Koti › Asennus ja asetukset › Tietokoneen tunnistus ja suojaus verkon kautta. Verkon suojaus. Ohjelma tietokoneverkkojen suojaamiseen. O Huono: Jaettujen hallintoresurssien haavoittuvuus

Tietokoneen tunnistus ja suojaus verkon kautta. Verkon suojaus. Ohjelma tietokoneverkkojen suojaamiseen. O Huono: Jaettujen hallintoresurssien haavoittuvuus

Jotkut ihmiset työskentelevät koko elämänsä parantaakseen yritysten ja yksityishenkilöiden turvallisuutta. Ja he käyttävät paljon aikaa korjatakseen Windowsin reikiä. Windows-järjestelmä on pääkanava haittaohjelma jotka luovat zombeja (robotteja), kuten luvussa 5 käsiteltiin, on vain jäävuoren huippu. On reilua sanoa, että suurin osa syyllisyydestä on Windowsin massiivisessa suosiossa, mutta Windows 7:ssä on niin paljon aukkoja, että on epäselvää, häiritseekö tämä ketään Microsoftia.

Uhkia on kolme päätyyppiä. Ensinnäkin henkilön kohdennettu hyökkäys, joka yrittää murtautua tietokoneellesi verkkoyhteyden kautta. Toiseksi tietokoneesi näppäimistön ääressä istuvan henkilön hyökkäys. Lopuksi madon tai muun haittaohjelman automaattinen hyökkäys on mahdollinen.

Windows 7:ssä ja vielä aikaisemmin Vistassa käyttäjätilien valvonta on käytössä, minkä pitäisi auttaa estämään tahattomat ja ei-toivotut ohjelmien asennukset - tästä, samoin kuin salasanoista ja salauksesta

Katso lisätietoja luvusta 7. Suurin osa roskapostista tulee kuitenkin verkkoyhteyden kautta, joten se on hyvä paikka aloittaa tietokoneen suojaaminen. Windows 7 -käyttöjärjestelmä sisältää useita ominaisuuksia, jotka mahdollistavat tietyn tason turvallisuuden ilman lisäohjelmistojen tai -laitteistojen hankintaa.

Valitettavasti monet näistä ominaisuuksista eivät ole oletusarvoisesti käytössä. Seuraavat tekijät ovat porsaanreikiä, joita ei pidä jättää huomiotta.

O Huono: UPnP-protokollan haavoittuvuus

Toinen ominaisuus nimeltä UPnP (Universal Plug-and-Play) voi paljastaa lisää haavoittuvuuksia verkossasi. Sopivampi nimi UPnP:lle olisi Network Plug and Play, koska tämä ominaisuus koskee vain verkkolaitteita. UPnP on standardijoukko, jonka avulla äskettäin yhdistetyt laitteet voivat ilmoittaa

läsnäolostasi UPnP-palvelimet verkossasi, samalla tavalla kuin USB-laitteet ilmoittavat läsnäolostaan Windowsin omistamalle järjestelmälle

Ulkoisesti UPnP-toiminto näyttää hyvältä. Käytännössä UPnP-standardin todennuksen puute ja se helppous, jolla haittaohjelmat voivat käyttää UPnP:tä palomuurin rei'ittämiseen sekä porttien välityssääntöjen luomiseen reitittimeen tuovat vain ongelmia. Tällä hetkellä UPnP:tä käytetään joissakin peleissä, useimmissa median laajennuksissa, pikaviestinnässä, etäavussa jne., mikä selittää, miksi tämä ominaisuus on oletuksena käytössä Windows 7:ssä ja monissa muissa verkkolaitteet. Mutta jos et tarvitse sitä, on parempi sammuttaa se.

Jos valitset Julkinen verkko, kun muodostat ensimmäisen yhteyden uusi verkko tai Verkko- ja jakamiskeskuksen kautta (Verkko- ja

^j Jakamiskeskus), UPnP on oletuksena pois käytöstä.

Voit poistaa UPnP:n käytöstä avaamalla Palvelut-ikkunan (services.msc). Etsi luettelosta SSDP Discovery Service -palvelu ja napsauta työkalupalkin Pysäytä palvelu -painiketta. Samaan aikaan UPnP Device Host pitäisi myös pysähtyä. Jos ei, lopeta myös se. Testaa nyt kaikki sovellukset tai laitteet, joiden epäilet käyttävän verkon etsintää, kuten mediapalvelimia tai laajennuksia. Jos sinulla ei ole sellaista, voit poistaa UPnP:n kokonaan käytöstä kaksoisnapsauttamalla kutakin palvelua ja valitsemalla Käynnistystyyppi-luettelosta Disabled. Muussa tapauksessa nämä palvelut käynnistyvät uudelleen, kun seuraavan kerran käynnistät Windowsin.

Avaa nyt reitittimen asetussivu (kuvattu aiemmin tässä luvussa) ja poista UPnP-palvelu käytöstä. Tämä on tarpeen, jotta sovelluksia estetään määrittämästä uusia portin edelleenlähetyssääntöjä. Jos reitittimesi ei salli sinun muuttaa UPnP-asetuksiasi, harkitse siirtymistä enemmän uusi versio laiteohjelmisto, kuten on kuvattu osiossa Päivitys uudempaan reitittimeen.

O Huono: avointen porttien haavoittuvuus

Etsi haavoittuvuuksia järjestelmästäsi etsimällä avoimia portteja jäljempänä tässä luvussa kuvatulla tavalla.

No: etätyöpöytä, mutta vain silloin kun sitä tarvitset

Etätyöpöytäominaisuus, joka on kuvattu kohdassa " Kaukosäädin tietokone" on oletuksena käytössä Windows 7 Professionalissa ja Ultimatessa. Jos et erityisesti tarvitse tätä ominaisuutta, se on kytkettävä pois päältä. Avaa Ohjauspaneelissa Järjestelmä ja valitse sitten Remote Access Settings -linkki. Tyhjennä Järjestelmän ominaisuudet -ikkunan Remote Access -sivulla Salli etätukiyhteydet tähän tietokoneeseen -valintaruudun valinta ja valitse alla oleva valintaruutu Älä salli yhteyksiä tähän tietokoneeseen.

Voi hyvä: tilin salasana

Teoriassa yleinen pääsy Tiedostojen käyttö ei toimi tileillä, joilla ei ole salasanaa, joka on oletusasetus uutta käyttäjätiliä luotaessa. Mutta salasanaton tili ei tarjoa minkäänlaista suojaa näppäimistösi ääressä istuvalta henkilöltä, ja jos se on käyttäjätili, jolla on järjestelmänvalvojan oikeudet, ovi on avoinna kaikille muille tämän tietokoneen käyttäjille. Katso luku 7, jossa käsitellään käyttäjätilejä ja salasanoja.

Tietoja kotiryhmistä ja tiedostojen jaosta

Jokainen jaettu kansio on mahdollisesti avoin ovi. Siksi julkinen pääsy tulisi myöntää vain niille kansioille, joihin se todella on tarpeen. Huomaa, että tiedostojen käyttöoikeudet ja jakamisoikeudet Windows 7:ssä ovat eri asioita. Tästä lisää luvussa 7.

O Huono: Ohjatun jakamismääritystoiminnon haavoittuvuus

Yksi tärkeimmistä syistä työryhmän luomiseen on tiedostojen ja tulostimien jakaminen. Mutta on järkevää jakaa vain ne kansiot, jotka sinun on jaettava, ja poistaa jakaminen käytöstä kaikilta muilta. Ominaisuus nimeltä Use Sharing Wizard, joka on kuvattu luvussa 2 ja kuvattu luvussa 7, ei anna sinulle täydellistä hallintaa siihen, kuka voi tarkastella ja muokata tiedostojasi.

O Huono: Jaettujen hallintoresurssien haavoittuvuus

Jakamisominaisuus, jota käsitellään luvussa 7, antaa sinulle pääsyn kaikkiin tietokoneesi asemiin riippumatta siitä, jaatko kansioita näillä asemilla vai et.

Voi hyvä: palomuuri

Määritä palomuuri, jota käsitellään alla, ohjataksesi tiukasti verkkovirtaa tietokoneeseen sisään ja ulos, mutta älä luota Windowsin sisäänrakennetun palomuuriohjelmiston riittävän suojaksi.

A Hyvä: tukikeskus on hyvä, mutta siihen ei kannata täysin luottaa. 6.28 on ohjauspaneelin keskussivu, jota käytetään Windowsin palomuurin, Windows Defenderin, UserAccount Controlin ja automaattisten päivitysten hallintaan. Hän myös hallitsee virustorjuntaohjelmat, mutta puhtaasti poliittisista syistä Windows 7:llä ei ole omia virustorjuntaohjelmia.

Mikä tärkeintä, Toimintakeskus on vain katsoja. Jos se näkee, että tämä suojaustoiminto on käytössä, riippumatta siitä, onko se aktiivisesti käynnissä, Action Center on tyytyväinen etkä saa ilmoituksia.

Oletko kyllästynyt Action Centerin viesteihin? Napsauta vasemmalla olevaa Muuta toimintakeskuksen asetuksia -linkkiä ja valitse, mitkä ongelmat kannattaa ilmoittaa ja mitkä voit jättää huomiotta. Voit poistaa kaikki viestit Toimintokeskuksesta poistamalla käytöstä kaikki tämän sivun valintaruudut, mutta poistaaksesi koko ominaisuuden kokonaan käytöstä, sinun on avattava Palvelut-ikkuna (services.msc) ja sammutettava Toimintakeskus. Tämä ei sammuta mahdollisesti käyttämääsi palomuuria, virustentorjuntaa tai automaattisia päivityksiä, vaan ainoastaan näiden työkalujen valvontatyökaluja ja niihin liittyviä viestejä.

Et voi muuttaa palomuuri- tai haittaohjelmien torjunta-asetuksia täällä. Tätä varten sinun on palattava ohjauspaneeliin ja avattava siellä sopiva ohjelma.

Verkkomatojen epidemian ongelma on tärkeä kaikille paikallinen verkko. Ennemmin tai myöhemmin voi syntyä tilanne, kun lähiverkkoon tunkeutuu verkko- tai sähköpostimato, jota käytetty virustorjunta ei havaitse. Verkkovirus leviää lähiverkon yli käyttöjärjestelmän haavoittuvuuksien kautta, joita ei ollut suljettu tartuntahetkellä, tai jaettujen resurssien kautta, joihin voidaan kirjoittaa. Mail virus, kuten nimestä voi päätellä, jaetaan sähköpostitse edellyttäen, että asiakkaan virustorjunta ja virustorjunta eivät estä sitä sähköpostipalvelin. Lisäksi LAN:n epidemia voi organisoitua sisältä käsin sisäpiiriläisen toiminnan seurauksena. Tässä artikkelissa tarkastelemme käytännön menetelmiä LAN-tietokoneiden toiminnalliseen analysointiin käyttämällä erilaisia työkaluja, erityisesti käyttämällä kirjoittajan AVZ-apuohjelmaa.

Ongelman muotoilu

Mikäli verkossa havaitaan epidemia tai jokin epänormaali toiminta, järjestelmänvalvojan on ratkaistava viipymättä vähintään kolme tehtävää:

havaita verkon tartunnan saaneet tietokoneet;
löytää haittaohjelmanäytteitä virustentorjuntalaboratorioon lähetettäväksi ja kehittää vastatoimistrategia;
ryhdy toimenpiteisiin viruksen leviämisen estämiseksi lähiverkossa ja tuhoa se tartunnan saaneilla tietokoneilla.

Jos kyseessä on sisäpiiriläinen, analyysin päävaiheet ovat identtiset ja ne liittyvät useimmiten tarpeeseen havaita sisäpiiriläisen LAN-tietokoneisiin asentamat kolmannen osapuolen ohjelmistot. Esimerkki sellaisista ohjelmistoista ovat etähallintatyökalut, näppäinloggerit ja erilaisia troijalaisia kirjanmerkkejä.

Tarkastellaanpa yksityiskohtaisemmin kunkin tehtävän ratkaisua.

Etsi tartunnan saaneita tietokoneita

Ainakin kolmea tapaa voidaan käyttää tartunnan saaneiden tietokoneiden etsimiseen verkosta:

automaattinen PC-etäanalyysi - tietojen hankkiminen käynnissä olevista prosesseista, ladatuista kirjastoista ja ohjaimista, tyypillisten kuvioiden etsiminen - esimerkiksi prosesseista tai tiedostoista annettuja nimiä;
PC-liikenteen tutkimus haistajalla - tätä menetelmää erittäin tehokas roskapostirobottien, postin ja verkkomatojen pyydystämiseen, mutta suurin vaikeus snifferin käytössä johtuu siitä, että nykyaikainen LAN on rakennettu kytkimien pohjalle ja sen seurauksena järjestelmänvalvoja ei pysty valvomaan koko verkko. Ongelma ratkaistaan kahdella tavalla: ajamalla reitittimessä haistajaa (mikä mahdollistaa PC-tiedonvaihdon valvomisen Internetin kanssa) ja kytkimien valvontatoimintojen avulla (monet nykyaikaiset kytkimet voit määrittää valvontaportin, johon järjestelmänvalvojan määrittämän yhden tai useamman kytkinportin liikenne kopioidaan);
verkon kuormituksen tutkimus - tässä tapauksessa on erittäin kätevää käyttää älykkäitä kytkimiä, jotka mahdollistavat kuormituksen arvioimisen lisäksi myös järjestelmänvalvojan määrittämien porttien etäkäytön. Tämä toiminto yksinkertaistuu huomattavasti, jos järjestelmänvalvojalla on verkkokartta, joka sisältää tiedot siitä, mitkä tietokoneet on kytketty kytkimen vastaaviin portteihin ja missä ne sijaitsevat;
ansojen käyttö (honeypot) - on erittäin suositeltavaa luoda useita ansoja paikalliseen verkkoon, jotta järjestelmänvalvoja pystyy havaitsemaan epidemian ajoissa.

Verkon tietokoneiden automaattinen analyysi

Automaattinen PC-analyysi voidaan lyhentää kolmeen päävaiheeseen:

PC:n täydellisen tutkimuksen suorittaminen - käynnissä olevat prosessit, ladatut kirjastot ja ajurit, automaattinen käynnistys;
toiminnallisen tutkimuksen tekeminen - esimerkiksi tyypillisten prosessien tai tiedostojen etsiminen;
kohdekaranteenissa tiettyjen kriteerien mukaan.

Kaikki yllä olevat tehtävät voidaan ratkaista käyttämällä AVZ-apuohjelmaa, joka on suunniteltu käynnistettäväksi palvelimen verkkokansiosta ja joka tukee skriptikieltä automaattista PC-tutkimusta varten. Jotta voit suorittaa AVZ:n käyttäjien tietokoneissa, sinun on:

Aseta AVZ luettavaan verkkokansioon palvelimella.
Luo LOG- ja Qurantine-alihakemistot tähän kansioon ja anna käyttäjien kirjoittaa niihin.
Käynnistä AVZ LAN-tietokoneissa käyttämällä rexec-apuohjelmaa tai kirjautumiskomentosarjaa.

AVZ:n käynnistäminen vaiheessa 3 tulee tehdä seuraavilla parametreilla:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Tässä tapauksessa parametri Priority=-1 alentaa AVZ-prosessin prioriteettia, parametrit nw=Y ja nq=Y siirtävät karanteenin "verkon aloitus" -tilaan (tässä tapauksessa karanteenikansioon luodaan alihakemisto jokaiselle tietokoneelle, jonka nimi vastaa tietokoneen verkkonimeä) , HiddenMode=2 käskee estämään käyttäjältä pääsyn GUI- ja AVZ-ohjaukseen, ja lopuksi tärkein parametri Script määrittää komentosarjan koko nimen komennoilla. jonka AVZ suorittaa käyttäjän tietokoneessa. AVZ-skriptikieli on melko yksinkertainen käyttää, ja se keskittyy yksinomaan tietokoneen tutkimiseen ja käsittelyyn liittyvien ongelmien ratkaisemiseen. Skriptien kirjoittamisen yksinkertaistamiseksi voit käyttää erikoistunutta komentosarjaeditoria, joka sisältää kehotteen, ohjatun toiminnon tyypillisten komentosarjojen luomiseen ja työkaluja kirjoitetun skriptin oikeellisuuden tarkistamiseen ilman sitä (kuva 1).

Riisi. 1. AVZ-skriptieditori

Tarkastellaan kolmea tyypillistä skriptiä, jotka voivat olla hyödyllisiä taistelussa epidemiaa vastaan. Ensinnäkin tarvitsemme PC-tutkimusohjelman. Skriptin tehtävänä on tutkia järjestelmä ja luoda protokolla tuloksista annettuun verkkokansioon. Skripti näyttää tältä:

AktivoiWatchDog(60 * 10);

// Aloita skannaus ja analysointi

// Tutustu järjestelmään

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//AVZ:n sammutus

Tämän komentosarjan suorittamisen aikana LOG-kansioon (oletetaan, että se luotiin palvelimen AVZ-hakemistoon ja se on käyttäjien käytettävissä) luodaan HTML-tiedostoja verkkotietokoneiden tutkimuksen tuloksista, ja tutkittavan tietokoneen nimi sisällytetään protokollan nimeen ainutlaatuisuuden varmistamiseksi. Skriptin alussa on komento käynnistää watchdog-ajastin, joka pakottaa AVZ-prosessin lopettamaan 10 minuutin kuluttua, jos komentosarjan suorittamisessa ilmenee virheitä.

AVZ-protokolla on kätevä manuaaliseen tutkimukseen, mutta siitä on vain vähän hyötyä automaattisessa analyysissä. Lisäksi järjestelmänvalvoja tietää usein haittaohjelmatiedoston nimen ja tarvitsee vain tarkistaa sen olemassaolon tai puuttumisen annettu tiedosto ja jos on, karanteeni analyysiä varten. Tässä tapauksessa voit käyttää seuraavaa komentosarjaa:

// Ota vahtikoiran ajastin käyttöön 10 minuutiksi

AktivoiWatchDog(60 * 10);

// Hae haittaohjelmia nimellä

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen epäillään');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen epäillään');

//AVZ:n sammutus

Tämä komentosarja käyttää QuarantineFile-toimintoa, joka yrittää asettaa määritetyt tiedostot karanteeniin. Järjestelmänvalvojan tarvitsee vain analysoida karanteeniin asetettujen tiedostojen karanteenin sisältö (kansio Karanteeni\verkkotietokoneen_nimi\karanteenin_päivämäärä\). Huomaa, että QuarantineFile-toiminto estää automaattisesti suojatun AVZ-tietokannan tai Microsoft EDS-tietokannan tunnistamien tiedostojen karanteenin. varten käytännön sovellus tätä komentosarjaa voidaan parantaa - järjestä tiedostonimien lataaminen ulkoisesta tekstitiedostosta, vertaa löydetyt tiedostot AVZ-tietokantoihin ja muodosta tekstiprotokolla työn tuloksista:

// Etsi tiedosto määritetyllä nimellä

function CheckByName(Fname: merkkijono) : boolen;

Tulos:= TiedostoOlemassa(FName) ;

jos tulos, niin aloita

case CheckFile(FName) of

1: S:= ', tiedostojen käyttö estetty';

1: S:= ', tunnistettu haittaohjelmaksi ('+GetLastCheckTxt+')';

2: S:= ', tiedostoskannerin epäilemä ('+GetLastCheckTxt+')';

3: poistuminen; // Ohita turvalliset tiedostot

AddToLog('Tiedostolla '+NormalFileName(FName)+' on epäilyttävä nimi'+S);

//Määritetyn tiedoston lisääminen karanteeniin

QuarantineFile(FName,'epäilyttävä tiedosto'+S);

SuspNames: TStringList; // Luettelo epäilyttävien tiedostojen nimistä

// Tiedostojen tarkistaminen päivitetyn tietokannan kanssa

jos FileExists(GetAVZDirectory + 'files.db') aloita

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Nimitietokanta ladattu - merkintöjen määrä = '+inttostr(SuspNames.Count));

// Hakusilmukka

i:= 0 - SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Virhe ladattaessa tiedostonimiluetteloa');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

Jotta tämä skripti toimisi, sinun on luotava AVZ-kansioon Quarantine- ja LOG-hakemistot, joihin käyttäjät voivat kirjoittaa, sekä tekstitiedosto files.db - tämän tiedoston jokainen rivi sisältää epäilyttävän tiedoston nimen. Tiedostonimet voivat sisältää makroja, joista hyödyllisin on %WinDir% (polku kohteeseen Windows-kansio) ja %SystemRoot% (polku System32-kansioon). Toinen analyysisuunta voi olla käyttäjien tietokoneilla käynnissä olevien prosessien luettelon automaattinen tutkiminen. Tietoa käynnissä olevista prosesseista löytyy järjestelmän tutkimusprotokollasta, mutta automaattiseen analyysiin on kätevämpää käyttää seuraavaa komentosarjan fragmenttia:

menettely ScanProcess;

S:=''; S1:='';

// Päivitä prosessiluettelo

RefreshProcessList;

AddToLog('Prosessien määrä = '+IntToStr(GetProcessCount));

// Vastaanotetun listan analyysisykli

i:= 0 - GetProcessCount - 1 aloita

S1:= S1 + ',' + PuraFileName(GetProcessName(i));

// Hae prosessia nimellä

if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 then

S:= S + GetProcessName(i)+',';

jos S<>''sitten

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

Tämän skriptin prosessien tarkastelu suoritetaan erillisenä ScanProcess-proseduurina, joten se on helppo sijoittaa omaan skriptiin. ScanProcess-menettely rakentaa kaksi luetteloa prosesseista: täydellinen lista prosessit (lisäanalyysiä varten) ja luettelo prosesseista, joita järjestelmänvalvojan näkökulmasta pidetään vaarallisina. Tässä tapauksessa prosessia nimeltä "trojan.exe" pidetään vaarallisena esittelyä varten. Vaarallisten prosessien tiedot lisätään _alarm.txt-tekstitiedostoon, tiedot kaikista prosesseista lisätään _all_process.txt-tiedostoon. On helppo nähdä, että voit monimutkaistaa komentosarjaa lisäämällä esimerkiksi prosessitiedostot turvallisten tiedostojen tietokantaan tai prosessin suoritettavien tiedostojen nimet ulkoiseen tietokantaan. Samanlaista menettelyä käytetään Smolenskenergossa käytetyissä AVZ-skripteissä: järjestelmänvalvoja tutkii säännöllisesti kerätyt tiedot ja muokkaa komentosarjaa lisäämällä suojauskäytännön kieltämien ohjelmien prosessien nimet, esimerkiksi ICQ ja MailRu.Agent, mikä mahdollistaa voit nopeasti tarkistaa kiellettyjen ohjelmistojen esiintymisen tutkittavilla tietokoneilla. Toinen prosessiluettelon käyttötarkoitus on löytää tietokoneita, joista puuttuu vaadittu prosessi, kuten virustorjunta.

Lopuksi tarkastellaan viimeistä hyödyllisistä analyysiskripteistä - komentosarja kaikkien tiedostojen automaattiseen karanteeniin, joita suojattu AVZ-tietokanta ja Microsoft EDS -tietokanta eivät tunnista:

// Suorita automaattinen karanteeni

ExecuteAutoQuarantine;

Automaattinen karanteeni tutkii käynnissä olevat prosessit ja ladatut kirjastot, palvelut ja ajurit, noin 45 automaattista käynnistysmenetelmää, selain- ja Explorer-laajennusmoduuleja, SPI/LSP-käsittelijöitä, ajoitustyöt, tulostusjärjestelmän käsittelijät jne. Karanteenin ominaisuus on, että tiedostot lisätään siihen uudelleenyritysohjauksella, joten automaattista karanteenitoimintoa voidaan kutsua useita kertoja.

Automaattisen karanteenin etuna on, että sen avulla järjestelmänvalvoja voi nopeasti kerätä mahdollisesti epäilyttäviä tiedostoja kaikilta verkon tietokoneilta tutkimusta varten. Yksinkertaisin (mutta käytännössä erittäin tehokas) tiedostojen tutkimistapa voi olla vastaanotetun karanteenin tarkistaminen useilla suosituilla virustorjuntaohjelmilla maksimiheuristisessa tilassa. On huomattava, että Auto-Quarantine-ohjelman samanaikainen käynnistäminen useissa sadoissa tietokoneissa voi aiheuttaa suuren kuormituksen verkkoon ja tiedostopalvelimeen.

Liikennetutkimus

Liikennetutkimusta voidaan tehdä kolmella tavalla:

manuaalisesti käyttämällä haistajia;
puoliautomaattisessa tilassa - tässä tapauksessa haistaja kerää tietoja ja sitten sen protokollat käsitellään joko manuaalisesti tai jollain ohjelmistolla;
automaattisesti käyttämällä tunkeutumisen havainnointijärjestelmiä (IDS), kuten Snort (http://www.snort.org/) tai niiden ohjelmisto- tai laitteistovastineita. Yksinkertaisimmassa tapauksessa IDS koostuu haistajasta ja järjestelmästä, joka analysoi haistajan keräämiä tietoja.

Tunkeutumisen havaitsemisjärjestelmä on paras työkalu, koska sen avulla voit luoda sääntöjoukkoja verkkotoiminnan poikkeavuuksien havaitsemiseksi. Sen toinen etu on seuraava: useimmat nykyaikaiset IDS:t mahdollistavat liikenteenvalvontaagenttien sijoittamisen useisiin verkkosolmuihin - agentit keräävät tietoa ja välittävät sen. Jos käytät nuuskijaa, on erittäin kätevää käyttää tcpdump UNIX-konsolin nuuskijaa. Esimerkiksi portin 25 ( SMTP-protokolla) käytä vain nuuskijaa komentorivi tyyppi:

tcpdump -i em0 -l tcp-portti 25 > smtp_log.txt

Tässä tapauksessa paketit kaapataan em0-rajapinnan kautta; tiedot siepatuista paketeista tallennetaan smtp_log.txt-tiedostoon. Protokolla on suhteellisen helppo analysoida manuaalisesti, tässä esimerkissä portin 25 toiminnan analysoinnin avulla voit laskea PC:n aktiivisten roskapostirobottien kanssa.

Honeypot-sovellus

Ansuna (Honeypot) voit käyttää vanhentunutta tietokonetta, jonka suorituskyky ei salli sitä käyttää ratkaisemiseen tuotantotehtävät. Esimerkiksi kirjoittajan verkossa 64 Mt:n Pentium Prota käytetään onnistuneesti ansana. RAM-muisti. Tässä tietokoneessa sinun tulee asentaa lähiverkon yleisin käyttöjärjestelmä ja valita jokin seuraavista strategioista:

Asenna käyttöjärjestelmä ilman Service Pack -paketteja - se osoittaa aktiivisen verkkomadon ilmestymisen verkkoon, joka hyödyntää mitä tahansa tämän käyttöjärjestelmän tunnetuista haavoittuvuuksista;
asenna käyttöjärjestelmä päivityksillä, jotka on asennettu muihin verkon tietokoneisiin - Honeypot on minkä tahansa työaseman analogi.

Jokaisella strategialla on sekä hyvät että huonot puolensa; kirjoittaja käyttää enimmäkseen ei päivitystä -vaihtoehtoa. Kun olet luonut Honeypotin, sinun tulee luoda levykuva palauttaaksesi järjestelmän nopeasti sen jälkeen, kun haittaohjelmat ovat vahingoittaneet sitä. Vaihtoehtona levykuvalle voit käyttää muutosten palautusjärjestelmiä, kuten ShadowUseria ja sen analogeja. Honeypotin rakentamisen jälkeen on otettava huomioon, että monet verkkomatot etsivät tartunnan saaneita tietokoneita skannaamalla IP-alueen, joka lasketaan tartunnan saaneen tietokoneen IP-osoitteesta (yleisiä tyypillisiä strategioita ovat X.X.X.*, X.X.X+1.* , X.X.X-1.*), - siksi ihannetapauksessa jokaisessa aliverkossa pitäisi olla Honeypot. Lisävalmisteluelementteinä on tarpeen avata pääsy useisiin Honeypot-järjestelmän kansioihin, ja näihin kansioihin tulee sijoittaa useita eri muotoisia näytetiedostoja, vähimmäismäärä on EXE, JPG, MP3.

Luonnollisesti järjestelmänvalvojan on luotuaan Honeypotin valvottava sen toimintaa ja reagoitava kaikkiin tietokoneelta löytyviin poikkeamiin. Auditoreita voidaan käyttää muutosten rekisteröintiin ja haistajaa verkkotoiminnan rekisteröintiin. Tärkeä pointti on, että useimmat haistajat tarjoavat mahdollisuuden määrittää hälytyksen lähettämisen järjestelmänvalvojalle, jos verkkotoiminto havaitaan. Esimerkiksi CommView snifferissä sääntö sisältää verkkopaketin kuvaavan "kaavan" määrittämisen tai kvantitatiivisten kriteerien asettamisen (lähetetään enemmän kuin määritetty määrä paketteja tai tavuja sekunnissa, pakettien lähettäminen tuntemattomiin IP- tai MAC-osoitteisiin) - kuva 2.

Riisi. 2. Luo ja määritä verkkotoiminnan hälytys

Varoituksena on kätevintä käyttää osoitteeseen lähetettyjä sähköpostiviestejä Postilaatikko ylläpitäjä - tässä tapauksessa voit vastaanottaa reaaliaikaisia ilmoituksia kaikista verkon ansoista. Lisäksi, jos nuuskijan avulla voit luoda useita hälytyksiä, on järkevää erottaa verkon toiminta korostamalla sähköposti, FTP / HTTP, TFTP, Telnet, MS Net, lisäsi liikennettä yli 20-30 pakettia sekunnissa yli minkä tahansa protokollan (kuva 3).

Riisi. 3. Ilmoituskirje lähetetty
jos löydetään paketteja, jotka vastaavat määritettyjä ehtoja

Ansaa järjestettäessä kannattaa sijoittaa siihen useita verkossa käytettäviä haavoittuvia verkkopalveluita tai asentaa niiden emulaattori. Yksinkertaisin (ja ilmainen) on tekijän APS-apuohjelma, joka toimii ilman asennusta. APS:n toimintaperiaate rajoittuu tietokannassa kuvatun TCP- ja UDP-porttien joukon kuuntelemiseen ja ennalta määritellyn tai satunnaisesti generoidun vastauksen antamiseen yhteyden muodostushetkellä (kuva 4).

Riisi. 4. APS-apuohjelman pääikkuna

Kuvassa on kuvakaappaus, joka on otettu todellisen APS-operaation aikana Smolenskenergo LANissa. Kuten kuvasta näkyy, yritettiin liittää yksi asiakastietokoneista porttiin 21. Protokollan analyysi osoitti, että yritykset ovat jaksoittaisia, ja ne on korjattu useiden verkon ansojen avulla, minkä perusteella voidaan päätellä, että verkko skannataan FTP-palvelimien löytämiseksi ja hakkeroimiseksi salasanoja arvaamalla. APS kirjaa lokit ja voi lähettää järjestelmänvalvojille viestejä, jotka raportoivat rekisteröidyistä yhteyksistä valvottuihin portteihin, mikä on hyödyllistä verkkoskannausten nopeassa havaitsemisessa.

Kun rakennat Honeypotia, on myös hyödyllistä tarkastella aihetta koskevia online-resursseja, kuten http://www.honeynet.org/. Tämän sivuston Työkalut-osiossa (http://www.honeynet.org/tools/index.html) on useita työkaluja hyökkäysten tallentamiseen ja analysointiin.

Haittaohjelmien etäpoisto

Ihannetapauksessa järjestelmänvalvoja lähettää haittaohjelmanäytteitä havaittuaan ne virustorjuntalaboratorioon, jossa analyytikot tutkivat ne nopeasti ja vastaavat allekirjoitukset lisätään virustentorjuntatietokantoihin. Nämä allekirjoitukset läpi automaattinen päivitys päästä käyttäjien tietokoneisiin, ja virustorjunta poistaa haittaohjelmat automaattisesti ilman järjestelmänvalvojan väliintuloa. Tämä ketju ei kuitenkaan aina toimi odotetulla tavalla, erityisesti seuraavat syyt epäonnistumiseen ovat mahdollisia:

Useista verkonvalvojasta riippumattomista syistä kuvat eivät välttämättä pääse virustentorjuntalaboratorioon;
virustentorjuntalaboratorion riittämätön tehokkuus - ihannetapauksessa näytteiden tutkiminen ja lisääminen tietokantoihin kestää enintään 1-2 tuntia, eli voit saada päivitetyt allekirjoitustietokannat työpäivän sisällä. Kaikki virustentorjuntalaboratoriot eivät kuitenkaan toimi niin nopeasti, ja päivityksiä voidaan odottaa useiden päivien ajan (harvoissa tapauksissa jopa viikkoja);
virustorjunnan korkea suorituskyky - useat haittaohjelmat tuhoavat aktivoinnin jälkeen viruksia tai muuten häiritsevät niiden toimintaa. Klassisia esimerkkejä - merkintöjen tekeminen isäntätiedostoon, joka estää normaalia työtä virustentorjuntajärjestelmän automaattiset päivitysjärjestelmät, virustorjuntaprosessien, -palvelujen ja -ajurien poistaminen, niiden asetusten vaurioituminen jne.

Siksi näissä tilanteissa sinun on käsiteltävä haittaohjelmia manuaalisesti. Useimmissa tapauksissa tämä ei ole vaikeaa, koska tietokoneiden analyysin tulosten tiedetään olevan saastuneita tietokoneita, samoin kuin haittaohjelmatiedostojen täydelliset nimet. Jää vain suorittaa niiden etäpoisto. Jos haittaohjelmaa ei ole suojattu poistamiselta, se voidaan tuhota seuraavan muodon AVZ-komentosarjalla:

// Poista tiedosto

DeleteFile('tiedoston nimi');

ExecuteSysClean;

Tämä komentosarja poistaa yhden määritetyn tiedoston (tai useita tiedostoja, koska skriptissä voi olla rajoittamaton määrä DeleteFile-komentoja) ja puhdistaa sitten rekisterin automaattisesti. Monimutkaisemmassa tapauksessa haittaohjelma voi suojautua poistamiselta (esimerkiksi luomalla uudelleen tiedostonsa ja rekisteriavaimensa) tai naamioitua rootkit-tekniikalla. Tässä tapauksessa komentosarjasta tulee monimutkaisempi ja se näyttää tältä:

// Anti-rootkit

SearchRootkit(true, true);

// AVZGuard-ohjaus

AsetaAVZGuardStatus(tosi);

// Poista tiedosto

DeleteFile('tiedoston nimi');

// Ota BootCleaner-loki käyttöön

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Tuo BootCleaner-tehtävään luettelo komentosarjan poistamista tiedostoista

BC_ImportDeletedList;

// Aktivoi BootCleaner

// Järjestelmän heuristinen puhdistus

ExecuteSysClean;

Käynnistä Windows uudelleen (true);

Tämä komentosarja sisältää aktiivisen vastustuksen rootkitille, AVZGuard-järjestelmän (tämä on haittaohjelmien toiminnan estäjä) ja BootCleaner-järjestelmän käytön. BootCleaner on ohjain, joka poistaa määritetyt objektit KernelModesta uudelleenkäynnistyksen aikana, järjestelmän käynnistyksen varhaisessa vaiheessa. Käytäntö osoittaa, että tällainen komentosarja pystyy tuhoamaan suurimman osan olemassa olevista haittaohjelmista. Poikkeuksen muodostavat haittaohjelmat, jotka muuttavat suoritettavien tiedostojensa nimet jokaisen uudelleenkäynnistyksen yhteydessä - tässä tapauksessa järjestelmän tutkimisen aikana löydetyt tiedostot voidaan nimetä uudelleen. Tässä tapauksessa sinun on desinfioitava tietokone manuaalisesti tai luotava omat haittaohjelmaallekirjoituksesi (esimerkki allekirjoitusten haun toteuttavasta komentosarjasta on kuvattu AVZ-ohjeessa).

Johtopäätös

Tässä artikkelissa tarkastelimme joitain käytännön tekniikoita LAN-epidemian käsittelemiseksi manuaalisesti ilman virustorjuntatuotteita. Useimpia kuvatuista tekniikoista voidaan käyttää myös ulkomaisen tietokoneen ja troijalaisen kirjanmerkkien etsimiseen käyttäjien tietokoneilta. Jos sinulla on vaikeuksia löytää haittaohjelmia tai luoda desinfiointikomentosarjoja, järjestelmänvalvoja voi käyttää keskustelupalstan Ohje-osiota http://virusinfo.info tai keskustelupalstan "Virusten torjunta" -osiota http://forum.kaspersky.com/ index.php?showforum= 18. Protokollan tutkimus ja hoitoapu suoritetaan molemmilla foorumeilla maksutta, PC-analyysi suoritetaan AVZ-protokollien mukaan ja useimmissa tapauksissa hoito tarkoittaa AVZ-skriptin suorittamista tartunnan saaneilla tietokoneilla, jotka kokeneet ovat laatineet. näiden foorumien asiantuntijoita.

Jotka joutuvat odottamaan fyysisen tiedoston luomista käyttäjän tietokoneelle, verkkosuojaus alkaa analysoida verkon kautta käyttäjän tietokoneelle saapuvia tietovirtoja ja estää uhat ennen niiden pääsyä järjestelmään.

Symantec-tekniikoiden tarjoamat verkkosuojauksen pääalueet ovat:

Drive-by-lataukset, verkkohyökkäykset;
- Sosiaalisen manipuloinnin hyökkäykset: FakeAV (fake antiviruses) ja koodekit;
- Hyökkäys läpi sosiaalinen media kuten Facebook;
- Haittaohjelmien, rootkittien ja bot-tartunnan saaneiden järjestelmien havaitseminen;
- Suojaus kehittyneitä uhkia vastaan;
- Zero Day Threats
- Suojaus korjaamattomilta ohjelmiston haavoittuvuuksilta;
- Suojaus haitallisilta verkkotunnuksilta ja IP-osoitteilta.

Verkkosuojaustekniikat

"Verkon suojaus" -taso sisältää 3 erilaista tekniikkaa.

Verkon tunkeutumisen estoratkaisu (Network IPS)

Verkko-IPS-tekniikka ymmärtää ja skannaa yli 200 erilaista protokollaa. Se "murtaa" älykkäästi ja tarkasti binääri- ja verkkoprotokolla etsiessään merkkejä haitallisesta liikenteestä. Tämä älykkyys mahdollistaa tarkemman verkkoskannauksen, mutta silti tarjoaa luotettava suoja. Sen "sydämessä" on hyväksikäyttöä estävä moottori, joka tarjoaa avoimia haavoittuvuuksia lähes läpäisemättömällä suojalla. Symantec IPS:n ainutlaatuinen ominaisuus on, että tämä komponentti ei vaadi konfigurointia. Kaikki sen toiminnot toimivat, kuten sanotaan, "pakkauksesta käsin". Tämä tärkeä tekniikka on oletuksena käytössä kaikissa Norton-kuluttajatuotteissa ja kaikissa Symantec Endpoint Protection -tuotteen versioissa 12.1 ja uudemmissa.

Selaimen suojaus

Tämä suojausmoottori sijaitsee selaimen sisällä. Se pystyy havaitsemaan monimutkaisimmat uhat, joita perinteinen virustorjunta tai verkko-IPS eivät pysty havaitsemaan. Nykyään monet verkkohyökkäykset käyttävät hämärätekniikoita havaitsemisen välttämiseksi. Koska Browser Guard toimii selaimen sisällä, se pystyy tutkimaan vielä piilotettua (hämärittyä) koodia suorituksen aikana. Tämän avulla voit havaita ja estää hyökkäyksen, jos se epäonnistui ohjelman alemmilla suojaustasoilla.

Luvaton lataussuojaus (UXP)

Verkon suojakerroksen sisällä sijaitseva viimeinen puolustuslinja auttaa peittämään ja "lieventämään" tuntemattomien ja korjaamattomien haavoittuvuuksien hyödyntämisen seurauksia ilman allekirjoituksia. Tämä tarjoaa lisäsuojan Zero Day -hyökkäyksiä vastaan.

Ongelmiin keskittyminen

Yhdessä työskentelemällä palomuuritekniikat ratkaisevat seuraavat ongelmat.

Drive-by-lataukset ja verkkohyökkäystyökalusarjat

Symantecin verkon suojaustekniikat estävät Drive-by-lataukset ja itse asiassa haittaohjelmia pääsemästä käyttäjän järjestelmään käyttämällä Network IPS-, Browser Protection- ja UXP-teknologiaa. Harjoitetaan erilaisia ennaltaehkäiseviä menetelmiä, joihin sisältyy näiden samojen tekniikoiden käyttö, mukaan lukien Generic Exploit Blocking -teknologia ja verkkohyökkäysten havaitsemistyökalut. Yleinen verkkopohjainen tunkeutumisen havaitsemistyökalu analysoi yleisen verkkopohjaisen hyökkäyksen ominaisuudet riippumatta hyökkäyksen kohteena olevasta haavoittuvuudesta. Tämän avulla voit tarjota lisäsuojaa uusille ja tuntemattomille haavoittuvuuksille. Parasta tämän tyyppisessä suojauksessa on, että jos haitallinen tiedosto pystyisi "hiljaisesti" saastuttamaan järjestelmän, se silti pysäytetään ennakoivasti ja poistetaan järjestelmästä, mikä on juuri se käyttäytyminen, jota perinteiset virustorjuntatuotteet yleensä kaipaavat. Symantec kuitenkin estää edelleen kymmeniä miljoonia haittaohjelmien muunnelmia, joita ei normaalisti voida havaita muilla tavoilla.

Sosiaalisen suunnittelun hyökkäykset

Koska Symantecin teknologiat valvovat verkko- ja selainliikennettä sen siirron aikana, se havaitsee manipulointihyökkäykset, kuten FakeAV tai väärennetyt koodekit. Tekniikat on suunniteltu estämään tällaiset hyökkäykset ennen kuin ne ilmestyvät käyttäjän näytölle. Useimmat muut kilpailevat ratkaisut eivät sisällä tätä tehokasta ominaisuutta.

Symantec estää satoja miljoonia tällaisia hyökkäyksiä verkon uhkien suojaustekniikalla.

Sosiaalisen median sovelluksiin kohdistetut hyökkäykset

Sosiaalisen median sovelluksista on tullut viime aikoina erittäin suosittuja, koska niiden avulla voit vaihtaa välittömästi erilaisia viestejä, mielenkiintoisia videoita ja tietoja tuhansien ystävien ja käyttäjien kanssa. Tällaisten ohjelmien laaja levinneisyys ja potentiaali tekevät niistä hakkereiden ykköskohteen. Joitakin yleisiä "hakkeritemppuja" ovat väärennettyjen tilien luominen ja roskapostin lähettäminen.

Symantecin IPS-tekniikka voi suojata tämän tyyppisiltä huijauksilta ja estää usein niitä tapahtumasta ennen kuin käyttäjä edes napsauttaa niitä. Symantec lopettaa petolliset ja väärennetyt URL-osoitteet, sovellukset ja muut petolliset käytännöt Network Threat Protection -tekniikan avulla.

Haittaohjelmien, rootkit-ohjelmien ja bot-tartunnan saaneiden järjestelmien havaitseminen

Eikö olisi mukavaa tietää tarkalleen missä verkossa tartunnan saanut tietokone sijaitsee? Symantecin IPS-ratkaisut tarjoavat tämän ominaisuuden, mukaan lukien sellaisten uhkien havaitsemisen ja palauttamisen, jotka ovat saattaneet onnistua ohittamaan muut suojatasot. Symantecin ratkaisut havaitsevat haittaohjelmat ja robotit, jotka yrittävät valita automaattisesti tai ladata "päivityksiä" lisätäkseen toimintaansa järjestelmässä. Näin IT-päälliköt, joilla on selkeä luettelo tarkistettavista järjestelmistä, voivat varmistaa yrityksensä turvallisuuden. Polymorfiset ja monimutkaiset stealth-uhat rootkit-menetelmillä, kuten Tidserv, ZeroAccess, Koobface ja Zbot, voidaan pysäyttää ja poistaa tällä menetelmällä.

Suojaus hämärtyneitä uhkia vastaan

Nykypäivän verkkohyökkäykset käyttävät kehittyneitä tekniikoita hyökkäysten vaikeuttamiseen. Symantecin Browser Protection sijaitsee selaimen sisällä ja pystyy havaitsemaan erittäin kehittyneitä uhkia, joita perinteiset menetelmät eivät usein pysty havaitsemaan.

Nollapäivän uhkia ja korjaamattomia haavoittuvuuksia

Yksi yrityksen aiemmista tietoturvalisäyksistä on lisäsuojaus Day Zero -uhkia ja korjaamattomia haavoittuvuuksia vastaan. Allekirjoittamattoman suojauksen avulla ohjelma sieppaa System API -kutsut ja suojaa haittaohjelmien latauksilta. Tätä tekniikkaa kutsutaan UXP-suojaukseksi (Un-Authorized Download Protection). Se on viimeinen puolustuslinja verkkouhkien puolustusekosysteemissä. Näin tuote "peittää" tuntemattomia ja korjaamattomia haavoittuvuuksia ilman allekirjoituksia. Tämä tekniikka on oletuksena käytössä, ja se on löytynyt kaikista Norton 2010 -debyytin jälkeen julkaistuista tuotteista.

Suojaus korjaamattomilta ohjelmiston haavoittuvuuksilta

Haitalliset ohjelmat asennetaan usein ilman käyttäjän tietämättä ohjelmiston haavoittuvuuksia. Symantec Network Security tarjoaa lisäsuojauskerroksen, jota kutsutaan nimellä Generic Exploit Blocking (GEB). Onko asennettuna Viimeisimmät päivitykset tai ei, GEB "enimmäkseen" suojaa suuria haavoittuvuuksia hyväksikäytöltä. Oracle Sun Javan haavoittuvuudet, Adobe Acrobat lukija, Adobe Flash, Internet Explorer, ActiveX-komponentit tai QuickTime ovat nyt kaikkialla käytössä. Generic Exploit Protection luotiin "käänteissuunnittelulla" selvittääkseen, kuinka haavoittuvuutta voitaisiin hyödyntää verkossa, tarjoten samalla erityisen korjaustiedoston verkkokerros. Yksittäinen GEB eli haavoittuvuusallekirjoitus voi tarjota suojan tuhansia uusia ja tuntemattomia haittaohjelmaversioita vastaan.

Haitalliset IP-osoitteet ja verkkotunnuksen esto

Symantecin verkkosuojaus sisältää myös mahdollisuuden estää haitalliset verkkotunnukset ja IP-osoitteet ja samalla pysäyttää haittaohjelmat ja liikenteen tunnetuilta haitallisilta sivustoilta. Analysoimalla ja päivittämällä STARin verkkosivustotietokannan huolellisesti Symantec tarjoaa reaaliaikaisen suojan jatkuvasti muuttuvia uhkia vastaan.

Parempi väistövastus

Lisäkoodausten tuki on lisätty parantamaan hyökkäysten havaitsemista käyttämällä salaustekniikoita, kuten base64 ja gzip.

Verkon tarkastuksen havaitseminen käyttökäytäntöjen valvomiseksi ja tietovuotojen tunnistamiseksi

Verkon IPS:n avulla voidaan tunnistaa sovelluksia ja työkaluja, jotka voivat rikkoa yrityksen käyttökäytäntöjä, tai estää tietojen vuotaminen verkon yli. On mahdollista havaita, varoittaa tai estää liikennettä, kuten pikaviestintä, P2P, sosiaalinen media tai muuta "kiinnostavaa" liikennettä.

STAR Intelligence Communication Protocol

Verkon suojaustekniikka itsessään ei toimi. Moottori kommunikoi muiden turvapalvelujen kanssa STAR Intelligence Communication (STAR ICB) -protokollan avulla. Network IPS -moottori muodostaa yhteyden Symantec Sonar -moottoriin ja sitten Insight Reputation -moottoriin. Näin voit tarjota informatiivisemman ja tarkemman suojan.

Seuraavassa artikkelissa tarkastellaan "Behavior Analyzer" -tasoa.

Symantecin mukaan

Virustorjunta on asennettava jokaiseen Windows-tietokoneeseen. Pitkään tätä pidettiin kultaisena sääntönä, mutta nykyään tietoturva-asiantuntijat kiistelevät tietoturvaohjelmistojen tehokkuudesta. Kriitikot väittävät, että virukset eivät aina suojaa, ja joskus jopa päinvastoin - huolimattomasta toteutuksesta johtuen ne voivat luoda tietoturva-aukkoja järjestelmään. Tällaisten ratkaisujen kehittäjät vastustavat tämä mielipide vaikuttava määrä estettyjä hyökkäyksiä, ja markkinointiosastot lupaavat edelleen tuotteidensa tarjoaman kattavan suojan.

Totuus on jossain puolivälissä. Virustentorjuntaohjelmat eivät toimi moitteettomasti, mutta kaikkia niitä ei voida kutsua hyödyttömiksi. Ne varoittavat monista uhista, mutta ne eivät riitä suojaamaan Windowsia niin paljon kuin mahdollista. Sinulle käyttäjänä tämä tarkoittaa seuraavaa: voit joko heittää virustorjunnan roskakoriin tai luottaa siihen sokeasti. Mutta tavalla tai toisella, se on vain yksi turvallisuusstrategian lohkoista (vaikkakin suuri). Toimitamme sinulle vielä yhdeksän tällaista "tiiliä".

Turvallisuusuhka: Virustentorjunta

> Mitä kriitikot sanovat Nykyistä virustarkistuskiistaa on ruokkinut entinen Firefox-kehittäjä Robert O'Callahan. Hän väittää, että virukset uhkaavat Windowsin turvallisuutta ja ne pitäisi poistaa. Ainoa poikkeus on Microsoftin Windows Defender.

> Mitä kehittäjät sanovat Antivirus luojat, mukaan lukien Kaspersky Lab, vaikuttavat luvut esitetään argumenttina. Joten vuonna 2016 tämän laboratorion ohjelmistot rekisteröivät ja estivät noin 760 miljoonaa Internet-hyökkäystä käyttäjien tietokoneisiin.

> Mitä CHIP ajattelee Viruksia ei pidä pitää jäännöksenä tai ihmelääkkeenä. Ne ovat vain tiiliä turvarakennuksessa. Suosittelemme käyttämään kompakteja virustorjuntaohjelmia. Mutta älä huoli liikaa: Windows Defender on hyvä. Voit jopa käyttää yksinkertaisia kolmannen osapuolen skannereita.

Valitse oikea virustorjunta

Olemme, kuten ennenkin, vakuuttuneita siitä, että Windows on mahdotonta ajatella ilman virustorjuntaa. Sinun tarvitsee vain valita oikea tuote. Windows 10 -käyttäjille se voi olla jopa sisäänrakennettu Windows Defender. Huolimatta siitä, että testiemme aikana se ei osoittanut parasta tunnistustasoa, se on täydellisesti ja mikä tärkeintä, ilman turvallisuusongelmia, sisäänrakennettu järjestelmään. Lisäksi Microsoft on parantanut tuotettaan Windows 10:n Creators Update -päivityksessä ja helpottanut sen hallintaa.

Muiden kehittäjien virustorjuntapaketit tunnistavat usein paremmin kuin Defender. Kannatamme kompaktia ratkaisua. Luokituksemme johtaja Tämä hetki on Kaspersky Internet Security 2017. Ne, jotka voivat kieltäytyä sellaisista lisävaihtoehdoista kuin Lapsilukko ja salasanojen hallinnan, heidän pitäisi kiinnittää huomionsa Kaspersky Labin edullisempaan vaihtoehtoon.

Seuraa päivityksiä

Jos pitäisi valita vain yksi toimenpide Windowsin suojaamiseksi, valitsisimme ehdottomasti päivitykset. Tässä tapauksessa puhumme tietysti ensisijaisesti Windows-päivityksistä, mutta ei vain. Asennetut ohjelmistot, mukaan lukien Office, Firefox ja iTunes, tulee myös päivittää säännöllisesti. Windowsissa järjestelmäpäivitysten saaminen on suhteellisen helppoa. Sekä "seitsemän" että "kymmenen" korjaustiedostot asennetaan automaattisesti oletusasetuksissa.

Ohjelmien osalta tilanne on vaikeampi, koska kaikki eivät ole yhtä helppoja päivittää kuin Firefox ja Chrome, joissa on sisäänrakennettu automaattinen päivitystoiminto. SUMo (Software Update Monitor) -apuohjelma tukee sinua tässä tehtävässä ja ilmoittaa sinulle, kun päivityksiä on saatavilla. Sisarohjelma DUMo (Driver Update Monitor) tekee saman työn ohjaimille. Molemmat ilmaiset avustajat ilmoittavat kuitenkin vain uusista versioista - sinun on ladattava ja asennettava ne itse.

Asenna palomuuri

Windowsin sisäänrakennettu palomuuri tekee hyvää työtä ja estää luotettavasti kaikki saapuvat pyynnöt. Se pystyy kuitenkin enemmän - sen potentiaali ei rajoitu oletuskokoonpanoon: kaikki asennetut ohjelmat heillä on oikeus avata palomuurissa olevia portteja kysymättä. Vapaa Windows-apuohjelma Firewall Control auttaa sinua lisää ominaisuuksia.

Suorita se ja aseta "Profiilit"-valikossa suodattimeksi "Keskitasoinen suodatus". Tämän ansiosta palomuuri ohjaa myös lähtevää liikennettä tiettyjen sääntöjen mukaisesti. Mitä toimenpiteitä siihen sisällytetään, asetat itse. Voit tehdä tämän napsauttamalla ohjelmanäytön vasemmassa alakulmassa olevaa muistiinpanokuvaketta. Joten voit tarkastella sääntöjä ja myöntää lupia yhdellä napsautuksella erillinen ohjelma tai estä se.

Käytä erityistä suojausta

Päivitykset, virustorjunta ja palomuuri – olet jo huolehtinut tästä suuresta turvatoimien kolmiosta. On aika hienosäätö. Windowsin lisäohjelmien ongelmana on usein se, että ne eivät käytä kaikkia järjestelmän tarjoamia suojausominaisuuksia. Hyödynnätyökalu, kuten EMET (Enhanced Mitigation Experience Toolkit), parantaa asennettuja ohjelmistoja entisestään. Voit tehdä tämän napsauttamalla "Käytä suositeltuja asetuksia" ja anna ohjelman käynnistyä automaattisesti.

Vahvista salausta

Voit parantaa henkilötietojen suojaa merkittävästi salaamalla ne. Vaikka tietosi joutuisivat vääriin käsiin, hakkeri ei pysty poistamaan hyvää koodausta ainakaan heti. Ammattimaisessa Windows-versiot BitLocker-apuohjelma on jo mukana ohjauspaneelin kautta määritettynä.

VeraCryptistä tulee vaihtoehto kaikille käyttäjille. Tämä avoimen lähdekoodin ohjelma on epävirallinen seuraaja TrueCryptille, joka lopetettiin pari vuotta sitten. Jos me puhumme vain henkilökohtaisten tietojen suojaamiseksi voit luoda salatun säilön "Luo määrä" -kohdan kautta. Valitse "Luo salattu tiedostosäilö" -vaihtoehto ja noudata ohjatun toiminnon ohjeita. Pääsy valmiiseen tietokassakaappiin tapahtuu Windowsin Resurssienhallinnan kautta, kuten tavalliselle levylle.

Suojaa käyttäjätilit

Monet haavoittuvuudet jäävät hakkereiden hyödyntämättä vain siksi, että tietokoneella työskennellään tavallisella tilillä rajoitetuilla oikeuksilla. Joten päivittäisiä tehtäviä varten sinun tulee myös määrittää sellainen tili. Windows 7:ssä tämä tehdään Ohjauspaneelin ja Lisää tai poista käyttäjätilejä -kohdan kautta. Napsauta "kymmenessä" "Asetukset" ja "Tilit" ja valitse sitten "Perhe ja muut ihmiset".

Aktivoi VPN, kun olet poissa kotoa

Kotona sisään langaton verkko tietoturvatasosi on korkea, koska vain sinä hallitset, kenellä on pääsy paikalliseen verkkoon, ja olet myös vastuussa salauksesta ja pääsykoodeista. Kaikki on toisin esimerkiksi hotspottien tapauksessa
hotelleissa. Täällä Wi-Fi on hajautettu ulkopuolisille, etkä voi vaikuttaa verkkoon pääsyn turvallisuuteen. Suojauksen vuoksi suosittelemme VPN:n (Virtual Private Network) käyttöä. Jos sinun täytyy vain selata sivustoja hotspotin kautta, sisäänrakennettu VPN riittää. uusin versio Opera selain. Asenna selain ja napsauta "Asetukset" -kohdasta "Turvallisuus". Valitse "VPN"-osiossa "Ota VPN käyttöön" -valintaruutu.

Katkaise käyttämättömät langattomat yhteydet

okei

Jopa yksityiskohdat voivat päättää tilanteen lopputuloksen. Jos et käytä yhteyksiä, kuten Wi-Fi ja Bluetooth, sammuta ne ja sulje siten mahdolliset porsaanreiät. Windows 10:ssä helpoin tapa tehdä tämä on Action Centerin kautta. "Seitsemän" tarjoaa tähän tarkoitukseen ohjauspaneelin "Verkkoyhteydet"-osion.

Hallitse salasanoja

Jokaista salasanaa saa käyttää vain kerran, ja sen tulee sisältää erikoismerkkejä, numeroita, isoja ja pieniä kirjaimia. Ja myös mahdollisimman pitkä - kymmenen tai useampi merkki on paras. Salasanasuojauksen käsite on saavuttanut rajansa tänään, koska käyttäjillä on liikaa muistettavaa. Siksi tällainen suoja olisi mahdollisuuksien mukaan korvattava muilla menetelmillä. Esimerkkinä Windows-sisäänkirjautuminen: jos sinulla on Windows Hello -yhteensopiva kamera, käytä kasvojentunnistusta kirjautumiseen. Muissa koodeissa suosittelemme kääntymään salasanojen hallintaan, kuten KeePassiin, jotka tulee suojata vahvalla pääsalasanalla.

Suojaa yksityisyyttä selaimessa

On monia tapoja suojata yksityisyyttäsi verkossa. Firefoxille Privacy Settings -laajennus on ihanteellinen. Asenna se ja aseta se "Full Privacy" -tilaan. Sen jälkeen selain ei anna tietoja käyttäytymisestäsi Internetissä.

Pelastusrengas: varmuuskopio

> Varmuuskopiot ovat erittäin tärkeitä Varmuuskopioida perustelee
itseään paitsi viruksen saamisen jälkeen. Se osoittautui myös erinomaiseksi laitteisto-ongelmien varalta. Neuvomme: tee kopio koko Windowsista kerran ja varmuuskopioi sitten lisäksi säännöllisesti kaikki tärkeät tiedot.

> Windows 10:n täydellinen arkistointi peritty "seitsemän" -moduulista "Arkistoi ja palauta". Sen avulla luot varmuuskopioida järjestelmät. Voit myös käyttää erityisiä apuohjelmia, kuten True Image tai Macrium Reflect.

> True Image -tiedoston suojaus ja Macrium Reflectin maksullinen versio voivat tehdä kopioita tiettyjä tiedostoja ja kansiot. Ilmainen vaihtoehto arkistointia varten tärkeää tietoa tulee henkilökohtaiseksi varmuuskopioksi.

KUVA: valmistusyritykset; NicoElNino/Fotolia.com

Kuinka voit suojata tietokoneesi etäkäytöltä? Kuinka estää pääsy tietokoneeseen selaimen kautta?

Kuinka suojata tietokoneesi etäkäytöltä, yleensä ajattelee, kun jotain on jo tapahtunut. Mutta luonnollisesti tämä on väärä päätös henkilölle, joka harjoittaa ainakin jonkinlaista omaa toimintaansa. Kyllä, ja on toivottavaa, että kaikki käyttäjät rajoittavat ulkopuolisten pääsyä tietokoneeseensa. Ja tässä artikkelissa emme keskustele salasanan asettamisesta tietokoneeseen pääsyä varten, mutta näemme vaihtoehdon, jolla voidaan estää pääsy tietokoneelle paikallisverkosta tai toisesta tietokoneesta, jos ne on kytketty samaan verkkoon. . Tällaiset tiedot ovat erityisen hyödyllisiä uusille PC-käyttäjille.

Ja niin, sisään käyttöjärjestelmä Windowsissa on ominaisuus nimeltä "Etäkäyttö". Ja jos sitä ei ole poistettu käytöstä, muut käyttäjät voivat käyttää sitä hallitakseen tietokonettasi. Vaikka olisit johtaja ja sinun on seurattava työntekijöitäsi, tarvitset luonnollisesti pääsyn heidän tietokoneeseensa, mutta sinun on suljettava omasi, jotta nämä samat työntekijät eivät katso kirjeenvaihtoasi sihteerin kanssa - se on täynnä ...

ma	ti	ke	to	pe	la	Aurinko

	1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Maaliskuu 2020

MAINONTA

Kuten tavallista, projekteja mainostetaan verkossa. Yleensä SEO tekstinkirjoittajat yrittävät liittää tekstiin mahdollisimman monta hakulauseketta ja houkuttelevat niitä

Tärkeimmät vivahteet, jotka erottavat väärennetyt iPhonet aidoista, auttavat sinua säästämään rahaa ja välttämään ostamisen huolimattomilta myyjiltä. Minkä vuoksi

Suosittu luokassa: