Scott Tiger Tech Blog

Blog technologiczny firmy Scott Tiger S.A.

Windows 7: Bezpieczeństwo

Autor: Piotr Karpiuk o poniedziałek 6. Czerwiec 2011

O ile nie zaznaczono inaczej, mowa o Windows 7 (choć we wcześniejszych wersjach jest podobnie).

Podstawy

  • Używaj NTFS – w odróżnieniu od FAT pozwala konfigurować dostęp do danych (uprawnienia), jest bardziej odporny na uszkodzenia.
    Możesz przekonwertować partycję FAT16 lub FAT32 na NTFS używając z wiersza poleceń komendy convert litera_dysku: /fs:ntfs.
  • Zmień nazwy kont administratora i gościa, wyłącz konto gościa (w Windows XP jest domyślnie włączone).
    W menu startowym uruchom secpol.msc, wybierz Zasady lokalne/Opcje zabezpieczeń, patrz pozycje: Konta: zmień nazwę konta administratora, Konta: zmień nazwę konta gościa, oraz Konta: Stan konta administratora i Konta: Stan konta gościa.
  • Wymagaj Ctrl Alt Del przy logowaniu, aby zredukować prawdopodobieństwo phishingu.
    W menu startowym uruchom secpol.msc, zmodyfikuj opcję Zasady lokalne/Opcje zabezpieczeń/Logowanie interakcyjne: nie wymagaj naciśnięcia klawiszy Ctrl+Alt+Del.
  • Zdefiniuj reguły tworzenia haseł jak minimalna długość hasła, blokada możliwości wielokrotnego powtarzania tego samego hasła, blokada konta na 30min. po 3 nieudanych próbach logowania itp.
    W menu startowym uruchom secpol.msc, zmodyfikuj opcję Zasady konta/Zasady haseł/Hasło musi spełniać wymagania co do złożoności oraz inne opcje obok.
  • Wyłącz niepotrzebne usługi, np. IIS, Rejestr zdalny, Routing i dostęp zdalny, Proste udostępnianie plików i drukarek, Universal Plug i Telnet.
    Panel sterowania/Narzędzia administracyjne/Usługi.
  • Zablokuj automatyczne odtwarzanie zewnętrznych nośników (w ten sposób często rozprowadzane są wirusy).
    Panel Sterowania/Autoodtwarzanie.
  • Włącz automatyczne aktualizacje systemu, koniecznie instaluj krytyczne poprawki Microsoftu.
    Panel Sterowania/Windows Update/Zmień ustawienia.
  • Włącz firewall (w systemie może działać tylko jeden).
    Panel Sterowania/Zapora systemu Windows/Włącz lub wyłącz Zaporę systemu Windows.
  • Zaplanuj kopie zapasowe i stwórz dysk ratunkowy.
    Panel Sterowania/Kopia zapasowa, opcje Konfiguruj tworzenie kopii zapasowej oraz Tworzenie dysku naprawy systemu. Obrazy partycji możesz wykonywać programem Paragon Backup & Recovery 2011 (Advanced) Free.

Przed większymi zmianami w systemie warto utworzyć punkt przywracania pozwalający odtworzyć system sprzed modyfikacji (są tworzone automatycznie przed większymi aktualizacjami). Komputer/Właściwości/Ochrona systemu/Przywracanie systemu. Punkty przywracania siłą rzeczy tworzą prymitywny system wersjonowania plików. Jeśli wejdziesz we właściwości dowolnego pliku, to na zakładce Poprzednie wersje masz okazję odzyskać historyczną zawartość pliku.

Walka z wirusami

Programy, w których najczęściej wykorzystuje się luki bezpieczeństwa (warto rozważyć alternatywy lub odinstalować): Thunderbird, Java Runtime, iTunes, MSWord, MSExcel, Adobe Reader (rozważ Foxit Reader), Apple QuickTime, Adobe Flash, przeglądarki internetowe.

Pakiety Internet Security (w cenie średnio 150zł/rok) oferują zestaw programów: antywirus, zapora sieciowa, ochrona przed phishingiem, spamem i kradzieżą tożsamości.
Na rynku są m.in. produkty: Norton Internet Security, Kaspersky Internet Security, Panda Security, BitDefender Internet Security, Avast! Internet Security, G Data InternetSecurity, ESET Smart Security, AVG Internet Security, F-Secure Internet Security, itd.
Producenci konkurują głównie liczbą dodatków, szybkością działania i przyjaznymi interfejsami.

Dodatkowe funkcje oferowane przez pakiety:

  • kontrola rodzicielska,
  • tryb cichy – program zabezpieczający nie przeprowadza w tle operacji które mogłyby spowolnić działanie systemu, jak również nie wyświetla wyskakujących okienek,
  • sprawdzanie reputacji witryn internetowych,
  • piaskownica do uruchamiania podejrzanych aplikacji,
  • tworzenie zaszyfrowanych kopii zapasowych online,
  • klawiatura ekranowa (pozwalająca ominąć keyloggery),
  • trwałe usuwanie plików,
  • kreator usuwania śladów aktywności użytkownika,
  • blokowanie banerów na stronach WWW.

Nie chcąc wydawać pieniędzy, można zainstalować darmowy program antywirusowy, np.: avast! Free Antivirus, AVG Anti-Virus Free Edition, Avira AntiVir Personal, Comodo Antivirus, Microsoft Security Essentials. Pierwsze 3 wyłącznie do użytku osobistego i niekomercyjnego. Podczas instalacji mocno uważaj żeby nie zainstalować dodatkowych śmieci w rodzaju dodatkowych pasków przeglądarki, aplikacji shareware itp. W systemie może działać tylko jeden program antywirusowy.

Bezpłatne skanery antywirusowe online, sprawdzające też odporność na ataki sieciowe (wykorzystują technologie antywirusowe zawarte w płatnych pakietach): Norton Security Check, Kaspersky, ESET, BitDefender, Panda Security, F-Secure.

Program antyszpiegowski (można zainstalować kilka w systemie, chronią przed keyloggerami i robakami) – podstawowym jest Windows Defender, ale dla większej pewności można zainstalować Spybot Search&Destroy lub Spy Sweper. Darmowy program do wykrywania rootkitów to np. Sophos Antirootkit.

Usuwanie śladów

CCleaner to wysoko oceniany i często instalowany, darmowy program do usuwania z systemu poufnych danych powstałych podczas używania komputera (odwiedzane strony, dane formularzy, hasła, pliki tymczasowe). Możesz dość szczegółowo określić które dane jakiego programu mają być usunięte i usunąć przyciskiem Uruchom Cleaner.

Niemiecki, bezpłatny program BTF-Sniffer analizuje liczne pliki tymczasowe i rejestr systemu Windows, wyświetlając w rezultacie bardzo obszerny protokół, zawierający przywoływane adresy internetowe i opis wielu innych operacji wykonywanych w systemie. Dogłębne wyszpiegowanie niezabezpieczonego komputera za pomocą tej aplikacji skopiowanej na pendrive nie zajmuje nawet dwóch minut. Programu można również użyć do usunięcia śladów używania systemu. Uruchamiamy z uprawnieniami administratora.

Aby nie raportować Microsoftowi informacji o błędach w systemie:

  • Windows7: Windows+R, services.msc, w menedżerze usług wyłącz Usługa raportowania błędów systemu Windows
  • Vista: Panel sterowania/System i konserwacja/Raporty i rozwiązywania problemów/Ustawienia poprawy jakości obsługi klienta
  • XP: Mój komputer/Właściwości/Zaawansowane/Raportowanie błędów

Jeśli chcesz pozostawić jak najmniej śladów swojej działalności na wypożyczonym komputerze, utwórz dla siebie konto o ograniczonych uprawnieniach, a tuż przed zwrotem sprzętu usuń konto zaznaczając opcję usunięcia plików użytkownika.

Do odzyskiwania plików skasowanych istnieje wiele programów, np. Data Recovery Wizard Free, PC Inspector File Recovery, Undelete 360, Recuva.
Są też programy wyspecjalizowane, np.

  • TeraCopy, Unstoppable Copier – kopiowanie danych z uszkodzonych dysków
  • ISOBuster, CDCheck – odzyskiwanie danych z uszkodzonych płyt CD/DVD
  • DVDisaster – zapisuje dane na dyskach CD/DVD z większą liczbą danych nadmiarowych tak, aby dały się odczytać przy znaczących uszkodzeniach płytki
  • TestDisk – odtwarzanie całych partycji, ale również pojedynczych plików
  • MMCard Recovery – odzyskiwanie multimediów z kart pamięci SD, MMC itp.

Jeśli chcesz usunąć dane tak aby nie dało się ich odtworzyć warto użyć darmowego programu Eraser.

Przeglądarki WWW

Ctrl+Shift+Deleteczyści cache przeglądarki w MSIE, Chrome i FF

Praktycznie we wszystkich przeglądarkach internetowych działa funkcja przeglądania w trybie prywatnym (incognito, InPrivate, tryb porno – jak kto woli). W FF i MSIE: Ctrl+Shift+P, w Chrome Ctrl+Shift+N.

W MSIE dostępna jest funkcja podpowiadania wyświetlająca adresy odwiedzonych stron podczas wpisywania adresu w przeglądarce, uzupełniająca automatycznie formularze oraz pola autoryzacji. Aby ją wyłączyć: Narzędzia/Opcje internetowe/Zawartość/Autouzupełnianie.

Bezpośredni dostęp do komputera

Blokowanie systemu przy odejściu od komputera: Windows+L (wymaga podania hasła aby odblokować).

Aby utrudnić uruchomienie komputera osobie postronnej (np. z własnej płytki/pendrive z Linuksem) ustaw hasło w BIOSie. Aby je zresetować intruz musiałby rozkręcić obudowę komputera i odłączyć zaciski baterii zasilającej układ BIOSu.

Jeżeli uda się komuś uruchomić Twój komputer z pendrive’a/płytki CDROM z odpowiednim oprogramowaniem (np. Ophrack lub dystrybucję Linuksa w rodzaju Knoppix), może Ci złamać hasło do systemu Windows lub zresetować je. Ponadto uruchamiając Windows w trybie awaryjnym można włamać się do zabezpieczonego Windows z podpowiedzią do hasła oraz funkcją resetowania go. W obu przypadkach najskuteczniejszym sposobem ochrony jest szyfrowanie dysku Truecryptem lub BitLockerem – patrz niżej.

Szyfrowanie

  • Program 7-zip pozwala tworzyć archiwa ZIP zabezpieczone hasłem,
  • do szyfrowania większych zasobów danych (partycji dysku, pendrive’ów) warto użyć bezpłatnego TrueCrypt lub wbudowanego w Windows BitLockera – oba obsługują sprzętową akcelerację szyfrowania AES. Szyfrowanie partycji dysku twardego jest jednym z najpewniejszych sposobów zabezpieczenia się przed dostępem osób niepowołanych do dysku, np. za pomocą pendrive’a z Linuksem.
  • Dowolny plik/katalog można zaszyfrować, klikając prawym przyciskiem myszki i wybierając Właściwości/Zaawansowane/Szyfruj zawartość (tzw. EFS) co jest wygodne, ale nie nadaje się do zabezpieczania plików które mają być odczytywane w innych komputerach lub przez innych użytkowników (wymagałoby to uciążliwego eksportowania i importowania certyfikatów), ponadto szyfrowanie ulega utracie podczas kopiowania plików na dysk, który nie jest sformatowany w systemie plików NTFS.

Edytor zasad systemowych

Uruchamiany poleceniem gpedit.msc Edytor Zasad Systemowych pozwala przeglądać, edytować i modyfikować ponad 2 tysiące ustawień dotyczących bezpieczeństwa bez potrzeby ręcznej modyfikacji rejestru. Możemy tu włączać i wyłączać dostęp do poszczególnych elementów interfejsu, definiować zachowanie systemu w określonych sytuacjach, np. zablokować dostęp do menu startowego, wyłączyć wyświetlanie niektórych poleceń, zablokować dostęp do panelu sterowania, zabronić instalowania aplikacji lub pozwolić tylko na instalowanie aplikacji określonego producenta itp.

Kontrola rodzicielska

Dzieci spędzają w Internecie średnio 40 godzin miesięcznie. Podstawową funkcjonalność kontroli rodzicielskiej (limity czasowe korzystania z komputera, blokowanie gier i programów) Windows 7 udostępnia bez instalowania dodatkowych aplikacji – Panel sterowania/Kontrola rodzicielska.

Wyspecjalizowane aplikacje kontroli rodzicielskiej pozwalają stworzyć dziecku bezpieczne środowisko nauki i zabawy z komputerem.

Możliwości oferowane przez tego typu programy:

  • ograniczanie czasu dostępu i określenie akcji która nastąpi po przekroczeniu limitu, np. zamknąć komputer, odciąć dostęp do Internetu, zezwolić na uruchamianie tylko określonych programów,
  • kody jednorazowe: na podstawie wcześniej przygotowanej listy haseł rodzice mogą zezwolić dzieciom na jednorazowe rozszerzenie przyznanego limitu czasu np. o kolejne 30 minut,
  • aplikacja na komputerze dziecka zbiera informacje o odwiedzanych stronach, uruchamianych programach i czasie spędzonym przed komputerem – przeglądanie danych odbywa się z poziomu panelu webowego, co tydzień raport emailem,
  • tworzenie białych i czarnych list stron internetowych, definiowanie zabronionych słów kluczowych,
  • blokowanie witryn według określonych kategorii,
  • blokowanie gier sieciowych,
  • śledzenie rozmów internetowych, możliwość ograniczenia rozmów z określonymi osobami,
  • śledzenie treści zamieszczanych w sieciach społecznościowych,
  • rejestracja fraz wprowadzanych w wyszukiwarce Google,
  • zrzuty ekranu w określonych odstępach czasu,
  • blokowanie pobierania plików niektórych typów (np. exe, mp3),
  • blokowanie dostępu do określonych katalogów na dysku,
  • tryby: monitorowania i blokowania,

Inne

„Czy mogę podładować u ciebie mojego smartfona?” – spełnienie z pozoru niewinnej prośby może skutkować włamaniem się do naszego komputera. I to nawet wtedy, gdy siedzimy przed ekranem. Wszystko, czego potrzebuje włamywacz, to smartfon z systemem Android i kabel USB. Programy antywirusowe oraz Windows nadzorują porty USB i zgłaszają podłączenie przez nie nowych urządzeń. Nie bez powodu – pendrive może zawierać szkodliwe oprogramowanie. Ale jeżeli podłączymy klawiaturę USB, nie nastąpi sprawdzanie, ponieważ klawiatury nie szmuglują groźnych aplikacji. Taki stan rzeczy wykorzysta haker. Najpierw zainstaluje on w swoim smartfonie aplikację Emulator, która zasugeruje Windows, że właśnie podłączone urządzenie to nie telefon komórkowy, lecz klawiatura. Co więcej, aplikacja automatycznie wysyła polecenia sterujące do komputera, które udostępniają hakerowi ukryte połączenie – backdoor.

Share and Enjoy:
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • Śledzik
  • Blip
  • Blogger.com
  • Gadu-Gadu Live
  • LinkedIn
  • MySpace
  • Wykop

Zostaw komentarz

XHTML: Możesz użyć następujących tagów: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>