Számítógép észlelése és védelme hálózaton keresztül. Hálózatvédelem. Program a számítógépes hálózatok védelmére. O Rossz: A megosztott adminisztratív erőforrások sebezhetősége
Vannak, akik egész életüket azzal töltik, hogy javítsák a vállalatok és magánszemélyek biztonságát. És sok időt töltenek azzal, hogy kijavítsák a lyukakat a Windowsban. A Windows rendszer a fő csatorna rosszindulatú amelyek zombikat (robotokat) hoznak létre, amint azt az 5. fejezetben tárgyaltuk, csak a jéghegy csúcsa. Joggal mondhatjuk, hogy a Windows hatalmas népszerűsége a hibás, de annyi lyuk van a Windows 7-ben, hogy nem világos, hogy ez zavar-e valakit a Microsoftnál.
A fenyegetéseknek három fő típusa van. Először egy olyan személy célzott támadása, aki hálózati kapcsolaton keresztül próbálja feltörni a számítógépét. Másodszor, a számítógépe billentyűzeténél ülő személy támadása. Végül lehetséges egy féreg vagy más típusú rosszindulatú program általi automatizált támadás.
A Windows 7-ben és még korábban a Vista rendszerben a Felhasználói fiókok felügyelete engedélyezve van, ami segít megállítani a nem szándékos és nem kívánt programok telepítését - erről, valamint a jelszavakról és a titkosításról
További információért lásd a 7. fejezetet.. A legtöbb szemét azonban hálózati kapcsolaton keresztül érkezik, így ez egy jó hely a számítógép védelmének megkezdéséhez. A Windows 7 operációs rendszer számos olyan funkciót tartalmaz, amelyek lehetővé teszik bizonyos szintű biztonság biztosítását anélkül, hogy további szoftvereket vagy hardvereket kellene vásárolni.
Sajnos ezek közül a funkciók közül sok nincs engedélyezve alapértelmezés szerint. A következő tényezők olyan kiskapuk, amelyeket nem szabad figyelmen kívül hagyni.
O Rossz: UPnP protokoll biztonsági rése
Egy másik szolgáltatás, az UPnP (Universal Plug-and-Play) további sebezhetőségeket fedhet fel a hálózaton. Az UPnP megfelelőbb neve a Network Plug and Play lenne, mivel ez a funkció csak a hálózati eszközökkel foglalkozik. Az UPnP egy olyan szabványkészlet, amely lehetővé teszi az újonnan csatlakoztatott eszközök bejelentését
a jelenlétedről UPnP szerverek a hálózaton, nagyjából ugyanúgy, ahogy az USB-eszközök bejelentik jelenlétüket egy Windows-tulajdonú rendszernek
Külsőleg az UPnP funkció jól néz ki. A gyakorlatban azonban az UPnP-szabvány hitelesítésének hiánya, valamint az, hogy a rosszindulatú programok könnyedén használhatják az UPnP-t a tűzfalon, valamint a porttovábbítási szabályok létrehozására az útválasztóban, csak bajt okoz. Jelenleg az UPnP-t bizonyos játékokhoz, a legtöbb médiabővítőhöz, azonnali üzenetküldéshez, távoli segítségnyújtáshoz stb. használják, ami megmagyarázza, hogy ez a funkció miért van alapértelmezés szerint engedélyezve a Windows 7 rendszerben és sok más rendszerben. hálózati eszközök. De ha nincs rá szüksége, akkor jobb, ha kikapcsolja.
Ha a Nyilvános hálózat lehetőséget választja az első csatlakozáskor új hálózat vagy a Hálózati és megosztási központon keresztül (Hálózati és
^j Megosztási központ), akkor az UPnP alapértelmezés szerint le van tiltva.
Az UPnP letiltásához nyissa meg a Szolgáltatások ablakot (services.msc). Keresse meg az SSDP Discovery Service szolgáltatást a listában, és kattintson a Szolgáltatás leállítása gombra az eszköztáron. Ugyanakkor az UPnP Device Hostnak is le kell állnia. Ha nem, akkor azt is hagyd abba. Most teszteljen minden olyan alkalmazást vagy eszközt, amelyről úgy gondolja, hogy hálózatfelderítést használ, például médiaszervereket vagy bővítőket. Ha nincs ilyen, akkor teljesen letilthatja az UPnP-t, ha duplán kattint az egyes szolgáltatásokra, és az Indítási típus listából a Letiltva lehetőséget választja. Ellenkező esetben a Windows következő indításakor ezek a szolgáltatások újra elindulnak.
Most nyissa meg az útválasztó konfigurációs oldalát (amelyet ebben a fejezetben korábban ismertettünk), és tiltsa le az UPnP szolgáltatást. Erre azért van szükség, hogy az alkalmazások ne állíthassanak be új porttovábbítási szabályokat. Ha az útválasztó nem teszi lehetővé az UPnP-beállítások módosítását, fontolja meg egy többre váltást új verzió firmware-t, a Frissítés újabb útválasztóra szakaszban leírtak szerint.
O Rossz: nyitott portok sebezhetősége
Keresse meg a rendszer sebezhetőségét a nyitott portok keresésével a fejezet későbbi részében leírtak szerint.
Na jó: távoli munkaasztal, de csak akkor, amikor szükség van rá
A távoli asztali szolgáltatás, amelyet a " Távirányító számítógép” alapértelmezés szerint engedélyezve van a Windows 7 Professional és Ultimate rendszerben. Hacsak nincs kifejezetten szüksége erre a funkcióra, ki kell kapcsolnia. A Vezérlőpulton nyissa meg a Rendszert, majd válassza a Távoli hozzáférés beállításai hivatkozást. Az oldalon Távoli hozzáférés A Rendszer tulajdonságai ablakban törölje a Távsegítség csatlakozások engedélyezése ehhez a számítógéphez jelölőnégyzet jelölését, és jelölje be a Ne engedélyezze a kapcsolatokat ehhez a számítógéphez jelölőnégyzetet.
Ó, jó: fiók jelszava
Elméletben általános hozzáférés A Fájlhozzáférés nem működik azoknál a fiókoknál, amelyek nem rendelkeznek jelszóval, ami az alapértelmezett beállítás új felhasználói fiók létrehozásakor. A jelszó nélküli fiók azonban nem nyújt védelmet azoktól, akik a billentyűzet mellett ülnek, és ha rendszergazdai jogosultságokkal rendelkező felhasználói fiókról van szó, akkor az ajtó nyitva áll a számítógép bármely más felhasználója előtt. A felhasználói fiókokról és jelszavakról a 7. fejezetben olvashat.
Az otthoni csoportokról és a fájlmegosztásról
Minden megosztott mappa nyitott ajtó lehet. Ezért csak azoknak a mappáknak szabad nyilvános hozzáférést biztosítani, amelyekhez valóban szükséges. Felhívjuk figyelmét, hogy a fájlengedélyek és a megosztási engedélyek a Windows 7 rendszerben különböző dolgok. Erről bővebben a 7. fejezetben.
O Rossz: Megosztási konfigurációs varázsló biztonsági rése
A munkacsoport létrehozásának egyik fő oka a fájl- és nyomtatómegosztás. De célszerű csak azokat a mappákat megosztani, amelyeket meg kell osztania, és mindenki más számára kikapcsolhatja a megosztást. A 2. fejezetben ismertetett és a 7. fejezetben részletezett Megosztási varázsló használata nevű szolgáltatás nem ad teljes ellenőrzést afelől, hogy ki tekintheti meg és módosíthatja fájljait.
O Rossz: A megosztott adminisztratív erőforrások sebezhetősége
A 7. fejezetben tárgyalt megosztási funkció hozzáférést biztosít a számítógép összes meghajtójához, függetlenül attól, hogy megosztja-e a mappákat azokon vagy sem.
Ó, jó: tűzfal
Állítson be egy tűzfalat (lásd alább), hogy szigorúan szabályozza a számítógépbe be- és kimenő hálózati áramlást, de ne számítson arra, hogy a Windows beépített tűzfalszoftvere elegendő védelmet nyújt.
A Jó: a támogatási központ jó, de nem szabad teljesen rá hagyatkozni. A 6.28 a Vezérlőpult központi oldala, amely a Windows tűzfal, a Windows Defender, a UserAccount Control és az automatikus frissítések kezelésére szolgál. Ő irányít is víruskereső programok, de pusztán politikai okokból a Windows 7 nem rendelkezik saját víruskereső programokkal.
A legfontosabb, hogy az Akcióközpont csak néző. Ha azt látja, hogy ez a védelmi intézkedés engedélyezve van, függetlenül attól, hogy aktívan fut-e, az Action Center boldog lesz, és Ön nem kap értesítést.
Unod már az Action Center üzeneteit? Kattintson a Műveletközpont beállításainak módosítása hivatkozásra a bal oldalon, és válassza ki, mely problémákat érdemes jelenteni, és melyeket hagyhatja figyelmen kívül. A Műveletközpontból érkező összes üzenetet kikapcsolhatja, ha kikapcsolja az összes jelölőnégyzetet ezen az oldalon, de a teljes szolgáltatás teljes letiltásához meg kell nyitnia a Szolgáltatások ablakot (services.msc), és ki kell kapcsolnia a Műveletközpontot. Ezzel nem kapcsolja ki az esetleg használt tűzfalat, víruskeresőt vagy automatikus frissítéseket, hanem csak az eszközök megfigyelő eszközeit és a hozzájuk tartozó üzeneteket.
Itt nem módosíthatja a tűzfal vagy a kártevőirtó beállításait. Ehhez vissza kell térnie a Vezérlőpultra, és ott meg kell nyitnia a megfelelő programot.
A hálózati férgek járványának problémája minden számára releváns helyi hálózat. Előbb-utóbb olyan helyzet állhat elő, amikor egy hálózati vagy levelezőféreg behatol a LAN-ba, amit a használt vírusirtó nem észlel. A hálózati vírusok a LAN-on keresztül terjednek az operációs rendszer sérülékenységein keresztül, amelyeket a fertőzés időpontjában nem zártak le, vagy megosztott, írható erőforrásokon keresztül. Mail vírus, ahogy a neve is sugallja, e-mailben terjesztik, feltéve, hogy nem blokkolja a kliens víruskereső és antivírus levelezőszerver. Ráadásul a LAN-ban a járvány belülről is megszerveződhet egy bennfentes tevékenységének eredményeként. Ebben a cikkben megvizsgáljuk a LAN számítógépek működési elemzésének gyakorlati módszereit különféle eszközök segítségével, különösen a szerző AVZ segédprogramjával.
A probléma megfogalmazása
Ha járványt vagy valamilyen rendellenes tevékenységet észlel a hálózaton, az adminisztrátornak azonnal meg kell oldania legalább három feladatot:
- észleli a fertőzött számítógépeket a hálózaton;
- keressen rosszindulatú programmintákat, amelyeket elküldhet a víruskereső laboratóriumnak, és dolgozzon ki ellenintézkedési stratégiát;
- tegyen intézkedéseket a vírus LAN-on való terjedésének megakadályozására és a fertőzött számítógépeken történő megsemmisítésére.
Bennfentes tevékenység esetén a fő elemzési lépések megegyeznek, és leggyakrabban a bennfentes által a LAN számítógépekre telepített harmadik féltől származó szoftverek észlelésére vezethetők vissza. Ilyen szoftverek például a távfelügyeleti segédprogramok, keyloggerekés különféle trójai könyvjelzőket.
Tekintsük részletesebben az egyes feladatok megoldását.
Keresse meg a fertőzött számítógépeket
Legalább három módszer használható fertőzött számítógépek keresésére a hálózaton:
- automatikus távoli számítógép-elemzés - információk beszerzése a futó folyamatokról, betöltött könyvtárakról és illesztőprogramokról, jellemző minták keresése - például folyamatok vagy fájlok adott neveket;
- számítógépes forgalom tanulmányozása szippantó segítségével - ez a módszer nagyon hatékony a spam botok, levelek és hálózati férgek elkapására, azonban a szippantó használatának fő nehézsége abból adódik, hogy a modern LAN switchekre épül, és emiatt a rendszergazda nem tudja felügyelni a a teljes hálózatot. A probléma kétféleképpen oldható meg: egy szippantó futtatásával a routeren (amely lehetővé teszi a PC-s adatcsere figyelését az internettel) és a kapcsolók figyelő funkcióinak használatával (sok modern kapcsolók lehetővé teszi olyan megfigyelő port hozzárendelését, amelyhez a rendszergazda által megadott egy vagy több kapcsolóport forgalma duplikálódik);
- a hálózati terhelés tanulmányozása - ebben az esetben nagyon kényelmes az intelligens kapcsolók használata, amelyek nemcsak a terhelés becslését teszik lehetővé, hanem a rendszergazda által megadott portok távoli letiltását is. Ez a művelet nagymértékben leegyszerűsödik, ha az adminisztrátor rendelkezik egy hálózati térképpel, amely tartalmazza azokat az adatokat, amelyeken a PC-k csatlakoznak a switch megfelelő portjaihoz, és hol találhatók;
- csapdák használata (honeypot) - erősen ajánlott több csapda létrehozása a helyi hálózatban, amelyek lehetővé teszik a rendszergazda számára, hogy időben észlelje a járványt.
A hálózatban lévő PC-k automatikus elemzése
Az automatikus PC-elemzés három fő lépésre redukálható:
- a számítógép teljes körű tanulmányozása - futó folyamatok, betöltött könyvtárak és illesztőprogramok, automatikus futtatás;
- operatív felmérés lebonyolítása - például jellemző folyamatok vagy fájlok keresése;
- tárgyi karanténba bizonyos kritériumok szerint.
A fenti feladatok mindegyike megoldható az AVZ szerzői segédprogramjával, amely a szerveren lévő hálózati mappából indítható, és támogatja a szkriptnyelvet az automatikus PC-vizsgálathoz. Az AVZ futtatásához a felhasználók számítógépén a következőket kell tennie:
- Helyezze az AVZ-t egy olvasható hálózati mappába a kiszolgálón.
- Hozzon létre LOG és Quarantine alkönyvtárakat ebben a mappában, és engedélyezze a felhasználók számára, hogy írjanak beléjük.
- Indítsa el az AVZ-t LAN számítógépeken a rexec segédprogram vagy egy bejelentkezési parancsfájl használatával.
Az AVZ 3. lépésben történő elindítását a következő paraméterekkel kell végrehajtani:
\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt
Ebben az esetben a Priority=-1 paraméter csökkenti az AVZ folyamat prioritását, az nw=Y és nq=Y paraméterek a karantént "hálózatindítás" módba kapcsolják (ebben az esetben egy alkönyvtár jön létre a karantén mappában minden számítógépnél, amelynek neve megegyezik a számítógép hálózati nevével) a HiddenMode=2 arra utasítja a felhasználót, hogy megtagadja a hozzáférést a grafikus felhasználói felülethez és az AVZ vezérléshez, végül a legfontosabb paraméter, a Script parancsokkal adja meg a szkript teljes nevét. amelyet az AVZ a felhasználó számítógépén fog végrehajtani. Az AVZ szkriptnyelv használata meglehetősen egyszerű, és kizárólag a számítógép vizsgálatával és kezelésével kapcsolatos problémák megoldására összpontosít. A szkriptek írási folyamatának leegyszerűsítésére használhatunk speciális szkriptszerkesztőt, amely promptot, tipikus szkriptek létrehozására szolgáló varázslót, valamint egy megírt szkript helyességét futtatás nélkül ellenőrző eszközöket tartalmaz (1. ábra).
Rizs. 1. AVZ szkriptszerkesztő
Nézzünk meg három tipikus szkriptet, amelyek hasznosak lehetnek a járvány elleni küzdelemben. Először is szükségünk van egy számítógépes kutatási szkriptre. A szkript feladata, hogy megvizsgálja a rendszert, és az eredményekkel egy protokollt készítsen egy adott hálózati mappában. A script így néz ki:
ActivateWatchDog(60 * 10);
// Indítsa el a keresést és az elemzést
// Fedezze fel a rendszert
ExecuteSysCheck(GetAVZDirectory+
‘\LOG\’+GetComputerName+’_log.htm’);
//Az AVZ leállítása
Ennek a szkriptnek a végrehajtása során a LOG mappában (feltételezzük, hogy a szerver AVZ könyvtárában hozták létre, és a felhasználók számára elérhető) HTML fájlok jönnek létre a hálózati számítógépek vizsgálatának eredményeivel, és az egyediség biztosítása érdekében a protokollnévben szerepel a vizsgált számítógép neve. A szkript elején van egy parancs a watchdog időzítő bekapcsolására, amely 10 perc elteltével erőszakkal leállítja az AVZ folyamatot, ha a szkript végrehajtása során hibák lépnének fel.
Az AVZ protokoll kényelmes a kézi tanulmányozáshoz, de az automatizált elemzéshez kevés haszna van. Ezenkívül az adminisztrátor gyakran ismeri a kártevő fájl nevét, és csak a meglétét vagy hiányát kell ellenőriznie adott fájl, és ha van, helyezze karanténba elemzés céljából. Ebben az esetben a következő szkriptet használhatja:
// A watchdog időzítő engedélyezése 10 percre
ActivateWatchDog(60 * 10);
// Rosszindulatú programok keresése név szerint
QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen gyanús');
QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen gyanús');
//Az AVZ leállítása
Ez a szkript a QuarantineFile függvényt használja, amely megkísérli karanténba helyezni a megadott fájlokat. A rendszergazdának csak a karantén tartalmát kell elemeznie (Karantén\hálózati_számítógép_neve\karantén_dátuma\ mappa) a karanténba helyezett fájlok esetében. Felhívjuk figyelmét, hogy a QuarantineFile funkció automatikusan blokkolja a biztonságos AVZ adatbázis vagy a Microsoft EDS adatbázis által azonosított fájlok karanténba helyezését. Mert praktikus alkalmazás ez a szkript továbbfejleszthető - megszervezheti a fájlnevek betöltését egy külső szöveges fájlból, a talált fájlokat összevetheti az AVZ adatbázisokkal, és szöveges protokollt alkothat a munka eredményével:
// Fájl keresése a megadott néven
function CheckByName(Fname: string) : logikai érték;
Eredmény:= FájlLétez(FName) ;
ha eredmény, akkor kezdje
eset CheckFile(FName) of
1: S:= ', a fájl hozzáférés blokkolva';
1: S:= ', rosszindulatú programként azonosítva ('+GetLastCheckTxt+')';
2: S:= ', a fájlszkenner gyanítja ('+GetLastCheckTxt+')';
3: kilépés; // A biztonságos fájlok figyelmen kívül hagyása
AddToLog('A '+NormalFileName(FName)+' fájl neve gyanús'+S);
//A megadott fájl hozzáadása a karanténhoz
QuarantineFile(FName,'gyanús fájl'+S);
SuspNames: TStringList; // A gyanús fájlok nevének listája
// Fájlok ellenőrzése a frissített adatbázisban
ha FileExists(GetAVZDirectory + 'files.db'), akkor kezdődik
SuspNames:= TStringList.Create;
SuspNames.LoadFromFile('files.db');
AddToLog('Name adatbázis betöltve - bejegyzések száma = '+inttostr(SuspNames.Count));
// Keresési hurok
i:= 0 esetén SuspNames.Count - 1 do
CheckByName(Függőnevek[i]);
AddToLog('Hiba a fájlnevek listájának betöltésekor');
SaveLog(GetAVZDirectory+'\LOG\'+
GetComputerName+'_files.txt');
Ahhoz, hogy ez a szkript működjön, létre kell hozni az AVZ mappában a felhasználók számára elérhető karantén és LOG könyvtárakat, valamint szöveges fájl files.db – ennek a fájlnak minden sora tartalmazza a gyanús fájl nevét. A fájlnevek makrókat tartalmazhatnak, a leghasznosabb a %WinDir% (elérési út a Windows mappa) és a %SystemRoot% (a System32 mappa elérési útja). Az elemzés másik iránya lehet a felhasználók számítógépén futó folyamatok listájának automatikus tanulmányozása. A futó folyamatokkal kapcsolatos információk a rendszerkutatási protokollban érhetők el, de az automatikus elemzéshez kényelmesebb a következő szkriptrészlet használata:
eljárás ScanProcess;
S:=''; S1:='';
// Folyamatlista frissítése
RefreshProcessList;
AddToLog('Folyamatok száma = '+IntToStr(GetProcessCount));
// A fogadott lista elemzési ciklusa
i:= 0 esetén a GetProcessCount-hoz - 1 kezdődik
S1:= S1 + ',' + ExtractFileName(GetProcessName(i));
// Folyamat keresése név szerint
if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 then
S:= S + GetProcessName(i)+',';
ha S<>''akkor
AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);
AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);
Ebben a szkriptben a folyamatok vizsgálata külön ScanProcess eljárásként történik, így könnyen elhelyezhető saját szkriptben. A ScanProcess eljárás két folyamatlistát épít fel: teljes lista folyamatok (további elemzéshez), valamint azon folyamatok listája, amelyek az adminisztrátor szempontjából veszélyesnek minősülnek. Ebben az esetben a demonstrációhoz a „trojan.exe” nevű folyamat veszélyesnek minősül. A veszélyes folyamatokkal kapcsolatos információk az _alarm.txt szövegfájlba, az összes folyamat adatai az _all_process.txt fájlba kerülnek. Könnyen belátható, hogy bonyolíthatja a szkriptet, ha hozzáadja például a folyamatfájlokat a biztonságos fájlok adatbázisához vagy a neveket. futtatható fájlok folyamatokat egy külső adatbázison. Hasonló eljárást alkalmaznak a Smolenskenergo-ban használt AVZ-szkriptekben is: a rendszergazda időszakonként megvizsgálja az összegyűjtött információkat, és módosítja a szkriptet a biztonsági szabályzat által tiltott programok folyamatainak nevének hozzáadásával, például az ICQ és a MailRu.Agent, amely lehetővé teszi a gyorsan ellenőrizheti a tiltott szoftverek jelenlétét a vizsgált számítógépeken. A folyamatlista másik felhasználási módja az, hogy megtalálja azokat a PC-ket, amelyeken hiányzik egy szükséges folyamat, például egy vírusirtó.
Végezetül tekintsük az utolsó hasznos elemző szkriptet – a szkriptet, amely az összes olyan fájl automatikus karanténba helyezésére szolgál, amelyet a biztonságos AVZ adatbázis és a Microsoft EDS adatbázis nem ismer fel:
// Automatikus karantén végrehajtása
ExecuteAutoQuarantine;
Az automatikus karantén megvizsgálja a futó folyamatokat és a betöltött könyvtárakat, szolgáltatásokat és illesztőprogramokat, mintegy 45 automatikus indítási módszert, böngésző és felfedező bővítmény modulokat, SPI/LSP kezelőket, ütemező feladatokat, nyomtatási rendszer kezelőket stb. A karantén jellemzője, hogy újrapróbálkozási vezérléssel adják hozzá a fájlokat, így az automatikus karantén funkció többször is meghívható.
Az automatikus karantén előnye, hogy segítségével az adminisztrátor gyorsan összegyűjtheti a potenciálisan gyanús fájlokat a hálózat összes számítógépéről tanulmányozás céljából. A fájlok tanulmányozásának legegyszerűbb (de a gyakorlatban nagyon hatékony) formája a beérkezett karantén ellenőrzése több népszerű antivírussal maximális heurisztikus módban. Megjegyzendő, hogy az Auto-Quarantine egyidejű elindítása több száz számítógépen nagy terhelést jelenthet a hálózaton és a fájlszerveren.
Forgalomkutatás
A forgalomkutatást háromféleképpen lehet elvégezni:
- kézi szippantókkal;
- félautomata módban - ebben az esetben a szippantó információkat gyűjt, majd a protokolljait manuálisan vagy valamilyen szoftverrel dolgozza fel;
- automatikusan behatolásérzékelő rendszereket (IDS) használnak, mint például a Snort (http://www.snort.org/) vagy azok szoftveres vagy hardveres társai. A legegyszerűbb esetben az IDS egy szippantóból és egy rendszerből áll, amely elemzi a szippantó által gyűjtött információkat.
A behatolásérzékelő rendszer a legjobb eszköz, mert lehetővé teszi szabálykészletek létrehozását a hálózati tevékenység anomáliáinak észlelésére. Második előnye a következő: a legtöbb modern IDS lehetővé teszi forgalomfigyelő ügynökök elhelyezését több hálózati csomóponton – az ügynökök információkat gyűjtenek és továbbítanak. Szippantó használata esetén nagyon kényelmes a tcpdump UNIX konzolsniffer használata. Például a 25-ös porton ( SMTP protokoll) csak futtassa a szippantót parancs sor típus:
tcpdump -i em0 -l tcp 25-ös port > smtp_log.txt
Ebben az esetben a csomagok rögzítése az em0 interfészen keresztül történik; a rögzített csomagokkal kapcsolatos információk az smtp_log.txt fájlban lesznek tárolva. A protokoll viszonylag könnyen elemezhető manuálisan, ebben a példában a 25-ös porton végzett tevékenység elemzése lehetővé teszi az aktív spamrobotokkal rendelkező számítógép kiszámítását.
Honeypot alkalmazás
Csapdaként (Honeypot) használható egy elavult számítógép, amelynek teljesítménye nem teszi lehetővé, hogy megoldja. gyártási feladatokat. Például a szerző hálózatában egy 64 MB-os Pentium Pro sikeresen használható csapdaként. véletlen hozzáférésű memória. Ezen a számítógépen telepítse a LAN-on legáltalánosabb operációs rendszert, és válassza ki az egyik stratégiát:
- Szervizcsomagok nélküli operációs rendszer telepítése - ez egy aktív hálózati féreg megjelenését jelzi a hálózaton, amely kihasználja az operációs rendszer ismert sebezhetőségeit;
- telepítsen egy operációs rendszert a hálózat többi számítógépére telepített frissítésekkel - a Honeypot bármelyik munkaállomás analógja lesz.
Mindegyik stratégiának megvannak a maga előnyei és hátrányai; a szerző többnyire a no-update opciót alkalmazza. A Honeypot létrehozása után létre kell hoznia egy lemezképet gyors helyreállítás rendszert, miután azt kártékony program károsította. A lemezkép alternatívájaként használhat megváltoztatási visszaállítási rendszereket, például a ShadowUser-t és analógjait. A Honeypot megépítése után figyelembe kell venni, hogy számos hálózati féreg keresi a fertőzött számítógépeket a fertőzött számítógép IP-címéből számolt IP-tartomány átvizsgálásával (gyakori tipikus stratégiák a X.X.X.*, X.X.X+1.* , X.X.X-1.*), - ezért ideális esetben mindegyik alhálózaton legyen egy Honeypot. További előkészítő elemként a Honeypot rendszeren több mappa elérését szükséges megnyitni, és ezekbe a mappákba több különböző formátumú mintafájlt kell elhelyezni, a minimális készlet EXE, JPG, MP3.
Természetesen a Honeypot létrehozása után az adminisztrátornak figyelemmel kell kísérnie annak működését, és reagálnia kell a rajta észlelt rendellenességekre ez a számítógép. Az auditorok a változások regisztrálására, a szippantó pedig a hálózati tevékenység regisztrálására használható. Fontos szempont Az, hogy a legtöbb szippantó lehetőséget biztosít arra, hogy beállítsa a riasztást a rendszergazdának egy adott hálózati tevékenység észlelése esetén. Például a CommView snifferben a szabály magában foglalja egy "képlet" megadását, amely leír egy hálózati csomagot, vagy mennyiségi kritériumokat állít be (másodpercenként megadott számú csomag vagy bájtnál több küldése, csomagok küldése ismeretlen IP- vagy MAC-címekre) ábra. 2.
Rizs. 2. Hozzon létre és konfiguráljon egy hálózati tevékenység riasztást
Figyelmeztetésképpen a legkényelmesebb a címre küldött e-mail üzeneteket használni Postafiók rendszergazda - ebben az esetben valós idejű értesítéseket kaphat a hálózat összes csapdájáról. Ezen túlmenően, ha a szippantó lehetővé teszi több riasztás létrehozását, célszerű megkülönböztetni a hálózati tevékenységet úgy, hogy kiemeli a email, FTP / HTTP, TFTP, Telnet, MS Net, másodpercenként több mint 20-30 csomaggal megnövelt forgalom bármely protokollhoz képest (3. ábra).
Rizs. 3. Értesítő levél elküldve
ha a megadott feltételeknek megfelelő csomagokat talál
A csapda szervezésekor célszerű több, a hálózaton használt sebezhető hálózati szolgáltatást elhelyezni, vagy ezek emulátorát telepíteni. A legegyszerűbb (és ingyenes) a szerzői APS segédprogram, amely telepítés nélkül működik. Az APS működési elve arra redukálódik, hogy meghallgatja az adatbázisában leírt TCP és UDP portok halmazát, és a csatlakozáskor előre meghatározott vagy véletlenszerűen generált választ ad ki (4. ábra).
Rizs. 4. Az APS segédprogram fő ablaka
Az ábrán a Smolenskenergo LAN-ban valós APS-művelet során készült képernyőkép látható. Amint az ábrán látható, az egyik kliens számítógépet a 21-es porton próbálták csatlakoztatni. A protokollok elemzése azt mutatta, hogy a próbálkozások periodikusak, a hálózatban több csapda rögzíti, amiből arra következtethetünk, hogy a hálózat ellenőrzi, hogy jelszavak kitalálásával FTP-kiszolgálókat találjon és törjön fel. Az APS naplóz, és üzeneteket küldhet a rendszergazdáknak, jelezve a felügyelt portokhoz regisztrált kapcsolatokat, ami hasznos a hálózati vizsgálatok gyors észleléséhez.
Honeypot építésekor hasznos lehet a témával kapcsolatos online források megtekintése is, például a http://www.honeynet.org/. A webhely Eszközök részében (http://www.honeynet.org/tools/index.html) számos eszközt találhat a támadások rögzítésére és elemzésére.
Távoli rosszindulatú programok eltávolítása
Ideális esetben az adminisztrátor a kártevő-minták észlelése után elküldi azokat a vírusirtó laboratóriumba, ahol az elemzők gyorsan megvizsgálják őket, és a megfelelő aláírásokat hozzáadják a vírusvédelmi adatbázisokhoz. Ezek az aláírások át automatikus frissítés a felhasználók számítógépére kerül, és a víruskereső rendszergazdai beavatkozás nélkül automatikusan eltávolítja a rosszindulatú programokat. Ez a lánc azonban nem mindig a várt módon működik, különösen a következő okok lehetségesek a meghibásodásra:
- a hálózati rendszergazdától független okok miatt előfordulhat, hogy a képek nem jutnak el a víruskereső laboratóriumba;
- a vírusirtó laboratórium nem megfelelő hatékonysága - ideális esetben a minták tanulmányozása és az adatbázisokhoz való felvétele legfeljebb 1-2 órát vesz igénybe, vagyis egy munkanapon belül frissített aláírási adatbázisokat kaphat. Azonban nem minden vírusirtó laboratórium működik ilyen gyorsan, és a frissítések több napig (ritka esetben akár hetekig) is várhatók;
- a víruskereső nagy teljesítménye - számos rosszindulatú program aktiválás után megsemmisíti a víruskeresőt vagy más módon megzavarja a munkájukat. Klasszikus példák – olyan bejegyzések készítése a hosts fájlban, amelyek blokkolják normál munka víruskereső automatikus frissítési rendszerek, vírusvédelmi folyamatok, szolgáltatások és illesztőprogramok eltávolítása, beállításaik károsodása stb.
Ezért ezekben a helyzetekben manuálisan kell kezelnie a rosszindulatú programokat. A legtöbb esetben ez nem nehéz, mivel a számítógépek elemzésének eredményeiről ismert, hogy fertőzött számítógépek, valamint a rosszindulatú programok teljes neve. Már csak a távoli eltávolításuk van hátra. Ha a rosszindulatú program nincs védve az eltávolítástól, akkor a következő formátumú AVZ-szkripttel megsemmisíthető:
// Fájl törlése
DeleteFile('fájlnév');
ExecuteSysClean;
Ez a szkript töröl egy megadott fájlt (vagy több fájlt, mivel a szkriptben korlátlan számú DeleteFile parancs szerepelhet), majd automatikusan megtisztítja a rendszerleíró adatbázist. Bonyolultabb esetben egy rosszindulatú program megvédheti magát a törléstől (például újra létrehozhatja fájljait és rendszerleíró kulcsait), vagy rootkit technológiával álcázhatja magát. Ebben az esetben a szkript bonyolultabbá válik, és így fog kinézni:
// Anti-rootkit
SearchRootkit(igaz, igaz);
// AVZGuard vezérlés
SetAVZGuardStatus(true);
// Fájl törlése
DeleteFile('fájlnév');
// BootCleaner naplózás engedélyezése
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
// Importálja a BootCleaner feladatba a szkript által törölt fájlok listáját
BC_ImportDeletedList;
// A BootCleaner aktiválása
// A rendszer heurisztikus tisztítása
ExecuteSysClean;
Windows újraindítása (true);
Ez a szkript tartalmazza a rootkitekkel szembeni aktív ellenállást, az AVZGuard rendszer használatát (ez egy rosszindulatú programok blokkolása) és a BootCleaner rendszert. A BootCleaner egy olyan illesztőprogram, amely eltávolítja a megadott objektumokat a KernelMode-ból az újraindítás során, a rendszerindítás korai szakaszában. A gyakorlat azt mutatja, hogy egy ilyen szkript képes megsemmisíteni a meglévő rosszindulatú programok túlnyomó részét. Kivételt képeznek a rosszindulatú programok, amelyek minden újraindításkor megváltoztatják a futtatható fájljainak nevét – ebben az esetben a rendszer tanulmányozása során talált fájlok átnevezhetők. Ebben az esetben manuálisan kell fertőtlenítenie a számítógépet, vagy létre kell hoznia saját kártevő-aláírásait (az aláíráskeresést megvalósító szkriptre az AVZ súgójában olvashat példát).
Következtetés
Ebben a cikkben megvizsgáltunk néhány gyakorlati technikát a LAN-járvány kézi, vírusirtó termékek használata nélküli kezelésére. A leírt technikák többsége külföldi számítógép és trójai könyvjelzők keresésére is használható a felhasználók számítógépén. Ha nehézségei vannak a rosszindulatú programok megtalálásával vagy a fertőtlenítő szkriptek létrehozásával, a rendszergazda használhatja a http://virusinfo.info fórum "Súgó" vagy a http://forum.kaspersky.com/ "Vírusok elleni küzdelem" részét. index.php?showforum= 18. A protokollok tanulmányozása és a kezelésben való segítségnyújtás mindkét fórumon ingyenesen történik, a PC-elemzés az AVZ protokollok szerint történik, és a legtöbb esetben a kezelés egy AVZ szkript végrehajtásából áll a fertőzött PC-ken, amelyet tapasztalt állított össze. szakértők ezekről a fórumokról.
Amelyek kénytelenek megvárni a fizikai fájl létrehozását a felhasználó számítógépén, a hálózati védelem elkezdi elemezni a felhasználó számítógépére a hálózaton keresztül érkező bejövő adatfolyamokat, és blokkolja a fenyegetéseket, mielőtt azok belépnének a rendszerbe.
A Symantec technológiák által biztosított hálózati védelem fő területei a következők:
Drive-by letöltések, webes támadások;
- Social engineering támadások: FakeAV (hamis vírusirtó) és kodekek;
- Áttámad közösségi média mint a Facebook;
- Rosszindulatú programok, rootkitek és botokkal fertőzött rendszerek észlelése;
- Védelem a kifinomult fenyegetésekkel szemben;
- Zero Day Threats;
- Védelem a ki nem javított szoftversebezhetőségek ellen;
- Védelem a rosszindulatú domainek és IP-címek ellen.
Hálózatvédelmi technológiák
A "Hálózatvédelem" szint 3 különböző technológiát tartalmaz.
Hálózati behatolás-megelőzési megoldás (hálózati IPS)
A hálózati IPS technológia több mint 200 különböző protokollt ismer és vizsgál. Intelligensen és pontosan "áttöri" a bináris ill hálózati protokoll miközben rosszindulatú forgalom nyomait keresi. Ez az intelligencia pontosabb hálózati szkennelést tesz lehetővé, miközben továbbra is biztosít megbízható védelem. A "szíve" egy exploit blokkoló motor, amely szinte áthatolhatatlan védelemmel látja el a nyílt sebezhetőségeket. A Symantec IPS egyedülálló tulajdonsága, hogy ez az összetevő nem igényel konfigurációt. Minden funkciója működik, ahogy mondják, "kivételesen". Minden Norton fogyasztói termékben, valamint minden Symantec Endpoint Protection termék 12.1-es és újabb verziójában alapértelmezés szerint engedélyezve van ez a kritikus technológia.
Böngészővédelem
Ez a biztonsági motor a böngészőben található. Képes felismerni a legösszetettebb fenyegetéseket, amelyeket sem a hagyományos vírusirtó, sem a hálózati IPS nem képes észlelni. Napjainkban sok hálózati támadás obfuszkációs technikákat használ az észlelés elkerülése érdekében. Mivel a Browser Guard a böngészőn belül fut, képes megvizsgálni a még nem rejtett (obfuszkált) kódot a végrehajtás során. Ez lehetővé teszi a támadás észlelését és blokkolását, ha azt a program alacsonyabb védelmi szintjein elmulasztották.
Engedély nélküli letöltésvédelem (UXP)
A hálózati védelmi rétegen belül található utolsó védelmi vonal segít elfedni és "enyhíteni" az ismeretlen és még nem javított sebezhetőségek kihasználásának következményeit, aláírások használata nélkül. Ez további védelmet biztosít a nulladik napi támadásokkal szemben.
A problémákra összpontosítva
Együttműködve a tűzfaltechnológiák a következő problémákat oldják meg.
Drive-by letöltések és webes támadási eszközkészletek
A hálózati IPS, a böngészővédelem és az UXP technológia segítségével a Symantec hálózatvédelmi technológiái blokkolják a Drive-by letöltéseket, és valójában megakadályozzák, hogy a rosszindulatú programok elérjék a felhasználó rendszerét. Különféle megelőző módszereket alkalmaznak, amelyek magukban foglalják ugyanezen technológiák használatát, beleértve a Generic Exploit Blocking technológiát és a webes támadások észlelésére szolgáló eszközöket. Egy elterjedt webalapú behatolásészlelő eszköz elemzi egy általános webalapú támadás jellemzőit, függetlenül attól, hogy a támadás milyen sérülékenységet céloz. Ez lehetővé teszi, hogy további védelmet nyújtson az új és ismeretlen biztonsági rések ellen. Az ilyen típusú védelemben az a legjobb, hogy ha egy rosszindulatú fájl képes lenne „csendben” megfertőzni a rendszert, akkor is proaktívan leállítják és eltávolítják a rendszerből, ami pontosan az a viselkedés, amit a hagyományos víruskeresők általában figyelmen kívül hagynak. A Symantec azonban továbbra is blokkolja a rosszindulatú programok több tízmillió változatát, amelyek más módon általában nem észlelhetők.
Social engineering támadások
Mivel a Symantec technológiái továbbítás közben figyelik a hálózati és a böngészőforgalmat, észleli az olyan social engineering támadásokat, mint a FakeAV vagy a hamis kodekek. A technológiák célja az ilyen támadások blokkolása, mielőtt azok megjelennének a felhasználó képernyőjén. A legtöbb konkurens megoldás nem tartalmazza ezt a hatékony képességet.
A Symantec több százmillió ilyen támadást blokkol a hálózati fenyegetések elleni védelmi technológiával.
A közösségi média alkalmazásokat célzó támadások
A közösségimédia-alkalmazások mostanában nagyon népszerűvé váltak, mert lehetővé teszik, hogy azonnali üzeneteket, érdekes videókat és információkat váltsunk több ezer baráttal és felhasználóval. Az ilyen programok széles körű elterjedése és lehetőségei a hackerek első számú célpontjává teszik őket. Néhány gyakori "hacker" trükk a hamis fiókok létrehozása és a spamelés.
A Symantec IPS technológia védelmet nyújt az ilyen típusú csalások ellen, gyakran megakadályozva, hogy azok megtörténjenek, mielőtt a felhasználó rájuk kattintana. A Symantec leállítja a csaló és hamisított URL-eket, alkalmazásokat és egyéb megtévesztő gyakorlatokat a Network Threat Protection technológia segítségével.
Rosszindulatú programok, rootkitek és botokkal fertőzött rendszerek észlelése
Nem lenne jó tudni, hogy pontosan hol található a fertőzött számítógép a hálózaton? A Symantec IPS-megoldásai biztosítják ezt a lehetőséget, beleértve azon fenyegetések észlelését és helyreállítását is, amelyek esetleg megkerülhettek más védelmi rétegeket. A Symantec megoldásai észlelik a rosszindulatú programokat és a robotokat, amelyek megpróbálnak automatikusan tárcsázni vagy letölteni „frissítéseket”, hogy fokozzák tevékenységüket a rendszeren. Ez lehetővé teszi az informatikai vezetők számára, akiknek egyértelmű listával kell ellenőrizni a rendszereket, hogy megbizonyosodjanak arról, hogy vállalkozásuk biztonságban van. A rootkit módszerekkel, például a Tidserv, a ZeroAccess, a Koobface és a Zbot polimorf és összetett lopakodó fenyegetések ezzel a módszerrel leállíthatók és eltávolíthatók.
Védelem a zavart fenyegetésekkel szemben
A mai webes támadások kifinomult technikákat alkalmaznak a támadások megnehezítésére. A Symantec Browser Protection a böngészőben található, és képes észlelni a nagyon kifinomult fenyegetéseket, amelyeket a hagyományos módszerek gyakran nem észlelnek.
Nulladik napi fenyegetések és kijavítatlan biztonsági rések
A vállalat egyik korábbi biztonsági kiegészítése egy további védelmi réteg a nulladik napi fenyegetések és a javítatlan sebezhetőségek ellen. Aláírás nélküli védelmet használva a program elfogja a System API hívásokat, és védelmet nyújt a rosszindulatú programok letöltése ellen. Ezt a technológiát Un-Authorized Download Protection (UXP) néven hívják. Ez az utolsó védelmi vonal a hálózati fenyegetésekkel szembeni védelmi ökoszisztémán belül. Ez lehetővé teszi a termék számára, hogy aláírások használata nélkül "elfedje" az ismeretlen és javítatlan biztonsági réseket. Ez a technológia alapértelmezés szerint engedélyezve van, és a Norton 2010 debütálása óta kiadott összes termékben megtalálható.
Védelem a javítatlan szoftver sebezhetőségei ellen
A rosszindulatú programokat gyakran a felhasználó tudta nélkül telepítik, a szoftver biztonsági réseit felhasználva. A Symantec Network Security egy további védelmi réteget biztosít, úgynevezett Generic Exploit Blocking (GEB). Függetlenül attól, hogy telepítve van-e Legújabb frissítések vagy sem, a GEB "többnyire" megvédi a főbb sebezhetőségeket a kihasználástól. Az Oracle Sun Java, Adobe biztonsági rései Acrobat Reader, Adobe Flash, internet böngésző, az ActiveX-vezérlők vagy a QuickTime már mindenütt jelen vannak. Az általános kizsákmányolás elleni védelmet a "visszafejtés" hozta létre, kitalálva, hogyan lehet kihasználni a sérülékenységet a hálózaton, miközben speciális javítást biztosított a hálózaton hálózati réteg. Egyetlen GEB vagy sebezhetőségi szignatúra védelmet nyújthat több ezer új és ismeretlen rosszindulatú programváltozat ellen.
Rosszindulatú IP-címek és tartományblokkolás
A Symantec hálózati védelme magában foglalja a rosszindulatú tartományok és IP-címek blokkolásának lehetőségét is, miközben leállítja a rosszindulatú programokat és az ismert rosszindulatú webhelyekről érkező forgalmat. A webhely adatbázisának STAR általi gondos elemzésével és frissítésével a Symantec valós idejű védelmet nyújt a folyamatosan változó fenyegetésekkel szemben.
Javított kijátszási ellenállás
A további kódolások támogatása a titkosítási technikák, például a base64 és a gzip segítségével történő támadásészlelés teljesítményének javítása érdekében került hozzáadásra.
Hálózati audit észlelése a használati irányelvek érvényesítéséhez és az adatszivárgások azonosításához
A hálózati IPS segítségével azonosíthatók azok az alkalmazások és eszközök, amelyek megsérthetik a vállalati használati irányelveket, vagy megakadályozható az adatok hálózaton keresztüli szivárgása. Lehetőség van olyan forgalom észlelésére, figyelmeztetésére vagy megakadályozására, mint az IM, P2P, közösségi média vagy más "érdekes" forgalom.
STAR Intelligence Communication Protocol
A hálózatvédelmi technológia önmagában nem működik. A motor a STAR Intelligence Communication (STAR ICB) protokoll segítségével kommunikál más biztonsági szolgálatokkal. A Network IPS motor csatlakozik a Symantec Sonar motorhoz, majd az Insight Reputation motorhoz. Ez lehetővé teszi, hogy informatívabb és pontosabb védelmet nyújtson.
A következő cikkben a „Viselkedéselemző” szinttel fogunk foglalkozni.
A Symantec szerint
Minden Windows PC-re telepíteni kell a víruskeresőt. Sokáig ezt tartották az aranyszabálynak, ma azonban az IT-biztonsági szakértők vitatkoznak a biztonsági szoftverek hatékonyságáról. A kritikusok azzal érvelnek, hogy a víruskeresők nem mindig védenek, sőt néha fordítva is - a gondatlan megvalósítás miatt biztonsági lyukakat okozhatnak a rendszerben. Az ilyen megoldások fejlesztői ellenzik ezt a véleményt lenyűgöző számú blokkolt támadás, és a marketing osztályok továbbra is ígérik a termékeik által nyújtott átfogó védelmet.
Az igazság valahol középen van. A víruskeresők nem működnek hibátlanul, de mindegyik nem nevezhető haszontalannak. Számos fenyegetésre figyelmeztetnek, de nem elegendőek ahhoz, hogy a Windowst a lehető legjobban megvédjék. Felhasználóként ez a következőket jelenti: vagy kidobhatja a vírusirtót a kukába, vagy vakon megbízhat benne. De így vagy úgy, ez csak az egyik blokk (bár nagy) a biztonsági stratégiában. További kilenc ilyen "téglával" szállítunk.
Biztonsági veszély: vírusirtó
> Mit mondanak a kritikusok A jelenlegi víruskereső vitákat a korábbi Firefox-fejlesztő, Robert O'Callahan szította. Azt állítja, hogy az antivírusok veszélyeztetik a Windows biztonságát, ezért el kell távolítani őket. Az egyetlen kivétel a Microsoft Windows Defender.
> Mit mondanak a fejlesztők a víruskereső készítők, beleértve Kaspersky Lab, lenyűgöző számadatokat adunk érvként. Így 2016-ban a laboratórium szoftverei körülbelül 760 millió internetes támadást regisztráltak és akadályoztak meg a felhasználók számítógépein.
> A CHIP véleménye A vírusirtót nem szabad ereklyének vagy csodaszernek tekinteni. Csak téglák a biztonsági épületben. Javasoljuk a kompakt víruskeresők használatát. De ne aggódjon túl sokat: a Windows Defender rendben van. Még egyszerű, harmadik féltől származó szkennereket is használhat.
Válassza ki a megfelelő víruskeresőt
Ahogy korábban is, most is meg vagyunk győződve arról, hogy a Windows elképzelhetetlen vírusvédelem nélkül. Csak a megfelelő terméket kell kiválasztania. A Windows 10 felhasználók számára akár a beépített Windows Defender is lehet. Annak ellenére, hogy tesztjeink során nem a legjobb felismerési fokot mutatta, tökéletesen, és ami a legfontosabb, minden biztonsági probléma nélkül beépült a rendszerbe. Ezenkívül a Microsoft továbbfejlesztette termékét a Creators Update for Windows 10-hez, és megkönnyítette a kezelését.
A más fejlesztők víruskereső csomagjai gyakran magasabb szintű felismeréssel rendelkeznek, mint a Defender. Mi a kompakt megoldást támogatjuk. A minősítésünk vezetője a Ebben a pillanatban a Kaspersky internet biztonság 2017. Akik vissza tudnak utasítani olyan kiegészítő lehetőségeket, mint szülői felügyeletés a jelszókezelőnek a figyelmüket a Kaspersky Lab költséghatékonyabb lehetőségére kell fordítaniuk.
Kövesse a frissítéseket
Ha csak egy intézkedést kellene választani a Windows biztonságának megőrzéséhez, akkor mindenképpen a frissítéseket választanánk. Ebben az esetben természetesen elsősorban a Windows frissítéseiről beszélünk, de nem csak. A telepített szoftvereket, beleértve az Office-t, a Firefoxot és az iTunes-t, szintén rendszeresen frissíteni kell. Windows rendszeren a rendszerfrissítések beszerzése viszonylag egyszerű. Mind a "hét", mind a "tíz" javítás automatikusan telepítve van az alapértelmezett beállításokkal.
A programok esetében nehezebb a helyzet, hiszen nem mindegyik frissíthető olyan egyszerűen, mint a beépített automatikus frissítés funkcióval rendelkező Firefox és Chrome. A SUMo (Szoftverfrissítésfigyelő) segédprogram támogatja Önt ebben a feladatban, és értesíti, ha frissítések állnak rendelkezésre. A testvérprogram DUMo (Driver Update Monitor) ugyanezt a feladatot végzi el az illesztőprogramoknál. Mindkét ingyenes asszisztens azonban csak az új verziókról tájékoztat - Önnek kell letöltenie és telepítenie őket.
Tűzfal beállítása
A Windows beépített tűzfala jó munkát végez, és megbízhatóan blokkol minden bejövő kérést. Azonban többre képes – lehetőségei nem korlátozódnak az alapértelmezett konfigurációra: mindenre telepített programokat jogosultak kérés nélkül portokat nyitni a tűzfalban. Az ingyenes Windows Firewall Control segédprogrammal a kezébe kerül több funkciót.
Futtassa, és a "Profilok" menüben állítsa a szűrőt "Közepes szűrés"-re. Ennek köszönhetően a tűzfal a kimenő forgalmat is szabályozni fogja egy adott szabályrendszer szerint. Hogy milyen intézkedések lesznek ott, azt te határozod meg. Ehhez a program képernyőjének bal alsó sarkában kattintson a jegyzet ikonra. Így egy kattintással megtekintheti a szabályokat és kiadhatja az engedélyt külön program vagy blokkolja.
Használjon speciális védelmet
Frissítések, vírusirtó és tűzfal – Ön már gondoskodott a biztonsági intézkedések e nagyszerű háromságáról. Itt az idő finomhangolás. A Windowshoz készült további programokkal gyakran az a probléma, hogy nem használják ki a rendszer által kínált összes biztonsági funkciót. Egy olyan kihasználó eszköz, mint az EMET (Enhanced Mitigation Experience Toolkit), tovább javítja a telepített szoftvereket. Ehhez kattintson az "Ajánlott beállítások használata" gombra, és hagyja, hogy a program automatikusan fusson.
Erősítse meg a titkosítást
A személyes adatok védelmét jelentősen fokozhatja azok titkosításával. Még ha információi rossz kezekbe is kerülnek, a hacker nem tudja eltávolítani a jó kódolást, legalábbis nem azonnal. Szakmailag Windows verziók a BitLocker segédprogram már rendelkezésre áll, a Vezérlőpulton keresztül konfigurálva.
A VeraCrypt minden felhasználó számára alternatívává válik. Ez a nyílt forráskódú program a néhány éve megszűnt TrueCrypt nem hivatalos utódja. Ha beszélgetünk csak a személyes adatok védelmével kapcsolatban hozhat létre titkosított tárolót a „Kötet létrehozása” elemen keresztül. Válassza a "Titkosított fájltároló létrehozása" lehetőséget, és kövesse a varázsló utasításait. A kész adattárhoz való hozzáférés a Windows Intézőn keresztül történik, mint egy normál lemezen.
Felhasználói fiókok védelme
Sok sebezhetőséget csak azért nem használnak ki a hackerek, mert a számítógépen végzett munka egy szabványos fiók alatt, korlátozott jogokkal történik. Így a mindennapi feladatokhoz ilyeneket is be kell állítani fiókot. A Windows 7 rendszerben ez a Vezérlőpulton és a Felhasználói fiókok hozzáadása vagy eltávolítása elemen keresztül történik. A "tízben" kattintson a "Beállítások" és a "Fiókok" elemre, majd válassza a "Család és mások" lehetőséget.
Aktiválja a VPN-t, ha nincs otthon
Otthon bent vezetéknélküli hálózat magas a biztonsági szintje, mert csak Ön szabályozza, hogy ki férhet hozzá a helyi hálózathoz, és felelős a titkosításért és a hozzáférési kódokért is. Minden más a hotspotok esetében, pl.
szállodákban. Itt a Wi-Fi kívülállók között van elosztva, és Ön nem tudja befolyásolni a hálózati hozzáférés biztonságát. A védelem érdekében VPN (virtuális magánhálózat) használatát javasoljuk. Ha csak egy hotspoton keresztül kell böngésznie a webhelyeket, elegendő a beépített VPN. legújabb verzió Opera böngésző. Telepítse a böngészőt, és a "Beállítások" menüben kattintson a "Biztonság" elemre. A „VPN” részben jelölje be a „VPN engedélyezése” négyzetet.
Szüntesse meg a nem használt vezeték nélküli kapcsolatokat
rendben Még a részletek is eldönthetik a helyzet kimenetelét. Ha nem használ olyan kapcsolatokat, mint a Wi-Fi és a Bluetooth, egyszerűen kapcsolja ki őket, és zárja be a lehetséges kiskapukat. A Windows 10 rendszerben ezt a legegyszerűbben a Műveletközponton keresztül teheti meg. A "Hét" erre a célra a Vezérlőpult "Hálózati kapcsolatok" részét kínálja.
Jelszavak kezelése
Minden jelszót csak egyszer szabad használni, és tartalmaznia kell speciális karaktereket, számokat, nagy- és kisbetűket. És legyen a lehető leghosszabb – tíz vagy több karakter a legjobb. A jelszavas biztonság fogalma mára elérte határait, mert a felhasználóknak túl sok mindent kell megjegyezniük. Ezért, ahol lehetséges, az ilyen védelmet más módszerekkel kell helyettesíteni. Vegyük például a Windows-bejelentkezést: ha Windows Hello-kompatibilis kamerája van, használja az arcfelismerést a bejelentkezéshez. Más kódok esetén javasoljuk, hogy forduljon jelszókezelőhöz, például a KeePasshoz, amelyet erős fő jelszóval kell védeni.
Védje a magánéletet a böngészőben
Számos módja van a magánélet védelmének online. Firefox esetén az Adatvédelmi beállítások bővítmény ideális. Telepítse és állítsa "Teljes adatvédelem"-re. Ezt követően a böngésző nem ad ki semmilyen információt az Ön internetes viselkedéséről.
Mentőgyűrű: tartalék
> A biztonsági mentések rendkívül fontosak biztonsági mentés igazolja
nem csak a vírus elkapása után. Hardverproblémák esetén is kiválónak bizonyult. Tanácsunk: készítsen egyszer másolatot a teljes Windowsról, majd rendszeresen készítsen biztonsági másolatot minden fontos adatról.> A Windows Windows 10 teljes archiválása a "hét" "Archiválás és visszaállítás" modulból örökölt. Vele alkotni fogsz biztonsági mentés rendszerek. Használhatod is speciális közművek, mint például a True Image vagy a Macrium Reflect.
> A True Image fájlvédelem és a Macrium Reflect fizetős verziója képes másolatokat készíteni konkrét fájlokatés mappákat. Ingyenes alternatíva archiválásra fontos információ Személyes biztonsági mentés lesz.
FOTÓ: gyártó cégek; NicoElNino/Fotolia.com
Hogyan védheti meg számítógépét a távoli hozzáféréstől? Hogyan lehet megakadályozni a számítógéphez való hozzáférést böngészőn keresztül?
Hogyan védheti meg számítógépét a távoli hozzáféréstől, általában arra gondol, amikor valami már megtörtént. De természetesen ez a rossz döntés egy olyan személy számára, aki legalább valamilyen saját tevékenységet folytat. Igen, és kívánatos, hogy minden felhasználó korlátozza a számítógépéhez való hozzáférést a kívülállók számára. Ebben a cikkben nem tárgyaljuk, hogyan kell jelszót beállítani a számítógépbe való belépéshez, de látni fogunk egy lehetőséget arra vonatkozóan, hogyan lehet megtagadni a hozzáférést egy számítógéphez a helyi hálózatról, vagy egy másik számítógépről, ha ugyanahhoz a hálózathoz csatlakoznak. . Az ilyen információk különösen hasznosak lesznek az új PC-felhasználók számára.
És így, be operációs rendszer A Windows rendelkezik egy "Távoli hozzáférés" nevű funkcióval. És ha nincs letiltva, akkor más felhasználók átvehetik az irányítást a számítógépe felett. Még ha vezető vagy, és nyomon kell követned az alkalmazottaidat, akkor természetesen hozzá kell férned a számítógépükhöz, de be kell zárnod a sajátodat, hogy ugyanezek az alkalmazottak ne nézzék a titkárnővel folytatott levelezésedet - ez tele van ...
| Hétfő | kedd | Házasodik | Cs | Péntek | Ült | Nap |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 | |||||
HIRDETŐ
Szokás szerint a projekteket online reklámozzák. Általában a SEO szövegírók igyekeznek a lehető legnagyobb mértékben beleduzzadni a szövegbe. keresési lekérdezések, behajlítva őket
Ha megérti azokat a főbb árnyalatokat, amelyek megkülönböztetik a hamis iPhone-okat a valódiaktól, akkor pénzt takaríthat meg, és elkerülheti a hanyag eladóktól való vásárlást. Miért
