Odkrivanje in zaščita računalnika preko omrežja. Zaščita omrežja. Program za zaščito računalniških omrežij. O Slabo: ranljivost skupnih upravnih virov
Nekateri ljudje celo življenje delajo na izboljšanju varnosti za podjetja in posameznike. In precejšen del tega časa porabijo za krpanje lukenj v Windowsih. Sistem Windows je glavni kanal za zlonamerna programska oprema, ki ustvarjajo zombije (robote), kot je bilo obravnavano v 5. poglavju, in to je le vrh ledene gore. Po pravici povedano je v veliki meri kriva velika priljubljenost sistema Windows, vendar je v sistemu Windows 7 toliko lukenj, da ni jasno, ali koga pri Microsoftu to moti.
Obstajajo tri glavne vrste groženj. Prvič, posebej usmerjen napad osebe, ki poskuša vdreti v vaš računalnik prek omrežne povezave. Drugič, napad osebe, ki sedi za tipkovnico vašega računalnika. Končno lahko pride do samodejnega napada, ki ga izvede črv ali druga vrsta zlonamerne programske opreme.
Windows 7 in še starejša Vista vključujeta nadzor uporabniškega računa, ki naj bi pomagal zaustaviti val nenamernih in nezaželenih namestitev programske opreme – več o tem, pa tudi o geslih in šifriranju
piše v 7. poglavju. Vendar pa večina smeti prihaja prek vaše omrežne povezave, zato bi morali tam začeti zaščititi svoj računalnik. Operacijski sistem Windows 7 vključuje več funkcij, ki omogočajo zagotavljanje določene stopnje varnosti brez nakupa dodatne programe ali opremo.
Na žalost ni veliko teh funkcij privzeto omogočenih. Naslednji dejavniki so vrzeli, ki jih ne smete prezreti.
O Slabo: ranljivost protokola UPnP
Druga funkcija, imenovana UPnP (Universal Plug-and-Play), lahko odpre dodatne ranljivosti v vašem omrežju. Bolj primerno ime za UPnP bi bilo Network Plug and Play, saj ta funkcija deluje samo z omrežnimi napravami. UPnP je nabor standardov, ki nedavno povezanim napravam omogoča oglaševanje
o vaši prisotnosti UPnP strežniki v vašem omrežju, podobno kot naprave USB svojo prisotnost naznanijo sistemu v lasti Windows
Navzven je funkcija UPnP videti dobro. Toda v praksi sta pomanjkanje avtentikacije v standardu UPnP in enostavnost, s katero lahko zlonamerna programska oprema uporabi UPnP za luknjanje v požarnem zidu in ustvarjanje pravil za posredovanje vrat v usmerjevalniku, le težava. UPnP se trenutno uporablja za nekatere igre, večino medijskih razširiteljev, neposredno sporočanje, oddaljeno pomoč itd., kar pojasnjuje, zakaj je privzeto omogočen v sistemu Windows 7 in mnogih omrežne naprave. Če pa ga ne potrebujete, potem je bolje, da ga izklopite.
Če izberete Javno omrežje, ko se prvič povežete z novo omrežje ali prek središča za omrežje in skupno rabo
^j Center za skupno rabo), potem je UPnP privzeto onemogočen.
Če želite onemogočiti UPnP, odprite okno 01usb (services.msc). Na seznamu poiščite storitev SSDP Discovery Service in v orodni vrstici kliknite gumb Stop service box. Istočasno bi se moral ustaviti tudi gostitelj naprave UPnP. Če ni, nehajte tudi s tem. Zdaj preizkusite vse aplikacije ali naprave, za katere sumite, da morda uporabljajo odkrivanje omrežja, kot so medijski strežniki ali razširitve. Če nimate nobenega od teh, lahko popolnoma onemogočite UPnP tako, da dvokliknete vsako storitev in na seznamu Vrsta zagona izberete Onemogočeno. V nasprotnem primeru se bodo te storitve znova zagnale ob naslednjem zagonu sistema Windows.
Sedaj odprite stran s konfiguracijo usmerjevalnika (opisano prej v tem poglavju) in onemogočite storitev UPnP. To je potrebno, da aplikacijam preprečimo vzpostavitev novih pravil za posredovanje vrat. Če vaš usmerjevalnik ne omogoča spreminjanja nastavitev UPnP, razmislite o nadgradnji na več nova različica strojno programsko opremo, kot je opisano v razdelku »Nadgradnja na novejšo različico usmerjevalnika«.
O Slabo: ranljivost odprtih vrat
Poiščite ranljivosti v vašem sistemu z uporabo skeniranja odprtih vrat, kot je opisano kasneje v tem poglavju.
O Dobro: delovni prostor na daljavo, vendar le po potrebi
Funkcija oddaljenega namizja, opisana v " Daljinec računalnik" je privzeto omogočen v sistemih Windows 7 Professional in Ultimate. Razen če to funkcijo posebej potrebujete, jo izklopite. Na nadzorni plošči odprite Sistem in nato izberite povezavo Nastavitve oddaljenega dostopa. Na strani Oddaljen dostop V oknu Lastnosti sistema izklopite potrditveno polje Dovoli povezave oddaljene pomoči s tem računalnikom in potrdite spodnje potrditveno polje Ne dovoli povezav s tem računalnikom.
O V redu: geslo računa
V teoriji splošni dostop v datoteke ne deluje za račune, ki nimajo gesla, kar je privzeta nastavitev pri ustvarjanju novega uporabniškega računa. Toda račun brez gesla ne zagotavlja nobene zaščite pred kogar koli, ki sedi za vašo tipkovnico, in če gre za uporabniški račun s skrbniškimi pravicami, so vrata odprta za vse druge uporabnike tega računalnika. Za razpravo o uporabniških računih in geslih glejte 7. poglavje.
O domačih skupinah in skupni rabi datotek
Vsaka mapa v skupni rabi je potencialno odprta vrata. Zato je treba omogočiti odprt dostop samo do tistih map, ki so res potrebne. Upoštevajte, da so dovoljenja za datoteke in dovoljenja za skupno rabo različni stvari v sistemu Windows 7. To je podrobneje obravnavano v 7. poglavju.
O Slabo: ranljivost čarovnika za skupno rabo
Eden glavnih razlogov za ustvarjanje delovne skupine je skupna raba datotek in tiskalnikov. Vendar je pametno dati v skupno rabo samo mape, ki jih je treba dati v skupno rabo, in izklopiti skupno rabo za vse druge. Funkcija, imenovana Uporabi čarovnika za skupno rabo, opisana v 2. poglavju in podrobno obravnavana v 7. poglavju, vam ne daje popolnega nadzora nad tem, kdo si lahko ogleduje in spreminja vaše datoteke.
O Slabo: ranljivost skupnih upravnih virov
Funkcija skupne rabe, obravnavana v 7. poglavju, omogoča dostop do vseh pogonov v vašem računalniku, ne glede na to, ali souporabljate mape na teh pogonih.
O Dobro: Požarni zid
Konfigurirajte požarni zid, o katerem razpravljamo spodaj, za strog nadzor omrežnega pretoka v in iz vašega računalnika, vendar se ne zanašajte na vgrajeno programsko opremo požarnega zidu Windows, ki bo zagotovila zadostno zaščito.
A Dobro: Center za podporo je dober, vendar se ne smete povsem zanašati nanj. Center za podporo, prikazan na sl. 6.28 je osrednja stran na nadzorni plošči, ki se uporablja za upravljanje požarnega zidu Windows, programa Windows Defender, nadzora uporabniškega računa in samodejnih posodobitev. On tudi nadzoruje protivirusni programi, vendar čisto iz političnih razlogov Windows 7 nima lastnih protivirusnih programov.
Najpomembneje je, da je Action Center samo gledalec. Če vidi, da je določen zaščitni ukrep omogočen, ne glede na to, ali se aktivno izvaja, bo akcijski center zadovoljen in ne boste prejeli nobenega obvestila.
Ste naveličani sporočil centra za podporo? Kliknite povezavo Spremeni nastavitve akcijskega centra na levi strani in izberite, katere težave je vredno prijaviti in katere lahko prezrete. Vsa sporočila iz centra za opravila lahko onemogočite tako, da izklopite vsa potrditvena polja na tej strani, a če želite popolnoma deaktivirati celotno funkcijo, morate odpreti okno storitev (services.msc) in izklopiti center za opravila. S tem ne boste onemogočili nobenega požarnega zidu, protivirusnega programa ali samodejnih posodobitev, ki jih morda uporabljate, le orodja za spremljanje teh orodij in sporočila, ki jih spremljajo.
Tukaj ne morete spremeniti nastavitev požarnega zidu ali zaščite pred zlonamerno programsko opremo. Če želite to narediti, se morate vrniti na nadzorno ploščo in tam odpreti ustrezen program.
Problem epidemije omrežnega črva je pomemben za vse lokalno omrežje. Prej ali slej lahko pride do situacije, ko omrežni ali e-poštni črv prodre v LAN in ga uporabljeni protivirusni program ne zazna. Omrežni virus se širi po omrežju LAN prek ranljivosti operacijskega sistema, ki v času okužbe ni bil zaprt, ali prek zapisljivih deljenih virov. poštni virus, kot že ime pove, se distribuira po e-pošti, pod pogojem, da ga ne blokirata protivirusni program odjemalca in protivirusni program na poštni strežnik. Poleg tega se lahko epidemija v lokalnem omrežju organizira od znotraj kot posledica dejavnosti insajderja. V tem članku si bomo ogledali praktične metode za operativno analizo računalnikov LAN z različnimi orodji, zlasti z uporabo avtorjevega pripomočka AVZ.
Oblikovanje problema
Če je v omrežju zaznana epidemija ali kakšna nenormalna aktivnost, mora skrbnik hitro rešiti vsaj tri naloge:
- odkrivanje okuženih osebnih računalnikov v omrežju;
- najti vzorce zlonamerne programske opreme za pošiljanje v protivirusni laboratorij in razviti strategijo protiukrepa;
- sprejme ukrepe za blokiranje širjenja virusa v LAN in ga uniči na okuženih računalnikih.
V primeru notranje dejavnosti so glavni koraki analize enaki in se največkrat skrčijo na potrebo po odkrivanju programske opreme tretjih oseb, ki jo je notranji uporabnik namestil na računalnike v omrežju LAN. Primeri takšne programske opreme vključujejo pripomočke za oddaljeno upravljanje, keyloggerji in različne trojanske zaznamke.
Oglejmo si podrobneje rešitev vsake od nalog.
Poiščite okužene računalnike
Za iskanje okuženih računalnikov v omrežju lahko uporabite vsaj tri metode:
- avtomatska oddaljena analiza računalnika - pridobivanje informacij o tekočih procesih, naloženih knjižnicah in gonilnikih, iskanje značilnih vzorcev - na primer procesov ali datotek z dana imena;
- Analiza prometa na osebnem računalniku z vohanjem - ta metoda zelo učinkovit pri lovljenju neželene pošte, e-poštnih in omrežnih črvov, vendar je glavna težava pri uporabi snifferja posledica dejstva, da je sodoben LAN zgrajen na podlagi stikal in posledično skrbnik ne more spremljati prometa celotno omrežje. Težavo je mogoče rešiti na dva načina: z zagonom snifferja na usmerjevalniku (ki omogoča spremljanje izmenjave podatkov računalnika z internetom) in z uporabo nadzornih funkcij stikal (številna sodobna stikala vam omogočajo, da dodelite nadzorna vrata, na katera se podvoji promet enega ali več stikalnih vrat, ki jih določi skrbnik);
- študija obremenitve omrežja - v tem primeru je zelo priročno uporabljati pametna stikala, ki vam omogočajo ne le oceno obremenitve, temveč tudi oddaljeno onemogočanje vrat, ki jih določi skrbnik. Ta operacija je zelo poenostavljena, če ima skrbnik zemljevid omrežja, ki vsebuje informacije o tem, kateri osebni računalniki so povezani z ustreznimi vrati stikala in kje se nahajajo;
- uporaba honeypots - zelo priporočljivo je ustvariti več honeypotov v lokalnem omrežju, kar bo skrbniku omogočilo pravočasno odkrivanje epidemije.
Samodejna analiza osebnih računalnikov v omrežju
Samodejno analizo računalnika je mogoče zmanjšati na tri glavne stopnje:
- izvajanje popolnega skeniranja računalnika - tekoči procesi, naložene knjižnice in gonilniki, samodejni zagon;
- izvajanje operativnih raziskav – na primer iskanje značilnih procesov ali datotek;
- karantena predmetov po določenih kriterijih.
Vse zgoraj naštete težave je mogoče rešiti z uporabo avtorjevega pripomočka AVZ, ki je zasnovan za zagon iz omrežne mape na strežniku in podpira skriptni jezik za samodejno pregledovanje računalnika. Za zagon AVZ na uporabniških računalnikih morate:
- Postavite AVZ v omrežno mapo na strežniku, ki je odprta za branje.
- V tej mapi ustvarite podimenika LOG in Qurantine ter dovolite uporabnikom, da pišejo vanje.
- Zaženite AVZ na računalnikih LAN s pripomočkom rexec ali prijavnim skriptom.
Zagon AVZ v 3. koraku je treba izvesti z naslednjimi parametri:
\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt
V tem primeru parameter Priority=-1 zniža prioriteto procesa AVZ, parametra nw=Y in nq=Y preklopita karanteno v način »omrežni zagon« (v tem primeru se v mapi karantene ustvari podimenik za vsak računalnik, katerega ime se ujema z omrežnim imenom osebnega računalnika), HiddenMode=2 naroči, da se uporabniku onemogoči dostop do GUI in kontrolnikov AVZ, in končno, najpomembnejši parameter Script določa polno ime skripta z ukaze, ki jih bo AVZ izvajal na uporabnikovem računalniku. Skriptni jezik AVZ je dokaj enostaven za uporabo in je usmerjen izključno v reševanje problemov računalniškega pregleda in zdravljenja. Za poenostavitev postopka pisanja skriptov lahko uporabite specializiran urejevalnik skriptov, ki vsebuje spletni poziv, čarovnika za ustvarjanje standardnih skriptov in orodja za preverjanje pravilnosti napisanega skripta brez zagona (slika 1).
riž. 1. Urejevalnik skriptov AVZ
Poglejmo si tri tipične skripte, ki so lahko koristne v boju proti epidemiji. Najprej potrebujemo raziskovalni skript za osebni računalnik. Naloga skripte je preučiti sistem in ustvariti protokol z rezultati v dani omrežni mapi. Skript izgleda takole:
AktivirajWatchDog(60 * 10);
// Začetek skeniranja in analize
// Raziskovanje sistema
ExecuteSysCheck(GetAVZDirectory+
‘\LOG\’+GetComputerName+’_log.htm’);
//Zaustavitev AVZ
Med izvajanjem tega skripta bodo datoteke HTML z rezultati študije omrežnih računalnikov ustvarjene v mapi LOG (ob predpostavki, da je ustvarjena v imeniku AVZ na strežniku in je na voljo uporabnikom za pisanje) in za zagotovitev edinstvenost, je ime računalnika, ki se pregleduje, vključeno v ime protokola. Na začetku skripta je ukaz za omogočanje nadzornega časovnika, ki bo prisilno prekinil proces AVZ po 10 minutah, če med izvajanjem skripta pride do napak.
Protokol AVZ je primeren za ročno študijo, vendar je malo uporaben za avtomatizirano analizo. Poleg tega skrbnik pogosto pozna ime datoteke zlonamerne programske opreme in mora le preveriti prisotnost ali odsotnost ta datoteka, in če je na voljo, v karanteno za analizo. V tem primeru lahko uporabite naslednji skript:
// Omogoči nadzorni časovnik za 10 minut
AktivirajWatchDog(60 * 10);
// Iskanje zlonamerne programske opreme po imenu
QuarantineFile('%WinDir%\smss.exe', 'Sumljivo glede LdPinch.gen');
QuarantineFile('%WinDir%\csrss.exe', 'Sum na LdPinch.gen');
//Zaustavitev AVZ
Ta skript uporablja funkcijo QuarantineFile za poskus postavitve navedenih datotek v karanteno. Skrbnik lahko samo analizira vsebino karantene (mapa Karantena\ime_omrežja_PC\datum_karantene\) za prisotnost datotek v karanteni. Upoštevajte, da funkcija QuarantineFile samodejno blokira datoteke v karanteni, ki jih identificira varna baza podatkov AVZ ali Microsoftova baza podatkov digitalnih podpisov. Za praktična uporaba ta skript je mogoče izboljšati - organizirajte nalaganje imen datotek iz zunanje besedilne datoteke, preverite najdene datoteke v zbirkah podatkov AVZ in ustvarite besedilni protokol z rezultati dela:
// Iskanje datoteke z navedenim imenom
funkcija CheckByName(Fname: niz) : logično;
Rezultat:= FileExists(FName) ;
če je rezultat, potem začnite
case CheckFile(FName) of
1: S:= ', dostop do datoteke je blokiran';
1: S:= ', zaznano kot zlonamerna programska oprema ('+GetLastCheckTxt+')';
2: S:= ', na katerega sumi pregledovalnik datotek ('+GetLastCheckTxt+')';
3: izhod; // Varne datoteke so prezrte
AddToLog('Datoteka '+NormalFileName(FName)+' ima sumljivo ime'+S);
//Dodaj navedeno datoteko v karanteno
QuarantineFile(FName,'sumljiva datoteka'+S);
SuspNames: TStringList; // Seznam imen sumljivih datotek
// Preverjanje datotek glede na posodobljeno bazo podatkov
če FileExists(GetAVZDirectory + 'files.db') potem začni
SuspNames:= TStringList.Create;
SuspNames.LoadFromFile('files.db');
AddToLog('Naložena zbirka imen - število zapisov = '+inttostr(SuspNames.Count));
// Iskalna zanka
for i:= 0 do SuspNames.Count - 1 do
CheckByName(SuspNames[i]);
AddToLog('Napaka pri nalaganju seznama imen datotek');
SaveLog(GetAVZDirectory+’\LOG\’+
GetComputerName+'_files.txt');
Da bi ta skript deloval, morate v mapi AVZ ustvariti imenika Karantena in LOG, ki sta dostopna uporabnikom za pisanje, kot tudi besedilna datoteka files.db - vsaka vrstica te datoteke bo vsebovala ime sumljive datoteke. Imena datotek lahko vključujejo makre, med katerimi so najbolj uporabni %WinDir% (pot do mapo Windows) in %SystemRoot% (pot do mape System32). Druga smer analize bi lahko bila samodejna preiskava seznama procesov, ki se izvajajo na uporabniških računalnikih. Informacije o tekočih procesih so v protokolu sistemskega raziskovanja, vendar je za samodejno analizo bolj priročno uporabiti naslednji fragment skripta:
postopek ScanProcess;
S:= ''; S1:= '';
//Posodobitev seznama procesov
RefreshProcessList;
AddToLog('Število procesov = '+IntToStr(GetProcessCount));
// Cikel analize prejetega seznama
for i:= 0 do GetProcessCount - 1 se začne
S1:= S1 + ',' + ExtractFileName(GetProcessName(i));
// Iskanje procesa po imenu
if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 potem
S:= S + GetProcessName(i)+’,’;
če S<>''potem
AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);
AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);
Preučevanje procesov v tem skriptu se izvaja kot ločen postopek ScanProcess, zato ga je enostavno umestiti v svoj skript. Postopek ScanProcess sestavi dva seznama procesov: celoten seznam procesov (za naknadno analizo) in seznam procesov, ki so z vidika skrbnika ocenjeni kot nevarni. V tem primeru se za namene predstavitve postopek z imenom »trojan.exe« šteje za nevarnega. Podatki o nevarnih procesih so dodani v besedilno datoteko _alarm.txt, podatki o vseh procesih pa v datoteko _all_process.txt. Preprosto je videti, da lahko skript zakomplicirate tako, da mu na primer dodate preverjanje procesnih datotek glede na bazo varnih datotek ali preverjanje imen izvršljive datoteke procesov na zunanji osnovi. Podoben postopek se uporablja v skriptih AVZ, ki se uporabljajo v Smolenskenergo: skrbnik občasno preuči zbrane informacije in spremeni skript ter mu doda imena procesov programov, ki jih varnostna politika prepoveduje, na primer ICQ in MailRu.Agent, ki omogoča hitro preverite prisotnost prepovedane programske opreme na osebnih računalnikih, ki jih proučujete. Druga uporaba seznama procesov je iskanje osebnih računalnikov, na katerih manjka zahtevani proces, na primer protivirusni program.
Za zaključek si poglejmo še zadnjo izmed uporabnih analitičnih skript - skripto za samodejno karanteno vseh datotek, ki jih varna baza AVZ in Microsoftova baza digitalnih podpisov ne prepoznata:
// Izvedite avtokaranteno
ExecuteAutoQuarantine;
Samodejna karantena pregleda izvajajoče se procese in naložene knjižnice, storitve in gonilnike, približno 45 metod samodejnega zagona, razširitvene module brskalnika in raziskovalca, upravljalnike SPI/LSP, opravila razporejevalnika, upravljavce sistema za tiskanje itd. Posebnost karantene je, da se vanjo dodajajo datoteke z nadzorom ponavljanja, tako da lahko funkcijo samokarantene kličemo večkrat.
Prednost samodejne karantene je, da lahko skrbnik z njeno pomočjo hitro zbere potencialno sumljive datoteke iz vseh računalnikov v omrežju za pregled. Najenostavnejša (a v praksi zelo učinkovita) oblika preučevanja datotek je lahko preverjanje nastale karantene z več priljubljenimi protivirusnimi programi v največjem hevrističnem načinu. Upoštevati je treba, da lahko hkratni zagon samodejne karantene na več sto računalnikih povzroči veliko obremenitev omrežja in datotečnega strežnika.
Prometne raziskave
Prometne raziskave se lahko izvajajo na tri načine:
- ročno z vohanjem;
- v polavtomatskem načinu - v tem primeru sniffer zbira informacije, nato pa se njegovi protokoli obdelujejo ročno ali s programsko opremo;
- samodejno z uporabo sistemov za zaznavanje vdorov (IDS), kot je Snort (http://www.snort.org/) ali njihovih analogov programske ali strojne opreme. V najpreprostejšem primeru je IDS sestavljen iz vohača in sistema, ki analizira informacije, ki jih zbere vohalo.
Sistem za zaznavanje vdorov je optimalno orodje, saj vam omogoča ustvarjanje nizov pravil za odkrivanje anomalij v omrežni dejavnosti. Njegova druga prednost je ta, da večina sodobnih IDS omogoča namestitev agentov za nadzor prometa na več omrežnih vozlišč - agenti zbirajo informacije in jih posredujejo. V primeru uporabe snifferja je zelo priročno uporabiti konzolni sniffer tcpdump UNIX. Na primer za spremljanje dejavnosti na vratih 25 ( protokol SMTP) samo zaženite vohanje z ukazna vrstica vrsta:
tcpdump -i em0 -l tcp vrata 25 > smtp_log.txt
V tem primeru se paketi zajemajo prek vmesnika em0; informacije o zajetih paketih bodo shranjene v datoteki smtp_log.txt. Protokol je razmeroma enostavno ročno analizirati; v tem primeru vam analiza dejavnosti na vratih 25 omogoča prepoznavanje osebnih računalnikov z aktivnimi roboti za neželeno pošto.
Aplikacija Honeypot
Zastarel računalnik, katerega zmogljivost ne omogoča reševanja, se lahko uporabi kot past (Honeypot). proizvodne naloge. Na primer, Pentium Pro s 64 MB se uspešno uporablja kot past v omrežju avtorja pomnilnik z naključnim dostopom. Na ta računalnik morate namestiti najpogostejši operacijski sistem v LAN in izbrati eno od strategij:
- Namestite operacijski sistem brez posodobitvenih paketov - to bo pokazatelj pojava aktivnega omrežnega črva v omrežju, ki izkorišča katero koli od znanih ranljivosti tega operacijskega sistema;
- namestite operacijski sistem s posodobitvami, ki so nameščene na drugih osebnih računalnikih v omrežju - Honeypot bo analogen kateri koli delovni postaji.
Vsaka strategija ima svoje prednosti in slabosti; Avtor uporablja predvsem možnost brez posodobitev. Ko ustvarite Honeypot, morate ustvariti sliko diska za hitro okrevanje sistem, potem ko ga je poškodovala zlonamerna programska oprema. Kot alternativo sliki diska lahko uporabite sisteme za povrnitev sprememb, kot je ShadowUser in njegovi analogi. Ko ste zgradili Honeypot, morate upoštevati, da številni omrežni črvi iščejo okužene računalnike s skeniranjem obsega IP, izračunanega iz naslova IP okuženega računalnika (pogoste tipične strategije so X.X.X.*, X.X.X+1.*, X.X.X-1.*), - zato bi bilo idealno, če bi bil Honeypot na vsakem podomrežju. Kot dodatne elemente priprave vsekakor odprite dostop do več map v sistemu Honeypot, v te mape pa postavite več vzorčnih datotek različnih formatov, najmanjši nabor je EXE, JPG, MP3.
Ko je ustvaril Honeypot, mora skrbnik seveda spremljati njegovo delovanje in se odzvati na morebitne nepravilnosti, odkrite na ta računalnik. Revizorje je mogoče uporabiti kot sredstvo za beleženje sprememb, sniffer pa za beleženje omrežne dejavnosti. Pomembna točka je v tem, da večina vohalcev ponuja možnost konfiguracije pošiljanja opozorila skrbniku, če je zaznana določena omrežna dejavnost. Na primer, v vohalniku CommView pravilo vključuje določanje »formule«, ki opisuje omrežni paket, ali določanje kvantitativnih kriterijev (pošiljanje več kot določenega števila paketov ali bajtov na sekundo, pošiljanje paketov na neidentificirane naslove IP ali MAC) - sl. 2.
riž. 2. Ustvarite in konfigurirajte opozorilo o omrežni dejavnosti
Kot opozorilo je najbolj priročno uporabiti e-poštna sporočila, poslana na Poštni nabiralnik skrbnik - v tem primeru lahko prejemate takojšnja opozorila iz vseh pasti v omrežju. Poleg tega, če vohljanje omogoča ustvarjanje več opozoril, je smiselno razlikovati omrežno dejavnost tako, da poudarite delo z po elektronski pošti, FTP/HTTP, TFTP, Telnet, MS Net, povečan promet za več kot 20–30 paketov na sekundo za kateri koli protokol (slika 3).
riž. 3. Poslano obvestilo
če so zaznani paketi, ki ustrezajo podanim kriterijem
Pri organiziranju pasti je dobro, da nanjo postavite več ranljivih omrežnih storitev, ki se uporabljajo v omrežju, ali zanje namestite emulator. Najenostavnejši (in brezplačen) je lastniški pripomoček APS, ki deluje brez namestitve. Načelo delovanja APS se zmanjša na poslušanje številnih vrat TCP in UDP, opisanih v njegovi bazi podatkov, in izdajo vnaprej določenega ali naključno ustvarjenega odgovora v trenutku povezave (slika 4).
riž. 4. Glavno okno pripomočka APS
Na sliki je posnetek zaslona, posnet med resničnim aktiviranjem APS v omrežju Smolenskenergo LAN. Kot je razvidno iz slike, je bil zabeležen poskus povezave z enim od odjemalskih računalnikov na vratih 21. Analiza protokolov je pokazala, da so poskusi periodični in jih beleži več pasti v omrežju, kar nam omogoča sklepati, da je Omrežje se pregleduje z namenom iskanja in vdora v strežnike FTP z ugibanjem gesel. APS vodi dnevnike in lahko administratorjem pošlje sporočila s poročili o registriranih povezavah do nadzorovanih vrat, kar je priročno za hitro zaznavanje skeniranja omrežja.
Ko ustvarjate Honeypot, je prav tako koristno, da se seznanite s spletnimi viri na to temo, zlasti http://www.honeynet.org/. V razdelku Orodja na tem mestu (http://www.honeynet.org/tools/index.html) lahko najdete številna orodja za snemanje in analizo napadov.
Oddaljeno odstranjevanje zlonamerne programske opreme
V idealnem primeru jih skrbnik po odkritju vzorcev zlonamerne programske opreme pošlje v protivirusni laboratorij, kjer jih nemudoma preučijo analitiki in dodajo ustrezne podpise v protivirusno bazo podatkov. Ti podpisi skozi samodejno posodabljanje pridejo na uporabnikov računalnik in protivirusni program samodejno odstrani zlonamerno programsko opremo brez skrbniškega posredovanja. Vendar ta veriga ne deluje vedno po pričakovanjih, možni so predvsem naslednji razlogi za neuspeh:
- zaradi številnih razlogov, neodvisnih od skrbnika omrežja, slike morda ne bodo dosegle protivirusnega laboratorija;
- nezadostna učinkovitost protivirusnega laboratorija - v idealnem primeru preučevanje vzorcev in vnos v bazo podatkov ne traja več kot 1-2 uri, kar pomeni, da je mogoče posodobljene baze podatkov o podpisih pridobiti v delovnem dnevu. Vendar pa vsi protivirusni laboratoriji ne delujejo tako hitro in na posodobitve lahko čakate več dni (v redkih primerih celo tedne);
- visoka zmogljivost protivirusnega programa - številni zlonamerni programi po aktivaciji uničijo protivirusne programe ali kako drugače motijo njihovo delovanje. Klasični primeri vključujejo vnose v datoteko hosts, ki blokirajo normalno delo protivirusni sistemi za samodejno posodabljanje, brisanje procesov, storitev in protivirusnih gonilnikov, poškodbe njihovih nastavitev itd.
Zato se boste morali v zgornjih situacijah z zlonamerno programsko opremo spopasti ročno. V večini primerov to ni težko, saj rezultati računalniškega pregleda razkrijejo okužene osebne računalnike in polna imena datotek zlonamerne programske opreme. Vse kar ostane je, da jih odstranite na daljavo. Če zlonamerni program ni zaščiten pred brisanjem, ga je mogoče uničiti z naslednjim skriptom AVZ:
// Brisanje datoteke
DeleteFile('ime datoteke');
ExecuteSysClean;
Ta skript izbriše eno določeno datoteko (ali več datotek, saj je lahko v skriptu neomejeno število ukazov DeleteFile) in nato samodejno očisti register. V bolj zapletenem primeru se lahko zlonamerna programska oprema zaščiti pred izbrisom (na primer s ponovnim ustvarjanjem datotek in registrskih ključev) ali pa se prikrije s tehnologijo rootkit. V tem primeru skript postane bolj zapleten in bo videti takole:
// Anti-rootkit
SearchRootkit(true, true);
// Nadzor AVZGuard
SetAVZGuardStatus(true);
// Brisanje datoteke
DeleteFile('ime datoteke');
// Omogoči beleženje programa BootCleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
// V opravilo BootCleaner uvozite seznam datotek, ki jih je izbrisal skript
BC_ImportDeletedList;
// Aktivirajte BootCleaner
// Hevristično čiščenje sistema
ExecuteSysClean;
Znova zaženi Windows (true);
Ta skript vključuje aktivno preprečevanje rootkitov, uporabo sistema AVZGuard (to je blokator aktivnosti zlonamerne programske opreme) in sistema BootCleaner. BootCleaner je gonilnik, ki odstrani določene predmete iz KernelMode med ponovnim zagonom, v zgodnji fazi zagona sistema. Praksa kaže, da je taka skripta sposobna uničiti veliko večino obstoječe zlonamerne programske opreme. Izjema je zlonamerna programska oprema, ki ob vsakem ponovnem zagonu spremeni imena svojih izvršljivih datotek - v tem primeru je mogoče datoteke, odkrite med pregledovanjem sistema, preimenovati. V tem primeru boste morali računalnik razkužiti ročno ali ustvariti lastne podpise zlonamerne programske opreme (primer skripta, ki izvaja iskanje podpisov, je opisan v pomoči AVZ).
Zaključek
V tem članku smo si ogledali nekaj praktičnih tehnik ročnega boja proti epidemiji LAN brez uporabe protivirusnih izdelkov. Večino opisanih tehnik lahko uporabimo tudi za iskanje tujih osebnih računalnikov in trojanskih zaznamkov na uporabniških računalnikih. Če imate kakršne koli težave pri iskanju zlonamerne programske opreme ali ustvarjanju skriptov za zdravljenje, lahko skrbnik uporabi razdelek »Pomoč« na forumu http://virusinfo.info ali razdelek »Boj proti virusom« na forumu http://forum.kaspersky.com /index.php?showforum= 18. Preučevanje protokolov in pomoč pri zdravljenju poteka na obeh forumih brezplačno, analiza osebnih računalnikov poteka po protokolih AVZ, zdravljenje pa se v večini primerov zmanjša na izvajanje skripte AVZ na okuženih računalnikih, ki jo sestavijo izkušeni strokovnjaki teh forumov. .
Ki so prisiljeni čakati na ustvarjanje fizične datoteke na uporabnikovem računalniku, omrežna zaščita začne analizirati dohodne podatkovne tokove, ki vstopajo v uporabnikov računalnik prek omrežja, in blokira grožnje, preden vstopijo v sistem.
Glavna področja zaščite omrežja, ki jih zagotavljajo tehnologije Symantec, so:
Drive-by prenosi, spletni napadi;
- Napadi »socialnega inženiringa«: FakeAV (lažni antivirusi) in kodeki;
- Napadi skozi družbeni mediji všečkajte Facebook;
- Odkrivanje zlonamerne programske opreme, rootkitov in sistemov, okuženih z boti;
- Zaščita pred naprednimi grožnjami;
- grožnje ničelnega dne;
- Zaščita pred nezakrpanimi ranljivostmi programske opreme;
- Zaščita pred zlonamernimi domenami in IP naslovi.
Tehnologije za zaščito omrežja
Raven "Network Protection" vključuje 3 različne tehnologije.
Rešitev za preprečevanje vdorov v omrežje (omrežni IPS)
Omrežna tehnologija IPS razume in skenira več kot 200 različnih protokolov. Inteligentno in natančno prereže binarno in omrežni protokol, hkrati pa iščejo znake zlonamernega prometa. Ta inteligenca omogoča natančnejše skeniranje omrežja, hkrati pa zagotavlja zanesljiva zaščita. V njegovem "srcu" je motor za blokiranje izkoriščanja, ki zagotavlja odprte ranljivosti s skoraj neprebojno zaščito. Edinstvena lastnost Symantec IPS je, da ta komponenta ne zahteva nobene konfiguracije. Vse njegove funkcije delujejo, kot pravijo, "izven škatle". Vsak potrošniški izdelek Norton in vsak izdelek Symantec Endpoint Protection različice 12.1 in novejše ima to kritično tehnologijo privzeto omogočeno.
Zaščita brskalnika
Ta varnostni mehanizem se nahaja znotraj brskalnika. Sposoben je odkriti najkompleksnejše grožnje, ki jih ne moreta zaznati niti tradicionalni protivirusni program niti Network IPS. Dandanes številni omrežni napadi uporabljajo tehnike zakrivanja, da bi se izognili odkrivanju. Ker se zaščita brskalnika izvaja znotraj brskalnika, lahko med izvajanjem pregleda še neskrito (zakrito) kodo. To vam omogoča, da zaznate in blokirate napad, če je bil zgrešen na nižjih ravneh zaščite programa.
Zaščita pred nepooblaščenim prenosom (UXP)
Zadnja obrambna linija, ki se nahaja znotraj omrežnega obrambnega sloja, pomaga pokriti in ublažiti učinke neznanih in nezakrpanih ranljivosti brez uporabe podpisov. To zagotavlja dodatno raven zaščite pred napadi Zero Day.
Osredotočanje na težave
Tehnologije za zaščito omrežja skupaj rešujejo naslednje težave.
Drive-by prenosi in kompleti za spletne napade
Z uporabo tehnologije IPS omrežja, zaščite brskalnika in tehnologije UXP Symantecove tehnologije za zaščito omrežja blokirajo prenose Drive-by in v bistvu preprečujejo, da bi zlonamerna programska oprema sploh dosegla uporabnikov sistem. Uporabljajo se različne preventivne metode, ki vključujejo uporabo teh istih tehnologij, vključno s tehnologijo Generic Exploit Blocking in orodji za odkrivanje spletnih napadov. Splošno orodje za odkrivanje spletnih napadov analizira značilnosti običajnega spletnega napada, ne glede na specifično ranljivost, na katero je napad usmerjen. To vam omogoča, da zagotovite dodatno zaščito za nove in neznane ranljivosti. Najboljša stvar pri tej vrsti zaščite je, da če bi zlonamerna datoteka »tiho« okužila sistem, bi bila še vedno proaktivno ustavljena in odstranjena iz sistema: to je natančno vedenje, ki ga tradicionalni protivirusni izdelki običajno pogrešajo. Toda Symantec še naprej blokira na desetine milijonov različic zlonamerne programske opreme, ki je običajno ni mogoče zaznati z drugimi sredstvi.
Napadi socialnega inženiringa
Ker Symantecova tehnologija spremlja promet omrežja in brskalnika med potovanjem, zazna napade "socialnega inženiringa", kot so FakeAV ali lažni kodeki. Tehnologije so zasnovane tako, da blokirajo takšne napade, preden se pojavijo na uporabnikovem zaslonu. Večina drugih konkurenčnih rešitev ne vključuje te zmogljive zmogljivosti.
Symantec blokira na stotine milijonov tovrstnih napadov s tehnologijo za zaščito pred spletnimi grožnjami.
Napadi, usmerjeni v aplikacije družbenih medijev
Aplikacije družbenih medijev so v zadnjem času postale zelo priljubljene, saj omogočajo takojšnjo deljenje različnih sporočil, zanimivih videoposnetkov in informacij s tisoči prijateljev in uporabnikov. Zaradi široke razširjenosti in potenciala takih programov so tarča št. 1 za hekerje. Nekateri pogosti hekerski triki vključujejo ustvarjanje lažnih računov in pošiljanje neželene pošte.
Tehnologija Symantec IPS lahko zaščiti pred tovrstnimi metodami zavajanja in jih pogosto prepreči, še preden uporabnik nanje sploh klikne. Symantec zaustavi goljufive in lažne URL-je, aplikacije in druge tehnike zavajanja s tehnologijo za zaščito pred spletnimi grožnjami.
Odkrivanje zlonamerne programske opreme, rootkitov in sistemov, okuženih z boti
Ali ne bi bilo dobro vedeti, kje točno v omrežju se nahaja okuženi računalnik? Symantecove rešitve IPS zagotavljajo to zmogljivost, vključno z odkrivanjem in obnovitvijo groženj, ki so se morda izognile drugim plastm zaščite. Rešitve Symantec zaznajo zlonamerno programsko opremo in robote, ki poskušajo ustvariti samodejne klicnike ali prenesti »posodobitve«, da povečajo svojo aktivnost v sistemu. To omogoča upraviteljem IT, ki imajo jasen seznam sistemov za pregled, da imajo zagotovilo, da je njihovo podjetje varno. S to metodo je mogoče zaustaviti in odstraniti polimorfne in kompleksne prikrite grožnje, ki uporabljajo tehnike rootkit, kot so Tidserv, ZeroAccess, Koobface in Zbot.
Zaščita pred prikritimi grožnjami
Današnji spletni napadi uporabljajo zapletene tehnike za povečanje kompleksnosti svojih napadov. Symantecova zaščita brskalnika je v brskalniku in lahko zazna zelo zapletene grožnje, ki jih tradicionalne metode pogosto ne morejo zaznati.
Grožnje ničelnega dne in nepopravljene ranljivosti
Eden od preteklih varnostnih dodatkov, ki jih je dodalo podjetje, je dodatna plast zaščite pred grožnjami ničelnega dne in nezakrpanimi ranljivostmi. Z zaščito brez podpisa program prestreže klice sistemskega API-ja in ščiti pred prenosi zlonamerne programske opreme. Ta tehnologija se imenuje zaščita pred nepooblaščenim prenosom (UXP). Je zadnja linija podpore v ekosistemu zaščite pred omrežnimi grožnjami. To izdelku omogoča, da "pokrije" neznane in nezakrpane ranljivosti brez uporabe podpisov. Ta tehnologija je privzeto omogočena in jo najdemo v vsakem izdelku, izdanem od predstavitve Nortona 2010.
Zaščita pred nezakrpanimi ranljivostmi programske opreme
Zlonamerni programi so pogosto nameščeni brez vednosti uporabnika z uporabo ranljivosti v programski opremi. Varnost omrežja Symantec zagotavlja dodatno raven zaščite, imenovano Generic Exploit Blocking (GEB). Ne glede na to ali Zadnje posodobitve ali ne, GEB "večinoma" ščiti osnovne ranljivosti pred izkoriščanjem. Ranljivosti v Oracle Sun Java, Adobe Acrobat bralec, Adobe Flash, internet Explorer, kontrolniki ActiveX ali QuickTime so zdaj vseprisotni. Splošna zaščita pred izkoriščanjem je bila ustvarjena s "povratnim inženiringom" z ugotavljanjem, kako bi lahko izkoristili ranljivost v omrežju, hkrati pa zagotovili poseben popravek za ravni omrežja. En sam GEB ali podpis ranljivosti lahko zagotovi zaščito pred tisočimi različicami zlonamerne programske opreme, novimi in neznanimi.
Zlonamerni IP-ji in blokiranje domen
Symantecova omrežna zaščita vključuje tudi možnost blokiranja zlonamernih domen in naslovov IP, hkrati pa zaustavlja zlonamerno programsko opremo in promet z znanih zlonamernih mest. S pomočjo STAR-ove stroge analize in posodabljanja spletnega mesta Symantec zagotavlja zaščito v realnem času pred nenehno spreminjajočimi se grožnjami.
Izboljšana odpornost proti izogibanju
Dodana je bila podpora za dodatna kodiranja za izboljšanje učinkovitosti zaznavanja napadov z uporabo tehnik šifriranja, kot sta base64 in gzip.
Zaznavanje revizije omrežja za uveljavljanje politik uporabe in prepoznavanje uhajanja podatkov
Omrežni IPS se lahko uporablja za identifikacijo aplikacij in orodij, ki lahko kršijo pravilnike o uporabi podjetja, ali za preprečevanje uhajanja podatkov po omrežju. Možno je zaznati, opozoriti ali preprečiti promet, kot so IM, P2P, družbeni mediji ali druge "zanimive" vrste prometa.
Komunikacijski protokol STAR Intelligence
Tehnologija za varnost omrežja ne deluje sama. Motor komunicira z drugimi varnostnimi službami z uporabo protokola STAR Intelligence Communication (STAR ICB). Motor Network IPS se poveže z motorjem Symantec Sonar in nato z motorjem Insight Reputation. To vam omogoča, da zagotovite bolj informativno in natančno zaščito.
V naslednjem članku si bomo ogledali raven analizatorja vedenja.
Na podlagi materialov podjetja Symantec
Protivirusni program mora biti nameščen na vsakem računalniku z operacijskim sistemom Windows. Dolgo časa je to veljalo za zlato pravilo, danes pa strokovnjaki za varnost IT razpravljajo o učinkovitosti varnostne programske opreme. Kritiki trdijo, da protivirusni programi ne ščitijo vedno, včasih pa celo nasprotno – zaradi neprevidne implementacije lahko ustvarijo vrzeli v varnosti sistema. Razvijalci takšnih rešitev nasprotujejo to mnenje impresivno število blokiranih napadov, marketinški oddelki pa še naprej prisegajo na celovito zaščito, ki jo zagotavljajo njihovi izdelki.
Resnica je nekje na sredini. Protivirusni programi ne delujejo brezhibno, vendar jih vseh ne moremo imenovati neuporabne. Opozarjajo na različne grožnje, ki pa niso dovolj, da bi bila Windows čim bolj zaščitena. Za vas kot uporabnika to pomeni naslednje: antivirus lahko vržete v smeti ali pa mu slepo zaupate. A tako ali drugače je le eden od blokov (čeprav velik) v varnostni strategiji. Priskrbeli vam bomo še devet takih »kock«.
Varnostna grožnja: protivirusni programi
> Kaj pravijo kritiki Trenutne polemike o programih za pregledovanje virusov je sprožil nekdanji razvijalec Firefoxa Robert O'Callaghan. Trdi: protivirusni programi ogrožajo varnost sistema Windows in jih je treba odstraniti. Edina izjema je Microsoftov Windows Defender.
> Kaj pravijo razvijalci, vključno z ustvarjalci protivirusnih programov Kaspersky Lab, kot argument navajajo impresivne številke. Tako je programska oprema iz tega laboratorija v letu 2016 zabeležila in preprečila približno 760 milijonov internetnih napadov na uporabniške računalnike.
> Kaj meni CHIP Protivirusnih programov ne bi smeli obravnavati kot relikvijo ali panacejo. So le opeka v zgradbi varnosti. Priporočamo uporabo kompaktnih antivirusov. Vendar ne skrbite preveč: Windows Defender je v redu. Uporabite lahko celo preproste optične bralnike drugih proizvajalcev.
Izberite pravi protivirusni program
Kot doslej smo prepričani, da si Windows brez protivirusne zaščite ni mogoče predstavljati. Izbrati morate le pravi izdelek. Za uporabnike Tens je to lahko celo vgrajeni Windows Defender. Kljub temu, da med našimi testi ni pokazal najboljše stopnje prepoznavnosti, je odlično vpet v sistem in, kar je najpomembnejše, brez kakršnih koli varnostnih težav. Poleg tega je Microsoft izboljšal svoj izdelek v Creators Update za Windows 10 in poenostavil njegovo upravljanje.
Protivirusni paketi drugih razvijalcev imajo pogosto višjo stopnjo prepoznavnosti kot Defender. Zavzemamo se za kompaktno rešitev. Vodja naše ocene na ta trenutek je Kaspersky Internetna varnost 2017. Tiste, ki lahko zavrnejo takšne dodatne možnosti, kot starševski nadzor in upravitelj gesel, bi se morali osredotočiti na cenovno ugodnejšo možnost podjetja Kaspersky Lab.
Sledite posodobitvam
Če bi morali izbrati samo en ukrep za ohranjanje varnosti sistema Windows, bi se zagotovo odločili za posodobitve. V tem primeru seveda govorimo predvsem o posodobitvah za Windows, a ne samo. Nameščeno programsko opremo, vključno z Officeom, Firefoxom in iTunesom, je treba tudi redno posodabljati. V sistemu Windows je pridobivanje sistemskih posodobitev relativno enostavno. V obeh "sedmih" in "desetih" se popravki namestijo samodejno s privzetimi nastavitvami.
Pri programih je situacija težja, saj niso vsi tako enostavni za posodabljanje kot Firefox in Chrome, ki imata vgrajeno funkcijo samodejnega posodabljanja. Pripomoček SUMo (Software Update Monitor) vam bo pomagal pri reševanju te naloge in vas obvestil o razpoložljivosti posodobitev. Podoben program, DUMo (Driver Update Monitor), bo opravil enako nalogo za gonilnike. Oba brezplačna pomočnika pa vas obveščata le o novih različicah - prenesti in namestiti ju boste morali sami.
Nastavite požarni zid
Vgrajeni požarni zid v sistemu Windows dobro opravlja svoje delo in zanesljivo blokira vse dohodne zahteve. Vendar pa zmore več - njegov potencial ni omejen s privzeto konfiguracijo: vse nameščenih programov imajo pravico odpreti vrata v požarnem zidu brez vprašanja. Brezplačni pripomoček za nadzor požarnega zidu Windows vam bo dal več funkcij.
Zaženite ga in v meniju »Profili« nastavite filter na »Srednje filtriranje«. Zahvaljujoč temu bo požarni zid nadzoroval tudi odhodni promet v skladu z danim nizom pravil. Sami se odločite, kateri ukrepi bodo vključeni. To storite tako, da v spodnjem levem kotu zaslona programa kliknete ikono opombe. Tako si lahko ogledate pravila in podelite dovoljenje z enim klikom ločen program ali ga blokirajte.
Uporabite posebno zaščito
Posodobitve, protivirusni program in požarni zid – za to veliko trojico varnostnih ukrepov ste že poskrbeli. Čas je fina nastavitev. Težava z dodatnimi programi za Windows je pogosto v tem, da ne izkoristijo vseh varnostnih funkcij, ki jih sistem ponuja. Pripomoček za preprečevanje izkoriščanja, kot je EMET (Enhanced Mitigation Experience Toolkit), dodatno okrepi nameščeno programsko opremo. Če želite to narediti, kliknite »Uporabi priporočene nastavitve« in pustite, da se program samodejno zažene.
Okrepite šifriranje
Varovanje osebnih podatkov lahko občutno izboljšate s šifriranjem. Tudi če vaši podatki padejo v napačne roke, heker ne bo mogel odstraniti dobrega kodiranja, vsaj ne takoj. V profesionalnem Windows različice Pripomoček BitLocker je že na voljo, konfiguriran prek nadzorne plošče.
VeraCrypt bo alternativa za vse uporabnike. Ta odprtokodni program je neuradni naslednik TrueCrypta, ki je bil ukinjen pred nekaj leti. če govorimo o Samo glede zaščite osebnih podatkov lahko ustvarite šifriran vsebnik prek elementa »Ustvari nosilec«. Izberite možnost »Ustvari vsebnik šifrirane datoteke« in sledite navodilom čarovnika. Do že pripravljenega podatkovnega sefa dostopate prek Raziskovalca, tako kot do navadnega diska.
Zaščitite uporabniške račune
Številne ranljivosti hekerji ostanejo neizkoriščene preprosto zato, ker delo na računalniku poteka pod standardnim računom z omejenimi pravicami. Za vsakdanja opravila si torej raje nastavite tudi takšnega račun. V sistemu Windows 7 to storite prek nadzorne plošče in elementa »Dodaj in odstrani uporabniške račune«. V »desetih« kliknite »Nastavitve« in »Računi« ter nato izberite »Družina in drugi ljudje«.
Aktivirajte VPN zunaj doma
Doma v brezžično omrežje Vaša raven varnosti je visoka, ker nadzirate, kdo ima dostop do lokalnega omrežja in ste odgovorni za šifriranje in dostopne kode. Vse drugače je pri hotspotih, npr.
v hotelih. Tukaj je Wi-Fi razdeljen med uporabnike tretjih oseb in ne morete vplivati na varnost dostopa do omrežja. Za zaščito priporočamo uporabo VPN (Virtual Private Network). Če morate samo brskati po spletnih mestih prek dostopne točke, vgrajeni VPN v Najnovejša različica Brskalnik Opera. Namestite brskalnik in v »Nastavitve« kliknite »Varnost«. V razdelku »VPN« potrdite polje »Omogoči VPN«.
Prekinite neuporabljene brezžične povezave
v redu Tudi podrobnosti lahko odločajo o izidu situacije. Če ne uporabljate povezav, kot sta Wi-Fi in Bluetooth, ju preprosto izklopite, da zapolnite morebitne vrzeli. V sistemu Windows 10 je to najlažje storiti prek akcijskega centra. »Seven« v ta namen ponuja razdelek »Omrežne povezave« na nadzorni plošči.
Upravljanje gesel
Vsako geslo mora biti uporabljeno samo enkrat in mora vsebovati posebne znake, številke, velike in male črke. In tudi čim daljši - po možnosti deset ali več znakov. Načelo varnosti gesel je danes doseglo svoje meje, saj si morajo uporabniki preveč zapomniti. Zato je treba takšno zaščito, kjer je to mogoče, nadomestiti z drugimi metodami. Vzemimo za primer prijavo v Windows: če imate kamero, ki podpira Windows Hello, uporabite prepoznavanje obraza za prijavo. Za druge kode priporočamo uporabo upraviteljev gesel, kot je KeePass, ki morajo biti zaščiteni z močnim glavnim geslom.
Zavarujte svojo zasebnost v brskalniku
Obstaja veliko načinov za zaščito vaše zasebnosti na spletu. Razširitev Nastavitve zasebnosti je idealna za Firefox. Namestite ga in nastavite na "Popolna zasebnost". Po tem brskalnik ne bo zagotavljal nobenih informacij o vašem vedenju na internetu.
Rešilni obroč: rezerva
> Varnostne kopije so izjemno pomembne Rezerva opravičuje
sami ne le po okužbi z virusom. Dobro deluje tudi, ko se pojavijo težave s strojno opremo. Naš nasvet: enkrat naredite kopijo vseh Windows, nato pa dodatno in redno delajte varnostne kopije vseh pomembnih podatkov.> Popolno arhiviranje operacijskega sistema Windows Windows 10 je od »sedmice« podedoval modul »Arhiviranje in obnovitev«. Z njim boste ustvarjali varnostno kopijo sistemi. Uporabite lahko tudi posebne pripomočke, na primer True Image ali Macrium Reflect.
> Zaščita datoteke True Image in plačljiva različica programa Macrium Reflect lahko naredita kopije določene datoteke in mape. Brezplačna alternativa za arhiviranje pomembna informacija bo postal program Personal Backup.
FOTO: proizvodna podjetja; NicoElNino/Fotolia.com
Kako lahko zaščitite svoj računalnik pred oddaljenim dostopom? Kako blokirati dostop do računalnika prek brskalnika?
Kako zaščititi svoj računalnik pred oddaljenim dostopom, si običajno mislijo, ko se je že nekaj. Toda seveda je to napačna odločitev za osebo, ki se ukvarja vsaj z nekaj lastnimi dejavnostmi. In vsem uporabnikom je priporočljivo, da omejijo dostop do svojega računalnika neznancem. In v tem članku ne bomo razpravljali o načinu nastavitve gesla za prijavo v računalnik, ampak bomo preučili možnost, kako zavrniti dostop do računalnika iz lokalnega omrežja ali iz drugega računalnika, če sta povezana z istim omrežje. Te informacije bodo še posebej koristne za nove uporabnike osebnih računalnikov.
In tako, v operacijski sistem Windows ima funkcijo, imenovano »Oddaljeni dostop«. In če ni onemogočeno, lahko drugi uporabniki to izkoristijo in pridobijo nadzor nad vašim računalnikom. Tudi če ste vodja in morate spremljati svoje zaposlene, potem seveda potrebujete dostop do njihovega računalnika, vendar morate svojega zapreti, da ti isti zaposleni ne pogledajo vaše korespondence s tajnico - to je polno.. .
| pon | W | Sre | čet | pet | sob | sonce |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 | |||||
OGLAŠEVANJE
Kot običajno se promovirajo spletni projekti. Običajno SEO tekstopisci poskušajo v besedilo vnesti čim več iskalne poizvedbe, ki jih nagiba k
Razumevanje glavnih odtenkov, ki razlikujejo ponarejene telefone iPhone od pravih izdelkov, vam bo pomagalo prihraniti denar in se izogniti nakupu pri neprevidnih prodajalcih. Za kaj
