Ev › Kurulum ve konfigürasyon › Bir bilgisayarın ağ üzerinden algılanması ve korunması. Ağ koruması. Bilgisayar ağlarını koruma programı. O Kötü: Paylaşılan yönetim kaynaklarının güvenlik açığı

Bir bilgisayarın ağ üzerinden algılanması ve korunması. Ağ koruması. Bilgisayar ağlarını koruma programı. O Kötü: Paylaşılan yönetim kaynaklarının güvenlik açığı

Bazı insanlar tüm hayatlarını şirketlerin ve bireylerin güvenliğini artırmak için çalışarak geçirirler. Ve bu zamanın önemli bir kısmını Windows'taki açıkları yamalamak için harcıyorlar. Windows sistemi ana kanaldır kötü amaçlı yazılım Bölüm 5'te tartışıldığı gibi zombiler (robotlar) yaratırlar ve bu buzdağının sadece görünen kısmıdır. Adil olmak gerekirse, bunun sorumlusu büyük ölçüde Windows'un muazzam popülaritesidir, ancak Windows 7'de o kadar çok açık var ki, Microsoft'ta herhangi birinin bundan rahatsız olup olmadığı belli değil.

Üç ana tehdit türü vardır. Birincisi, bir ağ bağlantısı üzerinden bilgisayarınızı hacklemeye çalışan bir kişi tarafından gerçekleştirilen, özel olarak hedeflenen bir saldırıdır. İkincisi, bilgisayarınızın klavyesinin başında oturan bir kişinin saldırısı. Son olarak, bir solucan veya başka türde kötü amaçlı yazılım tarafından gerçekleştirilen otomatik bir saldırı olabilir.

Windows 7 ve hatta daha eski Vista, istenmeyen ve istenmeyen yazılım yüklemelerinin önlenmesine yardımcı olacak Kullanıcı Hesabı Denetimi'ni içerir; bu konuda daha fazla bilgi, parolalar ve şifreleme

Bölüm 7'de şöyle yazıyor. Ancak çöplerin çoğu ağ bağlantınız üzerinden gelir; dolayısıyla bilgisayarınızı korumaya buradan başlamalısınız. Windows 7 işletim sistemi, satın alma zorunluluğu olmadan belirli bir düzeyde güvenlik sağlamayı mümkün kılan çeşitli özellikler içerir. ek programlar veya ekipman.

Ne yazık ki bu özelliklerin çoğu varsayılan olarak etkin değildir. Aşağıdaki faktörler göz ardı edilmemesi gereken boşluklardır.

O Kötü: UPnP protokolü güvenlik açığı

UPnP (Evrensel Tak ve Çalıştır) adı verilen başka bir özellik, ağınızdaki ek güvenlik açıklarının ortaya çıkmasına neden olabilir. UPnP için daha uygun bir ad Ağ Tak ve Çalıştır olacaktır çünkü bu özellik yalnızca ağ aygıtlarıyla ilgilidir. UPnP, yakın zamanda bağlanan cihazların reklam yayınlamasına olanak tanıyan bir dizi standarttır

senin varlığın hakkında UPnP sunucuları ağınızda, USB aygıtlarının varlığını Windows'a ait bir sisteme duyurmasına benzer şekilde

Dışarıdan UPnP işlevi iyi görünüyor. Ancak pratikte, UPnP standardında kimlik doğrulama eksikliği ve kötü amaçlı yazılımların UPnP'yi kullanarak güvenlik duvarında delikler açma ve yönlendiricide bağlantı noktası yönlendirme kuralları oluşturma kolaylığı sorundan başka bir şey değildir. UPnP artık bazı oyunlar, çoğu medya genişletici, anlık mesajlaşma, uzaktan yardım vb. için kullanılıyor; bu da Windows 7'de ve birçok ağ cihazında neden varsayılan olarak etkinleştirildiğini açıklıyor. Ancak ihtiyacınız yoksa kapatmak daha iyidir.

İlk bağlandığınızda Genel ağ'ı seçerseniz yeni ağ veya Ağ ve Paylaşım Merkezi aracılığıyla

^j Paylaşım Merkezi), ardından UPnP varsayılan olarak devre dışıdır.

UPnP'yi devre dışı bırakmak için 01usy penceresini (services.msc) açın. Listede SSDP Keşif Hizmeti hizmetini bulun ve Araç Çubuğundaki Hizmeti durdur düğmesine tıklayın. Aynı zamanda UPnP Cihaz Ana Bilgisayarının da durması gerekir. Değilse, bunu da durdurun. Şimdi medya sunucuları veya genişleticiler gibi ağ bulmayı kullandığından şüphelendiğiniz uygulamaları veya cihazları test edin. Bunlardan herhangi birine sahip değilseniz, her hizmete çift tıklayıp Başlangıç türü listesinden Devre Dışı seçeneğini seçerek UPnP'yi tamamen devre dışı bırakabilirsiniz. Aksi takdirde, Windows'u bir sonraki başlatışınızda bu hizmetler yeniden başlayacaktır.

Şimdi yönlendirici yapılandırma sayfasını açın (bu bölümde daha önce açıklanmıştır) ve UPnP hizmetini devre dışı bırakın. Bu, uygulamaların yeni bağlantı noktası yönlendirme kuralları oluşturmasını önlemek için gereklidir. Yönlendiriciniz UPnP ayarlarını değiştirmenize izin vermiyorsa daha fazlasına yükseltme yapmayı düşünün Yeni sürüm“Yönlendiricinin daha yeni bir sürümüne yükseltme” bölümünde açıklandığı gibi ürün yazılımı.

O Kötü: Açık Bağlantı Noktalarındaki Güvenlik Açığı

Bu bölümün ilerleyen kısımlarında anlatıldığı gibi, açık bağlantı noktası taramasını kullanarak sisteminizdeki güvenlik açıklarını arayın.

O İyi: uzak çalışma alanı, ancak yalnızca gerektiğinde

" bölümünde açıklanan uzak masaüstü özelliği Uzaktan kumanda"bilgisayar" Windows 7 Professional ve Ultimate sürümlerinde varsayılan olarak etkindir. Bu özelliğe özellikle ihtiyacınız olmadığı sürece, onu kapatmalısınız. Denetim Masası'nda Sistem'i açın ve ardından Uzaktan Erişim Ayarları bağlantısını seçin. Sayfada Uzaktan erişim Sistem Özellikleri penceresinde, Bu bilgisayara Uzaktan Yardım bağlantılarına izin ver onay kutusunu işaretleyin ve aşağıdaki Bu bilgisayara bağlantılara izin verme onay kutusunu işaretleyin.

O Tamam: hesap şifresi

Teoride genel erişim yeni bir kullanıcı hesabı oluştururken varsayılan ayar olan parolası olmayan hesaplarda dosyalara dosya ekleme özelliği çalışmaz. Ancak şifresiz bir hesap, klavyenizin başında oturan herhangi birine karşı herhangi bir koruma sağlamaz ve eğer yönetici haklarına sahip bir kullanıcı hesabı ise o zaman bu bilgisayarın diğer kullanıcılarına da kapı açıktır. Kullanıcı hesapları ve parolalarına ilişkin bir tartışma için Bölüm 7'ye bakın.

Ev grupları ve dosya paylaşımı hakkında

Her paylaşılan klasör potansiyel olarak açık bir kapıdır. Bu yüzden açık Erişim yalnızca gerçekten ihtiyaç duyan klasörlere sağlanmalıdır. Windows 7'de dosya izinleri ile paylaşım izinlerinin farklı şeyler olduğunu lütfen unutmayın. Bu konu Bölüm 7'de daha ayrıntılı olarak tartışılmaktadır.

O Kötü: Paylaşım Sihirbazı güvenlik açığı

Çalışma grubu oluşturmanın ana nedenlerinden biri dosya ve yazıcıları paylaşmaktır. Ancak yalnızca paylaşılması gereken klasörleri paylaşmak ve diğerlerinin paylaşımını devre dışı bırakmak akıllıca olacaktır. Bölüm 2'de açıklanan ve Bölüm 7'de ayrıntılı olarak tartışılan, Paylaşım Sihirbazı Kullan adı verilen özellik, dosyalarınızı kimlerin görüntüleyebileceği ve değiştirebileceği konusunda size tam kontrol sağlamaz.

O Kötü: Paylaşılan yönetim kaynaklarının güvenlik açığı

Bölüm 7'de ele alınan paylaşım özelliği, bilgisayarınızdaki tüm sürücülere, bu sürücülerdeki klasörleri paylaşıp paylaşmadığınıza bakılmaksızın erişim sağlar.

O İyi: Güvenlik Duvarı

Aşağıda tartışılan güvenlik duvarını, bilgisayarınıza giden ve bilgisayarınızdan gelen ağ akışını sıkı bir şekilde kontrol edecek şekilde yapılandırın, ancak yeterli koruma sağlaması için Windows'un yerleşik güvenlik duvarı yazılımına güvenmeyin.

A İyi: Destek merkezi iyidir ancak tamamen ona güvenmemelisiniz. Şekil 2'de gösterilen destek merkezi. 6.28, Windows Güvenlik Duvarı, Windows Defender, Kullanıcı Hesabı Denetimi ve otomatik güncellemeleri yönetmek için kullanılan Denetim Masası'ndaki merkezi sayfadır. O da kontrol ediyor antivirüs programları, ancak tamamen politik nedenlerden dolayı Windows 7'nin kendi antivirüs programları yoktur.

En önemlisi, Eylem Merkezinin yalnızca bir izleyici olmasıdır. Belirli bir koruma önleminin aktif olarak çalışıp çalışmadığına bakılmaksızın etkinleştirildiğini görürse Eylem Merkezi mutlu olacak ve herhangi bir bildirim almayacaksınız.

Destek Merkezinden gelen mesajlardan bıktınız mı? Sol taraftaki Eylem Merkezi ayarlarını değiştir bağlantısını tıklayın ve hangi sorunların bildirilmeye değer olduğunu ve hangilerini göz ardı edebileceğinizi seçin. Bu sayfadaki tüm onay kutularını kapatarak İşlem Merkezi'nden gelen tüm mesajları devre dışı bırakabilirsiniz ancak özelliğin tamamını devre dışı bırakmak için Hizmetler penceresini (services.msc) açmanız ve İşlem Merkezi'ni kapatmanız gerekir. Bu, kullandığınız güvenlik duvarını, antivirüsü veya otomatik güncellemeleri devre dışı bırakmaz; yalnızca bu araçlara yönelik izleme araçlarını ve bunlara eşlik eden mesajları devre dışı bırakır.

Güvenlik duvarı veya kötü amaçlı yazılımdan koruma ayarlarınızı buradan değiştiremezsiniz. Bunu yapmak için Kontrol Paneline dönmeniz ve orada uygun programı açmanız gerekir.

Ağ solucanı salgını sorunu tüm ülkeler için geçerlidir. yerel ağ. Er ya da geç, bir ağ veya e-posta solucanının LAN'a sızdığı ve kullanılan antivirüs tarafından algılanmadığı bir durum ortaya çıkabilir. Bir ağ virüsü, enfeksiyon anında kapatılmayan işletim sistemi güvenlik açıkları veya yazılabilir paylaşılan kaynaklar aracılığıyla LAN üzerinden yayılır. Posta virüsü Adından da anlaşılacağı gibi, istemci antivirüs ve antivirüs tarafından engellenmemesi koşuluyla e-posta yoluyla dağıtılır. posta sunucusu. Ayrıca LAN'da bir salgın, içeriden birinin faaliyetleri sonucunda içeriden organize edilebilir. Bu makalede, özellikle yazarın AVZ yardımcı programını kullanarak, çeşitli araçları kullanarak LAN bilgisayarlarının operasyonel analizine yönelik pratik yöntemlere bakacağız.

Sorunun formülasyonu

Ağda bir salgın veya anormal bir aktivite tespit edilirse yöneticinin en az üç görevi hızlı bir şekilde çözmesi gerekir:

ağdaki virüslü bilgisayarları tespit edin;
Bir anti-virüs laboratuvarına gönderilecek kötü amaçlı yazılım örneklerini bulun ve bir karşı önlem stratejisi geliştirin;
virüsün LAN üzerinde yayılmasını engellemek ve virüs bulaşmış bilgisayarlarda yok etmek için önlemler alın.

İçeriden birinin faaliyeti durumunda, analizin ana adımları aynıdır ve çoğunlukla içeriden biri tarafından LAN bilgisayarlarına yüklenen üçüncü taraf yazılımları tespit etme ihtiyacına indirgenir. Bu tür yazılımlara örnek olarak uzaktan yönetim yardımcı programları, tuş kaydediciler ve çeşitli Truva atı yer imleri.

Görevlerin her birinin çözümünü daha ayrıntılı olarak ele alalım.

Virüs bulaşmış bilgisayarları arayın

Ağdaki virüslü bilgisayarları aramak için en az üç yöntem kullanabilirsiniz:

otomatik uzaktan bilgisayar analizi - çalışan işlemler, yüklü kitaplıklar ve sürücüler hakkında bilgi edinme, karakteristik kalıpları arama - örneğin, işlemler veya dosyalar Lakaplar;
Bir algılayıcı kullanarak PC trafik analizi - Bu method Spam botları, e-posta ve ağ solucanlarını yakalamak için çok etkilidir, ancak algılayıcı kullanmanın asıl zorluğu, modern bir LAN'ın anahtarlar temelinde oluşturulmuş olması ve bunun sonucunda yöneticinin trafiği izleyememesinden kaynaklanmaktadır. tüm ağ. Sorun iki şekilde çözülebilir: yönlendirici üzerinde bir algılayıcı çalıştırarak (bu, PC verilerinin İnternet ile alışverişini izlemenize olanak tanır) ve anahtarların izleme işlevlerini kullanarak (birçok modern anahtarlar yönetici tarafından belirlenen bir veya daha fazla anahtar bağlantı noktasının trafiğinin kopyalanacağı bir izleme bağlantı noktası atamanıza izin verir);
ağ yükünün incelenmesi - bu durumda, yalnızca yükü değerlendirmenize değil aynı zamanda yönetici tarafından belirtilen bağlantı noktalarını uzaktan devre dışı bırakmanıza olanak tanıyan akıllı anahtarların kullanılması çok uygundur. Yöneticinin, ilgili anahtar bağlantı noktalarına hangi bilgisayarların bağlı olduğu ve bunların nerede bulunduğu hakkında bilgi içeren bir ağ haritasına sahip olması durumunda, bu işlem büyük ölçüde basitleştirilir;
bal küplerinin kullanımı - yerel ağda yöneticinin bir salgını zamanında tespit etmesine olanak sağlayacak birkaç bal küpü oluşturulması önemle tavsiye edilir.

Ağdaki bilgisayarların otomatik analizi

Otomatik PC analizi üç ana aşamaya indirgenebilir:

tam bir PC taramasının gerçekleştirilmesi - süreçlerin çalıştırılması, yüklü kütüphaneler ve sürücüler, otomatik çalıştırma;
operasyonel araştırma yürütmek - örneğin karakteristik süreçleri veya dosyaları aramak;
Nesnelerin belirli kriterlere göre karantinaya alınması.

Yukarıdaki görevlerin tümü, yazarın sunucudaki bir ağ klasöründen başlatılacak şekilde tasarlanmış ve otomatik bilgisayar denetimi için bir komut dosyası dilini destekleyen AVZ yardımcı programı kullanılarak çözülebilir. AVZ'yi kullanıcı bilgisayarlarında çalıştırmak için şunları yapmanız gerekir:

AVZ'yi sunucudaki okumaya açık bir ağ klasörüne yerleştirin.
Bu klasörde LOG ve Kurantine alt dizinleri oluşturun ve kullanıcıların bunlara yazmasına izin verin.
rexec yardımcı programını veya oturum açma komut dosyasını kullanarak LAN bilgisayarlarında AVZ'yi başlatın.

AVZ'nin 3. adımda başlatılması aşağıdaki parametrelerle yapılmalıdır:

\\sunucum\AVZ\avz.exe Öncelik=-1 nw=Y nq=Y HiddenMode=2 Komut Dosyası=\\sunucum\AVZ\my_script.txt

Bu durumda Priority=-1 parametresi AVZ işleminin önceliğini düşürür, nw=Y ve nq=Y parametreleri karantinayı “ağ çalıştırma” moduna geçirir (bu durumda karantina klasöründe bir alt dizin oluşturulur) (adı bilgisayarın ağ adıyla eşleşen her bilgisayar için) HiddenMode=2, kullanıcının GUI ve AVZ kontrollerine erişimini reddetme talimatını verir ve son olarak en önemli Script parametresi, betiğin tam adını belirtir. AVZ'nin kullanıcının bilgisayarında yürüteceği komutlar. AVZ kodlama dilinin kullanımı oldukça basittir ve yalnızca bilgisayar muayenesi ve tedavisiyle ilgili sorunları çözmeye odaklanmıştır. Komut dosyası yazma sürecini basitleştirmek için, çevrimiçi bir komut istemi, standart komut dosyaları oluşturmak için bir sihirbaz ve yazılı komut dosyasını çalıştırmadan doğruluğunu kontrol etmek için araçlar içeren özel bir komut dosyası düzenleyicisini kullanabilirsiniz (Şekil 1).

Pirinç. 1. AVZ komut dosyası düzenleyicisi

Salgınla mücadelede faydalı olabilecek üç tipik senaryoya bakalım. Öncelikle bir PC araştırma senaryosuna ihtiyacımız var. Komut dosyasının görevi, sistemi incelemek ve belirli bir ağ klasöründeki sonuçlarla bir protokol oluşturmaktır. Senaryo şuna benziyor:

WatchDog'u Etkinleştir(60 * 10);

// Taramayı ve analizi başlat

// Sistem keşfi

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+BilgisayarAdı+’_log.htm’);

//AVZ'yi kapat

Bu betiğin çalıştırılması sırasında, ağ bilgisayarlarının çalışmasının sonuçlarını içeren HTML dosyaları LOG klasöründe oluşturulacaktır (sunucudaki AVZ dizininde oluşturulduğu ve kullanıcıların yazmasına açık olduğu varsayılarak) ve benzersizlik, incelenen bilgisayarın adının protokol adında yer almasıdır. Komut dosyasının başlangıcında, komut dosyası yürütme sırasında hatalar meydana gelirse AVZ işlemini 10 dakika sonra zorla sonlandıracak bir gözlemci zamanlayıcısını etkinleştirme komutu vardır.

AVZ protokolü manuel çalışma için uygundur ancak otomatik analiz için pek kullanışlı değildir. Ayrıca yönetici genellikle kötü amaçlı yazılım dosyasının adını bilir ve yalnızca varlığını veya yokluğunu kontrol etmesi gerekir bu dosyanın ve mümkünse analiz için karantinaya alın. Bu durumda aşağıdaki betiği kullanabilirsiniz:

// Watchdog zamanlayıcısını 10 dakikalığına etkinleştir

WatchDog'u Etkinleştir(60 * 10);

// Kötü amaçlı yazılımı ada göre arayın

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen hakkında şüpheli');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen hakkında şüpheli');

//AVZ'yi kapat

Bu komut dosyası, belirtilen dosyaları karantinaya almayı denemek için QuarantineFile işlevini kullanır. Yönetici yalnızca karantina içeriğini (Karantina\ağ_adı_PC\quarantine_tarihi\ klasörü) karantinaya alınmış dosyaların varlığı açısından analiz edebilir. Lütfen QuarantineFile işlevinin, güvenli AVZ veritabanı veya Microsoft dijital imza veritabanı tarafından tanımlanan dosyaların karantinaya alınmasını otomatik olarak engellediğini unutmayın. İçin pratik uygulama bu komut dosyası geliştirilebilir - harici bir metin dosyasından dosya adlarının yüklenmesini organize edin, bulunan dosyaları AVZ veritabanlarına göre kontrol edin ve çalışmanın sonuçlarıyla bir metin protokolü oluşturun:

// Belirtilen adda bir dosya arayın

function CheckByName(Fname: string) : boolean;

Sonuç:= DosyaMevcut(FName) ;

Sonuç varsa başla

vaka CheckFile(FName) /

1: S:= ', dosyaya erişim engellendi';

1: S:= ', Kötü Amaçlı Yazılım olarak algılandı ('+GetLastCheckTxt+')';

2: S:= ', dosya tarayıcısı tarafından şüpheleniliyor ('+GetLastCheckTxt+')';

3: çıkış; // Güvenli dosyalar göz ardı ediliyor

AddToLog(''+NormalFileName(FName)+' dosyasında şüpheli bir isim var'+S);

//Belirtilen dosyayı karantinaya ekle

QuarantineFile(FName,’şüpheli dosya’+S);

SuspNames: TStringList; // Şüpheli dosyaların adlarının listesi

// Dosyaları güncellenen veritabanına göre kontrol ediyoruz

FileExists(GetAVZDirectory + 'files.db') ise başlayın

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Ad veritabanı yüklendi - kayıt sayısı = '+inttostr(SuspNames.Count));

// Arama döngüsü

i:= 0'dan SuspNames.Count'a - 1 yapmak

CheckByName(SuspNames[i]);

AddToLog('Dosya adları listesi yüklenirken hata oluştu');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Bu betiğin çalışması için AVZ klasöründe kullanıcıların yazabileceği Karantina ve LOG dizinlerini oluşturmanız gerekir. Metin dosyası files.db - bu dosyanın her satırı şüpheli dosyanın adını içerecektir. Dosya adları makrolar içerebilir; bunların en kullanışlısı %WinDir%'dir (yol Windows klasörü) ve %SystemRoot% (System32 klasörünün yolu). Analizin başka bir yönü, kullanıcı bilgisayarlarında çalışan işlemlerin listesinin otomatik olarak incelenmesi olabilir. Çalışan işlemlerle ilgili bilgiler sistem araştırma protokolünde bulunur, ancak otomatik analiz için aşağıdaki komut dosyası parçasını kullanmak daha uygundur:

prosedür Tarama Süreci;

S:= ''; S1:= '';

//İşlem listesinin güncellenmesi

İşlem Listesini Yenile;

AddToLog('İşlem sayısı = '+IntToStr(GetProcessCount));

// Alınan listenin analiz döngüsü

for i:= 0 - GetProcessCount - 1 başlıyor

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// İşlemi isme göre ara

pos('trojan.exe', LowerCase(GetProcessName(i)))) > 0 ise

S:= S + GetProcessName(i)+',';

eğer S<>''Daha sonra

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Bu komut dosyasındaki süreçlerin incelenmesi ayrı bir ScanProcess prosedürü olarak gerçekleştirilir, dolayısıyla onu kendi komut dosyasına yerleştirmek kolaydır. ScanProcess prosedürü iki işlem listesi oluşturur: tam liste süreçler (sonraki analiz için) ve yöneticinin bakış açısına göre tehlikeli kabul edilen süreçlerin listesi. Bu durumda gösteri amaçlı olarak 'trojan.exe' adlı işlemin tehlikeli olduğu değerlendirilmektedir. Tehlikeli işlemlere ilişkin bilgiler _alarm.txt metin dosyasına, tüm işlemlere ilişkin veriler _all_process.txt dosyasına eklenir. Komut dosyasına eklemeler yaparak, örneğin işlem dosyalarını güvenli dosyalardan oluşan bir veritabanıyla karşılaştırarak veya yürütülebilir işlem dosyalarının adlarını harici bir veritabanıyla karşılaştırarak kontrol ederek onu karmaşık hale getirebileceğinizi görmek kolaydır. Smolenskenergo'da kullanılan AVZ komut dosyalarında da benzer bir prosedür kullanılır: yönetici, toplanan bilgileri periyodik olarak inceler ve komut dosyasını değiştirerek, buna güvenlik politikası tarafından yasaklanan programların işlemlerinin adını ekler; örneğin ICQ ve MailRu.Agent. incelenen bilgisayarlarda yasaklı yazılımların varlığını hızlı bir şekilde kontrol etmenizi sağlar. İşlem listesinin başka bir kullanımı, antivirüs gibi gerekli bir işlemin eksik olduğu bilgisayarları bulmaktır.

Sonuç olarak, yararlı analiz komut dosyalarının sonuncusuna bakalım - güvenli AVZ veritabanı ve Microsoft dijital imza veritabanı tarafından tanınmayan tüm dosyaların otomatik olarak karantinaya alınmasına yönelik bir komut dosyası:

// Otomatik karantinayı gerçekleştir

Otomatik Karantinayı Yürütün;

Otomatik karantina, çalışan işlemleri ve yüklü kitaplıkları, hizmetleri ve sürücüleri, yaklaşık 45 otomatik başlatma yöntemini, tarayıcı ve gezgin uzantı modüllerini, SPI/LSP işleyicilerini, zamanlayıcı işlerini, yazdırma sistemi işleyicilerini vb. inceler. Karantinanın özel bir özelliği, dosyaların kendisine tekrarlama kontrolüyle eklenmesidir, böylece otomatik karantina işlevi tekrar tekrar çağrılabilir.

Otomatik karantinanın avantajı, onun yardımıyla yöneticinin potansiyel olarak şüpheli dosyaları incelenmek üzere ağdaki tüm bilgisayarlardan hızlı bir şekilde toplayabilmesidir. Dosyaları incelemenin en basit (ancak pratikte çok etkili) şekli, ortaya çıkan karantinayı birkaç popüler antivirüs ile maksimum buluşsal modda kontrol etmek olabilir. Birkaç yüz bilgisayarda otomatik karantinanın aynı anda başlatılmasının ağda ve dosya sunucusunda yüksek bir yük oluşturabileceği unutulmamalıdır.

Trafik Araştırması

Trafik araştırması üç şekilde yapılabilir:

algılayıcıları manuel olarak kullanarak;
yarı otomatik modda - bu durumda, algılayıcı bilgi toplar ve ardından protokolleri manuel olarak veya bazı yazılımlar tarafından işlenir;
Snort (http://www.snort.org/) gibi izinsiz giriş tespit sistemlerini (IDS) veya bunların yazılım veya donanım analoglarını kullanarak otomatik olarak. En basit durumda bir IDS, bir algılayıcı ve algılayıcı tarafından toplanan bilgileri analiz eden bir sistemden oluşur.

İzinsiz giriş tespit sistemi en uygun araçtır çünkü ağ etkinliğindeki anormallikleri tespit etmek için kurallar dizisi oluşturmanıza olanak tanır. İkinci avantajı şudur: Çoğu modern IDS, trafik izleme aracılarının birkaç ağ düğümüne yerleştirilmesine izin verir - aracılar bilgi toplar ve iletir. Bir algılayıcı kullanılması durumunda, UNIX sniffer tcpdump konsolunu kullanmak çok uygundur. Örneğin, 25 numaralı bağlantı noktasındaki etkinliği izlemek için ( SMTP protokolü) sadece sniffer'ı çalıştırın Komut satırı tip:

tcpdump -i em0 -l tcp bağlantı noktası 25 > smtp_log.txt

Bu durumda paketler em0 arayüzü aracılığıyla yakalanır; Yakalanan paketlerle ilgili bilgiler smtp_log.txt dosyasında saklanacaktır. Protokolün manuel olarak analiz edilmesi nispeten kolaydır; bu örnekte, 25 numaralı bağlantı noktasındaki etkinliği analiz etmek, etkin spam botları olan bilgisayarları tanımlamanıza olanak tanır.

Balküpü Uygulaması

Performansı çözüm için kullanılmasına izin vermeyen eski bir bilgisayar, tuzak (Honeypot) olarak kullanılabilir. üretim görevleri. Örneğin, 64 MB'lık bir Pentium Pro, yazarın ağında tuzak olarak başarıyla kullanılıyor rasgele erişim belleği. Bu PC'de LAN'daki en yaygın işletim sistemini kurmalı ve aşağıdaki stratejilerden birini seçmelisiniz:

Güncelleme paketleri olmadan bir işletim sistemi yükleyin - bu, bu işletim sistemi için bilinen güvenlik açıklarından herhangi birini kullanan, ağdaki aktif bir ağ solucanının görünümünün bir göstergesi olacaktır;
ağdaki diğer bilgisayarlara yüklenen güncellemeleri içeren bir işletim sistemi kurun; Honeypot herhangi bir iş istasyonuna benzer olacaktır.

Her stratejinin hem artıları hem de eksileri vardır; Yazar esas olarak güncelleme olmadan seçeneği kullanıyor. Honeypot'u oluşturduktan sonra bir disk imajı oluşturmalısınız. hızlı düzelme Kötü amaçlı yazılım tarafından zarar gördükten sonra sistem. Disk görüntüsüne alternatif olarak ShadowUser ve analogları gibi değişiklik geri alma sistemlerini kullanabilirsiniz. Bir Honeypot oluşturduktan sonra, bir dizi ağ solucanının, virüslü bilgisayarın IP adresinden hesaplanan IP aralığını tarayarak virüslü bilgisayarları aradığını dikkate almalısınız (yaygın tipik stratejiler X.X.X.*, X.X.X+1.*, X.X.X+1.*, X.X.X-1.*), - bu nedenle İdeal olarak her alt ağda bir Honeypot bulunmalıdır. Ek hazırlık unsurları olarak Honeypot sistemindeki birkaç klasöre mutlaka erişimi açmalısınız ve bu klasörlere çeşitli formatlarda birkaç örnek dosya koymalısınız, minimum set EXE, JPG, MP3'tür.

Doğal olarak, bir Honeypot oluşturduktan sonra yöneticinin onun çalışmasını izlemesi ve tespit edilen anormalliklere yanıt vermesi gerekir. bu bilgisayar. Denetleyiciler değişiklikleri kaydetme aracı olarak kullanılabilir; ağ etkinliğini kaydetmek için bir algılayıcı kullanılabilir. Önemli bir noktaçoğu algılayıcının, belirli bir ağ etkinliği algılandığında yöneticiye bir uyarı göndermeyi yapılandırma yeteneğini sağlamasıdır. Örneğin, CommView algılayıcısında bir kural, bir ağ paketini tanımlayan bir "formül" belirtmeyi veya niceliksel kriterleri belirtmeyi (saniyede belirli sayıda paket veya bayttan fazlasını göndermek, paketleri tanımlanamayan IP veya MAC adreslerine göndermek) içerir - İncir. 2.

Pirinç. 2. Bir ağ etkinliği uyarısı oluşturun ve yapılandırın

Bir uyarı olarak, şu adrese gönderilen e-posta mesajlarını kullanmak en uygunudur: Posta kutusu yönetici - bu durumda ağdaki tüm tuzaklardan hızlı uyarılar alabilirsiniz. Ek olarak, eğer algılayıcı birden fazla uyarı oluşturmanıza izin veriyorsa, ağ etkinliğini aşağıdakilerle yapılan çalışmaları vurgulayarak ayırt etmek mantıklı olacaktır: e-mail ile, FTP/HTTP, TFTP, Telnet, MS Net, herhangi bir protokol için trafiği saniyede 20-30 paketten fazla artırdı (Şekil 3).

Pirinç. 3. Bildirim mektubu gönderildi
belirtilen kriterlere uyan paketler tespit edilirse

Bir tuzağı düzenlerken, ağda kullanılan birkaç savunmasız ağ hizmetini üzerine yerleştirmek veya bunlar için bir emülatör yüklemek iyi bir fikirdir. En basit (ve ücretsiz), kurulum gerektirmeden çalışan tescilli APS yardımcı programıdır. APS'nin çalışma prensibi, veritabanında açıklanan birçok TCP ve UDP bağlantı noktasını dinlemek ve bağlantı anında önceden belirlenmiş veya rastgele oluşturulmuş bir yanıt vermekten ibarettir (Şekil 4).

Pirinç. 4. APS yardımcı programının ana penceresi

Şekilde Smolenskenergo LAN'da gerçek bir APS aktivasyonu sırasında alınan ekran görüntüsü gösterilmektedir. Şekilde görülebileceği gibi, istemci bilgisayarlardan birini 21 numaralı bağlantı noktasına bağlama girişimi kaydedildi. Protokollerin analizi, denemelerin periyodik olduğunu ve ağdaki birkaç tuzak tarafından kaydedildiğini gösterdi; bu da bize şu sonuca varmamızı sağlıyor: Şifreleri tahmin ederek FTP sunucularını aramak ve hacklemek için ağ taranıyor. APS, günlükleri tutar ve izlenen bağlantı noktalarına kayıtlı bağlantılara ilişkin raporlarla birlikte yöneticilere mesajlar gönderebilir; bu, ağ taramalarının hızlı bir şekilde algılanması için uygundur.

Bir Honeypot oluştururken, özellikle http://www.honeynet.org/ gibi konuyla ilgili çevrimiçi kaynaklara aşina olmanız da yararlı olacaktır. Bu sitenin Araçlar bölümünde (http://www.honeynet.org/tools/index.html), saldırıları kaydetmek ve analiz etmek için çeşitli araçlar bulabilirsiniz.

Uzaktan kötü amaçlı yazılım temizleme

İdeal olarak, kötü amaçlı yazılım örneklerini tespit ettikten sonra yönetici bunları antivirüs laboratuvarına gönderir; burada analistler tarafından derhal incelenir ve ilgili imzalar antivirüs veritabanına eklenir. Bu imzalar aracılığıyla otomatik güncelleme kullanıcının bilgisayarına eriştiğinizde antivirüs, yönetici müdahalesine gerek kalmadan kötü amaçlı yazılımları otomatik olarak kaldırır. Ancak bu zincir her zaman beklendiği gibi çalışmaz, özellikle aşağıdaki başarısızlık nedenleri mümkündür:

ağ yöneticisinden bağımsız çeşitli nedenlerden dolayı görüntüler anti-virüs laboratuvarına ulaşamayabilir;
anti-virüs laboratuvarının yetersiz verimliliği - ideal olarak numunelerin incelenmesi ve veritabanına girilmesi 1-2 saatten fazla sürmez; bu, güncellenmiş imza veritabanlarının bir iş günü içinde elde edilebileceği anlamına gelir. Ancak tüm antivirüs laboratuvarları bu kadar hızlı çalışmaz ve güncellemeler için birkaç gün (nadir durumlarda, hatta haftalarca) bekleyebilirsiniz;
antivirüsün yüksek performansı - bir dizi kötü amaçlı program, etkinleştirildikten sonra antivirüsleri yok eder veya çalışmalarını başka şekilde bozar. Klasik örnekler arasında hosts dosyasında bloke eden girişler yapılması yer alır. normal iş antivirüs otomatik güncelleme sistemleri, işlemlerin, hizmetlerin ve antivirüs sürücülerinin silinmesi, ayarlarının zarar görmesi vb.

Bu nedenle, yukarıdaki durumlarda kötü amaçlı yazılımlarla manuel olarak ilgilenmeniz gerekecektir. Çoğu durumda bu zor değildir, çünkü bilgisayar incelemesi sonuçları virüslü bilgisayarların yanı sıra kötü amaçlı yazılım dosyalarının tam adlarını da ortaya çıkarır. Geriye kalan tek şey onları uzaktan kaldırmak. Kötü amaçlı program silinmeye karşı korunmuyorsa aşağıdaki AVZ komut dosyası kullanılarak yok edilebilir:

// Bir dosyayı silme

SilFile('dosyaadı');

SysClean'i yürütün;

Bu komut dosyası, belirtilen bir dosyayı (veya bir komut dosyasında sınırsız sayıda FileFile komutu olabileceğinden birkaç dosyayı) siler ve ardından kayıt defterini otomatik olarak temizler. Daha karmaşık bir durumda, kötü amaçlı yazılım kendisini silinmeye karşı koruyabilir (örneğin, dosyalarını ve kayıt defteri anahtarlarını yeniden oluşturarak) veya rootkit teknolojisini kullanarak kendisini gizleyebilir. Bu durumda komut dosyası daha karmaşık hale gelir ve şöyle görünür:

// Rootkit'e karşı koruma

SearchRootkit(doğru, doğru);

// AVZGuard'ı kontrol et

SetAVZGuardStatus(true);

// Bir dosyayı silme

SilFile('dosyaadı');

// BootCleaner günlüğünü etkinleştir

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Komut dosyası tarafından silinen dosyaların listesini BootCleaner görevine aktarın

BC_ImportDeletedList;

// BootCleaner'ı etkinleştir

// Sezgisel sistem temizliği

SysClean'i yürütün;

Windows'u yeniden başlatın(true);

Bu komut dosyası, rootkit'lere karşı aktif karşı önlemi, AVZGuard sisteminin (bu bir kötü amaçlı yazılım etkinlik engelleyicisidir) ve BootCleaner sisteminin kullanımını içerir. BootCleaner, sistem önyüklemesinin erken bir aşamasında, yeniden başlatma sırasında belirtilen nesneleri KernelMode'dan kaldıran bir sürücüdür. Uygulama, böyle bir komut dosyasının mevcut kötü amaçlı yazılımların büyük çoğunluğunu yok edebildiğini göstermektedir. Bunun istisnası, her yeniden başlatmada yürütülebilir dosyalarının adlarını değiştiren kötü amaçlı yazılımlardır; bu durumda, sistem taraması sırasında keşfedilen dosyalar yeniden adlandırılabilir. Bu durumda, bilgisayarınızı manuel olarak temizlemeniz veya kendi kötü amaçlı yazılım imzalarınızı oluşturmanız gerekecektir (imza aramasını uygulayan bir komut dosyası örneği AVZ yardımında açıklanmıştır).

Çözüm

Bu makalede, LAN salgınıyla antivirüs ürünleri kullanmadan manuel olarak mücadele etmek için bazı pratik tekniklere baktık. Açıklanan tekniklerin çoğu, kullanıcı bilgisayarlarındaki yabancı bilgisayarları ve Truva atı yer imlerini aramak için de kullanılabilir. Kötü amaçlı yazılım bulma veya tedavi komut dosyaları oluşturma konusunda zorluk yaşıyorsanız yönetici, http://virusinfo.info forumunun "Yardım" bölümünü veya http://forum.kaspersky.com forumunun "Virüslerle Mücadele" bölümünü kullanabilir. /index.php?showforum= 18. Protokollerin incelenmesi ve tedavide yardım her iki forumda da ücretsiz olarak gerçekleştirilir, PC analizi AVZ protokollerine göre yapılır ve çoğu durumda tedavi, bu forumlardan deneyimli uzmanlar tarafından derlenen, virüs bulaşmış bilgisayarlarda bir AVZ komut dosyasının yürütülmesine indirgenir. .

Kullanıcının bilgisayarında fiziksel bir dosyanın oluşturulmasını beklemek zorunda kalan ağ koruması, kullanıcının bilgisayarına ağ üzerinden giren veri akışlarını analiz etmeye başlar ve tehditleri sisteme girmeden önce engeller.

Symantec teknolojilerinin sağladığı ağ korumasının ana alanları şunlardır:

Drive-by indirmeler, web saldırıları;
- “Sosyal Mühendislik” saldırıları: FakeAV (sahte antivirüsler) ve kodlayıcılar;
- Üzerinden saldırılar sosyal medya Facebook gibi;
- Kötü amaçlı yazılımların, rootkit'lerin ve botlarla enfekte olmuş sistemlerin tespiti;
- Gelişmiş tehditlere karşı koruma;
- Sıfır gün tehditleri;
- Yamasız yazılım güvenlik açıklarına karşı koruma;
- Kötü amaçlı etki alanlarından ve IP adreslerinden koruma.

Ağ Koruma Teknolojileri

"Ağ Koruması" seviyesi 3 farklı teknolojiyi içerir.

Ağa İzinsiz Girişi Önleme Çözümü (Ağ IPS)

Ağ IPS teknolojisi 200'den fazla farklı protokolü anlar ve tarar. İkili verileri akıllıca ve doğru bir şekilde keser ve ağ protokolü, aynı anda kötü amaçlı trafiğin işaretlerini arıyor. Bu zeka, ağ taramasının daha doğru olmasına olanak tanırken aynı zamanda güvenilir koruma. "Kalbinde", neredeyse aşılamaz koruma ile açık güvenlik açıkları sağlayan bir istismar engelleme motoru bulunur. Symantec IPS'in benzersiz bir özelliği, bu bileşenin herhangi bir konfigürasyon gerektirmemesidir. Tüm işlevleri, dedikleri gibi, "kutudan çıktığı gibi" çalışır. Her Norton tüketici ürününde ve her Symantec Endpoint Protection ürünü sürüm 12.1 ve sonraki sürümlerde bu kritik teknoloji varsayılan olarak etkindir.

Tarayıcı Koruması

Bu güvenlik motoru tarayıcının içinde bulunur. Ne geleneksel antivirüsün ne de Ağ IPS'nin tespit edemediği en karmaşık tehditleri tespit etme kapasitesine sahiptir. Günümüzde birçok ağ saldırısında tespit edilmekten kaçınmak için gizleme teknikleri kullanılmaktadır. Tarayıcı Koruması tarayıcının içinde çalıştığından, henüz gizli olmayan (karmaşıklaştırılmış) kodu çalışırken inceleyebilir. Bu, daha düşük program koruma düzeylerinde kaçırılan bir saldırıyı tespit etmenize ve engellemenize olanak tanır.

Yetkisiz İndirme Koruması (UXP)

Ağ savunma katmanında yer alan son savunma hattı, bilinmeyen ve düzeltme eki uygulanmayan güvenlik açıklarının imza kullanılmadan kapatılmasına ve etkilerinin azaltılmasına yardımcı olur. Bu, Sıfır Gün saldırılarına karşı ek bir koruma katmanı sağlar.

Sorunlara odaklanmak

Ağ güvenliği teknolojileri birlikte çalışarak aşağıdaki sorunları çözer.

Drive-by indirmeler ve web saldırı kitleri

Ağ IPS, Tarayıcı Koruması ve UXP teknolojisini kullanan Symantec'in ağ koruma teknolojileri, Drive-by indirmelerini engeller ve esas olarak kötü amaçlı yazılımların kullanıcının sistemine ulaşmasını bile engeller. Genel Exploit Engelleme teknolojisi ve web saldırısı tespit araçları da dahil olmak üzere aynı teknolojilerin kullanımını içeren çeşitli önleyici yöntemler uygulanmaktadır. Genel bir web saldırısı tespit aracı, saldırının hedeflediği belirli güvenlik açığından bağımsız olarak, yaygın bir web saldırısının özelliklerini analiz eder. Bu, yeni ve bilinmeyen güvenlik açıklarına karşı ek koruma sağlamanıza olanak tanır. Bu tür bir korumanın en iyi yanı, kötü amaçlı bir dosyanın sisteme "sessizce" bulaşması durumunda, bunun yine de proaktif olarak durdurulması ve sistemden kaldırılmasıdır: Bu, geleneksel antivirüs ürünlerinin genellikle gözden kaçırdığı davranıştır. Ancak Symantec, genellikle başka yöntemlerle tespit edilemeyen on milyonlarca kötü amaçlı yazılım türünü engellemeye devam ediyor.

Sosyal Mühendislik Saldırıları

Symantec'in teknolojisi, ağ ve tarayıcı trafiğini hareket halindeyken izlediğinden, FakeAV veya sahte kodlayıcılar gibi "Sosyal Mühendislik" saldırılarını tespit eder. Teknolojiler, bu tür saldırıları kullanıcının ekranında görünmeden engellemek için tasarlanmıştır. Diğer rakip çözümlerin çoğu bu güçlü yeteneği içermez.

Symantec, çevrimiçi tehdit koruma teknolojisiyle bu tür yüz milyonlarca saldırıyı engelliyor.

Sosyal medya uygulamalarını hedef alan saldırılar

Çeşitli mesajları, ilginç videoları ve bilgileri binlerce arkadaş ve kullanıcıyla anında paylaşmanıza olanak tanıyan sosyal medya uygulamaları, son zamanlarda oldukça popüler hale geldi. Bu tür programların geniş dağıtımı ve potansiyeli, onları bilgisayar korsanlarının 1 numaralı hedefi haline getiriyor. Bazı yaygın bilgisayar korsanlığı hileleri arasında sahte hesaplar oluşturma ve spam gönderme yer alır.

Symantec IPS teknolojisi bu tür aldatma yöntemlerine karşı koruma sağlayabilir ve çoğu zaman kullanıcı daha tıklamadan bunları engeller. Symantec, çevrimiçi tehdit koruma teknolojisiyle sahte ve sahte URL'leri, uygulamaları ve diğer aldatma tekniklerini durdurur.

Kötü amaçlı yazılımların, rootkitlerin ve bot bulaşmış sistemlerin tespiti

Virüs bulaşan bilgisayarın ağ üzerinde tam olarak nerede bulunduğunu bilmek güzel olmaz mıydı? Symantec'in IPS çözümleri, diğer koruma katmanlarından kaçmış olabilecek tehditlerin algılanması ve kurtarılması da dahil olmak üzere bu yeteneği sağlar. Symantec çözümleri, sistemdeki etkinliklerini artırmak için otomatik arama yapmaya veya "güncellemeler" indirmeye çalışan kötü amaçlı yazılımları ve botları tespit eder. Bu, inceleyecekleri sistemlerin açık bir listesine sahip olan BT yöneticilerinin, kuruluşlarının güvenli olduğundan emin olmalarına olanak tanır. Tidserv, ZeroAccess, Koobface ve Zbot gibi rootkit tekniklerini kullanan polimorfik ve karmaşık gizli tehditler, bu yöntem kullanılarak durdurulabilir ve kaldırılabilir.

Gizlenmiş tehditlere karşı koruma

Günümüzün web saldırıları, saldırılarının karmaşıklığını artırmak için karmaşık teknikler kullanıyor. Symantec'in Tarayıcı Koruması, tarayıcının içinde bulunur ve geleneksel yöntemlerin sıklıkla tespit edemediği çok karmaşık tehditleri tespit edebilir.

Sıfır gün tehditleri ve yamalanmamış güvenlik açıkları

Şirketin geçmişte eklediği güvenlik eklemelerinden biri, sıfır gün tehditlerine ve yamalanmamış güvenlik açıklarına karşı ek bir koruma katmanıdır. İmzasız korumayı kullanan program, Sistem API çağrılarını engeller ve kötü amaçlı yazılım indirmelerine karşı koruma sağlar. Bu teknolojiye Yetkisiz İndirme Koruması (UXP) adı verilir. Ağ tehdidi koruma ekosistemindeki son destek hattıdır. Bu, ürünün bilinmeyen ve düzeltme eki uygulanmayan güvenlik açıklarını imza kullanmadan "örtmesine" olanak tanır. Bu teknoloji varsayılan olarak etkindir ve Norton 2010'un çıkışından bu yana piyasaya sürülen her üründe bulunmuştur.

Yamalanmamış yazılım güvenlik açıklarına karşı koruma

Kötü amaçlı programlar genellikle kullanıcının bilgisi olmadan, yazılımdaki güvenlik açıklarından yararlanılarak yüklenir. Symantec ağ güvenliği, Genel Exploit Engelleme (GEB) adı verilen ek bir koruma katmanı sağlar. Olup olmadığına bakılmaksızın En son güncellemeler GEB "çoğunlukla" temeldeki güvenlik açıklarını kötüye kullanıma karşı korur. Oracle Sun Java'daki güvenlik açıkları, Adobe Acrobat Okuyucu, Adobe Flash, İnternet Explorer, ActiveX denetimleri veya QuickTime artık her yerde mevcuttur. Genel Suistimal Koruması, güvenlik açığının ağda nasıl istismar edilebileceğini çözerek "tersine mühendislik" yoluyla oluşturuldu ve aynı zamanda güvenlik açığı için özel bir yama sağladı. ağ düzeyi. Tek bir GEB veya güvenlik açığı imzası, yeni ve bilinmeyen binlerce kötü amaçlı yazılım türüne karşı koruma sağlayabilir.

Kötü amaçlı IP'ler ve etki alanı engelleme

Symantec'in ağ koruması aynı zamanda kötü amaçlı etki alanlarını ve IP adreslerini engelleme, aynı zamanda kötü amaçlı yazılımları ve bilinen kötü amaçlı sitelerden gelen trafiği durdurma yeteneğini de içerir. STAR'ın titiz web sitesi analizi ve güncellemesi sayesinde Symantec, sürekli değişen tehditlere karşı gerçek zamanlı koruma sağlar.

Geliştirilmiş Kaçınma Direnci

Base64 ve gzip gibi şifreleme tekniklerini kullanan saldırı tespitinin etkinliğini artırmak için ek kodlama desteği eklendi.

Kullanım politikalarını uygulamak ve veri sızıntısını belirlemek için ağ denetimi tespiti

Ağ IPS'si, kurumsal kullanım politikalarını ihlal edebilecek uygulama ve araçları tespit etmek veya ağ üzerinden veri sızıntısını önlemek için kullanılabilir. IM, P2P, sosyal medya veya diğer "ilginç" trafik türleri gibi trafiği tespit etmek, uyarmak veya önlemek mümkündür.

STAR İstihbarat İletişim Protokolü

Ağ güvenliği teknolojisi tek başına çalışmaz. Motor, STAR Intelligence Communication (STAR ICB) protokolünü kullanarak diğer güvenlik hizmetleriyle iletişim kurar. Ağ IPS motoru, Symantec Sonar motoruna ve ardından Insight Reputation motoruna bağlanır. Bu, daha bilgilendirici ve doğru koruma sağlamanıza olanak tanır.

Bir sonraki makalede Davranış Analizcisi seviyesine bakacağız.

Symantec'in malzemelerine dayanmaktadır

Her Windows PC'ye bir antivirüs kurulmalıdır. Uzun bir süre boyunca bu altın kural olarak kabul edildi, ancak bugün BT güvenlik uzmanları güvenlik yazılımının etkinliğini tartışıyor. Eleştirmenler, antivirüslerin her zaman koruma sağlamadığını, hatta bazen tam tersini, dikkatsiz uygulama nedeniyle sistemin güvenliğinde boşluklar yaratabileceğini savunuyor. Bu tür çözümlerin geliştiricileri tezat oluşturuyor bu görüş Etkileyici sayıda engellenen saldırı var ve pazarlama departmanları, ürünlerinin sağladığı kapsamlı korumaya yemin etmeye devam ediyor.

Gerçek ortada bir yerde yatıyor. Antivirüsler kusursuz çalışmıyor ancak hepsine işe yaramaz denemez. Çeşitli tehditlere karşı uyarıda bulunurlar ancak Windows'u mümkün olduğu kadar koruma altında tutmak için yeterli değildirler. Bir kullanıcı olarak sizin için bu şu anlama gelir: Antivirüs yazılımını ya çöpe atabilirsiniz ya da ona körü körüne güvenebilirsiniz. Ancak öyle ya da böyle, bu, güvenlik stratejisindeki (büyük de olsa) bloklardan yalnızca biridir. Size bu “tuğlalardan” dokuz tane daha sağlayacağız.

Güvenlik Tehdidi: Antivirüsler

> Eleştirmenler ne diyor Virüs tarayıcıları hakkındaki güncel tartışma, eski Firefox geliştiricisi Robert O'Callaghan tarafından başlatıldı. Antivirüslerin Windows güvenliğini tehdit ettiğini ve kaldırılması gerektiğini savunuyor. Bunun tek istisnası Microsoft'un Windows Defender'ıdır.

> Geliştiriciler ne diyor Antivirüs yaratıcıları dahil Kaspersky Laboratuvarı Bir argüman olarak etkileyici rakamlardan bahsediyorlar. Böylece 2016 yılında bu laboratuvarın yazılımları kullanıcı bilgisayarlarına yönelik yaklaşık 760 milyon İnternet saldırısını kayıt altına aldı ve önledi.

> CHIP'in düşüncesi Antivirüsler bir kalıntı ya da her derde deva olarak görülmemelidir. Onlar güvenlik binasının sadece bir tuğlası. Kompakt antivirüsler kullanmanızı öneririz. Ancak çok fazla endişelenmeyin: Windows Defender gayet iyi. Basit üçüncü taraf tarayıcıları bile kullanabilirsiniz.

Doğru antivirüsü seçin

Daha önce olduğu gibi, Windows'un antivirüs koruması olmadan düşünülemeyeceğine inanıyoruz. Sadece doğru ürünü seçmeniz yeterli. Tens kullanıcıları için bu, yerleşik Windows Defender bile olabilir. Testlerimiz sırasında en iyi düzeyde tanınma göstermemesine rağmen, sisteme mükemmel bir şekilde entegre edilmiştir ve en önemlisi herhangi bir güvenlik sorunu yaşamamaktadır. Ayrıca Microsoft, Windows 10 için Creators Güncellemesinde ürününü geliştirdi ve yönetimini basitleştirdi.

Diğer geliştiricilerin antivirüs paketleri genellikle Defender'dan daha yüksek tanınma oranına sahiptir. Kompakt bir çözümden yanayız. Derecelendirmemizin lideri şu an Kaspersky mi internet güvenliği 2017. Gibi ek seçenekleri reddedebilecek olanlar ebeveyn Kontrolü ve şifre yöneticisi dikkatlerini Kaspersky Lab'in bütçeye daha uygun bir seçeneğine yöneltmelidir.

Güncellemeleri takip edin

Windows'u güvende tutmak için tek bir önlem seçmek zorunda kalsaydık kesinlikle güncellemeleri seçerdik. Bu durumda elbette öncelikle Windows güncellemelerinden bahsediyoruz, sadece değil. Office, Firefox ve iTunes dahil olmak üzere yüklü yazılımlar da düzenli olarak güncellenmelidir. Windows'ta sistem güncellemelerini almak nispeten kolaydır. Hem "yedi" hem de "on"da yamalar varsayılan ayarlar kullanılarak otomatik olarak yüklenir.

Programlar söz konusu olduğunda durum daha da zorlaşıyor çünkü hepsinin güncellenmesi, yerleşik otomatik güncelleme işlevine sahip Firefox ve Chrome kadar kolay değil. SUMo (Yazılım Güncelleme Monitörü) yardımcı programı bu görevi çözmenizde size destek olacak ve güncellemelerin kullanılabilirliği hakkında sizi bilgilendirecektir. İlgili bir program olan DUMo (Sürücü Güncelleme Monitörü), sürücüler için aynı işi yapacaktır. Ancak her iki ücretsiz asistan da sizi yalnızca yeni sürümler hakkında bilgilendirir; bunları kendiniz indirip yüklemeniz gerekir.

Güvenlik duvarı kurun

Windows'taki yerleşik güvenlik duvarı işini iyi yapıyor ve gelen tüm istekleri güvenilir bir şekilde engelliyor. Ancak daha fazlasını yapabilir; potansiyeli varsayılan yapılandırmayla sınırlı değildir: hepsi yüklü programlar Güvenlik duvarındaki portları sormadan açma hakkına sahiptir. Özgür Windows yardımcı programı Güvenlik Duvarı Kontrolü sizin elinizde olacak daha fazla özellik.

Başlatın ve “Profiller” menüsünde filtreyi “Orta Filtreleme” olarak ayarlayın. Bu sayede güvenlik duvarı giden trafiği de belirli kurallara göre kontrol edecektir. Hangi önlemlerin dahil edileceğine kendiniz karar verirsiniz. Bunu yapmak için program ekranının sol alt köşesindeki not simgesine tıklayın. Bu şekilde kuralları görüntüleyebilir ve tek tıklamayla izin verebilirsiniz ayrı program veya engelle.

Özel koruma kullanın

Güncellemeler, antivirüs ve güvenlik duvarı - bu büyük güvenlik önlemleri üçlüsünü zaten hallettiniz. Zamanı geldi ince ayar. Windows için ek programlarla ilgili sorun genellikle sistemin sunduğu tüm güvenlik özelliklerinden yararlanamamalarıdır. EMET (Gelişmiş Azaltma Deneyimi Araç Takımı) gibi istismar karşıtı bir yardımcı program, kurulu yazılımı daha da güçlendirir. Bunu yapmak için “Önerilen Ayarları Kullan” seçeneğine tıklayın ve programın otomatik olarak çalışmasına izin verin.

Şifrelemeyi güçlendirin

Kişisel verilerinizi şifreleyerek korumasını önemli ölçüde artırabilirsiniz. Bilgileriniz yanlış ellere geçse bile, bir bilgisayar korsanı iyi kodlamayı en azından hemen kaldıramayacaktır. Profesyonel olarak Windows sürümleri BitLocker yardımcı programı zaten sağlanmıştır ve Kontrol Paneli aracılığıyla yapılandırılmıştır.

VeraCrypt tüm kullanıcılar için bir alternatif olacaktır. Bu program ile açık kaynak birkaç yıl önce üretimi durdurulan TrueCrypt'in resmi olmayan halefidir. Eğer Hakkında konuşuyoruz Yalnızca kişisel bilgilerin korunmasıyla ilgili olarak, “Birim Oluştur” öğesi aracılığıyla şifreli bir kap oluşturabilirsiniz. “Şifrelenmiş bir dosya kapsayıcısı oluştur” seçeneğini seçin ve Sihirbazın talimatlarını izleyin. Hazır veri kasasına tıpkı normal bir disk gibi Windows Gezgini üzerinden erişilir.

Kullanıcı hesaplarını koruyun

Bilgisayardaki çalışmalar sınırlı haklara sahip standart bir hesap altında yürütüldüğü için pek çok güvenlik açığı bilgisayar korsanları tarafından kullanılamıyor. Yani günlük görevler için de buna benzer bir tane ayarlamalısınız hesap. Windows 7'de bu, Denetim Masası ve "Kullanıcı Hesapları Ekle ve Kaldır" öğesi aracılığıyla yapılır. "İlk on"da "Ayarlar" ve "Hesaplar"a tıklayın ve ardından "Aile ve diğer kişiler"i seçin.

VPN'i ev dışında etkinleştirin

evde Kablosuz ağ Yerel ağa kimin erişebileceğini kontrol ettiğiniz ve şifreleme ile erişim kodlarından sorumlu olduğunuz için güvenlik düzeyiniz yüksektir. Örneğin, sıcak noktalar durumunda her şey farklıdır.
otellerde. Burada Wi-Fi üçüncü taraf kullanıcılar arasında dağıtılmaktadır ve ağ erişiminin güvenliği üzerinde herhangi bir etki sahibi olamazsınız. Koruma için bir VPN (Sanal Özel Ağ) kullanmanızı öneririz. Sitelere yalnızca bir erişim noktası üzerinden göz atmanız gerekiyorsa, yerleşik VPN En son sürüm Opera tarayıcısı. Tarayıcıyı yükleyin ve “Ayarlar”da “Güvenlik” seçeneğine tıklayın. "VPN" bölümünde "VPN'i etkinleştir" kutusunu işaretleyin.

Kullanılmayan kablosuz bağlantıları kesin

Tamam

Ayrıntılar bile bir durumun sonucunu belirleyebilir. Wi-Fi ve Bluetooth gibi bağlantıları kullanmıyorsanız olası boşlukları kapatmak için bunları kapatmanız yeterlidir. Windows 10'da bunu yapmanın en kolay yolu Eylem Merkezi'dir. “Seven”, Kontrol Panelinde bu amaçla bir bölüm sunuyor “ Ağ bağlantıları».

Şifreleri yönet

Her şifre yalnızca bir kez kullanılmalı ve özel karakterler, sayılar, büyük ve küçük harfler içermelidir. Ayrıca mümkün olduğu kadar uzun olmalıdır; tercihen on veya daha fazla karakter. Kullanıcıların çok fazla hatırlamak zorunda kalması nedeniyle şifre güvenliği ilkesi günümüzde sınırlarına ulaşmıştır. Bu nedenle, mümkün olduğu durumlarda bu tür korumanın yerini başka yöntemler almalıdır. Örneğin Windows'ta oturum açmayı ele alalım: Windows Hello'yu destekleyen bir kameranız varsa oturum açmak için yüz tanımayı kullanın. Diğer kodlar için ise güçlü bir ana şifre ile korunması gereken KeePass gibi şifre yöneticilerinin kullanılmasını öneriyoruz.

Tarayıcıda gizliliğinizi koruyun

Çevrimiçi gizliliğinizi korumanın birçok yolu vardır. Gizlilik Ayarları uzantısı Firefox için idealdir. Kurun ve "Tam Gizlilik" olarak ayarlayın. Bundan sonra tarayıcı, İnternet'teki davranışınız hakkında herhangi bir bilgi sağlamayacaktır.

Cankurtaran simidi: yedekleme

> Yedeklemeler son derece önemlidir Destek olmak haklı çıkarır
yalnızca virüs bulaştıktan sonra değil. Donanımla ilgili sorunlar ortaya çıktığında da iyi çalışır. Tavsiyemiz: tüm Windows'un bir kopyasını bir kez alın ve ardından ek olarak ve düzenli olarak tüm önemli verilerin yedeklerini alın.

> Windows'un tam arşivlenmesi Windows 10, “yedi” “Arşivleme ve Geri Yükleme” modülünden miras alınmıştır. Onunla yaratacaksın yedek kopya sistemler. Ayrıca kullanabilirsin özel araçlarörneğin True Image veya Macrium Reflect.

> True Image dosya koruması ve Macrium Reflect'in ücretli sürümü kopya yapabilir belirli dosyalar ve klasörler. Ücretsiz alternatif arşivleme için önemli bilgi Kişisel Yedekleme programı haline gelecektir.

FOTOĞRAF: imalat şirketleri; NicoElNino/Fotolia.com

Bilgisayarınızı uzaktan erişimden nasıl koruyabilirsiniz? Bir tarayıcı aracılığıyla bir bilgisayara erişim nasıl engellenir?

Bilgisayarınızı uzaktan erişime karşı nasıl korursunuz? genellikle bir şeyin zaten gerçekleştiğini düşünürler. Ancak doğal olarak kendi faaliyetlerinin en azından bir kısmıyla meşgul olan bir kişi için bu yanlış bir karardır. Ve tüm kullanıcıların bilgisayarlarına erişimi yabancılarla sınırlandırmaları tavsiye edilir. Ve bu makalede, bir bilgisayarda oturum açmak için şifre belirleme yöntemini tartışmayacağız, ancak bir bilgisayara yerel ağdan veya aynı ağa bağlıysa başka bir bilgisayardan erişimin nasıl reddedileceğine ilişkin bir seçeneğe bakacağız. ağ. Bu bilgiler özellikle yeni PC kullanıcıları için faydalı olacaktır.

Ve böylece işletim sistemi Windows'un “Uzaktan Erişim” adı verilen bir özelliği vardır. Devre dışı bırakılmazsa, diğer kullanıcılar bilgisayarınızın kontrolünü ele geçirmek için bundan yararlanabilir. Bir yönetici olsanız ve çalışanlarınızı izlemeniz gerekse bile, o zaman doğal olarak onların bilgisayarlarına erişmeniz gerekir, ancak aynı çalışanların sekreterinizle olan yazışmalarınıza bakmaması için kendi bilgisayarınızı kapatmanız gerekir - bu durumla doludur.. .

Pazartesi	K	evlenmek	Per	Cuma	Doygunluk	Güneş

	1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Mart 2020

REKLAM

Her zamanki gibi çevrimiçi projeler tanıtılıyor. Tipik olarak, SEO metin yazarları metne mümkün olduğunca çok şey katmaya çalışırlar. arama sorguları, onları buna yöneltmek

Sahte iPhone'ları gerçek ürünlerden ayıran temel nüansları anlamak, paradan tasarruf etmenize ve dikkatsiz satıcılardan satın almaktan kaçınmanıza yardımcı olacaktır. Ne için

Kategoride popüler: