شناسایی و حفاظت از کامپیوتر از طریق شبکه حفاظت از شبکه برنامه ای برای محافظت از شبکه های کامپیوتری O Bad: آسیب پذیری منابع اداری مشترک

شناسایی و حفاظت از کامپیوتر از طریق شبکه حفاظت از شبکه برنامه ای برای محافظت از شبکه های کامپیوتری O Bad: آسیب پذیری منابع اداری مشترک

برخی از مردم تمام زندگی خود را صرف بهبود امنیت برای شرکت ها و افراد می کنند. و آنها بخش قابل توجهی از این زمان را صرف وصله سوراخ های ویندوز می کنند. سیستم ویندوز کانال اصلی برای بد افزار، که زامبی ها (ربات ها) را ایجاد می کنند، همانطور که در فصل 5 بحث شد، و این فقط نوک کوه یخ است. اگر منصف باشیم، محبوبیت گسترده ویندوز تا حد زیادی مقصر است، اما حفره های زیادی در ویندوز 7 وجود دارد که مشخص نیست که آیا کسی در مایکروسافت از آن ناراحت است یا خیر.

سه نوع اصلی تهدید وجود دارد. اول، یک حمله هدفمند ویژه توسط شخصی که سعی دارد کامپیوتر شما را از طریق اتصال شبکه هک کند. در مرحله دوم، حمله از طرف شخصی که پشت صفحه کلید کامپیوتر شما نشسته است. در نهایت، ممکن است یک حمله خودکار توسط یک کرم یا نوع دیگری از بدافزار انجام شود.

ویندوز 7، و حتی پیش از آن ویستا، شامل کنترل حساب کاربری است که باید به جلوگیری از نصب نرم افزارهای ناخواسته و ناخواسته کمک کند - بیشتر در مورد آن، همچنین رمزهای عبور و رمزگذاری

در فصل 7 آمده است. با این حال، بیشتر آشغال‌ها از طریق اتصال شبکه شما وارد می‌شوند، بنابراین باید از آنجا شروع به محافظت از رایانه خود کنید. سیستم عامل ویندوز 7 شامل چندین ویژگی است که امکان ارائه سطح خاصی از امنیت را بدون نیاز به خرید فراهم می کند برنامه های اضافییا تجهیزات

متاسفانه بسیاری از این ویژگی ها به صورت پیش فرض فعال نیستند. عوامل زیر خلأهایی هستند که نباید نادیده گرفته شوند.

O بد: آسیب پذیری پروتکل UPnP

ویژگی دیگری به نام UPnP (جهت اتصال و بازی جهانی) می تواند آسیب پذیری های اضافی را در شبکه شما باز کند. نام مناسب‌تر برای UPnP، Network Plug and Play است، زیرا این ویژگی فقط با دستگاه‌های شبکه سروکار دارد. UPnP مجموعه ای از استانداردها است که به دستگاه هایی که اخیراً متصل شده اند اجازه تبلیغات می دهد

در مورد حضور شما سرورهای UPnPدر شبکه شما، دقیقاً به همان روشی که دستگاه های USB حضور خود را در یک سیستم متعلق به ویندوز اعلام می کنند

از نظر خارجی، تابع UPnP خوب به نظر می رسد. اما در عمل، عدم احراز هویت در استاندارد UPnP و سهولت استفاده بدافزارها از UPnP برای سوراخ کردن دیوار آتش و ایجاد قوانین ارسال پورت در روتر، چیزی جز مشکل نیست. UPnP در حال حاضر برای برخی از بازی ها، بیشتر توسعه دهنده های رسانه، پیام های فوری، کمک از راه دور و غیره استفاده می شود، که توضیح می دهد که چرا به طور پیش فرض در ویندوز 7 و بسیاری از آنها فعال است. دستگاه های شبکه. اما اگر به آن نیاز ندارید، پس بهتر است آن را خاموش کنید.

اگر برای اولین بار شبکه عمومی را انتخاب کنید شبکه جدیدیا از طریق مرکز شبکه و اشتراک گذاری

^j Sharing Center)، سپس UPnP به طور پیش فرض غیرفعال است.

برای غیرفعال کردن UPnP، پنجره 01usb (services.msc) را باز کنید. سرویس SSDP Discovery Service را در لیست پیدا کنید و روی دکمه Stop service در نوار ابزار کلیک کنید. در همان زمان، میزبان دستگاه UPnP نیز باید متوقف شود. اگر اینطور نیست، آن را هم متوقف کنید. اکنون برنامه‌ها یا دستگاه‌هایی را که گمان می‌کنید از کشف شبکه استفاده می‌کنند، مانند سرورهای رسانه یا توسعه‌دهنده‌ها، آزمایش کنید. اگر هیچ یک از این موارد را ندارید، می‌توانید با دوبار کلیک کردن روی هر سرویس و انتخاب Disabled از لیست نوع راه‌اندازی، UPnP را به طور کلی غیرفعال کنید. در غیر این صورت، دفعه بعد که ویندوز را بوت کنید، این سرویس ها دوباره شروع به کار خواهند کرد.

اکنون صفحه پیکربندی روتر را باز کنید (که قبلا در این فصل توضیح داده شد) و سرویس UPnP را غیرفعال کنید. این برای جلوگیری از ایجاد قوانین جدید حمل و نقل پورت توسط برنامه ها مورد نیاز است. اگر روتر شما به شما اجازه نمی دهد تنظیمات UPnP را تغییر دهید، ارتقاء را به موارد بیشتری در نظر بگیرید نسخه جدیدسیستم عامل، همانطور که در بخش «ارتقا به نسخه جدیدتر روتر» توضیح داده شده است.

O Bad: آسیب پذیری Ports را باز کنید

همانطور که در ادامه این فصل توضیح داده شد، با استفاده از اسکن پورت باز، به دنبال آسیب‌پذیری‌ها در سیستم خود بگردید.

O Good: فضای کاری از راه دور، اما فقط در صورت نیاز

ویژگی دسکتاپ از راه دور که در " کنترل از راه دور computer" به طور پیش فرض در Windows 7 Professional و Ultimate فعال است. مگر اینکه به طور خاص به این ویژگی نیاز داشته باشید، باید آن را خاموش کنید. در Control Panel، System را باز کرده و سپس پیوند Remote Access Settings را انتخاب کنید. در صفحه دسترسی از راه دوردر پنجره System Properties، تیک Allow Remote Assistance connections to this computer را خاموش کنید و چک باکس Do not allow connections to this computer را در زیر علامت بزنید.

Ok: رمز عبور حساب

در تئوری دسترسی عمومیبه فایل‌ها برای حساب‌هایی که رمز عبور ندارند کار نمی‌کند، این تنظیم پیش‌فرض هنگام ایجاد یک حساب کاربری جدید است. اما یک حساب کاربری بدون رمز عبور هیچ گونه محافظتی در برابر هر کسی که پشت صفحه کلید شما می نشیند ارائه نمی دهد و اگر یک حساب کاربری با حقوق سرپرست باشد، در آن به روی هر کاربر دیگری از این رایانه باز است. برای بحث در مورد حساب های کاربری و رمزهای عبور به فصل 7 مراجعه کنید.

درباره گروه های خانگی و اشتراک گذاری فایل

هر پوشه مشترک به طور بالقوه یک در باز است. بنابراین، دسترسی باز باید فقط برای آن دسته از پوشه هایی که واقعا ضروری هستند ارائه شود. لطفاً توجه داشته باشید که مجوزهای فایل و مجوزهای اشتراک گذاری در ویندوز 7 متفاوت هستند. این موضوع در فصل 7 با جزئیات بیشتر مورد بحث قرار گرفته است.

O Bad: آسیب پذیری جادوگر به اشتراک گذاری

یکی از دلایل اصلی ایجاد یک گروه کاری اشتراک گذاری فایل ها و چاپگرها است. اما عاقلانه است که فقط پوشه هایی را که نیاز به اشتراک گذاری دارند به اشتراک بگذارید و اشتراک گذاری را برای بقیه غیرفعال کنید. قابلیتی به نام Use Sharing Wizard که در فصل 2 توضیح داده شده و در فصل 7 به تفصیل مورد بحث قرار گرفته است، به شما کنترل کاملی بر روی افرادی که می توانند فایل های شما را مشاهده و تغییر دهند، نمی دهد.

O Bad: آسیب پذیری منابع اداری مشترک

ویژگی اشتراک گذاری که در فصل 7 مورد بحث قرار گرفت، به همه درایوهای رایانه شما دسترسی می دهد، صرف نظر از اینکه آیا پوشه ها را در آن درایوها به اشتراک می گذارید یا خیر.

O Good: فایروال

فایروال مورد بحث در زیر را برای کنترل دقیق جریان شبکه به و از رایانه خود پیکربندی کنید، اما برای ایجاد حفاظت کافی به نرم افزار فایروال داخلی ویندوز تکیه نکنید.

A Good: مرکز پشتیبانی خوب است، اما نباید به طور کامل به آن تکیه کنید. مرکز پشتیبانی نشان داده شده در شکل. 6.28 صفحه مرکزی در Control Panel است که برای مدیریت فایروال ویندوز، Windows Defender، UserAccount Control و به روز رسانی های خودکار استفاده می شود. او هم کنترل می کند برنامه های آنتی ویروس، اما، صرفاً به دلایل سیاسی، ویندوز 7 برنامه های آنتی ویروس خاص خود را ندارد.

مهمترین چیز این است که Action Center فقط بیننده است. اگر ببیند که یک اقدام محافظتی فعال است، صرف نظر از اینکه آیا به طور فعال در حال اجرا است، Action Center خوشحال خواهد شد و هیچ اعلانی دریافت نخواهید کرد.

از پیام های مرکز پشتیبانی خسته شده اید؟ روی پیوند تنظیمات Change Action Center در سمت چپ کلیک کنید و انتخاب کنید که کدام مسائل ارزش گزارش کردن را دارند و کدامیک را می توانید نادیده بگیرید. شما می توانید با خاموش کردن تمام چک باکس های موجود در این صفحه، تمام پیام های Action Center را غیرفعال کنید، اما برای غیرفعال کردن کامل این ویژگی، باید پنجره Services (services.msc) را باز کنید و Action Center را خاموش کنید. با این کار هیچ فایروال، آنتی ویروس یا به‌روزرسانی خودکاری که ممکن است استفاده کنید غیرفعال نمی‌شود، فقط ابزارهای نظارتی برای این ابزارها و پیام‌های همراه آن‌ها را غیرفعال می‌کند.

در اینجا نمی توانید فایروال یا تنظیمات ضد بدافزار خود را تغییر دهید. برای این کار باید به Control Panel برگردید و برنامه مربوطه را در آنجا باز کنید.

مشکل اپیدمی کرم شبکه برای هر کسی مرتبط است شبکه محلی. دیر یا زود، زمانی که یک کرم شبکه یا ایمیل به شبکه LAN نفوذ می کند و توسط آنتی ویروس مورد استفاده شناسایی نمی شود، ممکن است شرایطی پیش بیاید. یک ویروس شبکه از طریق آسیب‌پذیری‌های سیستم عامل که در زمان آلودگی بسته نشده بودند یا از طریق منابع مشترک قابل نوشتن، در سراسر یک LAN پخش می‌شود. ویروس ایمیلهمانطور که از نام آن پیداست، از طریق ایمیل توزیع می شود، مشروط بر اینکه توسط آنتی ویروس و آنتی ویروس کلاینت مسدود نشده باشد. سرور پست الکترونیکی. علاوه بر این، یک اپیدمی در یک LAN می تواند از درون در نتیجه فعالیت های یک خودی سازماندهی شود. در این مقاله به روش های عملی برای تجزیه و تحلیل عملیاتی رایانه های LAN با استفاده از ابزارهای مختلف، به ویژه با استفاده از ابزار AVZ نویسنده نگاه خواهیم کرد.

فرمول بندی مسئله

اگر یک بیماری همه گیر یا برخی فعالیت های غیرعادی در شبکه شناسایی شود، مدیر باید به سرعت حداقل سه کار را حل کند:

  • شناسایی رایانه های شخصی آلوده در شبکه؛
  • نمونه هایی از بدافزار را برای ارسال به آزمایشگاه ضد ویروس پیدا کنید و یک استراتژی مقابله با آن ایجاد کنید.
  • اقداماتی را برای جلوگیری از انتشار ویروس در شبکه محلی و از بین بردن آن در رایانه های آلوده انجام دهید.

در مورد فعالیت های خودی، مراحل اصلی تجزیه و تحلیل یکسان است و اغلب به نیاز به شناسایی نرم افزار شخص ثالث نصب شده توسط خودی در رایانه های LAN خلاصه می شود. نمونه هایی از این نرم افزارها شامل ابزارهای مدیریت از راه دور، کی لاگرهاو نشانک های مختلف تروجان.

اجازه دهید راه حل هر یک از وظایف را با جزئیات بیشتری در نظر بگیریم.

جستجو برای رایانه های شخصی آلوده

برای جستجوی رایانه های شخصی آلوده در شبکه، می توانید حداقل از سه روش استفاده کنید:

  • تجزیه و تحلیل کامپیوتر از راه دور خودکار - به دست آوردن اطلاعات در مورد فرآیندهای در حال اجرا، کتابخانه های بارگذاری شده و درایورها، جستجوی الگوهای مشخصه - به عنوان مثال، فرآیندها یا فایل های با اسامی داده شده;
  • تجزیه و تحلیل ترافیک رایانه شخصی با استفاده از اسنیفر - این روشبرای گرفتن ربات های هرزنامه، ایمیل و کرم های شبکه بسیار موثر است، با این حال، مشکل اصلی در استفاده از sniffer به این دلیل است که یک LAN مدرن بر اساس سوئیچ ها ساخته شده است و در نتیجه، مدیر نمی تواند ترافیک را نظارت کند. کل شبکه مشکل را می توان به دو روش حل کرد: با اجرای یک sniffer بر روی روتر (که به شما امکان می دهد تبادل داده های رایانه شخصی را با اینترنت نظارت کنید) و با استفاده از عملکردهای نظارتی سوئیچ ها (بسیاری از آنها) سوئیچ های مدرنبه شما امکان می دهد یک پورت نظارتی اختصاص دهید که ترافیک یک یا چند پورت سوئیچ مشخص شده توسط سرپرست به آن تکرار می شود.
  • مطالعه بار شبکه - در این مورد، استفاده از سوئیچ های هوشمند بسیار راحت است، که به شما امکان می دهد نه تنها بار را ارزیابی کنید، بلکه پورت های مشخص شده توسط مدیر را نیز از راه دور غیرفعال کنید. اگر مدیر نقشه شبکه ای داشته باشد که حاوی اطلاعاتی در مورد اینکه کدام رایانه های شخصی به پورت های سوئیچ مربوطه وصل شده اند و در کجا قرار دارند، این عملیات بسیار ساده می شود.
  • استفاده از هانی پات - اکیداً توصیه می شود که چندین هانی پات در شبکه محلی ایجاد کنید تا به مدیر امکان تشخیص به موقع یک بیماری همه گیر را بدهد.

تجزیه و تحلیل خودکار رایانه های شخصی در شبکه

تجزیه و تحلیل خودکار رایانه شخصی را می توان به سه مرحله اصلی کاهش داد:

  • انجام یک اسکن کامل رایانه شخصی - فرآیندهای در حال اجرا، کتابخانه ها و درایورهای بارگذاری شده، شروع خودکار.
  • انجام تحقیقات عملیاتی - به عنوان مثال، جستجوی فرآیندها یا فایل های مشخصه؛
  • قرنطینه اشیاء بر اساس معیارهای خاص.

تمام مشکلات فوق را می توان با استفاده از ابزار AVZ نویسنده که برای راه اندازی از یک پوشه شبکه در سرور طراحی شده است و از یک زبان برنامه نویسی برای بازرسی خودکار رایانه شخصی پشتیبانی می کند، حل کرد. برای اجرای AVZ در رایانه های کاربر باید:

  1. AVZ را در یک پوشه شبکه روی سروری که برای خواندن باز است قرار دهید.
  2. زیرشاخه های LOG و Qurantine را در این پوشه ایجاد کنید و به کاربران اجازه دهید برای آنها بنویسند.
  3. با استفاده از ابزار rexec یا اسکریپت ورود، AVZ را در رایانه های LAN راه اندازی کنید.

راه اندازی AVZ در مرحله 3 باید با پارامترهای زیر انجام شود:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

در این حالت، پارامتر Priority=-1 اولویت فرآیند AVZ را کاهش می‌دهد، پارامترهای nw=Y و nq=Y قرنطینه را به حالت “Network run” تغییر می‌دهند (در این حالت یک زیر شاخه در پوشه قرنطینه ایجاد می‌شود. برای هر رایانه ای که نام آن با نام شبکه رایانه شخصی مطابقت دارد)، HiddenMode=2 به کاربر دستور می دهد تا دسترسی کاربر به کنترل های GUI و AVZ را ممنوع کند و در نهایت، مهمترین پارامتر Script نام کامل اسکریپت را با دستوراتی که AVZ بر روی کامپیوتر کاربر اجرا می کند. استفاده از زبان برنامه نویسی AVZ بسیار ساده است و به طور انحصاری بر حل مشکلات معاینه و درمان رایانه متمرکز شده است. برای ساده‌تر کردن فرآیند نوشتن اسکریپت، می‌توانید از یک ویرایشگر تخصصی اسکریپت استفاده کنید که حاوی یک اعلان آنلاین، یک جادوگر برای ایجاد اسکریپت‌های استاندارد و ابزارهایی برای بررسی صحت اسکریپت نوشته شده بدون اجرای آن است (شکل 1).

برنج. 1. ویرایشگر اسکریپت AVZ

بیایید به سه فیلمنامه معمولی که ممکن است در مبارزه با همه گیری مفید باشند نگاه کنیم. ابتدا به یک اسکریپت تحقیق کامپیوتری نیاز داریم. وظیفه اسکریپت بررسی سیستم و ایجاد یک پروتکل با نتایج در یک پوشه شبکه داده شده است. اسکریپت به این شکل است:

ActivateWatchDog (60 * 10)؛

// شروع به اسکن و تجزیه و تحلیل کنید

// کاوش سیستم

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//خاموش کردن AVZ

در حین اجرای این اسکریپت، فایل های HTML با نتایج مطالعه رایانه های شبکه در پوشه LOG ایجاد می شود (با فرض اینکه در پوشه AVZ روی سرور ایجاد شده و برای نوشتن در دسترس کاربران باشد) و برای اطمینان از منحصر به فرد بودن، نام رایانه مورد بررسی در نام پروتکل گنجانده شده است. در ابتدای اسکریپت دستوری برای فعال کردن تایمر نگهبان وجود دارد که در صورت بروز خطا در هنگام اجرای اسکریپت، فرآیند AVZ را پس از 10 دقیقه به زور خاتمه می‌دهد.

پروتکل AVZ برای مطالعه دستی مناسب است، اما برای تجزیه و تحلیل خودکار کاربرد کمی دارد. علاوه بر این، مدیر اغلب نام فایل بدافزار را می داند و فقط باید وجود یا عدم وجود آن را بررسی کند این فایلو در صورت وجود، برای تجزیه و تحلیل قرنطینه کنید. در این حالت می توانید از اسکریپت زیر استفاده کنید:

// تایمر نگهبان را به مدت 10 دقیقه فعال کنید

ActivateWatchDog (60 * 10)؛

// بدافزار را با نام جستجو کنید

QuarantineFile('%WinDir%\smss.exe', 'مشکوک در مورد LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Suspicion of LdPinch.gen');

//خاموش کردن AVZ

این اسکریپت از تابع QuarantineFile برای قرنطینه کردن فایل های مشخص شده استفاده می کند. مدیر فقط می تواند محتویات قرنطینه (پوشه Quarantine\network_name_PC\quarantine_date\) را برای وجود فایل های قرنطینه شده تجزیه و تحلیل کند. لطفاً توجه داشته باشید که عملکرد QuarantineFile به طور خودکار قرنطینه فایل‌های شناسایی شده توسط پایگاه داده امن AVZ یا پایگاه داده امضای دیجیتال مایکروسافت را مسدود می‌کند. برای کاربرد عملیاین اسکریپت را می توان بهبود بخشید - بارگیری نام فایل ها را از یک فایل متنی خارجی سازماندهی کنید، فایل های یافت شده را در برابر پایگاه های داده AVZ بررسی کنید و یک پروتکل متنی با نتایج کار ایجاد کنید:

// فایلی را با نام مشخص شده جستجو کنید

تابع CheckByName(Fname: string): boolean;

نتیجه:= FileExists(FName) ;

اگر نتیجه پس شروع شود

case CheckFile(FName) of

1: S:= '، دسترسی به فایل مسدود شده است';

1: S:= '، به عنوان بدافزار شناسایی شد ('+GetLastCheckTxt+')';

2: S:= '، مشکوک اسکنر فایل ('+GetLastCheckTxt+')';

3: خروج؛ // فایل های ایمن نادیده گرفته می شوند

AddToLog('فایل '+NormalFileName(FName)+' یک نام مشکوک دارد'+S);

//فایل مشخص شده را به قرنطینه اضافه کنید

QuarantineFile (FName، 'فایل مشکوک'+S)؛

SuspNames: TStringList; // لیست نام فایل های مشکوک

// بررسی فایل ها در برابر پایگاه داده به روز شده

اگر FileExists (GetAVZDirectory + 'files.db') سپس شروع کنید

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('نام پایگاه داده بارگیری شد - تعداد رکوردها = '+inttostr(SuspNames.Count));

// حلقه جستجو

برای i:= 0 به SuspNames.Count - 1 انجام دهید

CheckByName(SuspNames[i]);

AddToLog('خطا در بارگیری لیست نام فایل ها');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+'_files.txt');

برای اینکه این اسکریپت کار کند، باید دایرکتوری های Quarantine و LOG را در پوشه AVZ ایجاد کنید که برای نوشتن در دسترس کاربران باشد و همچنین فایل متنی files.db - هر خط از این فایل حاوی نام فایل مشکوک است. نام فایل ممکن است شامل ماکروها باشد که مفیدترین آنها %WinDir% (مسیر به پوشه ویندوز) و %SystemRoot% (مسیر به پوشه System32). جهت دیگر تحلیل می تواند بررسی خودکار لیست فرآیندهای در حال اجرا بر روی رایانه های کاربر باشد. اطلاعات مربوط به فرآیندهای در حال اجرا در پروتکل تحقیق سیستم است، اما برای تجزیه و تحلیل خودکار استفاده از قطعه اسکریپت زیر راحت تر است:

رویه ScanProcess.

S:= ''; S1:= '';

//به روز رسانی لیست فرآیندها

RefreshProcessList;

AddToLog('تعداد فرآیندها = '+IntToStr(GetProcessCount));

// چرخه تجزیه و تحلیل لیست دریافتی

برای i:= 0 تا GetProcessCount - 1 شروع کنید

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// فرآیند را با نام جستجو کنید

اگر pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 سپس

S:= S + GetProcessName(i)+',';

اگر اس<>''سپس

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt'، DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

مطالعه فرآیندها در این اسکریپت به عنوان یک رویه ScanProcess جداگانه انجام می شود، بنابراین به راحتی می توان آن را در اسکریپت خودش قرار داد. رویه ScanProcess دو لیست از فرآیندها را ایجاد می کند: لیست کاملفرآیندها (برای تجزیه و تحلیل بعدی) و لیستی از فرآیندهایی که از دیدگاه مدیر، خطرناک تلقی می شوند. در این مورد، برای اهداف نمایشی، فرآیندی با نام "trojan.exe" خطرناک در نظر گرفته می شود. اطلاعات مربوط به فرآیندهای خطرناک به فایل متنی _alarm.txt، اطلاعات مربوط به همه فرآیندها به فایل _all_process.txt اضافه می شود. به راحتی می توان فهمید که می توانید اسکریپت را با اضافه کردن به آن پیچیده کنید، به عنوان مثال، بررسی فایل های فرآیند در برابر پایگاه داده ای از فایل های امن یا بررسی نام ها فایل های اجراییفرآیندها بر مبنای خارجی رویه مشابهی در اسکریپت های AVZ مورد استفاده در Smolenskenergo استفاده می شود: مدیر به طور دوره ای اطلاعات جمع آوری شده را مطالعه می کند و اسکریپت را اصلاح می کند و نام فرآیندهای برنامه های ممنوعه توسط سیاست امنیتی را به آن اضافه می کند، به عنوان مثال ICQ و MailRu.Agent، که اجازه می دهد تا شما می توانید به سرعت وجود نرم افزارهای ممنوعه را در رایانه های شخصی مورد مطالعه بررسی کنید. یکی دیگر از کاربردهای فهرست فرآیندها، یافتن رایانه‌های شخصی است که فرآیند مورد نیاز مانند آنتی ویروس را ندارند.

در پایان، بیایید به آخرین اسکریپت تجزیه و تحلیل مفید نگاه کنیم - یک اسکریپت برای قرنطینه خودکار همه پرونده هایی که توسط پایگاه داده ایمن AVZ و پایگاه داده امضای دیجیتال مایکروسافت شناسایی نمی شوند:

// انجام اتوقرنتین

اجرای خودکار قرنطینه؛

قرنطینه خودکار فرآیندهای در حال اجرا و کتابخانه‌های بارگذاری شده، خدمات و درایورها، حدود 45 روش شروع خودکار، ماژول‌های برنامه افزودنی مرورگر و کاوشگر، کنترل‌کننده‌های SPI/LSP، کارهای زمان‌بندی، کنترل‌کننده‌های سیستم چاپ و غیره را بررسی می‌کند. ویژگی خاص قرنطینه این است که فایل ها با کنترل تکرار به آن اضافه می شوند، بنابراین می توان عملکرد خودکار قرنطینه را به طور مکرر فراخوانی کرد.

مزیت قرنطینه خودکار این است که با کمک آن، مدیر می تواند به سرعت فایل های مشکوک را از تمام رایانه های موجود در شبکه برای بررسی جمع آوری کند. ساده ترین (اما در عمل بسیار موثر) شکل مطالعه فایل ها می تواند بررسی قرنطینه حاصل با چندین آنتی ویروس محبوب در حالت حداکثر اکتشافی باشد. لازم به ذکر است که راه اندازی همزمان قرنطینه خودکار بر روی چند صد کامپیوتر می تواند بار زیادی را در شبکه و سرور فایل ایجاد کند.

تحقیقات ترافیک

تحقیقات ترافیکی را می توان به سه روش انجام داد:

  • به صورت دستی با استفاده از sniffers.
  • در حالت نیمه اتوماتیک - در این حالت، ردیابی اطلاعات را جمع آوری می کند و سپس پروتکل های آن به صورت دستی یا توسط برخی نرم افزارها پردازش می شود.
  • به طور خودکار با استفاده از سیستم های تشخیص نفوذ (IDS) مانند Snort (http://www.snort.org/) یا نرم افزار یا آنالوگ سخت افزاری آنها. در ساده ترین حالت، یک IDS شامل یک sniffer و یک سیستم است که اطلاعات جمع آوری شده توسط Sniffer را تجزیه و تحلیل می کند.

یک سیستم تشخیص نفوذ یک ابزار بهینه است زیرا به شما امکان می دهد مجموعه ای از قوانین را برای تشخیص ناهنجاری ها در فعالیت شبکه ایجاد کنید. مزیت دوم آن این است: اکثر IDهای مدرن به عوامل نظارت بر ترافیک اجازه می دهند تا بر روی چندین گره شبکه قرار گیرند - عامل ها اطلاعات را جمع آوری و انتقال می دهند. در صورت استفاده از sniffer، استفاده از کنسول UNIX sniffer tcpdump بسیار راحت است. به عنوان مثال، برای نظارت بر فعالیت در پورت 25 ( پروتکل SMTP) فقط Sniffer را با اجرا کنید خط فرماننوع:

tcpdump -i em0 -l پورت tcp 25 > smtp_log.txt

در این مورد، بسته ها از طریق رابط em0 ضبط می شوند. اطلاعات مربوط به بسته های ضبط شده در فایل smtp_log.txt ذخیره می شود. تجزیه و تحلیل دستی پروتکل نسبتاً آسان است؛ در این مثال، تجزیه و تحلیل فعالیت در پورت 25 به شما امکان می دهد رایانه های شخصی را با ربات های اسپم فعال شناسایی کنید.

کاربرد هانی پات

یک کامپیوتر قدیمی که کارایی آن اجازه استفاده از آن برای حل را نمی دهد می تواند به عنوان یک تله (Honeypot) استفاده شود. وظایف تولید. به عنوان مثال، یک پنتیوم پرو با 64 مگابایت با موفقیت به عنوان یک تله در شبکه نویسنده استفاده می شود. حافظه دسترسی تصادفی. در این رایانه شخصی باید رایج ترین سیستم عامل را روی LAN نصب کنید و یکی از استراتژی ها را انتخاب کنید:

  • نصب یک سیستم عامل بدون بسته های به روز - این نشانگر ظاهر یک کرم شبکه فعال در شبکه خواهد بود که از هر یک از آسیب پذیری های شناخته شده برای این سیستم عامل سوء استفاده می کند.
  • یک سیستم عامل با به روز رسانی هایی که بر روی رایانه های شخصی دیگر در شبکه نصب شده است نصب کنید - Honeypot مشابه هر یک از ایستگاه های کاری خواهد بود.

هر استراتژی هم مزایا و هم معایب خود را دارد. نویسنده عمدتاً از گزینه بدون به روز رسانی استفاده می کند. پس از ایجاد Honeypot، باید یک تصویر دیسک برای آن ایجاد کنید بهبودی سریعسیستم پس از آسیب دیدگی توسط بدافزار. به عنوان جایگزینی برای تصویر دیسک، می توانید از سیستم های تغییر بازگشت مانند ShadowUser و آنالوگ های آن استفاده کنید. پس از ساخت Honeypot، باید در نظر داشته باشید که تعدادی از کرم‌های شبکه با اسکن محدوده IP، محاسبه شده از آدرس IP رایانه آلوده، رایانه‌های آلوده را جستجو می‌کنند (استراتژی‌های معمول معمول عبارتند از X.X.X.*، X.X.X+1.*، X.X.X-1.*)، - بنابراین، در حالت ایده آل، باید یک Honeypot در هر زیر شبکه وجود داشته باشد. به عنوان عناصر آماده سازی اضافی، قطعاً باید دسترسی به چندین پوشه در سیستم Honeypot را باز کنید و در این پوشه ها باید چندین فایل نمونه با فرمت های مختلف قرار دهید که حداقل مجموعه EXE، JPG، MP3 است.

طبیعتاً با ایجاد Honeypot، مدیر باید بر عملکرد آن نظارت داشته باشد و به هر گونه ناهنجاری شناسایی شده در آن پاسخ دهد. این کامپیوتر. حسابرسان را می توان به عنوان وسیله ای برای ثبت تغییرات استفاده کرد؛ از sniffer می توان برای ثبت فعالیت شبکه استفاده کرد. یک نکته مهماین است که اکثر sniffer ها توانایی پیکربندی ارسال هشدار به مدیر را در صورت شناسایی فعالیت شبکه مشخصی فراهم می کنند. به عنوان مثال، در CommView Sniffer، یک قانون شامل تعیین یک "فرمول" است که یک بسته شبکه را توصیف می کند، یا تعیین معیارهای کمی (ارسال بیش از تعداد مشخصی بسته یا بایت در ثانیه، ارسال بسته ها به آدرس های IP یا MAC ناشناس) - شکل. 2.

برنج. 2. یک هشدار فعالیت شبکه ایجاد و پیکربندی کنید

به عنوان یک هشدار، استفاده از پیام های ایمیل ارسال شده به آن راحت تر است صندوق پستیمدیر - در این حالت، می توانید هشدارهای سریع را از تمام تله های موجود در شبکه دریافت کنید. علاوه بر این، اگر sniffer به شما اجازه ایجاد چندین هشدار را می دهد، منطقی است که فعالیت شبکه را با برجسته کردن کار با آن متمایز کنید. با ایمیل، FTP/HTTP، TFTP، Telnet، MS Net، ترافیک بیش از 20-30 بسته در ثانیه را برای هر پروتکل افزایش داد (شکل 3).

برنج. 3. نامه اطلاع رسانی ارسال شد
اگر بسته های مطابق با معیارهای مشخص شده شناسایی شوند

هنگام سازماندهی یک تله، ایده خوبی است که چندین سرویس شبکه آسیب پذیر مورد استفاده در شبکه را روی آن قرار دهید یا یک شبیه ساز برای آنها نصب کنید. ساده ترین (و رایگان) ابزار اختصاصی APS است که بدون نصب کار می کند. اصل عملکرد APS به گوش دادن به بسیاری از پورت های TCP و UDP که در پایگاه داده آن توضیح داده شده اند و صدور یک پاسخ از پیش تعیین شده یا تصادفی تولید شده در لحظه اتصال خلاصه می شود (شکل 4).

برنج. 4. پنجره اصلی ابزار APS

شکل اسکرین شات گرفته شده در حین فعال سازی APS واقعی در Smolenskenergo LAN را نشان می دهد. همانطور که در شکل مشاهده می شود، تلاشی برای اتصال یکی از رایانه های مشتری در پورت 21 ثبت شد. تجزیه و تحلیل پروتکل ها نشان داد که تلاش ها دوره ای هستند و توسط چندین تله در شبکه ثبت می شوند، که به ما امکان می دهد نتیجه بگیریم که شبکه به منظور جستجو و هک سرورهای FTP با حدس زدن رمزهای عبور، اسکن می شود. APS گزارش‌ها را نگه می‌دارد و می‌تواند پیام‌هایی را با گزارش‌هایی از اتصالات ثبت‌شده به پورت‌های نظارت شده برای مدیران ارسال کند، که برای تشخیص سریع اسکن‌های شبکه راحت است.

هنگام ایجاد یک هانی پات، آشنایی با منابع آنلاین در مورد موضوع، به ویژه http://www.honeynet.org/ نیز مفید است. در بخش ابزار این سایت (http://www.honeynet.org/tools/index.html) می توانید تعدادی ابزار برای ضبط و تجزیه و تحلیل حملات پیدا کنید.

حذف بدافزار از راه دور

در حالت ایده‌آل، پس از شناسایی نمونه‌های بدافزار، مدیر آنها را به آزمایشگاه ضد ویروس می‌فرستد، جایی که به سرعت توسط تحلیلگران مورد مطالعه قرار می‌گیرد و امضاهای مربوطه به پایگاه داده ضد ویروس اضافه می‌شوند. این امضاها از طریق به روز رسانی خودکاروارد رایانه شخصی کاربر شوید و آنتی ویروس به طور خودکار بدافزارها را بدون دخالت سرپرست حذف می کند. با این حال، این زنجیره همیشه آنطور که انتظار می رود کار نمی کند، به ویژه، دلایل زیر برای شکست ممکن است:

  • به دلایلی مستقل از مدیر شبکه، تصاویر ممکن است به آزمایشگاه آنتی ویروس نرسند.
  • راندمان ناکافی آزمایشگاه ضد ویروس - در حالت ایده آل، مطالعه نمونه ها و وارد کردن آنها به پایگاه داده بیش از 1-2 ساعت طول نمی کشد، به این معنی که پایگاه داده های امضای به روز شده را می توان در یک روز کاری به دست آورد. با این حال، همه آزمایشگاه های آنتی ویروس به این سرعت کار نمی کنند و می توانید چندین روز برای به روز رسانی (در موارد نادر، حتی هفته ها) صبر کنید.
  • عملکرد بالای آنتی ویروس - تعدادی از برنامه های مخرب، پس از فعال سازی، آنتی ویروس ها را از بین می برند یا در غیر این صورت عملکرد آنها را مختل می کنند. مثال‌های کلاسیک شامل ایجاد ورودی‌هایی در فایل میزبان است که مسدود می‌کند کار معمولیسیستم های به روز رسانی خودکار آنتی ویروس، حذف فرآیندها، سرویس ها و درایورهای آنتی ویروس، آسیب به تنظیمات آنها و غیره.

بنابراین در شرایط فوق باید به صورت دستی با بدافزارها مقابله کنید. در بیشتر موارد، این کار دشواری نیست، زیرا نتایج بررسی کامپیوتری رایانه های شخصی آلوده و همچنین نام کامل فایل های بدافزار را نشان می دهد. تنها چیزی که باقی می ماند حذف آنها از راه دور است. اگر برنامه مخرب از حذف محافظت نشده باشد، می توان با استفاده از اسکریپت AVZ زیر آن را از بین برد:

// حذف یک فایل

DeleteFile ('نام فایل');

ExecuteSysClean;

این اسکریپت یک فایل مشخص شده (یا چندین فایل را حذف می کند، زیرا ممکن است تعداد نامحدودی از دستورات DeleteFile در یک اسکریپت وجود داشته باشد) و سپس به طور خودکار رجیستری را پاک می کند. در یک مورد پیچیده تر، بدافزار می تواند از خود در برابر حذف محافظت کند (مثلاً با ایجاد مجدد فایل ها و کلیدهای رجیستری) یا با استفاده از فناوری روت کیت خود را پنهان کند. در این حالت، اسکریپت پیچیده تر می شود و به شکل زیر خواهد بود:

// آنتی روت کیت

SearchRootkit (درست، درست)؛

// AVZGuard را کنترل کنید

SetAVZGuardStatus(true);

// حذف یک فایل

DeleteFile ('نام فایل');

// ورود BootCleaner را فعال کنید

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// لیستی از فایل های حذف شده توسط اسکریپت را به وظیفه BootCleaner وارد کنید

BC_ImportDeletedList;

// BootCleaner را فعال کنید

// تمیز کردن سیستم اکتشافی

ExecuteSysClean;

RebootWindows (true);

این اسکریپت شامل مقابله فعال با روت کیت ها، استفاده از سیستم AVZGuard (این یک مسدود کننده فعالیت بدافزار است) و سیستم BootCleaner است. BootCleaner درایوری است که اشیاء مشخص شده را از KernelMode در هنگام راه اندازی مجدد، در مرحله اولیه بوت سیستم حذف می کند. تمرین نشان می دهد که چنین اسکریپتی قادر است اکثریت قریب به اتفاق بدافزارهای موجود را از بین ببرد. استثناء بدافزاری است که نام فایل های اجرایی خود را با هر بار راه اندازی مجدد تغییر می دهد - در این مورد، فایل های کشف شده در حین اسکن سیستم را می توان تغییر نام داد. در این مورد، باید رایانه خود را به صورت دستی ضد عفونی کنید یا امضاهای بدافزار خود را ایجاد کنید (نمونه ای از اسکریپتی که جستجوی امضا را پیاده سازی می کند در راهنمای AVZ توضیح داده شده است).

نتیجه

در این مقاله، چند تکنیک عملی برای مبارزه با اپیدمی LAN به صورت دستی، بدون استفاده از محصولات آنتی ویروس را بررسی کردیم. بیشتر تکنیک های توصیف شده را می توان برای جستجوی رایانه های شخصی خارجی و نشانک های تروجان در رایانه های کاربر نیز استفاده کرد. اگر در یافتن بدافزار یا ایجاد اسکریپت‌های درمانی مشکل دارید، مدیر می‌تواند از بخش «راهنما» انجمن http://virusinfo.info یا بخش «مبارزه با ویروس‌ها» در انجمن http://forum.kaspersky.com استفاده کند. /index.php?showforum= 18. مطالعه پروتکل ها و کمک در درمان در هر دو انجمن به صورت رایگان انجام می شود، تجزیه و تحلیل رایانه شخصی طبق پروتکل های AVZ انجام می شود و در اغلب موارد درمان به اجرای اسکریپت AVZ بر روی رایانه های شخصی آلوده می رسد که توسط متخصصان مجرب این انجمن ها گردآوری شده است. .

که مجبور می شوند منتظر ایجاد یک فایل فیزیکی بر روی رایانه کاربر باشند، حفاظت شبکه شروع به تجزیه و تحلیل جریان های داده های دریافتی می کند که از طریق شبکه وارد رایانه کاربر می شود و تهدیدها را قبل از ورود به سیستم مسدود می کند.

حوزه های اصلی حفاظت از شبکه ارائه شده توسط فناوری های سیمانتک عبارتند از:

دانلودهای درایو، حملات وب.
- حملات "مهندسی اجتماعی": FakeAV (آنتی ویروس های جعلی) و کدک ها.
- حملات از طریق رسانه های اجتماعیمانند فیس بوک؛
- شناسایی بدافزارها، روت کیت ها و سیستم های آلوده به ربات ها.
- محافظت در برابر تهدیدات پیشرفته؛
- تهدیدات روز صفر؛
- محافظت در برابر آسیب پذیری های نرم افزاری وصله نشده
- محافظت در برابر دامنه های مخرب و آدرس های IP.

فناوری های حفاظت از شبکه

سطح "محافظت شبکه" شامل 3 فناوری مختلف است.

راه حل جلوگیری از نفوذ شبکه (IPS شبکه)

فناوری IPS شبکه بیش از 200 پروتکل مختلف را درک و اسکن می کند. به طور هوشمند و دقیق از طریق دودویی و پروتکل شبکه، به طور همزمان به دنبال علائم ترافیک مخرب می گردند. این هوشمندی امکان اسکن دقیق‌تر شبکه را در عین حال فراهم می‌کند حفاظت قابل اعتماد. در "قلب" آن یک موتور مسدود کننده اکسپلویت است که آسیب پذیری های باز را با محافظت عملاً غیرقابل نفوذ فراهم می کند. ویژگی منحصر به فرد Symantec IPS این است که این کامپوننت نیازی به پیکربندی ندارد. تمام عملکردهای آن، همانطور که می گویند، "خارج از جعبه" کار می کنند. هر محصول مصرفی نورتون، و هر محصول Symantec Endpoint Protection نسخه 12.1 و بالاتر، این فناوری حیاتی را به طور پیش فرض فعال کرده است.

محافظت از مرورگر

این موتور امنیتی در داخل مرورگر قرار دارد. قادر به شناسایی پیچیده ترین تهدیداتی است که نه آنتی ویروس سنتی و نه IPS شبکه قادر به شناسایی آن نیستند. امروزه، بسیاری از حملات شبکه از تکنیک های مبهم سازی برای جلوگیری از شناسایی استفاده می کنند. از آنجایی که Browser Protection در داخل مرورگر اجرا می‌شود، می‌تواند کدهایی را که هنوز پنهان نشده‌اند (مبهم) در حین اجرا بیاموزد. این به شما این امکان را می دهد که اگر حمله ای را در سطوح پایین حفاظت برنامه از دست داده اید، شناسایی و مسدود کنید.

محافظت از دانلود غیرمجاز (UXP)

آخرین خط دفاعی که در لایه دفاعی شبکه قرار دارد، بدون استفاده از امضا، به پوشش و کاهش اثرات آسیب‌پذیری‌های ناشناخته و اصلاح نشده کمک می‌کند. این یک لایه اضافی از محافظت در برابر حملات Zero Day را فراهم می کند.

تمرکز بر مشکلات

فناوری های امنیت شبکه با همکاری یکدیگر مشکلات زیر را حل می کنند.

دانلودهای Drive-by و کیت های حمله وب

با استفاده از شبکه IPS، محافظت از مرورگر و فناوری UXP، فناوری‌های حفاظت از شبکه سیمانتک، بارگیری‌های Drive-by را مسدود می‌کنند و اساساً از دسترسی بدافزار حتی به سیستم کاربر جلوگیری می‌کنند. روش‌های پیشگیرانه مختلفی انجام می‌شود که شامل استفاده از همین فناوری‌ها می‌شود، از جمله فناوری Generic Exploit Blocking و ابزارهای تشخیص حمله وب. یک ابزار عمومی تشخیص حمله وب، ویژگی های یک حمله وب رایج را بدون توجه به آسیب پذیری خاصی که حمله هدف قرار می دهد، تجزیه و تحلیل می کند. این به شما امکان می دهد تا محافظت بیشتری برای آسیب پذیری های جدید و ناشناخته ارائه دهید. بهترین چیز در مورد این نوع حفاظت این است که اگر یک فایل مخرب "بی صدا" سیستمی را آلوده کند، همچنان به طور فعال متوقف می شود و از سیستم حذف می شود: این دقیقاً همان رفتاری است که معمولاً محصولات آنتی ویروس سنتی از قلم می افتند. اما سیمانتک همچنان ده‌ها میلیون نوع بدافزار را مسدود می‌کند که معمولاً با روش‌های دیگر قابل شناسایی نیستند.

حملات مهندسی اجتماعی

از آنجایی که فناوری سیمانتک ترافیک شبکه و مرورگر را در حین حرکت کنترل می‌کند، حملات «مهندسی اجتماعی» مانند FakeAV یا کدک‌های جعلی را شناسایی می‌کند. فن‌آوری‌ها به گونه‌ای طراحی شده‌اند که چنین حملاتی را قبل از ظاهر شدن روی صفحه کاربر مسدود کنند. اکثر راه حل های رقیب دیگر این قابلیت قدرتمند را شامل نمی شوند.

سیمانتک صدها میلیون از این نوع حملات را با فناوری محافظت از تهدیدات آنلاین مسدود می کند.

حملاتی که برنامه های رسانه های اجتماعی را هدف قرار می دهند

برنامه های رسانه های اجتماعی اخیراً به طور گسترده ای محبوب شده اند زیرا به شما امکان می دهند بلافاصله پیام های مختلف، فیلم ها و اطلاعات جالب را با هزاران دوست و کاربر به اشتراک بگذارید. توزیع گسترده و پتانسیل چنین برنامه هایی آنها را به هدف شماره 1 هکرها تبدیل می کند. برخی از ترفندهای رایج هکرها عبارتند از ایجاد حساب های جعلی و ارسال هرزنامه.

فناوری IPS سیمانتک می تواند در برابر این نوع روش های فریب محافظت کند و اغلب قبل از اینکه کاربر روی آنها کلیک کند از آنها جلوگیری می کند. سیمانتک آدرس‌های اینترنتی، برنامه‌های کاربردی و سایر تکنیک‌های فریبکاری را با فناوری محافظت از تهدیدات آنلاین متوقف می‌کند.

شناسایی بدافزارها، روت کیت ها و سیستم های آلوده به ربات

آیا خوب نیست بدانید رایانه آلوده دقیقاً در کجای شبکه قرار دارد؟ راه‌حل‌های IPS سیمانتک این قابلیت را فراهم می‌کنند، همچنین شامل شناسایی و بازیابی تهدیداتی می‌شود که ممکن است از سایر لایه‌های حفاظتی فرار کرده باشند. راه‌حل‌های سیمانتک بدافزارها و ربات‌هایی را شناسایی می‌کنند که سعی در ایجاد شماره‌گیر خودکار یا دانلود «به‌روزرسانی» دارند تا فعالیت خود را در سیستم افزایش دهند. این به مدیران فناوری اطلاعات، که فهرست روشنی از سیستم‌ها را برای بررسی دارند، اجازه می‌دهد تا از ایمن بودن شرکتشان اطمینان حاصل کنند. تهدیدات مخفی چند شکلی و پیچیده با استفاده از تکنیک‌های روت کیت مانند Tidserv، ZeroAccess، Koobface و Zbot را می‌توان با استفاده از این روش متوقف و حذف کرد.

محافظت در برابر تهدیدات مبهم

حملات وب امروزی از تکنیک های پیچیده برای افزایش پیچیدگی حملات خود استفاده می کنند. محافظت از مرورگر Symantec در داخل مرورگر قرار دارد و می تواند تهدیدهای بسیار پیچیده ای را که روش های سنتی اغلب نمی توانند شناسایی کنند، شناسایی کند.

تهدیدات روز صفر و آسیب پذیری های اصلاح نشده

یکی از افزودنی‌های امنیتی گذشته که این شرکت اضافه کرده است، یک لایه حفاظتی اضافی در برابر تهدیدات روز صفر و آسیب‌پذیری‌های اصلاح نشده است. این برنامه با استفاده از حفاظت بدون امضا، تماس های System API را رهگیری می کند و از بارگیری بدافزار محافظت می کند. این فناوری محافظت از دانلود غیر مجاز (UXP) نام دارد. این آخرین خط پشتیبانی در اکوسیستم حفاظت از تهدید شبکه است. این به محصول اجازه می دهد تا آسیب پذیری های ناشناخته و اصلاح نشده را بدون استفاده از امضا پوشش دهد. این فناوری به صورت پیش‌فرض فعال است و از زمان عرضه نورتون در سال 2010 در تمامی محصولات منتشر شده یافت می‌شود.

محافظت در برابر آسیب پذیری های نرم افزاری وصله نشده

برنامه های مخرب اغلب بدون اطلاع کاربر و با استفاده از آسیب پذیری های نرم افزار نصب می شوند. امنیت شبکه Symantec یک لایه حفاظتی اضافی به نام Generic Exploit Blocking (GEB) را فراهم می کند. صرف نظر از اینکه آخرین به روزرسانی هایا نه، GEB "بیشتر" از آسیب پذیری های اساسی در برابر سوء استفاده محافظت می کند. آسیب پذیری های Oracle Sun Java، Adobe Acrobatخواننده، Adobe Flash, اینترنت اکسپلورر، کنترل های ActiveX یا QuickTime اکنون در همه جا وجود دارند. Generic Exploit Protection توسط "مهندسی معکوس" با کشف اینکه چگونه آسیب پذیری می تواند در شبکه مورد سوء استفاده قرار گیرد، ایجاد شد، در حالی که یک پچ ویژه برای سطح شبکه. یک GEB یا امضای آسیب‌پذیری می‌تواند در برابر هزاران نوع بدافزار جدید و ناشناخته محافظت کند.

IP های مخرب و مسدود کردن دامنه

حفاظت از شبکه سیمانتک همچنین شامل توانایی مسدود کردن دامنه‌های مخرب و آدرس‌های IP در عین توقف بدافزارها و ترافیک سایت‌های مخرب شناخته شده است. از طریق تجزیه و تحلیل دقیق وب سایت STAR و به روز رسانی، سیمانتک محافظت بلادرنگ در برابر تهدیدات دائمی در حال تغییر را فراهم می کند.

مقاومت در برابر فرار بهبود یافته است

پشتیبانی از رمزگذاری های اضافی برای بهبود اثربخشی تشخیص حمله با استفاده از تکنیک های رمزگذاری مانند base64 و gzip اضافه شده است.

تشخیص حسابرسی شبکه برای اعمال سیاست های استفاده و شناسایی نشت داده ها

IPS شبکه می تواند برای شناسایی برنامه ها و ابزارهایی که ممکن است خط مشی های استفاده شرکتی را نقض کنند یا برای جلوگیری از نشت داده ها در سراسر شبکه استفاده شود. شناسایی، هشدار یا جلوگیری از ترافیک مانند IM، P2P، رسانه های اجتماعی، یا دیگر انواع ترافیک "جالب" امکان پذیر است.

پروتکل ارتباطی STAR Intelligence

فناوری امنیت شبکه به تنهایی کار نمی کند. موتور با استفاده از پروتکل STAR Intelligence Communication (STAR ​​ICB) با سایر سرویس های امنیتی ارتباط برقرار می کند. موتور Network IPS به موتور Symantec Sonar و سپس به موتور Insight Reputation متصل می شود. این به شما امکان می دهد محافظت آموزنده و دقیق تری ارائه دهید.

در مقاله بعدی به سطح تحلیلگر رفتار خواهیم پرداخت.

بر اساس مواد Symantec

یک آنتی ویروس باید روی هر کامپیوتر ویندوزی نصب شود. برای مدت طولانی این قانون طلایی در نظر گرفته می شد، اما امروزه کارشناسان امنیت فناوری اطلاعات در مورد اثربخشی نرم افزار امنیتی بحث می کنند. منتقدان استدلال می کنند که آنتی ویروس ها همیشه محافظت نمی کنند، و گاهی اوقات حتی برعکس - به دلیل اجرای بی دقت، آنها می توانند شکاف هایی در امنیت سیستم ایجاد کنند. توسعه دهندگان چنین راه حل هایی در تضاد هستند این نظرتعداد قابل توجهی از حملات مسدود شده، و بخش های بازاریابی همچنان به حفاظت جامع محصولات خود سوگند یاد می کنند.

حقیقت جایی در وسط نهفته است. آنتی ویروس ها بی عیب و نقص کار نمی کنند، اما نمی توان همه آنها را بی فایده خواند. آنها در مورد انواع تهدیدها هشدار می دهند، اما برای محافظت از ویندوز تا حد ممکن کافی نیستند. برای شما به عنوان یک کاربر، این به معنای زیر است: می توانید آنتی ویروس را در سطل زباله بیندازید یا کورکورانه به آن اعتماد کنید. اما به هر حال، این تنها یکی از بلوک‌ها (هرچند بزرگ) در استراتژی امنیتی است. ما نه مورد دیگر از این "آجر" را در اختیار شما قرار خواهیم داد.

تهدید امنیتی: آنتی ویروس ها

> آنچه منتقدان می گویند جنجال کنونی در مورد اسکنرهای ویروس توسط رابرت اوکالاگان توسعه دهنده سابق فایرفاکس برانگیخته شد. او استدلال می کند: آنتی ویروس ها امنیت ویندوز را تهدید می کنند و باید حذف شوند. تنها استثنا ویندوز دیفندر مایکروسافت است.

> آنچه توسعه دهندگان می گویند سازندگان آنتی ویروس ها، از جمله آزمایشگاه کسپرسکی، به عنوان استدلال، آنها اعداد قابل توجهی را ذکر می کنند. بدین ترتیب در سال 2016 نرم افزار این آزمایشگاه حدود 760 میلیون حمله اینترنتی به رایانه های کاربران را ثبت و از آن جلوگیری کرد.

> آنچه CHIP فکر می کند آنتی ویروس ها را نه باید به عنوان یک یادگار یا یک نوشدارو در نظر گرفت. آنها فقط یک آجر در ساختمان امنیت هستند. توصیه می کنیم از آنتی ویروس های فشرده استفاده کنید. اما زیاد نگران نباشید: Windows Defender خوب است. حتی می توانید از اسکنرهای شخص ثالث ساده استفاده کنید.

آنتی ویروس مناسب را انتخاب کنید

ما مانند قبل متقاعد شده ایم که ویندوز بدون محافظت از آنتی ویروس غیرقابل تصور است. شما فقط باید محصول مناسب را انتخاب کنید. برای کاربران Tens، این حتی می تواند Windows Defender داخلی باشد. علیرغم این واقعیت که در طول آزمایشات ما بهترین درجه تشخیص را نشان نداد، اما کاملاً در سیستم یکپارچه شده است و مهمتر از همه بدون هیچ مشکل امنیتی. علاوه بر این، مایکروسافت محصول خود را در Creators Update برای ویندوز 10 بهبود بخشیده و مدیریت آن را ساده کرده است.

بسته های آنتی ویروس سایر توسعه دهندگان اغلب از نرخ شناسایی بالاتری نسبت به Defender برخوردار هستند. ما طرفدار یک راه حل فشرده هستیم. رهبر رتبه ما در این لحظهکسپرسکی است امنیت اینترنت 2017. کسانی که می توانند گزینه های اضافی مانند کنترل والدینو مدیر رمز عبور، باید توجه خود را به گزینه ای مقرون به صرفه تر از Kaspersky Lab معطوف کنند.

به روز رسانی ها را دنبال کنید

اگر مجبور بودیم تنها یک معیار را برای ایمن نگه داشتن ویندوز انتخاب کنیم، قطعاً به‌روزرسانی‌ها را دنبال می‌کردیم. در این مورد، البته، ما در درجه اول در مورد به روز رسانی برای ویندوز صحبت می کنیم، اما نه تنها. نرم افزارهای نصب شده از جمله آفیس، فایرفاکس و آیتونز نیز باید به طور مرتب به روز شوند. در ویندوز، دریافت به‌روزرسانی‌های سیستم نسبتاً آسان است. در هر دو «هفت» و «ده»، وصله ها به طور خودکار با استفاده از تنظیمات پیش فرض نصب می شوند.

در مورد برنامه‌ها، وضعیت سخت‌تر می‌شود، زیرا به‌روزرسانی همه آن‌ها به آسانی فایرفاکس و کروم نیست که دارای عملکرد به‌روزرسانی خودکار داخلی هستند. ابزار SUMo (نظارت به‌روزرسانی نرم‌افزار) از شما در حل این کار پشتیبانی می‌کند و شما را از در دسترس بودن به‌روزرسانی‌ها مطلع می‌کند. یک برنامه مرتبط به نام DUMo (Driver Update Monitor) همین کار را برای رانندگان انجام می دهد. با این حال، هر دو دستیار رایگان فقط در مورد نسخه های جدید به شما اطلاع می دهند - باید خودتان آنها را دانلود و نصب کنید.

یک فایروال راه اندازی کنید

فایروال داخلی در ویندوز کار خود را به خوبی انجام می دهد و با اطمینان تمام درخواست های دریافتی را مسدود می کند. با این حال، توانایی بیشتری دارد - پتانسیل آن با پیکربندی پیش فرض محدود نمی شود: همه برنامه های نصب شدهحق باز کردن پورت ها در فایروال را بدون درخواست دارند. ابزار رایگان کنترل فایروال ویندوز را در اختیار شما قرار می دهد ویژگی های بیشتر.

آن را راه اندازی کنید و در منوی "Profiles" فیلتر را روی "Medium Filtering" قرار دهید. با تشکر از این، فایروال همچنین ترافیک خروجی را طبق مجموعه ای از قوانین کنترل می کند. شما خودتان تصمیم می گیرید که چه اقداماتی را شامل می شود. برای انجام این کار، در گوشه سمت چپ پایین صفحه برنامه، روی نماد یادداشت کلیک کنید. به این ترتیب می توانید قوانین را مشاهده کرده و با یک کلیک مجوز بدهید برنامه جداگانهیا مسدودش کنید

از محافظ ویژه استفاده کنید

به روز رسانی، آنتی ویروس و فایروال - شما قبلاً از این سه گانه بزرگ اقدامات امنیتی مراقبت کرده اید. وقتشه تنظیم دقیق. مشکل برنامه های اضافی برای ویندوز اغلب این است که از تمام ویژگی های امنیتی که سیستم ارائه می دهد استفاده نمی کنند. ابزار ضد اکسپلویت مانند EMET (Enhanced Mitigation Experience Toolkit) نرم افزار نصب شده را بیشتر تقویت می کند. برای انجام این کار، بر روی “Use Recommended Settings” کلیک کنید و اجازه دهید برنامه به طور خودکار اجرا شود.

تقویت رمزگذاری

شما می توانید حفاظت از داده های شخصی را با رمزگذاری آن به میزان قابل توجهی افزایش دهید. حتی اگر اطلاعات شما به دست افراد نادرستی بیفتد، یک هکر نمی تواند کدگذاری خوب را حذف کند، حداقل نه فورا. بصورت حرفه ای نسخه های ویندوزابزار BitLocker قبلاً ارائه شده است که از طریق کنترل پنل پیکربندی شده است.

VeraCrypt یک جایگزین برای همه کاربران خواهد بود. این برنامه منبع باز جانشین غیررسمی TrueCrypt است که چند سال پیش متوقف شد. اگر ما در موردفقط در مورد محافظت از اطلاعات شخصی، می توانید یک ظرف رمزگذاری شده از طریق مورد "ایجاد حجم" ایجاد کنید. گزینه «ایجاد یک محفظه فایل رمزگذاری شده» را انتخاب کنید و دستورالعمل‌های Wizard را دنبال کنید. گاوصندوق داده آماده از طریق Windows Explorer درست مانند یک دیسک معمولی قابل دسترسی است.

از حساب های کاربری محافظت کنید

بسیاری از آسیب‌پذیری‌ها توسط هکرها بدون بهره‌برداری باقی می‌مانند، زیرا کار بر روی رایانه تحت یک حساب استاندارد با حقوق محدود انجام می‌شود. بنابراین برای کارهای روزمره نیز باید یکی از این موارد را تنظیم کنید حساب. در ویندوز 7، این کار از طریق کنترل پنل و آیتم “Add and Remove User Accounts” انجام می شود. در «ده برتر»، روی «تنظیمات» و «حساب‌ها» کلیک کنید و سپس «خانواده و افراد دیگر» را انتخاب کنید.

VPN را در خارج از خانه فعال کنید

در خانه در شبکه بی سیمسطح امنیت شما بالا است زیرا شما کنترل می کنید که چه کسانی به شبکه محلی دسترسی دارند و مسئول رمزگذاری و کدهای دسترسی هستند. برای مثال در مورد هات اسپات همه چیز متفاوت است،
در هتل ها در اینجا Wi-Fi بین کاربران شخص ثالث توزیع می شود و شما نمی توانید هیچ تاثیری بر امنیت دسترسی به شبکه داشته باشید. برای محافظت، توصیه می کنیم از VPN (شبکه خصوصی مجازی) استفاده کنید. اگر فقط نیاز به مرور سایت ها از طریق یک نقطه دسترسی دارید، VPN داخلی در آخرین نسخهمرورگر اپرا. مرورگر را نصب کنید و در "تنظیمات" روی "امنیت" کلیک کنید. در بخش «VPN»، کادر «فعال کردن VPN» را علامت بزنید.

اتصالات بی سیم استفاده نشده را قطع کنید


خوب

حتی جزئیات نیز می توانند نتیجه یک موقعیت را تعیین کنند. اگر از اتصالاتی مانند Wi-Fi و بلوتوث استفاده نمی کنید، به سادگی آنها را خاموش کنید تا حفره های احتمالی بسته شوند. در ویندوز 10، ساده ترین راه برای انجام این کار از طریق Action Center است. "Seven" بخش "اتصالات شبکه" را در کنترل پنل برای این منظور ارائه می دهد.

مدیریت رمزهای عبور

هر رمز عبور باید فقط یک بار استفاده شود و باید شامل کاراکترهای خاص، اعداد، حروف بزرگ و کوچک باشد. و همچنین تا حد امکان طولانی باشد - ترجیحاً ده کاراکتر یا بیشتر. اصل امنیت رمز عبور امروزه به محدودیت های خود رسیده است، زیرا کاربران باید چیزهای زیادی را به خاطر بسپارند. بنابراین، در صورت امکان، چنین حفاظتی باید با روش های دیگری جایگزین شود. به عنوان مثال ورود به ویندوز را در نظر بگیرید: اگر دوربینی دارید که از Windows Hello پشتیبانی می کند، برای ورود به سیستم از تشخیص چهره استفاده کنید. برای کدهای دیگر، توصیه می کنیم از مدیریت رمز عبور مانند KeePass استفاده کنید که باید با رمز عبور اصلی قوی محافظت شود.

حریم خصوصی خود را در مرورگر ایمن کنید

راه های زیادی برای محافظت از حریم خصوصی آنلاین شما وجود دارد. پسوند تنظیمات حریم خصوصی برای فایرفاکس ایده آل است. آن را نصب کرده و روی "حریم خصوصی کامل" تنظیم کنید. پس از این، مرورگر هیچ اطلاعاتی در مورد رفتار شما در اینترنت ارائه نمی دهد.

طناب نجات: پشتیبان

> پشتیبان گیری بسیار مهم است پشتیبان گیریتوجیه می کند
خود را نه تنها پس از عفونت با ویروس. همچنین در صورت بروز مشکلات سخت افزاری به خوبی کار می کند. توصیه ما: یک بار از تمام ویندوزها کپی کنید و سپس به طور منظم و اضافی از تمام داده های مهم نسخه پشتیبان تهیه کنید.

> آرشیو کامل ویندوز 10 که از ماژول "هفت" "بایگانی و بازیابی" به ارث رسیده است. با آن شما ایجاد خواهید کرد نسخه پشتیبانسیستم های. همچنین می توانید استفاده کنید ابزارهای ویژهبرای مثال True Image یا Macrium Reflect.

> حفاظت از فایل True Image و نسخه پولی Macrium Reflect می توانند کپی ایجاد کنند فایل های خاصو پوشه ها جایگزین رایگانبرای بایگانی اطلاعات مهمبه برنامه پشتیبان گیری شخصی تبدیل می شود.

عکس: شرکت های تولیدی؛ NicoElNino/Fotolia.com

چگونه می توانید رایانه خود را از دسترسی از راه دور محافظت کنید؟ چگونه از طریق مرورگر دسترسی به رایانه را مسدود کنیم؟

چگونه از رایانه خود در برابر دسترسی از راه دور محافظت کنیم، آنها معمولاً وقتی فکر می کنند که قبلاً اتفاقی افتاده است. اما طبیعتا این تصمیم برای فردی که حداقل به برخی از فعالیت های خود مشغول است، اشتباه است. و برای همه کاربران توصیه می شود که دسترسی به رایانه خود را به افراد غریبه محدود کنند. و در این مقاله روش تنظیم رمز عبور برای ورود به رایانه را مورد بحث قرار نخواهیم داد، بلکه به گزینه ای در مورد نحوه جلوگیری از دسترسی به رایانه از یک شبکه محلی یا از رایانه دیگری در صورت اتصال به همان رایانه خواهیم پرداخت. شبکه. این اطلاعات به ویژه برای کاربران جدید رایانه شخصی مفید خواهد بود.

و بنابراین، در سیستم عاملویندوز قابلیتی به نام «دسترسی از راه دور» دارد. و اگر غیرفعال نباشد، سایر کاربران می توانند از این مزیت برای به دست آوردن کنترل رایانه شما استفاده کنند. حتی اگر مدیر هستید و نیاز به نظارت بر کارمندان خود دارید ، طبیعتاً به رایانه شخصی آنها نیاز دارید ، اما باید رایانه خود را ببندید تا همین کارمندان به مکاتبات شما با منشی شما نگاه نکنند - این مملو از ... .

مارس 2020
دوشنبه دبلیو چهارشنبه پنج شنبه جمعه نشست آفتاب
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

تبلیغات

    طبق معمول، پروژه های آنلاین تبلیغ می شوند. به طور معمول، کپی‌رایترهای سئو سعی می‌کنند تا حد امکان در متن قرار دهند پرس و جوهای جستجو، آنها را متمایل می کند

    درک تفاوت های اصلی که آیفون های تقلبی را از محصولات واقعی متمایز می کند به شما کمک می کند در هزینه خود صرفه جویی کنید و از خرید از فروشندگان بی دقت خودداری کنید. برای چی



محبوب در دسته بندی:
چگونه یک کلیپ کارائوکه در رایانه ایجاد کنیم؟
چگونه یک کلیپ کارائوکه در رایانه ایجاد کنیم؟
خواندن
برنامه Origin برای بازی مورد نیاز است، اما نصب نیست. FIFA 16 به Origin نیاز دارد.
برنامه Origin برای بازی لازم است، اما نصب نیست فیفا...
خواندن
ثبت صفحه شخصی در شبکه اجتماعی فیسبوک
ثبت صفحه شخصی در شبکه اجتماعی فیسبوک
خواندن
نحوه اجرای یک اسکن Nmap ساده Nmap
نحوه اجرای یک اسکن Nmap ساده Nmap
خواندن

آخرین مقالات
چگونه یک تصویر را چند درجه بچرخانیم ...
خواندن
غیرفعال کردن تبلیغات در مرورگر Yandex کجا...
خواندن
عیب یابی مشکلات اتصال وای فای در...
خواندن
تغییر رمز عبور در پروفایل ویندوز 10
خواندن
دستورالعمل راه اندازی روترهای بی سیم ...
خواندن
نحوه انتخاب هارد دیسک و خرید کدام یک بهتر است...
خواندن
Meizu برای آدمک ها. تماس ها و دفترچه آدرس ....
خواندن
برنامه PDFMaster را دانلود کنید
خواندن
بالا