Rilevamento e protezione di un computer in una rete. Protezione della rete. Programma per proteggere le reti di computer. O Cattivo: vulnerabilità delle risorse amministrative condivise

Rilevamento e protezione di un computer in una rete. Protezione della rete. Programma per proteggere le reti di computer. O Cattivo: vulnerabilità delle risorse amministrative condivise

Alcune persone trascorrono tutta la vita lavorando per migliorare la sicurezza di aziende e privati. E trascorrono una parte considerevole del tempo riparando i buchi di Windows. Il sistema Windows è il canale principale per malware, che creano zombie (robot), come discusso nel capitolo 5, e questa è solo la punta dell'iceberg. Per essere onesti, la colpa è in gran parte dell'enorme popolarità di Windows, ma ci sono così tanti buchi in Windows 7 che non è chiaro se qualcuno in Microsoft ne sia infastidito.

Esistono tre tipi principali di minacce. Innanzitutto, un attacco appositamente mirato da parte di una persona che tenta di hackerare il tuo computer tramite una connessione di rete. In secondo luogo, un attacco da parte di una persona seduta alla tastiera del computer. Infine, potrebbe esserci un attacco automatico effettuato da un worm o da un altro tipo di malware.

Windows 7, e anche le versioni precedenti di Vista, includono il Controllo dell'account utente, che dovrebbe aiutare ad arginare l'ondata di installazioni software involontarie e indesiderate - ulteriori informazioni su questo, così come password e crittografia

dice nel Capitolo 7. Tuttavia, la maggior parte della spazzatura arriva attraverso la connessione di rete, quindi è da lì che dovresti iniziare a proteggere il tuo computer. Il sistema operativo Windows 7 include diverse funzionalità che consentono di fornire un certo livello di sicurezza senza dover acquistare software o hardware aggiuntivi.

Sfortunatamente, non molte di queste funzionalità sono abilitate per impostazione predefinita. I seguenti fattori sono scappatoie che non dovrebbero essere ignorate.

O Male: vulnerabilità del protocollo UPnP

Un'altra funzionalità chiamata UPnP (Universal Plug-and-Play) può aprire ulteriori vulnerabilità nella tua rete. Un nome più appropriato per UPnP sarebbe Network Plug and Play, poiché questa funzionalità riguarda solo i dispositivi di rete. UPnP è un insieme di standard che consente ai dispositivi connessi di recente di fare pubblicità

sulla tua presenza Server UPnP sulla tua rete, più o meno allo stesso modo in cui i dispositivi USB annunciano la loro presenza a un sistema di proprietà di Windows

Esternamente, la funzione UPnP sembra buona. Ma in pratica, la mancanza di autenticazione nello standard UPnP e la facilità con cui il malware può utilizzare UPnP per creare buchi nel firewall e creare regole di port forwarding nel router non sono altro che problemi. UPnP è attualmente utilizzato per alcuni giochi, la maggior parte dei media extender, la messaggistica istantanea, l'assistenza remota, ecc., il che spiega perché è abilitato per impostazione predefinita in Windows 7 e molti altri. dispositivi di rete. Ma se non ne hai bisogno, è meglio spegnerlo.

Se selezioni Rete pubblica quando ti connetti per la prima volta a nuova rete o tramite il Centro connessioni di rete e condivisione

^j Centro condivisione), quindi UPnP è disabilitato per impostazione predefinita.

Per disabilitare UPnP, aprire la finestra 01usb (services.msc). Trova il servizio Servizio rilevamento SSDP nell'elenco e fai clic sul pulsante della casella Interrompi servizio sulla barra degli strumenti. Allo stesso tempo, anche l'host del dispositivo UPnP dovrebbe arrestarsi. Se non lo è, smetti anche quello. Ora testa tutte le applicazioni o i dispositivi che sospetti possano utilizzare il rilevamento della rete, come server multimediali o estensori. Se non disponi di nessuno di questi, puoi disabilitare del tutto UPnP facendo doppio clic su ciascun servizio e selezionando Disabilitato dall'elenco Tipo di avvio. Altrimenti, al successivo avvio di Windows, questi servizi verranno riavviati.

Ora apri la pagina di configurazione del router (descritta in precedenza in questo capitolo) e disabilita il servizio UPnP. Ciò è necessario per impedire alle applicazioni di stabilire nuove regole di port forwarding. Se il tuo router non ti consente di modificare le impostazioni UPnP, considera l'aggiornamento a qualcosa di più nuova versione firmware, come descritto nella sezione "Aggiornamento a una versione più recente del router".

O negativo: vulnerabilità delle porte aperte

Cerca le vulnerabilità nel tuo sistema utilizzando la scansione delle porte aperte, come descritto più avanti in questo capitolo.

O Buono: spazio di lavoro remoto, ma solo quando necessario

La funzionalità desktop remoto descritta nella sezione " Telecomando computer" è abilitato per impostazione predefinita in Windows 7 Professional e Ultimate. A meno che tu non abbia specificamente bisogno di questa funzione, dovresti disattivarla. Nel Pannello di controllo, aprire Sistema e quindi selezionare il collegamento Impostazioni di accesso remoto. Sulla pagina Accesso remoto Nella finestra Proprietà del sistema, deseleziona la casella di controllo Consenti connessioni di Assistenza remota a questo computer e seleziona la casella di controllo Non consentire connessioni a questo computer di seguito.

O Ok: password dell'account

In teoria accesso generale ai file non funziona per gli account che non dispongono di una password, che è l'impostazione predefinita quando si crea un nuovo account utente. Ma un account senza password non fornisce alcuna protezione contro chiunque sia seduto alla tastiera e, se si tratta di un account utente con diritti di amministratore, la porta è aperta a qualsiasi altro utente di questo computer. Fare riferimento al Capitolo 7 per una discussione sugli account utente e sulle password.

Informazioni sui gruppi home e sulla condivisione di file

Ogni cartella condivisa è potenzialmente una porta aperta. Pertanto, l'accesso aperto dovrebbe essere fornito solo alle cartelle realmente necessarie. Tieni presente che le autorizzazioni per i file e le autorizzazioni di condivisione sono cose diverse in Windows 7. Questo è discusso più dettagliatamente nel capitolo 7.

O negativo: vulnerabilità della procedura guidata di condivisione

Uno dei motivi principali per creare un gruppo di lavoro è condividere file e stampanti. Ma è prudente condividere solo le cartelle che devono essere condivise e disattivare la condivisione per tutte le altre. Una funzionalità chiamata Usa condivisione guidata, descritta nel Capitolo 2 e discussa in dettaglio nel Capitolo 7, non ti dà il controllo completo su chi può visualizzare e modificare i tuoi file.

O Cattivo: vulnerabilità delle risorse amministrative condivise

La funzionalità di condivisione, discussa nel Capitolo 7, dà accesso a tutte le unità del computer, indipendentemente dal fatto che si condividano cartelle su tali unità.

O bene: firewall

Configura il firewall discusso di seguito per controllare rigorosamente il flusso di rete da e verso il tuo computer, ma non fare affidamento sul software firewall integrato di Windows per fornire una protezione sufficiente.

R Buono: il centro di supporto è buono, ma non dovresti fare affidamento interamente su di esso. Il centro di supporto mostrato in Fig. 6.28 è la pagina centrale del Pannello di controllo utilizzata per gestire Windows Firewall, Windows Defender, Controllo account utente e gli aggiornamenti automatici. Controlla anche lui programmi antivirus, ma, puramente per ragioni politiche, Windows 7 non dispone di programmi antivirus propri.

La cosa più importante è che Action Center è solo un visualizzatore. Se vede che una determinata misura di protezione è abilitata, indipendentemente dal fatto che sia attivamente in esecuzione, Action Center sarà felice e non riceverai alcuna notifica.

Stanco dei messaggi del Centro di supporto? Fai clic sul collegamento Modifica impostazioni del Centro operativo sul lato sinistro e scegli quali problemi vale la pena segnalare e quali puoi ignorare. Puoi disabilitare tutti i messaggi dal Centro operativo disattivando tutte le caselle di controllo in questa pagina, ma per disattivare completamente l'intera funzionalità, devi aprire la finestra Servizi (services.msc) e disattivare il Centro operativo. Ciò non disabiliterà alcun firewall, antivirus o aggiornamento automatico che potresti utilizzare, ma solo gli strumenti di monitoraggio di questi strumenti e i messaggi che li accompagnano.

Non puoi modificare le impostazioni del firewall o dell'antimalware qui. Per fare ciò, è necessario tornare al Pannello di controllo e aprire lì il programma appropriato.

Il problema dell'epidemia di worm di rete è rilevante per chiunque rete locale. Prima o poi può verificarsi una situazione in cui un worm di rete o di posta elettronica penetra nella LAN e non viene rilevato dall'antivirus utilizzato. Un virus di rete si diffonde su una LAN attraverso le vulnerabilità del sistema operativo che non sono state chiuse al momento dell'infezione o attraverso risorse condivise scrivibili. Virus della posta, come suggerisce il nome, viene distribuito via email, a condizione che non venga bloccato dagli antivirus del client e dall'antivirus attivo server email. Inoltre, un'epidemia su una LAN può essere organizzata dall'interno a seguito delle attività di un insider. In questo articolo esamineremo metodi pratici per l'analisi operativa dei computer LAN utilizzando vari strumenti, in particolare utilizzando l'utilità AVZ dell'autore.

Formulazione del problema

Se viene rilevata un'epidemia o qualche attività anomala sulla rete, l'amministratore deve risolvere rapidamente almeno tre compiti:

  • rilevare i PC infetti sulla rete;
  • trovare campioni di malware da inviare a un laboratorio antivirus e sviluppare una strategia di contrasto;
  • adottare misure per bloccare la diffusione del virus sulla LAN e distruggerlo sui computer infetti.

Nel caso dell'attività insider, le fasi principali dell'analisi sono identiche e molto spesso si riducono alla necessità di rilevare software di terze parti installato dall'insider sui computer della LAN. Esempi di tale software includono utilità di amministrazione remota, keylogger e vari segnalibri Trojan.

Consideriamo più in dettaglio la soluzione a ciascuno dei compiti.

Cerca i PC infetti

Per cercare i PC infetti in rete si possono utilizzare almeno tre metodi:

  • analisi automatica del PC remoto: acquisizione di informazioni sui processi in esecuzione, librerie e driver caricati, ricerca di modelli caratteristici, ad esempio processi o file con nomi di battesimo;
  • Analisi del traffico del PC tramite uno sniffer - questo metodo molto efficace per catturare spam bot, e-mail e worm di rete, tuttavia, la principale difficoltà nell'utilizzo di uno sniffer è dovuta al fatto che una moderna LAN è costruita sulla base di switch e, di conseguenza, l'amministratore non può monitorare il traffico di l'intera rete. Il problema può essere risolto in due modi: eseguendo uno sniffer sul router (che permette di monitorare lo scambio di dati del PC con Internet) e utilizzando le funzioni di monitoraggio degli switch (molti interruttori moderni consentire di assegnare una porta di monitoraggio su cui duplicare il traffico di una o più porte dello switch specificate dall'amministratore);
  • studio del carico di rete: in questo caso è molto comodo utilizzare gli switch intelligenti, che consentono non solo di valutare il carico, ma anche di disabilitare da remoto le porte specificate dall'amministratore. Questa operazione è molto semplificata se l'amministratore dispone di una mappa di rete, che contiene informazioni su quali PC sono collegati alle corrispondenti porte dello switch e dove si trovano;
  • utilizzo di honeypot: si consiglia vivamente di creare diversi honeypot sulla rete locale che consentiranno all'amministratore di rilevare tempestivamente un'epidemia.

Analisi automatica dei PC in rete

L’analisi automatica del PC può essere ridotta a tre fasi principali:

  • esecuzione di una scansione completa del PC: processi in esecuzione, librerie e driver caricati, avvio automatico;
  • condurre ricerche operative, ad esempio cercare processi o file caratteristici;
  • quarantena di oggetti secondo determinati criteri.

Tutti i problemi di cui sopra possono essere risolti utilizzando l'utilità AVZ dell'autore, progettata per essere avviata da una cartella di rete sul server e supporta un linguaggio di scripting per l'ispezione automatica del PC. Per eseguire AVZ sui computer degli utenti è necessario:

  1. Posiziona AVZ in una cartella di rete sul server aperta per la lettura.
  2. Crea sottodirectory LOG e Qurantine in questa cartella e consenti agli utenti di scrivervi.
  3. Avvia AVZ sui computer LAN utilizzando l'utilità rexec o lo script di accesso.

L'avvio di AVZ nel passaggio 3 dovrebbe essere eseguito con i seguenti parametri:

\\mio_server\AVZ\avz.exe Priorità=-1 nw=Y nq=Y HiddenMode=2 Script=\\mio_server\AVZ\mio_script.txt

In questo caso, il parametro Priority=-1 abbassa la priorità del processo AVZ, i parametri nw=Y e nq=Y commutano la quarantena in modalità “esecuzione in rete” (in questo caso, viene creata una sottodirectory nella cartella di quarantena per ogni computer, il cui nome corrisponde al nome di rete del PC), HiddenMode=2 indica di negare all'utente l'accesso alla GUI e ai controlli AVZ e, infine, il parametro Script più importante specifica il nome completo dello script con il comandi che AVZ eseguirà sul computer dell'utente. Il linguaggio di scripting AVZ è abbastanza semplice da usare e si concentra esclusivamente sulla risoluzione dei problemi di esame e trattamento informatico. Per semplificare il processo di scrittura degli script, è possibile utilizzare un editor di script specializzato, che contiene un prompt online, una procedura guidata per la creazione di script standard e strumenti per verificare la correttezza dello script scritto senza eseguirlo (Fig. 1).

Riso. 1. Editor di script AVZ

Diamo un'occhiata a tre script tipici che potrebbero essere utili nella lotta contro l'epidemia. Innanzitutto, abbiamo bisogno di uno script di ricerca per PC. Il compito dello script è esaminare il sistema e creare un protocollo con i risultati in una determinata cartella di rete. Lo script è simile al seguente:

AttivaWatchDog(60 * 10);

// Avvia la scansione e l'analisi

// Esplorazione del sistema

EseguiSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Spegni AVZ

Durante l'esecuzione di questo script, nella cartella LOG verranno creati file HTML con i risultati dello studio dei computer di rete (supponendo che sia creato nella directory AVZ sul server e sia disponibile per la scrittura da parte degli utenti) e per garantire unicità, il nome del computer esaminato è incluso nel nome del protocollo. All'inizio dello script è presente un comando per abilitare un timer watchdog, che terminerà forzatamente il processo AVZ dopo 10 minuti se si verificano errori durante l'esecuzione dello script.

Il protocollo AVZ è conveniente per lo studio manuale, ma è di scarsa utilità per l'analisi automatizzata. Inoltre, l'amministratore spesso conosce il nome del file malware e deve solo verificarne la presenza o l'assenza questa vita e, se disponibile, mettere in quarantena per l'analisi. In questo caso è possibile utilizzare il seguente script:

// Abilita il timer del watchdog per 10 minuti

AttivaWatchDog(60 * 10);

// Cerca malware per nome

QuarantineFile('%WinDir%\smss.exe', 'Sospetto su LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Sospetto di LdPinch.gen');

//Spegni AVZ

Questo script utilizza la funzione QuarantineFile per tentare di mettere in quarantena i file specificati. L'amministratore può solo analizzare il contenuto della quarantena (cartella Quarantena\nome_rete_PC\data_quarantena\) per verificare la presenza di file in quarantena. Tieni presente che la funzione QuarantineFile blocca automaticamente la quarantena dei file identificati dal database sicuro AVZ o dal database delle firme digitali Microsoft. Per applicazione pratica questo script può essere migliorato: organizza il caricamento dei nomi dei file da un file di testo esterno, controlla i file trovati rispetto ai database AVZ e genera un protocollo di testo con i risultati del lavoro:

// Cerca un file con il nome specificato

funzione CheckByName(Fname: stringa): booleano;

Risultato:= FileEsiste(NomeF) ;

se Risultato, allora inizia

caso CheckFile(FName) di

1: S:= ‘, l’accesso al file è bloccato’;

1: S:= ', rilevato come malware ('+GetLastCheckTxt+')';

2: S:= ', sospettato dallo scanner dei file ('+GetLastCheckTxt+')';

3: uscita; // I file sicuri vengono ignorati

AddToLog('Il file '+NormalFileName(FName)+' ha un nome sospetto'+S);

//Aggiunge il file specificato alla quarantena

File in quarantena(FName,'file sospetto'+S);

SuspNames: TStringList; // Elenco dei nomi dei file sospetti

// Controllo dei file rispetto al database aggiornato

se FileExists(GetAVZDirectory + 'files.db'), inizia

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Database dei nomi caricato - numero di record = '+inttostr(SuspNames.Count));

// Ciclo di ricerca

per i:= da 0 a SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Errore durante il caricamento dell'elenco dei nomi dei file');

SalvaLog(GetAVZDirectory+’\LOG\’+

OttieniNomeComputer+'_files.txt');

Affinché questo script funzioni è necessario creare le directory Quarantine e LOG nella cartella AVZ, accessibili agli utenti in scrittura, nonché file di testo files.db: ogni riga di questo file conterrà il nome del file sospetto. I nomi dei file possono includere macro, le più utili delle quali sono %WinDir% (percorso di Cartella Windows) e %SystemRoot% (percorso della cartella System32). Un'altra direzione di analisi potrebbe essere l'esame automatico dell'elenco dei processi in esecuzione sui computer degli utenti. Le informazioni sui processi in esecuzione si trovano nel protocollo di ricerca del sistema, ma per l'analisi automatica è più conveniente utilizzare il seguente frammento di script:

procedura ScanProcess;

S:=''; S1:='';

//Aggiornamento dell'elenco dei processi

Aggiornaelencoprocessi;

AddToLog('Numero di processi = '+IntToStr(GetProcessCount));

// Ciclo di analisi della lista ricevuta

for i:= 0 to GetProcessCount - 1 inizia

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// Cerca il processo per nome

se pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 allora

S:= S + OttieniNomeProcesso(i)+’,’;

se S<>''Poi

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Lo studio dei processi in questo script viene eseguito come una procedura ScanProcess separata, quindi è facile inserirlo nel proprio script. La procedura ScanProcess crea due elenchi di processi: lista completa processi (per analisi successive) e un elenco di processi che, dal punto di vista dell’amministratore, sono considerati pericolosi. In questo caso, a scopo dimostrativo, viene considerato pericoloso un processo denominato “trojan.exe”. Le informazioni sui processi pericolosi vengono aggiunte al file di testo _alarm.txt, i dati su tutti i processi vengono aggiunti al file _all_process.txt. È facile vedere che è possibile complicare lo script aggiungendovi, ad esempio, controllando i file di processo rispetto a un database di file sicuri o controllando i nomi file eseguibili processi su base esterna. Una procedura simile viene utilizzata negli script AVZ utilizzati in Smolenskenergo: l'amministratore studia periodicamente le informazioni raccolte e modifica lo script, aggiungendovi il nome dei processi di programmi vietati dalla politica di sicurezza, ad esempio ICQ e MailRu.Agent, che consente di verificare rapidamente la presenza di software vietati sui PC studiati. Un altro utilizzo dell'elenco dei processi è quello di trovare i PC a cui manca un processo richiesto, ad esempio un antivirus.

In conclusione, diamo un'occhiata all'ultimo degli script di analisi utili: uno script per la quarantena automatica di tutti i file che non vengono riconosciuti dal database sicuro AVZ e dal database delle firme digitali Microsoft:

// Esegue la quarantena automatica

EseguiAutoQuarantena;

La quarantena automatica esamina i processi in esecuzione e le librerie, i servizi e i driver caricati, circa 45 metodi di avvio automatico, moduli di estensione del browser e di Explorer, gestori SPI/LSP, lavori di pianificazione, gestori del sistema di stampa, ecc. Una caratteristica speciale della quarantena è che i file vengono aggiunti ad essa con il controllo della ripetizione, quindi la funzione di quarantena automatica può essere richiamata ripetutamente.

Il vantaggio della quarantena automatica è che con il suo aiuto l'amministratore può raccogliere rapidamente file potenzialmente sospetti da tutti i computer della rete per esaminarli. La forma più semplice (ma molto efficace nella pratica) per studiare i file può essere il controllo della quarantena risultante con diversi antivirus popolari in modalità euristica massima. Va notato che l'avvio simultaneo della quarantena automatica su diverse centinaia di computer può creare un carico elevato sulla rete e sul file server.

Ricerca sul traffico

La ricerca sul traffico può essere effettuata in tre modi:

  • manualmente utilizzando gli sniffer;
  • in modalità semiautomatica: in questo caso lo sniffer raccoglie informazioni e quindi i suoi protocolli vengono elaborati manualmente o da alcuni software;
  • automaticamente utilizzando sistemi di rilevamento delle intrusioni (IDS) come Snort (http://www.snort.org/) o i loro analoghi software o hardware. Nel caso più semplice, un IDS è costituito da uno sniffer e da un sistema che analizza le informazioni raccolte dallo sniffer.

Un sistema di rilevamento delle intrusioni è uno strumento ottimale perché consente di creare insiemi di regole per rilevare anomalie nell'attività di rete. Il suo secondo vantaggio è il seguente: gli IDS più moderni consentono di posizionare agenti di monitoraggio del traffico su più nodi di rete: gli agenti raccolgono informazioni e le trasmettono. In caso di utilizzo di uno sniffer, è molto comodo utilizzare lo sniffer tcpdump della console UNIX. Ad esempio, per monitorare l'attività sulla porta 25 ( Protocollo SMTP) basta eseguire lo sniffer con riga di comando tipo:

tcpdump -i em0 -l porta tcp 25 > smtp_log.txt

In questo caso i pacchetti vengono catturati tramite l'interfaccia em0; le informazioni sui pacchetti catturati verranno archiviate nel file smtp_log.txt. Il protocollo è relativamente semplice da analizzare manualmente; in questo esempio, l'analisi dell'attività sulla porta 25 consente di identificare i PC con bot spam attivi.

Applicazione di Honeypot

Un computer obsoleto le cui prestazioni non ne consentono l'utilizzo per la risoluzione può essere utilizzato come trappola (Honeypot). compiti di produzione. Ad esempio, un Pentium Pro da 64 MB viene utilizzato con successo come trappola nella rete dell'autore memoria ad accesso casuale. Su questo PC dovresti installare il sistema operativo più comune sulla LAN e selezionare una delle strategie:

  • Installa un sistema operativo senza pacchetti di aggiornamento: sarà un indicatore della comparsa di un worm di rete attivo sulla rete, sfruttando una qualsiasi delle vulnerabilità note di questo sistema operativo;
  • installa un sistema operativo con gli aggiornamenti installati su altri PC della rete: l'Honeypot sarà analogo a qualsiasi workstation.

Ogni strategia ha i suoi pro e i suoi contro; L'autore utilizza principalmente l'opzione senza aggiornamenti. Dopo aver creato Honeypot, dovresti creare un'immagine disco per recupero rapido sistema dopo che è stato danneggiato da malware. In alternativa all'immagine del disco, è possibile utilizzare sistemi di rollback delle modifiche come ShadowUser e i suoi analoghi. Dopo aver costruito un Honeypot, dovresti tenere presente che un certo numero di worm di rete cercano i computer infetti scansionando l'intervallo IP, calcolato dall'indirizzo IP del PC infetto (strategie tipiche comuni sono X.X.X.*, X.X.X+1.*, X.X.X-1.*), - quindi, idealmente, dovrebbe esserci un Honeypot su ciascuna sottorete. Come elementi di preparazione aggiuntivi, dovresti assolutamente aprire l'accesso a diverse cartelle sul sistema Honeypot e in queste cartelle dovresti inserire diversi file di esempio di vari formati, il set minimo è EXE, JPG, MP3.

Naturalmente, avendo creato un Honeypot, l'amministratore dovrà monitorarne il funzionamento e rispondere ad eventuali anomalie rilevate sullo stesso questo computer. Gli auditor possono essere utilizzati come mezzo per registrare le modifiche; uno sniffer può essere utilizzato per registrare l'attività di rete. Un punto importanteè che la maggior parte degli sniffer offre la possibilità di configurare l'invio di un avviso all'amministratore se viene rilevata un'attività di rete specifica. Ad esempio, nello sniffer CommView, una regola implica specificare una "formula" che descrive un pacchetto di rete o specificare criteri quantitativi (invio di più di un numero specificato di pacchetti o byte al secondo, invio di pacchetti a indirizzi IP o MAC non identificati) - Fico. 2.

Riso. 2. Creare e configurare un avviso di attività di rete

Come avvertimento, è più conveniente utilizzare i messaggi di posta elettronica inviati a Cassetta postale amministratore: in questo caso puoi ricevere avvisi tempestivi da tutte le trappole nella rete. Inoltre, se lo sniffer consente di creare più avvisi, è opportuno differenziare l'attività di rete evidenziando il lavoro con per e-mail, FTP/HTTP, TFTP, Telnet, MS Net, aumento del traffico di oltre 20-30 pacchetti al secondo per qualsiasi protocollo (Fig. 3).

Riso. 3. Lettera di notifica inviata
se vengono rilevati pacchetti che corrispondono ai criteri specificati

Quando si organizza una trappola, è una buona idea posizionare su di essa diversi servizi di rete vulnerabili utilizzati nella rete o installare un emulatore per essi. La più semplice (e gratuita) è l'utility proprietaria APS, che funziona senza installazione. Il principio di funzionamento di APS si riduce all'ascolto di molte porte TCP e UDP descritte nel suo database e all'emissione di una risposta predeterminata o generata casualmente al momento della connessione (Fig. 4).

Riso. 4. Finestra principale dell'utilità APS

La figura mostra uno screenshot acquisito durante una reale attivazione APS sulla LAN Smolenskenergo. Come si può vedere nella figura, è stato registrato un tentativo di connessione di uno dei computer client sulla porta 21. L'analisi dei protocolli ha mostrato che i tentativi sono periodici e vengono registrati da diverse trappole sulla rete, il che ci permette di concludere che il la rete viene scansionata per cercare e hackerare i server FTP indovinando le password. APS conserva i registri e può inviare messaggi agli amministratori con rapporti sulle connessioni registrate alle porte monitorate, il che è utile per rilevare rapidamente le scansioni di rete.

Quando si crea un Honeypot, è anche utile familiarizzare con le risorse online sull'argomento, in particolare http://www.honeynet.org/. Nella sezione Strumenti di questo sito (http://www.honeynet.org/tools/index.html) è possibile trovare una serie di strumenti per la registrazione e l'analisi degli attacchi.

Rimozione malware remota

Idealmente, dopo aver rilevato i campioni di malware, l'amministratore li invia al laboratorio antivirus, dove vengono prontamente analizzati dagli analisti e le firme corrispondenti vengono aggiunte al database antivirus. Queste firme attraverso aggiornamento automatico accedere al PC dell'utente e l'antivirus rimuove automaticamente il malware senza l'intervento dell'amministratore. Tuttavia questa catena non funziona sempre come previsto; in particolare sono possibili i seguenti motivi di fallimento:

  • per una serie di motivi indipendenti dall'amministratore di rete, le immagini potrebbero non raggiungere il laboratorio antivirus;
  • efficienza insufficiente del laboratorio antivirus: idealmente, non sono necessarie più di 1-2 ore per studiare i campioni e inserirli nel database, il che significa che è possibile ottenere database di firme aggiornati entro un giorno lavorativo. Tuttavia, non tutti i laboratori antivirus lavorano così velocemente e puoi attendere diversi giorni per gli aggiornamenti (in rari casi, anche settimane);
  • elevate prestazioni dell'antivirus: una serie di programmi dannosi, dopo l'attivazione, distruggono gli antivirus o ne interrompono in altro modo il funzionamento. Gli esempi classici includono la creazione di voci nel file host che bloccano lavoro normale sistemi di aggiornamento automatico antivirus, cancellazione di processi, servizi e driver antivirus, danni alle loro impostazioni, ecc.

Pertanto, nelle situazioni di cui sopra, dovrai gestire il malware manualmente. Nella maggior parte dei casi ciò non è difficile, poiché i risultati dell'esame del computer rivelano i PC infetti nonché i nomi completi dei file malware. Non resta che rimuoverli da remoto. Se il programma dannoso non è protetto dall'eliminazione, può essere distrutto utilizzando il seguente script AVZ:

// Cancellazione di un file

EliminaFile('nomefile');

EseguiSysClean;

Questo script elimina un file specificato (o più file, poiché in uno script può esserci un numero illimitato di comandi EliminaFile) e quindi pulisce automaticamente il registro. In casi più complessi, il malware può proteggersi dall'eliminazione (ad esempio, ricreando i propri file e le chiavi di registro) o camuffarsi utilizzando la tecnologia rootkit. In questo caso, lo script diventa più complicato e sarà simile a questo:

// Anti-rootkit

SearchRootkit(vero, vero);

// Controlla AVZGuard

ImpostaAVZGuardStatus(vero);

// Cancellazione di un file

EliminaFile('nomefile');

// Abilita la registrazione BootCleaner

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importa nell'attività BootCleaner un elenco di file eliminati dallo script

BC_ImportDeletedList;

// Attiva BootCleaner

// Pulizia euristica del sistema

EseguiSysClean;

Riavvia Windows(true);

Questo script include la lotta attiva ai rootkit, l'uso del sistema AVZGuard (si tratta di un blocco dell'attività del malware) e del sistema BootCleaner. BootCleaner è un driver che rimuove gli oggetti specificati da KernelMode durante un riavvio, in una fase iniziale dell'avvio del sistema. La pratica dimostra che uno script di questo tipo è in grado di distruggere la stragrande maggioranza dei malware esistenti. L'eccezione è il malware che cambia i nomi dei suoi file eseguibili ad ogni riavvio: in questo caso, i file scoperti durante la scansione del sistema possono essere rinominati. In questo caso, dovrai disinfettare manualmente il tuo computer o creare le tue firme malware (un esempio di script che implementa una ricerca di firme è descritto nella guida di AVZ).

Conclusione

In questo articolo abbiamo esaminato alcune tecniche pratiche per combattere manualmente un'epidemia LAN, senza l'uso di prodotti antivirus. La maggior parte delle tecniche descritte può essere utilizzata anche per cercare PC estranei e segnalibri Trojan sui computer degli utenti. In caso di difficoltà nel trovare malware o creare script di trattamento, l'amministratore può utilizzare la sezione "Guida" del forum http://virusinfo.info o la sezione "Lotta ai virus" del forum http://forum.kaspersky.com /index.php?showforum= 18. Lo studio dei protocolli e l'assistenza al trattamento vengono effettuati su entrambi i forum gratuitamente, l'analisi del PC viene eseguita secondo i protocolli AVZ e nella maggior parte dei casi il trattamento si riduce all'esecuzione di uno script AVZ sui PC infetti, compilato da specialisti esperti di questi forum .

Costretti ad attendere la creazione di un file fisico sul computer dell'utente, la protezione della rete inizia ad analizzare i flussi di dati in ingresso che entrano nel computer dell'utente attraverso la rete e blocca le minacce prima che entrino nel sistema.

Le principali aree di protezione della rete fornite dalle tecnologie Symantec sono:

Download guidati, attacchi web;
- Attacchi di “ingegneria sociale”: FakeAV (falsi antivirus) e codec;
- Attacca attraverso mezzi di comunicazione sociale come Facebook;
- Rilevamento di malware, rootkit e sistemi infettati da bot;
- Protezione contro le minacce avanzate;
- Minacce zero-day;
- Protezione contro le vulnerabilità del software senza patch;
- Protezione da domini e indirizzi IP dannosi.

Tecnologie di protezione della rete

Il livello "Protezione della rete" comprende 3 diverse tecnologie.

Soluzione di prevenzione delle intrusioni di rete (IPS di rete)

La tecnologia Network IPS comprende ed esegue la scansione di oltre 200 protocolli diversi. Taglia in modo intelligente e accurato i file binari e protocollo di rete, cercando contemporaneamente segnali di traffico dannoso. Questa intelligenza consente una scansione della rete più accurata pur continuando a fornire protezione affidabile. Al suo “cuore” c’è un motore di blocco degli exploit che fornisce alle vulnerabilità aperte una protezione praticamente impenetrabile. Una caratteristica unica di Symantec IPS è che questo componente non richiede alcuna configurazione. Tutte le sue funzioni funzionano, come si suol dire, "fuori dagli schemi". Ogni prodotto consumer Norton e ogni prodotto Symantec Endpoint Protection versione 12.1 e successive dispone di questa tecnologia fondamentale abilitata per impostazione predefinita.

Protezione del browser

Questo motore di sicurezza si trova all'interno del browser. È in grado di rilevare le minacce più complesse che né gli antivirus tradizionali né i Network IPS sono in grado di rilevare. Al giorno d'oggi, molti attacchi di rete utilizzano tecniche di offuscamento per evitare il rilevamento. Poiché Protezione del browser viene eseguita all'interno del browser, è in grado di apprendere il codice che non è ancora nascosto (offuscato) durante l'esecuzione. Ciò consente di rilevare e bloccare un attacco se è stato mancato ai livelli inferiori di protezione del programma.

Protezione dai download non autorizzati (UXP)

Situata all'interno del livello di difesa della rete, l'ultima linea di difesa aiuta a coprire e mitigare gli effetti delle vulnerabilità sconosciute e senza patch, senza l'uso di firme. Ciò fornisce un ulteriore livello di protezione contro gli attacchi Zero Day.

Concentrarsi sui problemi

Lavorando insieme, le tecnologie di sicurezza della rete risolvono i seguenti problemi.

Download drive-by e kit di attacchi web

Utilizzando la tecnologia Network IPS, Browser Protection e UXP, le tecnologie di protezione della rete di Symantec bloccano i download Drive-by e impediscono sostanzialmente al malware di raggiungere il sistema dell'utente. Vengono praticati vari metodi preventivi che includono l'uso di queste stesse tecnologie, tra cui la tecnologia Generic Exploit Blocking e gli strumenti di rilevamento degli attacchi web. Uno strumento generale di rilevamento degli attacchi web analizza le caratteristiche di un attacco web comune, indipendentemente dalla vulnerabilità specifica presa di mira dall'attacco. Ciò consente di fornire una protezione aggiuntiva per vulnerabilità nuove e sconosciute. L’aspetto migliore di questo tipo di protezione è che se un file dannoso dovesse infettare “silenziosamente” un sistema, verrebbe comunque fermato e rimosso in modo proattivo dal sistema: questo è esattamente il comportamento che solitamente i prodotti antivirus tradizionali non riescono a rilevare. Ma Symantec continua a bloccare decine di milioni di varianti di malware che in genere non possono essere rilevate con altri mezzi.

Attacchi di ingegneria sociale

Poiché la tecnologia Symantec monitora il traffico della rete e del browser mentre viaggia, rileva attacchi di "ingegneria sociale" come FakeAV o codec falsi. Le tecnologie sono progettate per bloccare tali attacchi prima che appaiano sullo schermo dell'utente. La maggior parte delle altre soluzioni concorrenti non includono questa potente funzionalità.

Symantec blocca centinaia di milioni di questi tipi di attacchi con la tecnologia di protezione dalle minacce online.

Attacchi mirati alle applicazioni dei social media

Le applicazioni dei social media sono diventate recentemente molto popolari poiché consentono di condividere istantaneamente vari messaggi, video interessanti e informazioni con migliaia di amici e utenti. L’ampia distribuzione e il potenziale di tali programmi li rendono il bersaglio numero 1 per gli hacker. Alcuni trucchi comuni degli hacker includono la creazione di account falsi e l'invio di spam.

La tecnologia Symantec IPS può proteggere da questi tipi di metodi di inganno, spesso prevenendoli prima ancora che l'utente faccia clic su di essi. Symantec blocca URL, applicazioni e altre tecniche di frode fraudolente e contraffatte con la tecnologia di protezione dalle minacce online.

Rilevamento di malware, rootkit e sistemi infetti da bot

Non sarebbe bello sapere esattamente in quale rete si trova il computer infetto? Le soluzioni IPS di Symantec forniscono questa funzionalità, includendo anche il rilevamento e il ripristino delle minacce che potrebbero aver eluso altri livelli di protezione. Le soluzioni Symantec rilevano malware e bot che tentano di creare dialer automatici o scaricare "aggiornamenti" per aumentare la propria attività sul sistema. Ciò consente ai responsabili IT, che dispongono di un chiaro elenco di sistemi da esaminare, di avere la garanzia che la loro azienda sia sicura. Le minacce stealth polimorfiche e complesse che utilizzano tecniche rootkit come Tidserv, ZeroAccess, Koobface e Zbot possono essere fermate e rimosse utilizzando questo metodo.

Protezione contro le minacce offuscate

Gli attacchi web odierni utilizzano tecniche complesse per aumentare la complessità dei loro attacchi. Browser Protection di Symantec si trova all'interno del browser ed è in grado di rilevare minacce molto complesse che i metodi tradizionali spesso non sono in grado di rilevare.

Minacce zero-day e vulnerabilità senza patch

Una delle ultime aggiunte alla sicurezza aggiunte dall'azienda è un ulteriore livello di protezione contro le minacce zero-day e le vulnerabilità senza patch. Utilizzando la protezione senza firma, il programma intercetta le chiamate API di sistema e protegge dai download di malware. Questa tecnologia è chiamata Protezione dai download non autorizzati (UXP). È l'ultima linea di supporto all'interno dell'ecosistema di protezione dalle minacce di rete. Ciò consente al prodotto di "coprire" vulnerabilità sconosciute e senza patch senza utilizzare firme. Questa tecnologia è abilitata per impostazione predefinita ed è stata trovata in tutti i prodotti rilasciati dal debutto di Norton 2010.

Protezione contro le vulnerabilità del software senza patch

I programmi dannosi vengono spesso installati all'insaputa dell'utente, sfruttando le vulnerabilità del software. La sicurezza di rete Symantec fornisce un ulteriore livello di protezione chiamato Generic Exploit Blocking (GEB). Indipendentemente dal fatto che Ultimi aggiornamenti o no, GEB protegge "per lo più" le vulnerabilità sottostanti dallo sfruttamento. Vulnerabilità in Oracle Sun Java, Adobe Acrobata Lettore, Adobe Flash, Internet Explorer, i controlli ActiveX o QuickTime sono ormai onnipresenti. La protezione dagli exploit generici è stata creata tramite "reverse engineering" individuando come la vulnerabilità potrebbe essere sfruttata sulla rete, fornendo al tempo stesso una patch speciale per livello di rete. Un singolo GEB, o firma di vulnerabilità, può fornire protezione contro migliaia di varianti di malware, nuove e sconosciute.

IP dannosi e blocco dei domini

La protezione della rete di Symantec include anche la capacità di bloccare domini e indirizzi IP dannosi bloccando allo stesso tempo malware e traffico provenienti da siti dannosi noti. Attraverso l'analisi e l'aggiornamento rigorosi dei siti Web di STAR, Symantec fornisce protezione in tempo reale contro minacce in continua evoluzione.

Resistenza all'evasione migliorata

È stato aggiunto il supporto per codifiche aggiuntive per migliorare l'efficacia del rilevamento degli attacchi utilizzando tecniche di crittografia come base64 e gzip.

Rilevamento del controllo della rete per applicare le politiche di utilizzo e identificare la perdita di dati

Network IPS può essere utilizzato per identificare applicazioni e strumenti che potrebbero violare le politiche di utilizzo aziendali o per prevenire la fuga di dati attraverso la rete. È possibile rilevare, avvisare o prevenire traffico come IM, P2P, social media o altri tipi di traffico "interessanti".

Protocollo di comunicazione dell'intelligence STAR

La tecnologia di sicurezza della rete non funziona da sola. Il motore comunica con altri servizi di sicurezza utilizzando il protocollo STAR Intelligence Communication (STAR ​​​​ICB). Il motore Network IPS si connette al motore Symantec Sonar e quindi al motore Insight Reputation. Ciò consente di fornire una protezione più informativa e accurata.

Nel prossimo articolo esamineremo il livello dell'Analizzatore del Comportamento.

Basato su materiali di Symantec

Su ogni PC Windows deve essere installato un antivirus. Per molto tempo questa è stata considerata la regola d’oro, ma oggi gli esperti di sicurezza IT discutono sull’efficacia dei software di sicurezza. I critici sostengono che gli antivirus non sempre proteggono, e talvolta anche il contrario: a causa di un'implementazione incurante, possono creare lacune nella sicurezza del sistema. Gli sviluppatori di tali soluzioni contrastano questa opinione un numero impressionante di attacchi bloccati e i reparti marketing continuano a giurare sulla protezione completa fornita dai loro prodotti.

La verità sta da qualche parte nel mezzo. Gli antivirus non funzionano perfettamente, ma non tutti possono essere definiti inutili. Avvertono di una serie di minacce, ma non sono sufficienti per mantenere Windows quanto più protetto possibile. Per te come utente, questo significa quanto segue: puoi gettare l'antivirus nella spazzatura o fidarti ciecamente di esso. Ma in un modo o nell’altro si tratta solo di uno degli ostacoli (anche se di grandi dimensioni) nella strategia di sicurezza. Ti forniremo altri nove di questi “mattoni”.

Minaccia alla sicurezza: antivirus

> Cosa dicono i critici L'attuale controversia sugli scanner antivirus è stata scatenata dall'ex sviluppatore di Firefox Robert O'Callaghan. Lui sostiene: gli antivirus minacciano la sicurezza di Windows e dovrebbero essere rimossi. L'unica eccezione è Windows Defender di Microsoft.

> Cosa dicono gli sviluppatori Creatori di antivirus, inclusi Kaspersky Lab, come argomento, citano numeri impressionanti. Pertanto, nel 2016, il software di questo laboratorio ha registrato e impedito circa 760 milioni di attacchi Internet ai computer degli utenti.

> Cosa pensa CHIP Gli antivirus non devono essere considerati né una reliquia né una panacea. Sono solo un mattone nella costruzione della sicurezza. Ti consigliamo di utilizzare antivirus compatti. Ma non preoccupatevi troppo: Windows Defender va bene. Puoi anche utilizzare semplici scanner di terze parti.

Scegli l'antivirus giusto

Siamo, come prima, convinti che Windows sia impensabile senza protezione antivirus. Devi solo scegliere il prodotto giusto. Per gli utenti di Tens, questo potrebbe anche essere il Windows Defender integrato. Nonostante durante i nostri test non abbia mostrato il miglior grado di riconoscimento, è perfettamente integrato nel sistema e, soprattutto, senza problemi di sicurezza. Inoltre, Microsoft ha migliorato il suo prodotto Creators Update per Windows 10 e ne ha semplificato la gestione.

I pacchetti antivirus di altri sviluppatori hanno spesso un tasso di riconoscimento più elevato rispetto a Defender. Siamo per una soluzione compatta. Il leader della nostra valutazione su questo momentoè Kaspersky Sicurezza su Internet 2017. Coloro che possono rifiutare tali opzioni aggiuntive come Controllo dei genitori e il gestore delle password, dovrebbero rivolgere la loro attenzione a un'opzione più economica di Kaspersky Lab.

Segui gli aggiornamenti

Se dovessimo scegliere una sola misura per mantenere sicuro Windows, opteremmo sicuramente per gli aggiornamenti. In questo caso, ovviamente, parliamo principalmente di aggiornamenti per Windows, ma non solo. Anche il software installato, inclusi Office, Firefox e iTunes, dovrebbe essere aggiornato regolarmente. Su Windows, ottenere gli aggiornamenti di sistema è relativamente semplice. Sia nel "sette" che nel "dieci", le patch vengono installate automaticamente utilizzando le impostazioni predefinite.

Nel caso dei programmi, la situazione diventa più difficile, poiché non tutti sono così facili da aggiornare come Firefox e Chrome, che dispongono di una funzione di aggiornamento automatico integrata. L'utilità SUMo (Software Update Monitor) ti supporterà nella risoluzione di questa attività e ti informerà sulla disponibilità degli aggiornamenti. Un programma correlato, DUMo (Driver Update Monitor), farà lo stesso lavoro per i driver. Entrambi gli assistenti gratuiti ti informano però solo sulle nuove versioni: dovrai scaricarle e installarle tu stesso.

Configura un firewall

Il firewall integrato in Windows fa bene il suo lavoro e blocca in modo affidabile tutte le richieste in arrivo. Tuttavia è capace di fare di più: il suo potenziale non è limitato dalla configurazione predefinita: all programmi installati hanno il diritto di aprire porte nel firewall senza chiedere. L'utilità gratuita di controllo di Windows Firewall ti fornirà più funzionalità.

Avviatelo e nel menu “Profili” impostate il filtro su “Filtro medio”. Grazie a ciò il firewall controllerà anche il traffico in uscita secondo un determinato insieme di regole. Decidi tu stesso quali misure saranno incluse. Per fare ciò, nell'angolo in basso a sinistra della schermata del programma, fare clic sull'icona della nota. In questo modo puoi visualizzare le regole e concedere l'autorizzazione con un clic programma separato o bloccarlo.

Utilizzare una protezione speciale

Aggiornamenti, antivirus e firewall: ti sei già occupato di questa grande trinità di misure di sicurezza. È tempo ritocchi. Il problema con i programmi aggiuntivi per Windows è spesso che non sfruttano tutte le funzionalità di sicurezza offerte dal sistema. Un'utilità anti-exploit come EMET (Enhanced Mitigation Experience Toolkit) rafforza ulteriormente il software installato. Per fare ciò, fai clic su "Utilizza impostazioni consigliate" e lascia che il programma venga eseguito automaticamente.

Rafforzare la crittografia

Puoi migliorare significativamente la protezione dei dati personali crittografandoli. Anche se le tue informazioni cadono nelle mani sbagliate, un hacker non sarà in grado di rimuovere la buona codifica, almeno non subito. Nel professionale Versioni di Windows L'utilità BitLocker è già fornita, configurata tramite il Pannello di controllo.

VeraCrypt sarà un'alternativa per tutti gli utenti. Questo programma open source è il successore non ufficiale di TrueCrypt, la cui produzione è stata interrotta un paio di anni fa. Se stiamo parlando Solo per quanto riguarda la protezione delle informazioni personali, puoi creare un contenitore crittografato tramite la voce "Crea volume". Seleziona l'opzione "Crea un contenitore di file crittografati" e segui le istruzioni della procedura guidata. L'accesso alla cassaforte dei dati già pronta avviene tramite Windows Explorer, proprio come un normale disco.

Proteggi gli account utente

Molte vulnerabilità non vengono sfruttate dagli hacker semplicemente perché il lavoro sul computer viene eseguito con un account standard con diritti limitati. Quindi anche per le attività quotidiane dovresti configurarne uno come questo account. In Windows 7, ciò avviene tramite il Pannello di controllo e la voce "Aggiungi e rimuovi account utente". Nella “top ten”, clicca su “Impostazioni” e “Account”, quindi seleziona “Famiglia e altre persone”.

Attiva la VPN fuori casa

A casa dentro rete senza fili Il tuo livello di sicurezza è elevato perché controlli chi ha accesso alla rete locale e sei responsabile della crittografia e dei codici di accesso. Tutto è diverso nel caso degli hotspot, ad esempio,
negli alberghi. Qui il Wi-Fi è distribuito tra utenti di terze parti e non puoi avere alcuna influenza sulla sicurezza dell'accesso alla rete. Per protezione, ti consigliamo di utilizzare una VPN (Virtual Private Network). Se hai solo bisogno di navigare nei siti tramite un punto di accesso, la VPN integrata in ultima versione Browser dell'Opera. Installa il browser e in “Impostazioni” fai clic su “Sicurezza”. Nella sezione "VPN", seleziona la casella "Abilita VPN".

Interrompere le connessioni wireless inutilizzate


OK

Anche i dettagli possono decidere l’esito di una situazione. Se non utilizzi connessioni come Wi-Fi e Bluetooth, disattivale semplicemente per eliminare potenziali scappatoie. In Windows 10, il modo più semplice per farlo è tramite il Centro operativo. A questo scopo “Seven” offre la sezione “Connessioni di rete” nel Pannello di controllo.

Gestisci le password

Ciascuna password deve essere utilizzata una sola volta e deve contenere caratteri speciali, numeri, lettere maiuscole e minuscole. E anche il più lungo possibile, preferibilmente dieci o più caratteri. Oggi il principio della sicurezza delle password ha raggiunto i suoi limiti perché gli utenti devono ricordare troppe cose. Pertanto, ove possibile, tale protezione dovrebbe essere sostituita da altri metodi. Prendi ad esempio l'accesso a Windows: se disponi di una fotocamera che supporta Windows Hello, utilizza il riconoscimento facciale per accedere. Per altri codici, ti consigliamo di utilizzare gestori di password come KeePass, che dovrebbero essere protetti con una password principale complessa.

Proteggi la tua privacy nel browser

Esistono molti modi per proteggere la tua privacy online. L'estensione Impostazioni privacy è ideale per Firefox. Installalo e impostalo su "Privacy completa". Successivamente il browser non fornirà più alcuna informazione sul vostro comportamento su Internet.

Salvagente: backup

> I backup sono estremamente importanti Backup giustifica
te stesso non solo dopo l'infezione da virus. Funziona bene anche quando si verificano problemi con l'hardware. Il nostro consiglio: fate una copia di tutto Windows una volta, poi fate regolarmente il backup di tutti i dati importanti.

> Archiviazione completa di Windows Windows 10 ereditato dal “sette” il modulo “Archiviazione e ripristino”. Con esso creerai copia di backup sistemi. Puoi anche usare utilità speciali, ad esempio True Image o Macrium Reflect.

> La protezione dei file True Image e la versione a pagamento di Macrium Reflect possono creare copie determinati file e cartelle. Alternativa gratuita per l'archiviazione Informazioni importanti diventerà il programma Personal Backup.

FOTO: aziende manifatturiere; NicoElNino/Fotolia.com

Come puoi proteggere il tuo computer dall'accesso remoto? Come bloccare l'accesso a un computer tramite un browser?

Come proteggere il tuo computer dall'accesso remoto, di solito pensano quando qualcosa è già successo. Ma naturalmente, questa è la decisione sbagliata per una persona impegnata in almeno alcune delle proprie attività. Ed è consigliabile che tutti gli utenti limitino l'accesso al proprio computer agli estranei. E in questo articolo non discuteremo del metodo per impostare una password per accedere a un computer, ma esamineremo un'opzione su come negare l'accesso a un computer da una rete locale o da un altro computer se sono connessi alla stessa rete. Queste informazioni saranno particolarmente utili per i nuovi utenti di PC.

E così, dentro sistema operativo Windows ha una funzionalità chiamata "Accesso remoto". E se non è disabilitato, altri utenti potranno trarne vantaggio per ottenere il controllo del tuo computer. Anche se sei un manager e hai bisogno di monitorare i tuoi dipendenti, allora naturalmente hai bisogno dell'accesso al loro PC, ma devi chiudere il tuo in modo che questi stessi dipendenti non guardino la tua corrispondenza con la tua segretaria - questo è irto di... .

Marzo 2020
Lun W Mercoledì Gio Ven Sab Sole
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

PUBBLICITÀ

    Come di consueto vengono promossi progetti online. In genere, i copywriter SEO cercano di inserire quanto più possibile nel testo query di ricerca, inclinandoli a

    Comprendere le principali sfumature che distinguono gli iPhone falsi dai prodotti reali ti aiuterà a risparmiare denaro ed evitare di acquistare da venditori negligenti. Per quello



Popolare nella categoria:
Come creare una clip karaoke su un computer?
Come creare una clip karaoke su un computer?
Leggere
Per il gioco è necessaria l'app Origin, ma non è installata. FIFA 16 richiede Origin.
Per giocare è necessaria l'app Origin, ma FIFA non è installata...
Leggere
Registrazione di una pagina personale sul social network Facebook
Registrazione di una pagina personale sul social network Facebook
Leggere
Come eseguire una semplice scansione Nmap Nmap
Come eseguire una semplice scansione Nmap Nmap
Leggere

Articoli Recenti
Come ruotare un'immagine di qualche grado...
Leggere
Disattivazione della pubblicità nel browser Yandex Dove...
Leggere
Risoluzione dei problemi di connessione Wi-Fi su...
Leggere
Cambia password sul profilo Windows 10
Leggere
Istruzioni per la configurazione dei router wireless...
Leggere
Come scegliere un disco rigido e quale è meglio acquistare...
Leggere
Meizu per i manichini. Chiamate e rubrica....
Leggere
Scarica il programma PDFMaster
Leggere
Superiore