үй › Орнату және конфигурациялау › Желі арқылы компьютерді анықтау және қорғау. Желіні қорғау. Компьютерлік желілерді қорғауға арналған бағдарлама. O Нашар: ортақ әкімшілік ресурстардың осалдығы

Желі арқылы компьютерді анықтау және қорғау. Желіні қорғау. Компьютерлік желілерді қорғауға арналған бағдарлама. O Нашар: ортақ әкімшілік ресурстардың осалдығы

Кейбір адамдар бүкіл өмірін корпорациялар мен жеке тұлғалардың қауіпсіздігін жақсарту үшін жұмыс істейді. Және олар осы уақыттың едәуір бөлігін Windows жүйесіндегі тесіктерді жөндеуге жұмсайды. Windows жүйесі негізгі арна болып табылады зиянды бағдарлама, олар 5-тарауда талқыланған зомбилерді (роботтар) жасайды және бұл айсбергтің ұшы ғана. Әділдік үшін, Windows-тың жаппай танымалдылығына кінәлі, бірақ Windows 7 жүйесінде көптеген саңылаулар бар, сондықтан Microsoft корпорациясындағы кез келген адамды мазалағаны белгісіз.

Қауіптердің үш негізгі түрі бар. Біріншіден, сіздің компьютеріңізді желілік қосылым арқылы бұзуға тырысатын адамның арнайы мақсатты шабуылы. Екіншіден, компьютердің пернетақтасында отырған адамның шабуылы. Соңында, құрт немесе зиянды бағдарламаның басқа түрімен автоматты шабуыл жасалуы мүмкін.

Windows 7 және одан бұрынғы Vista жүйесінде пайдаланушы тіркелгісін басқару мүмкіндігі бар, ол күтпеген және қалаусыз бағдарламалық құрал орнатулардың толқынын тоқтатуға көмектеседі - бұл туралы толығырақ, сонымен қатар парольдер мен шифрлау

7-тарауда айтылған. Дегенмен, қалаусыз заттардың көпшілігі желі қосылымы арқылы келеді, сондықтан компьютерді қорғауды осы жерден бастау керек. Windows 7 операциялық жүйесі қосымша бағдарламалық құралды немесе аппараттық құралдарды сатып алмай-ақ белгілі бір қауіпсіздік деңгейін қамтамасыз етуге мүмкіндік беретін бірнеше мүмкіндіктерді қамтиды.

Өкінішке орай, бұл мүмкіндіктердің көпшілігі әдепкі бойынша қосылмаған. Келесі факторлар елемеуге болмайтын бос орындар болып табылады.

O Нашар: UPnP протоколының осалдығы

UPnP (Әмбебап Plug-and-Play) деп аталатын тағы бір мүмкіндік желідегі қосымша осалдықтарды аша алады. UPnP үшін неғұрлым қолайлы атау Network Plug and Play болады, себебі бұл мүмкіндік тек желілік құрылғылармен жұмыс істейді. UPnP - жақында қосылған құрылғыларды жарнамалауға мүмкіндік беретін стандарттар жиынтығы

сіздің қатысуыңыз туралы UPnP серверлері USB құрылғылары Windows жүйесіне тиесілі жүйеде бар екенін жариялайтындай, сіздің желіңізде

Сырттай UPnP функциясы жақсы көрінеді. Бірақ іс жүзінде UPnP стандартында аутентификацияның жоқтығы және зиянды бағдарламаның желіаралық қалқандағы тесіктерді тесу және маршрутизаторда портты қайта жіберу ережелерін жасау үшін UPnP пайдалануының оңайлығы қиындықтан басқа ештеңе емес. UPnP қазіргі уақытта кейбір ойындарда, медиа кеңейткіштердің көпшілігінде, жылдам хабар алмасуда, қашықтан көмек көрсетуде және т.б. үшін пайдаланылады, бұл оның Windows 7 және көптеген жүйелерінде әдепкі бойынша неліктен қосылғанын түсіндіреді. желілік құрылғылар. Бірақ қажет болмаса, оны өшірген дұрыс.

Алғаш қосылған кезде Жалпы желі таңдасаңыз жаңа желінемесе Желі және ортақ пайдалану орталығы арқылы

^ j Ортақ пайдалану орталығы), содан кейін UPnP әдепкі бойынша ажыратылады.

UPnP өшіру үшін 01usb (services.msc) терезесін ашыңыз. Тізімнен SSDP Discovery Service қызметін тауып, Құралдар тақтасындағы Қызметті тоқтату жолағы түймешігін басыңыз. Сонымен қатар, UPnP құрылғысының хосты да тоқтауы керек. Егер олай болмаса, оны да тоқтатыңыз. Енді медиа серверлер немесе кеңейткіштер сияқты желіні табу мүмкіндігін пайдаланып жатыр деп күдіктенетін кез келген қолданбаларды немесе құрылғыларды тексеріңіз. Егер сізде бұлардың ешқайсысы болмаса, әрбір қызметті екі рет басып, Іске қосу түрлері тізімінен Өшірулі опциясын таңдау арқылы UPnP қызметін толығымен өшіруге болады. Әйтпесе, Windows жүйесін келесі рет жүктегенде, бұл қызметтер қайта іске қосылады.

Енді маршрутизаторды конфигурациялау бетін ашыңыз (осы тарауда бұрын сипатталған) және UPnP қызметін өшіріңіз. Бұл қолданбалардың жаңа портты қайта жіберу ережелерін орнатуына жол бермеу үшін қажет. Маршрутизатор UPnP параметрлерін өзгертуге мүмкіндік бермесе, көбірек нұсқаға жаңартуды қарастырыңыз жаңа нұсқасы«Маршрутизатордың жаңарақ нұсқасына жаңарту» бөлімінде сипатталғандай микробағдарлама.

O Нашар: ашық порттардың осалдығы

Осы тарауда кейінірек сипатталғандай, ашық портты сканерлеу арқылы жүйеңіздегі осалдықтарды іздеңіз.

O Жақсы: қашықтағы жұмыс кеңістігі, бірақ қажет болғанда ғана

Қашықтағы жұмыс үстелінің мүмкіндігі « Қашықтықтан басқарукомпьютер» Windows 7 Professional және Ultimate жүйелерінде әдепкі бойынша қосылған. Бұл мүмкіндік сізге қажет болмаса, оны өшіру керек. Басқару тақтасында Жүйені ашып, Қашықтан қол жеткізу параметрлері сілтемесін таңдаңыз. Бетінде Қашықтан қол жеткізуЖүйе сипаттары терезесінде «Осы компьютерге қашықтан көмек қосылымдарына рұқсат ету» құсбелгісін өшіріп, төмендегі «Осы компьютерге қосылымдарға рұқсат бермеу» құсбелгісін қойыңыз.

O Жарайды: тіркелгі құпия сөзі

Теорияда жалпы қолжетімділікфайлдарға жаңа пайдаланушы тіркелгісін жасау кезінде әдепкі параметр болып табылатын құпия сөзі жоқ тіркелгілер үшін жұмыс істемейді. Бірақ құпия сөзсіз тіркелгі пернетақтада отырған кез келген адамға қарсы ешқандай қорғанысты қамтамасыз етпейді және егер ол әкімші құқығы бар пайдаланушы тіркелгісі болса, онда бұл компьютердің кез келген басқа пайдаланушысы үшін есік ашық. Пайдаланушы тіркелгілері мен құпия сөздерді талқылау үшін 7-тарауды қараңыз.

Үй топтары және файлдарды ортақ пайдалану туралы

Әрбір ортақ қалта ашық есік болуы мүмкін. Сондықтан ашық қол жетімділік тек шынымен қажет қалталарға берілуі керек. Windows 7 жүйесінде файл рұқсаттары мен ортақ пайдалану рұқсаттары әртүрлі екенін ескеріңіз. Бұл 7-тарауда толығырақ қарастырылады.

O Нашар: ортақ пайдалану шеберінің осалдығы

Жұмыс тобын құрудың негізгі себептерінің бірі файлдар мен принтерлерді ортақ пайдалану болып табылады. Бірақ ортақ пайдаланылуы қажет қалталарды ғана бөлісіп, қалғандары үшін ортақ пайдалануды өшірген жөн. 2-тарауда сипатталған және 7-тарауда егжей-тегжейлі талқыланған Ортақ пайдалану шеберін пайдалану деп аталатын мүмкіндік файлдарыңызды кім қарай алатынын және өзгерте алатынын толық бақылауға мүмкіндік бермейді.

O Нашар: ортақ әкімшілік ресурстардың осалдығы

7-тарауда талқыланған ортақ пайдалану мүмкіндігі сол дискілердегі қалталарды ортақ пайдалануыңызға қарамастан, компьютердегі барлық дискілерге кіруге мүмкіндік береді.

Жақсы: брандмауэр

Төменде талқыланған брандмауэрді компьютерге келетін және одан шығатын желі ағынын қатаң бақылау үшін конфигурациялаңыз, бірақ жеткілікті қорғанысты қамтамасыз ету үшін Windows жүйесінің кірістірілген брандмауэр бағдарламалық құралына сенбеңіз.

Жақсы: Қолдау орталығы жақсы, бірақ оған толығымен сенбеу керек Қолдау орталығы суретте көрсетілген. 6.28 - Windows брандмауэрін, Windows Defender, UserAccount басқару және автоматты жаңартуларды басқару үшін пайдаланылатын Басқару тақтасындағы орталық бет. Ол да бақылайды антивирустық бағдарламалар, бірақ тек саяси себептерге байланысты Windows 7-де өзінің антивирустық бағдарламалары жоқ.

Ең бастысы, Action Center тек көрермен. Белсенді жұмыс істеп тұрғанына қарамастан, берілген қорғау шарасы қосылғанын көрсе, Әрекет орталығы риза болады және сіз ешқандай хабарландыру алмайсыз.

Қолдау орталығының хабарламаларынан шаршадыңыз ба? Сол жақтағы «Әрекет орталығының параметрлерін өзгерту» сілтемесін басып, қандай мәселелер туралы есеп беруге тұрарлық және қайсысын елемеу керектігін таңдаңыз. Осы беттегі барлық құсбелгілерді өшіру арқылы Әрекеттер орталығындағы барлық хабарларды өшіруге болады, бірақ бүкіл мүмкіндікті толығымен өшіру үшін Қызметтер терезесін (services.msc) ашып, Әрекеттер орталығын өшіру керек. Бұл сіз пайдаланып жатқан брандмауэрді, антивирусты немесе автоматты жаңартуларды өшірмейді, тек осы құралдардың бақылау құралдарын және олармен бірге келетін хабарларды.

Мұнда брандмауэр немесе зиянды бағдарламаға қарсы параметрлерді өзгерте алмайсыз. Мұны істеу үшін басқару тақтасына оралып, сол жерде тиісті бағдарламаны ашу керек.

Желілік құрт эпидемиясының мәселесі кез келген адам үшін өзекті жергілікті желі. Ерте ме, кеш пе, желі немесе электрондық пошта құрты жергілікті желіге еніп, қолданылып жатқан антивируспен анықталмаған жағдай туындауы мүмкін. Желілік вирус жергілікті желі арқылы жұқтырған кезде жабылмаған операциялық жүйенің осалдықтары немесе жазылатын ортақ ресурстар арқылы таралады. Пошта вирусы, аты айтып тұрғандай, клиенттік антивирус пен антивирус бұғаттамаған жағдайда электрондық пошта арқылы таратылады. пошта сервері. Сонымен қатар, жергілікті желідегі эпидемия инсайдерлік әрекеттің нәтижесінде ішінен ұйымдастырылуы мүмкін. Бұл мақалада әртүрлі құралдарды, атап айтқанда авторлық AVZ утилитасын пайдалана отырып, жергілікті желілік компьютерлерді операциялық талдаудың практикалық әдістерін қарастырамыз.

Мәселенің тұжырымы

Желіде эпидемия немесе қандай да бір қалыптан тыс әрекет анықталса, әкімші кем дегенде үш тапсырманы жылдам шешуі керек:

желідегі вирус жұққан компьютерлерді анықтау;
вирусқа қарсы зертханаға жіберу үшін зиянды бағдарлама үлгілерін табу және оған қарсы әрекет ету стратегиясын әзірлеу;
жергілікті желіде вирустың таралуын блоктау және оны жұқтырған компьютерлерде жою шараларын қабылдау.

Инсайдерлік белсенділік жағдайында талдаудың негізгі қадамдары бірдей және көбінесе жергілікті желідегі компьютерлерде инсайдер орнатқан үшінші тарап бағдарламалық жасақтамасын анықтау қажеттілігіне байланысты. Мұндай бағдарламалық құралдың мысалдары қашықтан басқару утилиталарын, клавиатураларжәне әртүрлі трояндық бетбелгілер.

Тапсырмалардың әрқайсысының шешімін толығырақ қарастырайық.

Вирус жұққан компьютерлерді іздеңіз

Желіде вирус жұққан компьютерлерді іздеу үшін кем дегенде үш әдісті қолдануға болады:

автоматты қашықтан ДК талдауы - іске қосылған процестер, жүктелген кітапханалар мен драйверлер туралы ақпаратты алу, сипаттамалық үлгілерді іздеу - мысалы, процестер немесе файлдар аттар;
Снайфер көмегімен компьютер трафигін талдау - бұл әдісспам-боттарды, электрондық поштаны және желілік құрттарды ұстау үшін өте тиімді, дегенмен снайферді пайдаланудағы негізгі қиындық қазіргі заманғы LAN коммутаторлар негізінде құрастырылғандығына байланысты және нәтижесінде әкімші трафикті бақылай алмайды. бүкіл желі. Мәселені екі жолмен шешуге болады: маршрутизаторда снайферді іске қосу арқылы (ол ДК деректерінің Интернетпен алмасуын бақылауға мүмкіндік береді) және қосқыштардың бақылау функцияларын пайдалану арқылы (көптеген заманауи қосқыштарәкімші көрсеткен бір немесе бірнеше коммутатор порттарының трафигі қайталанатын бақылау портын тағайындауға мүмкіндік береді);
желілік жүктемені зерттеу - бұл жағдайда жүктемені бағалауға ғана емес, сонымен қатар әкімші көрсеткен порттарды қашықтан өшіруге мүмкіндік беретін смарт қосқыштарды пайдалану өте ыңғайлы. Әкімшіде қандай компьютерлердің сәйкес коммутатор порттарына қосылғаны және олардың орналасқан жері туралы ақпаратты қамтитын желі картасы болса, бұл операция айтарлықтай жеңілдетіледі;
бал құмыраларын пайдалану - әкімшіге эпидемияны дер кезінде анықтауға мүмкіндік беретін жергілікті желіде бірнеше бал құмырасын жасау ұсынылады.

Желідегі дербес компьютерлерді автоматты талдау

Автоматты ДК талдауын үш негізгі кезеңге дейін қысқартуға болады:

толық компьютерді сканерлеуді жүргізу - іске қосылған процестер, жүктелген кітапханалар мен драйверлер, автоқосу;
жедел зерттеулер жүргізу – мысалы, сипаттамалық процестерді немесе файлдарды іздеу;
белгілі бір критерийлер бойынша объектілерді карантиндеу.

Жоғарыда аталған мәселелердің барлығын авторлық AVZ утилитасының көмегімен шешуге болады, ол сервердегі желілік қалтадан іске қосуға арналған және компьютерді автоматты түрде тексеруге арналған сценарий тілін қолдайды. Пайдаланушы компьютерлерінде AVZ іске қосу үшін сізге қажет:

AVZ файлын оқу үшін ашық сервердегі желілік қалтаға орналастырыңыз.
Осы қалтада LOG және Qurantine ішкі каталогтарын жасаңыз және пайдаланушыларға оларға жазу мүмкіндігін беріңіз.
rexec утилитасын немесе жүйеге кіру сценарийін пайдаланып LAN компьютерлерінде AVZ іске қосыңыз.

3-қадамда AVZ іске қосу келесі параметрлермен орындалуы керек:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Бұл жағдайда Priority=-1 параметрі AVZ процесінің басымдылығын төмендетеді, nw=Y және nq=Y параметрлері карантинді «желі іске қосу» режиміне ауыстырады (бұл жағдайда карантиндік қалтада ішкі каталог жасалады). аты ДК желілік атауына сәйкес келетін әрбір компьютер үшін) , HiddenMode=2 пайдаланушының GUI және AVZ басқару элементтеріне қол жеткізуін болдырмауға нұсқау береді және соңында, ең маңызды Script параметрі сценарийдің толық атауын көрсетеді. AVZ пайдаланушының компьютерінде орындайтын командалар. AVZ сценарий тілі қолдануда өте қарапайым және тек компьютерлік тексеру мен емдеу мәселелерін шешуге бағытталған. Сценарийлерді жазу процесін жеңілдету үшін сіз онлайн нұсқауды, стандартты сценарийлерді құру шеберін және оны іске қоспай-ақ жазылған сценарийдің дұрыстығын тексеру құралдарын қамтитын арнайы сценарий редакторын пайдалана аласыз (1-сурет).

Күріш. 1. AVZ сценарий редакторы

Эпидемияға қарсы күресте пайдалы болуы мүмкін үш типтік сценарийді қарастырайық. Біріншіден, бізге компьютерді зерттеу сценарийі қажет. Сценарийдің міндеті – жүйені тексеру және берілген желілік қалтада нәтижелерімен хаттама жасау. Сценарий келесідей көрінеді:

ActivateWatchDog(60 * 10);

// Сканерлеуді және талдауды бастаңыз

// Жүйені зерттеу

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//AVZ өшіру

Осы сценарийді орындау барысында LOG папкасында желілік компьютерлерді зерттеу нәтижелерімен HTML файлдары құрылады (ол сервердегі AVZ каталогында жасалған және пайдаланушылар жазуы үшін қолжетімді деп есептей отырып) және қамтамасыз ету үшін бірегейлігі, зерттелетін компьютердің аты протокол атауына енгізіледі. Сценарийдің басында бақылау таймерін қосу пәрмені бар, ол сценарийді орындау кезінде сәтсіздіктер орын алса, 10 минуттан кейін AVZ процесін күштеп тоқтатады.

AVZ хаттамасы қолмен зерттеуге ыңғайлы, бірақ автоматтандырылған талдау үшін оның пайдасы шамалы. Сонымен қатар, әкімші зиянды бағдарлама файлының атын жиі біледі және тек бар немесе жоқтығын тексеру керек. бұл файл, ал бар болса, талдау үшін карантинге қойыңыз. Бұл жағдайда сіз келесі сценарийді пайдалана аласыз:

// Күзет таймерін 10 минутқа қосыңыз

ActivateWatchDog(60 * 10);

// Зиянды бағдарламаны аты бойынша іздеңіз

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen туралы күдікті');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen күдігі');

//AVZ өшіру

Бұл сценарий көрсетілген файлдарды карантинге қою әрекеті үшін QuarantineFile функциясын пайдаланады. Әкімші карантинге алынған файлдардың бар-жоғын тек карантиннің мазмұнын талдай алады (Карантин\желінің_аты_PC\quarantine_date\ қалтасы). QuarantineFile функциясы қауіпсіз AVZ дерекқоры немесе Microsoft цифрлық қолтаңба дерекқоры арқылы анықталған файлдардың карантинін автоматты түрде блоктайтынын ескеріңіз. Үшін практикалық қолданубұл сценарийді жақсартуға болады - сыртқы мәтіндік файлдан файл атауларын жүктеуді ұйымдастырыңыз, табылған файлдарды AVZ дерекқорларымен салыстырыңыз және жұмыс нәтижелерімен мәтіндік хаттаманы жасаңыз:

// Көрсетілген аты бар файлды іздеңіз

функциясы CheckByName(Fname: string) : логикалық;

Нәтиже:= FileExists(FName) ;

Егер нәтиже болса, бастаңыз

Case CheckFile(FName).

1: S:= ‘, файлға кіру бұғатталған’;

1: S:= ‘, зиянды бағдарлама ретінде анықталды (‘+GetLastCheckTxt+’)’;

2: S:= ‘, файл сканері күдікті (‘+GetLastCheckTxt+’)’;

3: шығу; // Қауіпсіз файлдар еленбейді

AddToLog(‘‘+NormalFileName(FName)+’ файлының күдікті аты бар’+S);

//Көрсетілген файлды карантинге қосыңыз

QuarantineFile(FName,'күдікті файл'+S);

SuspNames: TStringList; // Күдікті файлдар атауларының тізімі

// Жаңартылған дерекқормен файлдарды тексеру

егер FileExists(GetAVZDirectory + 'files.db') болса, бастаңыз

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Дерекқор атауы жүктелді - жазбалар саны = '+inttostr(SuspNames.Count));

// Іздеу циклі

i:= 0 үшін SuspNames.Count - 1 орындаңыз

CheckByName(SuspNames[i]);

AddToLog('Файл атауларының тізімін жүктеу қатесі');

Журналды сақтау(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Бұл сценарий жұмыс істеуі үшін AVZ қалтасында пайдаланушыларға жазу үшін қолжетімді Карантин және LOG каталогтарын жасау керек, сонымен қатар мәтіндік файл files.db - бұл файлдың әрбір жолында күдікті файлдың атауы болады. Файл атаулары макростарды қамтуы мүмкін, олардың ең пайдалысы %WinDir% (жол Windows қалтасы) және %SystemRoot% (System32 қалтасының жолы). Талдаудың тағы бір бағыты пайдаланушы компьютерлерінде орындалатын процестер тізімін автоматты түрде тексеру болуы мүмкін. Жұмыс істеп тұрған процестер туралы ақпарат жүйелік зерттеу хаттамасында бар, бірақ автоматты талдау үшін келесі сценарий фрагментін пайдалану ыңғайлы:

ScanProcess процедурасы;

S:= ''; S1:= '';

//Процестер тізімін жаңарту

RefreshProcessList;

AddToLog(‘Процестер саны = ‘+IntToStr(GetProcessCount));

// Алынған тізімді талдау циклі

i:= 0 үшін GetProcessCount - 1 басталады

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Процесті аты бойынша іздеу

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0, содан кейін

S:= S + GetProcessName(i)+’,’;

егер С<>''содан кейін

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Бұл сценарийдегі процестерді зерттеу жеке ScanProcess процедурасы ретінде орындалады, сондықтан оны өз сценарийінде орналастыру оңай. ScanProcess процедурасы процестердің екі тізімін құрады: толық тізімпроцестер (кейінгі талдау үшін) және әкімшінің көзқарасы бойынша қауіпті деп саналатын процестердің тізімі. Бұл жағдайда көрсету мақсатында «trojan.exe» деп аталатын процесс қауіпті болып саналады. Қауіпті процестер туралы ақпарат _alarm.txt мәтіндік файлына, барлық процестер туралы деректер _all_process.txt файлына қосылады. Сценарийді оған қосу арқылы қиындата алатыныңызды түсіну оңай, мысалы, технологиялық файлдарды қауіпсіз файлдардың дерекқорына қарсы тексеру немесе атауларды тексеру орындалатын файлдарсыртқы негіздегі процестер. Ұқсас процедура Smolenskenergo-да қолданылатын AVZ сценарийлерінде қолданылады: әкімші жиналған ақпаратты мерзімді түрде зерттейді және сценарийді өзгертеді, оған қауіпсіздік саясатымен тыйым салынған бағдарламалар процестерінің атын қосады, мысалы, ICQ және MailRu.Agent, бұл мүмкіндік береді. зерттелетін ДК-де тыйым салынған бағдарламалық қамтамасыз етудің бар-жоғын жылдам тексеру үшін. Процесстер тізімін пайдаланудың тағы бір түрі антивирус сияқты талап етілмеген процесс жоқ компьютерлерді табу болып табылады.

Қорытындылай келе, пайдалы талдау сценарийлерінің соңғысын қарастырайық - қауіпсіз AVZ дерекқоры және Microsoft цифрлық қолтаңбасының дерекқоры танымайтын барлық файлдарды автоматты карантинге қоюға арналған сценарий:

// Автокарантинді орындаңыз

ExecuteAutoQuarantine;

Автоматты карантин іске қосылған процестерді және жүктелген кітапханаларды, қызметтер мен драйверлерді, шамамен 45 автобастау әдістерін, шолғыш пен шолушы кеңейтім модульдерін, SPI/LSP өңдеушілерін, жоспарлаушы тапсырмаларын, басып шығару жүйесінің өңдеушілерін және т.б. тексереді. Карантиннің ерекшелігі - файлдар оған қайталануды бақылау арқылы қосылады, сондықтан автокарантин функциясын қайталап шақыруға болады.

Автоматты карантиннің артықшылығы - оның көмегімен әкімші тексеру үшін желідегі барлық компьютерлерден ықтимал күдікті файлдарды жылдам жинай алады. Файлдарды зерттеудің ең қарапайым (бірақ іс жүзінде өте тиімді) түрі максималды эвристикалық режимде бірнеше танымал антивирустармен алынған карантинді тексеру болуы мүмкін. Бірнеше жүздеген компьютерлерде бір мезгілде автокарантинді іске қосу желі мен файлдық серверде жоғары жүктемені тудыруы мүмкін екенін атап өткен жөн.

Жол қозғалысын зерттеу

Жол қозғалысын зерттеу үш жолмен жүзеге асырылуы мүмкін:

иіскегіштерді қолмен пайдалану;
жартылай автоматты режимде - бұл жағдайда снайфер ақпаратты жинайды, содан кейін оның хаттамалары қолмен немесе кейбір бағдарламалық қамтамасыз ету арқылы өңделеді;
Snort (http://www.snort.org/) сияқты басып кіруді анықтау жүйелерін (IDS) немесе олардың бағдарламалық немесе аппараттық құрал аналогтарын автоматты түрде пайдалану. Ең қарапайым жағдайда IDS иісшіден және иісшінің жинаған ақпаратты талдайтын жүйеден тұрады.

Интрузияны анықтау жүйесі оңтайлы құрал болып табылады, себебі ол желі әрекетіндегі ауытқуларды анықтау үшін ережелер жиынын жасауға мүмкіндік береді. Оның екінші артықшылығы мынада: көптеген заманауи IDS трафикті бақылау агенттерін бірнеше желі түйіндерінде орналастыруға мүмкіндік береді – агенттер ақпаратты жинап, оны жібереді. Снайфферді пайдаланған жағдайда UNIX tcpdump консолін пайдалану өте ыңғайлы. Мысалы, 25 портындағы әрекетті бақылау үшін ( SMTP протоколы) жай ғана иісшіні іске қосыңыз пәрмен жолытүрі:

tcpdump -i em0 -l tcp порты 25 > smtp_log.txt

Бұл жағдайда пакеттер em0 интерфейсі арқылы түсіріледі; түсірілген пакеттер туралы ақпарат smtp_log.txt файлында сақталады. Протоколды қолмен талдау салыстырмалы түрде оңай; бұл мысалда 25 портындағы әрекетті талдау белсенді спам-боттары бар компьютерлерді анықтауға мүмкіндік береді.

Honeypot қолданбасы

Өнімділігі оны шешу үшін пайдалануға мүмкіндік бермейтін ескірген компьютерді тұзақ (Honeypot) ретінде пайдалануға болады. өндірістік міндеттер. Мысалы, 64 Мб сыйымдылығы бар Pentium Pro авторлық желіде тұзақ ретінде сәтті қолданылады жедел жады. Бұл компьютерде жергілікті желіде ең көп таралған операциялық жүйені орнату керек және стратегиялардың бірін таңдау керек:

Жаңарту пакеттерінсіз операциялық жүйені орнату - бұл осы операциялық жүйе үшін белгілі осалдықтардың кез келгенін пайдаланатын желіде белсенді желі құртының пайда болуының көрсеткіші болады;
желідегі басқа компьютерлерде орнатылған жаңартулары бар операциялық жүйені орнатыңыз - Honeypot жұмыс станцияларының кез келгеніне ұқсас болады.

Әрбір стратегияның оң және теріс жақтары бар; Автор негізінен опцияны жаңартусыз пайдаланады. Honeypot жасағаннан кейін диск кескінін жасау керек жылдам қалпына келтіружүйе зиянды бағдарламамен зақымданғаннан кейін. Диск кескініне балама ретінде ShadowUser және оның аналогтары сияқты өзгертулерді қайтару жүйелерін пайдалануға болады. Honeypot құрған кезде, желі құрттарының бірқатары вирус жұққан компьютердің IP мекенжайынан есептелетін IP ауқымын сканерлеу арқылы вирус жұққан компьютерлерді іздейтінін ескеру қажет (жалпы типтік стратегиялар: X.X.X.*, X.X.X+1.*, X.X.X-1.*), - сондықтан, Ең дұрысы, әрбір ішкі желіде Honeypot болуы керек. Қосымша дайындық элементтері ретінде сіз Honeypot жүйесіндегі бірнеше қалталарға кіруді міндетті түрде ашуыңыз керек және бұл қалталарға әртүрлі пішімдегі бірнеше үлгі файлдарды қою керек, ең аз жинақ EXE, JPG, MP3.

Әрине, Honeypot жасағаннан кейін әкімші оның жұмысын бақылап, анықталған ауытқуларға жауап беруі керек. осы компьютер. Аудиторлар өзгерістерді тіркеу құралы ретінде пайдаланылуы мүмкін; снайферлер желі әрекетін жазу үшін пайдаланылуы мүмкін. Маңызды нүктекөптеген снайферлер белгілі бір желі әрекеті анықталса, әкімшіге ескерту жіберуді конфигурациялау мүмкіндігін береді. Мысалы, CommView снайферінде ереже желілік пакетті сипаттайтын «формуланы» көрсетуді немесе сандық критерийлерді көрсетуді қамтиды (секундына дестелердің немесе байттардың белгіленген санынан көп жіберу, дестелерді анықталмаған IP немесе MAC мекенжайларына жіберу) - Інжір. 2.

Күріш. 2. Желі әрекеті ескертуін жасаңыз және конфигурациялаңыз

Ескерту ретінде жіберілген электрондық пошта хабарларын пайдалану өте ыңғайлы хат жәшігіәкімші - бұл жағдайда желідегі барлық тұзақтардан жедел ескертулер алуға болады. Бұған қоса, егер снайффер бірнеше ескертулер жасауға мүмкіндік берсе, жұмысты бөлектеу арқылы желілік белсенділікті саралау мағынасы бар. электрондық пошта арқылы, FTP/HTTP, TFTP, Telnet, MS Net, кез келген протокол үшін секундына 20-30 пакеттен астам трафикті арттырды (3-сурет).

Күріш. 3. Хабарлама хаты жіберілді
егер көрсетілген критерийлерге сәйкес келетін пакеттер анықталса

Тұзақ ұйымдастырған кезде оған желіде қолданылатын бірнеше осал желілік қызметтерді орналастырған немесе олар үшін эмулятор орнатқан дұрыс. Ең қарапайым (және ақысыз) - орнатусыз жұмыс істейтін жеке меншік APS утилитасы. APS жұмыс принципі оның дерекқорында сипатталған көптеген TCP және UDP порттарын тыңдауға және қосылу сәтінде алдын ала анықталған немесе кездейсоқ құрылған жауапты шығаруға негізделген (4-сурет).

Күріш. 4. APS утилитасының негізгі терезесі

Суретте Smolenskenergo LAN желісінде нақты APS белсендіру кезінде түсірілген скриншот көрсетілген. Суретте көрініп тұрғандай, клиенттік компьютерлердің бірін 21 портқа қосу әрекеті тіркелді. Хаттамаларды талдау әрекеттердің кезеңді екенін және желідегі бірнеше тұзақтармен тіркелетінін көрсетті, бұл бізге келесі қорытынды жасауға мүмкіндік береді: құпия сөздерді табу арқылы FTP серверлерін іздеу және бұзу үшін желі сканерленеді. APS журналдарды жүргізеді және желілік сканерлеуді жылдам анықтауға ыңғайлы бақыланатын порттарға тіркелген қосылымдар туралы есептермен әкімшілерге хабарламалар жібере алады.

Бал құмырасын жасаған кезде тақырып бойынша интернет-ресурстармен, атап айтқанда http://www.honeynet.org/ танысу пайдалы. Осы сайттың Құралдар бөлімінде (http://www.honeynet.org/tools/index.html) шабуылдарды жазуға және талдауға арналған бірқатар құралдарды таба аласыз.

Зиянды бағдарламаны қашықтан жою

Ең дұрысы, зиянды бағдарлама үлгілерін анықтағаннан кейін әкімші оларды антивирустық зертханаға жібереді, онда оларды талдаушылар тез арада зерттейді және антивирустық дерекқорға сәйкес қолтаңбалар қосылады. Бұл қолдар арқылы автоматты жаңартупайдаланушының компьютеріне кіріп, антивирус зиянды бағдарламаны әкімшінің араласуынсыз автоматты түрде жояды. Дегенмен, бұл тізбек әрқашан күткендей жұмыс істемейді, атап айтқанда, сәтсіздіктің келесі себептері болуы мүмкін:

желі әкімшісінен тәуелсіз бірқатар себептерге байланысты кескіндер вирусқа қарсы зертханаға жетпеуі мүмкін;
антивирустық зертхананың жеткіліксіз тиімділігі – ең дұрысы үлгілерді зерттеу және оларды дерекқорға енгізу 1-2 сағаттан аспайды, яғни жаңартылған қолтаңба деректер базасын жұмыс күні ішінде алуға болады. Дегенмен, барлық антивирустық зертханалар соншалықты тез жұмыс істемейді және жаңартуларды бірнеше күн күтуге болады (сирек жағдайларда, тіпті апталар);
антивирустың жоғары өнімділігі - бірқатар зиянды бағдарламалар белсендірілгеннен кейін антивирустарды жояды немесе олардың жұмысын басқа жолмен бұзады. Классикалық мысалдар блоктаушы хосттар файлында жазбалар жасауды қамтиды қалыпты жұмысантивирустық автоматты жаңарту жүйелері, процестерді, қызметтерді және антивирус драйверлерін жою, олардың параметрлерін бұзу және т.б.

Сондықтан, жоғарыда аталған жағдайларда зиянды бағдарламамен қолмен күресуге тура келеді. Көп жағдайда бұл қиын емес, өйткені компьютерлік тексеру нәтижелері вирус жұққан компьютерлерді, сондай-ақ зиянды бағдарлама файлдарының толық атауларын көрсетеді. Оларды қашықтан жою ғана қалады. Егер зиянды бағдарлама жойылудан қорғалмаған болса, оны келесі AVZ сценарийі арқылы жоюға болады:

// Файлды жою

DeleteFile('файл аты');

ExecuteSysClean;

Бұл сценарий бір көрсетілген файлды (немесе бірнеше файлды, өйткені сценарийде DeleteFile пәрмендерінің шектеусіз саны болуы мүмкін) жояды, содан кейін тізілімді автоматты түрде тазартады. Неғұрлым күрделі жағдайда, зиянды бағдарлама өзін жоюдан қорғай алады (мысалы, файлдары мен тізілім кілттерін қайта жасау арқылы) немесе руткит технологиясын пайдаланып өзін жасыра алады. Бұл жағдайда сценарий күрделене түседі және келесідей болады:

// Анти-руткит

SearchRootkit(шын, ақиқат);

// AVZGuard басқару

SetAVZGuardStatus(шын);

// Файлды жою

DeleteFile('файл аты');

// BootCleaner журналын қосу

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// BootCleaner тапсырмасына сценарий арқылы жойылған файлдар тізімін импорттау

BC_ImportDeletedList;

// BootCleaner іске қосыңыз

// Эвристикалық жүйені тазалау

ExecuteSysClean;

RebootWindows(шын);

Бұл сценарий руткиттерге белсенді қарсы әрекетті, AVZGuard жүйесін пайдалануды (бұл зиянды бағдарлама әрекетінің блокаторы) және BootCleaner жүйесін қамтиды. BootCleaner - жүйені жүктеудің бастапқы кезеңінде қайта жүктеу кезінде KernelMode режимінен көрсетілген нысандарды жоятын драйвер. Тәжірибе көрсеткендей, мұндай сценарий бар зиянды бағдарламалардың басым көпшілігін жоюға қабілетті. Ерекшелік - әрбір қайта жүктеу кезінде орындалатын файлдардың атын өзгертетін зиянды бағдарлама - бұл жағдайда жүйені сканерлеу кезінде табылған файлдардың атын өзгертуге болады. Бұл жағдайда компьютерді қолмен дезинфекциялау немесе зиянды бағдарлама қолтаңбаларын жасау қажет болады (қолтаңбаны іздеуді жүзеге асыратын сценарийдің мысалы AVZ анықтамасында сипатталған).

Қорытынды

Бұл мақалада біз антивирустық өнімдерді қолданбай, қолмен жергілікті желі эпидемиясымен күресудің кейбір практикалық әдістерін қарастырдық. Сипатталған әдістердің көпшілігін пайдаланушы компьютерлеріндегі шетелдік компьютерлер мен трояндық бетбелгілерді іздеу үшін де қолдануға болады. Зиянды бағдарламаны табуда немесе емдеу сценарийлерін жасауда қиындықтар туындаса, әкімші http://virusinfo.info форумының «Анықтама» бөлімін немесе http://forum.kaspersky.com форумының «Вирустармен күресу» бөлімін пайдалана алады. /index.php?showforum= 18. Хаттамаларды зерделеу және емдеуге көмектесу екі форумда да тегін жүргізіледі, ДК талдауы AVZ хаттамалары бойынша жүзеге асырылады және көп жағдайда емдеу осы форумдардың тәжірибелі мамандары құрастырған вирус жұққан ДК-де AVZ сценарийін орындауға түседі. .

Пайдаланушының компьютерінде физикалық файлды құруды күтуге мәжбүр болған желіні қорғау желі арқылы пайдаланушының компьютеріне түсетін кіріс деректер ағындарын талдай бастайды және олар жүйеге кірмес бұрын қауіптерді блоктайды.

Symantec технологиялары қамтамасыз ететін желіні қорғаудың негізгі бағыттары:

Drive-by жүктеулер, веб-шабуылдар;
- «Әлеуметтік инженерия» шабуылдары: FakeAV (жалған антивирустар) және кодектер;
- Шабуылдар арқылы әлеуметтік желілер Facebook сияқты;
- Зиянды бағдарламаларды, руткиттерді және боттармен жұқтырған жүйелерді анықтау;
- Жетілдірілген қауіптерден қорғау;
- нөлдік күндік қауіптер;
- бағдарламалық қамтамасыз етудің патчланбаған осалдықтарынан қорғау;
- Зиянды домендерден және IP мекенжайларынан қорғау.

Желіні қорғау технологиялары

«Желілерді қорғау» деңгейі 3 түрлі технологияны қамтиды.

Желіге енуді болдырмау шешімі (Network IPS)

Желілік IPS технологиясы 200-ден астам түрлі хаттамаларды түсінеді және сканерлейді. Ол екілік пен арқылы ақылды және дәл кеседі желілік протокол, бір уақытта зиянды трафик белгілерін іздеу. Бұл интеллект әлі де қамтамасыз ету кезінде желіні дәлірек сканерлеуге мүмкіндік береді сенімді қорғаныс. Оның «жүрегінде» іс жүзінде өтпейтін қорғаныспен ашық осалдықтарды қамтамасыз ететін эксплойт блоктау қозғалтқышы бар. Symantec IPS бірегей ерекшелігі - бұл компонент ешқандай конфигурацияны қажет етпейді. Оның барлық функциялары, олар айтқандай, «қораптан тыс» жұмыс істейді. Әрбір Norton тұтынушы өнімінде және әрбір Symantec Endpoint Protection өнімінің 12.1 және одан кейінгі нұсқаларында әдепкі бойынша осы маңызды технология қосылған.

Браузерді қорғау

Бұл қауіпсіздік механизмі шолғыштың ішінде орналасқан. Ол дәстүрлі антивирус та, желілік IPS де анықтай алмайтын ең күрделі қауіптерді анықтауға қабілетті. Қазіргі уақытта көптеген желілік шабуылдар анықтауды болдырмау үшін жасыру әдістерін пайдаланады. Браузерді қорғау браузердің ішінде жұмыс істейтіндіктен, ол іске қосылған кезде әлі жасырын емес (түсіндірілмеген) кодты тексере алады. Бұл бағдарлама қорғаудың төменгі деңгейлерінде жіберіп алған шабуылды анықтауға және блоктауға мүмкіндік береді.

Рұқсатсыз жүктеуден қорғау (UXP)

Желінің қорғаныс қабатында орналасқан соңғы қорғаныс желісі қолтаңбаларды пайдаланбай белгісіз және түзетілмеген осалдықтардың әсерін жабуға және азайтуға көмектеседі. Бұл Zero Day шабуылдарынан қосымша қорғаныс қабатын қамтамасыз етеді.

Мәселелерге назар аудару

Бірлесіп жұмыс істейтін желілік қауіпсіздік технологиялары келесі мәселелерді шешеді.

Drive-by жүктеп алулар және веб-шабуыл жинақтары

Network IPS, Browser Protection және UXP технологиясын пайдалана отырып, Symantec желісін қорғау технологиялары Drive-by жүктеп алуды блоктайды және зиянды бағдарламаның тіпті пайдаланушы жүйесіне жетуіне де жол бермейді. Осы бір технологияларды, соның ішінде Generic Exploit Blocking технологиясын және веб-шабуылдарды анықтау құралдарын пайдалануды қамтитын әртүрлі алдын алу әдістері қолданылады. Жалпы веб-шабуылдарды анықтау құралы шабуыл нысанаға алған арнайы осалдыққа қарамастан, жалпы веб-шабуылдың сипаттамаларын талдайды. Бұл жаңа және белгісіз осалдықтар үшін қосымша қорғауды қамтамасыз етуге мүмкіндік береді. Қорғаудың бұл түріндегі ең жақсы нәрсе, егер зиянды файл жүйені «үнсіз» жұқтырса, ол әлі де белсенді түрде тоқтатылып, жүйеден жойылатын болады: бұл дәстүрлі антивирус өнімдері әдетте жіберіп алатын әрекет. Бірақ Symantec әдетте басқа әдістермен анықталмайтын зиянды бағдарламаның ондаған миллион нұсқаларын блоктауды жалғастыруда.

Әлеуметтік инженерлік шабуылдар

Symantec технологиясы желі мен шолғыш трафигін саяхат кезінде бақылайтындықтан, FakeAV немесе жалған кодектер сияқты «Әлеуметтік инженерия» шабуылдарын анықтайды. Технологиялар мұндай шабуылдарды пайдаланушы экранында пайда болғанға дейін блоктауға арналған. Басқа бәсекелес шешімдердің көпшілігі бұл қуатты мүмкіндікті қамтымайды.

Symantec онлайн қауіптен қорғау технологиясымен жүздеген миллион шабуыл түрлерін блоктайды.

Әлеуметтік медиа қолданбаларына бағытталған шабуылдар

Әлеуметтік медиа қолданбалары жақында кең танымал болды, өйткені олар мыңдаған достармен және пайдаланушылармен әртүрлі хабарламаларды, қызықты бейнелер мен ақпаратты лезде бөлісуге мүмкіндік береді. Мұндай бағдарламалардың кең таралуы мен әлеуеті оларды хакерлердің №1 нысанасына айналдырады. Кейбір жалпы хакерлердің амалдары жалған тіркелгілерді жасау және спам жіберуді қамтиды.

Symantec IPS технологиясы алдау әдістерінің осы түрінен қорғай алады, көбінесе пайдаланушы оларды басқанға дейін олардың алдын алады. Symantec жалған және жалған URL мекенжайларын, қолданбаларды және басқа алдау әдістерін онлайн қауіптен қорғау технологиясымен тоқтатады.

Зиянды бағдарламаларды, руткиттерді және ботпен жұқтырған жүйелерді анықтау

Вирус жұққан компьютер желіде қай жерде орналасқанын білу жақсы емес пе? Symantec компаниясының IPS шешімдері осы мүмкіндікті қамтамасыз етеді, сонымен қатар қорғаныстың басқа қабаттарынан жалтаруы мүмкін қауіптерді анықтау және қалпына келтіру. Symantec шешімдері жүйедегі белсенділігін арттыру үшін автоматты терулерді жасауға немесе «жаңартуларды» жүктеп алуға әрекеттенетін зиянды бағдарламалар мен боттарды анықтайды. Бұл тексеруге болатын жүйелердің нақты тізімі бар АТ менеджерлеріне олардың кәсіпорнының қауіпсіз екендігіне сенімді болуға мүмкіндік береді. Tidserv, ZeroAccess, Koobface және Zbot сияқты руткиттер әдістерін қолданатын полиморфты және күрделі жасырын қауіптерді осы әдіс арқылы тоқтатуға және жоюға болады.

Түсініксіз қауіптерден қорғау

Бүгінгі веб-шабуылдар өздерінің шабуылдарының күрделілігін арттыру үшін күрделі әдістерді пайдаланады. Symantec браузерінің қорғанысы шолғыштың ішінде орналасады және дәстүрлі әдістер жиі анықтай алмайтын өте күрделі қауіптерді анықтай алады.

Нөлдік күндік қауіптер және түзетілмеген осалдықтар

Компания қосқан бұрынғы қауіпсіздік толықтыруларының бірі - нөлдік күндік қауіптерден және түзетілмеген осалдықтардан қорғаудың қосымша қабаты. Қолтаңбасыз қорғауды пайдалана отырып, бағдарлама System API қоңырауларын ұстайды және зиянды бағдарламаларды жүктеуден қорғайды. Бұл технология рұқсатсыз жүктеуден қорғау (UXP) деп аталады. Бұл желілік қауіптерден қорғау экожүйесінде қолдаудың соңғы желісі. Бұл өнімге қолтаңбаларды пайдаланбай белгісіз және түзетілмеген осалдықтарды «жабуға» мүмкіндік береді. Бұл технология әдепкі бойынша қосылады және Norton 2010 дебютінен бері шығарылған әрбір өнімде табылды.

Түзетілмеген бағдарламалық жасақтаманың осалдықтарынан қорғау

Зиянды бағдарламалар көбінесе бағдарламалық жасақтамадағы осалдықтарды пайдаланып, пайдаланушы білмей орнатылады. Symantec желілік қауіпсіздік жалпы эксплойт блоктау (GEB) деп аталатын қосымша қорғаныс деңгейін қамтамасыз етеді. Маған қарамастан Соңғы жаңартуларнемесе жоқ, GEB «негізінен» негізгі осалдықтарды пайдаланудан қорғайды. Oracle Sun Java, Adobe жүйесіндегі осалдықтар Acrobat Reader, Adobe Flash, Internet Explorer, ActiveX басқару элементтері немесе QuickTime енді барлық жерде бар. Generic Exploit Protection осалдықты желіде қалай пайдалануға болатынын анықтау арқылы «кері инженерия» арқылы жасалған. желі деңгейі. Бір GEB немесе осалдық қолтаңбасы мыңдаған жаңа және белгісіз зиянды бағдарлама нұсқаларынан қорғауды қамтамасыз ете алады.

Зиянды IP және доменді блоктау

Symantec желілік қорғанысы сонымен қатар белгілі зиянды сайттардан зиянды бағдарламалар мен трафикті тоқтату кезінде зиянды домендерді және IP мекенжайларын блоктау мүмкіндігін қамтиды. STAR веб-сайттарын мұқият талдау және жаңарту арқылы Symantec үнемі өзгеріп отыратын қауіптерден нақты уақытта қорғауды қамтамасыз етеді.

Жақсартылған жалтаруға қарсы тұру

base64 және gzip сияқты шифрлау әдістерін пайдаланып шабуылды анықтау тиімділігін арттыру үшін қосымша кодтауға қолдау қосылды.

Пайдалану саясаттарын орындау және деректердің ағып кетуін анықтау үшін желі аудитін анықтау

Желілік IPS корпоративтік пайдалану саясаттарын бұзуы мүмкін қолданбалар мен құралдарды анықтау немесе деректердің желі арқылы ағып кетуін болдырмау үшін пайдаланылуы мүмкін. IM, P2P, әлеуметтік медиа немесе трафиктің басқа «қызықты» түрлері сияқты трафикті анықтауға, ескертуге немесе болдырмауға болады.

STAR Intelligence Communication Protocol

Желілік қауіпсіздік технологиясы өздігінен жұмыс істемейді. Қозғалтқыш STAR Intelligence Communication (STAR ICB) протоколы арқылы басқа қауіпсіздік қызметтерімен байланысады. Network IPS қозғалтқышы Symantec Sonar қозғалтқышына, содан кейін Insight Reputation қозғалтқышына қосылады. Бұл неғұрлым ақпаратты және дәл қорғауды қамтамасыз етуге мүмкіндік береді.

Келесі мақалада біз мінез-құлық талдаушысы деңгейін қарастырамыз.

Symantec материалдарына негізделген

Әрбір Windows компьютерінде антивирус орнатылуы керек. Ұзақ уақыт бойы бұл алтын ереже болып саналды, бірақ бүгінде АТ қауіпсіздік сарапшылары қауіпсіздік бағдарламалық қамтамасыз етуінің тиімділігін талқылайды. Сыншылар антивирустар әрқашан қорғай бермейді, ал кейде тіпті керісінше - ұқыпсыз енгізудің салдарынан жүйенің қауіпсіздігінде олқылықтар тудыруы мүмкін деп санайды. Мұндай шешімдерді әзірлеушілер контраст бұл пікірблокталған шабуылдардың әсерлі саны және маркетинг бөлімдері өз өнімдері қамтамасыз ететін жан-жақты қорғаныспен ант беруді жалғастыруда.

Шындық ортасында бір жерде жатыр. Антивирустар мінсіз жұмыс істемейді, бірақ олардың барлығын пайдасыз деп атауға болмайды. Олар әртүрлі қауіптер туралы ескертеді, бірақ олар Windows-ті мүмкіндігінше қорғау үшін жеткіліксіз. Пайдаланушы ретінде сіз үшін бұл мынаны білдіреді: антивирусты қоқыс жәшігіне тастауға немесе оған соқыр сенуге болады. Бірақ бұл немесе басқаша, бұл қауіпсіздік стратегиясындағы блоктардың бірі ғана (үлкен болса да). Біз сізге осы «кірпіштердің» тағы тоғызын береміз.

Қауіпсіздікке қауіп: Антивирустар

> Сыншылар не дейді Вирус сканерлеріне қатысты қазіргі дауды бұрынғы Firefox әзірлеушісі Роберт О'Каллаган тудырды. Ол дәлелдейді: антивирустар Windows қауіпсіздігіне қауіп төндіреді және оларды жою керек. Жалғыз ерекшелік - Microsoft корпорациясының Windows Defender.

> Әзірлеушілер не дейді антивирустарды жасаушылар, соның ішінде Касперский зертханасы, дәлел ретінде олар әсерлі сандарды келтіреді. Осылайша, 2016 жылы осы зертхананың бағдарламалық жасақтамасы пайдаланушы компьютерлеріне 760 миллионға жуық интернет шабуылын тіркеп, алдын алды.

> CHIP пікірі Антивирустарды реликт немесе панацея деп санауға болмайды. Олар күзет ғимаратындағы кірпіш қана. Шағын антивирустарды пайдалануды ұсынамыз. Бірақ көп уайымдамаңыз: Windows Defender жақсы. Сіз тіпті қарапайым үшінші тарап сканерлерін пайдалана аласыз.

Дұрыс антивирусты таңдаңыз

Біз бұрынғыдай Windows жүйесін антивирустық қорғаныссыз елестету мүмкін емес екеніне сенімдіміз. Сізге тек дұрыс өнімді таңдау керек. Tens пайдаланушылары үшін бұл тіпті кірістірілген Windows Defender болуы мүмкін. Біздің сынақтарымызда ол танудың ең жақсы дәрежесін көрсетпегеніне қарамастан, ол жүйеге тамаша біріктірілген және, ең бастысы, қауіпсіздік проблемалары жоқ. Сонымен қатар, Microsoft Windows 10 жүйесіне арналған Creators Update бағдарламасында өнімін жетілдірді және оны басқаруды жеңілдетті.

Басқа әзірлеушілердің антивирустық пакеттері жиі Defender-ге қарағанда жоғарырақ тану жылдамдығына ие. Біз ықшам шешімді жақтаймыз. Біздің рейтингіміздің көшбасшысы осы сәтКасперский болып табылады Интернет қауіпсіздігі 2017. сияқты қосымша опциялардан бас тарта алатындар ата-ана бақылауыжәне құпия сөз менеджері үшін Касперский зертханасының бюджетке қолайлы нұсқасына назар аудару керек.

Жаңартуларды бақылаңыз

Егер Windows-тың қауіпсіздігін қамтамасыз ету үшін бір ғана шараны таңдау керек болса, біз міндетті түрде жаңартуларға барар едік. Бұл жағдайда, әрине, біз ең алдымен Windows жаңартулары туралы айтып отырмыз, бірақ тек қана емес. Орнатылған бағдарламалық құрал, соның ішінде Office, Firefox және iTunes, сонымен қатар жүйелі түрде жаңартылуы керек. Windows жүйесінде жүйелік жаңартуларды алу салыстырмалы түрде оңай. «Жеті» және «ондық» екеуінде де патчтар әдепкі параметрлерді пайдаланып автоматты түрде орнатылады.

Бағдарламалар жағдайында жағдай қиындай түседі, өйткені олардың барлығын Firefox және Chrome сияқты кіріктірілген автоматты жаңарту функциясы бар жаңарту оңай емес. SUMo (Бағдарламалық құралды жаңарту мониторы) қызметтік бағдарламасы осы тапсырманы шешуде сізге қолдау көрсетеді және жаңартулардың қолжетімділігі туралы хабарлайды. Қатысты бағдарлама, DUMo (Driver Update Monitor) драйверлер үшін бірдей тапсырманы орындайды. Екі тегін көмекші де сізге тек жаңа нұсқалар туралы хабарлайды - сіз оларды өзіңіз жүктеп алып, орнатуыңыз керек.

Брандмауэр орнатыңыз

Windows жүйесіндегі кірістірілген желіаралық қалқан өз жұмысын жақсы орындайды және барлық кіріс сұрауларды сенімді түрде блоктайды. Дегенмен, ол көп нәрсеге қабілетті - оның әлеуеті әдепкі конфигурациямен шектелмейді: барлығы орнатылған бағдарламаларбрандмауэрдегі порттарды сұраусыз ашуға құқығы бар. Тегін Windows брандмауэрін басқару утилитасы сізге береді қосымша мүмкіндіктер.

Оны іске қосыңыз және «Профильдер» мәзірінде сүзгіні «Орташа сүзу» күйіне орнатыңыз. Осының арқасында брандмауэр берілген ережелер жиынтығына сәйкес шығыс трафикті де басқарады. Қандай шаралар қамтылатынын өзіңіз шешесіз. Ол үшін бағдарлама экранының төменгі сол жақ бұрышындағы ескертпе белгішесін басыңыз. Осылайша сіз ережелерді көре аласыз және бір рет басу арқылы рұқсат бере аласыз бөлек бағдарламанемесе бұғаттаңыз.

Арнайы қорғанысты пайдаланыңыз

Жаңартулар, антивирус және брандмауэр - сіз қауіпсіздік шараларының осы үлкен үштігіне қамқорлық жасадыңыз. Уақыт келді дәл күйге келтіру. Windows жүйесіне арналған қосымша бағдарламалардың ақаулығы көбінесе олар жүйе ұсынатын барлық қауіпсіздік мүмкіндіктерін пайдаланбайды. EMET (Enhanced Mitigation Experience Toolkit) сияқты эксплуатқа қарсы қызметтік бағдарлама орнатылған бағдарламалық құралды одан әрі күшейтеді. Мұны істеу үшін «Ұсынылған параметрлерді пайдалану» түймесін басып, бағдарламаны автоматты түрде іске қосыңыз.

Шифрлауды күшейту

Жеке деректерді шифрлау арқылы қорғауды айтарлықтай жақсартуға болады. Сіздің ақпаратыңыз дұрыс емес қолдарға түссе де, хакер жақсы кодтауды жоя алмайды, кем дегенде бірден емес. Кәсіби салада Windows нұсқалары BitLocker утилитасы Басқару тақтасы арқылы конфигурацияланған.

VeraCrypt барлық пайдаланушылар үшін балама болады. Бұл ашық бастапқы бағдарлама TrueCrypt-тің ресми емес мұрагері болып табылады, ол бірнеше жыл бұрын тоқтатылды. Егер туралы айтып отырмызТек жеке ақпаратты қорғау үшін «Көлемді жасау» тармағы арқылы шифрланған контейнер жасай аласыз. «Шифрланған файл контейнерін жасау» опциясын таңдап, шебердің нұсқауларын орындаңыз. Дайын деректер сейфіне қарапайым диск сияқты Windows Explorer арқылы қол жеткізуге болады.

Пайдаланушы тіркелгілерін қорғаңыз

Көптеген осалдықтарды хакерлер пайдаланбайды, себебі компьютердегі жұмыс шектеулі құқықтары бар стандартты тіркелгі бойынша жүзеге асырылады. Сондықтан күнделікті тапсырмалар үшін сіз де осындай біреуін орнатуыңыз керек есептік жазба. Windows 7 жүйесінде бұл Басқару тақтасы және «Пайдаланушы тіркелгілерін қосу және жою» тармағы арқылы жүзеге асырылады. «Үздік ондықта» «Параметрлер» және «Тіркелгілер» түймесін басып, «Отбасы және басқа адамдар» тармағын таңдаңыз.

VPN қызметін үйден тыс жерде іске қосыңыз

Үйде сымсыз желіҚауіпсіздік деңгейіңіз жоғары, себебі сіз жергілікті желіге кімнің қол жеткізе алатынын басқарасыз және шифрлау мен кіру кодтары үшін жауаптысыз. Ыстық нүктелер жағдайында бәрі басқаша, мысалы,
қонақүйлерде. Мұнда Wi-Fi үшінші тарап пайдаланушылары арасында таратылады және сіз желіге кіру қауіпсіздігіне ешқандай әсер ете алмайсыз. Қорғау үшін VPN (Виртуалды жеке желі) пайдалануды ұсынамыз. Егер сізге кіру нүктесі арқылы сайттарды шолу қажет болса, кірістірілген VPN соңғы нұсқасы Opera браузері. Браузерді орнатыңыз және «Параметрлер» бөлімінде «Қауіпсіздік» түймесін басыңыз. «VPN» бөлімінде «VPN қосу» құсбелгісін қойыңыз.

Пайдаланылмаған сымсыз қосылымдарды өшіріңіз

Жарайды ма

Тіпті егжей-тегжейлер жағдайдың нәтижесін шеше алады. Wi-Fi және Bluetooth сияқты қосылымдарды пайдаланбасаңыз, әлеуетті олқылықтарды жабу үшін оларды жай ғана өшіріңіз. Windows 10 жүйесінде мұны істеудің ең оңай жолы - Әрекеттер орталығы. «Жеті» осы мақсат үшін Басқару тақтасындағы «Желі қосылымдары» бөлімін ұсынады.

Құпия сөздерді басқару

Әрбір құпия сөз тек бір рет қолданылуы керек және арнайы таңбалардан, сандардан, бас және кіші әріптерден тұруы керек. Сондай-ақ мүмкіндігінше ұзақ болыңыз - жақсырақ он немесе одан да көп таңба. Құпия сөзді қорғау принципі бүгінде өз шегіне жетті, себебі пайдаланушылар тым көп есте сақтауы керек. Сондықтан, мүмкіндігінше, мұндай қорғауды басқа әдістермен ауыстыру керек. Мысалы, Windows жүйесіне кіруді алайық: Windows Hello қолданбасын қолдайтын камераңыз болса, жүйеге кіру үшін бет-әлпетті тану мүмкіндігін пайдаланыңыз. Басқа кодтар үшін күшті басты құпия сөзбен қорғалуы керек KeePass сияқты құпия сөз реттеушілерін пайдалануды ұсынамыз.

Браузерде құпиялылығыңызды қорғаңыз

Интернетте құпиялылықты қорғаудың көптеген жолдары бар. Құпиялық параметрлері кеңейтімі Firefox үшін өте қолайлы. Оны орнатып, оны «Толық құпиялылық» күйіне орнатыңыз. Осыдан кейін браузер сіздің Интернеттегі мінез-құлқыңыз туралы ешқандай ақпарат бермейді.

Құтқару шеңбері: сақтық көшірме

> Сақтық көшірмелер өте маңызды Сақтық көшірмеақтайды
Өзіңізді вирус жұқтырғаннан кейін ғана емес. Ол сондай-ақ аппараттық құралдармен проблемалар туындаған кезде жақсы жұмыс істейді. Біздің кеңес: барлық Windows жүйесінің көшірмесін бір рет жасаңыз, содан кейін барлық маңызды деректердің сақтық көшірмесін қосымша және жүйелі түрде жасаңыз.

> Windows 10 жүйесін толық мұрағаттау «Жетіден» мұраға алынған «Мұрағаттау және қалпына келтіру» модулі. Онымен сіз жасайсыз сақтық көшірмежүйелер. Сіз де пайдалана аласыз арнайы утилиталар, мысалы, True Image немесе Macrium Reflect.

> True Image файлын қорғау және Macrium Reflect ақылы нұсқасы көшірме жасай алады белгілі бір файлдаржәне қалталар. Тегін баламамұрағаттау үшін маңызды ақпаратЖеке сақтық көшірме бағдарламасына айналады.

СУРЕТТЕ: өндірістік компаниялар; NicoElNino/Fotolia.com

Компьютеріңізді қашықтан кіруден қалай қорғауға болады? Браузер арқылы компьютерге кіруді қалай блоктауға болады?

Компьютерді қашықтан кіруден қалай қорғауға болады, олар әдетте бірдеңе болған кезде ойлайды. Бірақ, әрине, бұл, кем дегенде, өз қызметімен айналысатын адам үшін дұрыс емес шешім. Және барлық қолданушылар өздерінің компьютерлеріне бейтаныс адамдардың кіруін шектегені жөн. Бұл мақалада біз компьютерге кіру үшін құпия сөзді орнату әдісін талқыламаймыз, бірақ жергілікті желіден немесе басқа компьютерден компьютерге қосылуға тыйым салу опциясын қарастырамыз, егер олар бір компьютерге қосылған болса. желі. Бұл ақпарат әсіресе компьютерді жаңа пайдаланушылар үшін пайдалы болады.

Сонымен, в операциялық жүйе Windows жүйесінде «Қашықтан қол жеткізу» деп аталатын мүмкіндік бар. Егер ол өшірілмесе, басқа пайдаланушылар компьютеріңізді басқару үшін осы мүмкіндікті пайдалана алады. Егер сіз менеджер болсаңыз да және сіз өзіңіздің қызметкерлеріңізді бақылап отыруыңыз керек болса да, әрине, сізге олардың компьютеріне кіру қажет, бірақ дәл сол қызметкерлер сіздің хатшыңызбен хат алмасуға қарамауы үшін сізді жабуыңыз керек - бұл қиын.. .

дүйсенбі	В	Сәр	Бсен	жұма	Сенбі	Күн

	1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

2020 жылдың наурызы

ЖАРНАМА

Әдеттегідей онлайн-жобалар алға жылжуда. Әдетте, SEO копирайтерлері мәтінге мүмкіндігінше көп нәрсе енгізуге тырысады іздеу сұраулары, оларды бейімдеу

Жалған iPhone телефондарын нақты өнімдерден ажырататын негізгі нюанстарды түсіну ақшаны үнемдеуге және ұқыпсыз сатушылардан сатып алудан аулақ болуға көмектеседі. Не үшін

Санаттағы танымал: