집 › 설치 및 구성 › 네트워크를 통한 컴퓨터 탐지 및 보호. 네트워크 보호. 컴퓨터 네트워크를 보호하는 프로그램입니다. O 나쁨: 관리자원 공유의 취약점

네트워크를 통한 컴퓨터 탐지 및 보호. 네트워크 보호. 컴퓨터 네트워크를 보호하는 프로그램입니다. O 나쁨: 관리자원 공유의 취약점

어떤 사람들은 기업과 개인의 보안을 개선하기 위해 평생을 바칩니다. 그리고 그들은 Windows의 구멍을 패치하는 데 상당한 시간을 소비합니다. Windows 시스템은 주요 채널입니다. 악성 코드 5장에서 논의한 것처럼 좀비(로봇)를 생성하는 것은 빙산의 일각에 불과합니다. 공평하게 말하자면, Windows의 엄청난 인기에 크게 책임이 있지만 Windows 7에는 허점이 너무 많아서 Microsoft의 누군가가 이에 대해 신경을 쓰는지 여부가 불분명합니다.

위협에는 세 가지 주요 유형이 있습니다. 첫째, 네트워크 연결을 통해 컴퓨터를 해킹하려는 사람이 특별히 표적화한 공격입니다. 둘째, 컴퓨터 키보드 앞에 앉아 있는 사람의 공격입니다. 마지막으로 웜이나 기타 유형의 맬웨어에 의해 자동 공격이 수행될 수 있습니다.

Windows 7 및 심지어 이전 Vista에는 의도하지 않은 원치 않는 소프트웨어 설치를 방지하는 데 도움이 되는 사용자 계정 컨트롤이 포함되어 있습니다. 이에 대한 자세한 내용은 암호 및 암호화와 같습니다.

7장에 나와 있습니다. 그러나 대부분의 정크는 네트워크 연결을 통해 들어오므로 네트워크 연결을 통해 컴퓨터 보호를 시작해야 합니다. Windows 7 운영 체제에는 추가 소프트웨어나 하드웨어를 구입하지 않고도 특정 수준의 보안을 제공할 수 있는 여러 기능이 포함되어 있습니다.

안타깝게도 이러한 기능 중 기본적으로 활성화되는 기능은 많지 않습니다. 다음 요소는 무시해서는 안되는 허점입니다.

O 나쁨: UPnP 프로토콜 취약점

UPnP(Universal Plug-and-Play)라는 또 다른 기능은 네트워크에 추가적인 취약성을 열어줄 수 있습니다. UPnP에 대한 더 적절한 이름은 네트워크 플러그 앤 플레이입니다. 이 기능은 네트워크 장치만 다루기 때문입니다. UPnP는 최근에 연결된 장치가 광고를 할 수 있도록 하는 표준 집합입니다.

당신의 존재에 대해 UPnP 서버 USB 장치가 Windows 소유 시스템에 자신의 존재를 알리는 것과 거의 같은 방식으로 네트워크에서

겉으로 보기에는 UPnP 기능이 좋아 보입니다. 그러나 실제로는 UPnP 표준에 인증이 부족하고 맬웨어가 UPnP를 사용하여 방화벽에 구멍을 뚫고 라우터에 포트 전달 규칙을 쉽게 만들 수 있다는 점은 문제일 뿐입니다. UPnP는 현재 일부 게임, 대부분의 미디어 확장기, 인스턴트 메시징, 원격 지원 등에 사용됩니다. 이는 Windows 7 및 기타 여러 버전에서 기본적으로 활성화되는 이유를 설명합니다. 네트워크 장치. 하지만 필요하지 않다면 끄는 것이 좋습니다.

처음 연결할 때 공용 네트워크를 선택한 경우 새로운 네트워크또는 네트워크 및 공유 센터를 통해

^j 공유 센터), UPnP는 기본적으로 비활성화됩니다.

UPnP를 비활성화하려면 01usb(services.msc) 창을 엽니다. 목록에서 SSDP 검색 서비스 서비스를 찾아 툴바에서 서비스 중지 상자 버튼을 클릭하세요. 동시에 UPnP 장치 호스트도 중지되어야 합니다. 그렇지 않다면 그것도 중단하세요. 이제 미디어 서버나 확장기와 같이 네트워크 검색을 사용하고 있다고 의심되는 응용 프로그램이나 장치를 테스트하십시오. 이들 중 어느 것도 없으면 각 서비스를 두 번 클릭하고 시작 유형 목록에서 비활성화를 선택하여 UPnP를 완전히 비활성화할 수 있습니다. 그렇지 않으면 다음에 Windows를 부팅할 때 이러한 서비스가 다시 시작됩니다.

이제 라우터 구성 페이지(이 장의 앞부분에서 설명)를 열고 UPnP 서비스를 비활성화합니다. 이는 애플리케이션이 새로운 포트 전달 규칙을 설정하는 것을 방지하는 데 필요합니다. 라우터에서 UPnP 설정 변경을 허용하지 않는 경우 더 많은 라우터로 업그레이드하는 것이 좋습니다. 새로운 버전"최신 버전의 라우터로 업그레이드" 섹션에 설명된 대로 펌웨어를 업데이트하세요.

O Bad: 개방형 포트 취약점

이 장의 뒷부분에 설명된 대로 개방형 포트 검색을 사용하여 시스템의 취약점을 찾으십시오.

O 좋음: 원격 작업 공간이지만 필요할 때만 가능

"에 설명된 원격 데스크톱 기능 리모콘컴퓨터"는 Windows 7 Professional 및 Ultimate에서 기본적으로 활성화됩니다. 이 기능이 특별히 필요한 경우가 아니면 이 기능을 꺼야 합니다. 제어판에서 시스템을 열고 원격 액세스 설정 링크를 선택합니다. 페이지에서 원격 액세스시스템 속성 창에서 이 컴퓨터에 대한 원격 지원 연결 허용 확인란을 끄고 아래 이 컴퓨터에 대한 연결 허용 안 함 확인란을 선택하세요.

O 알았어: 계정 비밀번호

이론에 의하면 일반 액세스새 사용자 계정을 생성할 때의 기본 설정인 비밀번호가 없는 계정에서는 파일에 저장이 작동하지 않습니다. 그러나 비밀번호 없는 계정은 키보드 앞에 앉아 있는 사람에 대해 어떠한 보호도 제공하지 않으며, 관리자 권한이 있는 사용자 계정인 경우 이 컴퓨터의 다른 사용자에게 문이 열려 있습니다. 사용자 계정과 비밀번호에 대한 설명은 7장을 참조하세요.

홈 그룹 및 파일 공유 정보

모든 공유 폴더는 잠재적으로 열린 문입니다. 따라서 실제로 필요한 폴더에만 공개 액세스를 제공해야 합니다. Windows 7에서는 파일 권한과 공유 권한이 서로 다릅니다. 이에 대해서는 7장에서 더 자세히 논의한다.

O 나쁜 점: 공유 마법사 취약점

작업 그룹을 만드는 주요 이유 중 하나는 파일과 프린터를 공유하는 것입니다. 그러나 공유해야 하는 폴더만 공유하고 다른 모든 폴더에 대해서는 공유를 끄는 것이 좋습니다. 2장에서 설명하고 7장에서 자세히 설명하는 공유 마법사 사용이라는 기능을 사용하면 파일을 보고 변경할 수 있는 사람을 완전히 제어할 수는 없습니다.

O 나쁨: 관리자원 공유의 취약점

7장에서 설명한 공유 기능을 사용하면 해당 드라이브의 폴더를 공유하는지 여부에 관계없이 컴퓨터의 모든 드라이브에 액세스할 수 있습니다.

오 좋다: 방화벽

컴퓨터에서 들어오고 나가는 네트워크 흐름을 엄격하게 제어하려면 아래에 설명된 방화벽을 구성하세요. 하지만 Windows에 내장된 방화벽 소프트웨어에 의존하여 충분한 보호를 제공하지는 마세요.

A 좋음: 지원 센터는 좋지만 전적으로 의존해서는 안 됩니다. 그림에 표시된 지원 센터는 다음과 같습니다. 6.28은 Windows 방화벽, Windows Defender, 사용자 계정 컨트롤 및 자동 업데이트를 관리하는 데 사용되는 제어판의 중앙 페이지입니다. 그는 또한 통제한다 바이러스 백신 프로그램그러나 순전히 정치적인 이유로 Windows 7에는 자체 바이러스 백신 프로그램이 없습니다.

가장 중요한 것은 Action Center가 뷰어일 뿐이라는 것입니다. 특정 보호 조치가 활성화된 것으로 확인되면 활성 실행 여부에 관계없이 알림 센터가 만족할 것이며 알림을 받지 않게 됩니다.

지원 센터의 메시지가 지겨우신가요? 왼쪽에 있는 알림 센터 설정 변경 링크를 클릭하고 보고할 가치가 있는 문제와 무시할 수 있는 문제를 선택하세요. 이 페이지의 모든 확인란을 꺼서 관리 센터의 모든 메시지를 비활성화할 수 있지만, 전체 기능을 완전히 비활성화하려면 서비스 창(services.msc)을 열고 관리 센터를 꺼야 합니다. 이렇게 하면 사용 중인 방화벽, 바이러스 백신 또는 자동 업데이트가 비활성화되지 않으며 이러한 도구에 대한 모니터링 도구와 그에 수반되는 메시지만 비활성화됩니다.

여기에서는 방화벽이나 맬웨어 방지 설정을 변경할 수 없습니다. 이렇게 하려면 제어판으로 돌아가서 적절한 프로그램을 열어야 합니다.

네트워크 웜 전염병의 문제는 모든 것과 관련이 있습니다. 지역 네트워크. 조만간 네트워크 또는 이메일 웜이 LAN에 침투하고 사용 중인 바이러스 백신에 의해 감지되지 않는 상황이 발생할 수 있습니다. 네트워크 바이러스는 감염 당시 해결되지 않은 운영 체제 취약점이나 쓰기 가능한 공유 리소스를 통해 LAN을 통해 확산됩니다. 메일 바이러스는 이름에서 알 수 있듯이 클라이언트 바이러스 백신 및 바이러스 백신에 의해 차단되지 않는 한 이메일을 통해 배포됩니다. 메일 서버. 또한 LAN의 전염병은 내부자의 활동으로 인해 내부에서 조직될 수 있습니다. 이 기사에서는 특히 저자의 AVZ 유틸리티를 사용하여 다양한 도구를 사용하여 LAN 컴퓨터의 작동 분석을 위한 실용적인 방법을 살펴보겠습니다.

문제의 공식화

네트워크에서 전염병이나 비정상적인 활동이 감지되면 관리자는 최소한 다음 세 가지 작업을 신속하게 해결해야 합니다.

네트워크에서 감염된 PC를 탐지합니다.
안티 바이러스 연구소로 보낼 악성 코드 샘플을 찾아 대응 전략을 개발합니다.
LAN에서 바이러스 확산을 차단하고 감염된 컴퓨터에서 바이러스를 파괴하기 위한 조치를 취하십시오.

내부자 활동의 경우 주요 분석 단계는 동일하며 내부자가 LAN 컴퓨터에 설치한 타사 소프트웨어를 탐지해야 하는 경우가 가장 많습니다. 이러한 소프트웨어의 예로는 원격 관리 유틸리티, 키로거다양한 트로이 목마 북마크.

각 작업에 대한 솔루션을 더 자세히 고려해 보겠습니다.

감염된 PC 검색

네트워크에서 감염된 PC를 검색하려면 다음 세 가지 이상의 방법을 사용할 수 있습니다.

자동 원격 PC 분석 - 실행 중인 프로세스, 로드된 라이브러리 및 드라이버에 대한 정보 획득, 특성 패턴 검색(예: 프로세스 또는 파일 포함) 주어진 이름;
스니퍼를 이용한 PC 트래픽 분석 - 이 방법스팸 봇, 이메일 및 네트워크 웜을 잡는 데 매우 효과적입니다. 그러나 스니퍼 사용의 가장 큰 어려움은 최신 LAN이 스위치를 기반으로 구축되어 결과적으로 관리자가 트래픽을 모니터링할 수 없다는 것입니다. 전체 네트워크. 문제는 두 가지 방법으로 해결될 수 있습니다. 즉, 라우터에서 스니퍼를 실행(인터넷과 PC 데이터의 교환을 모니터링할 수 있음)하거나 스위치의 모니터링 기능(다양한 기능)을 사용하는 것입니다. 현대 스위치관리자가 지정한 하나 이상의 스위치 포트의 트래픽이 복제되는 모니터링 포트를 할당할 수 있습니다.
네트워크 부하 연구 - 이 경우 부하를 평가할 수 있을 뿐만 아니라 관리자가 지정한 포트를 원격으로 비활성화할 수 있는 스마트 스위치를 사용하는 것이 매우 편리합니다. 관리자가 해당 스위치 포트에 연결된 PC와 해당 위치에 대한 정보가 포함된 네트워크 맵을 가지고 있으면 이 작업이 크게 단순화됩니다.
허니팟 사용 - 관리자가 적시에 전염병을 감지할 수 있도록 로컬 네트워크에 여러 허니팟을 만드는 것이 좋습니다.

네트워크상의 PC 자동 분석

자동 PC 분석은 세 가지 주요 단계로 축소될 수 있습니다.

전체 PC 검사 수행 - 실행 중인 프로세스, 로드된 라이브러리 및 드라이버, 자동 시작
운영 연구 수행(예: 특징적인 프로세스 또는 파일 검색)
특정 기준에 따라 물건을 격리합니다.

위의 모든 문제는 서버의 네트워크 폴더에서 실행되도록 설계되었으며 자동 PC 검사를 위한 스크립트 언어를 지원하는 작성자의 AVZ 유틸리티를 사용하여 해결할 수 있습니다. 사용자 컴퓨터에서 AVZ를 실행하려면 다음을 수행해야 합니다.

읽기 위해 열려 있는 서버의 네트워크 폴더에 AVZ를 배치합니다.
이 폴더에 LOG 및 Qurantine 하위 디렉터리를 만들고 사용자가 여기에 쓸 수 있도록 허용합니다.
rexec 유틸리티 또는 로그온 스크립트를 사용하여 LAN 컴퓨터에서 AVZ를 실행합니다.

3단계에서 AVZ 실행은 다음 매개변수를 사용하여 수행되어야 합니다.

\\my_server\AVZ\avz.exe 우선 순위=-1 nw=Y nq=Y HiddenMode=2 스크립트=\\my_server\AVZ\my_script.txt

이 경우 Priority=-1 매개변수는 AVZ 프로세스의 우선순위를 낮추고, nw=Y 및 nq=Y 매개변수는 격리를 "네트워크 실행" 모드로 전환합니다(이 경우 격리 폴더에 하위 디렉터리가 생성됩니다). 이름이 PC의 네트워크 이름과 일치하는 각 컴퓨터에 대해 HiddenMode=2는 GUI 및 AVZ 컨트롤에 대한 사용자 액세스를 거부하도록 지시하고 마지막으로 가장 중요한 Script 매개 변수는 AVZ가 사용자 컴퓨터에서 실행할 명령입니다. AVZ 스크립팅 언어는 사용이 매우 간단하며 컴퓨터 검사 및 치료 문제 해결에만 중점을 둡니다. 스크립트 작성 프로세스를 단순화하려면 온라인 프롬프트, 표준 스크립트 생성을 위한 마법사, 작성된 스크립트를 실행하지 않고도 작성된 스크립트의 정확성을 확인하는 도구가 포함된 특수 스크립트 편집기를 사용할 수 있습니다(그림 1).

쌀. 1. AVZ 스크립트 편집기

전염병 퇴치에 유용할 수 있는 세 가지 일반적인 스크립트를 살펴보겠습니다. 먼저 PC 연구 스크립트가 필요합니다. 스크립트의 임무는 시스템을 검사하고 주어진 네트워크 폴더의 결과로 프로토콜을 생성하는 것입니다. 스크립트는 다음과 같습니다.

WatchDog 활성화(60 * 10);

// 스캐닝 및 분석 시작

// 시스템 탐색

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//AVZ 종료

이 스크립트를 실행하는 동안 네트워크 컴퓨터 연구 결과가 포함된 HTML 파일이 LOG 폴더에 생성됩니다(서버의 AVZ 디렉터리에 생성되고 사용자가 쓸 수 있다고 가정). 고유성을 유지하려면 검사 중인 컴퓨터의 이름이 프로토콜 이름에 포함됩니다. 스크립트 시작 부분에는 스크립트 실행 중에 오류가 발생할 경우 10분 후에 AVZ 프로세스를 강제로 종료하는 감시 타이머를 활성화하는 명령이 있습니다.

AVZ 프로토콜은 수동 연구에는 편리하지만 자동화된 분석에는 거의 사용되지 않습니다. 또한, 관리자가 악성코드 파일명을 알고 있어 유무만 확인하면 되는 경우가 많다. 이 파일, 가능한 경우 분석을 위해 격리합니다. 이 경우 다음 스크립트를 사용할 수 있습니다.

// 10분 동안 감시 타이머를 활성화합니다.

WatchDog 활성화(60 * 10);

// 이름으로 악성코드 검색

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen이 의심됩니다');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen이 의심됩니다');

//AVZ 종료

이 스크립트는 QuarantineFile 함수를 사용하여 지정된 파일을 격리하려고 시도합니다. 관리자는 격리된 파일이 있는지 확인하기 위해 격리(Quarantine\network_name_PC\quarantine_date\ 폴더) 내용만 분석할 수 있습니다. QuarantineFile 기능은 보안 AVZ 데이터베이스 또는 Microsoft 디지털 서명 데이터베이스에 의해 식별된 파일의 격리를 자동으로 차단합니다. 을 위한 실용적인 응용 프로그램이 스크립트는 개선될 수 있습니다. 외부 텍스트 파일에서 파일 이름 로드를 구성하고, 발견된 파일을 AVZ 데이터베이스와 비교하고, 작업 결과로 텍스트 프로토콜을 생성합니다.

//지정된 이름의 파일을 검색합니다.

function CheckByName(Fname: string) : 부울;

결과:= FileExists(FName) ;

결과가 다음 시작되면

CheckFile(FName)의 경우

1: S:= ', 파일에 대한 접근이 차단되었습니다';

1: S:= ', 맬웨어로 감지됨('+GetLastCheckTxt+')';

2: S:= ', 파일 스캐너에 의해 의심됨('+GetLastCheckTxt+')';

3: 종료; // 안전한 파일은 무시됩니다.

AddToLog(''+NormalFileName(FName)+' 파일에 의심스러운 이름이 있습니다.'+S);

//지정된 파일을 격리에 추가합니다.

QuarantineFile(FName,'의심스러운 파일'+S);

SuspNames: TStringList; // 의심스러운 파일 이름 목록

// 업데이트된 데이터베이스와 비교하여 파일을 확인합니다.

FileExists(GetAVZDirectory + 'files.db')인 경우 시작됩니다.

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('로드된 데이터베이스 이름 - 레코드 수 = '+inttostr(SuspNames.Count));

// 검색 루프

i:= 0에서 SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('파일 이름 목록 불러오기 오류');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

이 스크립트가 작동하려면 사용자가 쓰기 위해 액세스할 수 있는 AVZ 폴더에 Quarantine 및 LOG 디렉터리를 생성해야 합니다. 텍스트 파일 files.db - 이 파일의 각 줄에는 의심스러운 파일의 이름이 포함됩니다. 파일 이름에는 매크로가 포함될 수 있으며, 그 중 가장 유용한 것은 %WinDir%(경로 윈도우 폴더) 및 %SystemRoot%(System32 폴더 경로). 또 다른 분석 방향은 사용자 컴퓨터에서 실행 중인 프로세스 목록을 자동으로 검사하는 것입니다. 실행 중인 프로세스에 대한 정보는 시스템 연구 프로토콜에 있지만 자동 분석의 경우 다음 스크립트 조각을 사용하는 것이 더 편리합니다.

절차 ScanProcess;

S:= ''; S1:= '';

//프로세스 목록 업데이트

새로고침프로세스목록;

AddToLog('프로세스 수 = '+IntToStr(GetProcessCount));

// 수신된 목록의 분석 주기

i:= 0에서 GetProcessCount까지 - 1 시작

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// 이름으로 프로세스 검색

if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0이면

S:= S + GetProcessName(i)+',';

S라면<>''그 다음에

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

이 스크립트의 프로세스 연구는 별도의 ScanProcess 프로시저로 수행되므로 자체 스크립트에 배치하기가 쉽습니다. ScanProcess 프로시저는 두 가지 프로세스 목록을 작성합니다. 전체 목록프로세스(후속 분석용) 및 관리자의 관점에서 위험한 것으로 간주되는 프로세스 목록. 이 경우 데모 목적으로 'trojan.exe'라는 프로세스는 위험한 것으로 간주됩니다. 위험한 프로세스에 대한 정보는 텍스트 파일 _alarm.txt에 추가되고, 모든 프로세스에 대한 데이터는 _all_process.txt 파일에 추가됩니다. 예를 들어 안전한 파일 데이터베이스에 대해 프로세스 파일을 확인하거나 이름을 확인하는 등 스크립트를 추가하면 스크립트가 복잡해질 수 있음을 쉽게 알 수 있습니다. 실행 파일외부 기반의 프로세스. Smolenskenergo에서 사용되는 AVZ 스크립트에도 유사한 절차가 사용됩니다. 관리자는 수집된 정보를 주기적으로 연구하고 스크립트를 수정하여 보안 정책에서 금지하는 프로그램 프로세스 이름(예: ICQ 및 MailRu.Agent)을 추가합니다. 연구 중인 PC에 금지된 소프트웨어가 있는지 빠르게 확인할 수 있습니다. 프로세스 목록의 또 다른 용도는 바이러스 백신과 같은 필수 프로세스가 누락된 PC를 찾는 것입니다.

결론적으로 유용한 분석 스크립트 중 마지막인 안전한 AVZ 데이터베이스 및 Microsoft 디지털 서명 데이터베이스에서 인식되지 않는 모든 파일을 자동으로 격리하는 스크립트를 살펴보겠습니다.

// 자동 격리 수행

ExecuteAutoQuarantine;

자동 격리는 실행 중인 프로세스와 로드된 라이브러리, 서비스 및 드라이버, 약 45개의 자동 시작 방법, 브라우저 및 탐색기 확장 모듈, SPI/LSP 처리기, 스케줄러 작업, 인쇄 시스템 처리기 등을 검사합니다. 격리의 특징은 반복 제어를 통해 파일이 추가되므로 자동 격리 기능을 반복적으로 호출할 수 있다는 것입니다.

자동 격리의 장점은 관리자가 검사를 위해 네트워크의 모든 컴퓨터에서 잠재적으로 의심스러운 파일을 신속하게 수집할 수 있다는 것입니다. 파일을 연구하는 가장 간단하지만 실제로는 매우 효과적인 형태는 최대 휴리스틱 모드에서 널리 사용되는 여러 바이러스 백신을 사용하여 격리 결과를 확인하는 것입니다. 수백 대의 컴퓨터에서 자동 격리를 동시에 실행하면 네트워크와 파일 서버에 높은 부하가 발생할 수 있다는 점에 유의해야 합니다.

교통 연구

교통 조사는 세 가지 방법으로 수행될 수 있습니다.

스니퍼를 수동으로 사용;
반자동 모드 - 이 경우 스니퍼는 정보를 수집한 다음 해당 프로토콜이 수동으로 또는 일부 소프트웨어에 의해 처리됩니다.
Snort(http://www.snort.org/)와 같은 침입 탐지 시스템(IDS)이나 해당 소프트웨어 또는 하드웨어 유사품을 자동으로 사용합니다. 가장 간단한 경우 IDS는 스니퍼와 스니퍼가 수집한 정보를 분석하는 시스템으로 구성됩니다.

침입 탐지 시스템은 네트워크 활동의 이상 징후를 탐지하기 위한 규칙 세트를 생성할 수 있기 때문에 최적의 도구입니다. 두 번째 장점은 다음과 같습니다. 대부분의 최신 IDS에서는 트래픽 모니터링 에이전트를 여러 네트워크 노드에 배치할 수 있습니다. 에이전트는 정보를 수집하여 전송합니다. 스니퍼를 사용하는 경우 UNIX 스니퍼 tcpdump 콘솔을 사용하는 것이 매우 편리합니다. 예를 들어 포트 25의 활동을 모니터링하려면( SMTP 프로토콜) 그냥 스니퍼를 실행하세요 명령줄유형:

tcpdump -i em0 -l tcp 포트 25 > smtp_log.txt

이 경우 패킷은 em0 인터페이스를 통해 캡처됩니다. 캡처된 패킷에 대한 정보는 smtp_log.txt 파일에 저장됩니다. 이 프로토콜은 수동으로 분석하기가 상대적으로 쉽습니다. 이 예에서는 포트 25의 활동을 분석하면 활성 스팸 봇이 있는 PC를 식별할 수 있습니다.

허니팟 적용

성능상 문제 해결에 사용할 수 없는 오래된 컴퓨터를 함정(허니팟)으로 사용할 수 있습니다. 생산 작업. 예를 들어, 64MB의 Pentium Pro는 작성자의 네트워크에서 트랩으로 성공적으로 사용되었습니다. 랜덤 액세스 메모리. 이 PC에서는 LAN에 가장 일반적인 운영 체제를 설치하고 다음 전략 중 하나를 선택해야 합니다.

업데이트 패키지 없이 운영 체제를 설치합니다. 이는 이 운영 체제에 대해 알려진 취약점을 악용하는 네트워크에 활성 네트워크 웜이 나타나는 지표가 됩니다.
네트워크의 다른 PC에 설치된 업데이트로 운영 체제를 설치합니다. 허니팟은 모든 워크스테이션과 유사합니다.

각 전략에는 장단점이 있습니다. 작성자는 업데이트 없이 옵션을 주로 사용하고 있습니다. 허니팟을 생성한 후에는 다음을 위한 디스크 이미지를 생성해야 합니다. 빠른 회복악성 코드로 인해 시스템이 손상된 후. 디스크 이미지 대신 ShadowUser 및 해당 유사 시스템과 같은 변경 롤백 시스템을 사용할 수 있습니다. 허니팟을 구축한 후에는 다수의 네트워크 웜이 감염된 PC의 IP 주소로부터 계산된 IP 범위를 스캔하여 감염된 컴퓨터를 검색한다는 점을 고려해야 합니다(일반적인 일반적인 전략은 X.X.X.*, X.X.X+1.*, X.X.X-1.*), - 따라서 이상적으로는 각 서브넷에 허니팟이 있어야 합니다. 추가 준비 요소로 허니팟 시스템의 여러 폴더에 대한 액세스를 열어야 하며 이러한 폴더에는 다양한 형식의 여러 샘플 파일을 넣어야 하며 최소 세트는 EXE, JPG, MP3입니다.

당연히 허니팟을 생성한 후 관리자는 허니팟의 작동을 모니터링하고 이상 징후가 발견되면 이에 대응해야 합니다. 이 컴퓨터. 감사자는 변경 사항을 기록하는 수단으로 사용될 수 있으며, 스니퍼는 네트워크 활동을 기록하는 데 사용될 수 있습니다. 중요한 점대부분의 스니퍼는 지정된 네트워크 활동이 감지되면 관리자에게 경고를 보내도록 구성하는 기능을 제공합니다. 예를 들어, CommView 스니퍼에서는 네트워크 패킷을 설명하는 "공식"을 지정하거나 정량적 기준을 지정하는 규칙(지정된 수의 패킷 또는 초당 바이트 수 이상 전송, 식별되지 않은 IP 또는 MAC 주소로 패킷 전송)이 규칙에 포함됩니다. 무화과. 2.

쌀. 2. 네트워크 활동 경고 생성 및 구성

경고로, 다음 주소로 전송된 이메일 메시지를 사용하는 것이 가장 편리합니다. 사서함관리자 - 이 경우 네트워크의 모든 트랩으로부터 프롬프트 경고를 받을 수 있습니다. 또한 스니퍼를 사용하여 여러 경고를 생성할 수 있는 경우 작업을 강조하여 네트워크 활동을 차별화하는 것이 좋습니다. 이메일로, FTP/HTTP, TFTP, Telnet, MS Net, 모든 프로토콜에 대해 초당 20-30개 이상의 패킷으로 트래픽이 증가했습니다(그림 3).

쌀. 3. 통지서 발송
지정된 기준과 일치하는 패킷이 감지된 경우

트랩을 구성할 때 네트워크에서 사용되는 여러 취약한 네트워크 서비스를 그 위에 배치하거나 해당 서비스에 대한 에뮬레이터를 설치하는 것이 좋습니다. 가장 간단한(무료) 것은 설치 없이 작동하는 독점 APS 유틸리티입니다. APS의 작동 원리는 데이터베이스에 설명된 많은 TCP 및 UDP 포트를 수신하고 연결 순간 미리 결정되거나 무작위로 생성된 응답을 발행하는 것입니다(그림 4).

쌀. 4. APS 유틸리티의 메인 창

그림은 Smolenskenergo LAN에서 실제 APS 활성화 중에 찍은 스크린샷을 보여줍니다. 그림에서 볼 수 있듯이 클라이언트 컴퓨터 중 하나를 포트 21에 연결하려는 시도가 기록되었습니다. 프로토콜 분석에 따르면 이러한 시도는 주기적이며 네트워크의 여러 트랩에 의해 기록되는 것으로 나타났습니다. 비밀번호를 추측하여 FTP 서버를 검색하고 해킹하기 위해 네트워크를 검사하고 있습니다. APS는 로그를 유지하고 모니터링되는 포트에 등록된 연결 보고서와 함께 관리자에게 메시지를 보낼 수 있으므로 네트워크 스캔을 빠르게 감지하는 데 편리합니다.

허니팟을 만들 때 해당 주제에 대한 온라인 리소스, 특히 http://www.honeynet.org/를 숙지하는 것도 도움이 됩니다. 이 사이트(http://www.honeynet.org/tools/index.html)의 도구 섹션에서 공격을 기록하고 분석하기 위한 다양한 도구를 찾을 수 있습니다.

원격 악성코드 제거

이상적으로는 맬웨어 샘플을 탐지한 후 관리자가 이를 안티 바이러스 실험실로 보내고 그곳에서 분석가가 즉시 샘플을 연구하고 해당 서명이 안티 바이러스 데이터베이스에 추가됩니다. 이러한 서명은 다음을 통해 이루어집니다. 자동 업데이트사용자의 PC에 침입하면 바이러스 백신이 관리자 개입 없이 자동으로 맬웨어를 제거합니다. 그러나 이 체인이 항상 예상대로 작동하는 것은 아닙니다. 특히 다음과 같은 실패 이유가 있을 수 있습니다.

네트워크 관리자와는 별개로 여러 가지 이유로 인해 이미지가 바이러스 백신 연구소에 도달하지 못할 수 있습니다.
안티 바이러스 실험실의 효율성이 부족합니다. 이상적으로는 샘플을 연구하고 데이터베이스에 입력하는 데 1~2시간이 채 걸리지 않습니다. 이는 업데이트된 서명 데이터베이스를 근무일 내에 얻을 수 있음을 의미합니다. 그러나 모든 바이러스 백신 연구소가 그렇게 빨리 작동하는 것은 아니며 업데이트를 위해 며칠(드물게 몇 주)까지 기다릴 수도 있습니다.
고성능 바이러스 백신 - 다수의 악성 프로그램이 활성화된 후 바이러스 백신을 파괴하거나 다른 방식으로 작동을 방해합니다. 고전적인 예로는 호스트 파일에 차단하는 항목을 만드는 것이 포함됩니다. 정상적인 일바이러스 백신 자동 업데이트 시스템, 프로세스, 서비스 및 바이러스 백신 드라이버 삭제, 설정 손상 등

따라서 위와 같은 상황에서는 악성코드를 수동으로 처리해야 합니다. 대부분의 경우 컴퓨터 검사 결과 감염된 PC와 악성 코드 파일의 전체 이름이 밝혀지기 때문에 이는 어렵지 않습니다. 남은 것은 원격으로 제거하는 것뿐입니다. 악성 프로그램이 삭제되지 않도록 보호되지 않으면 다음 AVZ 스크립트를 사용하여 제거할 수 있습니다.

// 파일 삭제

DeleteFile('파일이름');

실행SysClean;

이 스크립트는 지정된 파일 하나(또는 스크립트에 삭제 파일 명령 수에 무제한이 있을 수 있으므로 여러 파일)를 삭제한 다음 자동으로 레지스트리를 정리합니다. 더 복잡한 경우에는 맬웨어가 삭제되지 않도록 보호하거나(예: 파일 및 레지스트리 키를 다시 생성하여) 루트킷 기술을 사용하여 위장할 수 있습니다. 이 경우 스크립트는 더욱 복잡해지며 다음과 같이 표시됩니다.

// 안티 루트킷

SearchRootkit(참, 참);

// AVZGuard 제어

SetAVZGuardStatus(true);

// 파일 삭제

DeleteFile('파일이름');

// BootCleaner 로깅 활성화

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// 스크립트에 의해 삭제된 파일 목록을 BootCleaner 작업으로 가져옵니다.

BC_ImportDeletedList;

// BootCleaner 활성화

// 휴리스틱 시스템 정리

실행SysClean;

재부팅Windows(true);

이 스크립트에는 루트킷에 대한 활성 대응, AVZGuard 시스템(맬웨어 활동 차단기) 및 BootCleaner 시스템의 사용이 포함되어 있습니다. BootCleaner는 시스템 부팅 초기 단계에서 재부팅하는 동안 KernelMode에서 지정된 개체를 제거하는 드라이버입니다. 실습에 따르면 이러한 스크립트는 기존 악성 코드의 대부분을 파괴할 수 있습니다. 재부팅할 때마다 실행 파일의 이름을 변경하는 악성 코드는 예외입니다. 이 경우 시스템 검사 중에 발견된 파일의 이름을 바꿀 수 있습니다. 이 경우 컴퓨터를 수동으로 치료하거나 자체 악성 코드 서명을 만들어야 합니다(서명 검색을 구현하는 스크립트의 예는 AVZ 도움말에 설명되어 있습니다).

결론

이 기사에서는 바이러스 백신 제품을 사용하지 않고 수동으로 LAN 전염병에 대처하는 몇 가지 실용적인 기술을 살펴보았습니다. 설명된 기술의 대부분은 사용자 컴퓨터에서 외부 PC 및 트로이 목마 북마크를 검색하는 데에도 사용할 수 있습니다. 맬웨어를 찾거나 치료 스크립트를 만드는 데 어려움이 있는 경우 관리자는 포럼 http://virusinfo.info의 "도움말" 섹션 또는 포럼 http://forum.kaspersky.com의 "바이러스 퇴치" 섹션을 사용할 수 있습니다. /index.php?showforum= 18. 프로토콜 연구 및 치료 지원은 두 포럼 모두에서 무료로 수행되고, PC 분석은 AVZ 프로토콜에 따라 수행되며, 대부분의 경우 치료는 이러한 포럼의 숙련된 전문가가 편집한 감염된 PC에서 AVZ 스크립트를 실행하는 것으로 귀결됩니다. .

사용자 컴퓨터에 물리적 파일이 생성될 때까지 기다려야 하는 네트워크 보호는 네트워크를 통해 사용자 컴퓨터로 들어오는 들어오는 데이터 스트림을 분석하기 시작하고 위협이 시스템에 들어가기 전에 차단합니다.

시만텍 기술이 제공하는 네트워크 보호의 주요 영역은 다음과 같습니다.

드라이브 바이 다운로드, 웹 공격;
- "사회 공학" 공격: FakeAV(가짜 바이러스 백신) 및 코덱
- 공격을 통해 소셜 미디어페이스북처럼;
- 봇에 감염된 악성 코드, 루트킷 및 시스템 탐지
- 지능형 위협으로부터 보호;
- 제로데이 위협;
- 패치가 적용되지 않은 소프트웨어 취약점으로부터 보호합니다.
- 악성 도메인 및 IP 주소로부터 보호합니다.

네트워크 보호 기술

"네트워크 보호" 수준에는 3가지 기술이 포함됩니다.

네트워크 침입방지 솔루션(Network IPS)

네트워크 IPS 기술은 200개 이상의 다양한 프로토콜을 이해하고 검사합니다. 바이너리를 지능적이고 정확하게 잘라냅니다. 네트워크 프로토콜, 동시에 악성 트래픽의 징후를 찾습니다. 이 인텔리전스를 통해 더 정확한 네트워크 스캐닝이 가능하면서도 동시에 안정적인 보호. 그 "핵심"에는 사실상 뚫을 수 없는 보호 기능을 갖춘 개방형 취약점을 제공하는 익스플로잇 차단 엔진이 있습니다. Symantec IPS의 고유한 기능은 이 구성 요소에 구성이 필요하지 않다는 것입니다. 모든 기능은 "즉시 사용 가능"하게 작동합니다. 모든 Norton 소비자 제품과 모든 Symantec Endpoint Protection 제품 버전 12.1 이상에는 이 중요한 기술이 기본적으로 실행됩니다.

브라우저 보호

이 보안 엔진은 브라우저 내부에 있습니다. 이는 기존 안티바이러스나 네트워크 IPS가 감지할 수 없는 가장 복잡한 위협을 감지할 수 있습니다. 요즘에는 많은 네트워크 공격이 탐지를 피하기 위해 난독화 기술을 사용합니다. 브라우저 보호는 브라우저 내부에서 실행되기 때문에 실행 시 아직 숨겨지지 않은(난독화된) 코드를 검사할 수 있습니다. 이를 통해 낮은 수준의 프로그램 보호에서 놓친 공격을 탐지하고 차단할 수 있습니다.

무단 다운로드 보호(UXP)

네트워크 방어 계층 내에 위치한 최후의 방어선은 서명을 사용하지 않고도 알 수 없거나 패치되지 않은 취약점의 영향을 커버하고 완화하는 데 도움이 됩니다. 이는 제로데이 공격에 대한 추가 보호 계층을 제공합니다.

문제에 집중하기

네트워크 보안 기술이 함께 작동하면 다음과 같은 문제가 해결됩니다.

드라이브 바이 다운로드 및 웹 공격 키트

네트워크 IPS, 브라우저 보호 및 UXP 기술을 사용하는 시만텍의 네트워크 보호 기술은 드라이브 바이 다운로드를 차단하고 기본적으로 악성 코드가 사용자 시스템에 도달하는 것을 방지합니다. 일반 악용 차단 기술 및 웹 공격 탐지 도구를 포함하여 동일한 기술의 사용을 포함하는 다양한 예방 방법이 실행됩니다. 일반 웹 공격 탐지 도구는 공격 대상이 되는 특정 취약점에 관계없이 일반적인 웹 공격의 특성을 분석합니다. 이를 통해 새롭고 알려지지 않은 취약점에 대한 추가 보호를 제공할 수 있습니다. 이러한 유형의 보호에 대한 가장 좋은 점은 악성 파일이 시스템을 "조용히" 감염시키는 경우에도 해당 파일이 사전에 차단되고 시스템에서 제거된다는 것입니다. 이는 바로 기존 바이러스 백신 제품이 일반적으로 놓치는 동작입니다. 그러나 시만텍은 일반적으로 다른 방법으로는 탐지할 수 없는 수천만 개의 악성 코드 변종을 계속해서 차단하고 있습니다.

사회 공학 공격

시만텍의 기술은 네트워크 및 브라우저 트래픽이 이동하는 동안 모니터링하므로 FakeAV 또는 가짜 코덱과 같은 "사회 공학" 공격을 탐지합니다. 기술은 이러한 공격이 사용자 화면에 나타나기 전에 차단하도록 설계되었습니다. 대부분의 다른 경쟁 솔루션에는 이 강력한 기능이 포함되어 있지 않습니다.

시만텍은 온라인 위협 차단 기술을 통해 이러한 유형의 공격 수억 건을 차단합니다.

소셜 미디어 애플리케이션을 표적으로 하는 공격

소셜 미디어 애플리케이션은 다양한 메시지, 흥미로운 비디오 및 정보를 수천 명의 친구 및 사용자와 즉시 공유할 수 있게 해주기 때문에 최근 널리 인기를 얻고 있습니다. 이러한 프로그램은 널리 배포되고 잠재력이 있기 때문에 해커의 가장 큰 표적이 됩니다. 일반적인 해커 수법에는 가짜 계정을 만들고 스팸을 보내는 것이 포함됩니다.

시만텍 IPS 기술은 이러한 유형의 속임수 방법으로부터 보호할 수 있으며, 사용자가 클릭하기도 전에 차단하는 경우가 많습니다. 시만텍은 온라인 위협 방지 기술을 통해 사기성 및 스푸핑된 URL, 애플리케이션, 기타 속임수 기술을 차단합니다.

맬웨어, 루트킷 및 봇에 감염된 시스템 탐지

감염된 컴퓨터가 네트워크의 어느 위치에 있는지 정확히 아는 것이 좋지 않습니까? 시만텍의 IPS 솔루션은 다른 보호 계층을 회피했을 수 있는 위협 요소의 탐지 및 복구를 포함하여 이러한 기능을 제공합니다. 시만텍 솔루션은 자동 다이얼링 기능을 만들거나 "업데이트"를 다운로드하여 시스템에서의 활동을 늘리려는 악성 코드와 봇을 탐지합니다. 이를 통해 검토할 시스템의 명확한 목록을 갖고 있는 IT 관리자는 기업이 안전하다는 확신을 가질 수 있습니다. Tidserv, ZeroAccess, Koobface 및 Zbot과 같은 루트킷 기술을 사용하는 다형성 및 복잡한 스텔스 위협은 이 방법을 사용하여 중지하고 제거할 수 있습니다.

난독화된 위협으로부터 보호

오늘날의 웹 공격은 공격의 복잡성을 높이기 위해 복잡한 기술을 사용합니다. 시만텍의 브라우저 보호는 브라우저 내부에 위치하며 기존 방법으로 탐지할 수 없는 매우 복잡한 위협을 탐지할 수 있습니다.

제로데이 위협과 패치되지 않은 취약점

회사가 과거에 추가한 보안 기능 중 하나는 제로 데이 위협과 패치되지 않은 취약점에 대한 추가 보호 계층입니다. 무시그니처 보호를 사용하여 프로그램은 시스템 API 호출을 가로채고 맬웨어 다운로드로부터 보호합니다. 이 기술을 무단 다운로드 보호(UXP)라고 합니다. 이는 네트워크 위협 방지 생태계 내의 마지막 지원 라인입니다. 이를 통해 제품은 서명을 사용하지 않고도 알 수 없거나 패치되지 않은 취약점을 "커버"할 수 있습니다. 이 기술은 기본적으로 활성화되어 있으며 Norton 2010 출시 이후 출시된 모든 제품에서 발견되었습니다.

패치가 적용되지 않은 소프트웨어 취약점으로부터 보호

악성 프로그램은 소프트웨어의 취약점을 이용하여 사용자 모르게 설치되는 경우가 많습니다. 시만텍 네트워크 보안은 GEB(Generic Exploit Blocking)라는 추가 보호 계층을 제공합니다. 여부에 관계없이 최신 업데이트여부에 관계없이 GEB는 "대부분" 악용으로부터 기본 취약점을 보호합니다. Oracle Sun Java, Adobe의 취약점 아크로뱃 리더, 어도비 플래시, 인터넷 익스플로러, ActiveX 컨트롤 또는 QuickTime이 이제 어디에나 있습니다. 일반 악용 방지는 네트워크에서 취약점이 어떻게 악용될 수 있는지 알아내는 "리버스 엔지니어링"을 통해 만들어졌으며, 다음을 위한 특수 패치를 제공합니다. 네트워크 수준. 단일 GEB, 즉 취약성 서명은 새로운 악성 코드와 알려지지 않은 수천 개의 악성 코드 변종으로부터 보호할 수 있습니다.

악성 IP 및 도메인 차단

시만텍의 네트워크 보호에는 알려진 악성 사이트의 악성 코드와 트래픽을 차단하는 동시에 악성 도메인과 IP 주소를 차단하는 기능도 포함되어 있습니다. 시만텍은 STAR의 엄격한 웹사이트 분석 및 업데이트를 통해 끊임없이 변화하는 위협에 대한 실시간 보호 기능을 제공합니다.

향상된 회피 저항

base64 및 gzip과 같은 암호화 기술을 사용하여 공격 탐지의 효율성을 향상시키기 위해 추가 인코딩에 대한 지원이 추가되었습니다.

사용 정책을 시행하고 데이터 유출을 식별하는 네트워크 감사 감지

네트워크 IPS를 사용하면 기업 사용 정책을 위반할 수 있는 애플리케이션 및 도구를 식별하거나 네트워크를 통한 데이터 유출을 방지할 수 있습니다. IM, P2P, 소셜 미디어 또는 기타 "흥미로운" 유형의 트래픽을 탐지, 경고 또는 방지할 수 있습니다.

STAR 인텔리전스 통신 프로토콜

네트워크 보안 기술은 스스로 작동하지 않습니다. 엔진은 STAR Intelligence Communication(STAR ICB) 프로토콜을 사용하여 다른 보안 서비스와 통신합니다. Network IPS 엔진은 Symantec Sonar 엔진에 연결한 다음 Insight Reputation 엔진에 연결합니다. 이를 통해 보다 유익하고 정확한 보호를 제공할 수 있습니다.

다음 기사에서는 행동 분석기 수준을 살펴보겠습니다.

Symantec 자료를 기반으로 함

모든 Windows PC에는 바이러스 백신이 설치되어 있어야 합니다. 오랫동안 이것은 황금률로 여겨졌으나 오늘날 IT 보안 전문가들은 보안 소프트웨어의 효율성에 대해 논쟁을 벌이고 있습니다. 비평가들은 바이러스 백신이 항상 보호하는 것은 아니며 때로는 그 반대일 수도 있다고 주장합니다. 부주의한 구현으로 인해 시스템 보안에 공백이 생길 수 있습니다. 이러한 솔루션의 개발자는 대조됩니다. 이 의견엄청난 수의 공격이 차단되었으며 마케팅 부서에서는 자사 제품이 제공하는 포괄적인 보호 기능을 계속해서 신뢰하고 있습니다.

진실은 중간 어딘가에 있습니다. 바이러스 백신은 완벽하게 작동하지 않지만 모두 쓸모없다고 할 수는 없습니다. 다양한 위협에 대해 경고하지만 Windows를 최대한 보호하는 데는 충분하지 않습니다. 사용자로서 이는 다음을 의미합니다. 바이러스 백신을 휴지통에 버리거나 맹목적으로 신뢰할 수 있습니다. 그러나 어떤 식으로든 이는 보안 전략의 블록 중 하나일 뿐입니다(비록 큰 블록임에도 불구하고). 우리는 이러한 "브릭"을 9개 더 제공할 것입니다.

보안 위협: 바이러스 백신

> 비평가들의 의견 현재 바이러스 스캐너에 대한 논란은 전 Firefox 개발자인 Robert O'Callaghan에 의해 촉발되었습니다. 그는 바이러스 백신이 Windows의 보안을 위협하므로 제거되어야 한다고 주장합니다. 유일한 예외는 Microsoft의 Windows Defender입니다.

> 개발자의 의견 다음을 포함한 바이러스 백신 제작자 카스퍼스키랩, 논쟁으로 그들은 인상적인 수치를 인용합니다. 따라서 2016년에 이 연구소의 소프트웨어는 사용자 컴퓨터에 대한 약 7억 6천만 건의 인터넷 공격을 등록하고 예방했습니다.

> CHIP이 생각하는 바이러스 백신은 유물이나 만병통치약으로 간주되어서는 안 됩니다. 그들은 보안 건물의 벽돌일 뿐입니다. 소형 바이러스 백신을 사용하는 것이 좋습니다. 하지만 너무 걱정하지 마세요. Windows Defender는 괜찮습니다. 간단한 타사 스캐너를 사용할 수도 있습니다.

올바른 바이러스 백신 선택

이전과 마찬가지로 우리는 바이러스 백신 보호 없이는 Windows를 생각할 수 없다고 확신합니다. 올바른 제품을 선택하기 만하면됩니다. Tens 사용자의 경우 내장된 Windows Defender일 수도 있습니다. 테스트 중에 최고의 인식 수준을 나타내지 않았음에도 불구하고 시스템에 완벽하게 통합되었으며 가장 중요한 것은 보안 문제가 없다는 것입니다. 또한 Microsoft는 Windows 10용 크리에이터스 업데이트에서 제품을 개선하고 관리를 단순화했습니다.

다른 개발자의 바이러스 백신 패키지는 Defender보다 인식률이 더 높은 경우가 많습니다. 우리는 컴팩트한 솔루션을 지지합니다. 우리 평가의 리더 이 순간카스퍼스키예요 인터넷 보안 2017. 다음과 같은 추가 옵션을 거부할 수 있는 사람 부모의 통제및 암호 관리자는 Kaspersky Lab의 보다 예산 친화적인 옵션에 관심을 돌려야 합니다.

업데이트 팔로우

Windows 보안을 유지하기 위해 단 하나의 조치만 선택해야 한다면 우리는 반드시 업데이트를 선택할 것입니다. 물론 이 경우 주로 Windows 업데이트에 대해 이야기하고 있지만 그 뿐만이 아닙니다. Office, Firefox, iTunes 등 설치된 소프트웨어도 정기적으로 업데이트해야 합니다. Windows에서는 시스템 업데이트를 받는 것이 비교적 쉽습니다. "seven"과 "ten" 모두 기본 설정을 사용하여 패치가 자동으로 설치됩니다.

프로그램의 경우 자동 업데이트 기능이 내장 된 Firefox 및 Chrome만큼 업데이트가 쉽지 않기 때문에 상황이 더욱 어려워집니다. SUMo(소프트웨어 업데이트 모니터) 유틸리티는 이 작업을 해결하도록 지원하고 업데이트 가용성을 알려줍니다. 관련 프로그램인 DUMo(Driver Update Monitor)는 드라이버에 대해 동일한 작업을 수행합니다. 그러나 두 무료 도우미 모두 새 버전에 대한 정보만 제공하므로 직접 다운로드하여 설치해야 합니다.

방화벽 설정

Windows에 내장된 방화벽은 제 역할을 잘 수행하며 들어오는 모든 요청을 안정적으로 차단합니다. 그러나 더 많은 기능을 수행할 수 있습니다. 기본 구성에 따라 그 잠재력이 제한되지 않습니다. 설치된 프로그램요청하지 않고 방화벽의 포트를 열 수 있는 권한이 있습니다. 무료 Windows 방화벽 제어 유틸리티는 다음과 같은 기능을 제공합니다. 더 많은 기능.

이를 실행하고 "프로필" 메뉴에서 필터를 "매체 필터링"으로 설정합니다. 덕분에 방화벽은 주어진 규칙 세트에 따라 나가는 트래픽도 제어합니다. 어떤 조치가 포함될지 스스로 결정합니다. 이렇게 하려면 프로그램 화면 왼쪽 하단에서 메모 아이콘을 클릭하세요. 이렇게 하면 한 번의 클릭으로 규칙을 보고 권한을 부여할 수 있습니다. 별도의 프로그램아니면 차단하세요.

특별한 보호를 사용하십시오

업데이트, 바이러스 백신 및 방화벽 - 보안 조치의 삼위일체를 이미 처리했습니다. 때가됐다 미세 조정. Windows용 추가 프로그램의 문제점은 시스템이 제공하는 모든 보안 기능을 활용하지 못하는 경우가 많습니다. EMET(Enhanced Mitigation Experience Toolkit)와 같은 악용 방지 유틸리티는 설치된 소프트웨어를 더욱 강화합니다. 이렇게 하려면 "권장 설정 사용"을 클릭하고 프로그램이 자동으로 실행되도록 하세요.

암호화 강화

개인 데이터를 암호화하면 보호 수준이 크게 향상됩니다. 귀하의 정보가 잘못된 사람의 손에 들어가더라도 해커는 적어도 즉시 좋은 코딩을 제거할 수 없습니다. 전문적으로 윈도우 버전 BitLocker 유틸리티는 이미 제공되며 제어판을 통해 구성됩니다.

VeraCrypt는 모든 사용자를 위한 대안이 될 것입니다. 이 오픈 소스 프로그램은 몇 년 전에 중단된 TrueCrypt의 비공식 후속 프로그램입니다. 만약에 우리 얘기 중이야개인정보 보호에 대해서만 “볼륨 생성” 항목을 통해 암호화된 컨테이너를 생성할 수 있습니다. "암호화된 파일 컨테이너 생성" 옵션을 선택하고 마법사의 지시를 따릅니다. 미리 만들어진 데이터 금고는 일반 디스크처럼 Windows 탐색기를 통해 액세스됩니다.

사용자 계정 보호

컴퓨터 작업이 제한된 권한을 가진 표준 계정으로 수행되기 때문에 많은 취약점이 해커에 의해 악용되지 않은 채로 남아 있습니다. 따라서 일상적인 작업을 위해서는 다음과 같이 설정해야 합니다. 계정. Windows 7에서는 제어판과 "사용자 계정 추가 및 제거" 항목을 통해 이 작업이 수행됩니다. "상위 10개"에서 "설정"과 "계정"을 클릭한 다음 "가족 및 기타 사람"을 선택합니다.

집 밖에서 VPN을 활성화하세요

집에서 무선 네트워크로컬 네트워크에 액세스할 수 있는 사람을 제어하고 암호화 및 액세스 코드를 담당하므로 보안 수준이 높습니다. 예를 들어 핫스팟의 경우 모든 것이 다릅니다.
호텔에서. 여기서 Wi-Fi는 제3자 사용자에게 배포되므로 네트워크 액세스 보안에 영향을 미칠 수 없습니다. 보호를 위해 VPN(가상 사설망)을 사용하는 것이 좋습니다. 액세스 포인트를 통해 사이트를 검색해야 하는 경우에는 내장된 VPN이 최신 버전오페라 브라우저. 브라우저를 설치하고 "설정"에서 "보안"을 클릭하세요. "VPN" 섹션에서 "VPN 활성화" 확인란을 선택합니다.

사용하지 않는 무선 연결을 차단하세요

세부 사항조차도 상황의 결과를 결정할 수 있습니다. Wi-Fi 및 Bluetooth와 같은 연결을 사용하지 않는 경우 간단히 연결을 꺼서 잠재적인 허점을 막으세요. Windows 10에서 이 작업을 수행하는 가장 쉬운 방법은 알림 센터를 이용하는 것입니다. “Seven”은 이러한 목적으로 제어판에 “네트워크 연결” 섹션을 제공합니다.

비밀번호 관리

각 비밀번호는 한 번만 사용해야 하며 특수문자, 숫자, 대문자, 소문자를 포함해야 합니다. 또한 가능한 한 길게 작성하세요. 10자 이상이면 좋습니다. 사용자가 너무 많은 것을 기억해야 하기 때문에 비밀번호 보안 원칙은 오늘날 한계에 도달했습니다. 따라서 가능하다면 그러한 보호는 다른 방법으로 대체되어야 합니다. Windows에 로그인하는 경우를 예로 들어 보겠습니다. Windows Hello를 지원하는 카메라가 있는 경우 얼굴 인식을 사용하여 로그인하세요. 다른 코드의 경우 강력한 마스터 비밀번호로 보호되어야 하는 KeePass와 같은 비밀번호 관리자를 사용하는 것이 좋습니다.

브라우저에서 개인 정보를 보호하세요

온라인에서 귀하의 개인 정보를 보호하는 방법에는 여러 가지가 있습니다. 개인정보 설정 확장은 Firefox에 이상적입니다. 설치하고 "전체 개인 정보 보호"로 설정하세요. 그 후에는 브라우저는 인터넷에서의 귀하의 행동에 대한 정보를 제공하지 않습니다.

구명부표: 백업

> 백업은 매우 중요합니다 지원정당화하다
바이러스에 감염된 후뿐만 아니라 자신도 마찬가지입니다. 하드웨어에 문제가 발생할 때도 잘 작동합니다. 우리의 조언: 모든 Windows의 복사본을 한 번 만든 다음 모든 중요한 데이터를 추가로 정기적으로 백업하십시오.

> Windows의 전체 보관 Windows 10은 "보관 및 복원" 모듈인 "7"에서 상속되었습니다. 그것으로 당신은 만들 것입니다 백업 복사본시스템. 당신은 또한 사용할 수 있습니다 특수 유틸리티, 예를 들어 True Image 또는 Macrium Reflect가 있습니다.

> True Image 파일 보호 및 Macrium Reflect 유료 버전으로 복사본을 만들 수 있습니다. 특정 파일그리고 폴더. 무료 대안보관용 중요한 정보개인 백업 프로그램이 됩니다.

사진: 제조회사; NicoElNino/Fotolia.com

원격 액세스로부터 컴퓨터를 어떻게 보호할 수 있습니까? 브라우저를 통해 컴퓨터에 대한 액세스를 차단하는 방법은 무엇입니까?

원격 액세스로부터 컴퓨터를 보호하는 방법, 그들은 보통 어떤 일이 이미 일어났을 때 생각합니다. 그러나 당연히 이것은 자신의 활동 중 적어도 일부에 참여하는 사람에게는 잘못된 결정입니다. 그리고 모든 사용자는 자신의 컴퓨터에 낯선 사람만 접근하도록 제한하는 것이 좋습니다. 이 기사에서는 컴퓨터에 로그인하기 위해 비밀번호를 설정하는 방법에 대해서는 논의하지 않지만 로컬 네트워크에서 컴퓨터에 대한 액세스를 거부하거나 동일한 컴퓨터에 연결된 다른 컴퓨터에서 컴퓨터에 대한 액세스를 거부하는 옵션을 살펴 보겠습니다. 회로망. 이 정보는 새로운 PC 사용자에게 특히 유용합니다.

그래서 운영 체제 Windows에는 "원격 액세스"라는 기능이 있습니다. 그리고 이 기능을 비활성화하지 않으면 다른 사용자가 이 기능을 이용하여 귀하의 컴퓨터를 제어할 수 있습니다. 귀하가 관리자이고 직원을 모니터링해야 하는 경우에도 당연히 그들의 PC에 액세스해야 하지만 동일한 직원이 귀하의 비서와의 서신을 보지 않도록 PC를 닫아야 합니다. .