Практика обеспечения безопасности компьютера от внешних вторжений под управлением Windows XP

 

 

 

 

 

 

 

 

 

 

 

 

Введение. 4

Windows XP – оптимизация. 4

NTFS. 4

Службы. 5

Права пользователей (учетные записи). 6

Автозагрузка. 7

Архивирование. 8

Альтернативное ПО. 9

Интернет. 9

Фаервол. 9

Антивирус. 11

Заключение. 12

Приложение. 13

Примеры уязвимостей в приложениях. 13

Словарь. 14

Литература. 15

 

 

 

 

 

 

 

 


 

Введение.

 

Каждый, кто приобрел компьютер сталкивается с различными видами внешних нападений, то как вирусы,  сетевые атаки и многое другое. Как правило, последствия бывают очень печальными так начиная с зависания системы и заканчивая полным уничтожением данных. И в данной работе я постараюсь рассказать о мерах, которые позволят предупредить различные нападения, уделяя большую часть непосредственно практике.

 

 

 

 

Windows XP – оптимизация.

 

Первое на что надо обратить внимание это на настройки самой операционной системы, как показывает практика подавляющее число пользователей ни считает нужным грамотно настраивать систему, полностью полагаясь на специализированное ПО. Ведь именно около 30-40% взлома приходится именно на этот фактор!

 

 

NTFS.

 

Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. Вы понимаете, что она должна быть установлена на файловой системе NTFS, в противном случае все наши старания могут пойти насмарку. Для конвертации дисков (разделов) можно использовать утилиту Convert.

 

Вот ее синтаксис:

 

CONVERT том: /FS:NTFS [/V] [/CvtArea:имя_файла] [/NoSecurity] [/X]

 

где:

 

том — определяет букву диска (с последующим двоеточием) точку подключения или имя тома;

 

/FS:NTFS — конечная файловая система: NTFS;

 

/V — включение режима вывода сообщений;

 

/CVTAREA:имя_файла — указывает непрерывный файл в корневой папке для резервирования места для системных файлов NTFS;

 

/NoSecurity — параметры безопасности для преобразуемых файлов и папок будут доступны для изменения всем;

 

/X — принудительное снятие этого тома (если он был подключен). Все открытые дескрипторы этого тома станут недопустимыми.

 

 

 


Службы.

 

Первым шагом необходимо отключить потенциально опасные и не нужные службы. Я просто приведу список служб, которые нужно в обязательном порядке отключить, службы через которые чаще всего идет взлом подчеркнуты.

 

NetMeeting Remote Desktop Sharing - Разрешает проверенным пользователям получать доступ к рабочему столу Windows, используя NetMeeting.

 

QoS RSVP - Обеспечивает рассылку оповещений в сети и управление локальным трафиком для QoS-программ и управляющих программ.

 

Telnet - Позволяет удаленному пользователю входить в систему и запускать программы, поддерживает различных клиентов TCP/IP Telnet, включая компьютеры с операционными системами UNIX и Windows. Если эта служба остановлена, то удаленный пользователь не сможет запускать программы. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

 

Беспроводная настройка - Предоставляет  автоматическую настройку 802.11 адаптеров

 

Вторичный вход в систему - Позволяет запускать процессы от имени другого пользователя. Если эта служба остановлена, этот тип регистрации пользователя недоступен. Если эта служба отключена, то нельзя запустить другие службы, которые явно зависят от нее.

 

Диспетчер авто-подключений удаленного доступа - Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу.

 

Диспетчер сеанса справки для удаленного рабочего стола - Управляет возможностями Удаленного помощника. После остановки данной службы Удаленный помощник будет недоступен. Перед остановкой службы в окне "Свойства" на вкладке "Зависимости" проверьте зависимости служб .

 

Диспетчер сетевого DDE - Управляет сетевыми общими ресурсами динамического обмена данными (DDE). Если эта служба остановлена, сетевые общие ресурсы DDE не будут доступны. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

 

Обозреватель компьютеров - Обслуживает список компьютеров в сети и выдает его программам по запросу. Если служба остановлена, список не будет создан или обновлен. Если данная служба неразрешена, не удастся запустить любые явно зависимые службы.

 

Оповещатель - Посылает выбранным пользователям и компьютерам административные оповещения. Если служба остановлена, программа, использующая административные оповещения их не получит. Если данная служба неразрешена, не удастся запустить любые явно зависимые службы.

 

Планировщик заданий - Позволяет настраивать расписание автоматического выполнения задач на этом компьютере. Если эта служба остановлена, эти задачи не могут быть запущены в установленное расписанием время. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

 

Сетевой вход в систему - Поддерживает сквозную идентификацию событий входа учетной записи для компьютеров домена.

 

Служба времени Windows - Управляет синхронизацией даты и времени на всех клиентах и серверах в сети. Если эта служба остановлена, синхронизация даты и времени не будет доступна. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

Служба обнаружения SSDP - Включить обнаружение UPnP-устройств в домашней сети.

Служба сообщений - Посылает и получает сообщения, переданные администраторами или службой оповещений. Данная служба не имеет отношения к программа Windows Messenger. Если служба остановлена, оповещение не будет передано. Если данная служба неразрешена, не удастся запустить любые явно зависимые службы.

Совместимость быстрого переключения пользователей - Управление приложениями, которые требуют поддержки в многопользовательской среде.

Удаленный реестр - Позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

Узел универсальных PnP-устройств - Поддерживает универсальные PnP-устройства узла.

 

Права пользователей (учетные записи).

 

Одни из самых распространенных атак на данную систему идет через легко доступные учетные записи (чаще всего “Гость” и “Администратор”).

Поэтому можно дать общие рекомендации:

  1. Режим администратора использовать только в крайних случаях: установка драйверов и различных программ, изменение прав доступа и многое другое.
  2. Создайте учетную запись с правами обычного пользователя (или супер пользователя) и работайте в ней
  3. Удалите все не нужные учетные записи (если вы не уверенны то лучше просто отключить) и оставьте только пользователя “Администратор” и “Гость” – для первого поставить устойчивый пароль, другую запись – отключить.

 

 

 

Сделать все действия можно, выбрав в меню Пуст пункт Выполнить и ввести  lusrmgr.msc.

 

В ХР Home Edition оснастка lusrmgr.msc недоступна, поэтому для работы с пользователями придется использовать net-команды. Но с их помощью отключение производится еще быстрее. Просто в консоли пишем: net user имя_пользователя /active :no

 

 

По умолчанию пользователю не разрешено изменять пункты автозагрузки, останавливать или запускать службы и устанавливать различное ПО. Что убережет вас от неприятностей (заранее создайте 2-3 учетной записи и при неполадках, просто удаляйте эту запись).

 

 

Запрет доступа для анонимных пользователей

Анонимный пользователь может получить доступ к списку пользователей и открытых ресурсов, чтобы это запретить, можно воспользоваться этим ключом.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] "RestrictAnonymous"='1'

 

Автозагрузка.

 

Этой части следует уделять наибольшее внимание, если вы хорошо осведомлены где прописываются программы для автоматической загрузки, то вам уже не страшны 20% атак (трояны, некоторые виды шпионов и сетевых червей).

 

Большинство ссылок на автозагрузку находятся в реестре в следующих ключах:

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

 

Особое внимание следует обратить на эту ветку реестра: [HKEY_CLASSES_ROOT\comfile\shell\open\command] – именно в ней чаше всего прописываются различные черви и “очень хорошие” шпионы, трояны (в значении по умолчанию) . В отличие от вышеописанных параметров здесь категорически не рекомендуется удалять значения параметров! Необходимо просто прописать данное значение (если оно конечно отличается) "%1" %*.

 

 

Как вы видите весьма изнурительно проверять каждый раз все в ручную, поэтому я просто укажу для этих целей программы.

 

Целый комплекс утилит можно найти на сайте http://www.sysinternals.com/ .

Autoruns v6.1 – довольно мощная программа, удаляет или останавливает программы и службы, также можно отключать различные компоненты explorer`a и надстройки к IE. С помощью данной утилиты можно усилить локальную защиту.

Process Explorer v9.0 – необходима для выгрузки приложений, также видит программы, которые были скрыты в диспетчере задач.

 

 

Так же можно порекомендовать:

xp-AntiSpy - небольшая утилита для автоматической настройки различных параметров операционной системы, поможет немного избавится от проблем;

 

ToolbarCop - многие программы хотят быть на виду, и самым удобным местом считаю панель инструментов Internet Explorer-а,

так называемый toolbar. Особенно занозистые toolbar-ы зазывают на порно сайты. Избавиться от них начинающим пользователям довольно трудно.

 

 

 

 

 

 


 

 

Архивирование.

 

Очень часто бывает полезным просто делать резервные копии целых жесткий дисков или разделов, представляете что у вас “полетела” система и вы не можете найти причину, и естественно данные действия окажутся более приемлемые, чем заново все устанавливать.

 

Рекомендую что бы все ваше ПО и сама операционная система находились на одном разделе (диске), хотя конечно из-за скорости бывает весьма не рационально, но это удобно. Все документы лучше хранить на отдельном разделе.

 

Из ПО я могу порекомендовать три одинаковые по назначению программы это Ghost Drive Image и самую мощную из предложенных Trueimage.

Отличительной чертой trueimage является то что он способен создавать скрытые разделы (это поможет вам уберечь данные от вирусов и др.), а также обновлять свои образы, просто дописывая измененную информацию.

 

Так же рекомендуется делать частое архивирование текущих документов. Данную операцию вполне можно проделывать WinRar`ом, но лучше всего подходит программа под названием nnBackup.

 

Так же не рекомендуется отключать службу восстановления системы. Наблюдение следует задать только для диска, где непосредственно установлена система; для остальных лутше отключить.

 

 


Альтернативное ПО.

 

Не для кого уже не секрет что у большинства программ Microsoft с каждым днем обнаруживают все больше и больше уязвимостей (для примера я приведу последние значительные уязвимости в приложении   ). Конечно же и находятся уязвимости и у других продуктов, но они более безобидны (от некорректного отображения информации до зависания).

 

На данный момент относительно надежными и зарекомендовавшими себя программами являются:

 

Браузеры

 

Opera (текущая стабильная версия 8) – довольно быстрый и надежный браузер, но некоторых пользователей иногда не устраивает отображение некоторых сайтов.

 

Mozilla Firefox – высокая надежность и корректно отображает страницы, также блокирует всплывающие окна (чаще всего реклама). А также очень часто обновляется и бесплатен.

 

Почтовые программы

 

Здесь сразу же упомянуть, что не желательно принимать почту через Web-интерфейс почтовой службы, а также программой  Outlook (через него удаленный пользователь может переслать вам программу (вирус, троян...), использовать различные скрипты  и при открытии письма они автоматически запуститься.

 

Поэтому рекомендую использовать

 

The Bat – один из самых распространенных почтовых клиентов, имеет множество дополнительных возможностей, имеется хорошая поддержка локальной сети.

 

Mozilla Thunderbird – отличный бесплатный клиент, довольно прост в обращении.

 

Becky – по оформлению писем превосходит The Bat

 

InScribe – довольно маленький почтовик (размер 1Mb) идеально подойдет для Flash.

 

The Bee – программа вдвое меньше предыдущей, чаше всего распологается на Flash.

 

 

Интернет.

 

После выхода SP2 в Windows`е появился свой фаервол (Брандмауэр), но наедятся на него не приходится (в нем уже обнаружены довольно серьезные уязвимости), хотя в некоторых случаях можно использовать и его. Сейчас Microsoft принимаются меры по созданию своего антивируса, но как показывает практика полагаться в будущем на него не стоит.

 

 

Фаервол.

 

Самым, на мой взгляд, прогрессивным и одним из лучших фаерволов является ViPNet (http://www.infotecs.ru), этот комплекс сертифицирован Гостехкомиссией России и ФАПСИ, но он запрещен почти во всех районных сетях по одной единственной причине – активная защита (атакует нападающих пользователей, перенаправляет трафик атакующего к нему же обратно…). И из-за его использования с вами могут расторгнуть договор. Если таких ограничений не, то пользуйтесь на здоровье.

 

Но мы будет рассматривать Outpost Firewall Pro 2.6.452.5123. Данный фаервол поправку считается одним из самых надежных.

Вот основные функции фаервола вообще: обнаружение и блокировка атак хакеров; предотвращение несанкционированного доступа к данным; скрытие присутствия вашей системы в сети, делая ее невидимой для взломщиков; анализ входящих почтовых сообщений и блокировка потенциально опасных; ведение подробного журнала вcей сетевой активности системы;  предотвращение утечки частной информации с компьютера, контроль приложение и т.д.

 

Не смотря на заявленную производителями легкость, всякий фаервол нуждается в грамотной настройке, в противном случае это может привести к взлому системы или блокировки не желательных портов. Чаще всего именно не осознаное создание блокирующих правил ведет к запрете доступа к сети, и из-за этой причины неопытные пользователи предпочитают иметь дело с более простыми и менее надежными фаерволами.

 

Есть одно не формальное правило: “Лучше все заблокировать, а потом уже разрешать доступ”. Так мы и сделаем.

 

  1. В общих правилах создайте правило, которое блокирует все входящие соединения, но не задавайте правило с высоким приоритетом..
  2. Также создайте там же еще одно правило, которое полностью и с высоким приоритетом блокирует следующие локальные порты TCP:69, UDP:69, TCP:135, UDP:135, UDP:137, TCP 666, UDP 666, TCP 6666, UDP 6666, TCP:4444, UDP:9009, TCP:12345, TCP:54321, TCP:54320, TCP:65000 (описание портов http://www.commodon.com/threat/threat-ports.htm, http://www.pcguru.ru/pcguru-67.html - трояны).
  3. Разрешить локальные исходящие соединения на ваш компьютер, т.е для 127.0.0.1.
  4. В настройках локальной сети добавьте те адреса, где вы будите пользоваться NetBIOS`ом, или просто все отключите (снимите галочки)
  5. Рекомендуется сразу же заблокировать следующие приложения: wmplayer.exe, lsass.exe, hh.exe, winrar.exe и другие, которые не используют активно интернет (Microsoft Office, internet explorer…)
  6. Задать ограниченные правила на процесс svchost – разрешить только исходящие направление, уделенный порт 53 протокол UDP, динамическая фильтрация, также рекомендую в строке удаленный адрес рекомендую установить ваши DNS-сервера.
  7. Дальше строго с типом программ давать ей разрешения.
    Например: для браузера открыть исходящие запросы на удаленные порты:
    TCP 80,21,20,443,8080,8000…
  8. Не рекомендуется вообще разрешать программам полный доступ.

 

 

Рекомендации по настройке модулей:

 

 

Интерактивные элементы.

 

Один из наиболее важных компонентов, он не только блокирует рекламу, но и способен предотвратить заражение вирусом. Поэтому ни когда не пренебрегайте данной возможностью. Для примера можно привести сайт http://www.cracks.am , введите в поиске, например NewLive и закачайте кряк, и вы увидите, что вместе с ним автоматически загружается троян Trojan.DownLoader, о чем нам сигнализирует антивирус DrWeb.

 

Поэтому рекомендуется запретить activex, приложения java, скрытые фреймы, внешние объекты, сценарии VB, activex сценарии и всплывающие окна. Для почты и новостей лучше сразу поставить на все запрет (если конечно вам это нужно). Как правило, при данных настройках некоторые необходимые вам сайты могут не открываться, поэтому рекомендуется записывать их в список исключений.

 

 

Достойным конкурентом данному фаерволу выступает Zone Alarm, Kerio Firewall и др. Белее простым я считаю Kaspersky Anti-Hacker, вполне подойдет для домашнего использования. Крайне не рекомендуется использовать Black Ice.

 

Так же особо следует отметить брандмауэр wipfw (http://wipfw.sourceforge.net/), который очень сходен  с IPFW для FreeBSD, проект пока совсем молодой но очень перспективный, управлениями приложениями, конечно же нет. При своем размере (60Kb) он на ура справляется со своими обязанностями.

 

 

 

 

Антивирус.

 

Раньше считалось, что антивирус (тем более антивирусный сторож (называемый также монитором). Программа постоянно находится в оперативной памяти, осуществляя проверку файлов «на лету», а также обнаруживая проявления вирусной активности. ). Но с течением времени все изменилось, сейчас уже нельзя полностью наедятся отдельно на какой-либо продукт, только совокупность средств и мер способна противостоять агрессору, данные слова подтверждает выше приведенный пример.

 

На данный момент самыми мощными и относительно не требовательные к системным ресурсам считаются такие антивирусы как DrWeb и NOD32.

 

DrWeb – единственный из российских антивирусов, который имеет сертификат обороны РФ. Из своего личного опыта могу сказать, что он в отличие от Kaspersky Antivirus не пропускает трояны запакованные UPX и измененным заголовком, но к сожалению даже он пропускает некоторые вирусы, трояны…

 

 

О практике.

 

При установке DrWeb, можно не устанавливать компонент SpIDer Mail (т.к. все крупные почтовые службы уже проверяют все письма на вирусы), но если вы получаете почту по не стандартным протоколам, то лутше установить.

 

После установки данный антивирус полностью готов к работе и поэтому настраивать его без особой причины нет смысла.

 

Метод обхода.

 

Даже такой мощный антивирус как Dr. Web можно обойти. Самым распространенным и очень эффективным способом скрытия вируса от него является упаковка вируса несколько раз и изменением заголовка файла.

 

Например если вирусную программу обработать UPX`ом и использовать программу Afx!AVSpoffer то ни какой антивирус не отреагирует.

 

 

Заключение.

 

Данные действия вам помогут защититься от внешних атак на 90%. Главное помнить что неправильная настройка ПО может свести все ваши действия на нет. Устанавливать все обновления вовремя. И не используйте подозрительное ПО.

Приложение.

 

 

Примеры уязвимостей в приложениях.

 

 

Обход ограничений в Microsoft IE на Windows XP SP2

Программа: Microsoft IE на Windows XP SP2

 

Опасность: Высокая

 

Описание:

Обнаружено несколько уязвимостей в Microsoft Internet Explorer. Удаленный атакующий может получить полный контроль над уязвимой системой.

 

Удаленный атакующий может создать специальным образом злонамеренную страницу, с помощью которой он сможет загрузить и выполнить произвольный файл на уязвимой системе. Подробности неизвестны.

 

Решение: Решение на данный момент не существует.

 

 

Windows Media Player 9 - Выполнение произвольного кода

 

Описание:

Обнаружено две уязвимости в Windows Media Player. Удаленный атакующий может выполнить произвольный сценарий в контексте зоны безопасности локального компьютера. Удаленный атакующий может определить наличие файла на системе.

 

Уязвимость существует из-за некорректной обработки имен исполнителя, песни и альбома при чтении файлов. Удаленный атакующий может внедрить в файл произвольный HTML сценарий, который будет выполнен в контексте безопасности зоны локального компьютера. Пример:

 

WindowsMediaPlayer.currentMedia.setI temInfo("Artist",'&lt;script&gt;alert("Hello");</'+'script>');

 

Удаленный атакующий может с помощью объекта Windows Media Player ActiveX определить наличие файла на системе.

 


 

Словарь.

 

Службы – важный элемент операционной системы, они обеспечивают функциональность аппаратного и программного обеспечения, заданий и т.д.

 

Реестр – один из основных компонентов операционной системы, хрянящий всю информацию, необходимую для настройки и функционирования системы.

 

Фаервол - это программа которая выступает в качестве посредника в обмене данными межда вами и какой либо сетью (компьютером), он фильтрует весь входящий и исходящий траффик на основе введенных вами настроек тем самым обеспечивая более менее надежную защиту от атак извне .

 

Антивирус – программа, которая обнаруживает вирусы, трояны… и удаляет их.

 


 

 

Литература.

 

 

1. Средства безопасности Windows XP. http://all-win.ru/modules.php?name=Articles&pa=showarticle&articles_id=7

 

2. http://www.sysinternals.com/

 

3. Защита от нападения в сети. www.securitylab.ru

 

 

 

Работа сдавалась в 2004 году. Московский университет: МГПУ.

 

 

Автор: Русинов А.С.