Koti › Asennus ja konfigurointi › Tietokoneen tunnistus ja suojaus verkon kautta. Verkon suojaus. Ohjelma tietokoneverkkojen suojaamiseen. O Huono: Jaettujen hallintoresurssien haavoittuvuus

Tietokoneen tunnistus ja suojaus verkon kautta. Verkon suojaus. Ohjelma tietokoneverkkojen suojaamiseen. O Huono: Jaettujen hallintoresurssien haavoittuvuus

Jotkut ihmiset työskentelevät koko elämänsä parantaakseen yritysten ja yksityishenkilöiden turvallisuutta. Ja he viettävät huomattavan osan tästä ajasta Windowsin reikien paikkaamiseen. Windows-järjestelmä on pääkanava haittaohjelma, jotka luovat zombeja (robotteja), kuten luvussa 5 käsiteltiin, ja tämä on vain jäävuoren huippu. Ollakseni rehellinen, Windowsin valtava suosio on suurelta osin syyllinen, mutta Windows 7:ssä on niin paljon aukkoja, että on epäselvää, häiritseekö se ketään Microsoftilla.

Uhkia on kolme päätyyppiä. Ensinnäkin henkilön, joka yrittää hakkeroida tietokoneesi verkkoyhteyden kautta, kohdistuva hyökkäys. Toiseksi tietokoneen näppäimistön ääressä istuvan henkilön hyökkäys. Lopuksi, madon tai muun haittaohjelman suorittama automaattinen hyökkäys voi tapahtua.

Windows 7 ja jopa aikaisempi Vista sisältää käyttäjätilien hallinnan, jonka pitäisi auttaa estämään tahattomien ja ei-toivottujen ohjelmistoasennuksien tulva - lisää siitä, samoin kuin salasanoista ja salauksesta

lukee luvussa 7. Suurin osa roskista tulee kuitenkin verkkoyhteyden kautta, joten sieltä kannattaa aloittaa tietokoneen suojaaminen. Windows 7 -käyttöjärjestelmä sisältää useita ominaisuuksia, jotka mahdollistavat tietyn tason turvallisuuden ilman ostoa lisäohjelmia tai varusteita.

Valitettavasti monet näistä ominaisuuksista eivät ole oletusarvoisesti käytössä. Seuraavat tekijät ovat porsaanreikiä, joita ei pidä jättää huomiotta.

O Huono: UPnP-protokollan haavoittuvuus

Toinen ominaisuus nimeltä UPnP (Universal Plug-and-Play) voi avata lisää haavoittuvuuksia verkossasi. Sopivampi nimi UPnP:lle olisi Network Plug and Play, koska tämä ominaisuus koskee vain verkkolaitteita. UPnP on joukko standardeja, joiden avulla äskettäin yhdistetyt laitteet voivat mainostaa

läsnäolostasi UPnP-palvelimet verkossasi samalla tavalla kuin USB-laitteet ilmoittavat läsnäolostaan Windowsin omistamalle järjestelmälle

Ulkoisesti UPnP-toiminto näyttää hyvältä. Käytännössä UPnP-standardin todennuksen puute ja helppous, jolla haittaohjelmat voivat käyttää UPnP:tä palomuurin rei'ittämiseen ja porttien välityssääntöjen luomiseen reitittimeen, ovat vain ongelmia. UPnP:tä käytetään tällä hetkellä joissakin peleissä, useimmissa median laajennuksissa, pikaviesteissä, etäavussa jne., mikä selittää, miksi se on oletuksena käytössä Windows 7:ssä ja monissa verkkolaitteet. Mutta jos et tarvitse sitä, on parempi sammuttaa se.

Jos valitset Julkinen verkko, kun muodostat ensimmäisen yhteyden uusi verkko tai Verkko- ja jakamiskeskuksen kautta

^j Jakamiskeskus), UPnP on oletuksena pois käytöstä.

Poista UPnP käytöstä avaamalla 01usb (services.msc) -ikkuna. Etsi luettelosta SSDP-etsintäpalvelu ja napsauta työkalupalkin Pysäytä palvelu -painiketta. Samaan aikaan UPnP Device Host pitäisi myös pysähtyä. Jos ei, lopeta sekin. Testaa nyt kaikki sovellukset tai laitteet, joiden epäilet käyttävän verkkoetsintää, kuten mediapalvelimia tai laajennuksia. Jos sinulla ei ole mitään näistä, voit poistaa UPnP:n kokonaan käytöstä kaksoisnapsauttamalla kutakin palvelua ja valitsemalla Käynnistystyyppi-luettelosta Ei käytössä. Muussa tapauksessa nämä palvelut käynnistyvät uudelleen, kun seuraavan kerran käynnistät Windowsin.

Avaa nyt reitittimen asetussivu (kuvattu aiemmin tässä luvussa) ja poista UPnP-palvelu käytöstä. Tämä on tarpeen, jotta sovelluksia estetään luomasta uusia portin edelleenlähetyssääntöjä. Jos reitittimesi ei salli sinun muuttaa UPnP-asetuksia, harkitse päivittämistä muihin uusi versio laiteohjelmisto, kuten on kuvattu kohdassa "Päivitys uudempaan reitittimen versioon".

O Huono: Avointen porttien haavoittuvuus

Etsi haavoittuvuuksia järjestelmästäsi käyttämällä avoimen portin tarkistusta, kuten myöhemmin tässä luvussa kuvataan.

O Hyvä: etätyötila, mutta vain tarvittaessa

Etätyöpöytäominaisuus, joka on kuvattu kohdassa " Kaukosäädin tietokone" on oletuksena käytössä Windows 7 Professionalissa ja Ultimatessa. Jos et erityisesti tarvitse tätä ominaisuutta, sinun tulee kytkeä se pois päältä. Avaa Ohjauspaneelissa Järjestelmä ja valitse sitten Remote Access Settings -linkki. Sivulla Etäyhteys Poista käytöstä Järjestelmän ominaisuudet -ikkunassa Salli etätukiyhteydet tähän tietokoneeseen -valintaruutu ja valitse alla oleva Älä salli yhteyksiä tähän tietokoneeseen -valintaruutu.

O Ok: tilin salasana

Teoriassa yleinen pääsy tiedostoihin ei toimi tileillä, joilla ei ole salasanaa, mikä on oletusasetus uutta käyttäjätiliä luotaessa. Mutta salasanaton tili ei tarjoa minkäänlaista suojaa näppäimistösi ääressä istuvilta, ja jos se on käyttäjätili, jolla on järjestelmänvalvojan oikeudet, ovi on avoinna kaikille muille tämän tietokoneen käyttäjille. Luku 7 sisältää keskustelun käyttäjätileistä ja salasanoista.

Tietoja kotiryhmistä ja tiedostojen jaosta

Jokainen jaettu kansio on mahdollisesti avoin ovi. Siksi avoin pääsy tulisi tarjota vain niihin kansioihin, jotka ovat todella tarpeellisia. Huomaa, että tiedostojen käyttöoikeudet ja jakamisoikeudet ovat eri asioita Windows 7:ssä. Tätä käsitellään tarkemmin luvussa 7.

O Huono: Ohjatun jakamistoiminnon haavoittuvuus

Yksi tärkeimmistä syistä työryhmän luomiseen on tiedostojen ja tulostimien jakaminen. Mutta on järkevää jakaa vain ne kansiot, jotka on jaettava, ja poistaa jakaminen käytöstä kaikilta muilta. Ominaisuus nimeltä Use Sharing Wizard, joka on kuvattu luvussa 2 ja jota käsitellään yksityiskohtaisesti luvussa 7, ei anna sinulle täydellistä hallintaa siihen, kuka voi tarkastella ja muuttaa tiedostojasi.

O Huono: Jaettujen hallintoresurssien haavoittuvuus

Jakamisominaisuus, jota käsitellään luvussa 7, antaa pääsyn kaikkiin tietokoneesi asemiin riippumatta siitä, jaatko kansioita näillä asemilla.

O hyvä: palomuuri

Määritä alla kuvattu palomuuri ohjaamaan tiukasti verkkovirtaa tietokoneellesi ja tietokoneeltasi, mutta älä luota Windowsin sisäiseen palomuuriohjelmistoon riittävän suojan tarjoamiseksi.

A Hyvä: Tukikeskus on hyvä, mutta siihen ei kannata täysin luottaa. Kuvassa näkyvä tukikeskus. 6.28 on ohjauspaneelin keskussivu, jota käytetään Windowsin palomuurin, Windows Defenderin, UserAccount Controlin ja automaattisten päivitysten hallintaan. Hän myös hallitsee virustorjuntaohjelmat, mutta puhtaasti poliittisista syistä Windows 7:llä ei ole omia virustorjuntaohjelmia.

Tärkeintä on, että Action Center on vain katsoja. Jos se näkee, että tietty suojaustoimenpide on käytössä, riippumatta siitä, onko se aktiivisesti käynnissä, Action Center on tyytyväinen etkä saa ilmoituksia.

Oletko kyllästynyt tukikeskuksen viesteihin? Napsauta vasemmalla olevaa Muuta toimintakeskuksen asetuksia -linkkiä ja valitse, mitkä ongelmat kannattaa ilmoittaa ja mitkä voit jättää huomiotta. Voit poistaa kaikki viestit Toimintokeskuksesta poistamalla käytöstä kaikki tämän sivun valintaruudut, mutta poistaaksesi koko ominaisuuden kokonaan käytöstä, sinun on avattava Palvelut-ikkuna (services.msc) ja sammutettava Action Center. Tämä ei poista käytöstä palomuuria, virustentorjuntaa tai automaattisia päivityksiä, joita saatat käyttää, vaan ainoastaan näiden työkalujen valvontatyökalut ja niihin liittyvät viestit.

Et voi muuttaa palomuuri- tai haittaohjelmien torjunta-asetuksiasi täällä. Tätä varten sinun on palattava ohjauspaneeliin ja avattava siellä sopiva ohjelma.

Verkkomato-epidemian ongelma koskee kaikkia paikallinen verkko. Ennemmin tai myöhemmin voi syntyä tilanne, kun verkko- tai sähköpostimato tunkeutuu lähiverkkoon eikä käytössä oleva virustorjunta havaitse sitä. Verkkovirus leviää lähiverkossa käyttöjärjestelmän haavoittuvuuksien kautta, joita ei ollut suljettu tartuntahetkellä, tai kirjoitettavien jaettujen resurssien kautta. Mail virus, kuten nimestä voi päätellä, jaetaan sähköpostitse edellyttäen, että asiakkaan virustorjunta ja virustorjunta eivät estä sitä sähköpostipalvelin. Lisäksi lähiverkon epidemia voi organisoitua sisältä käsin sisäpiiriläisen toiminnan seurauksena. Tässä artikkelissa tarkastellaan käytännön menetelmiä LAN-tietokoneiden toiminnalliseen analysointiin eri työkaluilla, erityisesti käyttämällä kirjoittajan AVZ-apuohjelmaa.

Ongelman muotoilu

Jos verkossa havaitaan epidemia tai jokin epänormaali toiminta, järjestelmänvalvojan on ratkaistava nopeasti vähintään kolme tehtävää:

havaita verkon tartunnan saaneet tietokoneet;
löytää näytteitä haittaohjelmista lähetettäväksi virustentorjuntalaboratorioon ja kehittää vastatoimistrategia;
ryhdy toimenpiteisiin viruksen leviämisen estämiseksi lähiverkossa ja tuhoa se tartunnan saaneilla tietokoneilla.

Sisäpiiritoiminnan tapauksessa analyysin päävaiheet ovat identtiset ja useimmiten rajoittuvat tarpeeseen havaita sisäpiiriläisen LAN-tietokoneisiin asentamat kolmannen osapuolen ohjelmistot. Esimerkkejä tällaisista ohjelmistoista ovat etähallintaohjelmat, näppäinloggerit ja erilaisia troijalaisia kirjanmerkkejä.

Tarkastellaanpa yksityiskohtaisemmin kunkin tehtävän ratkaisua.

Etsi tartunnan saaneita tietokoneita

Voit etsiä verkosta tartunnan saaneita tietokoneita vähintään kolmella menetelmällä:

automaattinen PC-etäanalyysi - tietojen hankkiminen käynnissä olevista prosesseista, ladatuista kirjastoista ja ohjaimista, tyypillisten kuvioiden etsiminen - esimerkiksi prosesseista tai tiedostoista annettuja nimiä;
PC-liikenteen analyysi haistajalla - tätä menetelmää erittäin tehokas roskapostirobottien, sähköpostien ja verkkomatojen tavoittamiseen, mutta suurin vaikeus snifferin käytössä johtuu siitä, että nykyaikainen LAN on rakennettu kytkimien pohjalle ja sen seurauksena järjestelmänvalvoja ei pysty valvomaan koko verkko. Ongelma voidaan ratkaista kahdella tavalla: ajamalla reitittimessä haistajaa (jonka avulla voit seurata PC-tietojen vaihtoa Internetin kanssa) ja käyttämällä kytkimien valvontatoimintoja (monet nykyaikaiset kytkimet voit määrittää valvontaportin, johon järjestelmänvalvojan määrittämän yhden tai useamman kytkinportin liikenne kopioidaan);
verkon kuormituksen tutkimus - tässä tapauksessa on erittäin kätevää käyttää älykkäitä kytkimiä, joiden avulla voit paitsi arvioida kuormitusta myös poistaa järjestelmänvalvojan määrittämät portit etänä. Tämä toiminto yksinkertaistuu huomattavasti, jos järjestelmänvalvojalla on verkkokartta, joka sisältää tiedot siitä, mitkä tietokoneet on kytketty vastaaviin kytkinportteihin ja missä ne sijaitsevat;
hunajapurujen käyttö - on erittäin suositeltavaa luoda useita hunajapuruja paikalliseen verkkoon, jotta järjestelmänvalvoja voi havaita epidemian ajoissa.

Verkon tietokoneiden automaattinen analyysi

Automaattinen PC-analyysi voidaan lyhentää kolmeen päävaiheeseen:

täydellisen PC-skannauksen suorittaminen - käynnissä olevat prosessit, ladatut kirjastot ja ohjaimet, automaattinen käynnistys;
operatiivisen tutkimuksen tekeminen - esimerkiksi tyypillisten prosessien tai tiedostojen etsiminen;
esineiden karanteeni tiettyjen kriteerien mukaan.

Kaikki yllä mainitut ongelmat voidaan ratkaista kirjoittajan AVZ-apuohjelmalla, joka on suunniteltu käynnistettäväksi palvelimen verkkokansiosta ja joka tukee skriptikieltä automaattista PC-tarkastusta varten. Jotta voit suorittaa AVZ:n käyttäjien tietokoneissa, sinun on:

Aseta AVZ palvelimen verkkokansioon, joka on avoinna lukemista varten.
Luo LOG- ja Qurantine-alihakemistot tähän kansioon ja anna käyttäjien kirjoittaa niihin.
Käynnistä AVZ LAN-tietokoneissa käyttämällä rexec-apuohjelmaa tai kirjautumiskomentosarjaa.

AVZ:n käynnistäminen vaiheessa 3 tulee tehdä seuraavilla parametreilla:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Tässä tapauksessa parametri Priority=-1 alentaa AVZ-prosessin prioriteettia, parametrit nw=Y ja nq=Y siirtävät karanteenin "verkkoajo"-tilaan (tässä tapauksessa karanteenikansioon luodaan alihakemisto jokaiselle tietokoneelle, jonka nimi vastaa tietokoneen verkkonimeä) , HiddenMode=2 käskee estämään käyttäjältä pääsyn GUI- ja AVZ-säätimiin, ja lopuksi tärkein Script-parametri määrittää skriptin koko nimen komennot, jotka AVZ suorittaa käyttäjän tietokoneessa. AVZ-skriptikieli on melko yksinkertainen käyttää ja keskittyy yksinomaan tietokonetutkimuksen ja -hoidon ongelmien ratkaisemiseen. Skriptien kirjoittamisen yksinkertaistamiseksi voit käyttää erikoistunutta komentosarjaeditoria, joka sisältää online-kehotteen, ohjatun toiminnon standardikomentosarjojen luomiseen ja työkaluja kirjoitetun skriptin oikeellisuuden tarkistamiseen ilman sitä (kuva 1).

Riisi. 1. AVZ-skriptieditori

Katsotaanpa kolmea tyypillistä skriptiä, jotka voivat olla hyödyllisiä taistelussa epidemiaa vastaan. Ensinnäkin tarvitsemme PC-tutkimusohjelman. Skriptin tehtävänä on tutkia järjestelmä ja luoda protokolla tuloksista annettuun verkkokansioon. Skripti näyttää tältä:

AktivoiWatchDog(60 * 10);

// Aloita skannaus ja analysointi

// Järjestelmän tutkiminen

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//AVZ:n sammutus

Tätä komentosarjaa suoritettaessa luodaan LOG-kansioon HTML-tiedostot verkkotietokoneiden tutkimuksen tuloksista (olettaen, että ne on luotu palvelimen AVZ-hakemistoon ja että käyttäjät voivat kirjoittaa siihen) ja varmistaakseen ainutlaatuisuus, tutkittavan tietokoneen nimi sisältyy protokollan nimeen. Komentosarjan alussa on komento, joka ottaa käyttöön vahtikoiran ajastimen, joka lopettaa AVZ-prosessin väkisin 10 minuutin kuluttua, jos komentosarjan suorittamisen aikana ilmenee virheitä.

AVZ-protokolla on kätevä manuaaliseen tutkimukseen, mutta siitä on vain vähän hyötyä automaattisessa analyysissä. Lisäksi järjestelmänvalvoja tietää usein haittaohjelmatiedoston nimen ja tarvitsee vain tarkistaa sen olemassaolon tai puuttumisen Tämä tiedosto ja jos mahdollista, karanteeni analyysiä varten. Tässä tapauksessa voit käyttää seuraavaa komentosarjaa:

// Ota vahtikoiran ajastin käyttöön 10 minuutiksi

AktivoiWatchDog(60 * 10);

// Hae haittaohjelmia nimellä

QuarantineFile('%WinDir%\smss.exe', 'Epäilyttää LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Suspicion of LdPinch.gen');

//AVZ:n sammutus

Tämä komentosarja yrittää asettaa määritetyt tiedostot karanteeniin QuarantineFile-funktion avulla. Järjestelmänvalvoja voi vain analysoida karanteenin sisällön (kansio Karanteeni\verkon_nimi_PC\quarantine_date\) karanteeniin asetettujen tiedostojen varalta. Huomaa, että QuarantineFile-toiminto estää automaattisesti suojatun AVZ-tietokannan tai Microsoftin digitaalisen allekirjoituksen tietokannan tunnistamien tiedostojen karanteenin. varten käytännön sovellus tätä komentosarjaa voidaan parantaa - järjestä tiedostonimien lataaminen ulkoisesta tekstitiedostosta, tarkista löydetyt tiedostot AVZ-tietokannoista ja luo tekstiprotokolla työn tuloksista:

// Etsi tiedosto määritetyllä nimellä

function CheckByName(Fname: merkkijono) : boolen;

Tulos:= TiedostoOlemassa(FName) ;

jos Tulos niin aloita

case CheckFile(FName) of

1: S:= ‘, pääsy tiedostoon on estetty’;

1: S:= ‘, havaittu haittaohjelmaksi (’+GetLastCheckTxt+’)’;

2: S:= ', tiedostoskannerin epäilemä ('+GetLastCheckTxt+')';

3: poistuminen; // Turvalliset tiedostot ohitetaan

AddToLog('Tiedostolla '+NormalFileName(FName)+' on epäilyttävä nimi'+S);

//Lisää määritetty tiedosto karanteeniin

QuarantineFile(FName,'epäilyttävä tiedosto'+S);

SuspNames: TStringList; // Luettelo epäilyttävien tiedostojen nimistä

// Tiedostojen tarkistaminen päivitetyn tietokannan kanssa

jos FileExists(GetAVZDirectory + 'files.db'), aloita

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Nimitietokanta ladattu - tietueiden määrä = '+inttostr(SuspNames.Count));

// Hakusilmukka

i:= 0 - SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Virhe ladattaessa tiedostonimien luetteloa');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+'_files.txt');

Jotta tämä komentosarja toimisi, sinun on luotava AVZ-kansioon Quarantine- ja LOG-hakemistot, joihin käyttäjät voivat kirjoittaa, sekä tekstitiedosto files.db - tämän tiedoston jokainen rivi sisältää epäilyttävän tiedoston nimen. Tiedostojen nimet voivat sisältää makroja, joista hyödyllisimmät ovat %WinDir% (polku kohteeseen Windows-kansio) ja %SystemRoot% (polku System32-kansioon). Toinen analyysisuunta voisi olla käyttäjien tietokoneilla käynnissä olevien prosessien luettelon automaattinen tarkastelu. Tietoa käynnissä olevista prosesseista on järjestelmän tutkimusprotokollassa, mutta automaattiseen analyysiin on kätevämpää käyttää seuraavaa komentosarjan fragmenttia:

menettely ScanProcess;

S:= ''; S1:= '';

//Prosessiluettelon päivittäminen

RefreshProcessList;

AddToLog(’Prosessien määrä = ‘+IntToStr(GetProcessCount));

// Vastaanotetun listan analyysisykli

i:= 0 - GetProcessCount - 1 aloita

S1:= S1 + ‘,’ + PuraFileName(GetProcessName(i));

// Hae prosessia nimellä

if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 sitten

S:= S + GetProcessName(i)+',';

jos S<>''sitten

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

Prosessien tutkiminen tässä skriptissä suoritetaan erillisenä ScanProcess-proseduurina, joten se on helppo sijoittaa omaan komentosarjaansa. ScanProcess-menettely rakentaa kaksi luetteloa prosesseista: täydellinen lista prosessit (myöhempää analysointia varten) ja luettelo prosesseista, joita järjestelmänvalvojan näkökulmasta katsotaan vaarallisiksi. Tässä tapauksessa prosessia nimeltä "trojan.exe" pidetään vaarallisena esittelytarkoituksessa. Vaarallisten prosessien tiedot lisätään tekstitiedostoon _alarm.txt, tiedot kaikista prosesseista lisätään tiedostoon _all_process.txt. On helppo nähdä, että voit monimutkaistaa komentosarjaa lisäämällä siihen esimerkiksi tarkistamalla prosessitiedostot turvallisten tiedostojen tietokannasta tai tarkistamalla nimiä suoritettavat tiedostot prosessit ulkoisesti. Samanlaista menettelyä käytetään Smolenskenergossa käytettävissä AVZ-skripteissä: järjestelmänvalvoja tutkii säännöllisesti kerättyjä tietoja ja muokkaa komentosarjaa lisäämällä siihen tietoturvapolitiikan kieltämien ohjelmien prosessien nimet, esimerkiksi ICQ ja MailRu.Agent, mikä mahdollistaa voit nopeasti tarkistaa kiellettyjen ohjelmistojen olemassaolon tutkittavissa tietokoneissa. Toinen prosessiluettelon käyttötarkoitus on löytää tietokoneita, joista puuttuu vaadittu prosessi, kuten virustorjunta.

Lopuksi tarkastellaan viimeistä hyödyllisistä analyysiskripteistä - komentosarja kaikkien tiedostojen automaattiseen karanteeniin, joita turvallinen AVZ-tietokanta ja Microsoftin digitaalisen allekirjoituksen tietokanta eivät tunnista:

// Suorita autokaranteeni

ExecuteAutoQuarantine;

Automaattinen karanteeni tutkii käynnissä olevat prosessit ja ladatut kirjastot, palvelut ja ajurit, noin 45 automaattista käynnistysmenetelmää, selain- ja Explorer-laajennusmoduuleja, SPI/LSP-käsittelijöitä, ajoitustyöt, tulostusjärjestelmän käsittelijät jne. Karanteenin erityispiirre on, että siihen lisätään tiedostoja toistoohjauksella, joten autokaranteenitoimintoa voidaan kutsua toistuvasti.

Automaattisen karanteenin etuna on, että sen avulla järjestelmänvalvoja voi nopeasti kerätä mahdollisesti epäilyttävät tiedostot kaikilta verkon tietokoneilta tarkastettavaksi. Yksinkertaisin (mutta käytännössä erittäin tehokas) tiedostojen tutkimisen muoto voi olla tuloksena olevan karanteenin tarkistaminen useilla suosituilla virustorjuntaohjelmilla maksimiheuristisessa tilassa. On huomattava, että samanaikainen automaattisen karanteenin käynnistäminen useissa sadoissa tietokoneissa voi aiheuttaa suuren kuormituksen verkkoon ja tiedostopalvelimeen.

Liikennetutkimus

Liikennetutkimusta voidaan tehdä kolmella tavalla:

manuaalisesti käyttämällä haistajia;
puoliautomaattisessa tilassa - tässä tapauksessa haistaja kerää tietoja ja sitten sen protokollat käsitellään joko manuaalisesti tai jollain ohjelmistolla;
automaattisesti käyttämällä tunkeutumisen havainnointijärjestelmiä (IDS), kuten Snort (http://www.snort.org/) tai niiden ohjelmisto- tai laitteistoanalogeja. Yksinkertaisimmassa tapauksessa IDS koostuu haistajasta ja järjestelmästä, joka analysoi haistajan keräämiä tietoja.

Tunkeutumisen havaitsemisjärjestelmä on optimaalinen työkalu, koska sen avulla voit luoda sääntöjoukkoja verkkotoiminnan poikkeamien havaitsemiseksi. Sen toinen etu on seuraava: useimmat nykyaikaiset IDS:t mahdollistavat liikenteenvalvontaagenttien sijoittamisen useisiin verkkosolmuihin - agentit keräävät tietoa ja välittävät sen. Jos käytät snifferiä, on erittäin kätevää käyttää konsoli UNIX sniffer tcpdump. Esimerkiksi portin 25 ( SMTP-protokolla) käytä vain nuuskijaa komentorivi tyyppi:

tcpdump -i em0 -l tcp-portti 25 > smtp_log.txt

Tässä tapauksessa paketit kaapataan em0-rajapinnan kautta; tiedot siepatuista paketeista tallennetaan smtp_log.txt-tiedostoon. Protokolla on suhteellisen helppo analysoida manuaalisesti; tässä esimerkissä portin 25 toiminnan analysointi mahdollistaa sellaisten tietokoneiden tunnistamisen, joissa on aktiivisia roskapostibotteja.

Honeypotin sovellus

Vanhentunut tietokone, jonka suorituskyky ei salli sen käyttämistä ratkaisemiseen, voidaan käyttää ansana (Honeypot). tuotantotehtävät. Esimerkiksi 64 Mt:n Pentium Prota käytetään onnistuneesti ansina tekijän verkossa RAM-muisti. Tälle tietokoneelle sinun tulee asentaa lähiverkon yleisin käyttöjärjestelmä ja valita jokin seuraavista strategioista:

Asenna käyttöjärjestelmä ilman päivityspaketteja - se on osoitus aktiivisen verkkomadon ilmestymisestä verkkoon, joka hyödyntää mitä tahansa tämän käyttöjärjestelmän tunnettuja haavoittuvuuksia;
asenna käyttöjärjestelmä päivityksillä, jotka on asennettu muihin verkon tietokoneisiin - Honeypot on analoginen minkä tahansa työaseman kanssa.

Jokaisella strategialla on sekä hyvät että huonot puolensa; Kirjoittaja käyttää pääasiassa vaihtoehtoa ilman päivityksiä. Kun olet luonut Honeypotin, sinun tulee luoda levykuva sille nopea toipuminen järjestelmä, kun se on vahingoittunut haittaohjelmien takia. Vaihtoehtona levykuvalle voit käyttää muutosten palautusjärjestelmiä, kuten ShadowUseria ja sen analogeja. Kun olet rakentanut Honeypotin, sinun tulee ottaa huomioon, että useat verkkomatot etsivät tartunnan saaneita tietokoneita skannaamalla IP-alueen, joka lasketaan tartunnan saaneen tietokoneen IP-osoitteesta (yleisiä tyypillisiä strategioita ovat X.X.X.*, X.X.X+1.*, X.X.X-1.*), - siksi ihannetapauksessa jokaisessa aliverkossa pitäisi olla Honeypot. Lisävalmisteluelementteinä sinun tulee ehdottomasti avata pääsy useisiin kansioihin Honeypot-järjestelmässä, ja näihin kansioihin kannattaa laittaa useita eri muotoisia näytetiedostoja, minimisarja on EXE, JPG, MP3.

Luonnollisesti Honeypotin luotuaan järjestelmänvalvojan on seurattava sen toimintaa ja reagoitava mahdollisiin poikkeamiin Tämä tietokone. Auditoreita voidaan käyttää muutosten tallentamiseen ja haistajaa voidaan käyttää verkkotoiminnan tallentamiseen. Tärkeä pointti Useimmat haistajat voivat määrittää hälytyksen lähettämisen järjestelmänvalvojalle, jos tietty verkkotoiminto havaitaan. Esimerkiksi CommView snifferissä sääntö sisältää verkkopaketin kuvaavan "kaavan" määrittämisen tai kvantitatiivisten kriteerien määrittämisen (lähetetään enemmän kuin määritetty määrä paketteja tai tavuja sekunnissa, pakettien lähettäminen tuntemattomiin IP- tai MAC-osoitteisiin) - Kuva. 2.

Riisi. 2. Luo ja määritä verkkotoiminnan hälytys

Varoituksena on kätevintä käyttää sähköpostiviestejä, jotka on lähetetty osoitteeseen Postilaatikko järjestelmänvalvoja - tässä tapauksessa voit vastaanottaa nopeat hälytykset kaikista verkon ansoista. Lisäksi, jos nuuskijan avulla voit luoda useita hälytyksiä, on järkevää erottaa verkon toiminta korostamalla työtä sähkopostilla, FTP/HTTP, TFTP, Telnet, MS Net, lisäsi liikennettä yli 20-30 pakettia sekunnissa mille tahansa protokollalle (kuva 3).

Riisi. 3. Ilmoituskirje lähetetty
jos määritettyjä ehtoja vastaavia paketteja havaitaan

Loukkua järjestettäessä on hyvä sijoittaa siihen useita verkossa käytettäviä haavoittuvia verkkopalveluita tai asentaa niille emulaattori. Yksinkertaisin (ja ilmainen) on oma APS-apuohjelma, joka toimii ilman asennusta. APS:n toimintaperiaate perustuu siihen, että se kuuntelee monia tietokannassa kuvattuja TCP- ja UDP-portteja ja antaa ennalta määrätyn tai satunnaisesti muodostetun vastauksen yhteyden muodostushetkellä (kuva 4).

Riisi. 4. APS-apuohjelman pääikkuna

Kuvassa on kuvakaappaus, joka on otettu todellisen APS-aktivoinnin aikana Smolenskenergo LAN -verkossa. Kuten kuvasta voidaan nähdä, yritettiin yhdistää yksi asiakastietokoneista porttiin 21. Protokollan analyysi osoitti, että yritykset ovat säännöllisiä ja ne tallentuvat useilla verkon ansoilla, minkä perusteella voimme päätellä, että verkkoa tarkistetaan FTP-palvelimien etsimiseksi ja hakkeroimiseksi salasanoja arvaamalla. APS pitää lokeja ja voi lähettää järjestelmänvalvojille raportteja rekisteröidyistä yhteyksistä valvottuihin portteihin, mikä on kätevää verkkoskannausten nopeaan havaitsemiseen.

Honeypotia luotaessa on myös hyödyllistä tutustua aihetta koskeviin verkkoresursseihin, erityisesti http://www.honeynet.org/. Tämän sivuston Työkalut-osiossa (http://www.honeynet.org/tools/index.html) on useita työkaluja hyökkäysten tallentamiseen ja analysointiin.

Haittaohjelmien etäpoisto

Ihannetapauksessa järjestelmänvalvoja lähettää haittaohjelmanäytteitä havaittuaan ne virustentorjuntalaboratorioon, jossa analyytikot tutkivat ne välittömästi ja vastaavat allekirjoitukset lisätään virustentorjuntatietokantaan. Nämä allekirjoitukset läpi automaattinen päivitys päästä käyttäjän tietokoneelle, ja virustorjunta poistaa haittaohjelmat automaattisesti ilman järjestelmänvalvojan väliintuloa. Tämä ketju ei kuitenkaan aina toimi odotetulla tavalla; erityisesti seuraavat epäonnistumisen syyt ovat mahdollisia:

Useista verkonvalvojasta riippumattomista syistä kuvat eivät välttämättä pääse virustentorjuntalaboratorioon;
virustentorjuntalaboratorion riittämätön tehokkuus - ihannetapauksessa näytteiden tutkiminen ja niiden syöttäminen tietokantaan kestää enintään 1-2 tuntia, mikä tarkoittaa, että päivitetyt allekirjoitustietokannat voidaan saada työpäivän sisällä. Kaikki virustentorjuntalaboratoriot eivät kuitenkaan toimi niin nopeasti, ja päivityksiä voi odottaa useita päiviä (harvinaisissa tapauksissa jopa viikkoja);
virustorjunnan korkea suorituskyky - useat haittaohjelmat tuhoavat aktivoinnin jälkeen viruksia tai muuten häiritsevät niiden toimintaa. Klassisia esimerkkejä ovat merkintöjen tekeminen isäntätiedostoon, joka estää normaalia työtä virustentorjuntajärjestelmät, automaattiset päivitysjärjestelmät, prosessien, palvelujen ja virustorjuntaohjaimien poistaminen, niiden asetusten vaurioituminen jne.

Siksi yllä olevissa tilanteissa sinun on käsiteltävä haittaohjelmia manuaalisesti. Useimmissa tapauksissa tämä ei ole vaikeaa, koska tietokonetutkimuksen tulokset paljastavat tartunnan saaneet tietokoneet sekä haittaohjelmatiedostojen täydelliset nimet. Jäljelle jää vain niiden poistaminen etänä. Jos haittaohjelmaa ei ole suojattu poistamiselta, se voidaan tuhota seuraavalla AVZ-komentosarjalla:

// Tiedoston poistaminen

DeleteFile('tiedostonimi');

ExecuteSysClean;

Tämä komentosarja poistaa yhden määritetyn tiedoston (tai useita tiedostoja, koska skriptissä voi olla rajoittamaton määrä DeleteFile-komentoja) ja puhdistaa sitten rekisterin automaattisesti. Monimutkaisemmassa tapauksessa haittaohjelma voi suojautua poistumiselta (esimerkiksi luomalla uudelleen tiedostonsa ja rekisteriavaimensa) tai naamioitua rootkit-tekniikalla. Tässä tapauksessa komentosarjasta tulee monimutkaisempi ja se näyttää tältä:

// Anti-rootkit

SearchRootkit(true, true);

// Ohjaa AVZGuardia

AsetaAVZGuardStatus(tosi);

// Tiedoston poistaminen

DeleteFile('tiedostonimi');

// Ota BootCleaner-loki käyttöön

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Tuo BootCleaner-tehtävään luettelo komentosarjan poistamista tiedostoista

BC_ImportDeletedList;

// Aktivoi BootCleaner

// Heuristisen järjestelmän puhdistus

ExecuteSysClean;

Käynnistä Windows uudelleen (true);

Tämä komentosarja sisältää aktiivisen toiminnan rootkiteille, AVZGuard-järjestelmän (tämä on haittaohjelmien toiminnan estäjä) ja BootCleaner-järjestelmän käytön. BootCleaner on ohjain, joka poistaa tietyt objektit KernelModesta uudelleenkäynnistyksen aikana, järjestelmän käynnistyksen varhaisessa vaiheessa. Käytäntö osoittaa, että tällainen komentosarja pystyy tuhoamaan suurimman osan olemassa olevista haittaohjelmista. Poikkeuksen muodostavat haittaohjelmat, jotka muuttavat suoritettavien tiedostojensa nimet jokaisen uudelleenkäynnistyksen yhteydessä – tässä tapauksessa järjestelmän tarkistuksen aikana löydetyt tiedostot voidaan nimetä uudelleen. Tässä tapauksessa sinun on desinfioitava tietokoneesi manuaalisesti tai luotava omat haittaohjelmaallekirjoituksesi (esimerkki allekirjoitusten haun toteuttavasta komentosarjasta on kuvattu AVZ-ohjeessa).

Johtopäätös

Tässä artikkelissa tarkastelimme joitain käytännön tekniikoita LAN-epidemian torjumiseksi manuaalisesti ilman virustorjuntatuotteita. Useimpia kuvatuista tekniikoista voidaan käyttää myös ulkomaisten tietokoneiden ja troijalaisten kirjanmerkkien etsimiseen käyttäjien tietokoneissa. Jos sinulla on vaikeuksia löytää haittaohjelmia tai luoda hoitoskriptejä, järjestelmänvalvoja voi käyttää keskustelupalstan "Ohje"-osiota http://virusinfo.info tai "Fighting Viruses" -osiota keskustelupalstalla http://forum.kaspersky.com /index.php?showforum= 18. Protokollatutkimus ja hoitoapu suoritetaan molemmilla foorumeilla maksutta, PC-analyysi suoritetaan AVZ-protokollien mukaisesti, ja useimmissa tapauksissa hoito perustuu AVZ-skriptin suorittamiseen tartunnan saaneilla tietokoneilla, jotka ovat kokeneet näiden foorumien kokeneet asiantuntijat. .

Jotka joutuvat odottamaan fyysisen tiedoston luomista käyttäjän tietokoneelle, verkkosuojaus alkaa analysoida käyttäjän tietokoneelle verkon kautta saapuvia tietovirtoja ja estää uhat ennen niiden pääsyä järjestelmään.

Symantec-tekniikoiden tarjoamat verkkosuojauksen pääalueet ovat:

Drive-by-lataukset, verkkohyökkäykset;
- "Social Engineering" -hyökkäykset: FakeAV (fake antiviruses) ja koodekit;
- Hyökkäys läpi sosiaalinen media kuten Facebook;
- Haittaohjelmien, rootkittien ja bottien saastuttamien järjestelmien havaitseminen;
- Suojaus kehittyneitä uhkia vastaan;
- Nollapäivän uhkat;
- Suojaus korjaamattomilta ohjelmiston haavoittuvuuksilta;
- Suojaus haitallisilta verkkotunnuksilta ja IP-osoitteilta.

Verkkosuojaustekniikat

"Verkon suojaus" -taso sisältää 3 erilaista tekniikkaa.

Verkon tunkeutumisen estoratkaisu (Network IPS)

Verkko-IPS-tekniikka ymmärtää ja skannaa yli 200 erilaista protokollaa. Se leikkaa älykkäästi ja tarkasti binääri- ja verkkoprotokolla, etsii samanaikaisesti merkkejä haitallisesta liikenteestä. Tämä älykkyys mahdollistaa tarkemman verkkoskannauksen, mutta silti tarjoaa luotettava suoja. Sen "sydämessä" on hyväksikäyttöä estävä moottori, joka tarjoaa avoimille haavoittuvuuksille käytännössä läpäisemättömän suojan. Symantec IPS:n ainutlaatuinen ominaisuus on, että tämä komponentti ei vaadi konfigurointia. Kaikki sen toiminnot toimivat, kuten sanotaan, "pakkauksesta". Tämä tärkeä tekniikka on oletuksena käytössä kaikissa Norton-kuluttajatuotteissa ja kaikissa Symantec Endpoint Protection -tuotteen versioissa 12.1 ja uudemmissa.

Selaimen suojaus

Tämä suojausmoottori sijaitsee selaimen sisällä. Se pystyy havaitsemaan monimutkaisimmat uhat, joita perinteinen virustorjunta tai verkko-IPS eivät pysty havaitsemaan. Nykyään monet verkkohyökkäykset käyttävät hämärätekniikoita havaitsemisen välttämiseksi. Koska Browser Protection toimii selaimen sisällä, se pystyy tarkastelemaan ei vielä piilotettua (hämärittyä) koodia ajon aikana. Tämän avulla voit havaita ja estää hyökkäyksen, jos se on jäänyt huomaamatta alemmilla ohjelman suojaustasoilla.

Luvaton lataussuojaus (UXP)

Verkon suojakerroksen sisällä sijaitseva viimeinen puolustuslinja auttaa peittämään ja lieventämään tuntemattomien ja korjaamattomien haavoittuvuuksien vaikutuksia ilman allekirjoituksia. Tämä tarjoaa lisäsuojan Zero Day -hyökkäyksiä vastaan.

Ongelmiin keskittyminen

Yhdessä toimimalla verkon tietoturvatekniikat ratkaisevat seuraavat ongelmat.

Drive-by-lataukset ja verkkohyökkäyspakkaukset

Symantecin verkon suojaustekniikat estävät Drive-by-lataukset ja estävät olennaisesti haittaohjelmia pääsemästä edes käyttäjän järjestelmään käyttämällä Network IPS-, Browser Protection- ja UXP-teknologiaa. Harjoitetaan erilaisia ennaltaehkäiseviä menetelmiä, joihin sisältyy näiden samojen tekniikoiden käyttö, mukaan lukien Generic Exploit Blocking -teknologia ja verkkohyökkäysten havaitsemistyökalut. Yleinen verkkohyökkäysten tunnistustyökalu analysoi yleisen verkkohyökkäyksen ominaisuuksia riippumatta hyökkäyksen kohteena olevasta haavoittuvuudesta. Tämän avulla voit tarjota lisäsuojaa uusille ja tuntemattomille haavoittuvuuksille. Parasta tämän tyyppisessä suojauksessa on, että jos haitallinen tiedosto "hiljaisesti" saastuttaa järjestelmän, se silti pysäytetään ennakoivasti ja poistetaan järjestelmästä: tämä on juuri se käyttäytyminen, jota perinteiset virustorjuntatuotteet yleensä kaipaavat. Symantec kuitenkin estää edelleen kymmeniä miljoonia haittaohjelmien muunnelmia, joita ei yleensä voida havaita muilla tavoilla.

Sosiaalisen suunnittelun hyökkäykset

Koska Symantecin tekniikka tarkkailee verkko- ja selainliikennettä sen liikkuessa, se havaitsee "Social Engineering" -hyökkäykset, kuten FakeAV tai väärennetyt koodekit. Tekniikat on suunniteltu estämään tällaiset hyökkäykset ennen kuin ne ilmestyvät käyttäjän näytölle. Useimmat muut kilpailevat ratkaisut eivät sisällä tätä tehokasta ominaisuutta.

Symantec estää satoja miljoonia tämäntyyppisiä hyökkäyksiä online-uhkien suojaustekniikalla.

Sosiaalisen median sovelluksiin kohdistetut hyökkäykset

Sosiaalisen median sovelluksista on tullut viime aikoina laajalti suosittuja, koska niiden avulla voit välittömästi jakaa erilaisia viestejä, mielenkiintoisia videoita ja tietoja tuhansien ystävien ja käyttäjien kanssa. Tällaisten ohjelmien laaja levinneisyys ja potentiaali tekevät niistä hakkereiden ykköskohteen. Joitakin yleisiä hakkereiden temppuja ovat väärennettyjen tilien luominen ja roskapostin lähettäminen.

Symantecin IPS-tekniikka voi suojautua tämän tyyppisiltä huijausmenetelmiltä ja estää ne usein ennen kuin käyttäjä edes napsauttaa niitä. Symantec estää petolliset ja väärennetyt URL-osoitteet, sovellukset ja muut petostekniikat online-uhkien suojaustekniikalla.

Haittaohjelmien, rootkit-ohjelmien ja bot-tartunnan saaneiden järjestelmien havaitseminen

Eikö olisi mukavaa tietää tarkalleen missä verkossa tartunnan saanut tietokone sijaitsee? Symantecin IPS-ratkaisut tarjoavat tämän ominaisuuden, mukaan lukien sellaisten uhkien havaitsemisen ja palauttamisen, jotka ovat saattaneet kiertää muita suojauskertoja. Symantecin ratkaisut havaitsevat haittaohjelmat ja robotit, jotka yrittävät tehdä automaattisia numeroita tai ladata "päivityksiä" lisätäkseen toimintaansa järjestelmässä. Näin IT-päälliköt, joilla on selkeä luettelo tarkistettavista järjestelmistä, voivat olla varmoja siitä, että heidän yrityksensä on suojattu. Polymorfiset ja monimutkaiset stealth-uhat rootkit-tekniikoilla, kuten Tidserv, ZeroAccess, Koobface ja Zbot, voidaan pysäyttää ja poistaa tällä menetelmällä.

Suojaus hämärtyneitä uhkia vastaan

Nykypäivän verkkohyökkäykset käyttävät monimutkaisia tekniikoita hyökkäysten monimutkaisuuden lisäämiseksi. Symantecin Browser Protection sijaitsee selaimen sisällä ja pystyy havaitsemaan erittäin monimutkaisia uhkia, joita perinteiset menetelmät eivät usein pysty havaitsemaan.

Nollapäivän uhkia ja korjaamattomia haavoittuvuuksia

Yksi yrityksen aiemmista tietoturvalisäyksistä on ylimääräinen suojakerros nollapäivän uhkia ja korjaamattomia haavoittuvuuksia vastaan. Allekirjoittamattoman suojauksen avulla ohjelma sieppaa System API -kutsut ja suojaa haittaohjelmien latauksilta. Tätä tekniikkaa kutsutaan UXP-suojaukseksi (Un-Authorized Download Protection). Se on viimeinen tukilinja verkon uhkien suojausekosysteemissä. Näin tuote "peittää" tuntemattomia ja korjaamattomia haavoittuvuuksia ilman allekirjoituksia. Tämä tekniikka on oletusarvoisesti käytössä, ja se on löytynyt jokaisesta Norton 2010 -julkaisun jälkeen julkaistusta tuotteesta.

Suojaus korjaamattomilta ohjelmiston haavoittuvuuksilta

Haitalliset ohjelmat asennetaan usein ilman käyttäjän tietämättä ohjelmiston haavoittuvuuksia. Symantecin verkkoturvallisuus tarjoaa ylimääräisen suojakerroksen, jota kutsutaan nimellä Generic Exploit Blocking (GEB). Riippumatta siitä, onko Viimeisimmät päivitykset tai ei, GEB "enimmäkseen" suojaa taustalla olevia haavoittuvuuksia hyväksikäytöltä. Oracle Sun Javan haavoittuvuudet, Adobe Acrobat Lukija, Adobe Flash, Internet Explorer, ActiveX-komponentit tai QuickTime ovat nyt kaikkialla käytössä. Generic Exploit Protection luotiin "käänteissuunnittelulla" selvittämällä, kuinka haavoittuvuutta voitaisiin hyödyntää verkossa, tarjoten samalla erityisen korjaustiedoston verkon tasolla. Yksittäinen GEB eli haavoittuvuusallekirjoitus voi tarjota suojan tuhansia uusia ja tuntemattomia haittaohjelmaversioita vastaan.

Haitalliset IP-osoitteet ja verkkotunnuksen esto

Symantecin verkkosuojaus sisältää myös mahdollisuuden estää haitalliset verkkotunnukset ja IP-osoitteet ja samalla pysäyttää haittaohjelmat ja liikenteen tunnetuilta haitallisilta sivustoilta. STARin tarkan verkkosivustoanalyysin ja päivitysten ansiosta Symantec tarjoaa reaaliaikaisen suojan jatkuvasti muuttuvia uhkia vastaan.

Parempi väistövastus

Lisäkoodausten tuki on lisätty parantamaan hyökkäysten havaitsemisen tehokkuutta käyttämällä salaustekniikoita, kuten base64 ja gzip.

Verkon tarkastuksen havaitseminen käyttökäytäntöjen valvomiseksi ja tietovuotojen tunnistamiseksi

Verkon IPS:n avulla voidaan tunnistaa sovelluksia ja työkaluja, jotka voivat rikkoa yrityksen käyttökäytäntöjä, tai estää tietovuodot verkon yli. On mahdollista havaita, varoittaa tai estää liikennettä, kuten pikaviestintä, P2P, sosiaalinen media tai muuta "kiinnostavaa" liikennettä.

STAR Intelligence Communication Protocol

Verkon suojaustekniikka ei toimi itsestään. Moottori kommunikoi muiden turvapalvelujen kanssa STAR Intelligence Communication (STAR ICB) -protokollan avulla. Network IPS -moottori muodostaa yhteyden Symantec Sonar -moottoriin ja sitten Insight Reputation -moottoriin. Näin voit tarjota informatiivisemman ja tarkemman suojan.

Seuraavassa artikkelissa tarkastellaan Behavior Analyzer -tasoa.

Perustuu Symantecin materiaaleihin

Virustorjunta on asennettava jokaiseen Windows-tietokoneeseen. Pitkään tätä pidettiin kultaisena sääntönä, mutta nykyään tietoturva-asiantuntijat keskustelevat tietoturvaohjelmistojen tehokkuudesta. Kriitikot väittävät, että virukset eivät aina suojaa, ja joskus jopa päinvastoin - huolimattomasta toteutuksesta johtuen ne voivat luoda aukkoja järjestelmän turvallisuuteen. Tällaisten ratkaisujen kehittäjät ovat ristiriidassa keskenään tämä mielipide vaikuttava määrä estettyjä hyökkäyksiä, ja markkinointiosastot vannovat edelleen tuotteidensa tarjoaman kattavan suojan alle.

Totuus on jossain puolivälissä. Virustentorjuntaohjelmat eivät toimi moitteettomasti, mutta kaikkia niitä ei voida kutsua hyödyttömiksi. Ne varoittavat useista uhista, mutta ne eivät riitä pitämään Windowsin mahdollisimman suojattuna. Sinulle käyttäjänä tämä tarkoittaa seuraavaa: voit joko heittää virustorjunnan roskakoriin tai luottaa siihen sokeasti. Mutta tavalla tai toisella, se on vain yksi turvallisuusstrategian lohkoista (vaikkakin suuri). Toimitamme sinulle yhdeksän lisää näitä "tiiliä".

Turvallisuusuhka: Virustentorjunta

> Mitä kriitikot sanovat Nykyisen kiistan virustarkistuksista sai alkunsa entinen Firefox-kehittäjä Robert O'Callaghan. Hän väittää: virustorjunta uhkaa Windowsin turvallisuutta, ja ne pitäisi poistaa. Ainoa poikkeus on Microsoftin Windows Defender.

> Mitä kehittäjät sanovat Virustentorjuntaohjelmien luojat, mukaan lukien Kaspersky Lab, väitteenä he mainitsevat vaikuttavia lukuja. Siten vuonna 2016 tämän laboratorion ohjelmistot rekisteröivät ja estivät noin 760 miljoonaa Internet-hyökkäystä käyttäjien tietokoneisiin.

> Mitä CHIP ajattelee Viruksia ei pidä pitää jäännöksenä tai ihmelääkkeenä. Ne ovat vain tiili turvarakennuksessa. Suosittelemme käyttämään kompakteja virustorjuntaohjelmia. Mutta älä huoli liikaa: Windows Defender on hyvä. Voit jopa käyttää yksinkertaisia kolmannen osapuolen skannereita.

Valitse oikea virustorjunta

Olemme, kuten ennenkin, vakuuttuneita siitä, että Windowsia ei voida ajatella ilman virustorjuntaa. Sinun tarvitsee vain valita oikea tuote. Tensin käyttäjille tämä voi olla jopa sisäänrakennettu Windows Defender. Huolimatta siitä, että testiemme aikana se ei osoittanut parasta tunnistustasoa, se on integroitu täydellisesti järjestelmään ja mikä tärkeintä, ilman turvallisuusongelmia. Lisäksi Microsoft on parantanut tuotettaan Windows 10:n Creators Update -päivityksessä ja yksinkertaistanut sen hallintaa.

Muiden kehittäjien virustorjuntapakettien tunnistusaste on usein korkeampi kuin Defenderin. Kannatamme kompaktia ratkaisua. Luokituksemme johtaja Tämä hetki on Kaspersky Internet Turvallisuus 2017. Ne, jotka voivat kieltäytyä sellaisista lisävaihtoehdoista kuin Lapsilukko ja salasanojen hallinta, heidän pitäisi kiinnittää huomionsa edullisempaan Kaspersky Labin vaihtoehtoon.

Seuraa päivityksiä

Jos meidän pitäisi valita vain yksi keino pitääksemme Windowsin suojattuna, ottaisimme ehdottomasti käyttöön päivitykset. Tässä tapauksessa puhumme tietysti ensisijaisesti Windows-päivityksistä, mutta ei vain. Asennetut ohjelmistot, mukaan lukien Office, Firefox ja iTunes, tulee myös päivittää säännöllisesti. Windowsissa järjestelmäpäivitysten saaminen on suhteellisen helppoa. Sekä "seitsemän" että "kymmenen" korjaustiedostot asennetaan automaattisesti oletusasetuksia käyttäen.

Ohjelmien osalta tilanne vaikeutuu, sillä kaikki eivät ole yhtä helppoja päivittää kuin Firefox ja Chrome, joissa on sisäänrakennettu automaattinen päivitystoiminto. SUMo (Software Update Monitor) -apuohjelma auttaa sinua tämän tehtävän ratkaisemisessa ja ilmoittaa sinulle päivitysten saatavuudesta. Siihen liittyvä ohjelma, DUMo (Driver Update Monitor), tekee saman työn ohjaimille. Molemmat ilmaiset avustajat ilmoittavat kuitenkin vain uusista versioista - sinun on ladattava ja asennettava ne itse.

Aseta palomuuri

Windowsin sisäänrakennettu palomuuri tekee työnsä hyvin ja estää luotettavasti kaikki saapuvat pyynnöt. Se pystyy kuitenkin enemmän - oletuskokoonpano ei rajoita sen potentiaalia: kaikki asennetut ohjelmat heillä on oikeus avata palomuurissa olevia portteja kysymättä. Ilmainen Windows Firewall Control -apuohjelma antaa sinulle lisää ominaisuuksia.

Käynnistä se ja aseta "Profiilit"-valikossa suodattimeksi "Keskitasoinen suodatus". Tämän ansiosta palomuuri ohjaa myös lähtevää liikennettä tiettyjen sääntöjen mukaisesti. Päätät itse, mitkä toimenpiteet sisällytetään. Voit tehdä tämän napsauttamalla ohjelmanäytön vasemmassa alakulmassa olevaa muistiinpanokuvaketta. Näin voit tarkastella sääntöjä ja myöntää luvan yhdellä napsautuksella erillinen ohjelma tai estä se.

Käytä erityistä suojausta

Päivitykset, virustorjunta ja palomuuri – olet jo huolehtinut tästä suuresta turvatoimien kolmiosta. On aika hienosäätö. Windowsin lisäohjelmien ongelmana on usein se, että ne eivät hyödynnä kaikkia järjestelmän tarjoamia suojausominaisuuksia. Hyödyntämisen estävä apuohjelma, kuten EMET (Enhanced Mitigation Experience Toolkit), vahvistaa asennettua ohjelmistoa entisestään. Voit tehdä tämän napsauttamalla "Käytä suositeltuja asetuksia" ja anna ohjelman käynnistyä automaattisesti.

Vahvista salausta

Voit parantaa henkilötietojen suojaa merkittävästi salaamalla ne. Vaikka tietosi joutuisivat vääriin käsiin, hakkeri ei pysty poistamaan hyvää koodausta ainakaan heti. Ammattimaisessa Windows-versiot BitLocker-apuohjelma on jo toimitettu, ja se on määritetty ohjauspaneelin kautta.

VeraCrypt on vaihtoehto kaikille käyttäjille. Tämä avoimen lähdekoodin ohjelma on epävirallinen seuraaja TrueCryptille, joka lopetettiin pari vuotta sitten. Jos me puhumme Vain henkilötietojen suojaamiseksi voit luoda salatun säilön "Luo määrä" -kohdan kautta. Valitse "Luo salattu tiedostosäilö" -vaihtoehto ja noudata ohjatun toiminnon ohjeita. Valmiin tietoturvaan päästään Windowsin Resurssienhallinnan kautta, aivan kuten tavalliselta levyltä.

Suojaa käyttäjätilit

Monet haavoittuvuudet jäävät hakkereiden hyödyntämättä yksinkertaisesti siksi, että tietokoneella työskennellään tavallisella tilillä rajoitetuilla oikeuksilla. Joten päivittäisiä tehtäviä varten sinun tulee myös määrittää tällainen tili. Windows 7:ssä tämä tehdään Ohjauspaneelin ja Lisää ja poista käyttäjätilejä -kohdan kautta. Napsauta kymmenen parhaan joukossa kohtaa "Asetukset" ja "Tilit" ja valitse sitten "Perhe ja muut ihmiset".

Aktivoi VPN kodin ulkopuolella

Kotona sisään langaton verkko Turvatasosi on korkea, koska hallitset sitä, kenellä on pääsy paikallisverkkoon ja olet vastuussa salauksesta ja pääsykoodeista. Kaikki on toisin esimerkiksi hotspottien tapauksessa
hotelleissa. Täällä Wi-Fi jaetaan kolmansien osapuolien käyttäjien kesken, etkä voi vaikuttaa verkkoon pääsyn turvallisuuteen. Suojauksen vuoksi suosittelemme VPN:n (Virtual Private Network) käyttöä. Jos sinun tarvitsee vain selata sivustoja tukiaseman kautta, sisäänrakennettu VPN tulee sisään uusin versio Opera selain. Asenna selain ja napsauta "Asetukset" -kohdasta "Turvallisuus". Valitse VPN-osiossa Ota VPN käyttöön -valintaruutu.

Katkaise käyttämättömät langattomat yhteydet

okei

Jopa yksityiskohdat voivat päättää tilanteen lopputuloksen. Jos et käytä Wi-Fi- ja Bluetooth-yhteyksiä, sammuta ne sulkeaksesi mahdolliset porsaanreiät. Windows 10:ssä helpoin tapa tehdä tämä on Action Centerin kautta. "Seitsemän" tarjoaa tähän tarkoitukseen ohjauspaneelin "Verkkoyhteydet"-osion.

Hallitse salasanoja

Jokaista salasanaa saa käyttää vain kerran, ja sen tulee sisältää erikoismerkkejä, numeroita, isoja ja pieniä kirjaimia. Ja myös mahdollisimman pitkä - mieluiten kymmenen tai enemmän merkkiä. Salasanasuojauksen periaate on saavuttanut rajansa tänään, koska käyttäjien on muistettava liikaa. Siksi tällainen suoja olisi mahdollisuuksien mukaan korvattava muilla menetelmillä. Otetaan esimerkiksi kirjautuminen Windowsiin: Jos sinulla on Windows Hellota tukeva kamera, kirjaudu sisään kasvojentunnistuksen avulla. Muissa koodeissa suosittelemme käyttämään salasananhallintaohjelmia, kuten KeePassia, jotka tulee suojata vahvalla pääsalasanalla.

Suojaa yksityisyytesi selaimessa

On monia tapoja suojata yksityisyyttäsi verkossa. Yksityisyysasetukset-laajennus on ihanteellinen Firefoxille. Asenna se ja aseta se "Full Privacy" -tilaan. Tämän jälkeen selain ei anna tietoja käyttäytymisestäsi Internetissä.

Pelastusrengas: varmuuskopio

> Varmuuskopiot ovat erittäin tärkeitä Varmuuskopioida perustelee
itseäsi ei vain virustartunnan jälkeen. Se toimii myös hyvin, kun ilmenee ongelmia laitteiston kanssa. Neuvomme: tee kopio kaikista Windowsista kerran ja tee sitten lisäksi säännöllisesti varmuuskopiot kaikista tärkeistä tiedoista.

> Windows 10:n täydellinen arkistointi periytyi "seitsemältä" "Arkistointi ja palautus" -moduulista. Sen avulla luot varmuuskopio järjestelmät. Voit myös käyttää erityisiä apuohjelmia, esimerkiksi True Image tai Macrium Reflect.

> True Image -tiedoston suojaus ja Macrium Reflectin maksullinen versio voivat tehdä kopioita tiettyjä tiedostoja ja kansiot. Ilmainen vaihtoehto arkistointia varten tärkeää tietoa tulee Personal Backup -ohjelmaksi.

KUVA: valmistusyritykset; NicoElNino/Fotolia.com

Kuinka voit suojata tietokoneesi etäkäytöltä? Kuinka estää pääsy tietokoneeseen selaimen kautta?

Kuinka suojata tietokoneesi etäkäytöltä, he yleensä ajattelevat, kun jotain on jo tapahtunut. Mutta luonnollisesti tämä on väärä päätös henkilölle, joka on mukana ainakin osassa omaa toimintaansa. Ja kaikkien käyttäjien on suositeltavaa rajoittaa pääsy tietokoneeseensa tuntemattomille. Ja tässä artikkelissa emme keskustele salasanan asettamismenetelmästä tietokoneeseen kirjautumiseen, vaan tarkastelemme vaihtoehtoa, kuinka estää pääsy tietokoneeseen paikallisverkosta tai toisesta tietokoneesta, jos ne on kytketty samaan verkkoon. Nämä tiedot ovat erityisen hyödyllisiä uusille PC-käyttäjille.

Ja niin, sisään käyttöjärjestelmä Windowsissa on ominaisuus nimeltä "Etäkäyttö". Ja jos sitä ei ole poistettu käytöstä, muut käyttäjät voivat hyödyntää tätä saadakseen tietokoneesi hallintaan. Vaikka olet johtaja ja sinun on valvottava työntekijöitäsi, sinun on luonnollisesti oltava pääsy heidän tietokoneeseensa, mutta sinun on suljettava omasi, jotta nämä samat työntekijät eivät katso kirjeenvaihtoasi sihteerisi kanssa - tämä on täynnä. .

ma	W	ke	to	pe	la	Aurinko

	1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Maaliskuu 2020

MAINONTA

Kuten tavallista, online-projekteja mainostetaan. Yleensä SEO copywriters yrittää laittaa niin paljon tekstiin kuin mahdollista hakukyselyt, taivuttaa heidät siihen

Kun ymmärrät tärkeimmät vivahteet, jotka erottavat väärennetyt iPhonet oikeista tuotteista, voit säästää rahaa ja välttää ostamasta huolimattomilta myyjiltä. Minkä vuoksi

Suosittuja luokassa: