--------------------------------------------------
autor: sektorvxemail: vx_poland@op.pl --------------------------------------------------***********************1) Wstęp2) Co i jak?3) Podsumowanie***********************1) WstępWiele osób twierdzi że Linux jest bezpieczniejszy od popularnego windowsa. Jest to mylna teoria (według mnie) ponieważ wszystko zależy od odpowiedniej konfiguracji systemu oraz od wiedzy administratora. Zaletą windowsa (albo wadą co dla nie których) jest to że windows nie jest open source. Jakiego windowsa wybrać? To pytanie zadaje sobie wielu domowych użytkowników, ja osobiście sądzę że powinien to być Windows oparty o technologie NT, czyli dla domowego użytkownika dla którego ważne są gry, www etc. najlepszy będzie XP.2) Co i jak?-------------------I. PRZED I PO INSTALACJI-------------------Domyślnie system windows instaluje się na dysku c:/, jest to bardzo ważna informacja dla agresora więc powinniśmy instalować system na dysku oznaczonym inną literą, np. n. Kolejna rzecz: powinniśmy używać systemu plików NTFS, jest bezpieczniejszy od FAT, czy FAT32.Co zrobić gdy system zainstalowany jest na partycji FAT?Konwertujemy ją na NTFS.Start => Uruchom => cmd i wpisujesz np. dla dysku n:convert n: /fs:ntfsUtwórz konto z ograniczeniami i korzystaj z niego na co dzień, unikaj pracy z uprawnieniami administratora, chyba że jest to konieczne. Pamiętaj żeby konto gościa było wyłączone. -------------------II. ANTYWIRUS-------------------Pierwszym krokiem do zabezpieczenia naszego Windowsa jest zainstalowanie programu antywirusowego. Wirusy to programy napisane przez bardzo dobrych programistów, najczęściej ich głównym zadaniem (niestety) jest niszczenie, lecz nie zawsze. Jest wiele rodzajów wirusów, są takie które kasują dane, a są i takie które są w stanie skasować BIOS, czy zniszczyć dysk twardy.Przy wyborze antywirusa nie powinniśmy kierować się firmą jaka stworzyła program, ale jego możliwościami (poziom wykrywalności wirusów, makrowirusów, trojanów, robaków etc; obciążenie pamięci; "jakość heurystyki"; aktualizacje online; wydajność skanowania) Osobiście (na dzień dzisiejszy) polecam Kaspersky Anti-Virus, lub NOD32.Warto od czasu do czasu skorzystać z skanerów on-line. -------------------III. FIREWALL-------------------Jest czymś nie zastąpionym, bez niego "surfujemy po sieci z otwartymi drzwiami".Głównym zadaniem firewalla jest wykrywanie i eliminowanie prób włamania do systemu, a także zapobieganie wszelkim atakom typu DoS etc.Jakiego wybrać?Osobiście odradzam korzystania z firewalla dostarczonego nam z SP2. Polecam Agnitum Outpost Firewall, płatny ale jednak jest za co płacić: cały czas ściśle monitoruje ruch sieciowy, chroni naszą prywatność, a jego wielką zaletą są wtyczki które zwiększają jego możliwości.Warto także korzystać ze specjalnych testów które sprawdzają naszego firewalla, testy takie najczęściej możemy znaleźć na stronach producentów tych programów. Korzystnym rozwiązanie jest także stosowanie in-line IDS - jest to ciekawa "generacja" zabezpieczeń, zasada działania podobna jest do działania zwykłego firewalla. Podczas pracy mamy mniej fałszywych alarmów, tak jak to ma miejsce przy zwykłych systemach IDS. In-line IDS blokuje ataki w czasie rzeczywistym. -------------------IV. Dodatkowe programy-------------------Bezpieczeństwa nigdy za wiele.Kolejnym krokiem jest zainstalowanie oprogramowania które wspomoże naszego antywirusa. Możemy do tego celu wykorzystać popularne programy takie jak: Ad-Aware, czy Spy-Bot - które będą usuwały takie śmieci jak np. spyware.Najlepiej stosować obydwa te programy, będą się wzajemnie uzupełniać.Jeśli korzystamy z połączenia telefonicznego powinniśmy używać jakiegoś antydialera, który nie pozwoli na "zagoszczenie" w naszym systemie programu który bez naszego przyzwolenia przekieruje nasze połączenie na np. numer 0-700 (9.99 pln/min), dobrym przykładem antydialera może być program SS Antydialer który na bieżąco monitoruje połączenie modemowe.Czasem warto zainstalować dodatkowy program typu AntyTrojan.Ciekawym programem i godnym polecenia jest WinPatrol, który czuwa nad naszym autostartem, "programami doczepiającymi się do przeglądarki" oraz usługami etc. Warto z niego korzystać bo chyba każdy chce wiedzieć co uruchamia się z jego systemem ;) Oczywiście powinniśmy sprawdzać konfiguracje naszego windowsa za pomocą narzędzia msconfig (start => uruchom => msconfig), zwracając uwagę na zakładkę usługi i uruchamianie. Dobrze jest też używać jakiegoś programu który będzie wskazywał słabe punkty naszego komputera, posłużyć nam do tego może Microsoft Baseline Security Analyzer (MBSA) - dość dobry program który skanując system szuka "dziur" w oprogramowaniu, a gdy takie znajdzie daje użytkownikowi o niej szczegółowe informacje. -------------------V. WINDOWS UPDATE-------------------Musimy pamiętać także o instalacji najnowszych łatek, które udostępnia nam microsoft.Nie możemy tu zapomnieć o instalacji SP2 dla winxp !Najlepiej jest ustawić w windowsie aktualizacje automatyczne - wtedy system będzie się sam aktualizował.Jeśli chcesz bardziej zainteresować się dziurami w systemach microsoftu, czytaj na bieżąco biuletyny bezpieczeństwa microsoftu.-------------------VI. PRZEGLĄDARKA-------------------Przeglądarka WWW. Tu wybór nie jest prosty, niby IE jest daremny, niby FireFox jest najlepszy, Opera...Osobiście polecam FF, chociaż należy pamiętać że na każdej przeglądarce znajduje się sporo błędów, i to że IE jest z microsoftu, nie znaczy wcale że jest złe.Dodatkowo zamiast stosowania systemowego klienta poczty email outlooka expressa powinniśmy korzystać z jego odpowiedników, bezpieczniejszych, np. programu The Bat.-------------------VII. USŁUGI-------------------Niebezpieczne usługi.Kolejnym zadaniem do umocnienia naszej twierdzy jest wyłączenie usług systemowych które są dla nas niebezpieczne, bądź z nich nie korzystamy. Aby to zrobić przejdź do menu Start => Uruchom => wpisz services.msc i naciśnij enter.Poniżej prezentuje usługi które powinniśmy wyłączyć:Aktualizacje automatyczne - WyłączonyClipBook – WyłączonyDDE sieci – WyłączonyDSDM DDE sieci – WyłączonyDzienniki wydajności i alerty – WyłączonyHost uniwersalnego urządzenia Plug and Play – WyłączonyKarta inteligentna – RęcznyKlient śledzenia łączy rozproszonych – RęcznyKompozycje – Automatyczny/Wyłączony (jeżeli nie używasz kompozycji Windows XP)Konfiguracja zerowej sieci bezprzewodowej – Wyłączony //jeśli nie korzystasz z usługi sieci bezprzewodowej. Menedżer przekazywania – RęcznyMenedżer sesji pomocy pulpitu zdalnego – WyłączonyNetMeeting Remote Desktop Sharing – WyłączonyNumer seryjny nośnika przenośnego – WyłączonyPomoc i obsługa techniczna – WyłączonyPomocnik karty inteligentnej – WyłączonyPosłaniec – WyłączonyRejestr zdalny - Wyłączony Zalecane! Zdalni użytkownicy komputera nie będą mogli modyfikować zawartości RejestruKonto z ograniczeniami – WyłączonyUsługa inteligentnego transferu w tle – WyłączonyUsługa indeksowania – WyłączonyUsługa przywracania systemu – Wyłączony Usługi IPSEC – WyłączonyWebClient – WyłączonyZasilacz awaryjny (UPS) – Wyłączony-------------------VIII. Konsola MMC -------------------Windows 2000/XP dysponuje narzędziem umożliwiającym odpowiednie skonfigurowanie danej opcji bez potrzeby modyfikowania rejestru ręcznie, jest to znacznie bezpieczniejsze oraz wygodniejsze. Konsola MMC pełni funkcję interfejsu przystawek służących do zarządzania systemem.Uruchamiamy secpol.msc ( start=> uruchom => secpol.msc) Teraz mamy możliwość np. ustawienia zasad haseł dla wszystkich użytkowników komputera.W zakładce zasady lokalne powinniśmy zmienić nazwy konta administratora i gościa. Powinniśmy ustawić także stan konta gościa na wyłączony żeby ograniczyć dostęp do naszego komputera. Powinieneś także ustawić wymagania jakie musi spełniać hasło tzn. minimalna długość hasła, okres ważności hasła ...Jeśli posiadasz WinXP HE, nie zobaczysz normalnie tych przystawek po wpisaniu w uruchom secpol.msc etc. Ale to nie znaczy ze nie możesz nic więcej zrobić :) Tu z pomocą przychodzi nasz CMD (start => uruchom => cmd).Aby zmienić zasady konta używasz komendy: net accounts z przełącznikami (np.: net accounts /MINPWAGE:5 czyli minimalny okres ważności hasła to 5 dni):FORCELOGOFF:{minuty | NO}] - czas po jakim użytkownik zostanie wylogowanyMINPWLEN: długość - minimalna długość hasła (liczba znaków)MAXPWAGE:{dni | UNLIMITED} - maksymalny okres ważności hasła (liczba sekund)MINPWAGE: dni - minimalny okres ważności hasła (liczba dni)UNIQUEPW: liczba - wymusza tworzenie historii haseł (liczna haseł w historii)DOMAIN - zmiany tyczą domenyPrzystawkę lusrmgr.msc (użytkownicy i grupy lokalne) zastąpi nam polecenie: net localgroup /add [nazwa_grupy] - zostaje założona grupa lokalnanet localgroup /delete [nazwa_grupy] - zostaje usunięta grupaZa pomocą control userpasswords2 (start => uruchom => control userpasswords2) mamy możliwość podziału użytkowników na grupy, przydział uprawnień poszczególnym grupom.Sterować prawami dostępu możemy również z linii poleceń przy użyciu narzędzi CACLS.EXEAD. WINXP HEZainstalowanie dodatkowego modułu konsoli zarządzania MMC: Microsoft Security Manager for NT 4 Service Pack 4, powinno rozwiązać twoje problemy ;)-------------------IX. REJESTR-------------------Serce systemu, pierwsza rzecz o której musisz pamiętać to robienie regularnych kopii rejestru. Natychmiast powinieneś wyłączyć usługę rejestr zdalny. Ponad to powinieneś być ostrożny przy korzystaniu z programów oczyszczających rejestr, możesz także skorzystać z programów monitorujących i powiadamiających cię o zmianie w rejestrze. -------------------X. ROOTKIT-------------------To kolejne zagrożenie dla naszego windowsa, jedno z gorszych z tego względu że trudno je wykryć, a jeszcze trudniej usunąć.Rootkit narzędzie dzięki któremu włamywacz będzie miał zawsze kontrole nad naszym systemem, służy do ukrywania podejrzanych plików i procesów, umożliwia zdalne logowanie do systemu, służy jako keylogger.Najgorszym typem rootkitów to te działające w trybie rdzenia. Rootkity usuwają się z listy aktywnych procesów i serwisów jądra. Tego typu rootkit'y są praktycznie nie do wykrycia.Do wykrycia w systemie rootkit'a mogą nam pomóc programy: RootkitRevealer, RKDetector oraz Strider Ghostbuster. -------------------XI. KOPIA BEZPIECZEŃSTWA-------------------Gdy nasz system zaczyna działać niestabilnie, kopia bezpieczeństwa może go uratować. Wystarczy tylko cofnąć komputer do stanu z przed kilku dni i powinno być po kłopocie.W windowsie wbudowane jest narzędzie przywracanie systemu, dzięki któremu w danym dniu możemy ustawić punkt przywracania.W celu zapewnienia bezpieczeństwa danym znajdującym się na komputerze powinniśmy robić kopie zapasowe partycji bądź całego dysku. Możemy do tego używać różnorodnych programów wykonujących obraz partycji, który potem możemy zgrać np. na płytę dvd. Przykładem takiego programu może być np. Drive Image, czy Norton Ghost.-------------------XII. MENEDŻER ZADAŃ-------------------Pomocne narzędzie dzięki któremu możemy zobaczyć jakie programy aktualnie są uruchomione (jednak nawet przy ich wyłączeniu po ponownym uruchomieniu komputera są one znów aktywne, w tedy wykorzystujemy wspomniane już msconfig). Menedżer zadań wywołujemy za pomocą kombinacji klawiszy Ctrl+Alt+DeleteW menedżerze zadań, w zakładce procesy widzimy procesy jakie działają w naszym systemie operacyjnym , wiele z nich to procesy bardzo potrzebne do stabilnej pracy naszego komputera, ich wyłączenie może przynieść nieoczekiwane skutki. Jednak czasem trudno wykryć jakiegoś wirusa czy robaka który rezyduje w pamięci pod nazwą np. svhostt.exe, a że prawdziwy proces svchost.exe obsługuje dużą liczbę usług, w menedżerze urządzeń widzimy wiele jego kopii, i łatwo nie zauważyć "czegoś" o nazwie svhostt.exe. Poniżej wypisane są najważniejsze procesy windows (których nie powinniśmy próbować wyłączać):svchost.exe - wspomniany wyżejalg.exe - proces związany z firewallem i dzieleniem łączaspoolsv.exe - zarządza buforem wydrukusmss.exe - menedżerem sesji, jest niezbędny do stabilnego działania systemucsrss.exe - Client/Server Runtime Server Subsystem - nie powinno się go wyłączaćlsass.exe - zarządzanie regułami dostępu i ochroną użytkownikaservices.exe - zarządza składnikami systemu uruchamianymi przy starcie Windowstaskmgr.exe - Menedżer zadań Windowswinlogon.exe - proces odpowiedzialny za wylogowanie i logowanie się do systemuexplorer.exe - proces odpowiedzialny za nasze okienka ;) nie wyłączaćrundll32.exe - nie wyłączać !proces bezczynności systemu - Jest to wirtualny proces pokazujący wolne zasoby procesora.-------------------XIII. PORADY-------------------Pamiętaj:- nigdy nie odbieraj żadnych plików od nieznajomych!- nigdy nie wyłączaj monitora antywirusowego!- nikomu nie podawaj swoich danych w sieci!- nie uruchamiaj plików nieznanego pochodzenia!- unikaj stron erotycznych na których najszybciej jest złapać wirusa!- wiadomości e-mail czytaj w formie TXT, a nie w formie HTML! - przy logowaniu się do różnych serwisów używaj połączenia szyfrowanego!- stosuj trudne i skomplikowane hasła! -------------------XIV. LINKI-------------------http:/www.win-os.plhttp://www.it-faq.pl/http://www.cc-team.org/http://www.uw-team.org/http://www.vx.xp.pl/http://www.haking.pl/ http://haxite.org/3) PodsumowanieMusimy pamiętać o jednym, nigdy nie jesteśmy bezpieczni w 100%, nie ma zabezpieczeń nie do złamania, na wszystko po prostu potrzeba czasu, zawsze może zdarzyć się tak że w bazach twojego antywirusa zabraknie danych o nowym wirusie który właśnie atakuje twój komputer. **** 22.07.2005 ****
edwzag