Ανίχνευση και προστασία υπολογιστή μέσω δικτύου. Προστασία δικτύου. Το πρόγραμμα για την προστασία των δικτύων υπολογιστών. O Κακό: Ευπάθεια κοινόχρηστων διοικητικών πόρων

Ανίχνευση και προστασία υπολογιστή μέσω δικτύου. Προστασία δικτύου. Το πρόγραμμα για την προστασία των δικτύων υπολογιστών. O Κακό: Ευπάθεια κοινόχρηστων διοικητικών πόρων

Μερικοί άνθρωποι περνούν όλη τους τη ζωή δουλεύοντας για να βελτιώσουν την ασφάλεια για εταιρείες και ιδιώτες. Και ξοδεύουν ένα σημαντικό μέρος αυτού του χρόνου επιδιορθώνοντας τρύπες στα Windows. Το σύστημα Windows είναι το κύριο κανάλι για κακόβουλο λογισμικό, που δημιουργούν ζόμπι (ρομπότ), όπως συζητήθηκε στο Κεφάλαιο 5, και αυτή είναι μόνο η κορυφή του παγόβουνου. Για να είμαστε δίκαιοι, ευθύνεται σε μεγάλο βαθμό η μαζική δημοτικότητα των Windows, αλλά υπάρχουν τόσες πολλές τρύπες στα Windows 7 που δεν είναι σαφές εάν κάποιος στη Microsoft ενοχλείται από αυτό.

Υπάρχουν τρεις κύριοι τύποι απειλών. Πρώτον, μια ειδικά στοχευμένη επίθεση από ένα άτομο που προσπαθεί να χακάρει τον υπολογιστή σας μέσω μιας σύνδεσης δικτύου. Δεύτερον, μια επίθεση από ένα άτομο που κάθεται στο πληκτρολόγιο του υπολογιστή σας. Τέλος, μπορεί να υπάρξει μια αυτόματη επίθεση που πραγματοποιείται από ένα σκουλήκι ή άλλου είδους κακόβουλο λογισμικό.

Τα Windows 7, και ακόμη παλαιότερα Vista, περιλαμβάνουν Έλεγχο Λογαριασμού Χρήστη, ο οποίος θα βοηθήσει στην αναχαίτιση του κύματος των ακούσιων και ανεπιθύμητων εγκαταστάσεων λογισμικού - περισσότερα για αυτό, καθώς και κωδικούς πρόσβασης και κρυπτογράφηση

λέει στο Κεφάλαιο 7. Ωστόσο, τα περισσότερα σκουπίδια προέρχονται από τη σύνδεση δικτύου σας, επομένως από εκεί θα πρέπει να αρχίσετε να προστατεύετε τον υπολογιστή σας. Το λειτουργικό σύστημα Windows 7 περιλαμβάνει πολλές δυνατότητες που καθιστούν δυνατή την παροχή ενός συγκεκριμένου επιπέδου ασφάλειας χωρίς να χρειάζεται να αγοράσετε πρόσθετο λογισμικό ή υλικό.

Δυστυχώς, δεν είναι πολλές από αυτές τις δυνατότητες ενεργοποιημένες από προεπιλογή. Οι ακόλουθοι παράγοντες είναι κενά που δεν πρέπει να αγνοηθούν.

O Κακό: ευπάθεια πρωτοκόλλου UPnP

Μια άλλη δυνατότητα που ονομάζεται UPnP (Universal Plug-and-Play) μπορεί να ανοίξει πρόσθετα τρωτά σημεία στο δίκτυό σας. Ένα πιο κατάλληλο όνομα για το UPnP θα ήταν Network Plug and Play, καθώς αυτή η δυνατότητα αφορά μόνο συσκευές δικτύου. Το UPnP είναι ένα σύνολο προτύπων που επιτρέπει στις πρόσφατα συνδεδεμένες συσκευές να διαφημίζονται

για την παρουσία σου Διακομιστές UPnPστο δίκτυό σας, με τον ίδιο τρόπο που οι συσκευές USB ανακοινώνουν την παρουσία τους σε ένα σύστημα που ανήκει στα Windows

Εξωτερικά, η λειτουργία UPnP φαίνεται καλή. Αλλά στην πράξη, η έλλειψη ελέγχου ταυτότητας στο πρότυπο UPnP και η ευκολία με την οποία το κακόβουλο λογισμικό μπορεί να χρησιμοποιήσει το UPnP για να ανοίξει τρύπες στο τείχος προστασίας και να δημιουργήσει κανόνες προώθησης θυρών στο δρομολογητή δεν είναι παρά πρόβλημα. Το UPnP χρησιμοποιείται επί του παρόντος για ορισμένα παιχνίδια, τα περισσότερα επεκτάσεις πολυμέσων, την ανταλλαγή άμεσων μηνυμάτων, την απομακρυσμένη βοήθεια κ.λπ., γεγονός που εξηγεί γιατί είναι ενεργοποιημένο από προεπιλογή στα Windows 7 και σε πολλά συσκευές δικτύου. Αν όμως δεν το χρειάζεστε, τότε καλύτερα να το απενεργοποιήσετε.

Εάν επιλέξετε Δημόσιο δίκτυο κατά την πρώτη σύνδεση νέο δίκτυοή μέσω του Κέντρου Δικτύου και Κοινή χρήση

^j Κέντρο κοινής χρήσης), τότε το UPnP είναι απενεργοποιημένο από προεπιλογή.

Για να απενεργοποιήσετε το UPnP, ανοίξτε το παράθυρο 01usb (services.msc). Βρείτε την υπηρεσία SSDP Discovery Service στη λίστα και κάντε κλικ στο κουμπί Stop service στο πλαίσιο Toolbar. Ταυτόχρονα, ο κεντρικός υπολογιστής συσκευής UPnP θα πρέπει επίσης να σταματήσει. Αν δεν είναι, σταματήστε και αυτό. Τώρα δοκιμάστε οποιεσδήποτε εφαρμογές ή συσκευές υποψιάζεστε ότι χρησιμοποιούν εντοπισμό δικτύου, όπως διακομιστές πολυμέσων ή επεκτάσεις. Εάν δεν έχετε κανένα από αυτά, μπορείτε να απενεργοποιήσετε εντελώς το UPnP κάνοντας διπλό κλικ σε κάθε υπηρεσία και επιλέγοντας Απενεργοποιημένο από τη λίστα Τύπος εκκίνησης. Διαφορετικά, την επόμενη φορά που θα εκκινήσετε τα Windows, αυτές οι υπηρεσίες θα ξεκινήσουν ξανά.

Τώρα ανοίξτε τη σελίδα διαμόρφωσης του δρομολογητή (που περιγράφεται νωρίτερα σε αυτό το κεφάλαιο) και απενεργοποιήστε την υπηρεσία UPnP. Αυτό απαιτείται για να αποτρέψει τις εφαρμογές από τη θέσπιση νέων κανόνων προώθησης θυρών. Εάν ο δρομολογητής σας δεν σας επιτρέπει να αλλάξετε τις ρυθμίσεις UPnP, σκεφτείτε να κάνετε αναβάθμιση σε περισσότερες νέα έκδοσηυλικολογισμικό, όπως περιγράφεται στην ενότητα «Αναβάθμιση σε νεότερη έκδοση του δρομολογητή».

O Κακό: Ευπάθεια ανοιχτών θυρών

Αναζητήστε ευπάθειες στο σύστημά σας χρησιμοποιώντας τη σάρωση ανοιχτής θύρας, όπως περιγράφεται παρακάτω σε αυτό το κεφάλαιο.

O Καλό: απομακρυσμένος χώρος εργασίας, αλλά μόνο όταν χρειάζεται

Η δυνατότητα απομακρυσμένης επιφάνειας εργασίας που περιγράφεται στο " Τηλεχειριστήριουπολογιστής" είναι ενεργοποιημένο από προεπιλογή στα Windows 7 Professional και Ultimate. Εάν δεν χρειάζεστε συγκεκριμένα αυτήν τη δυνατότητα, θα πρέπει να την απενεργοποιήσετε. Στον Πίνακα Ελέγχου, ανοίξτε το Σύστημα και, στη συνέχεια, επιλέξτε τη σύνδεση Ρυθμίσεις απομακρυσμένης πρόσβασης. Στη σελίδα Απομακρυσμένη πρόσβασηΣτο παράθυρο Ιδιότητες συστήματος, απενεργοποιήστε το πλαίσιο ελέγχου Να επιτρέπονται οι συνδέσεις απομακρυσμένης βοήθειας σε αυτόν τον υπολογιστή και επιλέξτε το πλαίσιο ελέγχου Να μην επιτρέπονται οι συνδέσεις σε αυτόν τον υπολογιστή παρακάτω.

O Ok: κωδικός πρόσβασης λογαριασμού

Θεωρητικά γενική πρόσβασηστα αρχεία δεν λειτουργεί για λογαριασμούς που δεν διαθέτουν κωδικό πρόσβασης, η οποία είναι η προεπιλεγμένη ρύθμιση κατά τη δημιουργία νέου λογαριασμού χρήστη. Ωστόσο, ένας λογαριασμός χωρίς κωδικό πρόσβασης δεν παρέχει καμία προστασία από οποιονδήποτε κάθεται στο πληκτρολόγιό σας και εάν πρόκειται για λογαριασμό χρήστη με δικαιώματα διαχειριστή, τότε η πόρτα είναι ανοιχτή σε οποιονδήποτε άλλο χρήστη αυτού του υπολογιστή. Ανατρέξτε στο Κεφάλαιο 7 για μια συζήτηση σχετικά με τους λογαριασμούς χρηστών και τους κωδικούς πρόσβασης.

Σχετικά με τις οικιακές ομάδες και την κοινή χρήση αρχείων

Κάθε κοινόχρηστος φάκελος είναι δυνητικά μια ανοιχτή πόρτα. Επομένως, η ανοιχτή πρόσβαση θα πρέπει να παρέχεται μόνο σε αυτούς τους φακέλους που είναι πραγματικά απαραίτητοι. Λάβετε υπόψη ότι τα δικαιώματα αρχείων και τα δικαιώματα κοινής χρήσης είναι διαφορετικά πράγματα στα Windows 7. Αυτό αναλύεται λεπτομερέστερα στο Κεφάλαιο 7.

O Bad: Ευπάθεια του Οδηγού κοινής χρήσης

Ένας από τους κύριους λόγους για τη δημιουργία μιας ομάδας εργασίας είναι η κοινή χρήση αρχείων και εκτυπωτών. Αλλά είναι συνετό να μοιράζεστε μόνο τους φακέλους που πρέπει να κοινοποιηθούν και να απενεργοποιείτε την κοινή χρήση για όλους τους άλλους. Μια δυνατότητα που ονομάζεται Use Sharing Wizard, που περιγράφεται στο Κεφάλαιο 2 και συζητείται λεπτομερώς στο Κεφάλαιο 7, δεν σας δίνει πλήρη έλεγχο ως προς το ποιος μπορεί να δει και να αλλάξει τα αρχεία σας.

O Κακό: Ευπάθεια κοινόχρηστων διοικητικών πόρων

Η δυνατότητα κοινής χρήσης, που συζητείται στο Κεφάλαιο 7, παρέχει πρόσβαση σε όλες τις μονάδες δίσκου στον υπολογιστή σας, ανεξάρτητα από το αν μοιράζεστε φακέλους σε αυτές τις μονάδες δίσκου.

O Good: Τείχος προστασίας

Διαμορφώστε το τείχος προστασίας που συζητείται παρακάτω για να ελέγχετε αυστηρά τη ροή του δικτύου προς και από τον υπολογιστή σας, αλλά μην βασίζεστε στο ενσωματωμένο λογισμικό τείχους προστασίας των Windows για την παροχή επαρκής προστασίας.

A Good: Το κέντρο υποστήριξης είναι καλό, αλλά δεν πρέπει να βασίζεστε εξ ολοκλήρου σε αυτό. Το κέντρο υποστήριξης που φαίνεται στην Εικ. 6.28 είναι η κεντρική σελίδα στον Πίνακα Ελέγχου που χρησιμοποιείται για τη διαχείριση του Τείχους προστασίας των Windows, του Windows Defender, του Έλεγχου λογαριασμού χρήστη και των αυτόματων ενημερώσεων. Επίσης ελέγχει προγράμματα προστασίας από ιούς, αλλά, καθαρά για πολιτικούς λόγους, τα Windows 7 δεν έχουν δικά τους προγράμματα προστασίας από ιούς.

Το πιο σημαντικό είναι ότι το Action Center είναι μόνο θεατής. Εάν δει ότι ένα συγκεκριμένο μέτρο προστασίας είναι ενεργοποιημένο, ανεξάρτητα από το αν εκτελείται ενεργά, το Action Center θα χαρεί και δεν θα λάβετε ειδοποιήσεις.

Βαρεθήκατε τα μηνύματα από το Κέντρο υποστήριξης; Κάντε κλικ στον σύνδεσμο Αλλαγή ρυθμίσεων Κέντρου ενεργειών στην αριστερή πλευρά και επιλέξτε ποια ζητήματα αξίζει να αναφέρετε και ποια μπορείτε να αγνοήσετε. Μπορείτε να απενεργοποιήσετε όλα τα μηνύματα από το Κέντρο ενεργειών απενεργοποιώντας όλα τα πλαίσια ελέγχου σε αυτήν τη σελίδα, αλλά για να απενεργοποιήσετε πλήρως ολόκληρη τη δυνατότητα, πρέπει να ανοίξετε το παράθυρο Υπηρεσίες (services.msc) και να απενεργοποιήσετε το Κέντρο ενεργειών. Αυτό δεν θα απενεργοποιήσει κανένα τείχος προστασίας, προστασία από ιούς ή αυτόματες ενημερώσεις που μπορεί να χρησιμοποιείτε, παρά μόνο τα εργαλεία παρακολούθησης για αυτά τα εργαλεία και τα μηνύματα που τα συνοδεύουν.

Δεν μπορείτε να αλλάξετε τις ρυθμίσεις του τείχους προστασίας ή του anti-malware εδώ. Για να το κάνετε αυτό, πρέπει να επιστρέψετε στον Πίνακα Ελέγχου και να ανοίξετε το κατάλληλο πρόγραμμα εκεί.

Το πρόβλημα της επιδημίας σκουληκιών δικτύου είναι σχετικό για οποιονδήποτε τοπικό δίκτυο. Αργά ή γρήγορα, μπορεί να προκύψει μια κατάσταση όταν ένας ιός τύπου worm δικτύου ή email διεισδύσει στο LAN και δεν εντοπίζεται από το πρόγραμμα προστασίας από ιούς που χρησιμοποιείται. Ένας ιός δικτύου εξαπλώνεται σε ένα LAN μέσω τρωτών σημείων του λειτουργικού συστήματος που δεν είχαν κλείσει τη στιγμή της μόλυνσης ή μέσω εγγράψιμων κοινόχρηστων πόρων. Ιός αλληλογραφίας, όπως υποδηλώνει το όνομα, διανέμεται μέσω email, υπό την προϋπόθεση ότι δεν αποκλείεται από προγράμματα προστασίας από ιούς και προγράμματα προστασίας από ιούς πελάτη στο διακομιστή αλληλογραφίας. Επιπλέον, μια επιδημία σε ένα LAN μπορεί να οργανωθεί εκ των έσω ως αποτέλεσμα των δραστηριοτήτων ενός εμπιστευτικού χρήστη. Σε αυτό το άρθρο θα εξετάσουμε πρακτικές μεθόδους για τη λειτουργική ανάλυση υπολογιστών LAN χρησιμοποιώντας διάφορα εργαλεία, ιδίως χρησιμοποιώντας το βοηθητικό πρόγραμμα AVZ του συγγραφέα.

Διατύπωση του προβλήματος

Εάν εντοπιστεί επιδημία ή κάποια μη φυσιολογική δραστηριότητα στο δίκτυο, ο διαχειριστής πρέπει να επιλύσει γρήγορα τουλάχιστον τρεις εργασίες:

  • ανίχνευση μολυσμένων υπολογιστών στο δίκτυο.
  • εύρεση δειγμάτων κακόβουλου λογισμικού για αποστολή σε εργαστήριο προστασίας από ιούς και ανάπτυξη στρατηγικής αντιμετώπισης.
  • να λάβει μέτρα για να εμποδίσει την εξάπλωση του ιού στο LAN και να τον καταστρέψει σε μολυσμένους υπολογιστές.

Στην περίπτωση της εσωτερικής δραστηριότητας, τα κύρια βήματα της ανάλυσης είναι πανομοιότυπα και τις περισσότερες φορές συνοψίζονται στην ανάγκη ανίχνευσης λογισμικού τρίτων κατασκευαστών που έχει εγκατασταθεί από τον εσωτερικό χρήστη σε υπολογιστές LAN. Παραδείγματα τέτοιου λογισμικού περιλαμβάνουν βοηθητικά προγράμματα απομακρυσμένης διαχείρισης, keyloggersκαι διάφορους Trojan σελιδοδείκτες.

Ας εξετάσουμε λεπτομερέστερα τη λύση σε καθεμία από τις εργασίες.

Αναζήτηση για μολυσμένους υπολογιστές

Για να αναζητήσετε μολυσμένους υπολογιστές στο δίκτυο, μπορείτε να χρησιμοποιήσετε τουλάχιστον τρεις μεθόδους:

  • αυτόματη ανάλυση απομακρυσμένου υπολογιστή - λήψη πληροφοριών σχετικά με διεργασίες που εκτελούνται, φορτωμένες βιβλιοθήκες και προγράμματα οδήγησης, αναζήτηση χαρακτηριστικών μοτίβων - για παράδειγμα, διεργασίες ή αρχεία με δοσμένα ονόματα;
  • Ανάλυση κυκλοφορίας υπολογιστή με χρήση sniffer - αυτή τη μέθοδοπολύ αποτελεσματικό για τη σύλληψη spam bots, email και worms δικτύου, ωστόσο, η κύρια δυσκολία στη χρήση ενός sniffer οφείλεται στο γεγονός ότι ένα σύγχρονο LAN είναι χτισμένο με βάση διακόπτες και, ως αποτέλεσμα, ο διαχειριστής δεν μπορεί να παρακολουθεί την κυκλοφορία του ολόκληρο το δίκτυο. Το πρόβλημα μπορεί να λυθεί με δύο τρόπους: εκτελώντας ένα sniffer στο δρομολογητή (που σας επιτρέπει να παρακολουθείτε την ανταλλαγή δεδομένων υπολογιστή με το Διαδίκτυο) και χρησιμοποιώντας τις λειτουργίες παρακολούθησης των διακοπτών (πολλοί σύγχρονοι διακόπτεςσας επιτρέπει να εκχωρήσετε μια θύρα παρακολούθησης στην οποία αντιγράφεται η κίνηση μιας ή περισσότερων θυρών μεταγωγέα που καθορίζονται από τον διαχειριστή).
  • μελέτη του φορτίου δικτύου - σε αυτήν την περίπτωση, είναι πολύ βολικό να χρησιμοποιείτε έξυπνους διακόπτες, οι οποίοι σας επιτρέπουν όχι μόνο να αξιολογήσετε το φορτίο, αλλά και να απενεργοποιήσετε εξ αποστάσεως τις θύρες που καθορίζονται από τον διαχειριστή. Αυτή η λειτουργία απλοποιείται πολύ εάν ο διαχειριστής έχει έναν χάρτη δικτύου, ο οποίος περιέχει πληροφορίες σχετικά με το ποιοι υπολογιστές είναι συνδεδεμένοι στις αντίστοιχες θύρες μεταγωγέα και πού βρίσκονται.
  • χρήση honeypots - συνιστάται ανεπιφύλακτα η δημιουργία πολλών honeypot στο τοπικό δίκτυο που θα επιτρέψουν στον διαχειριστή να εντοπίσει έγκαιρα μια επιδημία.

Αυτόματη ανάλυση Η/Υ στο δίκτυο

Η αυτόματη ανάλυση υπολογιστή μπορεί να περιοριστεί σε τρία κύρια στάδια:

  • διεξαγωγή πλήρους σάρωσης υπολογιστή - διεργασίες εκτέλεσης, φορτωμένες βιβλιοθήκες και προγράμματα οδήγησης, αυτόματη εκκίνηση.
  • διεξαγωγή επιχειρησιακής έρευνας - για παράδειγμα, αναζήτηση χαρακτηριστικών διεργασιών ή αρχείων.
  • καραντίνα αντικειμένων σύμφωνα με ορισμένα κριτήρια.

Όλα τα παραπάνω προβλήματα μπορούν να επιλυθούν χρησιμοποιώντας το βοηθητικό πρόγραμμα AVZ του συγγραφέα, το οποίο έχει σχεδιαστεί για εκκίνηση από έναν φάκελο δικτύου στο διακομιστή και υποστηρίζει μια γλώσσα δέσμης ενεργειών για αυτόματη επιθεώρηση υπολογιστή. Για να εκτελέσετε το AVZ σε υπολογιστές χρηστών πρέπει:

  1. Τοποθετήστε το AVZ σε ένα φάκελο δικτύου στο διακομιστή που είναι ανοιχτός για ανάγνωση.
  2. Δημιουργήστε υποκαταλόγους LOG και Qurantine σε αυτόν τον φάκελο και επιτρέψτε στους χρήστες να γράφουν σε αυτούς.
  3. Εκκινήστε το AVZ σε υπολογιστές LAN χρησιμοποιώντας το βοηθητικό πρόγραμμα rexec ή τη δέσμη ενεργειών σύνδεσης.

Η εκκίνηση του AVZ στο βήμα 3 θα πρέπει να γίνει με τις ακόλουθες παραμέτρους:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Σε αυτήν την περίπτωση, η παράμετρος Priority=-1 μειώνει την προτεραιότητα της διαδικασίας AVZ, οι παράμετροι nw=Y και nq=Y αλλάζουν την καραντίνα στη λειτουργία "network run" (σε αυτήν την περίπτωση, δημιουργείται ένας υποκατάλογος στο φάκελο καραντίνας για κάθε υπολογιστή, το όνομα του οποίου ταιριάζει με το όνομα δικτύου του υπολογιστή) , το HiddenMode=2 δίνει εντολή να απαγορεύεται η πρόσβαση του χρήστη στα στοιχεία ελέγχου GUI και AVZ και τέλος, η πιο σημαντική παράμετρος Script καθορίζει το πλήρες όνομα του σεναρίου με το εντολές που θα εκτελέσει το AVZ στον υπολογιστή του χρήστη. Η γλώσσα scripting AVZ είναι αρκετά απλή στη χρήση και επικεντρώνεται αποκλειστικά στην επίλυση προβλημάτων εξέτασης και θεραπείας υπολογιστή. Για να απλοποιήσετε τη διαδικασία σύνταξης σεναρίων, μπορείτε να χρησιμοποιήσετε ένα εξειδικευμένο πρόγραμμα επεξεργασίας σεναρίων, το οποίο περιέχει μια ηλεκτρονική προτροπή, έναν οδηγό για τη δημιουργία τυπικών σεναρίων και εργαλεία για τον έλεγχο της ορθότητας του γραπτού σεναρίου χωρίς να το εκτελείτε (Εικ. 1).

Ρύζι. 1. Επεξεργαστής σεναρίων AVZ

Ας δούμε τρία τυπικά σενάρια που μπορεί να είναι χρήσιμα για την καταπολέμηση της επιδημίας. Πρώτον, χρειαζόμαστε ένα σενάριο έρευνας υπολογιστή. Η αποστολή του σεναρίου είναι να εξετάσει το σύστημα και να δημιουργήσει ένα πρωτόκολλο με τα αποτελέσματα σε έναν δεδομένο φάκελο δικτύου. Το σενάριο μοιάζει με αυτό:

ActivateWatchDog(60 * 10);

// Έναρξη σάρωσης και ανάλυσης

// Εξερεύνηση συστήματος

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//Τερματισμός AVZ

Κατά την εκτέλεση αυτής της δέσμης ενεργειών, αρχεία HTML με τα αποτελέσματα της μελέτης υπολογιστών δικτύου θα δημιουργηθούν στο φάκελο LOG (υποθέτοντας ότι έχει δημιουργηθεί στον κατάλογο AVZ του διακομιστή και είναι διαθέσιμο στους χρήστες να γράψουν) και να διασφαλιστεί ότι μοναδικότητα, το όνομα του υπολογιστή που εξετάζεται περιλαμβάνεται στο όνομα του πρωτοκόλλου. Στην αρχή του σεναρίου υπάρχει μια εντολή για την ενεργοποίηση ενός χρονοδιακόπτη παρακολούθησης, το οποίο θα τερματίσει αναγκαστικά τη διαδικασία AVZ μετά από 10 λεπτά, εάν προκύψουν αστοχίες κατά την εκτέλεση του σεναρίου.

Το πρωτόκολλο AVZ είναι βολικό για χειροκίνητη μελέτη, αλλά είναι ελάχιστα χρήσιμο για αυτοματοποιημένη ανάλυση. Επιπλέον, ο διαχειριστής συχνά γνωρίζει το όνομα του αρχείου κακόβουλου λογισμικού και χρειάζεται μόνο να ελέγξει την παρουσία ή την απουσία αυτό το αρχείοκαι, εάν υπάρχει, σε καραντίνα για ανάλυση. Σε αυτήν την περίπτωση, μπορείτε να χρησιμοποιήσετε το ακόλουθο σενάριο:

// Ενεργοποίηση χρονοδιακόπτη παρακολούθησης για 10 λεπτά

ActivateWatchDog(60 * 10);

// Αναζήτηση για κακόβουλο λογισμικό με το όνομα

QuarantineFile('%WinDir%\smss.exe', 'Ύποπτο για το LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Suspicion of LdPinch.gen');

//Τερματισμός AVZ

Αυτό το σενάριο χρησιμοποιεί τη συνάρτηση QuarantineFile για να προσπαθήσει να βάλει σε καραντίνα τα καθορισμένα αρχεία. Ο διαχειριστής μπορεί να αναλύσει μόνο τα περιεχόμενα της καραντίνας (φάκελος Quarantine\network_name_PC\quarantine_date\) για την παρουσία αρχείων σε καραντίνα. Λάβετε υπόψη ότι η λειτουργία QuarantineFile αποκλείει αυτόματα την καραντίνα των αρχείων που προσδιορίζονται από την ασφαλή βάση δεδομένων AVZ ή τη βάση δεδομένων ψηφιακών υπογραφών της Microsoft. Για Πρακτική εφαρμογηαυτό το σενάριο μπορεί να βελτιωθεί - οργανώστε τη φόρτωση ονομάτων αρχείων από ένα εξωτερικό αρχείο κειμένου, ελέγξτε τα αρχεία που βρέθηκαν σε σχέση με τις βάσεις δεδομένων AVZ και δημιουργήστε ένα πρωτόκολλο κειμένου με τα αποτελέσματα της εργασίας:

// Αναζήτηση για ένα αρχείο με το καθορισμένο όνομα

συνάρτηση CheckByName(Fname: string) : boolean;

Αποτέλεσμα:= FileExists(FName) ;

αν Αποτέλεσμα τότε ξεκινήστε

περίπτωση CheckFile(FName) του

1: S:= ', η πρόσβαση στο αρχείο έχει αποκλειστεί';

1: S:= ', εντοπίστηκε ως κακόβουλο λογισμικό ('+GetLastCheckTxt+')';

2: S:= ‘, υποπτεύεται ο σαρωτής αρχείων (‘+GetLastCheckTxt+’)’;

3: έξοδος? // Τα ασφαλή αρχεία αγνοούνται

AddToLog('Το αρχείο '+NormalFileName(FName)+' έχει ένα ύποπτο όνομα'+S);

//Προσθήκη του καθορισμένου αρχείου σε καραντίνα

QuarantineFile(FName,'ύποπτο αρχείο'+S);

SuspNames: TStringList; // Λίστα ονομάτων ύποπτων αρχείων

// Έλεγχος αρχείων σε σχέση με την ενημερωμένη βάση δεδομένων

εάν FileExists(GetAVZDirectory + 'files.db') τότε ξεκινήστε

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Φορτώθηκε η βάση δεδομένων ονόματος - αριθμός εγγραφών = '+inttostr(SuspNames.Count));

// Βρόχος αναζήτησης

για i:= 0 έως SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Σφάλμα φόρτωσης λίστας ονομάτων αρχείων');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+'_files.txt');

Για να λειτουργήσει αυτό το σενάριο, πρέπει να δημιουργήσετε τους καταλόγους Quarantine και LOG στο φάκελο AVZ, προσβάσιμους στους χρήστες για εγγραφή, καθώς και αρχείο κειμένου files.db - κάθε γραμμή αυτού του αρχείου θα περιέχει το όνομα του ύποπτου αρχείου. Τα ονόματα αρχείων μπορεί να περιλαμβάνουν μακροεντολές, οι πιο χρήσιμες από τις οποίες είναι %WinDir% (διαδρομή προς φάκελο των Windows) και %SystemRoot% (διαδρομή προς το φάκελο System32). Μια άλλη κατεύθυνση ανάλυσης θα μπορούσε να είναι η αυτόματη εξέταση της λίστας των διεργασιών που εκτελούνται σε υπολογιστές χρηστών. Πληροφορίες σχετικά με τις διεργασίες που εκτελούνται βρίσκονται στο πρωτόκολλο έρευνας συστήματος, αλλά για αυτόματη ανάλυση είναι πιο βολικό να χρησιμοποιήσετε το ακόλουθο τμήμα σεναρίου:

διαδικασία ScanProcess;

S:= ''; S1:= '';

//Ενημέρωση της λίστας διεργασιών

RefreshProcessList;

AddToLog('Αριθμός διεργασιών = '+IntToStr(GetProcessCount));

// Κύκλος ανάλυσης της λαμβανόμενης λίστας

για i:= 0 έως GetProcessCount - 1 αρχίζει

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// Αναζήτηση διεργασίας με όνομα

αν pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 τότε

S:= S + GetProcessName(i)+',';

αν ο Σ<>''έπειτα

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

Η μελέτη των διαδικασιών σε αυτό το σενάριο εκτελείται ως ξεχωριστή διαδικασία ScanProcess, επομένως είναι εύκολο να το τοποθετήσετε στο δικό του σενάριο. Η διαδικασία ScanProcess δημιουργεί δύο λίστες διεργασιών: πλήρης λίσταδιεργασίες (για επακόλουθη ανάλυση) και μια λίστα διαδικασιών που, από τη σκοπιά του διαχειριστή, θεωρούνται επικίνδυνες. Σε αυτήν την περίπτωση, για λόγους επίδειξης, μια διαδικασία με το όνομα «trojan.exe» θεωρείται επικίνδυνη. Πληροφορίες σχετικά με επικίνδυνες διεργασίες προστίθενται στο αρχείο κειμένου _alarm.txt, δεδομένα για όλες τις διεργασίες προστίθενται στο αρχείο _all_process.txt. Είναι εύκολο να δει κανείς ότι μπορείτε να περιπλέκετε το σενάριο προσθέτοντας σε αυτό, για παράδειγμα, ελέγχοντας τα αρχεία διαδικασίας σε μια βάση δεδομένων ασφαλών αρχείων ή ελέγχοντας τα ονόματα εκτελέσιμα αρχείαδιαδικασίες σε εξωτερική βάση. Μια παρόμοια διαδικασία χρησιμοποιείται στα σενάρια AVZ που χρησιμοποιούνται στο Smolenskenergo: ο διαχειριστής μελετά περιοδικά τις συλλεγόμενες πληροφορίες και τροποποιεί το σενάριο, προσθέτοντας σε αυτό το όνομα των διαδικασιών των προγραμμάτων που απαγορεύονται από την πολιτική ασφαλείας, για παράδειγμα ICQ και MailRu.Agent, που επιτρέπει μπορείτε να ελέγξετε γρήγορα την παρουσία απαγορευμένου λογισμικού στους υπολογιστές υπό μελέτη. Μια άλλη χρήση της λίστας διεργασιών είναι η εύρεση υπολογιστών στους οποίους λείπει μια απαιτούμενη διαδικασία, όπως ένα πρόγραμμα προστασίας από ιούς.

Εν κατακλείδι, ας δούμε το τελευταίο από τα χρήσιμα σενάρια ανάλυσης - ένα σενάριο για αυτόματη καραντίνα όλων των αρχείων που δεν αναγνωρίζονται από την ασφαλή βάση δεδομένων AVZ και τη βάση δεδομένων ψηφιακών υπογραφών της Microsoft:

// Εκτέλεση αυτοκαραντίνας

ExecuteAutoQuarantine;

Η αυτόματη καραντίνα εξετάζει εκτελούμενες διαδικασίες και φορτωμένες βιβλιοθήκες, υπηρεσίες και προγράμματα οδήγησης, περίπου 45 μεθόδους αυτόματης εκκίνησης, μονάδες επέκτασης προγράμματος περιήγησης και εξερευνητή, χειριστές SPI/LSP, εργασίες χρονοπρογραμματισμού, χειριστές συστημάτων εκτύπωσης κ.λπ. Ένα ιδιαίτερο χαρακτηριστικό της καραντίνας είναι ότι προστίθενται αρχεία σε αυτήν με έλεγχο επανάληψης, επομένως η λειτουργία αυτόματης καραντίνας μπορεί να καλείται επανειλημμένα.

Το πλεονέκτημα της αυτόματης καραντίνας είναι ότι με τη βοήθειά της, ο διαχειριστής μπορεί να συλλέξει γρήγορα δυνητικά ύποπτα αρχεία από όλους τους υπολογιστές του δικτύου για εξέταση. Η απλούστερη (αλλά πολύ αποτελεσματική στην πράξη) μορφή μελέτης αρχείων μπορεί να είναι ο έλεγχος της καραντίνας που προκύπτει με πολλά δημοφιλή antivirus σε μέγιστη ευρετική λειτουργία. Θα πρέπει να σημειωθεί ότι η ταυτόχρονη εκκίνηση της αυτόματης καραντίνας σε αρκετές εκατοντάδες υπολογιστές μπορεί να δημιουργήσει υψηλό φορτίο στο δίκτυο και στον διακομιστή αρχείων.

Έρευνα Κυκλοφορίας

Η έρευνα κυκλοφορίας μπορεί να πραγματοποιηθεί με τρεις τρόπους:

  • χειροκίνητη χρήση sniffers.
  • σε ημιαυτόματη λειτουργία - σε αυτήν την περίπτωση, ο ανιχνευτής συλλέγει πληροφορίες και στη συνέχεια τα πρωτόκολλά του επεξεργάζονται είτε χειροκίνητα είτε από κάποιο λογισμικό.
  • αυτόματα χρησιμοποιώντας συστήματα ανίχνευσης εισβολής (IDS) όπως το Snort (http://www.snort.org/) ή τα ανάλογα λογισμικού ή υλικού τους. Στην απλούστερη περίπτωση, ένα IDS αποτελείται από ένα sniffer και ένα σύστημα που αναλύει τις πληροφορίες που συλλέγει ο sniffer.

Ένα σύστημα ανίχνευσης εισβολής είναι το βέλτιστο εργαλείο επειδή σας επιτρέπει να δημιουργήσετε σύνολα κανόνων για τον εντοπισμό ανωμαλιών στη δραστηριότητα του δικτύου. Το δεύτερο πλεονέκτημά του είναι το εξής: τα περισσότερα σύγχρονα IDS επιτρέπουν στους πράκτορες παρακολούθησης της κυκλοφορίας να τοποθετούνται σε πολλούς κόμβους δικτύου - οι πράκτορες συλλέγουν πληροφορίες και τις μεταδίδουν. Σε περίπτωση χρήσης sniffer, είναι πολύ βολικό να χρησιμοποιήσετε την κονσόλα UNIX sniffer tcpdump. Για παράδειγμα, για παρακολούθηση δραστηριότητας στη θύρα 25 ( Πρωτόκολλο SMTP) απλά τρέξε το sniffer με γραμμή εντολώντύπος:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

Σε αυτήν την περίπτωση, τα πακέτα καταγράφονται μέσω της διεπαφής em0. πληροφορίες σχετικά με τα πακέτα που έχουν συλληφθεί θα αποθηκευτούν στο αρχείο smtp_log.txt. Το πρωτόκολλο είναι σχετικά εύκολο να αναλυθεί με μη αυτόματο τρόπο· σε αυτό το παράδειγμα, η ανάλυση δραστηριότητας στη θύρα 25 σάς επιτρέπει να αναγνωρίζετε υπολογιστές με ενεργά spam bots.

Εφαρμογή του Honeypot

Ένας ξεπερασμένος υπολογιστής του οποίου η απόδοση δεν επιτρέπει τη χρήση του για επίλυση μπορεί να χρησιμοποιηθεί ως παγίδα (Honeypot). καθήκοντα παραγωγής. Για παράδειγμα, ένα Pentium Pro με 64 MB χρησιμοποιείται με επιτυχία ως παγίδα στο δίκτυο του συγγραφέα μνήμη τυχαίας προσπέλασης. Σε αυτόν τον υπολογιστή θα πρέπει να εγκαταστήσετε το πιο κοινό λειτουργικό σύστημα στο LAN και να επιλέξετε μία από τις στρατηγικές:

  • Εγκαταστήστε ένα λειτουργικό σύστημα χωρίς πακέτα ενημέρωσης - θα είναι ένδειξη της εμφάνισης ενός ενεργού τύπου worm δικτύου στο δίκτυο, που εκμεταλλεύεται οποιαδήποτε από τις γνωστές ευπάθειες για αυτό το λειτουργικό σύστημα.
  • εγκαταστήστε ένα λειτουργικό σύστημα με ενημερώσεις που είναι εγκατεστημένες σε άλλους υπολογιστές στο δίκτυο - το Honeypot θα είναι ανάλογο με οποιονδήποτε από τους σταθμούς εργασίας.

Κάθε στρατηγική έχει τα θετικά και τα αρνητικά της. Ο συγγραφέας χρησιμοποιεί κυρίως την επιλογή χωρίς ενημερώσεις. Αφού δημιουργήσετε το Honeypot, θα πρέπει να δημιουργήσετε μια εικόνα δίσκου για ΓΡΗΓΟΡΗ ΑΝΑΡΡΩΣΗσύστημα αφού έχει καταστραφεί από κακόβουλο λογισμικό. Ως εναλλακτική λύση σε μια εικόνα δίσκου, μπορείτε να χρησιμοποιήσετε συστήματα αλλαγής επαναφοράς όπως το ShadowUser και τα ανάλογα του. Έχοντας δημιουργήσει ένα Honeypot, θα πρέπει να λάβετε υπόψη ότι ένας αριθμός σκουληκιών δικτύου αναζητούν μολυσμένους υπολογιστές σαρώνοντας το εύρος IP, που υπολογίζεται από τη διεύθυνση IP του μολυσμένου υπολογιστή (κοινές τυπικές στρατηγικές είναι X.X.X.*, X.X.X+1.*, X.X.X-1.*), - επομένως, στην ιδανική περίπτωση, θα πρέπει να υπάρχει ένα Honeypot σε κάθε υποδίκτυο. Ως πρόσθετα στοιχεία προετοιμασίας, θα πρέπει οπωσδήποτε να ανοίξετε την πρόσβαση σε πολλούς φακέλους στο σύστημα Honeypot και σε αυτούς τους φακέλους θα πρέπει να βάλετε πολλά δείγματα αρχείων διαφόρων μορφών, το ελάχιστο σύνολο είναι EXE, JPG, MP3.

Φυσικά, έχοντας δημιουργήσει ένα Honeypot, ο διαχειριστής πρέπει να παρακολουθεί τη λειτουργία του και να ανταποκρίνεται σε τυχόν ανωμαλίες που εντοπίζονται στο αυτός ο υπολογιστής. Οι ελεγκτές μπορούν να χρησιμοποιηθούν ως μέσο καταγραφής αλλαγών· ένας ανιχνευτής μπορεί να χρησιμοποιηθεί για την καταγραφή της δραστηριότητας του δικτύου. Σημαντικό σημείοείναι ότι τα περισσότερα sniffer παρέχουν τη δυνατότητα διαμόρφωσης της αποστολής μιας ειδοποίησης στον διαχειριστή εάν εντοπιστεί μια καθορισμένη δραστηριότητα δικτύου. Για παράδειγμα, στο CommView sniffer, ένας κανόνας περιλαμβάνει τον καθορισμό ενός "τύπου" που περιγράφει ένα πακέτο δικτύου ή τον καθορισμό ποσοτικών κριτηρίων (αποστολή περισσότερων από έναν καθορισμένο αριθμό πακέτων ή byte ανά δευτερόλεπτο, αποστολή πακέτων σε μη αναγνωρισμένες διευθύνσεις IP ή MAC) - Σύκο. 2.

Ρύζι. 2. Δημιουργήστε και διαμορφώστε μια ειδοποίηση δραστηριότητας δικτύου

Ως προειδοποίηση, είναι πιο βολικό να χρησιμοποιείτε τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται Γραμματοκιβώτιοδιαχειριστής - σε αυτήν την περίπτωση, μπορείτε να λαμβάνετε ειδοποιήσεις από όλες τις παγίδες του δικτύου. Επιπλέον, εάν το sniffer σάς επιτρέπει να δημιουργήσετε πολλαπλές ειδοποιήσεις, είναι λογικό να διαφοροποιήσετε τη δραστηριότητα του δικτύου επισημαίνοντας την εργασία με μέσω e-mail, FTP/HTTP, TFTP, Telnet, MS Net, αυξημένη κίνηση άνω των 20-30 πακέτων ανά δευτερόλεπτο για οποιοδήποτε πρωτόκολλο (Εικ. 3).

Ρύζι. 3. Ειδοποιητική επιστολή που εστάλη
εάν εντοπιστούν πακέτα που ταιριάζουν με τα καθορισμένα κριτήρια

Όταν οργανώνετε μια παγίδα, είναι καλή ιδέα να τοποθετήσετε σε αυτήν αρκετές ευάλωτες υπηρεσίες δικτύου που χρησιμοποιούνται στο δίκτυο ή να εγκαταστήσετε έναν εξομοιωτή για αυτές. Το πιο απλό (και δωρεάν) είναι το ιδιόκτητο βοηθητικό πρόγραμμα APS, το οποίο λειτουργεί χωρίς εγκατάσταση. Η αρχή λειτουργίας του APS βασίζεται στην ακρόαση πολλών θυρών TCP και UDP που περιγράφονται στη βάση δεδομένων του και στην έκδοση μιας προκαθορισμένης ή τυχαίας απόκρισης τη στιγμή της σύνδεσης (Εικ. 4).

Ρύζι. 4. Κύριο παράθυρο του βοηθητικού προγράμματος APS

Το σχήμα δείχνει ένα στιγμιότυπο οθόνης που τραβήχτηκε κατά τη διάρκεια μιας πραγματικής ενεργοποίησης APS στο Smolenskenergo LAN. Όπως φαίνεται στο σχήμα, καταγράφηκε μια προσπάθεια σύνδεσης ενός από τους υπολογιστές-πελάτες στη θύρα 21. Η ανάλυση των πρωτοκόλλων έδειξε ότι οι προσπάθειες είναι περιοδικές και καταγράφονται από πολλές παγίδες στο δίκτυο, γεγονός που μας επιτρέπει να συμπεράνουμε ότι η Το δίκτυο σαρώνεται για να αναζητήσει και να χακάρει διακομιστές FTP μαντεύοντας κωδικούς πρόσβασης. Το APS διατηρεί αρχεία καταγραφής και μπορεί να στείλει μηνύματα σε διαχειριστές με αναφορές καταχωρημένων συνδέσεων σε θύρες παρακολούθησης, κάτι που είναι βολικό για τον γρήγορο εντοπισμό σαρώσεων δικτύου.

Κατά τη δημιουργία ενός Honeypot, είναι επίσης χρήσιμο να εξοικειωθείτε με τους διαδικτυακούς πόρους σχετικά με το θέμα, ιδίως το http://www.honeynet.org/. Στην ενότητα Εργαλεία αυτού του ιστότοπου (http://www.honeynet.org/tools/index.html) μπορείτε να βρείτε μια σειρά από εργαλεία για την καταγραφή και την ανάλυση επιθέσεων.

Απομακρυσμένη αφαίρεση κακόβουλου λογισμικού

Στην ιδανική περίπτωση, μετά την ανίχνευση δειγμάτων κακόβουλου λογισμικού, ο διαχειριστής τα στέλνει στο εργαστήριο προστασίας από ιούς, όπου μελετώνται αμέσως από τους αναλυτές και οι αντίστοιχες υπογραφές προστίθενται στη βάση δεδομένων προστασίας από ιούς. Αυτές οι υπογραφές μέσω αυτόματη ενημέρωσημεταβείτε στον υπολογιστή του χρήστη και το antivirus αφαιρεί αυτόματα κακόβουλο λογισμικό χωρίς παρέμβαση διαχειριστή. Ωστόσο, αυτή η αλυσίδα δεν λειτουργεί πάντα όπως αναμένεται· ειδικότερα, είναι πιθανοί οι ακόλουθοι λόγοι αποτυχίας:

  • Για διάφορους λόγους ανεξάρτητους από τον διαχειριστή του δικτύου, οι εικόνες ενδέχεται να μην φτάσουν στο εργαστήριο προστασίας από ιούς.
  • ανεπαρκής απόδοση του εργαστηρίου κατά των ιών - ιδανικά, δεν χρειάζονται περισσότερες από 1-2 ώρες για τη μελέτη δειγμάτων και την εισαγωγή τους στη βάση δεδομένων, πράγμα που σημαίνει ότι οι ενημερωμένες βάσεις δεδομένων υπογραφών μπορούν να ληφθούν εντός μιας εργάσιμης ημέρας. Ωστόσο, δεν λειτουργούν όλα τα εργαστήρια προστασίας από ιούς τόσο γρήγορα και μπορείτε να περιμένετε αρκετές ημέρες για ενημερώσεις (σε σπάνιες περιπτώσεις, ακόμη και εβδομάδες).
  • υψηλή απόδοση του antivirus - ένας αριθμός κακόβουλων προγραμμάτων, μετά την ενεργοποίηση, καταστρέφει τα antivirus ή με άλλο τρόπο διακόπτει τη λειτουργία τους. Τα κλασικά παραδείγματα περιλαμβάνουν την πραγματοποίηση καταχωρήσεων στο αρχείο hosts που μπλοκάρουν κανονική δουλειάσυστήματα αυτόματης ενημέρωσης antivirus, διαγραφή διαδικασιών, υπηρεσιών και προγραμμάτων οδήγησης προστασίας από ιούς, ζημιά στις ρυθμίσεις τους κ.λπ.

Επομένως, στις παραπάνω περιπτώσεις, θα πρέπει να αντιμετωπίσετε το κακόβουλο λογισμικό χειροκίνητα. Στις περισσότερες περιπτώσεις, αυτό δεν είναι δύσκολο, καθώς τα αποτελέσματα της εξέτασης υπολογιστή αποκαλύπτουν τους μολυσμένους υπολογιστές, καθώς και τα πλήρη ονόματα των αρχείων κακόβουλου λογισμικού. Το μόνο που μένει είναι να τα αφαιρέσετε εξ αποστάσεως. Εάν το κακόβουλο πρόγραμμα δεν προστατεύεται από διαγραφή, τότε μπορεί να καταστραφεί χρησιμοποιώντας την ακόλουθη δέσμη ενεργειών AVZ:

// Διαγραφή αρχείου

DeleteFile('όνομα αρχείου');

ExecuteSysClean;

Αυτό το σενάριο διαγράφει ένα καθορισμένο αρχείο (ή πολλά αρχεία, καθώς μπορεί να υπάρχει απεριόριστος αριθμός εντολών DeleteFile σε ένα σενάριο) και στη συνέχεια καθαρίζει αυτόματα το μητρώο. Σε μια πιο περίπλοκη περίπτωση, το κακόβουλο λογισμικό μπορεί να προστατευτεί από τη διαγραφή του (για παράδειγμα, δημιουργώντας εκ νέου τα αρχεία και τα κλειδιά μητρώου του) ή να μεταμφιεστεί χρησιμοποιώντας την τεχνολογία rootkit. Σε αυτήν την περίπτωση, το σενάριο γίνεται πιο περίπλοκο και θα μοιάζει με αυτό:

// Anti-rootkit

SearchRootkit(true, true);

// Έλεγχος AVZGuard

SetAVZGuardStatus(true);

// Διαγραφή αρχείου

DeleteFile('όνομα αρχείου');

// Ενεργοποίηση καταγραφής BootCleaner

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Εισαγάγετε στην εργασία BootCleaner μια λίστα αρχείων που έχουν διαγραφεί από το σενάριο

BC_ImportDeletedList;

// Ενεργοποίηση BootCleaner

// Καθαρισμός ευρετικού συστήματος

ExecuteSysClean;

RebootWindows(true);

Αυτό το σενάριο περιλαμβάνει την ενεργή αντιμετώπιση των rootkit, τη χρήση του συστήματος AVZGuard (αυτό είναι ένα πρόγραμμα αποκλεισμού δραστηριότητας κακόβουλου λογισμικού) και το σύστημα BootCleaner. Το BootCleaner είναι ένα πρόγραμμα οδήγησης που αφαιρεί καθορισμένα αντικείμενα από το KernelMode κατά την επανεκκίνηση, σε πρώιμο στάδιο της εκκίνησης του συστήματος. Η πρακτική δείχνει ότι ένα τέτοιο σενάριο είναι σε θέση να καταστρέψει τη συντριπτική πλειοψηφία του υπάρχοντος κακόβουλου λογισμικού. Η εξαίρεση είναι κακόβουλο λογισμικό που αλλάζει τα ονόματα των εκτελέσιμων αρχείων του με κάθε επανεκκίνηση - σε αυτήν την περίπτωση, τα αρχεία που ανακαλύφθηκαν κατά τη σάρωση του συστήματος μπορούν να μετονομαστούν. Σε αυτήν την περίπτωση, θα χρειαστεί να απολυμάνετε τον υπολογιστή σας με μη αυτόματο τρόπο ή να δημιουργήσετε τις δικές σας υπογραφές κακόβουλου λογισμικού (ένα παράδειγμα σεναρίου που υλοποιεί μια αναζήτηση υπογραφών περιγράφεται στη βοήθεια του AVZ).

συμπέρασμα

Σε αυτό το άρθρο, εξετάσαμε μερικές πρακτικές τεχνικές για την καταπολέμηση μιας επιδημίας LAN με μη αυτόματο τρόπο, χωρίς τη χρήση προϊόντων προστασίας από ιούς. Οι περισσότερες από τις περιγραφόμενες τεχνικές μπορούν επίσης να χρησιμοποιηθούν για την αναζήτηση ξένων υπολογιστών και σελιδοδεικτών Trojan σε υπολογιστές χρηστών. Εάν αντιμετωπίζετε δυσκολίες στην εύρεση κακόβουλου λογισμικού ή στη δημιουργία σεναρίων θεραπείας, ο διαχειριστής μπορεί να χρησιμοποιήσει την ενότητα "Βοήθεια" του φόρουμ http://virusinfo.info ή την ενότητα "Καταπολέμηση ιών" του φόρουμ http://forum.kaspersky.com /index.php?showforum= 18. Η μελέτη των πρωτοκόλλων και η βοήθεια στη θεραπεία πραγματοποιούνται και στα δύο φόρουμ δωρεάν, η ανάλυση του υπολογιστή πραγματοποιείται σύμφωνα με τα πρωτόκολλα AVZ και στις περισσότερες περιπτώσεις η θεραπεία καταλήγει στην εκτέλεση ενός σεναρίου AVZ σε μολυσμένους υπολογιστές, που έχει καταρτιστεί από έμπειρους ειδικούς από αυτά τα φόρουμ .

Τα οποία αναγκάζονται να περιμένουν τη δημιουργία ενός φυσικού αρχείου στον υπολογιστή του χρήστη, η προστασία δικτύου αρχίζει να αναλύει τις εισερχόμενες ροές δεδομένων που εισέρχονται στον υπολογιστή του χρήστη μέσω του δικτύου και αποκλείει τις απειλές πριν εισέλθουν στο σύστημα.

Οι κύριοι τομείς προστασίας δικτύου που παρέχονται από τις τεχνολογίες της Symantec είναι:

Drive-by λήψεις, διαδικτυακές επιθέσεις.
- Επιθέσεις «Social Engineering»: FakeAV (ψεύτικα antivirus) και κωδικοποιητές.
- Επιθέσεις μέσω μεσα ΚΟΙΝΩΝΙΚΗΣ ΔΙΚΤΥΩΣΗΣόπως το Facebook?
- Ανίχνευση κακόβουλου λογισμικού, rootkits και συστημάτων που έχουν μολυνθεί με bots.
- Προστασία από προηγμένες απειλές.
- Απειλές μηδενικής ημέρας.
- Προστασία από ευπάθειες λογισμικού που δεν έχουν επιδιορθωθεί.
- Προστασία από κακόβουλους τομείς και διευθύνσεις IP.

Τεχνολογίες Προστασίας Δικτύων

Το επίπεδο «Προστασία Δικτύου» περιλαμβάνει 3 διαφορετικές τεχνολογίες.

Λύση αποτροπής εισβολής δικτύου (Network IPS)

Η τεχνολογία IPS δικτύου κατανοεί και σαρώνει πάνω από 200 διαφορετικά πρωτόκολλα. Κόβει έξυπνα και με ακρίβεια τα δυαδικά και πρωτόκολλο δικτύου, αναζητώντας ταυτόχρονα σημάδια κακόβουλης κυκλοφορίας. Αυτή η ευφυΐα επιτρέπει την ακριβέστερη σάρωση δικτύου ενώ εξακολουθεί να παρέχει αξιόπιστη προστασία. Στην «καρδιά» του βρίσκεται μια μηχανή αποκλεισμού εκμετάλλευσης που παρέχει ανοιχτά τρωτά σημεία με σχεδόν αδιαπέραστη προστασία. Ένα μοναδικό χαρακτηριστικό του Symantec IPS είναι ότι αυτό το στοιχείο δεν απαιτεί καμία ρύθμιση παραμέτρων. Όλες οι λειτουργίες του λειτουργούν, όπως λένε, "out of the box". Κάθε καταναλωτικό προϊόν Norton και κάθε προϊόν Symantec Endpoint Protection έκδοση 12.1 και νεότερη, έχει αυτή την κρίσιμη τεχνολογία ενεργοποιημένη από προεπιλογή.

Προστασία προγράμματος περιήγησης

Αυτή η μηχανή ασφαλείας βρίσκεται μέσα στο πρόγραμμα περιήγησης. Είναι σε θέση να ανιχνεύσει τις πιο σύνθετες απειλές που ούτε το παραδοσιακό πρόγραμμα προστασίας από ιούς ούτε το δίκτυο IPS μπορούν να ανιχνεύσουν. Σήμερα, πολλές επιθέσεις δικτύου χρησιμοποιούν τεχνικές συσκότισης για να αποφύγουν τον εντοπισμό. Επειδή η Προστασία προγράμματος περιήγησης εκτελείται μέσα στο πρόγραμμα περιήγησης, είναι σε θέση να εξετάσει τον κώδικα που δεν είναι ακόμη κρυμμένος (συσκοτισμένος) καθώς εκτελείται. Αυτό σας επιτρέπει να ανιχνεύσετε και να αποκλείσετε μια επίθεση εάν χάθηκε σε χαμηλότερα επίπεδα προστασίας του προγράμματος.

Προστασία μη εξουσιοδοτημένης λήψης (UXP)

Εντός του επιπέδου άμυνας δικτύου, η τελευταία γραμμή άμυνας βοηθά στην κάλυψη και τον μετριασμό των επιπτώσεων άγνωστων και μη επιδιορθωμένων τρωτών σημείων, χωρίς τη χρήση υπογραφών. Αυτό παρέχει ένα επιπλέον επίπεδο προστασίας από επιθέσεις Zero Day.

Εστιάζοντας στα προβλήματα

Σε συνεργασία, οι τεχνολογίες ασφάλειας δικτύου επιλύουν τα ακόλουθα προβλήματα.

Drive-by λήψεις και κιτ διαδικτυακών επιθέσεων

Χρησιμοποιώντας τεχνολογία δικτύου IPS, Προστασία προγράμματος περιήγησης και UXP, οι τεχνολογίες προστασίας δικτύου της Symantec αποκλείουν τις λήψεις Drive-by και ουσιαστικά εμποδίζουν το κακόβουλο λογισμικό να φτάσει ακόμη και στο σύστημα του χρήστη. Εφαρμόζονται διάφορες προληπτικές μέθοδοι που περιλαμβάνουν τη χρήση των ίδιων τεχνολογιών, συμπεριλαμβανομένης της τεχνολογίας Generic Exploit Blocking και των εργαλείων ανίχνευσης επιθέσεων στο διαδίκτυο. Ένα γενικό εργαλείο ανίχνευσης διαδικτυακών επιθέσεων αναλύει τα χαρακτηριστικά μιας κοινής διαδικτυακής επίθεσης, ανεξάρτητα από τη συγκεκριμένη ευπάθεια που στοχεύει η επίθεση. Αυτό σας επιτρέπει να παρέχετε πρόσθετη προστασία για νέα και άγνωστα τρωτά σημεία. Το καλύτερο πράγμα σχετικά με αυτόν τον τύπο προστασίας είναι ότι εάν ένα κακόβουλο αρχείο μολύνει "σιωπηλά" ένα σύστημα, θα εξακολουθούσε να διακόπτεται προληπτικά και να αφαιρείται από το σύστημα: αυτή είναι ακριβώς η συμπεριφορά που συνήθως χάνουν τα παραδοσιακά προϊόντα προστασίας από ιούς. Ωστόσο, η Symantec συνεχίζει να αποκλείει δεκάδες εκατομμύρια παραλλαγές κακόβουλου λογισμικού που συνήθως δεν μπορούν να εντοπιστούν με άλλα μέσα.

Επιθέσεις Κοινωνικής Μηχανικής

Επειδή η τεχνολογία της Symantec παρακολουθεί την κυκλοφορία του δικτύου και του προγράμματος περιήγησης καθώς ταξιδεύει, εντοπίζει επιθέσεις «Κοινωνικής Μηχανικής», όπως FakeAV ή ψεύτικους κωδικοποιητές. Οι τεχνολογίες έχουν σχεδιαστεί για να εμποδίζουν τέτοιες επιθέσεις πριν εμφανιστούν στην οθόνη του χρήστη. Οι περισσότερες άλλες ανταγωνιστικές λύσεις δεν περιλαμβάνουν αυτήν την ισχυρή δυνατότητα.

Η Symantec μπλοκάρει εκατοντάδες εκατομμύρια από αυτούς τους τύπους επιθέσεων με την ηλεκτρονική τεχνολογία προστασίας από απειλές.

Επιθέσεις που στοχεύουν εφαρμογές κοινωνικής δικτύωσης

Οι εφαρμογές μέσων κοινωνικής δικτύωσης έχουν γίνει πρόσφατα ευρέως δημοφιλείς καθώς σας επιτρέπουν να μοιράζεστε άμεσα διάφορα μηνύματα, ενδιαφέροντα βίντεο και πληροφορίες με χιλιάδες φίλους και χρήστες. Η ευρεία διανομή και οι δυνατότητες τέτοιων προγραμμάτων τα καθιστούν τον Νο. 1 στόχο για τους χάκερ. Μερικά κοινά κόλπα χάκερ περιλαμβάνουν τη δημιουργία ψεύτικων λογαριασμών και την αποστολή ανεπιθύμητων μηνυμάτων.

Η τεχνολογία IPS της Symantec μπορεί να προστατεύσει από αυτούς τους τύπους μεθόδων εξαπάτησης, συχνά αποτρέποντάς τις πριν καν ο χρήστης κάνει κλικ πάνω τους. Η Symantec σταματά τα δόλια και πλαστά URL, εφαρμογές και άλλες τεχνικές εξαπάτησης με την ηλεκτρονική τεχνολογία προστασίας από απειλές.

Ανίχνευση κακόβουλου λογισμικού, rootkits και συστημάτων που έχουν μολυνθεί από bot

Δεν θα ήταν ωραίο να γνωρίζουμε ακριβώς πού στο δίκτυο βρίσκεται ο μολυσμένος υπολογιστής; Οι λύσεις IPS της Symantec παρέχουν αυτή τη δυνατότητα, συμπεριλαμβανομένης της ανίχνευσης και ανάκτησης απειλών που μπορεί να έχουν αποφύγει άλλα επίπεδα προστασίας. Οι λύσεις της Symantec εντοπίζουν κακόβουλο λογισμικό και ρομπότ που προσπαθούν να δημιουργήσουν αυτόματα τηλεφωνητές ή να πραγματοποιήσουν λήψη «ενημερώσεων» για να αυξήσουν τη δραστηριότητά τους στο σύστημα. Αυτό επιτρέπει στους διαχειριστές IT, οι οποίοι έχουν μια σαφή λίστα συστημάτων προς επανεξέταση, να έχουν διαβεβαίωση ότι η επιχείρησή τους είναι ασφαλής. Οι πολυμορφικές και σύνθετες stealth απειλές που χρησιμοποιούν τεχνικές rootkit όπως το Tidserv, το ZeroAccess, το Koobface και το Zbot μπορούν να σταματήσουν και να αφαιρεθούν χρησιμοποιώντας αυτήν τη μέθοδο.

Προστασία από συγκεχυμένες απειλές

Οι σημερινές διαδικτυακές επιθέσεις χρησιμοποιούν πολύπλοκες τεχνικές για να αυξήσουν την πολυπλοκότητα των επιθέσεων τους. Η Προστασία προγράμματος περιήγησης της Symantec βρίσκεται μέσα στο πρόγραμμα περιήγησης και μπορεί να ανιχνεύσει πολύ περίπλοκες απειλές που συχνά δεν μπορούν να εντοπίσουν οι παραδοσιακές μέθοδοι.

Απειλές μηδενικής ημέρας και μη επιδιορθωμένα τρωτά σημεία

Μία από τις προηγούμενες προσθήκες ασφαλείας που έχει προσθέσει η εταιρεία είναι ένα επιπλέον επίπεδο προστασίας από απειλές μηδενικής ημέρας και μη επιδιορθωμένα τρωτά σημεία. Χρησιμοποιώντας προστασία χωρίς υπογραφή, το πρόγραμμα παρεμποδίζει τις κλήσεις API συστήματος και προστατεύει από λήψεις κακόβουλου λογισμικού. Αυτή η τεχνολογία ονομάζεται Un-Authorized Download Protection (UXP). Είναι η τελευταία γραμμή υποστήριξης εντός του οικοσυστήματος προστασίας από απειλές δικτύου. Αυτό επιτρέπει στο προϊόν να «καλύπτει» άγνωστα και μη επιδιορθωμένα τρωτά σημεία χωρίς τη χρήση υπογραφών. Αυτή η τεχνολογία είναι ενεργοποιημένη από προεπιλογή και έχει βρεθεί σε κάθε προϊόν που κυκλοφόρησε από το ντεμπούτο του Norton 2010.

Προστασία από ευπάθειες λογισμικού που δεν έχουν επιδιορθωθεί

Τα κακόβουλα προγράμματα εγκαθίστανται συχνά εν αγνοία του χρήστη, χρησιμοποιώντας τρωτά σημεία στο λογισμικό. Η ασφάλεια δικτύου Symantec παρέχει ένα πρόσθετο επίπεδο προστασίας που ονομάζεται Generic Exploit Blocking (GEB). Ανεξάρτητα από το αν Τελευταίες ενημερώσειςή όχι, η GEB «κυρίως» προστατεύει τις υποκείμενες ευπάθειες από την εκμετάλλευση. Ευπάθειες στο Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, τα στοιχεία ελέγχου ActiveX ή το QuickTime είναι πλέον πανταχού παρόντα. Η Generic Exploit Protection δημιουργήθηκε με "αντίστροφη μηχανική" με τον τρόπο με τον οποίο θα μπορούσε να γίνει εκμετάλλευση της ευπάθειας στο δίκτυο, παρέχοντας παράλληλα μια ειδική ενημέρωση κώδικα για επίπεδο δικτύου. Ένα μόνο GEB, ή υπογραφή ευπάθειας, μπορεί να παρέχει προστασία από χιλιάδες παραλλαγές κακόβουλου λογισμικού, νέες και άγνωστες.

Κακόβουλες διευθύνσεις IP και αποκλεισμός τομέα

Η προστασία δικτύου της Symantec περιλαμβάνει επίσης τη δυνατότητα αποκλεισμού κακόβουλων τομέων και διευθύνσεων IP, ενώ ταυτόχρονα διακόπτεται το κακόβουλο λογισμικό και η κυκλοφορία από γνωστούς κακόβουλους ιστότοπους. Μέσω της αυστηρής ανάλυσης και ενημέρωσης ιστότοπων του STAR, η Symantec παρέχει προστασία σε πραγματικό χρόνο από διαρκώς μεταβαλλόμενες απειλές.

Βελτιωμένη αντίσταση αποφυγής

Έχει προστεθεί υποστήριξη για πρόσθετες κωδικοποιήσεις για τη βελτίωση της αποτελεσματικότητας της ανίχνευσης επιθέσεων χρησιμοποιώντας τεχνικές κρυπτογράφησης όπως το base64 και το gzip.

Ανίχνευση ελέγχου δικτύου για την επιβολή πολιτικών χρήσης και τον εντοπισμό διαρροής δεδομένων

Το IPS δικτύου μπορεί να χρησιμοποιηθεί για τον εντοπισμό εφαρμογών και εργαλείων που ενδέχεται να παραβιάζουν τις εταιρικές πολιτικές χρήσης ή για την αποτροπή διαρροής δεδομένων σε όλο το δίκτυο. Είναι δυνατός ο εντοπισμός, η προειδοποίηση ή η αποτροπή επισκεψιμότητας όπως IM, P2P, μέσα κοινωνικής δικτύωσης ή άλλοι «ενδιαφέροντες» τύποι επισκεψιμότητας.

Πρωτόκολλο επικοινωνίας STAR Intelligence

Η τεχνολογία ασφάλειας δικτύου δεν λειτουργεί από μόνη της. Ο κινητήρας επικοινωνεί με άλλες υπηρεσίες ασφαλείας χρησιμοποιώντας το πρωτόκολλο STAR Intelligence Communication (STAR ​​ICB). Ο κινητήρας Network IPS συνδέεται με τον κινητήρα Symantec Sonar και, στη συνέχεια, με τον κινητήρα Insight Reputation. Αυτό σας επιτρέπει να παρέχετε πιο ενημερωτική και ακριβή προστασία.

Στο επόμενο άρθρο θα δούμε το επίπεδο του Αναλυτή Συμπεριφοράς.

Βασισμένο σε υλικά της Symantec

Ένα πρόγραμμα προστασίας από ιούς πρέπει να είναι εγκατεστημένο σε κάθε υπολογιστή με Windows. Για πολύ καιρό αυτό θεωρούνταν ο χρυσός κανόνας, αλλά σήμερα οι ειδικοί σε θέματα ασφάλειας IT συζητούν την αποτελεσματικότητα του λογισμικού ασφαλείας. Οι επικριτές υποστηρίζουν ότι τα antivirus δεν προστατεύουν πάντα, και μερικές φορές ακόμη και το αντίθετο - λόγω απρόσεκτης εφαρμογής, μπορούν να δημιουργήσουν κενά στην ασφάλεια του συστήματος. Οι προγραμματιστές τέτοιων λύσεων κάνουν αντίθεση αυτή τη γνώμηεντυπωσιακοί αριθμοί μπλοκαρισμένων επιθέσεων και τα τμήματα μάρκετινγκ συνεχίζουν να ορκίζονται στην ολοκληρωμένη προστασία που παρέχουν τα προϊόντα τους.

Η αλήθεια βρίσκεται κάπου στη μέση. Τα antivirus δεν λειτουργούν άψογα, αλλά όλα αυτά δεν μπορούν να χαρακτηριστούν άχρηστα. Προειδοποιούν για μια ποικιλία απειλών, αλλά δεν επαρκούν για να διατηρήσουν τα Windows όσο το δυνατόν πιο προστατευμένα. Για εσάς ως χρήστη, αυτό σημαίνει το εξής: μπορείτε είτε να πετάξετε το antivirus στα σκουπίδια είτε να το εμπιστευτείτε τυφλά. Αλλά με τον ένα ή τον άλλο τρόπο, είναι μόνο ένα από τα μπλοκ (αν και μεγάλο) στη στρατηγική ασφάλειας. Θα σας παρέχουμε άλλα εννέα από αυτά τα «τούβλα».

Απειλή ασφαλείας: Antivirus

> Τι λένε οι επικριτές Η τρέχουσα διαμάχη σχετικά με τους σαρωτές ιών πυροδοτήθηκε από τον πρώην προγραμματιστή του Firefox, Robert O'Callaghan. Υποστηρίζει: τα antivirus απειλούν την ασφάλεια των Windows και πρέπει να αφαιρεθούν. Η μόνη εξαίρεση είναι το Windows Defender της Microsoft.

> Τι λένε οι προγραμματιστές Δημιουργοί antivirus, συμπεριλαμβανομένων Kaspersky Lab, ως επιχείρημα αναφέρουν εντυπωσιακά νούμερα. Έτσι, το 2016, λογισμικό από αυτό το εργαστήριο κατέγραψε και απέτρεψε περίπου 760 εκατομμύρια διαδικτυακές επιθέσεις σε υπολογιστές χρηστών.

> Τι πιστεύει το CHIP Τα Antivirus δεν πρέπει να θεωρούνται ούτε λείψανο ούτε πανάκεια. Είναι απλώς ένα τούβλο στο κτίριο της ασφάλειας. Συνιστούμε τη χρήση συμπαγών antivirus. Αλλά μην ανησυχείτε πολύ: το Windows Defender είναι μια χαρά. Μπορείτε ακόμη να χρησιμοποιήσετε απλούς σαρωτές τρίτων κατασκευαστών.

Επιλέξτε το σωστό antivirus

Είμαστε, όπως και πριν, πεπεισμένοι ότι τα Windows είναι αδιανόητα χωρίς προστασία από ιούς. Χρειάζεται μόνο να επιλέξετε το σωστό προϊόν. Για τους χρήστες Tens, αυτό θα μπορούσε να είναι ακόμη και το ενσωματωμένο Windows Defender. Παρά το γεγονός ότι κατά τις δοκιμές μας δεν έδειξε τον καλύτερο βαθμό αναγνώρισης, είναι άψογα ενσωματωμένο στο σύστημα και, κυρίως, χωρίς προβλήματα ασφαλείας. Επιπλέον, η Microsoft βελτίωσε το προϊόν της στο Creators Update για Windows 10 και απλοποίησε τη διαχείρισή του.

Τα πακέτα προστασίας από ιούς από άλλους προγραμματιστές έχουν συχνά υψηλότερο ποσοστό αναγνώρισης από το Defender. Υποστηρίζουμε μια συμπαγή λύση. Ο ηγέτης της βαθμολογίας μας στο αυτή τη στιγμήείναι η Kaspersky διαδικτυακή ασφάλεια 2017. Όσοι μπορούν να αρνηθούν τέτοιες πρόσθετες επιλογές όπως γονικός έλεγχοςκαι ο διαχειριστής κωδικών πρόσβασης, θα πρέπει να στρέψουν την προσοχή τους σε μια πιο φιλική προς τον προϋπολογισμό επιλογή από την Kaspersky Lab.

Ακολουθήστε τις ενημερώσεις

Αν έπρεπε να επιλέξουμε μόνο ένα μέτρο για να διατηρήσουμε τα Windows ασφαλή, σίγουρα θα πηγαίναμε με ενημερώσεις. Σε αυτή την περίπτωση, φυσικά, μιλάμε πρωτίστως για ενημερώσεις για Windows, αλλά όχι μόνο. Το εγκατεστημένο λογισμικό, συμπεριλαμβανομένων των Office, Firefox και iTunes, θα πρέπει επίσης να ενημερώνεται τακτικά. Στα Windows, η λήψη ενημερώσεων συστήματος είναι σχετικά εύκολη. Τόσο στο "seven" και στο "ten", οι ενημερώσεις κώδικα εγκαθίστανται αυτόματα χρησιμοποιώντας τις προεπιλεγμένες ρυθμίσεις.

Στην περίπτωση των προγραμμάτων, η κατάσταση γίνεται πιο δύσκολη, αφού δεν είναι όλα τόσο εύκολα στην ενημέρωση όσο ο Firefox και ο Chrome, που διαθέτουν ενσωματωμένη λειτουργία αυτόματης ενημέρωσης. Το βοηθητικό πρόγραμμα SUMo (Software Update Monitor) θα σας υποστηρίξει στην επίλυση αυτής της εργασίας και θα σας ειδοποιήσει για τη διαθεσιμότητα ενημερώσεων. Ένα σχετικό πρόγραμμα, το DUMo (Driver Update Monitor), θα κάνει την ίδια δουλειά για τους οδηγούς. Και οι δύο δωρεάν βοηθοί, ωστόσο, σας ενημερώνουν μόνο για νέες εκδόσεις - θα πρέπει να τις κατεβάσετε και να τις εγκαταστήσετε μόνοι σας.

Ρυθμίστε ένα τείχος προστασίας

Το ενσωματωμένο τείχος προστασίας στα Windows κάνει καλά τη δουλειά του και αποκλείει αξιόπιστα όλα τα εισερχόμενα αιτήματα. Ωστόσο, είναι ικανό για περισσότερα - οι δυνατότητές του δεν περιορίζονται από την προεπιλεγμένη διαμόρφωση: όλα εγκατεστημένα προγράμματαέχουν το δικαίωμα να ανοίγουν θύρες στο τείχος προστασίας χωρίς να ρωτούν. Το δωρεάν βοηθητικό πρόγραμμα ελέγχου τείχους προστασίας των Windows θα σας δώσει περισσότερα χαρακτηριστικά.

Εκκινήστε το και στο μενού "Προφίλ" ορίστε το φίλτρο σε "Μεσαίο Φιλτράρισμα". Χάρη σε αυτό, το τείχος προστασίας θα ελέγχει επίσης την εξερχόμενη κυκλοφορία σύμφωνα με ένα δεδομένο σύνολο κανόνων. Εσείς αποφασίζετε μόνοι σας ποια μέτρα θα συμπεριληφθούν. Για να το κάνετε αυτό, στην κάτω αριστερή γωνία της οθόνης του προγράμματος, κάντε κλικ στο εικονίδιο σημείωσης. Με αυτόν τον τρόπο μπορείτε να δείτε τους κανόνες και να εκχωρήσετε άδεια με ένα κλικ ξεχωριστό πρόγραμμαή να το μπλοκάρει.

Χρησιμοποιήστε ειδική προστασία

Ενημερώσεις, προστασία από ιούς και τείχος προστασίας - έχετε ήδη φροντίσει για αυτήν τη μεγάλη τριάδα μέτρων ασφαλείας. Είναι ώρα λεπτό συντονισμό. Το πρόβλημα με τα πρόσθετα προγράμματα για Windows είναι συχνά ότι δεν εκμεταλλεύονται όλες τις δυνατότητες ασφαλείας που προσφέρει το σύστημα. Ένα βοηθητικό πρόγραμμα anti-exploit όπως το EMET (Enhanced Mitigation Experience Toolkit) ενισχύει περαιτέρω το εγκατεστημένο λογισμικό. Για να το κάνετε αυτό, κάντε κλικ στο «Χρήση προτεινόμενων ρυθμίσεων» και αφήστε το πρόγραμμα να εκτελεστεί αυτόματα.

Ενίσχυση της κρυπτογράφησης

Μπορείτε να βελτιώσετε σημαντικά την προστασία των προσωπικών δεδομένων κρυπτογραφώντας τα. Ακόμα κι αν οι πληροφορίες σας πέσουν σε λάθος χέρια, ένας χάκερ δεν θα μπορέσει να αφαιρέσει την καλή κωδικοποίηση, τουλάχιστον όχι αμέσως. Σε επαγγελματικό εκδόσεις WindowsΤο βοηθητικό πρόγραμμα BitLocker παρέχεται ήδη, διαμορφωμένο μέσω του Πίνακα Ελέγχου.

Το VeraCrypt θα είναι μια εναλλακτική λύση για όλους τους χρήστες. Αυτό το πρόγραμμα ανοιχτού κώδικα είναι ο ανεπίσημος διάδοχος του TrueCrypt, το οποίο διακόπηκε πριν από μερικά χρόνια. Αν μιλάμε γιαΜόνο για την προστασία των προσωπικών πληροφοριών, μπορείτε να δημιουργήσετε ένα κρυπτογραφημένο κοντέινερ μέσω του στοιχείου "Δημιουργία τόμου". Επιλέξτε την επιλογή «Δημιουργία κοντέινερ κρυπτογραφημένου αρχείου» και ακολουθήστε τις οδηγίες του Οδηγού. Η πρόσβαση στο έτοιμο χρηματοκιβώτιο δεδομένων γίνεται μέσω της Εξερεύνησης των Windows, ακριβώς όπως ένας κανονικός δίσκος.

Προστατέψτε τους λογαριασμούς χρηστών

Πολλά τρωτά σημεία παραμένουν ανεκμετάλλευτα από τους χάκερ απλώς και μόνο επειδή η εργασία στον υπολογιστή πραγματοποιείται υπό έναν τυπικό λογαριασμό με περιορισμένα δικαιώματα. Έτσι, για τις καθημερινές εργασίες θα πρέπει επίσης να ρυθμίσετε ένα τέτοιο λογαριασμός. Στα Windows 7, αυτό γίνεται μέσω του Πίνακα Ελέγχου και του στοιχείου «Προσθήκη και κατάργηση λογαριασμών χρηστών». Στην "πρώτη δεκάδα", κάντε κλικ στις "Ρυθμίσεις" και "Λογαριασμοί" και, στη συνέχεια, επιλέξτε "Οικογένεια και άλλα άτομα".

Ενεργοποίηση VPN εκτός σπιτιού

Στο σπίτι μέσα ασύρματο δίκτυοΤο επίπεδο ασφάλειάς σας είναι υψηλό επειδή ελέγχετε ποιος έχει πρόσβαση στο τοπικό δίκτυο και είναι υπεύθυνος για την κρυπτογράφηση και τους κωδικούς πρόσβασης. Όλα είναι διαφορετικά στην περίπτωση των hotspot, για παράδειγμα,
σε ξενοδοχεία. Εδώ το Wi-Fi διανέμεται μεταξύ τρίτων χρηστών και δεν μπορείτε να επηρεάσετε την ασφάλεια της πρόσβασης στο δίκτυο. Για προστασία, συνιστούμε τη χρήση ενός VPN (Virtual Private Network). Εάν χρειάζεται απλώς να περιηγηθείτε σε ιστότοπους μέσω ενός σημείου πρόσβασης, το ενσωματωμένο VPN τελευταία έκδοσηΠρόγραμμα περιήγησης Opera. Εγκαταστήστε το πρόγραμμα περιήγησης και στις "Ρυθμίσεις" κάντε κλικ στο "Ασφάλεια". Στην ενότητα "VPN", επιλέξτε το πλαίσιο "Ενεργοποίηση VPN".

Κόψτε τις αχρησιμοποίητες ασύρματες συνδέσεις


Εντάξει

Ακόμη και οι λεπτομέρειες μπορούν να καθορίσουν την έκβαση μιας κατάστασης. Εάν δεν χρησιμοποιείτε συνδέσεις όπως Wi-Fi και Bluetooth, απλώς απενεργοποιήστε τις για να κλείσετε πιθανά κενά. Στα Windows 10, ο ευκολότερος τρόπος για να το κάνετε αυτό είναι μέσω του Κέντρου ενεργειών. Το "Seven" προσφέρει την ενότητα "Συνδέσεις δικτύου" στον Πίνακα Ελέγχου για αυτόν τον σκοπό.

Διαχείριση κωδικών πρόσβασης

Κάθε κωδικός πρόσβασης πρέπει να χρησιμοποιείται μόνο μία φορά και πρέπει να περιέχει ειδικούς χαρακτήρες, αριθμούς, κεφαλαία και πεζά γράμματα. Και επίσης να είναι όσο το δυνατόν μεγαλύτερος - κατά προτίμηση δέκα ή περισσότεροι χαρακτήρες. Η αρχή της ασφάλειας του κωδικού πρόσβασης έχει φτάσει στα όριά της σήμερα επειδή οι χρήστες πρέπει να θυμούνται πάρα πολλά. Επομένως, όπου είναι δυνατόν, αυτή η προστασία θα πρέπει να αντικαθίσταται από άλλες μεθόδους. Πάρτε για παράδειγμα τη σύνδεση στα Windows: Εάν έχετε μια κάμερα που υποστηρίζει το Windows Hello, χρησιμοποιήστε την αναγνώριση προσώπου για να συνδεθείτε. Για άλλους κωδικούς, συνιστούμε να χρησιμοποιείτε διαχειριστές κωδικών πρόσβασης, όπως το KeePass, οι οποίοι θα πρέπει να προστατεύονται με έναν ισχυρό κύριο κωδικό πρόσβασης.

Ασφαλίστε το απόρρητό σας στο πρόγραμμα περιήγησης

Υπάρχουν πολλοί τρόποι για να προστατεύσετε το απόρρητό σας στο διαδίκτυο. Η επέκταση Ρυθμίσεις απορρήτου είναι ιδανική για τον Firefox. Εγκαταστήστε το και ρυθμίστε το σε "Πλήρες απόρρητο". Μετά από αυτό, το πρόγραμμα περιήγησης δεν θα παρέχει καμία πληροφορία σχετικά με τη συμπεριφορά σας στο Διαδίκτυο.

Σωσίβιο: εφεδρικό

> Τα αντίγραφα ασφαλείας είναι εξαιρετικά σημαντικά Αντιγράφων ασφαλείαςδικαιολογεί
τον εαυτό σας όχι μόνο μετά τη μόλυνση με τον ιό. Λειτουργεί επίσης καλά όταν προκύπτουν προβλήματα με το υλικό. Η συμβουλή μας: δημιουργήστε ένα αντίγραφο όλων των Windows μία φορά και, στη συνέχεια, δημιουργήστε επιπλέον και τακτικά αντίγραφα ασφαλείας όλων των σημαντικών δεδομένων.

> Η πλήρης αρχειοθέτηση των Windows 10 κληρονομήθηκε από την ενότητα "επτά" της ενότητας "Αρχειοθέτηση και επαναφορά". Με αυτό θα δημιουργήσεις Αντίγραφο ασφαλείαςσυστήματα. Μπορείτε επίσης να χρησιμοποιήσετε ειδικές βοηθητικές υπηρεσίες, για παράδειγμα True Image ή Macrium Reflect.

> Η προστασία αρχείων True Image και η πληρωμένη έκδοση του Macrium Reflect μπορούν να δημιουργήσουν αντίγραφα ορισμένα αρχείακαι φακέλους. Δωρεάν εναλλακτικήγια αρχειοθέτηση σημαντικές πληροφορίεςθα γίνει το πρόγραμμα Personal Backup.

ΦΩΤΟΓΡΑΦΙΑ: κατασκευαστικές εταιρείες. NicoElNino/Fotolia.com

Πώς μπορείτε να προστατέψετε τον υπολογιστή σας από απομακρυσμένη πρόσβαση; Πώς να αποκλείσετε την πρόσβαση σε έναν υπολογιστή μέσω ενός προγράμματος περιήγησης;

Πώς να προστατέψετε τον υπολογιστή σας από απομακρυσμένη πρόσβαση, συνήθως σκέφτονται όταν κάτι έχει ήδη συμβεί. Αλλά φυσικά, αυτή είναι η λάθος απόφαση για ένα άτομο που ασχολείται τουλάχιστον με ορισμένες από τις δικές του δραστηριότητες. Και είναι σκόπιμο για όλους τους χρήστες να περιορίζουν την πρόσβαση στον υπολογιστή τους σε αγνώστους. Και σε αυτό το άρθρο δεν θα συζητήσουμε τη μέθοδο ορισμού κωδικού πρόσβασης για τη σύνδεση σε έναν υπολογιστή, αλλά θα εξετάσουμε μια επιλογή σχετικά με τον τρόπο άρνησης πρόσβασης σε έναν υπολογιστή από ένα τοπικό δίκτυο ή από άλλον υπολογιστή εάν είναι συνδεδεμένοι στον ίδιο δίκτυο. Αυτές οι πληροφορίες θα είναι ιδιαίτερα χρήσιμες για νέους χρήστες Η/Υ.

Και έτσι, μέσα λειτουργικό σύστημαΤα Windows διαθέτουν μια δυνατότητα που ονομάζεται "Απομακρυσμένη πρόσβαση". Και αν δεν είναι απενεργοποιημένο, άλλοι χρήστες μπορούν να επωφεληθούν από αυτό για να αποκτήσουν τον έλεγχο του υπολογιστή σας. Ακόμα κι αν είστε διευθυντής και πρέπει να παρακολουθείτε τους υπαλλήλους σας, τότε φυσικά χρειάζεστε πρόσβαση στον υπολογιστή τους, αλλά πρέπει να κλείσετε τον δικό σας έτσι ώστε αυτοί οι ίδιοι υπάλληλοι να μην βλέπουν την αλληλογραφία σας με τη γραμματέα σας - αυτό είναι γεμάτο. .

Μάρτιος 2020
Δευτ W Νυμφεύομαι Πέμ Παρ Σάβ Ήλιος
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

ΔΙΑΦΗΜΙΣΗ

    Ως συνήθως, προωθούνται διαδικτυακά έργα. Συνήθως, οι κειμενογράφοι SEO προσπαθούν να βάλουν όσο το δυνατόν περισσότερα στο κείμενο ερωτήματα αναζήτησης, κλίνοντάς τους να

    Η κατανόηση των βασικών αποχρώσεων που διακρίνουν τα ψεύτικα iPhone από τα πραγματικά προϊόντα θα σας βοηθήσει να εξοικονομήσετε χρήματα και να αποφύγετε τις αγορές από απρόσεκτους πωλητές. Για τι



Δημοφιλή στην κατηγορία:
Πώς να δημιουργήσετε ένα κλιπ καραόκε σε έναν υπολογιστή;
Πώς να δημιουργήσετε ένα κλιπ καραόκε σε έναν υπολογιστή;
ανάγνωση
Η εφαρμογή Origin απαιτείται για το παιχνίδι, αλλά δεν είναι εγκατεστημένη. Το FIFA 16 απαιτεί Origin.
Η εφαρμογή Origin απαιτείται για αναπαραγωγή, αλλά δεν είναι εγκατεστημένη FIFA...
ανάγνωση
Εγγραφή προσωπικής σελίδας στο κοινωνικό δίκτυο Facebook
Εγγραφή προσωπικής σελίδας στο κοινωνικό δίκτυο Facebook
ανάγνωση
Πώς να εκτελέσετε μια απλή σάρωση Nmap Nmap
Πώς να εκτελέσετε μια απλή σάρωση Nmap Nmap
ανάγνωση

πρόσφατα άρθρα
Πώς να περιστρέψετε μια εικόνα μερικές μοίρες...
ανάγνωση
Απενεργοποίηση διαφήμισης στο πρόγραμμα περιήγησης Yandex Πού...
ανάγνωση
Αντιμετώπιση προβλημάτων σύνδεσης Wi-Fi σε...
ανάγνωση
Αλλαγή κωδικού πρόσβασης στο προφίλ των Windows 10
ανάγνωση
Οδηγίες για τη ρύθμιση ασύρματων δρομολογητών...
ανάγνωση
Πώς να επιλέξετε έναν σκληρό δίσκο και ποιο είναι καλύτερο να αγοράσετε...
ανάγνωση
Meizu για ανδρείκελα. Κλήσεις και βιβλίο διευθύνσεων....
ανάγνωση
Κατεβάστε το πρόγραμμα PDFMaster
ανάγνωση
Μπλουζα