamamilə ləğv etmək üçün Xidmətlər pəncərəsini (services.msc) açmalı və Fəaliyyət Mərkəzini söndürməlisiniz. Bu, istifadə edə biləcəyiniz hər hansı bir firewall, antivirus və ya avtomatik yeniləmələri söndürməyəcək, yalnız bu alətlər üçün monitorinq alətləri və onları müşayiət edən mesajlar.

Burada firewall və ya anti-malware parametrlərini dəyişə bilməzsiniz. Bunu etmək üçün İdarəetmə Panelinə qayıtmalı və orada müvafiq proqramı açmalısınız.

Şəbəkə qurdları epidemiyası problemi hər kəs üçün aktualdır yerli şəbəkə. Gec və ya tez, bir şəbəkə və ya e-poçt qurdunun LAN şəbəkəsinə nüfuz etməsi və istifadə olunan antivirus tərəfindən aşkar edilməməsi vəziyyət yarana bilər. Şəbəkə virusu yoluxma zamanı bağlanmayan əməliyyat sistemi zəiflikləri və ya yazıla bilən paylaşılan resurslar vasitəsilə LAN üzərindən yayılır. Poçt virusu, adından göründüyü kimi, müştəri antivirus və antivirus tərəfindən bloklanmamaq şərti ilə e-poçt vasitəsilə paylanır. poçt serveri. Bundan əlavə, LAN-da bir epidemiya insayderin fəaliyyəti nəticəsində daxildən təşkil edilə bilər. Bu yazıda müxtəlif vasitələrdən, xüsusən də müəllifin AVZ yardım proqramından istifadə etməklə LAN kompüterlərinin operativ təhlilinin praktiki üsullarına baxacağıq.

Problemin formalaşdırılması

Şəbəkədə epidemiya və ya bəzi anormal fəaliyyət aşkar edilərsə, inzibatçı ən azı üç vəzifəni tez həll etməlidir:

şəbəkədə yoluxmuş kompüterləri aşkar etmək;
antivirus laboratoriyasına göndərmək üçün zərərli proqram nümunələrini tapmaq və ona qarşı mübarizə strategiyasını hazırlamaq;
virusun yerli şəbəkədə yayılmasının qarşısını almaq və yoluxmuş kompüterlərdə onu məhv etmək üçün tədbirlər görmək.

İnsayder fəaliyyəti vəziyyətində, təhlilin əsas addımları eynidır və əksər hallarda LAN kompüterlərində insayder tərəfindən quraşdırılmış üçüncü tərəf proqram təminatının aşkarlanması zərurətindən qaynaqlanır. Bu cür proqram təminatına misal olaraq uzaqdan idarəetmə proqramları, keyloggerlər və müxtəlif Trojan əlfəcinləri.

Tapşırıqların hər birinin həllini daha ətraflı nəzərdən keçirək.

Yoluxmuş kompüterləri axtarın

Şəbəkədə yoluxmuş kompüterləri axtarmaq üçün ən azı üç üsuldan istifadə edə bilərsiniz:

avtomatik uzaqdan kompüter təhlili - işləyən proseslər, yüklənmiş kitabxanalar və sürücülər haqqında məlumat əldə etmək, xarakterik nümunələri axtarmaq - məsələn, proseslər və ya faylları verilmiş adlar;
Sniffer istifadə edərək kompüter trafikinin təhlili - bu üsul spam-botları, e-poçt və şəbəkə qurdlarını tutmaq üçün çox effektivdir, lakin snayferdən istifadənin əsas çətinliyi müasir LAN-ın açarlar əsasında qurulması və nəticədə administratorun trafikə nəzarət edə bilməməsi ilə əlaqədardır. bütün şəbəkə. Problemi iki yolla həll etmək olar: marşrutlaşdırıcıda sniffer işə salmaqla (bu, kompüter məlumatlarının İnternetlə mübadiləsinə nəzarət etməyə imkan verir) və açarların monitorinq funksiyalarından istifadə etməklə (bir çox müasir açarlar administrator tərəfindən müəyyən edilmiş bir və ya bir neçə keçid portunun trafikinin təkrarlandığı monitorinq portunu təyin etməyə imkan verir);
şəbəkə yükünün öyrənilməsi - bu halda, yalnız yükü qiymətləndirməyə deyil, həm də administrator tərəfindən göstərilən portları uzaqdan söndürməyə imkan verən ağıllı açarlardan istifadə etmək çox rahatdır. Administratorda hansı fərdi kompüterlərin müvafiq keçid portlarına qoşulduğu və onların yerləşdiyi yerlər haqqında məlumat olan şəbəkə xəritəsi varsa, bu əməliyyat xeyli sadələşir;
bal qablarından istifadə - yerli şəbəkədə administratora epidemiyanı vaxtında aşkar etməyə imkan verəcək bir neçə bal qabı yaratmaq şiddətlə tövsiyə olunur.

Şəbəkədəki kompüterlərin avtomatik təhlili

Avtomatik PC analizi üç əsas mərhələyə endirilə bilər:

tam PC skanının aparılması - işləyən proseslər, yüklənmiş kitabxanalar və sürücülər, avtostart;
əməliyyat tədqiqatının aparılması - məsələn, xarakterik proseslərin və ya faylların axtarışı;
müəyyən meyarlara uyğun olaraq obyektlərin karantinə alınması.

Yuxarıda göstərilən problemlərin hamısı müəllifin serverdəki şəbəkə qovluğundan işə salınması üçün nəzərdə tutulmuş və avtomatik kompüter yoxlaması üçün skript dilini dəstəkləyən AVZ yardım proqramından istifadə etməklə həll edilə bilər. İstifadəçi kompüterlərində AVZ-ni işə salmaq üçün sizə lazımdır:

AVZ-ni oxumaq üçün açıq olan serverdə şəbəkə qovluğuna yerləşdirin.
Bu qovluqda LOG və Qurantine alt kataloqları yaradın və istifadəçilərə onlara yazmağa icazə verin.
rexec yardım proqramı və ya giriş skriptindən istifadə edərək LAN kompüterlərində AVZ-ni işə salın.

3-cü addımda AVZ-nin işə salınması aşağıdakı parametrlərlə aparılmalıdır:

\\my_server\AVZ\avz.exe Prioritet=-1 nw=Y nq=Y HiddenMode=2 Skript=\\my_server\AVZ\my_script.txt

Bu halda Priority=-1 parametri AVZ prosesinin prioritetini aşağı salır, nw=Y və nq=Y parametrləri karantini “şəbəkə işləməsi” rejiminə keçirir (bu halda karantin qovluğunda alt kataloq yaradılır) adı PC-nin şəbəkə adına uyğun gələn hər bir kompüter üçün) , HiddenMode=2 istifadəçiyə GUI və AVZ idarəetmə vasitələrinə girişi rədd etməyi əmr edir və nəhayət, ən vacib Skript parametri skriptin tam adını müəyyən edir. AVZ-nin istifadəçinin kompüterində yerinə yetirəcəyi əmrlər. AVZ skript dilinin istifadəsi olduqca sadədir və yalnız kompüter müayinəsi və müalicəsi problemlərinin həllinə yönəlmişdir. Skriptlərin yazılması prosesini sadələşdirmək üçün siz onlayn əmrdən, standart skriptlər yaratmaq üçün sehrbazdan və yazılı skriptin düzgünlüyünü işə salmadan yoxlamaq üçün alətlərdən ibarət ixtisaslaşmış skript redaktorundan istifadə edə bilərsiniz (şək. 1).

düyü. 1. AVZ skript redaktoru

Epidemiya ilə mübarizədə faydalı ola biləcək üç tipik skriptə baxaq. Birincisi, bizə PC tədqiqat skriptinə ehtiyacımız var. Skriptin vəzifəsi sistemi yoxlamaq və verilmiş şəbəkə qovluğunda nəticələrlə protokol yaratmaqdır. Skript belə görünür:

ActivateWatchDog(60 * 10);

// Skan etməyə və təhlil etməyə başlayın

// Sistem kəşfiyyatı

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//AVZ-ni söndürün

Bu skriptin icrası zamanı LOG qovluğunda şəbəkə kompüterlərinin tədqiqinin nəticələri ilə HTML faylları yaradılacaq (nəzərə alsaq ki, o, serverdə AVZ kataloqunda yaradılıb və istifadəçilərin yazması üçün əlçatandır) və unikallığı, yoxlanılan kompüterin adı protokol adına daxil edilir. Skriptin əvvəlində skriptin icrası zamanı nasazlıqlar baş verərsə, 10 dəqiqədən sonra AVZ prosesini məcburi şəkildə dayandıracaq nəzarətçi taymerini işə salmaq əmri var.

AVZ protokolu əl ilə öyrənmək üçün əlverişlidir, lakin avtomatlaşdırılmış analiz üçün az istifadə olunur. Bundan əlavə, administrator tez-tez zərərli proqram faylının adını bilir və yalnız varlığını və ya yoxluğunu yoxlamaq lazımdır. bu fayl, və əgər varsa, analiz üçün karantinə qoyun. Bu halda, aşağıdakı skriptdən istifadə edə bilərsiniz:

// Gözətçi taymerini 10 dəqiqə aktivləşdirin

ActivateWatchDog(60 * 10);

// Zərərli proqramı adı ilə axtarın

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen haqqında şübhəli');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen şübhəsi');

//AVZ-ni söndürün

Bu skript müəyyən edilmiş faylları karantinə almağa cəhd etmək üçün QuarantineFile funksiyasından istifadə edir. Administrator yalnız karantin məzmununu (Quarantine\şəbəkə_adı_PC\quarantine_date\ qovluğu) karantinə alınmış faylların olub-olmaması üçün təhlil edə bilər. Nəzərə alın ki, QuarantineFile funksiyası təhlükəsiz AVZ verilənlər bazası və ya Microsoft rəqəmsal imza verilənlər bazası tərəfindən müəyyən edilmiş faylların karantinini avtomatik bloklayır. üçün praktik tətbiq bu skript təkmilləşdirilə bilər - fayl adlarının xarici mətn faylından yüklənməsini təşkil edin, tapılan faylları AVZ verilənlər bazası ilə yoxlayın və işin nəticələri ilə mətn protokolu yaradın:

// Göstərilən ada malik faylı axtarın

funksiyası CheckByName(Fname: string) : boolean;

Nəticə:= FileExists(FName) ;

Nəticə varsa, başlayın

Case CheckFile(FName).

1: S:= ‘, fayla giriş bloklanıb’;

1: S:= ‘, Zərərli proqram kimi aşkar edildi (‘+GetLastCheckTxt+’)’;

2: S:= ‘, fayl skaneri (‘+GetLastCheckTxt+’) tərəfindən şübhələnir’;

3: çıxış; // Təhlükəsiz fayllar nəzərə alınmır

AddToLog(‘ ‘+NormalFileName(FName)+’ faylının şübhəli adı var’+S);

//Göstərilən faylı karantinə əlavə edin

QuarantineFile(FName,'şübhəli fayl'+S);

SuspNames: TStringList; // Şübhəli faylların adlarının siyahısı

// Yenilənmiş verilənlər bazası ilə faylların yoxlanılması

Əgər FileExists(GetAVZDirectory + 'files.db') varsa, onda başlayın

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Ad verilənlər bazası yükləndi - qeydlərin sayı = '+inttostr(SuspNames.Count));

// Axtarış döngəsi

i:= 0 üçün SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Fayl adlarının siyahısını yükləmə xətası');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

Bu skriptin işləməsi üçün siz AVZ qovluğunda yazmaq üçün istifadəçilər üçün əlçatan olan Karantin və LOG kataloqlarını yaratmalısınız, həmçinin mətn faylı files.db - bu faylın hər sətirində şübhəli faylın adı olacaq. Fayl adlarına makrolar daxil ola bilər, onlardan ən faydalısı %WinDir% (yol Windows qovluğu) və %SystemRoot% (System32 qovluğuna gedən yol). Təhlilin başqa bir istiqaməti istifadəçi kompüterlərində işləyən proseslərin siyahısının avtomatik yoxlanılması ola bilər. Çalışan proseslər haqqında məlumat sistem tədqiqat protokolundadır, lakin avtomatik analiz üçün aşağıdakı skript fraqmentindən istifadə etmək daha rahatdır:

prosedur ScanProcess;

S:= ''; S1:= '';

//Proseslərin siyahısının yenilənməsi

RefreshProcessList;

AddToLog(‘Proseslərin sayı = ‘+IntToStr(GetProcessCount));

// Qəbul edilmiş siyahının təhlili dövrü

i:= 0 üçün GetProcessCount - 1 başlayır

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Prosesi adla axtarın

əgər pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 sonra

S:= S + GetProcessName(i)+’,’;

əgər S<>''sonra

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(İndi)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(İndi)+’ ‘+GetComputerName+’ : ‘+S1);

Bu skriptdə proseslərin öyrənilməsi ayrıca ScanProcess proseduru kimi həyata keçirilir, ona görə də onu öz skriptində yerləşdirmək asandır. ScanProcess proseduru proseslərin iki siyahısını yaradır: tam siyahı proseslər (sonrakı təhlil üçün) və inzibatçının nöqteyi-nəzərindən təhlükəli hesab edilən proseslərin siyahısı. Bu halda, nümayiş məqsədləri üçün "trojan.exe" adlı proses təhlükəli sayılır. Təhlükəli proseslər haqqında məlumat _alarm.txt mətn faylına, bütün proseslər haqqında məlumat _all_process.txt faylına əlavə edilir. Skripti ona əlavə etməklə, məsələn, proses fayllarını təhlükəsiz fayllar verilənlər bazası ilə yoxlamaq və ya adları yoxlamaqla çətinləşdirə biləcəyinizi görmək asandır. icra edilə bilən fayllar xarici əsasda proseslər. Bənzər bir prosedur Smolenskenergo-da istifadə olunan AVZ skriptlərində istifadə olunur: administrator vaxtaşırı toplanmış məlumatları öyrənir və skripti dəyişdirir, ona təhlükəsizlik siyasəti ilə qadağan edilmiş proqramların proseslərinin adını əlavə edir, məsələn, ICQ və MailRu.Agent. tədqiq olunan kompüterlərdə qadağan olunmuş proqram təminatının mövcudluğunu tez yoxlamaq üçün. Proses siyahısı üçün başqa bir istifadə antivirus kimi tələb olunan prosesi olmayan kompüterləri tapmaqdır.

Sonda, faydalı təhlil skriptlərinin sonuncusuna baxaq - təhlükəsiz AVZ verilənlər bazası və Microsoft rəqəmsal imza verilənlər bazası tərəfindən tanınmayan bütün faylların avtomatik karantini üçün skript:

// Avtokarantin həyata keçirin

ExecuteAutoQuarantine;

Avtomatik karantin işləyən prosesləri və yüklənmiş kitabxanaları, xidmətləri və sürücüləri, təxminən 45 avtomatik işəsalma metodunu, brauzer və kəşfiyyatçı genişləndirmə modullarını, SPI/LSP işləyicilərini, planlaşdırıcı işlərini, çap sistemi işləyicilərini və s. yoxlayır. Karantinin xüsusi bir xüsusiyyəti ondan ibarətdir ki, ona təkrar nəzarəti ilə fayllar əlavə olunur, beləliklə, avtokarantin funksiyasını dəfələrlə çağırmaq olar.

Avtomatik karantinin üstünlüyü ondan ibarətdir ki, onun köməyi ilə administrator tez bir zamanda şəbəkədəki bütün kompüterlərdən potensial şübhəli faylları yoxlamaq üçün toplaya bilir. Faylların öyrənilməsinin ən sadə (lakin praktikada çox təsirli) forması nəticədə karantini maksimum evristik rejimdə bir neçə məşhur antivirusla yoxlamaq ola bilər. Qeyd etmək lazımdır ki, bir neçə yüz kompüterdə eyni vaxtda avtomatik karantin işə salınması şəbəkədə və fayl serverində yüksək yük yarada bilər.

Trafik Tədqiqatı

Trafik tədqiqatı üç yolla həyata keçirilə bilər:

sniffers istifadə edərək əl ilə;
yarı avtomatik rejimdə - bu zaman sniffer məlumat toplayır, sonra isə onun protokolları ya əl ilə, ya da hansısa proqram təminatı ilə işlənir;
Snort (http://www.snort.org/) kimi müdaxilənin aşkarlanması sistemlərindən (IDS) və ya onların proqram təminatı və ya aparat analoqlarından avtomatik istifadə etməklə. Ən sadə halda, IDS sniffer və sniffer tərəfindən toplanan məlumatları təhlil edən sistemdən ibarətdir.

Müdaxilənin aşkarlanması sistemi optimal vasitədir, çünki o, şəbəkə fəaliyyətində anomaliyaları aşkar etmək üçün qaydalar toplusunu yaratmağa imkan verir. Onun ikinci üstünlüyü aşağıdakılardır: ən müasir IDS trafik monitorinqi agentlərini bir neçə şəbəkə qovşağında yerləşdirməyə imkan verir - agentlər məlumat toplayır və ötürürlər. Bir sniffer istifadə edildikdə, UNIX sniffer tcpdump konsolundan istifadə etmək çox rahatdır. Məsələn, port 25-də fəaliyyətə nəzarət etmək üçün ( SMTP protokolu) sadəcə olaraq snayferi idarə edin komanda xətti növü:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

Bu halda, paketlər em0 interfeysi vasitəsilə tutulur; tutulan paketlər haqqında məlumat smtp_log.txt faylında saxlanılacaq. Protokolun əl ilə təhlili nisbətən asandır; bu nümunədə 25-ci portdakı fəaliyyəti təhlil etmək aktiv spam botları olan kompüterləri müəyyən etməyə imkan verir.

Honeypot tətbiqi

Performansı onu həll etmək üçün istifadə etməyə imkan verməyən köhnəlmiş kompüter tələ (Honeypot) kimi istifadə edilə bilər. istehsal vəzifələri. Məsələn, 64 MB tutumu olan Pentium Pro müəllif şəbəkəsində tələ kimi uğurla istifadə olunur təsadüfi giriş yaddaşı. Bu kompüterdə LAN-da ən ümumi əməliyyat sistemini quraşdırmalı və strategiyalardan birini seçməlisiniz:

Yeniləmə paketləri olmadan əməliyyat sistemini quraşdırın - bu, bu əməliyyat sistemi üçün hər hansı məlum zəiflikdən istifadə edərək şəbəkədə aktiv şəbəkə qurdunun görünməsinin göstəricisi olacaq;
şəbəkədəki digər kompüterlərdə quraşdırılmış yeniləmələri olan bir əməliyyat sistemini quraşdırın - Honeypot hər hansı bir iş stansiyasının analoqu olacaq.

Hər bir strategiyanın həm müsbət, həm də mənfi tərəfləri var; Müəllif əsasən yeniləmələr olmadan seçimdən istifadə edir. Honeypot yaratdıqdan sonra bunun üçün disk şəkli yaratmalısınız sürətli bərpa zərərli proqram tərəfindən zədələndikdən sonra sistem. Disk şəklinə alternativ olaraq, ShadowUser və onun analoqları kimi dəyişdirmə geri qaytarma sistemlərindən istifadə edə bilərsiniz. Honeypot qurduqdan sonra nəzərə almalısınız ki, bir sıra şəbəkə qurdları yoluxmuş kompüterin IP ünvanından hesablanan IP diapazonunu skan edərək yoluxmuş kompüterləri axtarır (ümumi tipik strategiyalar X.X.X.*, X.X.X+1.*, X.X.X-1.*), - buna görə də, İdeal olaraq, hər bir alt şəbəkədə Honeypot olmalıdır. Əlavə hazırlıq elementləri olaraq, Honeypot sistemindəki bir neçə qovluğa girişi mütləq açmalısınız və bu qovluqlarda müxtəlif formatlı bir neçə nümunə faylı qoymalısınız, minimum dəst EXE, JPG, MP3-dir.

Təbii ki, Honeypot yaratdıqdan sonra administrator onun işinə nəzarət etməli və aşkar edilmiş anomaliyalara cavab verməlidir. bu kompüter. Auditorlar dəyişiklikləri qeyd etmək vasitəsi kimi istifadə edilə bilər; sniffer şəbəkə fəaliyyətini qeyd etmək üçün istifadə edilə bilər. Əhəmiyyətli bir məqam odur ki, əksər snifferlər müəyyən şəbəkə fəaliyyəti aşkar edilərsə, inzibatçıya xəbərdarlıq göndərilməsini konfiqurasiya etmək imkanı verir. Məsələn, CommView sniffer-də qayda şəbəkə paketini təsvir edən "düsturun" təyin edilməsini və ya kəmiyyət meyarlarının müəyyən edilməsini (saniyədə müəyyən sayda paket və ya bayt göndərmək, paketləri naməlum IP və ya MAC ünvanlarına göndərmək) ehtiva edir - Şek. 2.

düyü. 2. Şəbəkə fəaliyyəti xəbərdarlığını yaradın və konfiqurasiya edin

Xəbərdarlıq olaraq, göndərilən e-poçt mesajlarından istifadə etmək ən əlverişlidir Poçt qutusu administrator - bu halda, siz şəbəkədəki bütün tələlərdən operativ xəbərdarlıqlar ala bilərsiniz. Bundan əlavə, sniffer birdən çox xəbərdarlıq yaratmağa imkan verirsə, işi vurğulamaqla şəbəkə fəaliyyətini fərqləndirmək məna kəsb edir. Elektron-poçt ilə, FTP/HTTP, TFTP, Telnet, MS Net, hər hansı bir protokol üçün saniyədə 20-30 paketdən çox trafiki artırdı (şək. 3).

düyü. 3. Bildiriş məktubu göndərildi
müəyyən edilmiş meyarlara uyğun gələn paketlər aşkar edildikdə

Tələ təşkil edərkən, şəbəkədə istifadə olunan bir neçə həssas şəbəkə xidmətlərini yerləşdirmək və ya onlar üçün bir emulyator quraşdırmaq yaxşı bir fikirdir. Ən sadə (və pulsuz) quraşdırma olmadan işləyən xüsusi APS yardım proqramıdır. APS-in iş prinsipi onun verilənlər bazasında təsvir edilmiş bir çox TCP və UDP portlarını dinləmək və qoşulma anında əvvəlcədən müəyyən edilmiş və ya təsadüfi yaradılan cavabı verməkdən ibarətdir (Şəkil 4).

düyü. 4. APS yardım proqramının əsas pəncərəsi

Şəkildə Smolenskenergo LAN-da real APS aktivləşdirilməsi zamanı çəkilmiş skrinşot göstərilir. Şəkildən göründüyü kimi, müştəri kompüterlərindən birini 21-ci porta qoşmaq cəhdi qeydə alınıb. Protokolların təhlili göstərdi ki, cəhdlər dövri xarakter daşıyır və şəbəkədə bir neçə tələ tərəfindən qeydə alınır ki, bu da bizə belə qənaətə gəlməyə imkan verir ki, parolları təxmin etməklə FTP serverlərini axtarmaq və sındırmaq üçün şəbəkə skan edilir. APS qeydləri saxlayır və idarəçilərə monitorinq edilən portlara qeydiyyatdan keçmiş bağlantılar barədə hesabatlar göndərə bilər ki, bu da şəbəkə skanlarını tez aşkar etmək üçün əlverişlidir.

Bal qabı yaratarkən mövzu ilə bağlı onlayn resurslarla, xüsusən http://www.honeynet.org/ ilə tanış olmaq da faydalıdır. Bu saytın Alətlər bölməsində (http://www.honeynet.org/tools/index.html) siz hücumları qeyd etmək və təhlil etmək üçün bir sıra alətlər tapa bilərsiniz.

Zərərli proqramların uzaqdan çıxarılması

İdeal olaraq, zərərli proqram nümunələrini aşkar etdikdən sonra administrator onları antivirus laboratoriyasına göndərir, burada onlar dərhal analitiklər tərəfindən öyrənilir və müvafiq imzalar antivirus verilənlər bazasına əlavə olunur. Bu imzalar vasitəsilə avtomatik yeniləmə istifadəçinin kompüterinə daxil olun və antivirus administratorun müdaxiləsi olmadan zərərli proqramı avtomatik olaraq silir. Bununla belə, bu zəncir həmişə gözlənildiyi kimi işləmir, xüsusən uğursuzluğun aşağıdakı səbəbləri mümkündür:

şəbəkə administratorundan asılı olmayan bir sıra səbəblərə görə şəkillər antivirus laboratoriyasına çatmaya bilər;
antivirus laboratoriyasının qeyri-kafi effektivliyi - ideal halda nümunələrin öyrənilməsi və verilənlər bazasına daxil edilməsi 1-2 saatdan çox vaxt tələb etmir, bu isə o deməkdir ki, yenilənmiş imza bazalarını bir iş günü ərzində əldə etmək olar. Bununla belə, bütün antivirus laboratoriyaları belə tez işləmir və yeniləmələr üçün bir neçə gün gözləyə bilərsiniz (nadir hallarda, hətta həftələr);
antivirusun yüksək performansı - bir sıra zərərli proqramlar aktivləşdirildikdən sonra antivirusları məhv edir və ya onların işini başqa şəkildə pozur. Klassik nümunələrə blok edən host faylına girişlərin edilməsi daxildir normal iş antivirus avtomatik yeniləmə sistemləri, proseslərin, xidmətlərin və antivirus drayverlərinin silinməsi, onların parametrlərinin zədələnməsi və s.

Buna görə də, yuxarıda göstərilən hallarda, zərərli proqramlarla əl ilə məşğul olmalı olacaqsınız. Əksər hallarda bu çətin deyil, çünki kompüter müayinəsinin nəticələri yoluxmuş fərdi kompüterləri, eləcə də zərərli proqram fayllarının tam adlarını aşkar edir. Yalnız onları uzaqdan silmək qalır. Zərərli proqram silinməkdən qorunmursa, o zaman aşağıdakı AVZ skripti ilə məhv edilə bilər:

// Faylın silinməsi

DeleteFile('fayl adı');

ExecuteSysClean;

Bu skript müəyyən edilmiş bir faylı (və ya bir neçə faylı silir, çünki skriptdə qeyri-məhdud sayda DeleteFile əmrləri ola bilər) və sonra avtomatik olaraq qeyd dəftərini təmizləyir. Daha mürəkkəb halda, zərərli proqram özünü silinməkdən qoruya bilər (məsələn, faylları və reyestr açarlarını yenidən yaratmaqla) və ya rootkit texnologiyasından istifadə edərək maskalana bilər. Bu halda, skript daha mürəkkəbləşir və belə görünür:

// Anti-rootkit

SearchRootkit(doğru, doğru);

// AVZGuard-a nəzarət edin

SetAVZGuardStatus(doğru);

// Faylın silinməsi

DeleteFile('fayl adı');

// BootCleaner qeydini aktivləşdirin

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// BootCleaner tapşırığına skript tərəfindən silinmiş faylların siyahısını idxal edin

BC_ImportDeletedList;

// BootCleaner-i aktivləşdirin

// Evristik sistemin təmizlənməsi

ExecuteSysClean;

Windows'u yenidən başladın (doğru);

Bu skriptə rootkitlərə qarşı aktiv mübarizə, AVZGuard sisteminin istifadəsi (bu, zərərli proqram fəaliyyətinin blokatorudur) və BootCleaner sistemi daxildir. BootCleaner, sistemin yüklənməsinin erkən mərhələsində, yenidən yükləmə zamanı KernelMode-dan müəyyən obyektləri silən sürücüdür. Təcrübə göstərir ki, belə bir skript mövcud zərərli proqramların böyük əksəriyyətini məhv etməyə qadirdir. İstisna, hər bir yenidən yükləmə ilə icra edilə bilən fayllarının adlarını dəyişən zərərli proqramdır - bu halda, sistemin skan edilməsi zamanı aşkar edilmiş faylların adı dəyişdirilə bilər. Bu halda, kompüterinizi əl ilə dezinfeksiya etməli və ya öz zərərli proqram imzalarınızı yaratmalısınız (imza axtarışını həyata keçirən skript nümunəsi AVZ yardımında təsvir edilmişdir).

Nəticə

Bu yazıda biz antivirus məhsullarından istifadə etmədən LAN epidemiyası ilə əl ilə mübarizə aparmaq üçün bəzi praktik üsullara baxdıq. Təsvir edilən üsulların əksəriyyəti xarici kompüterləri və istifadəçi kompüterlərində troyan əlfəcinlərini axtarmaq üçün də istifadə edilə bilər. Zərərli proqram tapmaqda və ya müalicə skriptlərini yaratmaqda hər hansı bir çətinlik varsa, administrator http://virusinfo.info forumunun “Kömək” bölməsindən və ya http://forum.kaspersky.com forumunun “Viruslarla mübarizə” bölməsindən istifadə edə bilər. /index.php?showforum= 18. Protokolların öyrənilməsi və müalicəyə köməklik hər iki forumda pulsuz həyata keçirilir, PC təhlili AVZ protokollarına uyğun olaraq aparılır və əksər hallarda müalicə yoluxmuş kompüterlərdə bu forumların təcrübəli mütəxəssisləri tərəfindən tərtib edilmiş AVZ skriptinin icrasına düşür. .

İstifadəçinin kompüterində fiziki faylın yaradılmasını gözləmək məcburiyyətində qalan şəbəkə mühafizəsi şəbəkə vasitəsilə istifadəçinin kompüterinə daxil olan daxil olan məlumat axınlarını təhlil etməyə başlayır və sistemə daxil olmamış təhdidləri bloklayır.

Symantec texnologiyaları tərəfindən təmin edilən şəbəkə mühafizəsinin əsas sahələri bunlardır:

Drive-by yükləmələr, veb hücumları;
- “Sosial Mühəndislik” hücumları: FakeAV (saxta antiviruslar) və kodeklər;
- Hücumlar vasitəsilə sosial Mediya Facebook kimi;
- Zərərli proqramların, rootkitlərin və botlarla yoluxmuş sistemlərin aşkarlanması;
- Qabaqcıl təhlükələrdən qorunma;
- Sıfır gün təhlükələri;
- Yamaqlanmamış proqram təminatı zəifliklərindən qorunma;
- Zərərli domenlərdən və IP ünvanlarından qorunma.

Şəbəkə Mühafizə Texnologiyaları

“Şəbəkə Mühafizəsi” səviyyəsinə 3 müxtəlif texnologiya daxildir.

Şəbəkəyə müdaxilənin qarşısının alınması həlli (Şəbəkə IPS)

Şəbəkə IPS texnologiyası 200-dən çox müxtəlif protokolları başa düşür və skan edir. O, ağıllı və dəqiq şəkildə ikili və şəbəkə protokolu, eyni zamanda zərərli trafik əlamətlərini axtarır. Bu kəşfiyyat hələ də təmin edərkən daha dəqiq şəbəkə taramasına imkan verir etibarlı müdafiə. Onun "ürəyində" faktiki olaraq keçilməz mühafizə ilə açıq zəiflikləri təmin edən istismarı bloklayan mühərrik dayanır. Symantec IPS-in unikal xüsusiyyəti bu komponentin heç bir konfiqurasiya tələb etməməsidir. Onun bütün funksiyaları, necə deyərlər, “qutudan kənarda” işləyir. Hər bir Norton istehlakçı məhsulu və hər Symantec Endpoint Protection məhsulunun 12.1 və sonrakı versiyaları bu kritik texnologiyanı defolt olaraq aktivləşdirir.

Brauzer qorunması

Bu təhlükəsizlik mühərriki brauzerin daxilində yerləşir. O, nə ənənəvi antivirusun, nə də Şəbəkə IPS-nin aşkar edə bilmədiyi ən mürəkkəb təhlükələri aşkar etməyə qadirdir. Hal-hazırda bir çox şəbəkə hücumları aşkarlanmamaq üçün çaşqınlıq üsullarından istifadə edir. Brauzer Mühafizəsi brauzerin daxilində işlədiyi üçün o, icra zamanı hələ gizlədilməyən (qarışıq) kodu öyrənə bilir. Bu, proqram müdafiəsinin aşağı səviyyələrində buraxılmış hücumu aşkar etməyə və bloklamağa imkan verir.

İcazəsiz Yükləmə Mühafizəsi (UXP)

Şəbəkə müdafiə təbəqəsi daxilində yerləşən sonuncu müdafiə xətti imzalardan istifadə etmədən naməlum və yamaqsız zəifliklərin təsirini örtməyə və azaltmağa kömək edir. Bu, Zero Day hücumlarına qarşı əlavə müdafiə qatını təmin edir.

Problemlərə diqqət yetirmək

Birgə işləməklə, şəbəkə təhlükəsizliyi texnologiyaları aşağıdakı problemləri həll edir.

Drive-by yükləmələr və veb hücum dəstləri

Şəbəkə IPS, Brauzer Mühafizəsi və UXP texnologiyasından istifadə edərək Symantec-in şəbəkə mühafizə texnologiyaları Drive-by yükləmələrini bloklayır və zərərli proqramların hətta istifadəçinin sisteminə çatmasının qarşısını alır. Ümumi İstismar Bloklama texnologiyası və veb hücumun aşkarlanması alətləri də daxil olmaqla, eyni texnologiyaların istifadəsini əhatə edən müxtəlif profilaktik üsullar tətbiq olunur. Ümumi veb-hücum aşkarlama aləti hücumun hədəf aldığı xüsusi zəiflikdən asılı olmayaraq ümumi veb hücumunun xüsusiyyətlərini təhlil edir. Bu, yeni və naməlum zəifliklər üçün əlavə qorunma təmin etməyə imkan verir. Bu cür qorunmanın ən yaxşı tərəfi odur ki, zərərli fayl sistemi “səssizcə” yoluxdursa, o, hələ də aktiv şəkildə dayandırılacaq və sistemdən silinəcək: ənənəvi antivirus məhsullarının adətən əldən verdiyi davranış budur. Lakin Symantec adətən başqa vasitələrlə aşkarlana bilməyən on milyonlarla zərərli proqram variantını bloklamağa davam edir.

Sosial mühəndislik hücumları

Symantec texnologiyası səyahət zamanı şəbəkə və brauzer trafikinə nəzarət etdiyi üçün FakeAV və ya saxta kodeklər kimi "Sosial Mühəndislik" hücumlarını aşkarlayır. Texnologiyalar bu cür hücumları istifadəçinin ekranında görünməzdən əvvəl bloklamaq üçün nəzərdə tutulub. Əksər digər rəqib həllər bu güclü qabiliyyəti ehtiva etmir.

Symantec, onlayn təhlükədən qorunma texnologiyası ilə yüz milyonlarla bu cür hücumları bloklayır.

Sosial media tətbiqlərini hədəf alan hücumlar

Sosial media proqramları bu yaxınlarda geniş populyarlıq qazandı, çünki onlar müxtəlif mesajları, maraqlı videoları və məlumatları minlərlə dost və istifadəçi ilə dərhal paylaşmağa imkan verir. Bu cür proqramların geniş yayılması və potensialı onları hakerlər üçün 1 nömrəli hədəfə çevirir. Bəzi ümumi haker hiylələrinə saxta hesablar yaratmaq və spam göndərmək daxildir.

Symantec IPS texnologiyası bu cür aldatma üsullarından qoruya bilər və çox vaxt istifadəçi onları klikləməzdən əvvəl onların qarşısını alır. Symantec onlayn təhlükədən qorunma texnologiyası ilə saxta və saxta URL-ləri, tətbiqləri və digər aldatma üsullarını dayandırır.

Zərərli proqramların, rootkitlərin və bot-yoluxmuş sistemlərin aşkarlanması

Yoluxmuş kompüterin şəbəkədə harada yerləşdiyini dəqiq bilmək yaxşı olmazdımı? Symantec-in IPS həlləri digər müdafiə qatlarından yayınmış təhlükələrin aşkarlanması və bərpası da daxil olmaqla, bu qabiliyyəti təmin edir. Symantec həlləri sistemdə aktivliklərini artırmaq üçün avtomatik zənglər etməyə və ya "yeniləmələri" endirməyə cəhd edən zərərli proqramları və botları aşkarlayır. Bu, nəzərdən keçirmək üçün sistemlərin aydın siyahısına malik olan İT menecerlərinə müəssisələrinin təhlükəsiz olduğuna əmin olmaq imkanı verir. Tidserv, ZeroAccess, Koobface və Zbot kimi rootkit üsullarından istifadə edən polimorfik və mürəkkəb gizli təhlükələr bu üsulla dayandırıla və silinə bilər.

Qarışıq təhlükələrdən qorunma

Bugünkü veb hücumları, hücumlarının mürəkkəbliyini artırmaq üçün mürəkkəb üsullardan istifadə edir. Symantec-in Brauzer Mühafizəsi brauzerin içərisində oturur və ənənəvi metodların tez-tez aşkar edə bilmədiyi çox mürəkkəb təhlükələri aşkar edə bilir.

Sıfır gün təhdidləri və yamaqsız zəifliklər

Şirkətin əlavə etdiyi keçmiş təhlükəsizlik əlavələrindən biri sıfır gün təhdidlərinə və yamaqsız zəifliklərə qarşı əlavə qorunma təbəqəsidir. İmzasız qorunma istifadə edərək, proqram System API çağırışlarına müdaxilə edir və zərərli proqram yükləmələrindən qoruyur. Bu texnologiya İcazəsiz Yükləmə Mühafizəsi (UXP) adlanır. Şəbəkə təhlükəsindən qorunma ekosistemində son dəstək xəttidir. Bu, məhsula imzalardan istifadə etmədən naməlum və yamaqsız zəiflikləri “örtməyə” imkan verir. Bu texnologiya defolt olaraq aktivdir və Norton 2010 debütündən bəri buraxılan hər bir məhsulda tapılıb.

Yamaqlanmamış proqram zəifliklərinə qarşı qorunma

Zərərli proqramlar çox vaxt istifadəçinin xəbəri olmadan proqram təminatındakı boşluqlardan istifadə edərək quraşdırılır. Symantec şəbəkə təhlükəsizliyi Ümumi İstismar Bloklaması (GEB) adlı əlavə qoruma qatını təmin edir. Olmamasından asılı olmayaraq Ən son yeniləmələr ya yox, GEB "əsasən" əsas zəiflikləri istismardan qoruyur. Oracle Sun Java-da zəifliklər, Adobe Acrobat Oxucu, Adobe Flash, internet Explorer, ActiveX nəzarətləri və ya QuickTime indi hər yerdə mövcuddur. Ümumi İstismar Mühafizəsi “əks mühəndislik” yolu ilə şəbəkədə zəifliyin necə istifadə oluna biləcəyini müəyyən etməklə yaradılmışdır. şəbəkə səviyyəsi. Tək GEB və ya zəiflik imzası minlərlə yeni və naməlum zərərli proqram variantlarına qarşı qoruma təmin edə bilər.

Zərərli IP-lər və domenin bloklanması

Symantec-in şəbəkə mühafizəsi həmçinin məlum zərərli saytlardan zərərli proqram və trafiki dayandırarkən zərərli domenləri və İP ünvanları bloklamaq qabiliyyətini də əhatə edir. STAR-ın ciddi vebsayt təhlili və yenilənməsi vasitəsilə Symantec daim dəyişən təhdidlərə qarşı real vaxt rejimində müdafiəni təmin edir.

Təkmilləşdirilmiş Qaçma Müqaviməti

base64 və gzip kimi şifrələmə üsullarından istifadə edərək hücumun aşkarlanmasının effektivliyini artırmaq üçün əlavə kodlaşdırmalar üçün dəstək əlavə edilmişdir.

İstifadə siyasətlərini tətbiq etmək və məlumat sızmasını müəyyən etmək üçün şəbəkə auditinin aşkarlanması

Şəbəkə IPS korporativ istifadə siyasətlərini poza bilən proqramları və alətləri müəyyən etmək və ya şəbəkədə məlumat sızmasının qarşısını almaq üçün istifadə edilə bilər. IM, P2P, sosial media və ya digər "maraqlı" trafik növləri kimi trafiki aşkar etmək, xəbərdar etmək və ya qarşısını almaq mümkündür.

STAR Kəşfiyyat Rabitə Protokolu

Şəbəkə təhlükəsizliyi texnologiyası öz-özünə işləmir. Mühərrik STAR Intelligence Communication (STAR ICB) protokolundan istifadə edərək digər təhlükəsizlik xidmətləri ilə əlaqə saxlayır. Şəbəkə IPS mühərriki Symantec Sonar mühərrikinə, sonra isə Insight Reputation mühərrikinə qoşulur. Bu, daha informativ və dəqiq qorunma təmin etməyə imkan verir.

Növbəti məqalədə Davranış Analizatoru səviyyəsinə baxacağıq.

Symantec-in materialları əsasında

Hər bir Windows kompüterində antivirus quraşdırılmalıdır. Uzun müddət bu qızıl qayda hesab olunurdu, lakin bu gün İT təhlükəsizlik mütəxəssisləri təhlükəsizlik proqramlarının effektivliyini müzakirə edirlər. Tənqidçilər iddia edirlər ki, antiviruslar həmişə qorunmur, bəzən hətta əksinədir - ehtiyatsız icraya görə sistemin təhlükəsizliyində boşluqlar yarada bilər. Bu cür həllərin tərtibatçıları ziddiyyət təşkil edir bu rəy təsirli sayda bloklanmış hücumlar və marketinq şöbələri məhsulların təmin etdiyi hərtərəfli qorunmaya and içməyə davam edir.

Həqiqət ortada bir yerdədir. Antiviruslar qüsursuz işləmir, lakin onların hamısını yararsız adlandırmaq olmaz. Onlar müxtəlif təhlükələr barədə xəbərdarlıq edirlər, lakin Windows-u mümkün qədər qorunmaq üçün kifayət etmirlər. Bir istifadəçi kimi sizin üçün bu, aşağıdakılar deməkdir: ya antivirusu zibil qutusuna ata bilərsiniz, ya da ona kor-koranə etibar edə bilərsiniz. Ancaq bu və ya digər şəkildə, təhlükəsizlik strategiyasındakı bloklardan (böyük də olsa) yalnız biridir. Biz sizə bu “kərpiclərdən” daha doqquzunu təqdim edəcəyik.

Təhlükəsizlik təhlükəsi: Antiviruslar

> Tənqidçilər nə deyir Virus skanerləri ilə bağlı mövcud mübahisə keçmiş Firefox tərtibatçısı Robert O'Callaghan tərəfindən alovlandı. O, iddia edir: antiviruslar Windows-un təhlükəsizliyini təhdid edir və silinməlidir. Yeganə istisna Microsoft-un Windows Defender proqramıdır.

> Tərtibatçıların dedikləri antivirusların yaradıcıları, o cümlədən Kaspersky Laboratoriyası, arqument kimi təsirli rəqəmlər gətirirlər. Belə ki, 2016-cı ildə bu laboratoriyanın proqram təminatı istifadəçi kompüterlərinə 760 milyona yaxın internet hücumunu qeydə alıb və qarşısını alıb.

> CHIP nə düşünür ki, Antiviruslar ya relikt, ya da panacea hesab edilməməlidir. Onlar mühafizə binasında sadəcə bir kərpicdir. Kompakt antiviruslardan istifadə etməyi məsləhət görürük. Ancaq çox narahat olmayın: Windows Defender yaxşıdır. Siz hətta sadə üçüncü tərəf skanerlərindən istifadə edə bilərsiniz.

Düzgün antivirus seçin

Biz, əvvəlki kimi, əminik ki, Windows antivirus müdafiəsi olmadan ağlasığmazdır. Yalnız düzgün məhsul seçmək lazımdır. Tens istifadəçiləri üçün bu, hətta daxili Windows Defender ola bilər. Testlərimiz zamanı ən yaxşı tanınma dərəcəsini göstərməməsinə baxmayaraq, sistemə mükəmməl inteqrasiya olunub və ən əsası heç bir təhlükəsizlik problemi olmadan. Bundan əlavə, Microsoft Windows 10 üçün Creators Update-də məhsulunu təkmilləşdirib və onun idarə edilməsini sadələşdirib.

Digər tərtibatçıların antivirus paketləri tez-tez Defender ilə müqayisədə daha yüksək tanınma dərəcəsinə malikdir. Biz kompakt həllin tərəfdarıyıq. Reytinqimizin lideri Bu an Kasperskydir İnternet Təhlükəsizliyi 2017. kimi əlavə variantlardan imtina edə bilənlər valideyn nəzarət və parol meneceri diqqətlərini Kaspersky Lab-dan daha büdcəli seçimə yönəltməlidirlər.

Yenilikləri izləyin

Windows-un təhlükəsizliyini təmin etmək üçün yalnız bir tədbir seçməli olsaydıq, biz mütləq yeniləmələrlə gedərdik. Bu vəziyyətdə, əlbəttə ki, biz ilk növbədə Windows üçün yeniləmələrdən danışırıq, lakin təkcə deyil. Office, Firefox və iTunes daxil olmaqla quraşdırılmış proqram təminatı da müntəzəm olaraq yenilənməlidir. Windows-da sistem yeniləmələrini əldə etmək nisbətən asandır. Həm "yeddi", həm də "on"da yamalar standart parametrlərdən istifadə etməklə avtomatik quraşdırılır.

Proqramlar vəziyyətində vəziyyət daha da çətinləşir, çünki onların hamısını Firefox və Chrome kimi yeniləmək asan deyil, daxili avtomatik yeniləmə funksiyası var. SUMo (Software Update Monitor) yardım proqramı bu tapşırığı həll etməkdə sizə dəstək olacaq və yeniləmələrin mövcudluğu barədə sizə məlumat verəcəkdir. Əlaqədar proqram, DUMo (Sürücü Yeniləmə Monitoru) sürücülər üçün eyni işi görəcək. Hər iki pulsuz köməkçi sizə yalnız yeni versiyalar haqqında məlumat verir - onları özünüz yükləməli və quraşdırmalı olacaqsınız.

Firewall qurun

Windows-da quraşdırılmış firewall öz işini yaxşı yerinə yetirir və bütün daxil olan sorğuları etibarlı şəkildə bloklayır. Bununla belə, daha çox şeyə qadirdir - onun potensialı standart konfiqurasiya ilə məhdudlaşmır: hamısı quraşdırılmış proqramlar tələb etmədən firewallda portları açmaq hüququna malikdir. Pulsuz Windows Firewall Control yardım proqramı sizə verəcəkdir daha çox xüsusiyyət.

Onu işə salın və "Profillər" menyusunda filtri "Orta Filtrləmə" olaraq təyin edin. Bunun sayəsində firewall verilən qaydalara uyğun olaraq gedən trafikə də nəzarət edəcək. Hansı tədbirlərin daxil olacağına özünüz qərar verin. Bunu etmək üçün proqram ekranının aşağı sol küncündə qeyd işarəsinə klikləyin. Bu yolla siz bir kliklə qaydalara baxa və icazə verə bilərsiniz ayrı proqram və ya bloklayın.

Xüsusi qorunma istifadə edin

Yeniləmələr, antivirus və firewall - bu böyük təhlükəsizlik tədbirlərinin üçlüyünə artıq diqqət yetirmisiniz. Vaxtdır incə sazlama. Windows üçün əlavə proqramlarla bağlı problem çox vaxt sistemin təklif etdiyi bütün təhlükəsizlik xüsusiyyətlərindən istifadə etməməsidir. EMET (Enhanced Mitigation Experience Toolbar) kimi istismar əleyhinə yardım proqramı quraşdırılmış proqramı daha da gücləndirir. Bunu etmək üçün "Tövsiyə olunan parametrlərdən istifadə et" düyməsini basın və proqramın avtomatik işləməsinə icazə verin.

Şifrələməni gücləndirin

Siz şəxsi məlumatlarınızı şifrələməklə onların qorunmasını əhəmiyyətli dərəcədə artıra bilərsiniz. Məlumatınız yanlış əllərə düşsə belə, haker yaxşı kodlaşdırmanı silə bilməyəcək, heç olmasa dərhal. Peşəkar olaraq Windows versiyaları BitLocker yardım proqramı İdarəetmə Paneli vasitəsilə konfiqurasiya edilmiş artıq təmin edilmişdir.

VeraCrypt bütün istifadəçilər üçün alternativ olacaq. Bu açıq mənbə proqramı bir neçə il əvvəl dayandırılmış TrueCrypt-in qeyri-rəsmi varisidir. Əgər haqqında danışırıq Yalnız şəxsi məlumatların qorunması ilə bağlı "Həcmi yarat" elementi vasitəsilə şifrələnmiş konteyner yarada bilərsiniz. "Şifrələnmiş fayl konteyneri yaradın" seçimini seçin və Sihirbazın təlimatlarına əməl edin. Hazır məlumat seyfinə adi disk kimi Windows Explorer vasitəsilə daxil olmaq mümkündür.

İstifadəçi hesablarını qoruyun

Bir çox boşluqlar hakerlər tərəfindən istifadə olunmamış qalır, çünki kompüterdə iş məhdud hüquqlu standart hesab altında aparılır. Beləliklə, gündəlik tapşırıqlar üçün siz də buna bənzər birini qurmalısınız hesab. Windows 7-də bu, İdarəetmə Paneli və "İstifadəçi hesablarını əlavə etmək və silmək" elementi vasitəsilə həyata keçirilir. "İlk onluqda" "Parametrlər" və "Hesablar" üzərinə klikləyin və sonra "Ailə və digər insanlar" seçin.

Evdən kənarda VPN-i aktivləşdirin

İçərisində evdə simsiz şəbəkə Sizin təhlükəsizlik səviyyəniz yüksəkdir, çünki siz yerli şəbəkəyə kimin girişinə nəzarət edirsiniz və şifrələmə və giriş kodlarına cavabdehsiniz. İsti nöqtələr vəziyyətində hər şey fərqlidir, məsələn,
otellərdə. Burada Wi-Fi üçüncü tərəf istifadəçiləri arasında paylanır və siz şəbəkəyə girişin təhlükəsizliyinə heç bir təsir göstərə bilməzsiniz. Qorunmaq üçün VPN (Virtual Şəxsi Şəbəkə) istifadə etməyi tövsiyə edirik. Yalnız bir giriş nöqtəsi vasitəsilə saytlara baxmaq lazımdırsa, daxili VPN son versiya Opera brauzeri. Brauzeri quraşdırın və "Parametrlər" bölməsində "Təhlükəsizlik" düyməsini basın. "VPN" bölməsində "VPN-i aktivləşdir" qutusunu yoxlayın.

İstifadə edilməmiş simsiz bağlantıları kəsin

tamam

Hətta təfərrüatlar vəziyyətin nəticəsini təyin edə bilər. Wi-Fi və Bluetooth kimi bağlantılardan istifadə etmirsinizsə, potensial boşluqları bağlamaq üçün sadəcə onları söndürün. Windows 10-da bunu etmənin ən asan yolu Fəaliyyət Mərkəzindən keçir. “Yeddi” bu məqsədlə İdarəetmə Panelində “Şəbəkə Əlaqələri” bölməsini təklif edir.

Parolları idarə edin

Hər bir parol yalnız bir dəfə istifadə edilməli və xüsusi simvollar, rəqəmlər, böyük və kiçik hərflərdən ibarət olmalıdır. Həm də mümkün qədər uzun olun - tercihen on və ya daha çox simvol. Parol təhlükəsizliyi prinsipi bu gün öz sərhədlərinə çatmışdır, çünki istifadəçilər çox yadda saxlamalıdırlar. Buna görə də, mümkün olduqda, bu cür qorunma başqa üsullarla əvəz edilməlidir. Məsələn, Windows-a daxil olmağı götürün: Windows Hello-nu dəstəkləyən kameranız varsa, daxil olmaq üçün sifətin tanınmasından istifadə edin. Digər kodlar üçün KeePass kimi parol menecerlərindən istifadə etməyi məsləhət görürük ki, onlar güclü əsas parolla qorunmalıdır.

Brauzerdə məxfiliyinizi qoruyun

İnternetdə məxfiliyinizi qorumaq üçün bir çox yol var. Məxfilik Parametrləri uzantısı Firefox üçün idealdır. Quraşdırın və "Tam Məxfilik" olaraq təyin edin. Bundan sonra brauzer İnternetdəki davranışınız haqqında heç bir məlumat verməyəcək.

Lifebuoy: ehtiyat

> Yedəkləmələr son dərəcə vacibdir Yedəkləməəsaslandırır
özünüzü yalnız virusa yoluxduqdan sonra deyil. Avadanlıq ilə bağlı problemlər yarandıqda da yaxşı işləyir. Məsləhətimiz: bütün Windows-un bir nüsxəsini çıxarın, sonra əlavə və müntəzəm olaraq bütün vacib məlumatların ehtiyat nüsxəsini çıxarın.

> Windows 10-un tam arxivləşdirilməsi “Arxivləşdirmə və Bərpa” modulundan “yeddi”dən miras qalmışdır. Onunla siz yaradacaqsınız ehtiyat surəti sistemləri. Siz də istifadə edə bilərsiniz xüsusi kommunal xidmətlər, məsələn, True Image və ya Macrium Reflect.

> True Image faylının qorunması və Macrium Reflect-in pullu versiyası surət çıxara bilər müəyyən fayllar və qovluqlar. Pulsuz alternativ arxivləşdirmə üçün mühim informasiyaŞəxsi Yedəkləmə proqramına çevriləcək.

FOTO: istehsal müəssisələri; NicoElNino/Fotolia.com

Kompüterinizi uzaqdan girişdən necə qoruya bilərsiniz? Brauzer vasitəsilə kompüterə girişi necə bloklamaq olar?

Kompüterinizi uzaqdan girişdən necə qorumaq olar, onlar adətən nəsə baş verəndə düşünürlər. Amma təbii ki, ən azı öz fəaliyyəti ilə məşğul olan insan üçün bu, yanlış qərardır. Və bütün istifadəçilərin kompüterlərinə yad adamların girişini məhdudlaşdırması məsləhətdir. Və bu yazıda biz kompüterə daxil olmaq üçün parol təyin etmə üsulunu müzakirə etməyəcəyik, ancaq yerli şəbəkədən və ya eyni kompüterə qoşulduqları halda başqa bir kompüterdən kompüterə girişi necə rədd etmək variantına baxacağıq. şəbəkə. Bu məlumat xüsusilə yeni PC istifadəçiləri üçün faydalı olacaq.

Və beləliklə, in əməliyyat sistemi Windows-da "Uzaqdan giriş" adlı xüsusiyyət var. Əgər o, söndürülməyibsə, digər istifadəçilər kompüterinizə nəzarət etmək üçün bundan istifadə edə bilərlər. Menecer olsanız və işçilərinizə nəzarət etməli olsanız belə, təbii ki, onların kompüterinə daxil olmalısınız, ancaq sizinkini bağlamalısınız ki, həmin işçilər sizin katibinizlə yazışmalarınıza baxmasınlar - bu, çox şeylə doludur.. .

Bazar ertəsi	W	Çərşənbə	Cr	Cümə	Oturdu	Günəş

	1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Mart 2020

REKLAM

Həmişə olduğu kimi, onlayn layihələr təbliğ olunur. Tipik olaraq, SEO kopirayterləri mətnə mümkün qədər çox yer verməyə çalışırlar axtarış sorğuları, onları meylləndirir

Saxta iPhone-ları real məhsullardan fərqləndirən əsas nüansları başa düşmək pula qənaət etməyə və diqqətsiz satıcılardan alış-verişdən qaçmağa kömək edəcək. Nə üçün

Kateqoriyada məşhur: