16 lutego 2011 17:30
Przedruk: PC World "Pecet: twierdza nie do zdobycia? To możliwe!"
Na bezpieczeństwo komputera ma wpływ wiele różnych czynników. Można je podzielić na kilka głównych grup. Ważny jest system operacyjny, z którego się korzysta oraz sposób jego konfiguracji, bardzo istotne są zainstalowane programy zwiększające odporność peceta na różne ataki, oraz poziom wiedzy i świadomości użytkownika. Wszystkie są tak samo istotne.
Ponadto dbanie o bezpieczeństwo jest procesem ciągłym. Regularnie odkrywane są luki, które trzeba łatać, pojawiają się nowe metody włamań przed którym trzeba się bronić, mnożą wirusy, na których lekarstwo zawarte jest jedynie w najnowszych szczepionkach programów antywirusowych.
Zobacz, jak sprawić, by komputer stał się twierdzą nie do zdobycia.
W dalszych częściach poradnika przybliżymy podstawy prawidłowej konfiguracji komputera, sposoby postępowania oraz wskażemy narzędzia, które są niezbędne do ochrony i takie, które mogą się po prostu przydać. Nie adresujemy tego poradnika do zaawansowanych specjalistów. Ci wiedzą, jak postępować. Zależy nam, by o swoje komputery zadbali przeciętni użytkownicy. To wystarczy, aby ograniczyć pole manewru hakerom, czy utrudnić rozprzestrzenianie się złośliwego oprogramowania. Skorzystają na tym wszyscy.
1. Używaj NTFS-a
Bez NTFS-a nie można prawidłowo zabezpieczyć systemu operacyjnego. Stare systemy plików FAT16 i FAT32 nie pozwalały na to. NTFS jest niezbędny, by można było konfigurować sposób dostępu do danych, kontrolować, co robią inni użytkownicy czy szyfrować pliki. Umożliwia definiowanie praw zapisu i odczytu dla pojedynczych obiektów i jest bardziej odporny na uszkodzenia w razie awarii peceta. W nowych komputerach jest standardem, ale FAT można jeszcze spotkać na starszych maszynach, na których przeprowadzano aktualizacje do nowszych wersji systemu z Windows serii 9x. Jeżeli masz taki pecet, zmień to. System plików możesz przekonwertować w działającym systemie bez obawy o utratę danych. Użyj do tego celu polecenia convert. Pamiętaj, operacja konwersji jest nieodwracalna.
1. Rozwiń menu startowe, wskaż polecenie Wszystkie programy, następnie Akcesoria i wybierz Wiersz polecenia. Wpisz następujące polecenie: convert litera_dysku: /fs:ntfs.
Litera_dysku oznacza dysk, którego format plików zamierzasz zmienić, na przykład convert c: /fs:ntfs i wciśnij [Enter].
Konwersja partycji systemowej na system plików NTFS
2. Jeżeli na konwertowanej partycji znajduje się system operacyjny zostaniesz poinformowany, że operacja zostanie przeprowadzona w trakcie następnego uruchomienia komputera. Zamknij okno komunikatu przyciskiem Tak. W oknie wiersza poleceń wpisz etykietę dysku i potwierdź ją klawiszem [Enter]. Po zakończeniu konwersji zamknij okno wiersza poleceń.
2. Zmień ustawienia wbudowanych kont użytkowników
Zmiana domyślnej nazwy wbudowanych w system kont administratora i gościa
W każdym systemie operacyjnym są domyślne konta użytkowników używane do administracji, czy ograniczonego dostępu. W Windows to konto administratora oraz gościa. W obu przypadkach warto zmienić ich domyślną nazwę, co utrudni dostęp do komputera w drugim całkowicie wyłączyć konto (jest ono domyślnie włączone w Windows XP).
1. Rozwiń menu startowe i wpisz polecenie secpol.msc. Aby można było wprowadzać modyfikacje musisz być zalogowany jako administrator. W edytorze zasad zabezpieczeń lokalnych rozwiń pozycję Zasady lokalne i kliknij grupę Opcje zabezpieczeń.
2. Przewiń listę w prawej części okna i odszukaj na niej pozycję Konta: Zmień nazwę konta administratora. Kliknij ją dwukrotnie. Wpisz nową nazwę dla wbudowanego konta administracyjnego i kliknij przycisk Ok. Zmień również nazwę konta gościa otwierając zasadę Konta: Zmień nazwę konta gościa.
3. Możesz również wyłączyć wyświetlanie kont w konie logowania. Standardowo widoczne są one w Windows XP. W tym celu otwórz zasadę Konta: Stan konta gościa oraz Konta: Stan konta administratora i na karcie Ustawianie zabezpieczeń lokalnych wybierz opcję Wyłączone.
3. Wymagaj Ctrl+Alt+Del
Windows oferuje dwa różne modele logowania do systemu. Może to być okno, w którym użytkownik klika ikonę reprezentującą jego konto i wpisuje hasło bądź tak sposób, w którym aby wywołać okno logowania musi wcisnąć kombinację klawiszy [Ctrl][Alt][Del]. Pierwszy jest ładniejszy i wygodniejszy, drugi bezpieczniejszy. Wciśnięcie przed samym logowaniem wspomnianej kombinacji usuwa z pamięci wszystkie niepożądane aplikacje, które mogły zostać w niej umieszczone dzięki czemu na przykład chroni dane użytkownika przed progami szpiegującymi czy keylogerami.
1. Uruchom edytor zasad zabezpieczeń lokalnych. Rozwiń w tym celu menu startowe i wpisz polecenie secpol.msc. Wciśnij [Enter]. Rozwiń grupę Zasady lokalne i kliknij grupę Opcje zabezpieczeń
2. Kliknij dwukrotnie zasadę Logowanie interakcyjne: nie wymagaj naciśnięcia klawiszy Ctrl+Alt+Del. Zaznacz opcję Włączone i zamknij okno przyciskiem Ok. Aby włączyć tę opcję możesz również skorzystać z narzędzia uruchamianego poleceniem control userpasswords2.
4. Zdefiniuj reguły hasła
Zasady tworzenia haseł
Reguły korzystania z haseł można określić za pomocą edytora zasad zabezpieczeń lokalnych
Hasła użytkownika, bez względu na to do czego mają być stosowane, muszą być trudne do złamania. Dobre hasło powinno zawierać małe i duże litery, cyfry i znaki specjalne. Nie może być łatwe do odgadnięcia i nie powinno występować w żadnym słowniku. Najlepiej, by składało się z losowo wygenerowanych znaków. Powinno składać się przynajmniej z 12 znaków. Aby wygenerować dobre hasło możesz posłużyć się jednym z wielu generatorów. Funkcję tę oferują na przykład takie programy jak Wireless Key Generator, Password Generator, Advanced Password Generator czy KeePass.
Im hasło jest dłuższe i bardziej skomplikowane, tym trudniej je złamać. Nie ma jednak zabezpieczeń idealnych i jeżeli dasz napastnikowi wystarczająco dużo czasu będzie w stanie je odgadnąć. Dlatego należy wprowadzić pewne zasady stosowania haseł. Zdefiniować ich minimalną długość i złożoność, wymusić odpowiednio częste zmienianie i zablokować możliwość wielokrotnego powtarzania tego samego hasła. Odpowiednie opcje możesz włączyć za pomocą edytora zasad zabezpieczeń lokalnych.
1. Uruchom edytor, rozwiń grupę Zasady konta i wybierz Zasady haseł. W prawej części okna wyświetlone zostanie 6 zasad, które odpowiednio zdefiniowane poprawią bezpieczeństwo stosowania haseł wykorzystywanych do logowania do systemu. Na karcie Ustawianie zabezpieczeń lokalnych zaznacz opcję Włączone. Dzięki temu hasła będą musiały być dłuższe niż 6 znaków, nie będą mogły zawierać nawet części nazwy konta użytkownika a także będą musiały składać się z dużych i małych liter, cyfr i znaków specjalnych. Kliknij Ok.
2. Otwórz zasadę o nazwie Maksymalny okres ważności hasła. W pole Hasło wygaśnie za wprowadź liczbę dni po których należy zmienić hasło. Domyślnie umieszczona jest tam wartość 42. Możesz ją skrócić na przykład do miesiąca. Im ważniejsze dane tym częściej należy zmieniać zabezpieczenia ale powoduje to jednocześnie utrudnienie pracy więc uważaj, by nie przesadzić.
3. Zdefiniowanie pierwszej opcji spowoduje ograniczenie stosowania haseł krótszych niż 6 znaków. To jednak nadal zbyt mało. Aktualnie za minimalną bezpieczną długość hasła przyjmuje się 12 znaków. Ustawienie to zdefiniujesz za pomocą opcji Minimalna długość hasła. Parametr Minimalny okres ważności hasła stosowany jest razem z Wymuszaj tworzenie historii haseł. Aby użytkownicy nie mogli podczas zmiany zastosować tego samego hasła zbyt szybko, drugi parametr ustaw na przykład na 20. Minimalny okres ważności określ na przykład na 2 dni (musi być większy niż 0). Dzięki temu nie będzie można od razu przywrócić starego zabezpieczenia zmieniając je wielokrotnie raz, za razem.
5. Blokuj nieupoważniony dostęp do konta
Domyślne czasy blokowania konta i zerowania licznika błędnie wpisanych haseł
Reguły definiujące blokowanie dostępu do konta w przypadku błędnego wpisania hasła
Aby ograniczyć próby łamania hasła logowania za pomocą jego odgadywania warto zablokować dostęp do konta po kilku nieudanych próbach jego wpisania. Jeżeli dla przykładu ktoś wpisze trzecie błędne hasło z kolei, konto przestanie być dostępne przez określony czas i nie będzie można "testować" kolejnych haseł.
1. Uruchom edytor zasad zabezpieczeń lokalnych. Rozwiń kategorię Zasady konta i kliknij Zasady blokady konta. Zacznij od określenia liczby błędnie wpisanych haseł. Kliknij dwukrotnie zasadę Próg blokady konta. Najczęściej stosowaną wartością w tym przypadku jest 3. Wpisz ją w widoczne pole. 0 określa, że konta nie można zablokować.
2. Kliknij przycisk Ok. Na ekranie zobaczysz komunikat informujący o konieczności zdefiniowania dwóch pozostałych reguł: Czas trwania blokady konta i Wyzeruj licznik blokady konta po. Domyślnie ustawione są one na 30 minut. Możesz pozostawić te wartości (nie można ich zmienić w tym oknie). Kliknij Ok. Wszystkie reguły zostały zdefiniowane. Jeżeli chcesz zmodyfikować wartości możesz to zrobić teraz, otwierając poszczególne wpisy.
6. Wyłącz niepotrzebne usługi
Zatrzymywanie usług systemowych
Usługi systemowe mają zapewnić określoną funkcjonalność szerokiej rzeszy użytkowników i w bardzo różnych sytuacjach. Nie każdemu potrzebne są wszystkie. Niektóre znacząco zmniejszają poziom bezpieczeństwa Windows. Wyłącz je.
1. Rozwiń menu startowe i wybierz Panel sterowania. Przełącz się do widoku klasycznego klikając Wygląd klasyczny. Kliknij dwukrotnie aplet Narzędzia administracyjne i uruchom Usługi.
2. Zobaczysz listę usług systemowych wraz z opisem działania oraz stanem w jakim się dana usługa znajduje. Działające opatrzone są komentarzem Uruchomiono. Obok widnieje informacja, w jaki sposób uruchamiany jest dany serwis. Aby zatrzymać działającą usługę kliknij ją dwukrotnie, a następnie na karcie Ogólne wybierz przycisk Zatrzymaj.
3. Wyłącz całkowicie bądź zdefiniuj ręczny sposób uruchamiania usługi. Ustaw odpowiednią opcję na liście Typ uruchomienia. W opisany sposób możesz wyłączyć na przykład usługi IIS, Rejestr zdalny, Routing i dostęp zdalny, Proste udostępnianie plików i drukarek, Universal Plug and Play czy Telnet. W zależności od wersji systemu operacyjnego lista dostępnych serwisów może być inna. Zamknij okno menedżera usług i zrestartuj komputer.
7. Zablokuj automatyczne odtwarzanie zewnętrznych nośników
Wyłączanie funkcji autoodtwarzania
Autoodtwarzanie to wygodna funkcja, która pozwala zdefiniować zachowanie systemu gdy wykryje on podłączenie zewnętrznego nośnika. Reaguje na przykład na włożenie płyty CD do napędu czy podłączenie zewnętrznego dysku. Pozwala również zdefiniować program, który zostanie automatycznie uruchomiony po zidentyfikowaniu zawartości nośnika - na przykład odtwarzacza czy przeglądarki grafiki. To co wygodne, nie zawsze jest jednak bezpieczne. Funkcja autoodtwarzania jest bardzo często wykorzystywana przez różne złośliwe programy, które w ten sposób, bez twojej wiedzy infekują system i rozprzestrzeniają się pomiędzy pecetami. Jeżeli zależy ci na bezpieczeństwie danych wyłącz tę funkcję.
1. Kliknij menu startowe i wybierz pozycję Programy domyślne. Kliknij łącze Zmień ustawienia funkcji autoodtwarzania. Aby całkowicie zablokować automatyczne uruchamianie zewnętrznych nośników usuń zaznaczenie z opcji Użyj autoodtwarzania dla wszystkich nośników i urządzeń.
Źródło: http://www.pcworld.pl/news/druk/366305_1/Pecet.twierdza.nie.do.zdobycia.To.mozliwe.html
