Несмотря на то, что операционная система Microsoft Windows Vista уже довольно долго находится на рынке и ее можно легко приобрести, большинство организаций по-прежнему используют проверенную временем Windows XP.
Они делают ставку на стабильность и привычку. С другой стороны, сторонники XP не могут ощутить преимущества новых особенностей Vista в области информационной защиты, в частности, усовершенствованный контроль пользовательского доступа. Однако существует ряд мер, проведение которых поможет владельцам Windows XP улучшить безопасность системы.
Большинство нижеприведенных советов предполагают наличие версии Windows XP Professional (хотя многие из них справедливы и для Home Edition), а также то, что система не подключена к домену или же является членом небольшой рабочей группы. Несмотря на то, что существуют множества различных рекомендаций по усовершенствованию защиты Windows XP, эти 14 являются наиболее эффективными.
Совет 1: Задайте пароль
Установка Windows XP не требует назначения паролей. Это значит, что при создании начальной учетной записи с правом полного доступа не нужно задавать для нее пароль. Это исключение из правил. Даже будучи легко уязвимыми для взлома или кражи, пароли по-прежнему остаются самым распространенным защитным механизмом. Настоятельно рекомендуется снабжать надежным паролем (комбинацией из семи или более символов верхнего и нижнего регистра и цифр) каждую создаваемую учетную запись.
Подключенные к домену клиенты могут сменить пароль, который также является местным (для входа в систему), нажав Ctrl-Alt-Delete и выбрав пункт меню «Изменение пароля» (Change Password).
Для того чтобы назначить пароль для не присоединенной к домену машине:
1...Зайдите в меню «Пуск», пункт «Панель управления» (Start | Control Panel). 2...Выберите компонент «Учетные записи пользователей» (User Accounts). Откроется соответствующий экран.
Учетные записи пользователей Windows XP
3...Щелкните на пиктограмме учетной записи, для которой требуется задать или сменить пароль.
Что вы хотите изменить в своей учетной записи?
4...В открывшемся окне выберите команду «Создание пароля» (Create a password). Если пароль уже задан, опция будет выглядеть как «Изменение пароля» (Change my password).
5...В открывшемся диалоговом окне введите пароль для выбранной учетной записи. По желанию можно снабдить пароль вспомогательной фразой-подсказкой, однако для более надежной безопасности этого делать не рекомендуется. Администратору для смены пароля потребуется подтвердить текущий.
6...Нажмите на кнопке «Создать пароль» (Create Password) или «Изменить пароль» (Change Password) в том случае, если он уже был задан.
Для назначения пароля и вспомогательной фразы-подсказки:
7...Система спросит, не желаете ли вы скрыть свои файлы от других пользователей. Windows XP поддерживает возможность предоставления доступа к информации администратору и рядовым пользователям. Если вы желаете дать доступ только пользователям с правами администратора, нажмите на кнопке «Да, сделать их личными» (Yes, Make Private).
Хотите сделать свои файлы и папки личными? (Do you want to make your files inaccessible to limited accounts?)
Совет 2: Не пользуйтесь учетной записью администратора без необходимости
Профиль администратора – ключ от всех замков системы. Ошибки, допущенные пользователем при работе с этой учетной записью, могут стать причиной самых неприятных последствий. К примеру, при просмотре различных веб-сайтов, вредоносные шпионские программы в виду отсутствия барьеров могут легко влезть в систему.
Для предотвращения или минимизации попыток нанесения урона системе самоинсталирущимися "drive by"-программами, а также сокращения вреда от действий различных вирусов, рекомендуется выполнять повседневную работу под учетной записью, не обладающей правами администратора. Использовать последнюю следует только для установки нового программного обеспечения либо для выполнения специфических операций.
Совет 3: Регулярно обновляйте защитный софт или используйте службу Автоматических обновлений (Automatic Update).
В современной компьютерной онлайн-среде наиболее эффективным методом в борьбе с перебоями работы приложений и «0-дневными» эксплойтами (zero-day exploits) на сегодняшний день является использование патчей (заплаток). Существует несколько способов постоянного их обновления. Наиболее простой – использование службы Автоматических обновлений (Automatic Updates).Для того чтобы проверить статус службы:
1...Зайдите в меню «Пуск», пункт «Панель управления» (Start | Control Panel). 2...Выберите компонент «Центр обеспечения безопасности» (Security Center). 3...Убедитесь в том, что для опции «Автоматическое обновление» (Automatic Updates) установлено значение «Включено» (On).
Центр обеспечения безопасности Windows XP (Security Center).
В обратном случае нажмите на кнопку «Включить автоматическое обновление» (Turn on Automatic Updates). Помимо активирования можно настроить значения параметров службы. В нижней части экрана Центра обеспечения безопасности на панели Настройки параметров безопасности (Manage security settings for) выберите пункт «Автоматическое обновление» (Automatic Updates). Откроется соответствующее диалоговое окно.
Окно конфигурации службы Автоматических обновлений (Automatic Updates).
Здесь можно изменить настройки службы, установленные по умолчанию. Изначально для параметра инсталляции обновлений задано (и рекомендовано) значение «Автоматически» (Automatic). Можно задать частоту обновлений: ежедневно или еженедельно (каждое воскресенье, каждый понедельник и т.д.). Можно также выбрать время суток, в которое будет происходить процесс обновления (по умолчанию 3:00). Большинство пользователей это устраивает, поскольку процедура проходит ночью, не мешая работе.
Другие опции:
• «Загружать обновления; пользователь назначит время установки» (Download the updates, but install them manually). • «Уведомлять, но не загружать и не устанавливать их автоматически» (Don't download any updates, but notify the user when new updates are available for download). • «Отключить автоматическое обновление» (Turn off Automatic Updates). Категорически не рекомендуется.
По завершению нажмите OK. Учтите, что все обновления от Microsoft доступны только пользователям, установившим Service Pack 2.
Совет 4: Установите утилиту Windows Defender (русское название «Защитник Windows») или другую программу для защиты системы от шпионского ПО.
Программа Windows Defender весьма хороша, хотя бы потому, что она бесплатна. Утилита входит в стандартный набор компонентов системы Windows Vista, однако компания Microsoft предоставила ее для скачивания и владельцам Windows XP. Разумеется, программа не так эффективна, как многие антивирусные приложения, однако поскольку она является бесплатной, стоит уделить ей немного внимания.
После скачивания Defender и подтверждения копии Windows, пользователю будет предложено на выбор несколько вариантов установки. Сперва следует решить, каким способом утилита должна получать обновления и что именно делать с особо вредоносным программным обеспечением.
Каким образом будет работать Windows Defender?
На выбор даны два типа работы утилиты:
• Использование рекомендованных значений параметров настроек (Use recommended settings): при этом происходит подключение к SpyNet (позже) в качестве рядового пользователя и программа автоматически удаляет наиболее опасное ПО при обнаружении такового в системе. В дальнейшем новые определения автоматически будут добавляться в базу данных Defender. Это наиболее эффективный метод работы утилиты. SpyNet представляет собой сообщество, отслеживающее типы действий, применяемых по отношению к тому или иному виду вредоносных программ. Таким образом, пользователям предоставляются опробованные другими людьми способы борьбы с вирусами. Однако при этом нельзя избежать отправления части персональных данных в Microsoft. Поэтому прежде чем активировать данную опцию, убедитесь, что это не противоречит политике безопасности вашей организации.
• Только установка новых определений (Install definition updates only): как это следует из названия, при выборе данной опции происходит лишь автоматическая установка новых определений. Это необходимо для работы утилиты по минимуму.
• Есть возможность отказаться от выбора и сделать его позже.
Как только решение будет принято, Мастер установки завершит инсталляцию Windows Defender, и произойдет запуск программы. Утилита проведет поиск на наличие обновление и произведет быструю проверку системы. На этом и последующим скриншоте видно, как выглядит экран Defender при первоначальном запуске.
При первичной установке программа выполнит поиск последних обновлений и определений.
Результаты проверки системы на наличие вредоносного ПО.
Если программ-шпионов не обнаружено, полоска-индикатор будет выкрашена в зеленый цвет.
Для максимальной защиты от вредоносного ПО, независимо от типа используемой программы защиты, настоятельно рекомендуется включать процедуру отслеживания в реальном времени (также, как и в антивирусных приложениях). Эта профилактическая проверка предназначена для обнаружения шпионских программ перед тем, как они начнут заражать систему. В меню Defender, перейдите к меню Tools и выберите в нем пункт Options. Прокрутите список опций до середины и убедитесь в том, что параметр Use-real-time protection и все агенты защиты отмечены галочкой.
Даже при использовании Defender или любого приложения для сканирования, рекомендуется время от времени применять другую утилиту, например SpyBot, с целью убедиться, что ни одна шпионская программа не проникла в систему.
Активирование всех агентов мониторинга системы реальном времени.
Совет 5: Установите антивирусное ПО.
Несмотря на то, что в последнее время шпионские программы отвлекают на себя часть внимания от проблемы вирусов, последние традиционно представляют наибольшую угрозу. Поэтому необходимо иметь хорошее приложение-антивирус. Если вы не используете Defender для обнаружения шпионского ПО, поищите продукт, предназначенный для борьбы с обоими типами вредоносных программ.
Совет 6: Используйте программные и аппаратные брандмауэры сторонних производителей.
С выпуском XP SP2, компания Microsoft начала внедрение значительно усовершенствованного по сравнению с прошлыми версиями программного брандмауэра. Однако как средство качественной защиты системы он по-прежнему проигрывает соответствующим приложениям от сторонних производителей. Системный брандмауэр Windows XP отслеживает весь исходящий с компьютера трафик. Тем не менее, он не способен блокировать проблемные участки кода сетевого трафика.
Наряду с программным рекомендуется использовать также и аппаратный брандмауэр. Большинство корпоративных сетей имеют такое средство защиты, но даже членам небольших сетей и пользователям-одиночкам следует приобрести брандмауэр Linksys, обеспечивающий многоуровневую защиту от внешних атак.
Step 7: Выключите учетную запись «Гость» (Guest)
По умолчанию при установке Windows XP SP2 учетная запись с минимальным уровнем доступа «Гость» (Guest) отключена. Для того чтобы в этом убедиться:
1...Нажмите на кнопку «Пуск» (Start). 2...Щелкните правой кнопкой на ярлыке «Мой компьютер» (My Computer) и в развернувшемся меню выберите пункт «Управление» (Manage). 3...В открывшемся диалоговом окне «Управление компьютером» (Computer Management) перейдите к вкладке «Локальные пользователи и группы» и затем выберите «Пользователи» (Local Users and Groups | Users). 4...Убедитесь, что учетная запись «Гость» помечена красным крестиком.
Красный крестик рядом с именем учетной записи «Гость» (Guest) символизирует о том, что она выключена.
5...В обратном случае, дважды щелкните на имени записи. 6...В диалоговом окне «Свойства» (Properties) учетной записи «Гость» (Guest) отметьте параметр «Отключить учетную запись» (Account is disabled). 7...Нажмите OK.
Учетная запись отключена.
Совет 8: Отключите использование простого общего доступа к файлам (Simple File Sharing)
Windows XP разработана для удовлетворения нужд при работе дома и в офисе. То есть, этот продукт является универсальным. Для облегчения процесса доступа к информации в Windows XP разработчики ввели опцию Простого общего доступа к файлам (Simple File Sharing). Однако система устроена таким образом, что с помощью этого параметра доступ получают все или никто. Для лучшей защиты рекомендуется отключить Использование простого общего доступа и пользоваться методом системы, заданным по умолчанию, который состоит в том, что пользователь в каждом отдельном случае самостоятельно устанавливает уровень доступа.
1...Зайдите в меню «Пуск», пункт «Панель управления», «Свойства папки» (Start | Control Panel | Folder Options). 2...В открывшемся диалоговом окне выберите вкладку «Вид» (View).
Окно «Свойства папки» (Folder Options).
3...Прокрутите список дополнительных параметров до низу. 4...Уберите отметку с параметра «Использование простого общего доступа» (Use simple file sharing). 5...Нажмите OK. 6...Отныне вы можете самостоятельно решать, кому и для чего именно предоставлять доступ.
Совет 9: Отключите ненужные службы.
Каждая служба Windows XP выполняет определенные функции. Однако далеко не все из них необходимы для работы. Каждая запущенная служба увеличивает вероятность атаки системы. Короче говоря, код любой ненужной пользователю службы содержит уязвимые для взлома участки. Поэтому следует их отключить.
Совет 10: Обновите браузер Internet Explorer до 7 версии.
Internet Explorer традиционно считается самым ненадежным в плане безопасности браузером. В 7 версии разработчики попытались исправить некоторые его недостатки. IE 7 доступен для скачивания как через службу Автоматических обновлений (Automatic Updates), так и на сайте Microsoft. В браузере предусмотрены следующие особенности, призванные улучшить систему безопасности:
• Фильтр «фишинга» (phishing filter): помогает предотвращать случайную утечку персональных данных. При заходе на фишинг-сайт, адресная строка IE7 подсвечивается красным, и браузер уведомляет пользователя, что данная веб-страница является фишинг-сайтом.
Этот страница относится к фишинг-сайтам и может нанести вред вашему компьютеру
• Междоменные барьеры: IE7 способствует предотвращению взаимодействию программного кода с содержимым веб-страниц, обеспечивая пользователя более надежной защитой от шпионского ПО.
• Визуальные подсказки: помимо упомянутого выше фишинг-фильтра встроена зеленая подсветка адресной строки, сигнализирующая о том, что просматриваемый сайт надежно защищен.
Действие расширенного сертификата подтверждения пользования (Extended Validation) в IE 7.
Это лишь малая часть значительных усовершенствований, найденных в новой версии IE. Если вы еще не установили ее, сделайте это как можно скорее.
Совет 11: Шифруйте информацию
Назначение имени и пароля для учетной записи пользователя – хорошее начало проведения мер по защите информации. Однако если компьютер (особенно лэптоп) будет украден, то доступ к необходимым злоумышленникам данным, хранящимся на жестком диске, – вопрос времени. Единственный способ максимально снизить риск – провести шифрование содержимого файлов и папок.
В Windows XP предусмотрена возможность выборочного кодирования файлов и директорий:
1...Щелкните правой кнопкой на папке, содержимое которой требуется зашифровать. 2...В раскрывшемся меню выберите пункт «Свойства» (Properties). 3...На вкладке «Общие» (General) нажмите кнопку «Другие» (Advanced). 4...Отметьте параметр «Шифровать содержимое для защиты данных» (Encrypt contents to secure data). 5...Нажмите OK.
Содержимое этой папки будет зашифровано.
При шифровании какой-либо папки или файла, их названия отображаются зеленым цветом.
Названия зашифрованных папок выделяются зеленым.
По меньшей мере, следует закодировать папку Temp, поскольку в ней временно хранятся копии документов, с которыми работают пользователи.
Шифрование всего диска.
Особо полезной функцией для владельцев лэптопов является шифрование всего диска целиком. И хотя это может негативно сказаться на производительности, в случае наличия на компьютере ценной информации, ее просто нельзя не кодировать. Полнодисковое шифрование означает, что файлы будут защищены независимо от их места нахождения.
Совет 12: Используйте только файловую систему NTFS.
В настоящее время нет никаких причин, по которым следует отказываться от использования NTFS. Файловые системы FAT и FAT32, также поддерживаемые Windows XP, проигрывают ей как в надежности, так и в гибкости. Ни FAT, ни FAT32 не позволяют создавать разделы диска такого же объема, какой может предоставить NTFS. Поэтому настоятельно рекомендуется использовать именно эту файловую систему. Если разделы дисков вашей Windows XP работают с FAT или FAT32, следует переконвертировать их в NTFS.
Для этого в командной строке введите:
convert (drive letter) /fs:ntfs
Совет 13: Переименуйте учетную запись «Администратор» (Administrator)
При установке Windows XP дананя учетная запись создается автоматически. Хакеры могут использовать различные методы получения доступа к функциям администратора, назвав ее как-либо еще, однако пользователи могут значительно усложнить им задачу:
1...Нажмите на кнопку «Пуск» (Start). 2...Щелкните правой кнопкой на значке «Мой компьютер» (My Computer) и выберите пункт меню «Управление» (Manage). 3...В открывшемся диалоговом окне «Управление компьютером» (Computer Management) перейдите к вкладке «Локальные пользователи и группы» и затем выберите «Пользователи» (Local Users and Groups | Users). 4...Щелкните правой кнопкой на учетной записи «Администратор» (Administrator) и в открывшемся меню выберите «Переименовать» (Rename). 5...Введите новое имя для профиля администратора.
Переименование учетной записи «Администратор» (Administrator).
В качестве дополнительной меры защиты можно создать фальшивую учетную запись с именем «Администратор» (Administrator), у которой не будет соответствующих прав доступа. Напомним, что это не остановит злоумышленников, однако добавит им лишней головной боли.
Совет 14: Используйте Групповую политику
Групповая политика предоставляет большой набор средств защиты всех компьютеров вашей организации, управляемых с одной машины. Подробно изучите всю необходимую документацию и используйте эту функцию для улучшения надежности защиты системы. Учебные пособия и прочая информация о Групповой политике доступна на сайте Microsoft Windows Server Group Policy.
Заключение
Следуя этим 14 советам, можно значительно усовершенствовать систему защиты Windows XP от атак.
Автор: Mark Kaelin Источник: blogs.techrepublic.com.com Копирование статьи разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения русскоязычной версии.
