Détection et protection d'un ordinateur sur un réseau. Protection du réseau. Programme de protection des réseaux informatiques. O Mauvais : Vulnérabilité des ressources administratives partagées

Détection et protection d'un ordinateur sur un réseau. Protection du réseau. Programme de protection des réseaux informatiques. O Mauvais : Vulnérabilité des ressources administratives partagées

Certaines personnes passent toute leur vie à travailler pour améliorer la sécurité des entreprises et des particuliers. Et ils passent une partie considérable de ce temps à corriger les failles de Windows. Le système Windows est le canal principal pour malware, qui créent des zombies (robots), comme indiqué au chapitre 5, et ce n'est que la pointe de l'iceberg. Pour être honnête, la popularité massive de Windows est en grande partie responsable, mais il y a tellement de failles dans Windows 7 qu'il est difficile de savoir si cela dérange quelqu'un chez Microsoft.

Il existe trois principaux types de menaces. Premièrement, une attaque spécialement ciblée par une personne tentant de pirater votre ordinateur via une connexion réseau. Deuxièmement, une attaque d’une personne assise devant le clavier de votre ordinateur. Enfin, il peut y avoir une attaque automatique menée par un ver ou un autre type de malware.

Windows 7, et même les versions antérieures de Vista, incluent le contrôle de compte d'utilisateur, qui devrait aider à endiguer la vague d'installations de logiciels involontaires et indésirables - plus à ce sujet, ainsi que les mots de passe et le cryptage.

» dit au chapitre 7. Cependant, la plupart des fichiers indésirables proviennent de votre connexion réseau, c'est donc par là que vous devriez commencer à protéger votre ordinateur. Le système d'exploitation Windows 7 inclut plusieurs fonctionnalités qui permettent d'apporter un certain niveau de sécurité sans avoir à acheter programmes supplémentaires ou de l'équipement.

Malheureusement, peu de ces fonctionnalités sont activées par défaut. Les facteurs suivants constituent des lacunes qui ne doivent pas être ignorées.

O Mauvais : vulnérabilité du protocole UPnP

Une autre fonctionnalité appelée UPnP (Universal Plug-and-Play) peut ouvrir des vulnérabilités supplémentaires dans votre réseau. Un nom plus approprié pour UPnP serait Network Plug and Play, puisque cette fonctionnalité ne concerne que les périphériques réseau. UPnP est un ensemble de normes qui permettent aux appareils récemment connectés de faire de la publicité

à propos de ta présence Serveurs UPnP sur votre réseau, de la même manière que les périphériques USB annoncent leur présence à un système appartenant à Windows

Extérieurement, la fonction UPnP semble bonne. Mais dans la pratique, le manque d'authentification dans la norme UPnP et la facilité avec laquelle les logiciels malveillants peuvent utiliser UPnP pour percer le pare-feu et créer des règles de redirection de port dans le routeur ne sont que des problèmes. UPnP est actuellement utilisé pour certains jeux, la plupart des extensions multimédias, la messagerie instantanée, l'assistance à distance, etc., ce qui explique pourquoi il est activé par défaut dans Windows 7 et dans de nombreux Périphériques réseau. Mais si vous n'en avez pas besoin, il vaut mieux l'éteindre.

Si vous sélectionnez Réseau public lors de votre première connexion à nouveau réseau ou via le Centre Réseau et Partage

^j Centre de partage), alors UPnP est désactivé par défaut.

Pour désactiver UPnP, ouvrez la fenêtre 01usb (services.msc). Recherchez le service SSDP Discovery Service dans la liste et cliquez sur le bouton Arrêter le service dans la barre d'outils. Dans le même temps, l'hôte du périphérique UPnP doit également s'arrêter. Si ce n'est pas le cas, arrêtez ça aussi. Testez maintenant toutes les applications ou tous les appareils que vous soupçonnez d'utiliser la découverte de réseau, tels que des serveurs multimédias ou des extensions. Si vous n'en disposez pas, vous pouvez désactiver complètement UPnP en double-cliquant sur chaque service et en sélectionnant Désactivé dans la liste Type de démarrage. Sinon, au prochain démarrage de Windows, ces services redémarreront.

Ouvrez maintenant la page de configuration du routeur (décrite plus haut dans ce chapitre) et désactivez le service UPnP. Ceci est nécessaire pour empêcher les applications d’établir de nouvelles règles de redirection de port. Si votre routeur ne vous permet pas de modifier les paramètres UPnP, envisagez de passer à un modèle plus récent. nouvelle version micrologiciel, comme décrit dans la section « Mise à niveau vers une version plus récente du routeur ».

O Mauvais : vulnérabilité des ports ouverts

Recherchez les vulnérabilités de votre système à l'aide de l'analyse des ports ouverts, comme indiqué plus loin dans ce chapitre.

O Bon : espace de travail à distance, mais uniquement en cas de besoin

La fonctionnalité de bureau à distance décrite dans le " Télécommande ordinateur" est activé par défaut dans Windows 7 Professionnel et Intégrale. Sauf si vous avez spécifiquement besoin de cette fonctionnalité, vous devez la désactiver. Dans le Panneau de configuration, ouvrez Système, puis sélectionnez le lien Paramètres d'accès à distance. Sur la page Accès à distance Dans la fenêtre Propriétés système, désactivez la case Autoriser les connexions d'assistance à distance à cet ordinateur et cochez la case Ne pas autoriser les connexions à cet ordinateur ci-dessous.

O Ok : mot de passe du compte

En théorie accès général l'accès aux fichiers ne fonctionne pas pour les comptes qui n'ont pas de mot de passe, qui est le paramètre par défaut lors de la création d'un nouveau compte utilisateur. Mais un compte sans mot de passe n'offre aucune protection contre toute personne assise devant votre clavier, et s'il s'agit d'un compte utilisateur doté de droits d'administrateur, alors la porte est ouverte à tout autre utilisateur de cet ordinateur. Reportez-vous au chapitre 7 pour une discussion sur les comptes utilisateur et les mots de passe.

À propos des groupes résidentiels et du partage de fichiers

Chaque dossier partagé est potentiellement une porte ouverte. Par conséquent, le libre accès ne devrait être fourni qu’aux dossiers réellement nécessaires. Veuillez noter que les autorisations de fichiers et les autorisations de partage sont des choses différentes dans Windows 7. Ceci est abordé plus en détail au chapitre 7.

O Mauvais : vulnérabilité de l'assistant de partage

L'une des principales raisons de créer un groupe de travail est de partager des fichiers et des imprimantes. Mais il est prudent de partager uniquement les dossiers qui doivent être partagés et de désactiver le partage pour tous les autres. Une fonctionnalité appelée Utiliser l'assistant de partage, décrite au chapitre 2 et discutée en détail au chapitre 7, ne vous donne pas un contrôle total sur qui peut afficher et modifier vos fichiers.

O Mauvais : Vulnérabilité des ressources administratives partagées

La fonctionnalité de partage, abordée au chapitre 7, donne accès à tous les lecteurs de votre ordinateur, que vous partagiez ou non des dossiers sur ces lecteurs.

O Bon : pare-feu

Configurez le pare-feu décrit ci-dessous pour contrôler strictement le flux réseau vers et depuis votre ordinateur, mais ne comptez pas sur le logiciel de pare-feu intégré de Windows pour fournir une protection suffisante.

A Bon : Le centre d'assistance est bon, mais vous ne devez pas vous y fier entièrement. Le centre d'assistance illustré à la Fig. 6.28 est la page centrale du Panneau de configuration utilisée pour gérer le pare-feu Windows, Windows Defender, le contrôle UserAccount et les mises à jour automatiques. Il contrôle également programmes antivirus, mais, pour des raisons purement politiques, Windows 7 ne dispose pas de son propre programme antivirus.

La chose la plus importante est qu'Action Center n'est qu'un spectateur. S'il constate qu'une mesure de protection donnée est activée, qu'elle soit active ou non, Action Center sera satisfait et vous ne recevrez aucune notification.

Fatigué des messages du centre d'assistance ? Cliquez sur le lien Modifier les paramètres du Centre d'action sur le côté gauche et choisissez les problèmes qui méritent d'être signalés et ceux que vous pouvez ignorer. Vous pouvez désactiver tous les messages du Centre d'action en décochant toutes les cases de cette page, mais pour désactiver complètement l'intégralité de la fonctionnalité, vous devez ouvrir la fenêtre Services (services.msc) et désactiver le Centre d'action. Cela ne désactivera pas les pare-feu, les antivirus ou les mises à jour automatiques que vous utilisez, uniquement les outils de surveillance de ces outils et les messages qui les accompagnent.

Vous ne pouvez pas modifier ici les paramètres de votre pare-feu ou de votre anti-malware. Pour ce faire, vous devez revenir au Panneau de configuration et y ouvrir le programme approprié.

Le problème de l'épidémie de vers de réseau concerne tous les réseau local. Tôt ou tard, une situation peut survenir lorsqu'un ver de réseau ou de messagerie pénètre dans le réseau local et n'est pas détecté par l'antivirus utilisé. Un virus de réseau se propage sur un réseau local via des vulnérabilités du système d'exploitation qui n'étaient pas fermées au moment de l'infection ou via des ressources partagées inscriptibles. Virus de messagerie, comme son nom l'indique, est distribué par courrier électronique, à condition qu'il ne soit pas bloqué par l'antivirus client et l'antivirus sur serveur de courrier. De plus, une épidémie sur un réseau local peut être organisée de l'intérieur grâce aux activités d'un initié. Dans cet article, nous examinerons les méthodes pratiques d'analyse opérationnelle des ordinateurs LAN à l'aide de divers outils, notamment l'utilitaire AVZ de l'auteur.

Formulation du problème

Si une épidémie ou une activité anormale est détectée sur le réseau, l'administrateur doit résoudre rapidement au moins trois tâches :

  • détecter les PC infectés sur le réseau ;
  • trouver des échantillons de logiciels malveillants à envoyer à un laboratoire antivirus et élaborer une stratégie de contre-attaque ;
  • prendre des mesures pour bloquer la propagation du virus sur le réseau local et le détruire sur les ordinateurs infectés.

Dans le cas d'une activité d'initié, les principales étapes d'analyse sont identiques et se résument le plus souvent à la nécessité de détecter les logiciels tiers installés par l'initié sur les ordinateurs du réseau local. Des exemples de tels logiciels incluent des utilitaires d'administration à distance, enregistreurs de frappe et divers signets de chevaux de Troie.

Examinons plus en détail la solution à chacune des tâches.

Rechercher des PC infectés

Pour rechercher des PC infectés sur le réseau, vous pouvez utiliser au moins trois méthodes :

  • analyse automatique du PC à distance - obtention d'informations sur les processus en cours d'exécution, les bibliothèques et les pilotes chargés, recherche de modèles caractéristiques - par exemple, des processus ou des fichiers avec prénoms;
  • Analyse du trafic PC à l'aide d'un renifleur - cette méthode très efficace pour attraper les robots spammeurs, les vers de messagerie et de réseau, cependant, la principale difficulté liée à l'utilisation d'un renifleur est due au fait qu'un réseau local moderne est construit sur la base de commutateurs et, par conséquent, l'administrateur ne peut pas surveiller le trafic de l'ensemble du réseau. Le problème peut être résolu de deux manières : en exécutant un renifleur sur le routeur (qui permet de surveiller l'échange de données PC avec Internet) et en utilisant les fonctions de surveillance des commutateurs (de nombreuses interrupteurs modernes vous permettent d'attribuer un port de surveillance auquel est dupliqué le trafic d'un ou plusieurs ports de commutateur spécifiés par l'administrateur) ;
  • étude de la charge du réseau - dans ce cas, il est très pratique d'utiliser des commutateurs intelligents, qui vous permettent non seulement d'évaluer la charge, mais également de désactiver à distance les ports spécifiés par l'administrateur. Cette opération est grandement simplifiée si l'administrateur dispose d'une carte du réseau, qui contient des informations sur les PC qui sont connectés aux ports de commutateur correspondants et où ils se trouvent ;
  • utilisation de honeypots - il est fortement recommandé de créer plusieurs honeypots sur le réseau local qui permettront à l'administrateur de détecter à temps une épidémie.

Analyse automatique des PC sur le réseau

L'analyse automatique du PC peut être réduite à trois étapes principales :

  • effectuer une analyse complète du PC - processus en cours d'exécution, bibliothèques et pilotes chargés, démarrage automatique ;
  • mener des recherches opérationnelles - par exemple, rechercher des processus ou des fichiers caractéristiques ;
  • quarantaine d'objets selon certains critères.

Tous les problèmes ci-dessus peuvent être résolus à l'aide de l'utilitaire AVZ de l'auteur, conçu pour être lancé à partir d'un dossier réseau sur le serveur et prenant en charge un langage de script pour l'inspection automatique du PC. Pour exécuter AVZ sur les ordinateurs des utilisateurs, vous devez :

  1. Placez AVZ dans un dossier réseau sur le serveur ouvert en lecture.
  2. Créez des sous-répertoires LOG et Qurantine dans ce dossier et autorisez les utilisateurs à y écrire.
  3. Lancez AVZ sur les ordinateurs du réseau local à l'aide de l'utilitaire rexec ou du script de connexion.

Le lancement d'AVZ à l'étape 3 doit être effectué avec les paramètres suivants :

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Dans ce cas, le paramètre Priority=-1 diminue la priorité du processus AVZ, les paramètres nw=Y et nq=Y font passer la quarantaine en mode « network run » (dans ce cas, un sous-répertoire est créé dans le dossier de quarantaine pour chaque ordinateur dont le nom correspond au nom de réseau du PC), HiddenMode=2 demande de refuser à l'utilisateur l'accès aux contrôles GUI et AVZ, et enfin, le paramètre Script le plus important spécifie le nom complet du script avec le commandes qu'AVZ exécutera sur l'ordinateur de l'utilisateur. Le langage de script AVZ est assez simple à utiliser et se concentre exclusivement sur la résolution de problèmes d'examen et de traitement informatique. Pour simplifier le processus d'écriture de scripts, vous pouvez utiliser un éditeur de script spécialisé, qui contient une invite en ligne, un assistant pour créer des scripts standard et des outils pour vérifier l'exactitude du script écrit sans l'exécuter (Fig. 1).

Riz. 1. Éditeur de scripts AVZ

Examinons trois scripts typiques qui peuvent être utiles dans la lutte contre l'épidémie. Tout d’abord, nous avons besoin d’un script de recherche sur PC. La tâche du script est d'examiner le système et de créer un protocole avec les résultats dans un dossier réseau donné. Le script ressemble à ceci :

ActiverWatchDog(60 * 10);

// Démarrer l'analyse et l'analyse

// Exploration du système

ExecuteSysCheck(ObtenirAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Arrêter AVZ

Lors de l'exécution de ce script, des fichiers HTML avec les résultats de l'étude des ordinateurs du réseau seront créés dans le dossier LOG (en supposant qu'il soit créé dans le répertoire AVZ sur le serveur et qu'il soit disponible pour que les utilisateurs puissent écrire), et pour assurer l'unicité, le nom de l'ordinateur examiné est inclus dans le nom du protocole. Au début du script, il y a une commande pour activer un minuteur de surveillance, qui mettra fin de force au processus AVZ après 10 minutes si des échecs se produisent pendant l'exécution du script.

Le protocole AVZ est pratique pour une étude manuelle, mais il est peu utile pour une analyse automatisée. De plus, l'administrateur connaît souvent le nom du fichier malveillant et n'a qu'à vérifier sa présence ou son absence. ce fichier, et si disponible, mettre en quarantaine pour analyse. Dans ce cas, vous pouvez utiliser le script suivant :

// Activer la minuterie de surveillance pendant 10 minutes

ActiverWatchDog(60 * 10);

// Recherche de malware par nom

QuarantineFile('%WinDir%\smss.exe', 'Suspect à propos de LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Suspicion de LdPinch.gen');

//Arrêter AVZ

Ce script utilise la fonction QuarantineFile pour tenter de mettre en quarantaine les fichiers spécifiés. L'administrateur peut uniquement analyser le contenu de la quarantaine (dossier Quarantine\network_name_PC\quarantine_date\) pour détecter la présence de fichiers en quarantaine. Veuillez noter que la fonction QuarantineFile bloque automatiquement la quarantaine des fichiers identifiés par la base de données sécurisée AVZ ou la base de données de signatures numériques Microsoft. Pour application pratique ce script peut être amélioré - organisez le chargement des noms de fichiers à partir d'un fichier texte externe, vérifiez les fichiers trouvés par rapport aux bases de données AVZ et générez un protocole texte avec les résultats du travail :

// Recherche un fichier avec le nom spécifié

function CheckByName(Fname: string) : booléen;

Résultat := FileExists(FName) ;

si résultat alors commencez

cas CheckFile(FName) de

1 : S:= ‘, l’accès au fichier est bloqué’ ;

1 : S:= ', détecté comme logiciel malveillant ("+GetLastCheckTxt+')' ;

2 : S:= ', suspecté par le scanner de fichiers ("+GetLastCheckTxt+')' ;

3 : sortie ; // Les fichiers sécurisés sont ignorés

AddToLog('Le fichier '+NormalFileName(FName)+' a un nom suspect'+S);

//Ajoute le fichier spécifié en quarantaine

QuarantineFile(FName, 'fichier suspect'+S);

SuspNames : TStringList ; // Liste des noms de fichiers suspects

// Vérification des fichiers par rapport à la base de données mise à jour

si FileExists (GetAVZDirectory + 'files.db') alors commencez

SuspNames := TStringList.Create ;

SuspNames.LoadFromFile('files.db');

AddToLog('Base de données de noms chargée - nombre d'enregistrements = '+inttostr(SuspNames.Count));

// Boucle de recherche

pour i:= 0 à SuspNames.Count - 1 faire

CheckByName(SuspNames[i]);

AddToLog('Erreur lors du chargement de la liste des noms de fichiers');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Pour que ce script fonctionne, vous devez créer les répertoires Quarantaine et LOG dans le dossier AVZ, accessibles aux utilisateurs en écriture, ainsi que fichier texte files.db - chaque ligne de ce fichier contiendra le nom du fichier suspect. Les noms de fichiers peuvent inclure des macros, dont les plus utiles sont %WinDir% (chemin d'accès à Dossier Windows) et %SystemRoot% (chemin d'accès au dossier System32). Une autre direction d'analyse pourrait être un examen automatique de la liste des processus exécutés sur les ordinateurs des utilisateurs. Les informations sur les processus en cours se trouvent dans le protocole de recherche du système, mais pour une analyse automatique, il est plus pratique d'utiliser le fragment de script suivant :

procédure ScanProcess ;

S:= ''; S1 := '' ;

//Mise à jour de la liste des processus

Actualiser la liste des processus ;

AddToLog('Nombre de processus = '+IntToStr(GetProcessCount));

// Cycle d'analyse de la liste reçue

pour i:= 0 à GetProcessCount - 1 commence

S1 := S1 + ',' + ExtractFileName (GetProcessName (i));

// Recherche d'un processus par son nom

si pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 alors

S:= S + GetProcessName(i)+',';

si S<>''alors

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

L'étude des processus dans ce script est effectuée en tant que procédure ScanProcess distincte, il est donc facile de le placer dans son propre script. La procédure ScanProcess construit deux listes de processus : liste complète processus (pour analyse ultérieure) et une liste de processus qui, du point de vue de l’administrateur, sont considérés comme dangereux. Dans ce cas, à des fins de démonstration, un processus nommé « trojan.exe » est considéré comme dangereux. Les informations sur les processus dangereux sont ajoutées au fichier texte _alarm.txt, les données sur tous les processus sont ajoutées au fichier _all_process.txt. Il est facile de voir que vous pouvez compliquer le script en y ajoutant, par exemple, la vérification des fichiers de processus par rapport à une base de données de fichiers sûrs ou en vérifiant les noms. fichiers exécutables processus sur une base externe. Une procédure similaire est utilisée dans les scripts AVZ utilisés dans Smolenskenergo : l'administrateur étudie périodiquement les informations collectées et modifie le script en y ajoutant le nom des processus de programmes interdits par la politique de sécurité, par exemple ICQ et MailRu.Agent, ce qui permet vous permettre de vérifier rapidement la présence de logiciels interdits sur les PC étudiés. Une autre utilisation de la liste des processus consiste à rechercher les PC pour lesquels il manque un processus requis, tel qu'un antivirus.

En conclusion, examinons le dernier des scripts d'analyse utiles - un script pour la quarantaine automatique de tous les fichiers qui ne sont pas reconnus par la base de données sécurisée AVZ et la base de données de signatures numériques Microsoft :

// Effectuer une autoquarantaine

Exécuter la quarantaine automatique ;

La quarantaine automatique examine les processus en cours d'exécution et les bibliothèques, services et pilotes chargés, environ 45 méthodes de démarrage automatique, les modules d'extension du navigateur et de l'explorateur, les gestionnaires SPI/LSP, les tâches du planificateur, les gestionnaires du système d'impression, etc. Une particularité de la quarantaine est que les fichiers y sont ajoutés avec contrôle de répétition, de sorte que la fonction de quarantaine automatique peut être appelée à plusieurs reprises.

L'avantage de la quarantaine automatique est qu'avec son aide, l'administrateur peut rapidement collecter les fichiers potentiellement suspects sur tous les ordinateurs du réseau pour examen. La forme la plus simple (mais très efficace en pratique) d'étude des fichiers peut consister à vérifier la quarantaine résultante avec plusieurs antivirus populaires en mode heuristique maximum. A noter que le lancement simultané de l'auto-quarantaine sur plusieurs centaines d'ordinateurs peut créer une charge importante sur le réseau et le serveur de fichiers.

Recherche sur le trafic

La recherche de trafic peut être effectuée de trois manières :

  • manuellement à l'aide de renifleurs ;
  • en mode semi-automatique - dans ce cas, le renifleur collecte des informations, puis ses protocoles sont traités soit manuellement, soit par un logiciel ;
  • automatiquement à l'aide de systèmes de détection d'intrusion (IDS) tels que Snort (http://www.snort.org/) ou leurs analogues logiciels ou matériels. Dans le cas le plus simple, un IDS se compose d'un renifleur et d'un système qui analyse les informations collectées par le renifleur.

Un système de détection d'intrusion est un outil optimal car il permet de créer des ensembles de règles pour détecter les anomalies dans l'activité du réseau. Son deuxième avantage est le suivant : la plupart des IDS modernes permettent de placer des agents de surveillance du trafic sur plusieurs nœuds du réseau : les agents collectent des informations et les transmettent. En cas d'utilisation d'un sniffer, il est très pratique d'utiliser la console UNIX sniffer tcpdump. Par exemple, pour surveiller l'activité sur le port 25 ( Protocole SMTP) lancez simplement le renifleur avec ligne de commande taper:

tcpdump -i em0 -l port TCP 25 > smtp_log.txt

Dans ce cas, les paquets sont capturés via l'interface em0 ; les informations sur les paquets capturés seront stockées dans le fichier smtp_log.txt. Le protocole est relativement facile à analyser manuellement ; dans cet exemple, l'analyse de l'activité sur le port 25 vous permet d'identifier les PC avec des robots spammeurs actifs.

Application du pot de miel

Un ordinateur obsolète dont les performances ne permettent pas de l'utiliser pour la résolution peut être utilisé comme piège (Honeypot). tâches de production. Par exemple, un Pentium Pro de 64 Mo est utilisé avec succès comme piège dans le réseau de l'auteur mémoire vive. Sur ce PC, vous devez installer le système d'exploitation le plus courant sur le réseau local et choisir l'une des stratégies suivantes :

  • Installer un système d'exploitation sans packages de mise à jour - ce sera un indicateur de l'apparition d'un ver de réseau actif sur le réseau, exploitant l'une des vulnérabilités connues de ce système d'exploitation ;
  • installez un système d'exploitation avec des mises à jour installées sur d'autres PC du réseau - le Honeypot sera analogue à n'importe lequel des postes de travail.

Chaque stratégie a ses avantages et ses inconvénients ; L'auteur utilise principalement l'option sans mises à jour. Après avoir créé le Honeypot, vous devez créer une image disque pour prompt rétablissement système après qu’il ait été endommagé par un logiciel malveillant. Au lieu d'une image disque, vous pouvez utiliser des systèmes de restauration des modifications tels que ShadowUser et ses analogues. Après avoir construit un Honeypot, vous devez tenir compte du fait qu'un certain nombre de vers de réseau recherchent les ordinateurs infectés en analysant la plage IP, calculée à partir de l'adresse IP du PC infecté (les stratégies typiques courantes sont X.X.X.*, X.X.X+1.*, X.X.X-1.*), - donc idéalement, il devrait y avoir un Honeypot sur chaque sous-réseau. En tant qu'éléments de préparation supplémentaires, vous devez absolument ouvrir l'accès à plusieurs dossiers sur le système Honeypot, et dans ces dossiers, vous devez placer plusieurs exemples de fichiers de différents formats, l'ensemble minimum est EXE, JPG, MP3.

Bien entendu, après avoir créé un Honeypot, l'administrateur doit surveiller son fonctionnement et répondre aux éventuelles anomalies détectées sur cet ordinateur. Les auditeurs peuvent être utilisés comme moyen d'enregistrer les modifications ; un renifleur peut être utilisé pour enregistrer l'activité du réseau. Un point important est que la plupart des renifleurs offrent la possibilité de configurer l'envoi d'une alerte à l'administrateur si une activité réseau spécifiée est détectée. Par exemple, dans le renifleur CommView, une règle implique de spécifier une « formule » qui décrit un paquet réseau, ou de spécifier des critères quantitatifs (envoi de plus d'un nombre spécifié de paquets ou d'octets par seconde, envoi de paquets à des adresses IP ou MAC non identifiées) - Figue. 2.

Riz. 2. Créez et configurez une alerte d'activité réseau

À titre d'avertissement, il est plus pratique d'utiliser les messages électroniques envoyés à Boites aux lettres administrateur - dans ce cas, vous pouvez recevoir des alertes rapides de tous les pièges du réseau. De plus, si le sniffer permet de créer plusieurs alertes, il est logique de différencier l'activité du réseau en mettant en évidence le travail avec par email, FTP/HTTP, TFTP, Telnet, MS Net, augmentation du trafic de plus de 20 à 30 paquets par seconde pour n'importe quel protocole (Fig. 3).

Riz. 3. Lettre de notification envoyée
si des paquets correspondant aux critères spécifiés sont détectés

Lors de l'organisation d'un piège, c'est une bonne idée d'y placer plusieurs services réseau vulnérables utilisés sur le réseau ou d'installer un émulateur pour eux. Le plus simple (et gratuit) est l'utilitaire propriétaire APS, qui fonctionne sans installation. Le principe de fonctionnement d'APS se résume à écouter de nombreux ports TCP et UDP décrits dans sa base de données et à émettre une réponse prédéterminée ou générée aléatoirement au moment de la connexion (Fig. 4).

Riz. 4. Fenêtre principale de l'utilitaire APS

La figure montre une capture d'écran prise lors d'une véritable activation de l'APS sur le LAN Smolenskenergo. Comme le montre la figure, une tentative a été enregistrée pour connecter l'un des ordinateurs clients sur le port 21. L'analyse des protocoles a montré que les tentatives sont périodiques et sont enregistrées par plusieurs traps sur le réseau, ce qui permet de conclure que le Le réseau est analysé afin de rechercher et de pirater des serveurs FTP en devinant les mots de passe. APS conserve des journaux et peut envoyer des messages aux administrateurs avec des rapports sur les connexions enregistrées aux ports surveillés, ce qui est pratique pour détecter rapidement les analyses réseau.

Lors de la création d'un pot de miel, il est également utile de se familiariser avec les ressources en ligne sur le sujet, notamment http://www.honeynet.org/. Dans la section Outils de ce site (http://www.honeynet.org/tools/index.html), vous trouverez un certain nombre d'outils permettant d'enregistrer et d'analyser les attaques.

Suppression des logiciels malveillants à distance

Idéalement, après avoir détecté des échantillons de logiciels malveillants, l'administrateur les envoie au laboratoire antivirus, où ils sont rapidement étudiés par des analystes et les signatures correspondantes sont ajoutées à la base de données antivirus. Ces signatures à travers mise à jour automatique accédez au PC de l'utilisateur et l'antivirus supprime automatiquement les logiciels malveillants sans intervention de l'administrateur. Cependant, cette chaîne ne fonctionne pas toujours comme prévu ; en particulier, les raisons d'échec suivantes sont possibles :

  • pour diverses raisons indépendantes de l'administrateur du réseau, les images peuvent ne pas parvenir au laboratoire antivirus ;
  • efficacité insuffisante du laboratoire antivirus - idéalement, il ne faut pas plus de 1 à 2 heures pour étudier les échantillons et les saisir dans la base de données, ce qui signifie que des bases de données de signatures mises à jour peuvent être obtenues en une journée ouvrable. Cependant, tous les laboratoires antivirus ne travaillent pas aussi rapidement, et vous pouvez attendre plusieurs jours pour les mises à jour (dans de rares cas, voire des semaines) ;
  • hautes performances de l'antivirus - un certain nombre de programmes malveillants, après activation, détruisent les antivirus ou perturbent autrement leur fonctionnement. Les exemples classiques incluent la création d'entrées dans le fichier hosts qui bloquent travail normal systèmes de mise à jour automatique des antivirus, suppression de processus, de services et de pilotes antivirus, dommages à leurs paramètres, etc.

Par conséquent, dans les situations ci-dessus, vous devrez gérer manuellement les logiciels malveillants. Dans la plupart des cas, cela n'est pas difficile, puisque les résultats de l'examen informatique révèlent les PC infectés, ainsi que les noms complets des fichiers malveillants. Il ne reste plus qu'à les supprimer à distance. Si le programme malveillant n'est pas protégé contre la suppression, il peut être détruit à l'aide du script AVZ suivant :

// Suppression d'un fichier

SupprimerFichier('nom de fichier');

ExécuterSysClean ;

Ce script supprime un fichier spécifié (ou plusieurs fichiers, puisqu'il peut y avoir un nombre illimité de commandes DeleteFile dans un script), puis nettoie automatiquement le registre. Dans un cas plus complexe, le malware peut se protéger contre la suppression (par exemple, en recréant ses fichiers et ses clés de registre) ou se déguiser en utilisant la technologie rootkit. Dans ce cas, le script devient plus compliqué et ressemblera à ceci :

// Anti-rootkit

SearchRootkit(vrai, vrai);

// Contrôle AVZGuard

SetAVZGuardStatus(vrai);

// Suppression d'un fichier

SupprimerFichier('nom de fichier');

// Activer la journalisation BootCleaner

BC_LogFile (GetAVZDirectory + 'boot_clr.log');

// Importer dans la tâche BootCleaner une liste des fichiers supprimés par le script

BC_ImportDeletedList ;

// Activer BootCleaner

// Nettoyage du système heuristique

ExécuterSysClean ;

Redémarrer Windows (vrai) ;

Ce script inclut une lutte active contre les rootkits, l'utilisation du système AVZGuard (il s'agit d'un bloqueur d'activité de malware) et du système BootCleaner. BootCleaner est un pilote qui supprime les objets spécifiés de KernelMode lors d'un redémarrage, à un stade précoce du démarrage du système. La pratique montre qu'un tel script est capable de détruire la grande majorité des logiciels malveillants existants. L'exception concerne les logiciels malveillants qui modifient les noms de leurs fichiers exécutables à chaque redémarrage. Dans ce cas, les fichiers découverts lors de l'analyse du système peuvent être renommés. Dans ce cas, vous devrez désinfecter votre ordinateur manuellement ou créer vos propres signatures de malware (un exemple de script implémentant une recherche de signature est décrit dans l'aide d'AVZ).

Conclusion

Dans cet article, nous avons examiné quelques techniques pratiques pour lutter manuellement contre une épidémie de réseau local, sans utiliser de produits antivirus. La plupart des techniques décrites peuvent également être utilisées pour rechercher des PC étrangers et des signets de chevaux de Troie sur les ordinateurs des utilisateurs. Si vous rencontrez des difficultés à trouver des logiciels malveillants ou à créer des scripts de traitement, l'administrateur peut utiliser la section « Aide » du forum http://virusinfo.info ou la section « Lutte contre les virus » du forum http://forum.kaspersky.com /index.php?showforum= 18. L'étude des protocoles et l'assistance au traitement sont réalisées gratuitement sur les deux forums, l'analyse du PC est effectuée selon les protocoles AVZ, et dans la plupart des cas le traitement se résume à l'exécution d'un script AVZ sur les PC infectés, compilé par des spécialistes expérimentés de ces forums .

Qui sont obligés d'attendre la création d'un fichier physique sur l'ordinateur de l'utilisateur, la protection du réseau commence à analyser les flux de données entrants entrant dans l'ordinateur de l'utilisateur via le réseau et bloque les menaces avant qu'elles n'entrent dans le système.

Les principaux domaines de protection du réseau assurés par les technologies Symantec sont :

Téléchargements intempestifs, attaques Web ;
- Attaques de « Social Engineering » : FakeAV (faux antivirus) et codecs ;
- Attaques à travers réseaux sociaux comme Facebook ;
- Détection des malwares, rootkits et systèmes infectés par des bots ;
- Protection contre les menaces avancées ;
- Menaces du jour zéro ;
- Protection contre les vulnérabilités logicielles non corrigées ;
- Protection contre les domaines et adresses IP malveillants.

Technologies de protection des réseaux

Le niveau « Protection réseau » comprend 3 technologies différentes.

Solution de prévention des intrusions réseau (Network IPS)

La technologie Network IPS comprend et analyse plus de 200 protocoles différents. Il coupe intelligemment et précisément les binaires et protocole réseau, recherchant simultanément des signes de trafic malveillant. Cette intelligence permet une analyse réseau plus précise tout en fournissant protection fiable. En son « cœur » se trouve un moteur de blocage des exploits qui fournit aux vulnérabilités ouvertes une protection pratiquement impénétrable. Une caractéristique unique de Symantec IPS est que ce composant ne nécessite aucune configuration. Toutes ses fonctions fonctionnent, comme on dit, « prêt à l'emploi ». Chaque produit grand public Norton et chaque produit Symantec Endpoint Protection version 12.1 et ultérieure disposent de cette technologie critique activée par défaut.

Protection du navigateur

Ce moteur de sécurité est situé à l'intérieur du navigateur. Il est capable de détecter les menaces les plus complexes que ni les antivirus traditionnels ni Network IPS ne sont capables de détecter. De nos jours, de nombreuses attaques réseau utilisent des techniques d’obscurcissement pour éviter d’être détectées. Étant donné que la protection du navigateur s'exécute à l'intérieur du navigateur, elle est capable d'examiner le code non encore masqué (obscurci) lors de son exécution. Cela vous permet de détecter et de bloquer une attaque si elle a été manquée à des niveaux inférieurs de protection du programme.

Protection contre les téléchargements non autorisés (UXP)

Située au sein de la couche de défense du réseau, la dernière ligne de défense permet de couvrir et d'atténuer les effets des vulnérabilités inconnues et non corrigées, sans utiliser de signatures. Cela fournit une couche de protection supplémentaire contre les attaques Zero Day.

Se concentrer sur les problèmes

En travaillant ensemble, les technologies de sécurité réseau résolvent les problèmes suivants.

Téléchargements drive-by et kits d'attaque Web

Grâce aux technologies Network IPS, Browser Protection et UXP, les technologies de protection réseau de Symantec bloquent les téléchargements Drive-by et empêchent essentiellement les logiciels malveillants d'atteindre le système de l'utilisateur. Diverses méthodes préventives sont pratiquées, qui incluent l'utilisation de ces mêmes technologies, notamment la technologie générique de blocage des exploits et les outils de détection des attaques Web. Un outil général de détection des attaques Web analyse les caractéristiques d'une attaque Web courante, quelle que soit la vulnérabilité spécifique ciblée par l'attaque. Cela vous permet de fournir une protection supplémentaire contre les vulnérabilités nouvelles et inconnues. La meilleure chose à propos de ce type de protection est que si un fichier malveillant infectait « silencieusement » un système, il serait quand même arrêté et supprimé de manière proactive du système : c’est précisément le comportement que les produits antivirus traditionnels négligent généralement. Mais Symantec continue de bloquer des dizaines de millions de variantes de logiciels malveillants qui ne peuvent généralement pas être détectées par d'autres moyens.

Attaques d’ingénierie sociale

Étant donné que la technologie de Symantec surveille le trafic du réseau et du navigateur au fur et à mesure de son déplacement, elle détecte les attaques d'« ingénierie sociale » telles que FakeAV ou les faux codecs. Les technologies sont conçues pour bloquer de telles attaques avant qu'elles n'apparaissent sur l'écran de l'utilisateur. La plupart des autres solutions concurrentes n'incluent pas cette puissante fonctionnalité.

Symantec bloque des centaines de millions de ces types d'attaques grâce à une technologie de protection contre les menaces en ligne.

Attaques ciblant les applications de médias sociaux

Les applications de médias sociaux sont récemment devenues très populaires car elles vous permettent de partager instantanément divers messages, vidéos intéressantes et informations avec des milliers d'amis et d'utilisateurs. La large diffusion et le potentiel de ces programmes en font la cible n°1 des pirates informatiques. Certaines astuces courantes des pirates informatiques incluent la création de faux comptes et l’envoi de spam.

La technologie Symantec IPS peut protéger contre ces types de méthodes de tromperie, les empêchant souvent avant même que l'utilisateur ne clique dessus. Symantec bloque les URL, applications et autres techniques de tromperie frauduleuses et usurpées grâce à une technologie de protection contre les menaces en ligne.

Détection des logiciels malveillants, des rootkits et des systèmes infectés par des robots

Ne serait-il pas intéressant de savoir exactement où se trouve l’ordinateur infecté sur le réseau ? Les solutions IPS de Symantec offrent cette fonctionnalité, incluant également la détection et la récupération des menaces qui auraient pu échapper à d'autres couches de protection. Les solutions Symantec détectent les logiciels malveillants et les robots qui tentent de créer des numéroteurs automatiques ou de télécharger des « mises à jour » pour augmenter leur activité sur le système. Cela permet aux responsables informatiques, qui disposent d'une liste claire de systèmes à examiner, d'avoir l'assurance que leur entreprise est sécurisée. Les menaces furtives polymorphes et complexes utilisant des techniques de rootkit telles que Tidserv, ZeroAccess, Koobface et Zbot peuvent être arrêtées et supprimées à l'aide de cette méthode.

Protection contre les menaces dissimulées

Les attaques Web actuelles utilisent des techniques complexes pour accroître la complexité de leurs attaques. La protection du navigateur de Symantec se trouve à l'intérieur du navigateur et peut détecter des menaces très complexes que les méthodes traditionnelles ne peuvent souvent pas détecter.

Menaces du jour zéro et vulnérabilités non corrigées

L'un des derniers ajouts de sécurité que la société a ajoutés est une couche supplémentaire de protection contre les menaces du jour zéro et les vulnérabilités non corrigées. Grâce à une protection sans signature, le programme intercepte les appels de l'API système et protège contre les téléchargements de logiciels malveillants. Cette technologie est appelée Protection contre les téléchargements non autorisés (UXP). Il s’agit de la dernière ligne de soutien au sein de l’écosystème de protection contre les menaces réseau. Cela permet au produit de « couvrir » les vulnérabilités inconnues et non corrigées sans utiliser de signatures. Cette technologie est activée par défaut et a été trouvée dans tous les produits lancés depuis le lancement de Norton 2010.

Protection contre les vulnérabilités logicielles non corrigées

Les programmes malveillants sont souvent installés à l'insu de l'utilisateur, en utilisant les vulnérabilités du logiciel. La sécurité réseau Symantec fournit une couche de protection supplémentaire appelée Generic Exploit Blocking (GEB). Indépendamment du fait que Dernières mises à jour ou non, GEB protège « principalement » les vulnérabilités sous-jacentes contre l’exploitation. Vulnérabilités dans Oracle Sun Java, Adobe Acrobat Lecteur, Adobe Flash, Internet Explorer, les contrôles ActiveX ou QuickTime sont désormais omniprésents. La protection générique contre les exploits a été créée par « ingénierie inverse » en déterminant comment la vulnérabilité pourrait être exploitée sur le réseau, tout en fournissant un correctif spécial pour niveau du réseau. Un seul GEB, ou signature de vulnérabilité, peut assurer une protection contre des milliers de variantes de logiciels malveillants, nouvelles et inconnues.

IP malveillantes et blocage de domaine

La protection réseau de Symantec inclut également la possibilité de bloquer les domaines et les adresses IP malveillants tout en stoppant les logiciels malveillants et le trafic provenant de sites malveillants connus. Grâce à l'analyse et à la mise à jour rigoureuses des sites Web de STAR, Symantec offre une protection en temps réel contre les menaces en constante évolution.

Résistance à l'évasion améliorée

La prise en charge d'encodages supplémentaires a été ajoutée pour améliorer l'efficacité de la détection des attaques à l'aide de techniques de cryptage telles que base64 et gzip.

Détection d'audit réseau pour appliquer les politiques d'utilisation et identifier les fuites de données

Network IPS peut être utilisé pour identifier les applications et les outils susceptibles de violer les politiques d'utilisation de l'entreprise ou pour empêcher les fuites de données sur le réseau. Il est possible de détecter, avertir ou empêcher le trafic comme la messagerie instantanée, le P2P, les réseaux sociaux ou d'autres types de trafic « intéressants ».

Protocole de communication de renseignement STAR

La technologie de sécurité des réseaux ne fonctionne pas seule. Le moteur communique avec d'autres services de sécurité en utilisant le protocole STAR Intelligence Communication (STAR ​​​​ICB). Le moteur Network IPS se connecte au moteur Symantec Sonar, puis au moteur Insight Reputation. Cela vous permet de fournir une protection plus informative et plus précise.

Dans le prochain article, nous examinerons le niveau de l’analyseur de comportement.

Basé sur des matériaux de Symantec

Un antivirus doit être installé sur chaque PC Windows. Pendant longtemps, cela a été considéré comme la règle d'or, mais aujourd'hui, les experts en sécurité informatique débattent de l'efficacité des logiciels de sécurité. Les critiques affirment que les antivirus ne protègent pas toujours, et parfois même le contraire : en raison d'une mise en œuvre imprudente, ils peuvent créer des failles dans la sécurité du système. Les développeurs de telles solutions contrastent cet avis un nombre impressionnant d'attaques bloquées, et les services marketing continuent de ne jurer que par la protection complète qu'offrent leurs produits.

La vérité se situe quelque part entre les deux. Les antivirus ne fonctionnent pas parfaitement, mais ils ne peuvent pas tous être qualifiés d’inutiles. Ils mettent en garde contre diverses menaces, mais ils ne suffisent pas à protéger Windows autant que possible. Pour vous en tant qu'utilisateur, cela signifie ce qui suit : vous pouvez soit jeter l'antivirus à la poubelle, soit lui faire aveuglément confiance. Mais d’une manière ou d’une autre, il ne s’agit que d’un des éléments (même s’il est important) de la stratégie de sécurité. Nous vous fournirons neuf autres de ces « briques ».

Menace de sécurité : antivirus

> Ce que disent les critiques La controverse actuelle sur les antivirus a été déclenchée par l'ancien développeur de Firefox, Robert O'Callaghan. Il argumente : les antivirus menacent la sécurité de Windows et devraient être supprimés. La seule exception est Windows Defender de Microsoft.

> Ce que disent les développeurs Créateurs d'antivirus, dont Kaspersky Lab, comme argument, ils citent des chiffres impressionnants. Ainsi, en 2016, les logiciels de ce laboratoire ont enregistré et empêché environ 760 millions d'attaques Internet sur les ordinateurs des utilisateurs.

> Ce que pense CHIP Les antivirus ne doivent être considérés ni comme une relique, ni comme une panacée. Ils ne sont qu’une brique dans l’édifice de la sécurité. Nous vous recommandons d'utiliser des antivirus compacts. Mais ne vous inquiétez pas trop : Windows Defender fonctionne bien. Vous pouvez même utiliser de simples scanners tiers.

Choisissez le bon antivirus

Nous sommes, comme auparavant, convaincus que Windows est impensable sans protection antivirus. Il vous suffit de choisir le bon produit. Pour les utilisateurs de Tens, cela pourrait même être le Windows Defender intégré. Malgré le fait que lors de nos tests, il n'a pas montré le meilleur degré de reconnaissance, il est parfaitement intégré au système et, surtout, sans aucun problème de sécurité. De plus, Microsoft a amélioré son produit dans la Creators Update pour Windows 10 et simplifié sa gestion.

Les packages antivirus d’autres développeurs ont souvent un taux de reconnaissance plus élevé que Defender. Nous défendons une solution compacte. Le leader de notre notation sur ce moment est Kaspersky la sécurité sur Internet 2017. Ceux qui peuvent refuser des options supplémentaires telles que contrôle parental et gestionnaire de mots de passe, devraient porter leur attention sur une option plus économique de Kaspersky Lab.

Suivre les mises à jour

Si nous devions choisir une seule mesure pour assurer la sécurité de Windows, nous opterions certainement pour les mises à jour. Dans ce cas, bien sûr, nous parlons avant tout de mises à jour pour Windows, mais pas seulement. Les logiciels installés, notamment Office, Firefox et iTunes, doivent également être mis à jour régulièrement. Sous Windows, obtenir les mises à jour du système est relativement simple. Dans les « sept » et « dix », les correctifs sont installés automatiquement en utilisant les paramètres par défaut.

Dans le cas des programmes, la situation devient plus difficile, car tous ne sont pas aussi faciles à mettre à jour que Firefox et Chrome, qui disposent d'une fonction de mise à jour automatique intégrée. L'utilitaire SUMo (Software Update Monitor) vous aidera à résoudre cette tâche et vous informera de la disponibilité des mises à jour. Un programme connexe, DUMo (Driver Update Monitor), fera le même travail pour les pilotes. Cependant, les deux assistants gratuits ne vous informent que des nouvelles versions – vous devrez les télécharger et les installer vous-même.

Configurer un pare-feu

Le pare-feu intégré à Windows fait bien son travail et bloque de manière fiable toutes les requêtes entrantes. Cependant, il est capable de bien plus - son potentiel n'est pas limité par la configuration par défaut : tous programmes installés avoir le droit d'ouvrir des ports dans le pare-feu sans demander. L'utilitaire gratuit de contrôle du pare-feu Windows vous donnera plus de fonctionnalités.

Lancez-le et dans le menu « Profils », réglez le filtre sur « Filtrage moyen ». Grâce à cela, le pare-feu contrôlera également le trafic sortant selon un ensemble de règles données. Vous décidez vous-même quelles mesures seront incluses. Pour ce faire, dans le coin inférieur gauche de l'écran du programme, cliquez sur l'icône de note. De cette façon, vous pouvez consulter les règles et accorder l'autorisation en un seul clic. programme séparé ou le bloquer.

Utiliser une protection spéciale

Mises à jour, antivirus et pare-feu - vous avez déjà pris soin de cette grande trinité de mesures de sécurité. C'est l'heure réglage fin. Le problème avec les programmes supplémentaires pour Windows est souvent qu'ils ne profitent pas de toutes les fonctionnalités de sécurité offertes par le système. Un utilitaire anti-exploit tel que EMET (Enhanced Mitigation Experience Toolkit) renforce encore le logiciel installé. Pour ce faire, cliquez sur « Utiliser les paramètres recommandés » et laissez le programme s'exécuter automatiquement.

Renforcer le cryptage

Vous pouvez améliorer considérablement la protection des données personnelles en les chiffrant. Même si vos informations tombent entre de mauvaises mains, un pirate informatique ne pourra pas supprimer un bon codage, du moins pas tout de suite. En professionnel Versions Windows L'utilitaire BitLocker est déjà fourni, configuré via le Panneau de configuration.

VeraCrypt sera une alternative pour tous les utilisateurs. Ce programme open source est le successeur non officiel de TrueCrypt, qui a été abandonné il y a quelques années. Si nous parlons de Uniquement concernant la protection des informations personnelles, vous pouvez créer un conteneur crypté via l'élément « Créer un volume ». Sélectionnez l'option « Créer un conteneur de fichiers cryptés » et suivez les instructions de l'assistant. Le coffre-fort de données prêt à l'emploi est accessible via l'Explorateur Windows, tout comme un disque ordinaire.

Protéger les comptes utilisateurs

De nombreuses vulnérabilités restent inexploitées par les pirates informatiques simplement parce que le travail sur l'ordinateur est effectué sous un compte standard avec des droits limités. Donc, pour les tâches quotidiennes, vous devriez également en configurer un comme celui-ci compte. Sous Windows 7, cela se fait via le Panneau de configuration et l'élément « Ajouter et supprimer des comptes d'utilisateurs ». Dans le « top dix », cliquez sur « Paramètres » et « Comptes », puis sélectionnez « Famille et autres personnes ».

Activer le VPN en dehors de la maison

À la maison dans réseau sans fil Votre niveau de sécurité est élevé car vous contrôlez qui a accès au réseau local et êtes responsable du cryptage et des codes d'accès. Tout est différent dans le cas des hotspots, par exemple
dans les hôtels. Ici, le Wi-Fi est distribué entre des utilisateurs tiers et vous ne pouvez avoir aucune influence sur la sécurité de l'accès au réseau. Pour la protection, nous vous recommandons d'utiliser un VPN (Virtual Private Network). Si vous avez simplement besoin de parcourir des sites via un point d'accès, le VPN intégré dans dernière version Navigateur Opera. Installez le navigateur et dans « Paramètres » cliquez sur « Sécurité ». Dans la section "VPN", cochez la case "Activer le VPN".

Coupez les connexions sans fil inutilisées


d'accord

Même les détails peuvent décider de l’issue d’une situation. Si vous n'utilisez pas de connexions telles que Wi-Fi et Bluetooth, désactivez-les simplement pour combler les failles potentielles. Sous Windows 10, le moyen le plus simple de procéder consiste à utiliser le Centre de maintenance. « Seven » propose à cet effet la section « Connexions réseau » dans le panneau de configuration.

Gérer les mots de passe

Chaque mot de passe ne doit être utilisé qu'une seule fois et doit contenir des caractères spéciaux, des chiffres, des lettres majuscules et minuscules. Et aussi être aussi long que possible - de préférence dix caractères ou plus. Le principe de sécurité des mots de passe atteint aujourd’hui ses limites car les utilisateurs doivent trop mémoriser. Par conséquent, lorsque cela est possible, cette protection devrait être remplacée par d’autres méthodes. Prenez par exemple la connexion à Windows : si vous disposez d'une caméra prenant en charge Windows Hello, utilisez la reconnaissance faciale pour vous connecter. Pour les autres codes, nous vous recommandons d'utiliser des gestionnaires de mots de passe tels que KeePass, qui doivent être protégés par un mot de passe principal fort.

Sécurisez votre vie privée dans le navigateur

Il existe de nombreuses façons de protéger votre vie privée en ligne. L'extension Paramètres de confidentialité est idéale pour Firefox. Installez-le et réglez-le sur « Confidentialité totale ». Après cela, le navigateur ne fournira aucune information sur votre comportement sur Internet.

Bouée de sauvetage : secours

> Les sauvegardes sont extrêmement importantes Sauvegarde justifie
vous-même non seulement après une infection par le virus. Cela fonctionne également bien lorsque des problèmes matériels surviennent. Notre conseil : faites une copie unique de tous les Windows, puis effectuez en plus et régulièrement des sauvegardes de toutes les données importantes.

> Archivage complet de Windows Windows 10 hérité du « sept » le module « Archivage et restauration ». Avec lui vous créerez copie de sauvegarde systèmes. Vous pouvez aussi utiliser utilitaires spéciaux, par exemple True Image ou Macrium Reflect.

> La protection des fichiers True Image et la version payante de Macrium Reflect peuvent faire des copies certains fichiers et des dossiers. Alternative gratuite pour l'archivage une information important deviendra le programme Personal Backup.

PHOTO : entreprises manufacturières ; NicoElNino/Fotolia.com

Comment protéger votre ordinateur contre les accès à distance ? Comment bloquer l'accès à un ordinateur via un navigateur ?

Comment protéger votre ordinateur contre l'accès à distance, ils pensent généralement quand quelque chose s'est déjà produit. Mais bien sûr, c’est une mauvaise décision pour une personne qui exerce au moins certaines de ses propres activités. Et il est conseillé à tous les utilisateurs de limiter l'accès à leur ordinateur aux étrangers. Et dans cet article, nous ne discuterons pas de la méthode de définition d'un mot de passe pour se connecter à un ordinateur, mais examinerons une option permettant de refuser l'accès à un ordinateur depuis un réseau local ou depuis un autre ordinateur s'ils sont connectés au même. réseau. Ces informations seront particulièrement utiles pour les nouveaux utilisateurs de PC.

Et donc, dans système opérateur Windows dispose d'une fonctionnalité appelée « Accès à distance ». Et s’il n’est pas désactivé, d’autres utilisateurs peuvent en profiter pour prendre le contrôle de votre ordinateur. Même si vous êtes manager et que vous avez besoin de surveiller vos employés, alors bien sûr vous avez besoin d'accéder à leur PC, mais vous devez fermer le vôtre pour que ces mêmes employés ne regardent pas votre correspondance avec votre secrétaire - c'est lourd. .

mars 2020
Lun W Épouser Jeu Ven Assis Soleil
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

PUBLICITÉ

    Comme d'habitude, les projets en ligne sont promus. En règle générale, les rédacteurs SEO essaient d’en mettre autant que possible dans le texte. Requêtes de recherche, les incitant à

    Comprendre les principales nuances qui distinguent les faux iPhones des vrais produits vous aidera à économiser de l'argent et à éviter d'acheter auprès de vendeurs imprudents. Pour quoi



Populaire dans la catégorie :
Comment créer un clip karaoké sur un ordinateur ?
Comment créer un clip karaoké sur un ordinateur ?
lire
L'application Origin est requise pour le jeu, mais elle n'est pas installée. FIFA 16 nécessite Origin.
L'application Origin est nécessaire pour jouer, mais elle n'est pas installée FIFA...
lire
Enregistrement d'une page personnelle sur le réseau social Facebook
Enregistrement d'une page personnelle sur le réseau social Facebook
lire
Comment exécuter une simple analyse Nmap Nmap
Comment exécuter une simple analyse Nmap Nmap
lire

Derniers articles
Comment faire pivoter une image de quelques degrés...
lire
Désactivation de la publicité dans le navigateur Yandex Où...
lire
Dépannage des problèmes de connexion Wi-Fi sur...
lire
Changer le mot de passe sur le profil Windows 10
lire
Instructions pour configurer des routeurs sans fil...
lire
Comment choisir un disque dur et lequel est-il préférable d'acheter...
lire
Meizu pour les nuls. Appels et carnet d'adresses....
lire
Télécharger le programme PDFMaster
lire
Haut