Преди да поискаш, помисли какво си дал.

Мрежова и интернет защита на Windows/XP/2003:

 

Всекидневно по security порталите излизат новини за уязвимости и дупки в продуктите на Microsoft и най-вече в тяхната операционна система Windows. Освен че е една от най-несигурните операционни системи, нейното масово използване я прави апетитна хапка за хакерите. Начинаещите потребители, току що закупили компютър с инсталиран Windows, тепърва навлизащи в дебрите на интернет, са най-лесната плячка за недоброжелатели. Настоящата статия е ориентирана предимно към домашните потребители с интернет достъп през локална мрежа (LAN). Предстои ни да направим Windows значително по-сигурен. Ще забраним опасните услуги (services) и рисковите протоколи и ще настроим и туийкнем (tweak) опциите, касаещи сигурността. Ще филтрираме всички отворени портове и ще спрем ненужните възможности, предлагани от Windows, пряко касаещи мрежовата безопасност. Като приключим с всичко, PC-то ви ще стане крепост. Тук обаче, някои веднага ще кажат, че всеки сносен firewall може да защитава системата, без да е необходимо от наша страна да се занимаваме с настройване на Windows-a. Така е, огнената стена ни защитава от външни посегателства и стелтва (скрива) отворените портове, но това което ще направим ние ще ви подсигури на още по-високо ниво, така че и без намесата на firewall, портовете ще са затворени, а почти всички възможности за отдалечен достъп (повечето вградени в Windows под формата на сервизи и протоколи) ще бъдат спрени. По този начин ако някой си постави за цел да ви хаква, ще трябва първо да пробие firewall-a (който предполагам имате инсталиран, а ако нямате ще си сложите) и след това да намери необходимата му пролука за достъп до системата. Много по-трудно ще я намери ако сте изпълнили указанията от тази статия (важат само за Windows 2000/XP/2003).

Update-ване на Windows
Ако все още не сте си ъпдейтнали ОС-а, по-добре го направете при първа възможност. Изтеглете си последния сервизен пакет (Service Pack), за притежаваната от вас версия на Windows, и го инсталирайте. В момента, за Windows 2000 последния излязъл сервизен пакет е SP4 (Service Pack 4). За Windows XP - SP3, а за Windows 2003 е все още неокончателна версия. След като си сложите SP-то, трябва да запушите останалите дупки в сигурносттна, за които Microsoft са пуснали отделни пачове. Отидете на windowsupdate (с IE7 или по нов) и си инсталирайте всички update-и, които ще ви излязат в списъка. Ако връзката ви към чужбина е бавна, по-добре се въоръжете с време докато всичко се изтегли и инсталира.

Затваряне на отворените портове Комуникацията между отделните компютри, свързани към вътрешна LAN мрежа и/или към глобалната информационна мрежа Интернет, се извършва посредством портове (не ги бъркайте с хардуерните портове). Образно казано те представляват виртуални вратички, през които преминава информацията. Всеки порт си има номер, а повечето си имат и име. Всеки компютър, свързан в мрежа, има някакви отворени портове. Но повечето клиентски PC-та не са настроени и имат множество ненужно отворени портове, които не се използват и могат единствено да навредят, оставяйки вратички в сигурността. За да ги затворите, отворете Start > Settings > Control Panel > Network Connections > Local Area Network > Properties > Internet Protocol (TCP/IP) > Advanced > Options > Properties. В появилия се прозорец сложете отметка пред Enable TCP/IP Filtering (All adapters) и щракнете върху радиобутоните Permit Only за TCP Ports и за IP Protocols, без да добавяте нищо от бутоните Add.... UDP портовете не ги пипайте, при тях положението е малко по-различно, затова нека там си стои на Permit All.

Дайте OK на всички отворени прозорци. С това, вие ще филтрирате почти всички портове, без това да повлияе на приложенията, които ги използват. Например това, че от бутона Add... не сте добавили 5190 порт в разрешените TCP портове, по никакъв начин няма да повлияе на функционалността на ICQ. При някои компютърни конфигурации, обаче, TCP/IP филтрирането може да доведе до проблеми, като изчезване на интернета или невъзможност за мрежова комуникация на някои програми. Ако забележите някакви проблеми, по-добре го изключете.

Спиране на Guest акаунта.
Това е специален, системен акаунт, който не може да се изтрива или променя по "обичайния" начин, единствено може да се забрани. Този акаунт би могъл да се използва от зложелатели за анонимен достъп до системата, затова трябва да го спрете от Control Panel > User Accounts, щракнете върху Guest и после натиснете върху Turn off the guest account. В професионалните и корпоративните версии на Windows, по подразбиране е спрян.

Изключване на Remote Assistance и Remote Desktop
Две от най-съществените пролуки са именно тези. Ако Windows-a ви не е ъпдейтнат или е зле настроен, те лесно могат да се експлойтват, осигурявайки отдалечен достъп без почти никакви ограничения. А дори и да сте го ъпдейтнали, пак е добре да ги спрете. Дайте десен бутон върху My Computer > Properties > Remote или просто натиснете Window+Pause/Break. Махнете отметките пред Allow Remote Assistance invitations to be sent from this computer и Allow users to connect remotely to this computer.

Спиране на NetBIOS
В повечето мрежи не се използва NetBIOS, така че няма да е зле да го спрем, а ако в резултат на това ви изчезне интернета, просто го пуснете отново. За да го изключите, отворете Control Panel > Network Connections > Local Area Network > Properties > Internet Protocol (TCP/IP) > Properties > Advanced. Натиснете върху раздела WINS, махнете отметката пред Enable LMHOSTS lookup и чукнете радиобутона Disable NetBIOS over TCP/IP.

Спиране на шеринга (sharing)
Както знаем, Windows предлага възможности за споделяне на папки и устройства (локални дискове, принтери, скенери...) наречено sharing. Това обаче крие и доста рискове, най-съществения от които е наличието на така наречените administrative shares при професионалните, корпоративните и сървърните версии на Windows (в Windows XP Home Edition, например, няма administrative shares и ако карате с него, спокойно можете да прескочите тази точка). Те осигуряват достъп за администриране на системата, но могат да се използват и за неоторизиран достъп или да се експлойтват от интернет вируси. Повечето от административните шервания се премахват и без спирането на шеринга, но IPC$ не може да се премахне по друг начин, освен цялостното спиране на sharing протокола, което от своя страна ще ви лиши от споделените ресурси на LAN-a, но в случая целта оправдава средствата, затова ще е по-добре да спрем протокола за споделяне. Ако пък толкова искате да имате достъп до поделените ресурси на LAN мрежата, просто прескочете тази стъпка. И така, за да спрете шеринга, отидете на Start > Settings > Control Panel > Network Connections > Local Area Network > Properties. Махнете отметката пред проткола File and Printer Sharing for Microsoft Networks.

Това ще забрани каквото и да било шерване, в това число и административните подялби, но без IPC$. След това отидете на Control Panel > Administrative Tools > Services или просто напишете services.msc в Run. Ще се отвори services мениджъра.

Двоен клик върху сервиза с име Server и в появилия се диалогов прозорец, от падащото меню Startup Type, изберете Disabled. Това генерално ще спре sharing възможностите на Windows. IPC$-то също ще бъде спряно. Важно да уточня, че след като спрете Server, това автоматично ще доведе до спиране и на услугата Computer Browser, но това не трябва да ви притеснява, тъй като тази услуга няма нищо общо с Internet Explorer или някой друг браузър. Предназначението й е съвсем друго.

Спиране на потенциално опасните услуги и tweak-ване на опциите, касаещи сигурността
За целта ще използваме безплатната програма Safe XP. Тя няма нужда от инсталация, просто я разархивирайте някъде и стартирайте exe-то. Настройте всичко, както е на картинката и не пипайте нищо друго (освен ако не сте сигурни в действията си) и натиснете Apply.

Забележка: Ако сте прескочили предишната точка с цел да не се лишавате от шернатите мрежови ресурси, но в същото време не желаете някой друг да има достъп до шернати ресурси на вашата машина, настройте всичко както е показано на картинката. Но ако държите и вие да можете да споделяте ресурси, така че другите да имат достъп до тях, не слагайте отметка пред No File Sharing, а ако смятате да шервате и принтера си (ако имате такъв), не слагайте отметка и пред No Printer Sharing.

С натискането на бутона Apply, вие ще спрете ненужните за домашния потребител и в същото време опасни сервизи, които иначе и ръчно бихте могли да забраните, но така е по-лесно. Също така ще се променят някои записи в регистрите, част от които осигуряващи ви по-голяма анонимност и безопасност, други - намаляващи риска от някои специфични видове атаки, а трети са за чисто удобство. С това значително ще се повиши сигурността. Рестартирайте и внимателно наблюдавайте поведението на антивирусната програма и firewall-a (или на security пакета ако сте с такъв), и ако започнат да се държат необичайно и да дават грешки или възникнат някакви проблеми, например компютъра започне да се рестартира без предупреждение, знайте че най-вероятната причина за всичко е сервиз с име DCOM, който в момента е изключен, а вие трябва да го включите. Имайте предвид, обаче, че ако системата ви не е ъпдейтната, както е описано в началото, включването на DCOM услугата ще ви направи изключително уязвими. След като я пуснете, веднага трябва да си update-нете Уиндоуса. Включването на DCOM може да се осъществи по аналогичен начин чрез Safe XP, но ние ще го направим по "трудния" начин за да свиквате да работите с административните инструменти: Control Panel > Administrative Tools > Component Services. В левия панел изберете Component Services, а след това от toolbar-a горе, натиснете последния бутон Configure My Computer.

Ще се появи диалогов прозорец, в който трябва да щракнете на Default Properties и ако няма отметка пред Enable Distributed COM on this computer, трябва да я сложите. След това от левия панел изберете Services и проверете дали DCOM-a e disable-нат и ако е, щракнете два пъти върху него и в появилия се диалогов прозорец, от падащото меню Startup type изберете Automatic, след което натиснете бутона Start и накрая дайте OK.

Предпазване от атаки, свързани с препълване на буфера
(buffer overflow)
.
Ако сте с Windows XP и имате инсталиран SP3, можете на софтуерно ниво да предотвратите този тип атаки. Казвам "софтуерно", защото съществува начин, за предпазване и на хардуерно ниво, реализиран от AMD и техните 64 битови процесори. Но едва ли някой от вас притежава такъв процесор, затова ще разгледаме софтуерната защита от тази атака. Data Execution Prevention (DEP) е нова технология, за сега включена единствено с SP3 за Windows XP. Тя не може да се изключва, но по подразбиране е включена само за определени системни приложения и сервизи. Ние ще я понатегнем малко, като от My Computer > Properties > Advanced > Performance > Settings > Data Execution Prevention изберете Turn on DEP for all programs and services except those I select.

Инсталиране на антивирусна програма и защитна стена (firewall)
Ако все още не сте го направили, сега е момента. След всичко, което направихме до тук, нека окончателно затворим пътищата за натрапниците. Изберете си някой известен и отвърден антивирус и firewall (а може и направо някой секюрити пакет с интегрирани в него антивирус, огнена стена и в повечето случаи и други допълнителни модули) и задължително ги настройте. Ако не сте много наясно какво правите, по-добре извикайте някой приятел да свърши тази работа. И не забравяйте да ги ъпдейтвате редовно, това е златно правило. Моето лично предпочитание за антивирус е NOD32, а за файъруол - Sygate. И при двата продукта, съотношението лекота - възможности е на много добро ниво.

Полезни съвети
Ако рядко инсталирате нов софтуер, не се логвайте през администраторски акаунт. Създайте си един ограничен акаунт, който ще използвате за ежедневната си работа.
Задължително сложете различни и трудни за отгатване пароли на всички досегашни акаунти и на всеки нов, който решите да създадете (ако вече не сте го направили).
В директорията Administrative Tools всъщност не са всички административни инструменти, с които разполага Windows. За да се възпозлвате от всички тях, потърсете за *.msc и на липсващите в папката Administrative Tools административни инструменти им направете шорткъти пак там и след това ако желаете ги преименувайте с пълните им имена.
Инсталирайте си anti-spyware програма, даже няколко такива, особено ако основния браузър, който използвате е Internet Explorer или базиран на него.
Когато ви се наложи да се отдалечите за известно време от компютъра, но не бихте желали някой друг да го пипа, не е нужно да го изключвате, просто натиснете Window+L за да го "заключите", след което няма да може да се върши нищо на него, докато не се "отключи", като се въведе паролата за текущия активен акаунт.
Отвреме навреме сканирайте машината си с някой мрежов секюрити скенер, но имайте предвид, че ако един или повече портове не са затворени, а само стелтнати с помощта на firewall, сканирайки машината си, ще установите че въпросните порти са широко отворени и изобщо не са стелтнати, при което ще си извадите заключение, че файъруола не работи или не е настроен, което в повечето случаи не е вярно. Просто той вижда, че заявката идва от собствения ви компютър и затова показва реалното състояние, в което се намира PC-то ви, в частност и портовете. Решението е да помолите някой от мрежата да ви сканира или ако сте с реално IP да използвате някоя online услуга за сканиране.

Други полезни програми (освен Safe XP)
Кой не знае HijackThis, кой не е чувал за него! Това е най-известния и добър инструмент за борба с hijack гадини, adware, spyware, вируси и т.н. Най-хубавото е, че той не работи с дефиниции и е практически универсален. Ако до сега не сте работили с него, задължително прегледайте help-a, защото в противен случай, веростността да омажете системата е много голяма.
TaskInfo е мениджър на активните процеси, подобно на Windows-кия Task Manager, но значително по-удобен и функционален. По-добър от него едва ли ще намерите. Аз, поне, търсих и не намерих.
Absolute StartUp е един изключително успешен startup мениджър. Просто го опитайте и ще останете очаровани! Притежава красив интерфейс и множество функции, някои от които са: черна листа с множество вируси и adware/spyware приложения; wizard за оптимизиране на стартирането, премахвайки излишните приложения; търсене с Google за избран от вас запис; дори има монитор за следене на своевременното добавяне на atartup записи в регистъра.
Някои от най-известните мрежови скенери са GFI LANguard N.S.S., XSpider, SuperScan, Retina Network Security Scanner, Shadow Security Scanner.
xp-AntiSpy е подобна на Safe XP, но със значително по-малко функции. Все пак ще е добре да я видите, за да свиквате да работите с подобен тип програми.

Заключение
Почти без да ограничаваме функционално Windows, ние се погрижихме за сигурността. Сега вече можете да се чувствате спокойни и уверени докато сте в интернет. Видяхме че с минимални усилия, може да се постигне максимален резултат. А ако всичко до сега изобщо не ви изглежда малко, нито усилията ви са били минимални - не се безспокойте, с малко тренировки ще му свикнете и в един момент ще ви стане лесно и приятно да "бърникъте" по Windows-a.