Détection et protection d'un ordinateur sur un réseau. Protection du réseau. Programme de protection des réseaux informatiques. O Mauvais : Vulnérabilité des ressources administratives partagées

Détection et protection d'un ordinateur sur un réseau. Protection du réseau. Programme de protection des réseaux informatiques. O Mauvais : Vulnérabilité des ressources administratives partagées

Certaines personnes passent leur vie entière à travailler pour améliorer la sécurité des entreprises et des particuliers. Et ils passent une grande partie de ce temps à réparer des trous dans Windows. Le système Windows est le canal principal pour malware qui créent des zombies (robots), comme nous l'avons vu au chapitre 5, n'est que la pointe de l'iceberg. Il est juste de dire qu'une grande partie du blâme revient à la popularité massive de Windows, mais il y a tellement de trous dans Windows 7 qu'il n'est pas clair si quelqu'un chez Microsoft est dérangé par cela.

Il existe trois principaux types de menaces. Premièrement, une attaque ciblée par une personne essayant de pirater votre ordinateur via une connexion réseau. Deuxièmement, une attaque de la personne assise devant le clavier de votre ordinateur. Enfin, une attaque automatisée par un ver ou un autre type de logiciel malveillant est possible.

Dans Windows 7, et même plus tôt dans Vista, le contrôle de compte d'utilisateur est activé, ce qui devrait aider à arrêter le flux d'installations involontaires et indésirables de programmes - à ce sujet, ainsi qu'à propos des mots de passe et du cryptage

Pour plus d'informations, reportez-vous au chapitre 7. Cependant, la plupart des fichiers indésirables proviennent d'une connexion réseau, c'est donc un bon endroit pour commencer à protéger votre ordinateur. Le système d'exploitation Windows 7 comprend plusieurs fonctionnalités qui permettent de fournir un certain niveau de sécurité sans avoir à acheter de logiciel ou de matériel supplémentaire.

Malheureusement, peu de ces fonctionnalités sont activées par défaut. Les facteurs suivants sont des lacunes qui ne doivent pas être ignorées.

O Mauvais : vulnérabilité du protocole UPnP

Une autre fonctionnalité appelée UPnP (Universal Plug-and-Play) peut exposer des vulnérabilités supplémentaires dans votre réseau. Un nom plus approprié pour UPnP serait Network Plug and Play, car cette fonctionnalité ne traite que des périphériques réseau. UPnP est un ensemble de normes qui permet aux appareils nouvellement connectés d'annoncer

de ta présence Serveurs UPnP sur votre réseau, de la même manière que les périphériques USB annoncent leur présence à un système appartenant à Windows

Extérieurement, la fonction UPnP semble bonne. Mais en pratique, le manque d'authentification dans la norme UPnP et la facilité avec laquelle les logiciels malveillants peuvent utiliser UPnP pour percer des trous dans le pare-feu et créer des règles de transfert de port dans le routeur ne posent que des problèmes. Actuellement, UPnP est utilisé pour certains jeux, la plupart des extensions multimédias, la messagerie instantanée, l'assistance à distance, etc., ce qui explique pourquoi cette fonctionnalité est activée par défaut dans Windows 7 et dans de nombreux Périphériques réseau. Mais si vous n'en avez pas besoin, il est préférable de le désactiver.

Si vous sélectionnez Réseau public lors de votre première connexion à nouveau réseau ou via le Centre Réseau et Partage (Networking and

^j Centre de partage), alors UPnP est désactivé par défaut.

Pour désactiver UPnP, ouvrez la fenêtre Services (services.msc). Localisez le service SSDP Discovery Service dans la liste et cliquez sur le bouton Arrêter le service dans la barre d'outils. Dans le même temps, l'hôte de périphérique UPnP doit également s'arrêter. Si ce n'est pas le cas, arrêtez-le aussi. Testez maintenant toutes les applications ou tous les appareils que vous soupçonnez d'utiliser la découverte du réseau, tels que les serveurs multimédias ou les extensions. Si vous n'en avez pas, vous pouvez désactiver complètement UPnP en double-cliquant sur chaque service et en sélectionnant Désactivé dans la liste Type de démarrage. Sinon, au prochain démarrage de Windows, ces services redémarreront.

Ouvrez maintenant la page de configuration du routeur (décrite plus haut dans ce chapitre) et désactivez le service UPnP. Cela est nécessaire pour empêcher les applications de configurer de nouvelles règles de transfert de port. Si votre routeur ne vous permet pas de modifier vos paramètres UPnP, envisagez de passer à un nouvelle version firmware, comme décrit dans la section Mise à niveau vers un routeur plus récent.

O Mauvais : vulnérabilité des ports ouverts

Recherchez les vulnérabilités de votre système en analysant les ports ouverts comme décrit plus loin dans ce chapitre.

Oh bien : table de travail à distance, mais seulement quand vous en avez besoin

La fonction de bureau à distance décrite dans le " Télécommande ordinateur" est activé par défaut dans Windows 7 Professionnel et Intégrale. Sauf si vous avez spécifiquement besoin de cette fonctionnalité, elle doit être désactivée. Dans le Panneau de configuration, ouvrez Système, puis sélectionnez le lien Paramètres d'accès à distance. Sur la page Accès à distance de la fenêtre Propriétés système, décochez la case Autoriser les connexions d'assistance à distance à cet ordinateur et cochez la case sous Ne pas autoriser les connexions à cet ordinateur.

Ah bon : mot de passe du compte

En théorie accès général L'accès aux fichiers ne fonctionne pas pour les comptes qui n'ont pas de mot de passe, qui est le paramètre par défaut lors de la création d'un nouveau compte d'utilisateur. Mais un compte sans mot de passe n'offre aucune protection contre une personne assise à votre clavier, et s'il s'agit d'un compte d'utilisateur avec des droits d'administrateur, la porte est ouverte à tout autre utilisateur de cet ordinateur. Voir le chapitre 7 pour une discussion sur les comptes d'utilisateurs et les mots de passe.

À propos des groupes résidentiels et du partage de fichiers

Chaque dossier partagé est potentiellement une porte ouverte. Par conséquent, l'accès public ne doit être accordé qu'aux dossiers pour lesquels il est vraiment nécessaire. Veuillez noter que les autorisations de fichiers et les autorisations de partage dans Windows 7 sont des choses différentes. Plus à ce sujet au chapitre 7.

O Mauvais : Vulnérabilité de l'assistant de configuration de partage

L'une des principales raisons de créer un groupe de travail est le partage de fichiers et d'imprimantes. Mais il est prudent de ne partager que les dossiers dont vous avez besoin et de désactiver le partage pour tous les autres. La fonctionnalité appelée Utiliser l'assistant de partage, décrite au chapitre 2 et détaillée au chapitre 7, ne vous donne pas un contrôle total sur qui peut afficher et modifier vos fichiers.

O Mauvais : Vulnérabilité des ressources administratives partagées

La fonction de partage, abordée au chapitre 7, vous donne accès à tous les lecteurs de votre ordinateur, que vous partagiez ou non des dossiers sur ces lecteurs.

Ah bon : Pare-feu

Configurez un pare-feu, décrit ci-dessous, pour contrôler étroitement le flux réseau entrant et sortant de votre ordinateur, mais ne comptez pas sur le logiciel de pare-feu intégré à Windows pour une protection suffisante.

A Bon : le centre de support est bon, mais vous ne devriez pas vous y fier complètement. 6.28 est la page centrale du Panneau de configuration utilisée pour gérer le pare-feu Windows, Windows Defender, le contrôle de compte utilisateur et les mises à jour automatiques. Il contrôle également programmes antivirus, mais, pour des raisons purement politiques, Windows 7 n'a pas ses propres programmes antivirus.

Plus important encore, le Centre d'action n'est qu'un visualiseur. S'il constate que cette mesure de protection est activée, qu'elle soit ou non en cours d'exécution, le Centre d'action sera satisfait et vous ne recevrez aucune notification.

Vous en avez assez des messages du Centre d'action ? Cliquez sur le lien Modifier les paramètres du Centre d'action sur le côté gauche et choisissez les problèmes qui méritent d'être signalés et ceux que vous pouvez ignorer. Vous pouvez désactiver tous les messages du Centre d'action en désactivant toutes les cases à cocher sur cette page, mais pour désactiver complètement la fonctionnalité entière, vous devez ouvrir la fenêtre Services (services.msc) et désactiver le Centre d'action. Cela ne désactivera pas le pare-feu, l'antivirus ou les mises à jour automatiques que vous utilisez peut-être, mais uniquement les outils de surveillance de ces outils et les messages qui les accompagnent.

Vous ne pouvez pas modifier les paramètres du pare-feu ou de l'anti-malware ici. Pour ce faire, vous devez retourner au Panneau de configuration et y ouvrir le programme approprié.

Le problème de l'épidémie de vers de réseau est pertinent pour tout réseau local. Tôt ou tard, une situation peut survenir lorsqu'un ver de réseau ou de messagerie pénètre dans le LAN, qui n'est pas détecté par l'antivirus utilisé. Un virus de réseau se propage sur un réseau local via des vulnérabilités du système d'exploitation qui n'étaient pas fermées au moment de l'infection ou via des ressources partagées accessibles en écriture. Virus de messagerie, comme son nom l'indique, est distribué par e-mail à condition qu'il ne soit pas bloqué par l'antivirus client et l'antivirus sur serveur de courrier. De plus, l'épidémie dans le LAN peut être organisée de l'intérieur à la suite des activités d'un initié. Dans cet article, nous examinerons des méthodes pratiques pour l'analyse opérationnelle des ordinateurs LAN à l'aide de divers outils, en particulier à l'aide de l'utilitaire AVZ de l'auteur.

Formulation du problème

Dans le cas où une épidémie ou une activité anormale est détectée sur le réseau, l'administrateur doit résoudre rapidement au moins trois tâches :

  • détecter les PC infectés sur le réseau ;
  • trouver des échantillons de logiciels malveillants à envoyer au laboratoire antivirus et développer une stratégie de contre-mesure ;
  • prendre des mesures pour bloquer la propagation du virus sur le LAN et le détruire sur les ordinateurs infectés.

Dans le cas d'une activité d'initié, les principales étapes d'analyse sont identiques et se résument le plus souvent à la nécessité de détecter les logiciels tiers installés par l'initié sur les ordinateurs du réseau local. Un exemple de tels logiciels est les utilitaires d'administration à distance, enregistreurs de frappe et divers signets de cheval de Troie.

Considérons plus en détail la solution de chacune des tâches.

Rechercher des PC infectés

Au moins trois méthodes peuvent être utilisées pour rechercher des PC infectés sur le réseau :

  • analyse automatique à distance du PC - obtenir des informations sur les processus en cours d'exécution, les bibliothèques et les pilotes chargés, rechercher des modèles caractéristiques - par exemple, des processus ou des fichiers avec prénoms;
  • étude du trafic PC à l'aide d'un sniffer - cette méthode très efficace pour attraper les spambots, les vers de messagerie et de réseau, cependant, la principale difficulté à utiliser un renifleur est due au fait qu'un LAN moderne est construit sur la base de commutateurs et, par conséquent, l'administrateur ne peut pas surveiller le trafic de l'ensemble du réseau. Le problème est résolu de deux manières : en exécutant un renifleur sur le routeur (ce qui vous permet de surveiller l'échange de données du PC avec Internet) et en utilisant les fonctions de surveillance des commutateurs (de nombreux commutateurs modernes permettent d'attribuer un port de surveillance auquel le trafic d'un ou plusieurs ports de commutation spécifiés par l'administrateur est dupliqué) ;
  • étude de la charge du réseau - dans ce cas, il est très pratique d'utiliser des commutateurs intelligents qui permettent non seulement d'estimer la charge, mais également de désactiver à distance les ports spécifiés par l'administrateur. Cette opération est grandement simplifiée si l'administrateur dispose d'une carte réseau qui contient des données sur les PC connectés aux ports correspondants du commutateur et où ils se trouvent ;
  • utilisation de pièges (honeypot) - il est fortement recommandé de créer plusieurs pièges dans le réseau local qui permettront à l'administrateur de détecter l'épidémie en temps opportun.

Analyse automatique des PC du réseau

L'analyse PC automatique peut être réduite à trois étapes principales :

  • mener une étude complète du PC - processus en cours d'exécution, bibliothèques et pilotes chargés, exécution automatique ;
  • mener une enquête opérationnelle - par exemple, rechercher des processus ou des fichiers caractéristiques;
  • mise en quarantaine des objets selon certains critères.

Toutes les tâches ci-dessus peuvent être résolues à l'aide de l'utilitaire d'auteur AVZ, qui est conçu pour être lancé à partir d'un dossier réseau sur le serveur et prend en charge un langage de script pour l'examen automatique du PC. Pour exécuter AVZ sur les ordinateurs des utilisateurs, vous devez :

  1. Placez AVZ dans un dossier réseau lisible sur le serveur.
  2. Créez des sous-répertoires LOG et Qurantine dans ce dossier et autorisez les utilisateurs à y écrire.
  3. Lancez AVZ sur les ordinateurs du réseau local à l'aide de l'utilitaire rexec ou d'un script de connexion.

Le démarrage d'AVZ à l'étape 3 doit être effectué avec les paramètres suivants :

\\mon_serveur\AVZ\avz.exe Priorité=-1 nw=O nq=O HiddenMode=2 Script=\\mon_serveur\AVZ\mon_script.txt

Dans ce cas, le paramètre Priority=-1 diminue la priorité du processus AVZ, les paramètres nw=Y et nq=Y basculent la quarantaine en mode "démarrage réseau" (dans ce cas, un sous-répertoire est créé dans le dossier de quarantaine pour chaque ordinateur, dont le nom correspond au nom réseau du PC) , HiddenMode=2 indique de refuser à l'utilisateur l'accès à l'interface graphique et au contrôle AVZ, et enfin, le paramètre le plus important Script spécifie le nom complet du script avec les commandes qu'AVZ exécutera sur l'ordinateur de l'utilisateur. Le langage de script AVZ est assez simple à utiliser et se concentre uniquement sur la résolution des problèmes d'examen et de traitement d'un ordinateur. Pour simplifier le processus d'écriture de scripts, vous pouvez utiliser un éditeur de script spécialisé qui contient une invite, un assistant pour créer des scripts typiques et des outils pour vérifier l'exactitude d'un script écrit sans l'exécuter (Fig. 1).

Riz. 1. Éditeur de scripts AVZ

Considérons trois scénarios typiques qui peuvent être utiles dans la lutte contre l'épidémie. Tout d'abord, nous avons besoin d'un script de recherche sur PC. La tâche du script est d'examiner le système et de créer un protocole avec les résultats dans un dossier réseau donné. Le script ressemble à ceci :

ActiverWatchDog(60 * 10);

// Commencer la numérisation et l'analyse

// Explorer le système

ExécuterSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Arrêt AVZ

Lors de l'exécution de ce script, dans le dossier LOG (on suppose qu'il a été créé dans le répertoire AVZ sur le serveur et est disponible pour les utilisateurs en écriture), des fichiers HTML avec les résultats de l'étude des ordinateurs du réseau seront créés, et le nom de l'ordinateur étudié est inclus dans le nom du protocole pour garantir l'unicité. Au début du script, il y a une commande pour activer le minuteur de surveillance, qui mettra fin de force au processus AVZ après 10 minutes en cas d'échec lors de l'exécution du script.

Le protocole AVZ est pratique pour l'étude manuelle, mais il est peu utile pour l'analyse automatisée. De plus, l'administrateur connaît souvent le nom du fichier malveillant et n'a qu'à vérifier la présence ou l'absence de fichier donné, et le cas échéant, mise en quarantaine pour analyse. Dans ce cas, vous pouvez utiliser le script suivant :

// Activer le minuteur de surveillance pendant 10 minutes

ActiverWatchDog(60 * 10);

// Recherche de logiciels malveillants par nom

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen suspecté');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen suspecté');

//Arrêt AVZ

Ce script utilise la fonction QuarantineFile, qui tente de mettre en quarantaine les fichiers spécifiés. L'administrateur n'a besoin d'analyser le contenu de la quarantaine (dossier Quarantine\network_PC_name\quarantine_date\) que pour les fichiers mis en quarantaine. Veuillez noter que la fonction QuarantineFile bloque automatiquement la mise en quarantaine des fichiers identifiés par la base de données sécurisée AVZ ou la base de données Microsoft EDS. Pour application pratique ce script peut être amélioré - organisez le chargement des noms de fichiers à partir d'un fichier texte externe, vérifiez les fichiers trouvés par rapport aux bases de données AVZ et formez un protocole texte avec les résultats du travail :

// Recherche un fichier avec le nom spécifié

fonction CheckByName(Fname: string) : booléen ;

Result:= FileExists(FName) ;

si résultat alors commencer

cas CheckFile(FName) de

1 : S:= ', accès au fichier bloqué' ;

1 : S := ', identifié comme un logiciel malveillant ('+GetLastCheckTxt+')' ;

2 : S:= ', suspecté par l'analyseur de fichiers ('+GetLastCheckTxt+')' ;

3 : sortie ; // Ignorer les fichiers sécurisés

AddToLog('Le fichier '+NormalFileName(FName)+' a un nom suspect'+S);

//Ajout du fichier spécifié à la quarantaine

QuarantineFile(FName,'fichier suspect'+S);

SuspNames : TStringList ; // Liste des noms des fichiers suspects

// Vérification des fichiers par rapport à la base de données mise à jour

si FileExists(GetAVZDirectory + 'files.db') alors commencez

SuspNames := TStringList.Create ;

SuspNames.LoadFromFile('files.db');

AddToLog('Base de données de noms chargée - nombre d'entrées = '+inttostr(SuspNames.Count));

// Boucle de recherche

for i:= 0 to SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Erreur lors du chargement de la liste des noms de fichiers');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

Pour que ce script fonctionne, il est nécessaire de créer dans le dossier AVZ les répertoires Quarantine et LOG accessibles aux utilisateurs en écriture, ainsi que fichier texte files.db - chaque ligne de ce fichier contiendra le nom du fichier suspect. Les noms de fichiers peuvent inclure des macros, la plus utile étant %WinDir% (chemin vers Dossier Windows) et %SystemRoot% (chemin d'accès au dossier System32). Une autre direction d'analyse peut être une étude automatique de la liste des processus en cours d'exécution sur les ordinateurs des utilisateurs. Des informations sur les processus en cours d'exécution sont disponibles dans le protocole de recherche système, mais pour une analyse automatique, il est plus pratique d'utiliser le fragment de script suivant :

procédure ScanProcess ;

S:=''; S1 :='' ;

// Mettre à jour la liste des processus

RefreshProcessList ;

AddToLog('Nombre de processus = '+IntToStr(GetProcessCount));

// Cycle d'analyse de la liste reçue

for i:= 0 to GetProcessCount - 1 do begin

S1 := S1 + ',' + ExtractFileName(GetProcessName(i));

// Recherche d'un processus par son nom

si pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 alors

S:= S + GetProcessName(i)+',' ;

si S<>''alors

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

L'examen des processus dans ce script est effectué en tant que procédure ScanProcess distincte, il est donc facile de le placer dans votre propre script. La procédure ScanProcess construit deux listes de processus : liste complète processus (pour une analyse plus approfondie) et une liste de processus qui, du point de vue de l'administrateur, sont considérés comme dangereux. Dans ce cas, à titre de démonstration, un processus nommé « trojan.exe » est considéré comme dangereux. Les informations sur les processus dangereux sont ajoutées au fichier texte _alarm.txt, les données sur tous les processus sont ajoutées au fichier _all_process.txt. Il est facile de voir que vous pouvez compliquer le script en ajoutant, par exemple, la vérification des fichiers de processus par rapport à la base de données des fichiers sécurisés ou la vérification des noms des fichiers exécutables de processus par rapport à une base de données externe. Une procédure similaire est utilisée dans les scripts AVZ utilisés dans Smolenskenergo : l'administrateur examine périodiquement les informations collectées et modifie le script en ajoutant le nom des processus des programmes interdits par la politique de sécurité, par exemple, ICQ et MailRu.Agent, ce qui permet vous permet de vérifier rapidement la présence de logiciels interdits sur les PC étudiés. Une autre utilisation de la liste des processus consiste à rechercher des PC auxquels il manque un processus requis, tel qu'un antivirus.

En conclusion, considérons le dernier des scripts d'analyse utiles - le script de mise en quarantaine automatique de tous les fichiers non reconnus par la base de données sécurisée AVZ et la base de données Microsoft EDS :

// Exécute la mise en quarantaine automatique

ExécutezAutoQuarantine ;

La quarantaine automatique examine les processus en cours d'exécution et les bibliothèques chargées, les services et les pilotes, environ 45 méthodes de démarrage automatique, les modules d'extension du navigateur et de l'explorateur, les gestionnaires SPI/LSP, les tâches du planificateur, les gestionnaires du système d'impression, etc. Une caractéristique de la quarantaine est que les fichiers y sont ajoutés avec un contrôle de nouvelle tentative, de sorte que la fonction de mise en quarantaine automatique peut être appelée plusieurs fois.

L'avantage de la quarantaine automatique est qu'avec son aide, l'administrateur peut rapidement collecter des fichiers potentiellement suspects de tous les ordinateurs du réseau pour leur étude. La forme la plus simple (mais très efficace dans la pratique) d'étudier les fichiers peut être de vérifier la quarantaine reçue avec plusieurs antivirus populaires en mode heuristique maximum. A noter que le lancement simultané de l'Auto-Quarantaine sur plusieurs centaines d'ordinateurs peut créer une forte charge sur le réseau et sur le serveur de fichiers.

Recherche de trafic

La recherche de trafic peut se faire de trois manières :

  • manuellement à l'aide de renifleurs ;
  • en mode semi-automatique - dans ce cas, le renifleur collecte des informations, puis ses protocoles sont traités manuellement ou par un logiciel ;
  • automatiquement à l'aide de systèmes de détection d'intrusion (IDS) tels que Snort (http://www.snort.org/) ou leurs équivalents logiciels ou matériels. Dans le cas le plus simple, un IDS se compose d'un renifleur et d'un système qui analyse les informations collectées par le renifleur.

Un système de détection d'intrusion est le meilleur outil car il vous permet de créer des ensembles de règles pour détecter les anomalies dans l'activité du réseau. Son deuxième avantage est le suivant : la plupart des IDS modernes permettent de placer des agents de surveillance du trafic sur plusieurs nœuds du réseau - les agents collectent les informations et les transmettent. Dans le cas de l'utilisation d'un renifleur, il est très pratique d'utiliser le renifleur de console tcpdump UNIX. Par exemple, pour surveiller l'activité sur le port 25 ( Protocole SMTP) il suffit de lancer le renifleur avec ligne de commande taper:

tcpdump -i em0 -l port tcp 25 > smtp_log.txt

Dans ce cas, les paquets sont capturés via l'interface em0 ; les informations sur les paquets capturés seront stockées dans le fichier smtp_log.txt. Le protocole est relativement facile à analyser manuellement, dans cet exemple, l'analyse de l'activité sur le port 25 permet de calculer le PC avec des spam bots actifs.

Application pot de miel

En tant que piège (Honeypot), vous pouvez utiliser un ordinateur obsolète, dont les performances ne permettent pas de l'utiliser pour résoudre tâches de production. Par exemple, dans le réseau de l'auteur, un Pentium Pro avec 64 Mo est utilisé avec succès comme piège. mémoire vive. Sur ce PC, vous devez installer le système d'exploitation le plus courant sur le réseau local et sélectionner l'une des stratégies :

  • Installez un système d'exploitation sans service packs - ce sera un indicateur de l'apparition d'un ver de réseau actif sur le réseau qui exploite l'une des vulnérabilités connues de ce système d'exploitation ;
  • installer un système d'exploitation avec des mises à jour installées sur d'autres PC du réseau - Honeypot sera un analogue de l'un des postes de travail.

Chacune des stratégies a ses avantages et ses inconvénients ; l'auteur applique principalement l'option de non-mise à jour. Après avoir créé le Honeypot, vous devez créer une image disque pour restaurer rapidement le système après qu'il a été endommagé par des logiciels malveillants. Comme alternative à une image disque, vous pouvez utiliser des systèmes de restauration des modifications tels que ShadowUser et ses analogues. Après avoir construit un pot de miel, il faut tenir compte du fait qu'un certain nombre de vers de réseau recherchent des ordinateurs infectés en analysant la plage IP, comptée à partir de l'adresse IP du PC infecté (les stratégies typiques courantes sont X.X.X.*, X.X.X+1.* , X.X.X-1.*), - donc, idéalement, il devrait y avoir un Honeypot sur chacun des sous-réseaux. En tant qu'éléments de préparation supplémentaires, il est nécessaire d'ouvrir l'accès à plusieurs dossiers sur le système Honeypot, et plusieurs exemples de fichiers de différents formats doivent être placés dans ces dossiers, l'ensemble minimum est EXE, JPG, MP3.

Naturellement, après avoir créé un Honeypot, l'administrateur doit surveiller son fonctionnement et répondre aux éventuelles anomalies constatées sur cet ordinateur. Les auditeurs peuvent être utilisés pour enregistrer les modifications et un renifleur peut être utilisé pour enregistrer l'activité du réseau. Un point important est que la plupart des renifleurs offrent la possibilité de configurer l'envoi d'une alerte à l'administrateur en cas de détection d'une activité réseau donnée. Par exemple, dans le renifleur CommView, la règle consiste à spécifier une "formule" décrivant un paquet réseau ou à définir des critères quantitatifs (envoi de plus d'un nombre spécifié de paquets ou d'octets par seconde, envoi de paquets à des adresses IP ou MAC non reconnues) - figue. 2.

Riz. 2. Créer et configurer une alerte d'activité réseau

En guise d'avertissement, il est plus pratique d'utiliser les messages électroniques envoyés à Boites aux lettres administrateur - dans ce cas, vous pouvez recevoir des notifications en temps réel de tous les pièges du réseau. De plus, si le sniffer permet de créer plusieurs alertes, il est logique de différencier l'activité du réseau en mettant en évidence le travail avec e-mail, FTP / HTTP, TFTP, Telnet, MS Net, augmentation du trafic de plus de 20 à 30 paquets par seconde sur n'importe quel protocole (Fig. 3).

Riz. 3. Lettre de notification envoyée
si des paquets correspondant aux critères donnés sont trouvés

Lors de l'organisation d'un trap, il est judicieux d'y placer plusieurs services réseau vulnérables utilisés sur le réseau, ou d'installer leur émulateur. Le plus simple (et gratuit) est l'utilitaire APS de l'auteur, qui fonctionne sans installation. Le principe de fonctionnement d'APS se réduit à écouter un ensemble de ports TCP et UDP décrits dans sa base de données et à émettre une réponse prédéfinie ou générée aléatoirement au moment de la connexion (Fig. 4).

Riz. 4. La fenêtre principale de l'utilitaire APS

La figure montre une capture d'écran prise lors d'une opération APS réelle dans le LAN Smolenskenergo. Comme vous pouvez le voir sur la figure, une tentative a été faite pour connecter l'un des ordinateurs clients sur le port 21. Une analyse des protocoles a montré que les tentatives sont périodiques, fixées par plusieurs traps dans le réseau, ce qui nous permet de conclure que le réseau est scanné pour trouver et pirater des serveurs FTP en devinant des mots de passe. APS enregistre et peut envoyer des messages aux administrateurs signalant les connexions enregistrées aux ports surveillés, ce qui est utile pour une détection rapide des analyses de réseau.

Lors de la construction d'un pot de miel, il est également utile de consulter les ressources en ligne sur le sujet, telles que http://www.honeynet.org/. Dans la section Outils de ce site (http://www.honeynet.org/tools/index.html), vous trouverez un certain nombre d'outils pour enregistrer et analyser les attaques.

Suppression des logiciels malveillants à distance

Idéalement, après avoir détecté des échantillons de logiciels malveillants, l'administrateur les envoie au laboratoire antivirus, où ils sont rapidement étudiés par des analystes et les signatures correspondantes sont ajoutées aux bases de données antivirus. Ces signatures à travers mise à jour automatique sur les PC des utilisateurs, et l'antivirus supprime automatiquement les logiciels malveillants sans intervention de l'administrateur. Cependant, cette chaîne ne fonctionne pas toujours comme prévu, en particulier, les raisons suivantes de l'échec sont possibles :

  • pour un certain nombre de raisons indépendantes de l'administrateur du réseau, les images peuvent ne pas parvenir au laboratoire antivirus ;
  • efficacité insuffisante du laboratoire antivirus - idéalement, il ne faut pas plus de 1 à 2 heures pour étudier les échantillons et les ajouter aux bases de données, c'est-à-dire qu'en un jour ouvrable, vous pouvez obtenir des bases de données de signatures mises à jour. Cependant, tous les laboratoires antivirus ne fonctionnent pas aussi rapidement et les mises à jour peuvent être attendues pendant plusieurs jours (dans de rares cas, voire des semaines) ;
  • haute performance de l'antivirus - un certain nombre de programmes malveillants, après activation, détruisent les antivirus ou perturbent autrement leur travail. Exemples classiques - création d'entrées dans le fichier hosts qui bloquent travail normal systèmes de mise à jour automatique des antivirus, suppression des processus antivirus, des services et des pilotes, endommagement de leurs paramètres, etc.

Par conséquent, dans ces situations, vous devrez gérer manuellement les logiciels malveillants. Dans la plupart des cas, ce n'est pas difficile, car les résultats de l'analyse des ordinateurs sont connus pour être des PC infectés, ainsi que les noms complets des fichiers malveillants. Il ne reste plus qu'à effectuer leur suppression à distance. Si le programme malveillant n'est pas protégé contre la suppression, il peut être détruit avec un script AVZ de la forme suivante :

// Supprimer le fichier

DeleteFile('nom du fichier');

Exécutez SysClean ;

Ce script supprime un fichier spécifié (ou plusieurs fichiers, car il peut y avoir un nombre illimité de commandes DeleteFile dans le script) puis nettoie automatiquement le registre. Dans un cas plus complexe, un programme malveillant peut se protéger de la suppression (par exemple, en recréant ses fichiers et ses clés de registre) ou se déguiser en utilisant la technologie rootkit. Dans ce cas, le script devient plus compliqué et ressemblera à ceci :

// Anti-rootkit

SearchRootkit(vrai, vrai);

// Contrôle AVZGuard

SetAVZGuardStatus(true);

// Supprimer le fichier

DeleteFile('nom du fichier');

// Activer la journalisation BootCleaner

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importe dans la tâche BootCleaner une liste des fichiers supprimés par le script

BC_ImportDeletedList ;

// Activer BootCleaner

// Nettoyage heuristique du système

Exécutez SysClean ;

RedémarrerWindows(true);

Ce script comprend une résistance active aux rootkits, l'utilisation du système AVZGuard (il s'agit d'un bloqueur d'activité malveillant) et du système BootCleaner. BootCleaner est un pilote qui supprime les objets spécifiés de KernelMode lors du redémarrage, à un stade précoce du démarrage du système. La pratique montre qu'un tel script est capable de détruire la grande majorité des logiciels malveillants existants. L'exception est le malware qui change les noms de ses fichiers exécutables à chaque redémarrage - dans ce cas, les fichiers trouvés lors de l'étude du système peuvent être renommés. Dans ce cas, vous devrez désinfecter l'ordinateur manuellement ou créer vos propres signatures de logiciels malveillants (un exemple de script qui implémente une recherche de signature est décrit dans l'aide AVZ).

Conclusion

Dans cet article, nous avons examiné quelques techniques pratiques pour faire face à l'épidémie de LAN manuellement, sans utiliser de produits antivirus. La plupart des techniques décrites peuvent également être utilisées pour rechercher un PC étranger et des signets de chevaux de Troie sur les ordinateurs des utilisateurs. Si vous avez des difficultés à trouver des logiciels malveillants ou à créer des scripts de désinfection, l'administrateur peut utiliser la section "Aide" du forum http://virusinfo.info ou la section "Combattre les virus" du forum http://forum.kaspersky.com/ index.php?showforum= 18. L'étude des protocoles et l'assistance au traitement sont effectuées gratuitement sur les deux forums, l'analyse des PC est effectuée selon les protocoles AVZ, et dans la plupart des cas, le traitement se résume à l'exécution d'un script AVZ sur les PC infectés, compilé par des experts spécialistes de ces forums.

Obligés d'attendre la création d'un fichier physique sur l'ordinateur de l'utilisateur, la protection réseau commence à analyser les flux de données entrants arrivant sur l'ordinateur de l'utilisateur via le réseau et bloque les menaces avant qu'elles n'entrent dans le système.

Les principaux domaines de protection réseau fournis par les technologies Symantec sont :

Téléchargements intempestifs, attaques Web ;
- Attaques d'ingénierie sociale : FakeAV (faux antivirus) et codecs ;
- Attaques à travers réseaux sociaux comme Facebook;
- Détection des logiciels malveillants, des rootkits et des systèmes infectés par des bots ;
- Protection contre les menaces sophistiquées ;
- Menaces Zero Day ;
- Protection contre les vulnérabilités logicielles non corrigées ;
- Protection contre les domaines malveillants et les adresses IP.

Technologies de protection du réseau

Le niveau "Protection réseau" comprend 3 technologies différentes.

Solution de prévention des intrusions réseau (IPS réseau)

La technologie Network IPS comprend et analyse plus de 200 protocoles différents. Il "casse" intelligemment et avec précision le binaire et protocole réseau tout en recherchant des signes de trafic malveillant. Cette intelligence permet une analyse plus précise du réseau tout en offrant protection fiable. En son « cœur » se trouve un moteur de blocage des exploits qui fournit des vulnérabilités ouvertes avec une protection presque impénétrable. Une caractéristique unique de Symantec IPS est que ce composant ne nécessite aucune configuration. Toutes ses fonctions fonctionnent, comme on dit, "hors de la boîte". Chaque produit grand public Norton et chaque version de produit Symantec Endpoint Protection 12.1 et versions ultérieures ont cette technologie essentielle activée par défaut.

Protection du navigateur

Ce moteur de sécurité réside à l'intérieur du navigateur. Il est capable de détecter les menaces les plus complexes que ni les antivirus traditionnels ni Network IPS ne peuvent détecter. De nos jours, de nombreuses attaques de réseau utilisent des techniques d'obscurcissement pour éviter d'être détectées. Étant donné que Browser Guard s'exécute à l'intérieur du navigateur, il est capable d'examiner le code non encore masqué (obscurci) pendant son exécution. Cela vous permet de détecter et de bloquer une attaque si elle a été manquée aux niveaux de protection inférieurs du programme.

Protection contre les téléchargements non autorisés (UXP)

Résidant à l'intérieur de la couche de protection du réseau, la dernière ligne de défense aide à couvrir et à « atténuer » les conséquences de l'exploitation de vulnérabilités inconnues et non corrigées, sans l'utilisation de signatures. Cela fournit une couche supplémentaire de protection contre les attaques Zero Day.

Se concentrer sur les problèmes

En travaillant ensemble, les technologies de pare-feu résolvent les problèmes suivants.

Téléchargements intempestifs et kits d'outils d'attaque Web

Grâce aux technologies Network IPS, Browser Protection et UXP, les technologies de protection réseau de Symantec bloquent les téléchargements intempestifs et, en fait, empêchent les logiciels malveillants d'atteindre même le système de l'utilisateur. Diverses méthodes préventives sont pratiquées qui incluent l'utilisation de ces mêmes technologies, y compris la technologie Generic Exploit Blocking et les outils de détection d'attaques Web. Un outil de détection d'intrusion basé sur le Web commun analyse les caractéristiques d'une attaque Web courante, quelle que soit la vulnérabilité spécifique ciblée par l'attaque. Cela vous permet de fournir une protection supplémentaire contre les vulnérabilités nouvelles et inconnues. La meilleure chose à propos de ce type de protection est que si un fichier malveillant était capable d'infecter "silencieusement" le système, il serait toujours arrêté et supprimé de manière proactive du système, ce qui est exactement le comportement que les produits antivirus traditionnels manquent généralement. Mais Symantec continue de bloquer des dizaines de millions de variantes de logiciels malveillants qui ne peuvent normalement pas être détectées par d'autres moyens.

Attaques d'ingénierie sociale

Étant donné que les technologies de Symantec surveillent le trafic du réseau et du navigateur en transit, elles détectent les attaques d'ingénierie sociale telles que FakeAV ou les faux codecs. Les technologies sont conçues pour bloquer ces attaques avant qu'elles n'apparaissent sur l'écran de l'utilisateur. La plupart des autres solutions concurrentes n'incluent pas cette fonctionnalité puissante.

Symantec bloque des centaines de millions de ces attaques grâce à la technologie de protection contre les menaces réseau.

Attaques ciblant les applications de médias sociaux

Les applications de médias sociaux sont récemment devenues très populaires car elles vous permettent d'échanger instantanément divers messages, des vidéos intéressantes et des informations avec des milliers d'amis et d'utilisateurs. La large diffusion et le potentiel de ces programmes en font la cible numéro un des pirates. Certaines astuces de "piratage" courantes incluent la création de faux comptes et le spam.

La technologie Symantec IPS peut protéger contre ces types de triche, les empêchant souvent de se produire avant même que l'utilisateur ne clique dessus. Symantec bloque les URL, applications et autres pratiques trompeuses frauduleuses et usurpées grâce à la technologie de protection contre les menaces réseau.

Détection des logiciels malveillants, des rootkits et des systèmes infectés par des bots

Ne serait-il pas agréable de savoir exactement où se trouve l'ordinateur infecté sur le réseau ? Les solutions IPS de Symantec offrent cette capacité, y compris la détection et la récupération des menaces qui auraient réussi à contourner d'autres couches de protection. Les solutions de Symantec détectent les logiciels malveillants et les bots qui tentent de composer automatiquement ou de télécharger des « mises à jour » pour augmenter leur activité sur le système. Cela permet aux responsables informatiques, qui disposent d'une liste claire des systèmes à vérifier, de s'assurer que leur entreprise est sécurisée. Les menaces furtives polymorphes et complexes utilisant des méthodes de rootkit telles que Tidserv, ZeroAccess, Koobface et Zbot peuvent être arrêtées et supprimées à l'aide de cette méthode.

Protection contre les menaces masquées

Les attaques Web d'aujourd'hui utilisent des techniques sophistiquées pour rendre les attaques plus difficiles. La protection du navigateur de Symantec se trouve à l'intérieur du navigateur et peut détecter des menaces très sophistiquées que les méthodes traditionnelles échouent souvent à détecter.

Menaces du jour zéro et vulnérabilités non corrigées

L'un des derniers ajouts de sécurité que la société a ajoutés est une couche de protection supplémentaire contre les menaces Day Zero et les vulnérabilités non corrigées. À l'aide d'une protection sans signature, le programme intercepte les appels de l'API système et protège contre les téléchargements de logiciels malveillants. Cette technologie est appelée protection contre les téléchargements non autorisés (UXP). Il s'agit de la dernière ligne de défense au sein de l'écosystème de défense contre les menaces réseau. Cela permet au produit de "dissimuler" des vulnérabilités inconnues et non corrigées sans l'utilisation de signatures. Cette technologie est activée par défaut et a été trouvée dans tous les produits sortis depuis le lancement de Norton 2010.

Protection contre les vulnérabilités logicielles non corrigées

Les programmes malveillants sont souvent installés à l'insu de l'utilisateur, en utilisant les vulnérabilités du logiciel. Symantec Network Security fournit une couche de protection supplémentaire appelée Generic Exploit Blocking (GEB). Qu'il soit installé Dernières mises à jour ou non, GEB protège "principalement" les vulnérabilités majeures de l'exploitation. Vulnérabilités dans Oracle Sun Java, Adobe Acrobat lecteur, Adobe Flash, Internet Explorer, les contrôles ActiveX ou QuickTime sont désormais omniprésents. Generic Exploit Protection a été créé par « ingénierie inverse », en déterminant comment la vulnérabilité pourrait être exploitée sur le réseau, tout en fournissant un correctif spécial sur couche réseau. Une seule GEB, ou signature de vulnérabilité, peut fournir une protection contre des milliers de variantes de logiciels malveillants, nouvelles et inconnues.

IP malveillantes et blocage de domaine

La protection réseau de Symantec inclut également la possibilité de bloquer les domaines et les adresses IP malveillants tout en bloquant les logiciels malveillants et le trafic provenant de sites malveillants connus. En analysant et en mettant à jour avec soin la base de données du site Web par STAR, Symantec fournit une protection en temps réel contre les menaces en constante évolution.

Amélioration de la résistance à l'évasion

La prise en charge d'encodages supplémentaires a été ajoutée pour améliorer les performances de détection des attaques à l'aide de techniques de chiffrement telles que base64 et gzip.

Détection d'audit réseau pour appliquer les politiques d'utilisation et identifier les fuites de données

Network IPS peut être utilisé pour identifier les applications et les outils susceptibles d'enfreindre les politiques d'utilisation de l'entreprise ou pour empêcher la fuite de données sur un réseau. Il est possible de détecter, d'avertir ou d'empêcher le trafic comme la messagerie instantanée, le P2P, les médias sociaux ou tout autre type de trafic "intéressant".

Protocole de communication STAR Intelligence

La technologie de protection du réseau en elle-même ne fonctionne pas. Le moteur communique avec d'autres services de sécurité à l'aide du protocole STAR Intelligence Communication (STAR ​​​​ICB). Le moteur Network IPS se connecte au moteur Symantec Sonar, puis au moteur Insight Reputation. Cela vous permet de fournir une protection plus informative et précise.

Dans le prochain article, nous nous pencherons sur le niveau "Behavior Analyzer".

D'après Symantec

L'antivirus doit être installé sur chaque PC Windows. Pendant longtemps, cela a été considéré comme la règle d'or, mais aujourd'hui, les experts en sécurité informatique se disputent sur l'efficacité des logiciels de sécurité. Les critiques affirment que les antivirus ne protègent pas toujours, et parfois même vice versa - en raison d'une mise en œuvre négligente, ils peuvent créer des failles de sécurité dans le système. Les développeurs de telles solutions s'opposent cet avis nombre impressionnant d'attaques bloquées, et les services marketing continuent de promettre la protection complète offerte par leurs produits.

La vérité se situe quelque part au milieu. Les antivirus ne fonctionnent pas parfaitement, mais tous ne peuvent pas être qualifiés d'inutiles. Ils avertissent de nombreuses menaces, mais ils ne suffisent pas à protéger Windows au maximum. Pour vous en tant qu'utilisateur, cela signifie ce qui suit : vous pouvez soit jeter l'antivirus à la poubelle, soit lui faire aveuglément confiance. Mais d'une manière ou d'une autre, ce n'est qu'un des blocs (quoique important) de la stratégie de sécurité. Nous vous fournirons neuf autres "briques" de ce type.

Menace de sécurité : antivirus

> Ce que disent les critiques La controverse actuelle sur les antivirus a été alimentée par l'ancien développeur de Firefox, Robert O'Callahan. Il prétend que les antivirus menacent la sécurité de Windows et devraient être supprimés. La seule exception est Windows Defender de Microsoft.

> Ce que disent les développeurs Les créateurs d'antivirus, y compris KasperskyLab, des chiffres impressionnants sont donnés en argument. Ainsi, en 2016, les logiciels de ce laboratoire ont enregistré et empêché environ 760 millions d'attaques Internet sur les ordinateurs des utilisateurs.

> Ce que CHIP pense Les antivirus ne doivent pas être considérés comme une relique ou une panacée. Ce ne sont que des briques dans le bâtiment de sécurité. Nous vous recommandons d'utiliser des antivirus compacts. Mais ne vous inquiétez pas trop : Windows Defender va bien. Vous pouvez même utiliser de simples scanners tiers.

Choisissez le bon antivirus

Nous sommes, comme auparavant, convaincus que Windows est impensable sans protection antivirus. Il vous suffit de choisir le bon produit. Pour les utilisateurs de Windows 10, il peut même s'agir du Windows Defender intégré. Malgré le fait que lors de nos tests, il n'a pas montré le meilleur degré de reconnaissance, il est parfaitement et, surtout, sans aucun problème de sécurité, intégré au système. De plus, Microsoft a amélioré son produit dans la mise à jour des créateurs pour Windows 10 et l'a rendu plus facile à gérer.

Les packages antivirus d'autres développeurs ont souvent un degré de reconnaissance plus élevé que Defender. Nous préconisons une solution compacte. Le leader de notre notation sur ce moment est Kaspersky Internet Security 2017. Ceux qui peuvent refuser des options supplémentaires telles que contrôle parental et un gestionnaire de mots de passe, devraient se tourner vers une option plus économique de Kaspersky Lab.

Suivez les mises à jour

Si une seule mesure devait être choisie pour assurer la sécurité de Windows, nous choisirions certainement les mises à jour. Dans ce cas, bien sûr, nous parlons principalement de mises à jour pour Windows, mais pas seulement. Les logiciels installés, notamment Office, Firefox et iTunes, doivent également être mis à jour régulièrement. Sous Windows, obtenir des mises à jour du système est relativement facile. Les patchs "sept" et "dix" sont installés automatiquement avec les paramètres par défaut.

Dans le cas des programmes, la situation est plus difficile, car ils ne sont pas tous aussi faciles à mettre à jour que Firefox et Chrome, qui ont une fonction de mise à jour automatique intégrée. L'utilitaire SUMo (Software Update Monitor) vous assistera dans cette tâche et vous avertira lorsque des mises à jour seront disponibles. Le programme sœur DUMo (Driver Update Monitor) fera le même travail pour les pilotes. Cependant, les deux assistants gratuits ne vous informent que des nouvelles versions - vous devrez les télécharger et les installer vous-même.

Configurer le pare-feu

Le pare-feu intégré à Windows fait du bon travail et bloque de manière fiable toutes les requêtes entrantes. Cependant, il est capable de plus - son potentiel ne se limite pas à la configuration par défaut : tout programmes installés ont le droit d'ouvrir des ports dans le pare-feu sans demander. Gratuit Utilitaire Windows Firewall Control vous donnera un coup de main plus de fonctionnalités.

Lancez-le et dans le menu "Profils", réglez le filtre sur "Filtrage moyen". Grâce à cela, le pare-feu contrôlera également le trafic sortant selon un ensemble de règles donné. Quelles mesures y seront incluses, vous vous fixez vous-même. Pour ce faire, dans le coin inférieur gauche de l'écran du programme, cliquez sur l'icône de note. Ainsi, vous pouvez afficher les règles et émettre une autorisation en un seul clic programme séparé ou bloquez-le.

Utiliser une protection spéciale

Mises à jour, antivirus et pare-feu - vous vous êtes déjà occupé de cette grande trinité de mesures de sécurité. C'est l'heure réglage fin. Le problème avec les programmes supplémentaires pour Windows est souvent qu'ils n'utilisent pas toutes les fonctions de sécurité offertes par le système. Un outil d'exploitation tel que EMET (Enhanced Mitigation Experience Toolkit) améliore encore les logiciels installés. Pour ce faire, cliquez sur "Utiliser les paramètres recommandés" et laissez le programme s'exécuter automatiquement.

Renforcer le chiffrement

Vous pouvez améliorer considérablement la protection des données personnelles en les cryptant. Même si vos informations tombent entre de mauvaises mains, un pirate ne pourra pas supprimer le bon codage, du moins pas immédiatement. En professionnel Versions Windows l'utilitaire BitLocker est déjà fourni, configuré via le Panneau de configuration.

VeraCrypt deviendra une alternative pour tous les utilisateurs. Ce programme open source est le successeur non officiel de TrueCrypt, qui a été abandonné il y a quelques années. Si nous parlons uniquement sur la protection des informations personnelles, vous pouvez créer un conteneur chiffré via l'élément "Créer un volume". Sélectionnez l'option "Créer un conteneur de fichiers chiffrés" et suivez les instructions de l'assistant. L'accès à un coffre-fort de données prêt à l'emploi s'effectue via l'Explorateur Windows, comme un disque ordinaire.

Protéger les comptes d'utilisateurs

De nombreuses vulnérabilités restent inexploitées par les pirates uniquement parce que le travail sur l'ordinateur est effectué sous un compte standard avec des droits limités. Ainsi, pour les tâches quotidiennes, vous devez également configurer de tels compte. Dans Windows 7, cela se fait via le Panneau de configuration et l'élément Ajouter ou supprimer des comptes d'utilisateurs. Dans les "dix", cliquez sur "Paramètres" et "Comptes", puis sélectionnez "Famille et autres personnes".

Activez le VPN lorsque vous n'êtes pas chez vous

Chez moi dans réseau sans fil votre niveau de sécurité est élevé, car vous seul contrôlez qui a accès au réseau local et êtes également responsable du cryptage et des codes d'accès. Tout est différent dans le cas des hotspots, par exemple,
dans les hôtels. Ici, le Wi-Fi est distribué entre des tiers et vous ne pouvez exercer aucune influence sur la sécurité de l'accès au réseau. Pour la protection, nous vous recommandons d'utiliser un VPN (Virtual Private Network). Si vous avez juste besoin de parcourir des sites via un hotspot, le VPN intégré suffira. dernière version Navigateur Opera. Installez le navigateur et dans "Paramètres" cliquez sur "Sécurité". Dans la section "VPN", cochez la case "Activer le VPN".

Coupez les connexions sans fil inutilisées


d'accord

Même les détails peuvent décider de l'issue d'une situation. Si vous n'utilisez pas de connexions telles que Wi-Fi et Bluetooth, désactivez-les simplement et fermez ainsi les failles potentielles. Dans Windows 10, le moyen le plus simple de procéder consiste à utiliser le Centre d'action. "Seven" propose à cet effet la section "Connexions réseau" sur le Panneau de configuration.

Gérer les mots de passe

Chaque mot de passe doit être utilisé une seule fois et doit contenir des caractères spéciaux, des chiffres, des lettres majuscules et minuscules. Et soyez aussi long que possible - dix caractères ou plus, c'est mieux. Le concept de sécurité par mot de passe a aujourd'hui atteint ses limites car les utilisateurs ont trop de choses à retenir. Par conséquent, dans la mesure du possible, cette protection devrait être remplacée par d'autres méthodes. Prenons l'exemple de la connexion Windows : si vous disposez d'une caméra compatible Windows Hello, utilisez la reconnaissance faciale pour vous connecter. Pour les autres codes, nous vous recommandons de vous tourner vers des gestionnaires de mots de passe tels que KeePass, qui doivent être protégés par un mot de passe maître fort.

Protéger la confidentialité dans le navigateur

Il existe de nombreuses façons de protéger votre vie privée en ligne. Pour Firefox, l'extension Paramètres de confidentialité est idéale. Installez-le et réglez-le sur "Confidentialité totale". Après cela, le navigateur ne fournira aucune information sur votre comportement sur Internet.

Bouée de sauvetage : sauvegarde

>Les sauvegardes sont extrêmement importantes Sauvegarde justifie
eux-mêmes non seulement après avoir contracté le virus. Il s'est également avéré excellent en cas de problèmes avec le matériel. Notre conseil : faites une fois une copie de l'intégralité de Windows, puis sauvegardez en plus et régulièrement toutes les données importantes.

> Archivage complet de Windows Windows 10 hérité du "seven" module "Archive et restauration". Avec lui, vous créerez sauvegarde systèmes. Vous pouvez aussi utiliser utilitaires spéciaux, comme True Image ou Macrium Reflect.

> La protection des fichiers True Image et la version payante de Macrium Reflect peuvent faire des copies fichiers spécifiques et dossiers. Alternative gratuite pour l'archivage une information important deviendra Personal Backup.

PHOTO : entreprises manufacturières ; NicoElNino/Fotolia.com

Comment pouvez-vous protéger votre ordinateur contre l'accès à distance ? Comment empêcher l'accès à un ordinateur via un navigateur ?

Comment protéger votre ordinateur contre l'accès à distance, pensent généralement quand quelque chose s'est déjà produit. Mais naturellement, c'est la mauvaise décision pour une personne qui est engagée dans au moins une sorte de sa propre activité. Oui, et il est souhaitable que tous les utilisateurs limitent l'accès à leur ordinateur aux personnes extérieures. Et dans cet article, nous ne discuterons pas de la façon de définir un mot de passe pour entrer dans un ordinateur, mais nous verrons une option sur la façon de refuser l'accès à un ordinateur à partir d'un réseau local, ou à partir d'un autre ordinateur s'ils sont connectés au même réseau . Ces informations seront particulièrement utiles pour les nouveaux utilisateurs de PC.

Et ainsi, en système opérateur Windows a une fonctionnalité appelée "Accès à distance". Et s'il n'est pas désactivé, d'autres utilisateurs peuvent l'utiliser pour prendre le contrôle de votre ordinateur. Même si vous êtes un dirigeant et que vous devez suivre vos employés, alors naturellement vous avez besoin d'accéder à leur PC, mais vous devez fermer le vôtre pour que ces mêmes employés ne regardent pas votre correspondance avec la secrétaire - c'est lourd de ...

Mars 2020
Lun Mar Épouser Jeu Ven Assis Soleil
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

PUBLICITÉ

    Comme d'habitude, les projets sont promus en ligne. Habituellement, les rédacteurs SEO essaient de gonfler autant de requêtes de recherche que possible dans le texte, les incitant à

    Comprendre les principales nuances qui distinguent les faux iPhones des vrais vous aidera à économiser de l'argent et à éviter d'acheter auprès de vendeurs négligents. Pour quelle raison



Populaire dans la catégorie :
Acoustic Energy AE1 MkIII : normes de référence pour les haut-parleurs globaux Le chemin vers vous-même
Acoustic Energy AE1 MkIII : normes de référence pour les haut-parleurs globaux...
lire
Comment installer CryptoPro - comment installer un certificat personnel dans CryptoPro à partir d'un lecteur flash ?
Comment installer CryptoPro - comment installer un certificat personnel dans ...
lire
Micrologiciel pour Alcatel van touch pixie
Micrologiciel pour Alcatel van touch pixie
lire
Fonds d'écran animés
Fonds d'écran animés
lire

Derniers articles
SIRI : qu'est-ce que c'est et comment l'utiliser
lire
Carte son comme générateur
lire
Que faire si "champ d'objet introuvable"
lire
Configuration système requise pour Windows 7 Ultimate
lire
Samsung Galaxy Grand Prime : avis, technique...
lire
Huawei HiSuite est un programme de synchronisation avec...
lire
Comment lancer automatiquement une application quand...
lire
Comment nettoyer un disque des ordures
lire
Haut