mājas › Uzstādīšana un iestatīšana › Datora noteikšana un aizsardzība tīklā. Tīkla aizsardzība. Programma datortīklu aizsardzībai. O Slikti: koplietojamo administratīvo resursu ievainojamība

Datora noteikšana un aizsardzība tīklā. Tīkla aizsardzība. Programma datortīklu aizsardzībai. O Slikti: koplietojamo administratīvo resursu ievainojamība

Daži cilvēki visu savu dzīvi pavada, strādājot, lai uzlabotu korporāciju un privātpersonu drošību. Un viņi daudz šī laika pavada, labojot caurumus sistēmā Windows. Windows sistēma ir galvenais kanāls ļaunprogrammatūra kas rada zombijus (robotus), kā minēts 5. nodaļā, ir tikai aisberga redzamā daļa. Ir godīgi teikt, ka lielākā daļa vainas ir Windows masveida popularitātei, taču operētājsistēmā Windows 7 ir tik daudz caurumu, ka nav skaidrs, vai tas kādu no Microsoft neuztrauc.

Ir trīs galvenie draudu veidi. Pirmkārt, mērķtiecīgs uzbrukums, ko veic persona, kas mēģina uzlauzt jūsu datoru, izmantojot tīkla savienojumu. Otrkārt, uzbrukums no personas, kas sēž pie datora tastatūras. Visbeidzot, ir iespējams automatizēts tārpa vai cita veida ļaunprātīgas programmatūras uzbrukums.

Operētājsistēmā Windows 7 un pat agrāk operētājsistēmā Vista ir iespējota lietotāja konta kontrole, kurai vajadzētu palīdzēt apturēt netīšu un nevēlamu programmu instalēšanas plūsmu - par to, kā arī par parolēm un šifrēšanu.

Lai iegūtu papildinformāciju, skatiet 7. nodaļu. Tomēr lielākā daļa nevēlamo materiālu tiek piegādāti, izmantojot tīkla savienojumu, tāpēc tā ir laba vieta, kur sākt aizsargāt datoru. Operētājsistēmā Windows 7 ir iekļauti vairāki līdzekļi, kas ļauj nodrošināt noteiktu drošības līmeni bez papildu programmatūras vai aparatūras iegādes.

Diemžēl daudzas no šīm funkcijām nav iespējotas pēc noklusējuma. Tālāk minētie faktori ir nepilnības, kuras nevajadzētu ignorēt.

O Slikti: UPnP protokola ievainojamība

Cita funkcija, ko sauc par UPnP (Universal Plug-and-Play), var atklāt papildu ievainojamības jūsu tīklā. Piemērotāks UPnP nosaukums būtu Network Plug and Play, jo šī funkcija attiecas tikai uz tīkla ierīcēm. UPnP ir standartu kopums, kas ļauj tikko pievienotajām ierīcēm paziņot

par tavu klātbūtni UPnP serveri jūsu tīklā, līdzīgi kā USB ierīces paziņo par savu klātbūtni Windows piederošajai sistēmai

Ārēji UPnP funkcija izskatās labi. Taču praksē autentifikācijas trūkums UPnP standartā un vieglums, ar kādu ļaunprogrammatūra var izmantot UPnP, lai caurumotu ugunsmūri, kā arī izveidotu portu pāradresācijas noteikumus maršrutētājā, rada tikai problēmas. Pašlaik UPnP tiek izmantots dažām spēlēm, lielākajai daļai multivides paplašinātāju, tūlītējai ziņojumapmaiņai, attālajai palīdzībai utt., kas izskaidro, kāpēc šī funkcija pēc noklusējuma ir iespējota operētājsistēmā Windows 7 un daudzās citās. tīkla ierīces. Bet, ja jums tas nav nepieciešams, tad labāk to izslēgt.

Ja atlasāt Publiskais tīkls, kad pirmo reizi izveidojat savienojumu ar jauns tīkls vai izmantojot tīkla un koplietošanas centru (tīklošana un

^j Koplietošanas centrs), tad UPnP pēc noklusējuma ir atspējots.

Lai atspējotu UPnP, atveriet pakalpojumu logu (services.msc). Sarakstā atrodiet pakalpojumu SSDP Discovery Service un rīkjoslā noklikšķiniet uz pogas Apturēt pakalpojumu. Tajā pašā laikā jāapstājas arī UPnP ierīces resursdatoram. Ja tā nav, pārtrauciet arī to. Tagad pārbaudiet visas lietotnes vai ierīces, kuras, jūsuprāt, varētu izmantot tīkla atklāšanu, piemēram, multivides serverus vai paplašinātājus. Ja jums tāda nav, varat pilnībā atspējot UPnP, veicot dubultklikšķi uz katra pakalpojuma un startēšanas veidu sarakstā atlasot Disabled. Pretējā gadījumā nākamreiz, kad sāksit Windows, šie pakalpojumi tiks palaists no jauna.

Tagad atveriet maršrutētāja konfigurācijas lapu (aprakstīts iepriekš šajā nodaļā) un atspējojiet UPnP pakalpojumu. Tas ir nepieciešams, lai lietojumprogrammas nevarētu iestatīt jaunus portu pāradresācijas noteikumus. Ja maršrutētājs neļauj mainīt UPnP iestatījumus, apsveriet iespēju pāriet uz vairāk jauna versija programmaparatūru, kā aprakstīts sadaļā Jaunināšana uz jaunāku maršrutētāju.

O Slikti: atvērto portu ievainojamība

Meklējiet savā sistēmā ievainojamības, meklējot atvērtos portus, kā aprakstīts tālāk šajā nodaļā.

Nu labi: attālināts darba galds, bet tikai tad, kad tas ir nepieciešams

Attālās darbvirsmas līdzeklis, kas aprakstīts sadaļā " Tālvadība dators" ir iespējots pēc noklusējuma operētājsistēmās Windows 7 Professional un Ultimate. Ja vien šī funkcija nav īpaši nepieciešama, tā ir jāizslēdz. Vadības panelī atveriet Sistēma un pēc tam atlasiet saiti Attālās piekļuves iestatījumi. Lapā Attālā piekļuve Sistēmas rekvizītu logā noņemiet atzīmi no izvēles rūtiņas Atļaut attālās palīdzības savienojumus ar šo datoru un atzīmējiet izvēles rūtiņu tālāk Neatļaut savienojumus ar šo datoru.

Ak, labi: konta parole

Teorētiski vispārēja piekļuve Failu piekļuve nedarbojas kontiem, kuriem nav paroles, kas ir noklusējuma iestatījums, veidojot jaunu lietotāja kontu. Bet bezparoles konts nenodrošina nekādu aizsardzību no kāda, kas sēž pie tastatūras, un, ja tas ir lietotāja konts ar administratora tiesībām, tad durvis ir atvērtas jebkuram citam šī datora lietotājam. Skatiet 7. nodaļu diskusiju par lietotāju kontiem un parolēm.

Par mājas grupām un failu koplietošanu

Katra koplietotā mape potenciāli ir atvērtas durvis. Līdz ar to publiska pieeja būtu jāpiešķir tikai tām mapēm, kurām tā patiešām ir nepieciešama. Lūdzu, ņemiet vērā, ka failu atļaujas un koplietošanas atļaujas operētājsistēmā Windows 7 ir dažādas lietas. Vairāk par to 7. nodaļā.

O Slikti: koplietošanas konfigurācijas vedņa ievainojamība

Viens no galvenajiem darba grupas izveides iemesliem ir failu un printeru koplietošana. Taču ir saprātīgi koplietot tikai tās mapes, kuras jums ir nepieciešams koplietot, un izslēgt koplietošanu visiem pārējiem. Funkcija ar nosaukumu Izmantot koplietošanas vedni, kas aprakstīta 2. nodaļā un detalizēti aprakstīta 7. nodaļā, nedod jums pilnīgu kontroli pār to, kas var skatīt un modificēt jūsu failus.

O Slikti: kopīgo administratīvo resursu ievainojamība

Koplietošanas funkcija, kas aprakstīta 7. nodaļā, nodrošina piekļuvi visiem datora diskdziņiem neatkarīgi no tā, vai kopīgojat mapes šajos diskos.

Ak, labi: ugunsmūris

Iestatiet tālāk aprakstīto ugunsmūri, lai stingri kontrolētu tīkla plūsmu datorā un no tā, taču nedomājiet, ka sistēmā Windows iebūvētā ugunsmūra programmatūra būs pietiekama aizsardzība.

A Labi: atbalsta centrs ir labs, taču jums nevajadzētu uz to pilnībā paļauties. 6.28 ir vadības paneļa centrālā lapa, ko izmanto, lai pārvaldītu Windows ugunsmūri, Windows Defender, UserAccount Control un automātiskos atjauninājumus. Viņš arī kontrolē pretvīrusu programmas, taču, tīri politisku iemeslu dēļ, Windows 7 nav savas pretvīrusu programmas.

Pats galvenais, Rīcības centrs ir tikai skatītājs. Ja tas redz, ka šis aizsardzības pasākums ir iespējots, neatkarīgi no tā, vai tas aktīvi darbojas, Rīcības centrs priecāsies un jūs nesaņemsiet nekādus paziņojumus.

Vai esat noguris no ziņojumiem no Rīcības centra? Kreisajā pusē noklikšķiniet uz saites Mainīt darbību centra iestatījumus un izvēlieties, par kurām problēmām ir vērts ziņot un kuras varat ignorēt. Varat izslēgt visus ziņojumus no darbību centra, izslēdzot visas izvēles rūtiņas šajā lapā, taču, lai pilnībā atspējotu visu funkciju, ir jāatver pakalpojumu logs (services.msc) un jāizslēdz darbību centrs. Tas neizslēgs ugunsmūri, pretvīrusu vai automātiskos atjauninājumus, ko, iespējams, izmantojat, bet tikai šo rīku uzraudzības rīkus un tiem pievienotos ziņojumus.

Šeit nevar mainīt ugunsmūra vai ļaunprātīgas programmatūras apkarošanas iestatījumus. Lai to izdarītu, jums jāatgriežas vadības panelī un jāatver tur atbilstošā programma.

Tīkla tārpu epidēmijas problēma ir aktuāla jebkuram lokālais tīkls. Agri vai vēlu var rasties situācija, kad LAN iekļūst tīkla vai pasta tārps, kuru izmantotais antivīruss nekonstatē. Tīkla vīruss izplatās pa LAN, izmantojot operētājsistēmas ievainojamības, kas nebija aizvērtas inficēšanās brīdī, vai izmantojot koplietojamus resursus, kurus var rakstīt. Pasta vīruss, kā norāda nosaukums, tiek izplatīts pa e-pastu, ja to nebloķē klienta antivīruss un antivīruss. pasta serveris. Turklāt epidēmija LAN var tikt organizēta no iekšpuses iekšējās personas darbības rezultātā. Šajā rakstā mēs apsvērsim praktiskās metodes LAN datoru darbības analīzei, izmantojot dažādus rīkus, jo īpaši izmantojot autora AVZ utilītu.

Problēmas formulēšana

Gadījumā, ja tīklā tiek konstatēta epidēmija vai kāda neparasta darbība, administratoram nekavējoties jāatrisina vismaz trīs uzdevumi:

atklāt inficētos datorus tīklā;
atrast ļaunprātīgas programmatūras paraugus, ko nosūtīt pretvīrusu laboratorijai, un izstrādāt pretpasākumu stratēģiju;
veikt pasākumus, lai bloķētu vīrusa izplatīšanos LAN un iznīcinātu to inficētajos datoros.

Insaidera darbības gadījumā galvenie analīzes soļi ir identiski, un visbiežāk tie ir saistīti ar nepieciešamību atklāt trešās puses programmatūru, ko LAN datoros instalējis iekšējais lietotājs. Šādas programmatūras piemērs ir attālās administrēšanas utilītas, taustiņu bloķētāji un dažādas Trojas grāmatzīmes.

Ļaujiet mums sīkāk apsvērt katra uzdevuma risinājumu.

Meklēt inficētos datorus

Inficēto datoru meklēšanai tīklā var izmantot vismaz trīs metodes:

automātiska attālā datora analīze - informācijas iegūšana par palaistiem procesiem, ielādētām bibliotēkām un draiveriem, raksturīgu modeļu meklēšana - piemēram, procesi vai faili ar dotie vārdi;
datora trafika izpēte, izmantojot sniffer - šī metodeļoti efektīva surogātpasta, pasta un tīkla tārpu tveršanā, tomēr galvenās grūtības sniffer lietošanā rada fakts, ka mūsdienīgs LAN ir veidots uz slēdžu bāzes un līdz ar to administrators nevar uzraudzīt viss tīkls. Problēma tiek atrisināta divos veidos: maršrutētājā palaižot sniffer (kas ļauj uzraudzīt datora datu apmaiņu ar internetu) un izmantojot slēdžu uzraudzības funkcijas (daudzas mūsdienīgi slēdžiļauj piešķirt uzraudzības portu, kuram tiek dublēta viena vai vairāku administratora norādīto slēdžu portu trafiks);
tīkla slodzes izpēte - šajā gadījumā ir ļoti ērti izmantot viedos slēdžus, kas ļauj ne tikai novērtēt slodzi, bet arī attālināti atspējot administratora norādītos portus. Šī darbība ir ievērojami vienkāršota, ja administratoram ir tīkla karte, kurā ir dati par to, kuri datori ir savienoti ar atbilstošajiem slēdža portiem un kur tie atrodas;
slazdu (honeypot) izmantošana - lokālajā tīklā ir ļoti ieteicams izveidot vairākus slazdus, kas ļaus administratoram laikus atklāt epidēmiju.

Automātiska datoru analīze tīklā

Automātisko datora analīzi var samazināt līdz trīs galvenajām darbībām:

pilnīga datora izpētes veikšana - darbības procesi, ielādētas bibliotēkas un draiveri, automātiskā palaišana;
operatīvās aptaujas veikšana - piemēram, raksturīgu procesu vai failu meklēšana;
objektu karantīna pēc noteiktiem kritērijiem.

Visus iepriekš minētos uzdevumus var atrisināt, izmantojot AVZ autora utilītu, kas ir paredzēts palaišanai no servera tīkla mapes un atbalsta skriptu valodu automātiskai datora pārbaudei. Lai palaistu AVZ lietotāju datoros, jums ir nepieciešams:

Novietojiet AVZ servera lasāmā tīkla mapē.
Šajā mapē izveidojiet LOG un Qurantine apakšdirektorijus un ļaujiet lietotājiem rakstīt tajos.
Palaidiet AVZ LAN datoros, izmantojot rexec utilītu vai pieteikšanās skriptu.

AVZ startēšana 3. darbībā jāveic ar šādiem parametriem:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Šajā gadījumā parametrs Priority=-1 pazemina AVZ procesa prioritāti, parametri nw=Y un nq=Y pārslēdz karantīnu uz "tīkla starta" režīmu (šajā gadījumā karantīnas mapē tiek izveidots apakšdirektorijs katram datoram, kura nosaukums atbilst datora tīkla nosaukumam) , HiddenMode=2 uzdod liegt lietotājam piekļuvi GUI un AVZ vadīklai, un visbeidzot svarīgākais parametrs Skripts norāda skripta pilnu nosaukumu ar komandām. ko AVZ izpildīs lietotāja datorā. AVZ skriptu valoda ir diezgan vienkārši lietojama, un tā ir vērsta tikai uz datora pārbaudes un apstrādes problēmu risināšanu. Lai vienkāršotu skriptu rakstīšanas procesu, varat izmantot specializētu skriptu redaktoru, kas satur uzvedni, vedni tipisku skriptu izveidošanai un rīkus, kas ļauj pārbaudīt rakstīta skripta pareizību, to nepalaižot (1. att.).

Rīsi. 1. AVZ skriptu redaktors

Apskatīsim trīs tipiskus skriptus, kas var būt noderīgi cīņā pret epidēmiju. Pirmkārt, mums ir nepieciešams datora izpētes skripts. Skripta uzdevums ir pārbaudīt sistēmu un izveidot protokolu ar rezultātiem dotajā tīkla mapē. Skripts izskatās šādi:

AktivizētWatchDog(60 * 10);

// Sāciet skenēšanu un analīzi

// Izpētiet sistēmu

ExecuteSysCheck (GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Izslēgt AVZ

Šī skripta izpildes laikā mapē LOG (tiek pieņemts, ka tā ir izveidota servera AVZ direktorijā un ir pieejama lietotājiem rakstīšanai) tiks izveidoti HTML faili ar tīkla datoru pētījuma rezultātiem, un pētāmā datora nosaukums ir iekļauts protokola nosaukumā, lai nodrošinātu unikalitāti. Skripta sākumā ir komanda ieslēgt sargsuņa taimeri, kas pēc 10 minūtēm piespiedu kārtā pārtrauks AVZ procesu gadījumā, ja skripta izpildes laikā radīsies kļūmes.

AVZ protokols ir ērts manuālai izpētei, taču tas ir maz noderīgs automatizētai analīzei. Turklāt administrators bieži zina ļaunprātīgas programmatūras faila nosaukumu, un viņam ir tikai jāpārbauda, vai tas ir vai nav dotais fails, un, ja tāds ir, karantīnā analīzei. Šajā gadījumā varat izmantot šādu skriptu:

// Iespējot sargsuņa taimeri 10 minūtēm

AktivizētWatchDog(60 * 10);

// Meklēt ļaunprātīgu programmatūru pēc nosaukuma

QuarantineFile('%WinDir%\smss.exe', 'Ir aizdomas, ka LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Ir aizdomas, ka LdPinch.gen');

//Izslēgt AVZ

Šis skripts izmanto funkciju QuarantineFile, kas mēģina ievietot karantīnā norādītos failus. Administratoram ir jāanalizē tikai karantīnas saturs (mape Quarantine\network_PC_name\quarantine_date\) attiecībā uz karantīnā esošajiem failiem. Lūdzu, ņemiet vērā, ka funkcija QuarantineFile automātiski bloķē to failu karantīnu, kas identificēti drošā AVZ datu bāzē vai Microsoft EDS datu bāzē. Priekš praktisks pielietojumsšo skriptu var uzlabot - organizēt failu nosaukumu ielādi no ārēja teksta faila, pārbaudīt atrastos failus ar AVZ datu bāzēm un izveidot teksta protokolu ar darba rezultātiem:

// Meklēt failu ar norādīto nosaukumu

funkcija CheckByName(Fname: virkne) : Būla;

Rezultāts:= FileExists(FName) ;

ja rezultāts, tad sāciet

case CheckFile(FName) of

1: S:= ', faila piekļuve bloķēta';

1: S:= ', identificēts kā ļaunprātīga programmatūra ('+GetLastCheckTxt+')';

2: S:= ', faila skenerim ir aizdomas ('+GetLastCheckTxt+')';

3: izeja; // Ignorēt drošus failus

AddToLog('Failam '+NormalFileName(FName)+' ir aizdomīgs nosaukums'+S);

//Norādītā faila pievienošana karantīnai

QuarantineFile(FName,'aizdomīgs fails'+S);

SuspNames: TStringList; // Aizdomīgo failu nosaukumu saraksts

// Failu pārbaude ar atjaunināto datu bāzi

ja FileExists(GetAVZDirectory + 'faili.db'), tad sāciet

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('faili.db');

AddToLog('Ielādēta nosaukumu datu bāze - ierakstu skaits = '+inttostr(SuspNames.Count));

// Meklēšanas cilpa

i:= 0 līdz SuspNames.Count — 1 darīt

CheckByName(SuspNames[i]);

AddToLog('Kļūda, ielādējot failu nosaukumu sarakstu');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

Lai šis skripts darbotos, mapē AVZ ir jāizveido karantīnas un LOG katalogi, kas ir pieejami lietotājiem rakstīšanai, kā arī teksta fails files.db — katrā šī faila rindā būs aizdomīgā faila nosaukums. Failu nosaukumos var būt ietverti makro, no kuriem visnoderīgākais ir %WinDir% (ceļš uz Windows mape) un %SystemRoot% (ceļš uz mapi System32). Vēl viens analīzes virziens var būt lietotāju datoros darbojošos procesu saraksta automātiska izpēte. Informācija par procesiem ir pieejama sistēmas izpētes protokolā, bet automātiskai analīzei ērtāk izmantot šādu skripta fragmentu:

procedūra ScanProcess;

S:=''; S1:='';

// Atjaunināt procesu sarakstu

RefreshProcessList;

AddToLog('Procesu skaits = '+IntToStr(GetProcessCount));

// Saņemtā saraksta analīzes cikls

i:= 0 līdz GetProcessCount — 1 jāsāk

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// Meklēt procesu pēc nosaukuma

if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0, tad

S:= S + GetProcessName(i)+',';

ja S<>‘’tad

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

Procesu pārbaude šajā skriptā tiek veikta kā atsevišķa ScanProcess procedūra, tāpēc to ir viegli ievietot savā skriptā. ScanProcess procedūra veido divus procesu sarakstus: pilns saraksts procesi (turpmākai analīzei) un to procesu saraksts, kas no administratora viedokļa tiek uzskatīti par bīstamiem. Šajā gadījumā demonstrēšanai process ar nosaukumu "trojan.exe" tiek uzskatīts par bīstamu. Informācija par bīstamiem procesiem tiek pievienota teksta failam _alarm.txt, dati par visiem procesiem tiek pievienoti failam _all_process.txt. Ir viegli redzēt, ka varat sarežģīt skriptu, pievienojot, piemēram, procesa failus pārbaudot drošo failu datubāzē vai pārbaudot nosaukumus izpildāmos failus procesi ārējā datu bāzē. Līdzīga procedūra tiek izmantota Smolenskenergo izmantotajos AVZ skriptos: administrators periodiski pārbauda savākto informāciju un modificē skriptu, pievienojot ar drošības politiku aizliegto programmu procesu nosaukumus, piemēram, ICQ un MailRu.Agent, kas ļauj lai ātri pārbaudītu, vai pētāmajos datoros nav aizliegtas programmatūras. Vēl viens procesu saraksta izmantošanas veids ir atrast datorus, kuriem trūkst vajadzīgā procesa, piemēram, pretvīrusu.

Noslēgumā apskatīsim pēdējo no noderīgajiem analīzes skriptiem - skriptu visu failu automātiskai karantīnai, kurus neatpazīst drošā AVZ datu bāze un Microsoft EDS datu bāze:

// Izpildīt automātisko karantīnu

ExecuteAutoQuarantine;

Automātiskā karantīna pārbauda darbojošos procesus un ielādētās bibliotēkas, pakalpojumus un draiverus, aptuveni 45 automātiskās palaišanas metodes, pārlūkprogrammas un pārlūka paplašinājumu moduļus, SPI/LSP apdarinātājus, plānotāja darbus, drukas sistēmu apdarinātājus utt. Karantīnas iezīme ir tāda, ka faili tiek pievienoti tai ar atkārtotas mēģinājuma kontroli, tāpēc automātiskās karantīnas funkciju var izsaukt vairākas reizes.

Automātiskās karantīnas priekšrocība ir tāda, ka ar tās palīdzību administrators var ātri savākt potenciāli aizdomīgus failus no visiem tīklā esošajiem datoriem viņu izpētei. Vienkāršākais (bet praksē ļoti efektīvs) failu izpētes veids var būt saņemtās karantīnas pārbaude ar vairākiem populāriem antivīrusiem maksimālās heiristikas režīmā. Jāatzīmē, ka vienlaicīga automātiskās karantīnas palaišana vairākos simtos datoru var radīt lielu slodzi tīklā un failu serverī.

Satiksmes izpēte

Satiksmes izpēti var veikt trīs veidos:

manuāli, izmantojot sniffers;
pusautomātiskā režīmā - šajā gadījumā sniffer apkopo informāciju, un pēc tam tā protokoli tiek apstrādāti vai nu manuāli, vai ar kādu programmatūru;
automātiski izmantojot ielaušanās noteikšanas sistēmas (IDS), piemēram, Snort (http://www.snort.org/) vai to programmatūras vai aparatūras līdziniekus. Vienkāršākajā gadījumā IDS sastāv no sniffer un sistēmas, kas analizē snifera savākto informāciju.

Ielaušanās noteikšanas sistēma ir labākais rīks, jo tā ļauj izveidot noteikumu kopas, lai atklātu tīkla darbības novirzes. Tā otrā priekšrocība ir šāda: lielākā daļa mūsdienu IDS ļauj izvietot trafika uzraudzības aģentus vairākos tīkla mezglos – aģenti apkopo informāciju un pārsūta to. Sniffer izmantošanas gadījumā ir ļoti ērti izmantot tcpdump UNIX konsoles sniffer. Piemēram, lai pārraudzītu darbību 25. portā ( SMTP protokols) tikai palaist sniffer ar komandrinda veids:

tcpdump -i em0 -l tcp ports 25 > smtp_log.txt

Šajā gadījumā paketes tiek uztvertas, izmantojot em0 saskarni; informācija par uzņemtajām paketēm tiks saglabāta failā smtp_log.txt. Protokolu ir samērā viegli analizēt manuāli, šajā piemērā aktivitāšu analīze portā 25 ļauj aprēķināt datoru ar aktīviem surogātpasta robotiem.

Honeypot aplikācija

Kā lamatas (Honeypot) var izmantot novecojušu datoru, kura veiktspēja neļauj to izmantot, lai atrisinātu ražošanas uzdevumi. Piemēram, autora tīklā kā slazds veiksmīgi tiek izmantots Pentium Pro ar 64 MB. brīvpiekļuves atmiņa. Šajā datorā ir jāinstalē visizplatītākā LAN operētājsistēma un jāizvēlas viena no stratēģijām:

Instalējiet operētājsistēmu bez servisa pakotnēm - tas būs rādītājs aktīva tīkla tārpa parādīšanās tīklā, kas izmanto kādu no zināmajām šīs operētājsistēmas ievainojamībām;
instalējiet operētājsistēmu ar atjauninājumiem, kas ir instalēti citos tīkla datoros - Honeypot būs jebkuras darbstacijas analogs.

Katrai no stratēģijām ir gan savi plusi, gan mīnusi; autors pārsvarā izmanto opciju bez atjaunināšanas. Pēc Honeypot izveidošanas jums vajadzētu izveidot diska attēlu ātra atveseļošanās sistēma pēc tam, kad to ir sabojājusi ļaunprātīga programmatūra. Kā alternatīvu diska attēlam varat izmantot izmaiņu atcelšanas sistēmas, piemēram, ShadowUser un tās analogus. Pēc Honeypot izveidošanas jāņem vērā, ka vairāki tīkla tārpi meklē inficētos datorus, skenējot IP diapazonu, kas tiek skaitīts no inficētā datora IP adreses (izplatītas tipiskās stratēģijas ir X.X.X.*, X.X.X+1.* , X.X.X-1.*), - tāpēc ideālā gadījumā katrā apakštīklā vajadzētu būt Honeypot. Kā papildu sagatavošanas elementi ir nepieciešams atvērt Honeypot sistēmas piekļuvi vairākām mapēm, un šajās mapēs jāievieto vairāki dažādu formātu failu paraugi, minimālais komplekts ir EXE, JPG, MP3.

Protams, izveidojot Honeypot, administratoram ir jāuzrauga tā darbība un jāreaģē uz jebkurām anomālijām šo datoru. Auditorus var izmantot kā līdzekli izmaiņu reģistrēšanai, un sniffer var izmantot, lai reģistrētu tīkla darbību. Svarīgs punkts ir tas, ka lielākā daļa sniffers nodrošina iespēju konfigurēt brīdinājuma nosūtīšanu administratoram, ja tiek konstatēta noteikta tīkla darbība. Piemēram, CommView sniffer noteikums ietver "formulas" norādīšanu, kas apraksta tīkla paketi, vai kvantitatīvu kritēriju iestatīšanu (vairāk nekā noteikts pakešu vai baitu skaits sekundē, pakešu nosūtīšana uz neatpazītām IP vai MAC adresēm) att. 2.

Rīsi. 2. Izveidojiet un konfigurējiet tīkla darbības brīdinājumu

Brīdinājumam visērtāk ir izmantot e-pasta ziņas, kas nosūtītas uz Pastkaste administrators - šajā gadījumā jūs varat saņemt reāllaika paziņojumus no visiem slazdiem tīklā. Turklāt, ja sniffer ļauj izveidot vairākus brīdinājumus, ir lietderīgi atšķirt tīkla darbību, izceļot darbu ar e-pasts, FTP / HTTP, TFTP, Telnet, MS Net, palielināja trafiku par vairāk nekā 20-30 paketēm sekundē, izmantojot jebkuru protokolu (3. att.).

Rīsi. 3. Paziņojuma vēstule nosūtīta
ja tiek atrastas paketes, kas atbilst norādītajiem kritērijiem

Organizējot slazdu, ieteicams tajā ievietot vairākus tīklā izmantotos ievainojamos tīkla pakalpojumus vai instalēt to emulatoru. Vienkāršākā (un bezmaksas) ir autora utilīta APS, kas darbojas bez instalēšanas. APS darbības princips ir reducēts uz tā datubāzē aprakstītās TCP un UDP portu kopas noklausīšanos un iepriekš noteiktas vai nejauši ģenerētas atbildes izdošanu savienojuma brīdī (4. att.).

Rīsi. 4. APS utilīta galvenais logs

Attēlā parādīts ekrānuzņēmums, kas uzņemts reālas APS darbības laikā Smolenskenergo LAN. Kā redzams attēlā, tika mēģināts pieslēgt vienu no klienta datoriem portā 21. Protokolu analīze parādīja, ka mēģinājumi ir periodiski, tos fiksē vairāki slazdi tīklā, kas ļauj secināt, ka tīkls tiek skenēts, lai atrastu un uzlauztu FTP serverus, uzminot paroles. APS reģistrē un var nosūtīt ziņojumus administratoriem, ziņojot par reģistrētiem savienojumiem ar uzraudzītajiem portiem, kas ir noderīgi, lai ātri noteiktu tīkla skenēšanu.

Veidojot Honeypot, ir noderīgi arī apskatīt tiešsaistes resursus par šo tēmu, piemēram, http://www.honeynet.org/. Šīs vietnes sadaļā Rīki (http://www.honeynet.org/tools/index.html) varat atrast vairākus rīkus uzbrukumu reģistrēšanai un analīzei.

Attālā ļaunprātīgas programmatūras noņemšana

Ideālā gadījumā pēc ļaunprogrammatūras paraugu noteikšanas administrators tos nosūta uz pretvīrusu laboratoriju, kur tos ātri izpēta analītiķi un attiecīgie paraksti tiek pievienoti pretvīrusu datubāzēm. Šie paraksti cauri automātiska atjaunināšana nokļūt lietotāju datoros, un antivīruss automātiski noņem ļaunprātīgu programmatūru bez administratora iejaukšanās. Tomēr šī ķēde ne vienmēr darbojas, kā paredzēts, jo īpaši ir iespējami šādi atteices iemesli:

vairāku no tīkla administratora neatkarīgu iemeslu dēļ attēli var nesasniegt pretvīrusu laboratoriju;
nepietiekama pretvīrusu laboratorijas efektivitāte - ideālā gadījumā paraugu izpētei un pievienošanai datu bāzēm nepieciešamas ne vairāk kā 1-2 stundas, tas ir, darba dienas laikā var iegūt atjauninātas parakstu datu bāzes. Tomēr ne visas pretvīrusu laboratorijas strādā tik ātri, un atjauninājumus var sagaidīt vairākas dienas (retos gadījumos pat nedēļas);
augsta antivīrusa veiktspēja - vairākas kaitīgās programmas pēc aktivizēšanas iznīcina antivīrusus vai citādi traucē to darbu. Klasiskie piemēri - ierakstu veikšana hosts failā, kas bloķē normāls darbs antivīrusu automātiskās atjaunināšanas sistēmas, pretvīrusu procesu, pakalpojumu un draiveru noņemšana, to iestatījumu bojājumi utt.

Tādēļ šajās situācijās ar ļaunprātīgu programmatūru būs jātiek galā manuāli. Vairumā gadījumu tas nav grūti, jo ir zināms, ka datoru analīzes rezultāti ir inficēti datori, kā arī ļaunprogrammatūras failu pilnie nosaukumi. Atliek tikai veikt to attālo noņemšanu. Ja ļaunprātīgā programma nav aizsargāta pret izņemšanu, to var iznīcināt, izmantojot šādas formas AVZ skriptu:

// Izdzēst failu

DeleteFile('faila nosaukums');

ExecuteSysClean;

Šis skripts izdzēš vienu norādīto failu (vai vairākus failus, jo skriptā var būt neierobežots skaits komandu DeleteFile) un pēc tam automātiski iztīra reģistru. Sarežģītākā gadījumā ļaunprātīga programma var pasargāt sevi no dzēšanas (piemēram, atkārtoti izveidojot savus failus un reģistra atslēgas) vai maskēties, izmantojot rootkit tehnoloģiju. Šajā gadījumā skripts kļūst sarežģītāks un izskatīsies šādi:

// Anti-rootkit

SearchRootkit(true, true);

// AVZGuard vadība

SetAVZGuardStatus(true);

// Izdzēst failu

DeleteFile('faila nosaukums');

// Iespējot BootCleaner reģistrēšanu

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importējiet BootCleaner uzdevumā skripta izdzēsto failu sarakstu

BC_ImportDeletedList;

// Aktivizējiet BootCleaner

// Sistēmas heiristiskā tīrīšana

ExecuteSysClean;

Reboot Windows (true);

Šajā skriptā ir iekļauta aktīva rezistence pret sakņu komplektiem, AVZGuard sistēmas (tas ir ļaunprātīgas programmatūras darbības bloķētājs) un BootCleaner sistēmas izmantošana. BootCleaner ir draiveris, kas atsāknēšanas laikā sistēmas sāknēšanas agrīnā stadijā noņem norādītos objektus no KernelMode. Prakse rāda, ka šāds skripts spēj iznīcināt lielāko daļu esošās ļaunprogrammatūras. Izņēmums ir ļaunprogrammatūra, kas maina savu izpildāmo failu nosaukumus katrā pārstartēšanas reizē – šajā gadījumā sistēmas izpētes laikā atrastos failus var pārdēvēt. Šādā gadījumā dators būs jādezinficē manuāli vai jāizveido savi ļaunprogrammatūras paraksti (skripta piemērs, kas ievieš parakstu meklēšanu, ir aprakstīts AVZ palīdzībā).

Secinājums

Šajā rakstā mēs apskatījām dažus praktiskus paņēmienus LAN epidēmijas pārvarēšanai manuāli, neizmantojot pretvīrusu produktus. Lielāko daļu aprakstīto paņēmienu var izmantot arī, lai meklētu ārzemju datoru un Trojas grāmatzīmes lietotāju datoros. Ja jums ir grūtības atrast ļaunprātīgu programmatūru vai izveidot dezinfekcijas skriptus, administrators var izmantot foruma http://virusinfo.info sadaļu "Palīdzība" vai foruma http://forum.kaspersky.com/ sadaļu "Cīņa ar vīrusiem". index.php?showforum= 18. Protokolu izpēte un palīdzība ārstēšanā tiek veikta abos forumos bez maksas, datora analīze tiek veikta saskaņā ar AVZ protokoliem, un vairumā gadījumu ārstēšana ir saistīta ar AVZ skripta izpildi inficētajos datoros, ko sastādījis pieredzējis speciālisti no šiem forumiem.

Kas ir spiesti gaidīt fiziska faila izveidi lietotāja datorā, tīkla aizsardzība sāk analizēt ienākošās datu plūsmas, kas caur tīklu nonāk lietotāja datorā, un bloķē draudus, pirms tie nonāk sistēmā.

Galvenās tīkla aizsardzības jomas, ko nodrošina Symantec tehnoloģijas, ir:

Drive-by lejupielādes, tīmekļa uzbrukumi;
- Sociālās inženierijas uzbrukumi: FakeAV (viltus antivīrusi) un kodeki;
- Uzbrūk cauri sociālie mēdiji patīk Facebook;
- Ļaunprātīgas programmatūras, sakņu komplektu un robotu inficētu sistēmu noteikšana;
- Aizsardzība pret sarežģītiem draudiem;
- Nulles dienas draudi;
- Aizsardzība pret neizlabotām programmatūras ievainojamībām;
- Aizsardzība pret ļaunprātīgiem domēniem un IP adresēm.

Tīkla aizsardzības tehnoloģijas

Līmenis "Tīkla aizsardzība" ietver 3 dažādas tehnoloģijas.

Tīkla ielaušanās novēršanas risinājums (tīkla IPS)

Tīkla IPS tehnoloģija saprot un skenē vairāk nekā 200 dažādus protokolus. Tas gudri un precīzi "izlaužas" caur bināro un tīkla protokols meklējot ļaunprātīgas satiksmes pazīmes. Šī informācija nodrošina precīzāku tīkla skenēšanu, vienlaikus nodrošinot uzticama aizsardzība. Tās "sirdī" ir ekspluatācijas bloķēšanas dzinējs, kas nodrošina atvērtas ievainojamības ar gandrīz necaurlaidīgu aizsardzību. Unikāla Symantec IPS iezīme ir tā, ka šim komponentam nav nepieciešama konfigurācija. Visas tā funkcijas darbojas, kā saka, "no kastes". Katram Norton patēriņa produktam un visiem Symantec Endpoint Protection produkta versijai 12.1 un jaunākai versijai šī kritiskā tehnoloģija ir iespējota pēc noklusējuma.

Pārlūka aizsardzība

Šī drošības programma atrodas pārlūkprogrammas iekšpusē. Tas spēj atklāt vissarežģītākos draudus, kurus nevar atklāt ne tradicionālais antivīruss, ne tīkla IPS. Mūsdienās daudzos tīkla uzbrukumos tiek izmantotas apmulsināšanas metodes, lai izvairītos no atklāšanas. Tā kā pārlūkprogramma Browser Guard darbojas pārlūkprogrammā, tā izpildes laikā var pārbaudīt vēl neslēptu (apslēptu) kodu. Tas ļauj atklāt un bloķēt uzbrukumu, ja tas tika palaists garām programmas zemākajos aizsardzības līmeņos.

Aizsardzība pret neatļautu lejupielādi (UXP)

Pēdējā aizsardzības līnija, kas atrodas tīkla aizsardzības slānī, palīdz nosegt un "mazināt" nezināmu un neizlabotu ievainojamību izmantošanas sekas, neizmantojot parakstus. Tas nodrošina papildu aizsardzības līmeni pret nulles dienas uzbrukumiem.

Koncentrēšanās uz problēmām

Strādājot kopā, ugunsmūra tehnoloģijas atrisina šādas problēmas.

Drive-by lejupielādes un tīmekļa uzbrukumu rīku komplekti

Izmantojot tīkla IPS, pārlūkprogrammas aizsardzību un UXP tehnoloģiju, Symantec tīkla aizsardzības tehnoloģijas bloķē Drive-by lejupielādes un faktiski neļauj ļaunprātīgai programmatūrai pat sasniegt lietotāja sistēmu. Tiek praktizētas dažādas preventīvas metodes, kas ietver šo pašu tehnoloģiju izmantošanu, tostarp Generic Exploit Blocking tehnoloģiju un tīmekļa uzbrukumu noteikšanas rīkus. Kopējais tīmekļa ielaušanās noteikšanas rīks analizē izplatīta tīmekļa uzbrukuma pazīmes neatkarīgi no konkrētās ievainojamības, uz kuru vērsts uzbrukums. Tas ļauj nodrošināt papildu aizsardzību jaunām un nezināmām ievainojamībām. Vislabākais šāda veida aizsardzībā ir tas, ka, ja ļaunprātīgs fails varētu “klusi” inficēt sistēmu, tas joprojām tiktu proaktīvi apturēts un noņemts no sistēmas, kas ir tieši tā, kā tradicionālie pretvīrusu produkti parasti nepamana. Taču Symantec turpina bloķēt desmitiem miljonu ļaunprātīgas programmatūras variantu, ko parasti nevar noteikt ar citiem līdzekļiem.

Sociālās inženierijas uzbrukumi

Tā kā Symantec tehnoloģijas pārrauga tīkla un pārlūkprogrammas trafiku tās pārsūtīšanas laikā, tas atklāj sociālās inženierijas uzbrukumus, piemēram, FakeAV vai viltus kodekus. Tehnoloģijas ir izstrādātas, lai bloķētu šādus uzbrukumus, pirms tie parādās lietotāja ekrānā. Vairums citu konkurējošu risinājumu neietver šo jaudīgo iespēju.

Symantec bloķē simtiem miljonu šādu uzbrukumu, izmantojot tīkla draudu aizsardzības tehnoloģiju.

Uzbrukumi sociālo mediju lietojumprogrammām

Sociālo mediju aplikācijas pēdējā laikā ir kļuvušas ļoti populāras, jo tās ļauj acumirklī apmainīties ar dažādām ziņām, interesantiem video un informāciju ar tūkstošiem draugu un lietotāju. Šādu programmu plašā izplatība un potenciāls padara tās par hakeru mērķi numur viens. Daži izplatīti "hakeru" triki ietver viltus kontu izveidi un surogātpasta sūtīšanu.

Symantec IPS tehnoloģija var aizsargāt pret šāda veida krāpšanos, bieži neļaujot tām notikt, pirms lietotājs pat uz tiem noklikšķina. Symantec aptur krāpnieciskus un viltotus URL, lietojumprogrammas un citas maldinošas darbības, izmantojot tīkla draudu aizsardzības tehnoloģiju.

Ļaunprātīgas programmatūras, sakņu komplektu un robotu inficētu sistēmu noteikšana

Vai nebūtu jauki zināt, kur tīklā atrodas inficētais dators? Symantec IPS risinājumi nodrošina šo iespēju, tostarp to draudu noteikšanu un atkopšanu, kuriem, iespējams, ir izdevies apiet citus aizsardzības līmeņus. Symantec risinājumi atklāj ļaunprātīgu programmatūru un robotprogrammatūras, kas mēģina automātiski sastādīt numuru vai lejupielādēt "atjauninājumus", lai palielinātu savu darbību sistēmā. Tas ļauj IT vadītājiem, kuriem ir skaidrs pārbaudāmo sistēmu saraksts, pārliecināties, ka viņu uzņēmums ir drošs. Izmantojot šo metodi, var apturēt un noņemt polimorfus un sarežģītus slepenus draudus, izmantojot rootkit metodes, piemēram, Tidserv, ZeroAccess, Koobface un Zbot.

Aizsardzība pret apslēptiem draudiem

Mūsdienu tīmekļa uzbrukumos tiek izmantotas sarežģītas metodes, lai padarītu uzbrukumus grūtākus. Symantec pārlūkprogrammas aizsardzība atrodas pārlūkprogrammā un var atklāt ļoti sarežģītus draudus, kurus tradicionālās metodes bieži nespēj noteikt.

Nulles dienas draudi un neaizlabotas ievainojamības

Viens no iepriekšējiem drošības papildinājumiem, ko uzņēmums ir pievienojis, ir papildu aizsardzības slānis pret nulles dienas draudiem un neaizlāpotām ievainojamībām. Izmantojot aizsardzību bez paraksta, programma pārtver System API zvanus un aizsargā pret ļaunprātīgas programmatūras lejupielādi. Šo tehnoloģiju sauc par neatļautu lejupielādes aizsardzību (UXP). Tā ir pēdējā aizsardzības līnija tīkla draudu aizsardzības ekosistēmā. Tas ļauj produktam "piesegt" nezināmas un neaizlāptas ievainojamības, neizmantojot parakstus. Šī tehnoloģija ir iespējota pēc noklusējuma, un tā ir atrodama visos produktos, kas izlaisti kopš Norton 2010 debijas.

Aizsardzība pret neizlabotām programmatūras ievainojamībām

Ļaunprātīgas programmas bieži tiek instalētas bez lietotāja ziņas, izmantojot programmatūras ievainojamības. Symantec Network Security nodrošina papildu aizsardzības līmeni, ko sauc par vispārējo izmantošanas bloķēšanu (GEB). Neatkarīgi no tā, vai tas ir instalēts Jaunākie atjauninājumi vai nē, GEB "galvenokārt" aizsargā galvenās ievainojamības no izmantošanas. Oracle Sun Java, Adobe ievainojamības Acrobat Reader, Adobe Flash, Internet Explorer, ActiveX vadīklas vai QuickTime tagad ir visuresošas. Vispārējā aizsardzība pret ļaunprātīgu izmantošanu tika izveidota, izmantojot "reverso inženieriju", izdomājot, kā ievainojamību var izmantot tīklā, vienlaikus nodrošinot īpašu ielāpu tīkla slānis. Viens GEB jeb ievainojamības paraksts var nodrošināt aizsardzību pret tūkstošiem jaunu un nezināmu ļaunprātīgas programmatūras variantu.

Ļaunprātīgi IP un domēnu bloķēšana

Symantec tīkla aizsardzība ietver arī iespēju bloķēt ļaunprātīgus domēnus un IP adreses, vienlaikus apturot ļaunprātīgu programmatūru un trafiku no zināmām ļaunprātīgām vietnēm. Rūpīgi analizējot un atjauninot vietnes STAR datubāzi, Symantec nodrošina reāllaika aizsardzību pret pastāvīgi mainīgiem draudiem.

Uzlabota izvairīšanās pretestība

Ir pievienots papildu kodējumu atbalsts, lai uzlabotu uzbrukumu noteikšanas veiktspēju, izmantojot šifrēšanas metodes, piemēram, base64 un gzip.

Tīkla audita noteikšana, lai ieviestu lietošanas politikas un identificētu datu noplūdes

Tīkla IPS var izmantot, lai identificētu lietojumprogrammas un rīkus, kas var pārkāpt korporatīvās lietošanas politikas, vai lai novērstu datu noplūdi tīklā. Ir iespējams noteikt, brīdināt vai novērst trafiku, piemēram, IM, P2P, sociālo mediju vai cita veida "interesantu" trafiku.

STAR izlūkošanas sakaru protokols

Tīkla aizsardzības tehnoloģija pati par sevi nedarbojas. Dzinējs sazinās ar citiem drošības dienestiem, izmantojot STAR Intelligence Communication (STAR ICB) protokolu. Tīkla IPS dzinējs tiek savienots ar Symantec Sonar dzinēju un pēc tam ar Insight Reputation dzinēju. Tas ļauj nodrošināt informatīvāku un precīzāku aizsardzību.

Nākamajā rakstā mēs apskatīsim "Uzvedības analizatora" līmeni.

Saskaņā ar Symantec

Antivīruss ir jāinstalē katrā Windows datorā. Ilgu laiku tas tika uzskatīts par zelta likumu, taču mūsdienās IT drošības eksperti strīdas par drošības programmatūras efektivitāti. Kritiķi apgalvo, ka antivīrusi ne vienmēr aizsargā, un dažreiz pat otrādi - neuzmanīgas ieviešanas dēļ tie var radīt drošības caurumus sistēmā. Šādu risinājumu izstrādātāji iebilst šo viedokli iespaidīgs skaits bloķētu uzbrukumu, un mārketinga nodaļas turpina solīt visaptverošu aizsardzību, ko nodrošina viņu produkti.

Patiesība slēpjas kaut kur pa vidu. Antivīrusi nedarbojas nevainojami, taču tos visus nevar saukt par bezjēdzīgiem. Tie brīdina par daudziem draudiem, taču ar tiem nepietiek, lai pēc iespējas labāk aizsargātu Windows. Jums kā lietotājam tas nozīmē sekojošo: varat vai nu izmest pretvīrusu miskastē, vai arī akli tam uzticēties. Bet tā vai citādi, tas ir tikai viens no blokiem (kaut arī liels) drošības stratēģijā. Mēs jums piegādāsim vēl deviņus šādus "ķieģeļus".

Drošības draudi: pretvīrusi

> Ko saka kritiķi Pašreizējās pretrunas par vīrusu skeneri ir izraisījis bijušais Firefox izstrādātājs Roberts O'Kalahans. Viņš apgalvo, ka antivīrusi apdraud Windows drošību un ir jānoņem. Vienīgais izņēmums ir Microsoft Windows Defender.

> Ko izstrādātāji saka Antivīrusu veidotāji, tostarp Kaspersky Lab, kā arguments ir sniegti iespaidīgi skaitļi. Tātad 2016. gadā šīs laboratorijas programmatūra reģistrēja un novērsa aptuveni 760 miljonus interneta uzbrukumu lietotāju datoriem.

> Ko domā CHIP Antivīrusus nevajadzētu uzskatīt par relikviju vai panaceju. Tie ir tikai ķieģeļi drošības ēkā. Mēs iesakām izmantot kompaktos antivīrusus. Bet neuztraucieties pārāk daudz: Windows Defender ir labs. Jūs pat varat izmantot vienkāršus trešās puses skenerus.

Izvēlieties pareizo antivīrusu

Mēs, tāpat kā iepriekš, esam pārliecināti, ka Windows nav iedomājams bez pretvīrusu aizsardzības. Jums tikai jāizvēlas pareizais produkts. Windows 10 lietotājiem tas var būt pat iebūvētais Windows Defender. Neskatoties uz to, ka mūsu testu laikā tas neuzrādīja vislabāko atpazīstamības pakāpi, tas ir lieliski un, pats galvenais, bez drošības problēmām, kas iebūvētas sistēmā. Turklāt Microsoft ir uzlabojis savu produktu Creators Update for Windows 10 un padarījis to vieglāk pārvaldāmu.

Citu izstrādātāju pretvīrusu pakotnēm bieži ir augstāka atpazīstamības pakāpe nekā Defender. Mēs atbalstām kompaktu risinājumu. Mūsu reitinga līderis uz Šis brīdis ir Kaspersky interneta drošība 2017. Tie, kuri var atteikties no tādām papildus iespējām kā vecāku kontrole un paroļu pārvaldniekam vajadzētu pievērst uzmanību budžeta iespējām no Kaspersky Lab.

Sekojiet atjauninājumiem

Ja Windows drošības nodrošināšanai būtu jāizvēlas tikai viens pasākums, mēs noteikti izvēlētos atjauninājumus. Šajā gadījumā, protams, mēs galvenokārt runājam par Windows atjauninājumiem, bet ne tikai. Regulāri jāatjaunina arī instalētā programmatūra, tostarp Office, Firefox un iTunes. Operētājsistēmā Windows sistēmas atjauninājumu iegūšana ir salīdzinoši vienkārša. Gan "septiņos", gan "desmit" ielāpos tiek instalēti automātiski pēc noklusējuma iestatījumiem.

Programmu gadījumā situācija ir sarežģītāka, jo ne visas no tām ir tik viegli atjaunināt kā Firefox un Chrome, kurām ir iebūvēta automātiskās atjaunināšanas funkcija. SUMo (Software Update Monitor) utilīta atbalstīs jūs šajā uzdevumā un paziņos, kad būs pieejami atjauninājumi. Māsas programma DUMo (Driver Update Monitor) veiks to pašu darbu draiveriem. Abi bezmaksas palīgi gan informē tikai par jaunām versijām – tās būs jālejupielādē un jāinstalē pašam.

Uzstādiet ugunsmūri

Windows iebūvētais ugunsmūris veic labu darbu un droši bloķē visus ienākošos pieprasījumus. Tomēr tas spēj vairāk - tā potenciāls neaprobežojas tikai ar noklusējuma konfigurāciju: viss instalētās programmas ir tiesības atvērt portus ugunsmūrī bez prasīšanas. Bezmaksas Windows ugunsmūra kontroles utilīta nodos jūs rokās vairāk funkciju.

Palaidiet to un izvēlnē "Profili" iestatiet filtru uz "Vidējs filtrs". Pateicoties tam, ugunsmūris kontrolēs arī izejošo trafiku saskaņā ar noteiktu noteikumu kopumu. Kādi pasākumi tur tiks iekļauti, jūs pats nosakāt. Lai to izdarītu, programmas ekrāna apakšējā kreisajā stūrī noklikšķiniet uz piezīmes ikonas. Tātad jūs varat skatīt noteikumus un izsniegt atļauju ar vienu klikšķi atsevišķa programma vai bloķējiet to.

Izmantojiet īpašu aizsardzību

Atjauninājumi, antivīruss un ugunsmūris – jūs jau esat parūpējies par šo lielisko drošības pasākumu trīsvienību. Ir laiks laba skaņa. Problēma ar Windows papildu programmām bieži ir tāda, ka tās neizmanto visus sistēmas piedāvātos drošības līdzekļus. Ekspluatācijas rīks, piemēram, EMET (Enhanced Mitigation Experience Toolkit), vēl vairāk uzlabo instalēto programmatūru. Lai to izdarītu, noklikšķiniet uz "Izmantot ieteicamos iestatījumus" un ļaujiet programmai darboties automātiski.

Stiprināt šifrēšanu

Jūs varat ievērojami uzlabot personas datu aizsardzību, tos šifrējot. Pat ja jūsu informācija nonāks nepareizās rokās, hakeris nevarēs noņemt labu kodējumu, vismaz ne uzreiz. Profesionāli Windows versijas BitLocker utilīta jau ir nodrošināta, konfigurēta, izmantojot vadības paneli.

VeraCrypt kļūs par alternatīvu visiem lietotājiem. Šī atvērtā pirmkoda programma ir neoficiāla TrueCrypt pēctece, kas tika pārtraukta pirms pāris gadiem. Ja mēs runājam tikai par personas informācijas aizsardzību, jūs varat izveidot šifrētu konteineru, izmantojot vienumu "Izveidot apjomu". Atlasiet opciju "Izveidot šifrētu failu konteineru" un izpildiet vedņa norādījumus. Piekļuve gatavam datu seifam tiek veikta, izmantojot Windows Explorer, piemēram, parasto disku.

Aizsargājiet lietotāju kontus

Daudzas ievainojamības paliek hakeri neizmantotas tikai tāpēc, ka darbs datorā tiek veikts, izmantojot standarta kontu ar ierobežotām tiesībām. Tādējādi ikdienas uzdevumiem arī tādi jāiestata konts. Operētājsistēmā Windows 7 tas tiek darīts, izmantojot vadības paneli un vienumu Pievienot vai noņemt lietotāju kontus. Sadaļā "desmit" noklikšķiniet uz "Iestatījumi" un "Konti" un pēc tam atlasiet "Ģimene un citi cilvēki".

Aktivizējiet VPN, kad esat prom no mājām

Mājās iekšā bezvadu tīkls jūsu drošības līmenis ir augsts, jo tikai jūs kontrolējat, kam ir piekļuve vietējam tīklam, kā arī esat atbildīgs par šifrēšanu un piekļuves kodiem. Viss ir savādāk, piemēram, karsto punktu gadījumā
viesnīcās. Šeit Wi-Fi tiek izplatīts starp nepiederošām personām, un jūs nevarat ietekmēt tīkla piekļuves drošību. Aizsardzībai mēs iesakām izmantot VPN (virtuālo privāto tīklu). Ja jums vienkārši jāpārlūko vietnes, izmantojot tīklāju, pietiks ar iebūvēto VPN. jaunākā versija Opera pārlūks. Instalējiet pārlūkprogrammu un sadaļā "Iestatījumi" noklikšķiniet uz "Drošība". Sadaļā “VPN” atzīmējiet izvēles rūtiņu “Iespējot VPN”.

Pārtrauciet neizmantotos bezvadu savienojumus

labi

Pat detaļas var izšķirt situācijas iznākumu. Ja neizmantojat savienojumus, piemēram, Wi-Fi un Bluetooth, vienkārši izslēdziet tos un tādējādi aizveriet iespējamās nepilnības. Operētājsistēmā Windows 10 vienkāršākais veids, kā to izdarīt, ir izmantot darbību centru. Šim nolūkam "Septiņi" piedāvā vadības paneļa sadaļu "Tīkla savienojumi".

Pārvaldīt paroles

Katra parole ir jāizmanto tikai vienu reizi, un tai jāsatur speciālās rakstzīmes, cipari, lielie un mazie burti. Un arī jābūt pēc iespējas ilgākam - vislabāk ir desmit vai vairāk rakstzīmes. Paroles drošības jēdziens šodien ir sasniedzis savas robežas, jo lietotājiem ir pārāk daudz ko atcerēties. Tāpēc, ja iespējams, šāda aizsardzība jāaizstāj ar citām metodēm. Ņemiet par piemēru Windows pierakstīšanos: ja jums ir Windows Hello iespējota kamera, izmantojiet sejas atpazīšanu, lai pierakstītos. Attiecībā uz citiem kodiem mēs iesakām vērsties pie paroļu pārvaldniekiem, piemēram, KeePass, kas jāaizsargā ar spēcīgu galveno paroli.

Aizsargājiet privātumu pārlūkprogrammā

Ir daudz veidu, kā aizsargāt savu privātumu tiešsaistē. Firefox privātuma iestatījumu paplašinājums ir ideāls. Instalējiet to un iestatiet uz "Pilna konfidencialitāte". Pēc tam pārlūkprogramma nesniegs nekādu informāciju par jūsu uzvedību internetā.

Glābšanas riņķis: rezerves

> Dublējumkopijas ir ārkārtīgi svarīgas Dublējums attaisno
sevi ne tikai pēc inficēšanās ar vīrusu. Tas arī izrādījās lielisks aparatūras problēmu gadījumā. Mūsu padoms: vienu reizi izveidojiet visas Windows kopiju un pēc tam papildus un regulāri dublējiet visus svarīgos datus.

> Pilnīga Windows Windows 10 arhivēšana, kas mantota no "septiņu" moduļa "Arhivēšana un atjaunošana". Ar to jūs izveidosit dublējums sistēmas. Varat arī izmantot īpaši komunālie pakalpojumi, piemēram, True Image vai Macrium Reflect.

> True Image failu aizsardzība un Macrium Reflect maksas versija var izveidot kopijas konkrēti faili un mapes. Bezmaksas alternatīva arhivēšanai svarīga informācija kļūs par personīgo dublējumu.

FOTO: ražošanas uzņēmumi; NicoElNino/Fotolia.com

Kā jūs varat aizsargāt savu datoru no attālās piekļuves? Kā novērst piekļuvi datoram, izmantojot pārlūkprogrammu?

Kā aizsargāt datoru no attālās piekļuves, parasti domāju, kad kaut kas jau ir noticis. Bet, protams, tas ir nepareizs lēmums cilvēkam, kurš nodarbojas ar vismaz kaut kādu savu darbību. Jā, un visiem lietotājiem ir vēlams ierobežot piekļuvi savam datoram nepiederošām personām. Un šajā rakstā mēs neapspriedīsim, kā iestatīt paroli, lai ievadītu datoru, bet mēs redzēsim opciju, kā liegt piekļuvi datoram no lokālā tīkla vai no cita datora, ja tie ir savienoti ar to pašu tīklu. . Šāda informācija būs īpaši noderīga jauniem datoru lietotājiem.

Un tā, iekšā operētājsistēma Sistēmai Windows ir funkcija ar nosaukumu "Attālā piekļuve". Un, ja tas nav atspējots, citi lietotāji var to izmantot, lai pārņemtu kontroli pār jūsu datoru. Pat ja esat vadītājs un jums ir jāseko līdzi saviem darbiniekiem, tad, protams, jums ir nepieciešama piekļuve viņu datoram, bet jums ir jāslēdz savs, lai šie paši darbinieki neskatītos jūsu saraksti ar sekretāri - tas ir pilns ar ...

Pirmd	Otr	Tr	Ce	Piekt	sestdien	Sv

	1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

2020. gada marts

REKLĀMA

Kā parasti, projekti tiek reklamēti tiešsaistē. Parasti SEO tekstu autori cenšas pēc iespējas vairāk iedziļināties tekstā. meklēšanas vaicājumi, saliekot tos

Izpratne par galvenajām niansēm, kas atšķir viltotus iPhone no īstajiem, palīdzēs ietaupīt naudu un izvairīties no pirkumiem no nolaidīgiem pārdevējiem. Par ko

Populārs kategorijā: