Существует ряд основных правил, универсальных для защиты любой операционной системы от несанкционированного доступа. Если помнить их и постоянно им следовать, можно значительно снизить риск взлома системы или появления других нежелательных проблем.
1...Использование сложных паролей. Одним из самых простых способов защиты является использование непростых трудноподбираемых паролей. Такой метод хорошо защищает от так называемых «грубых» атак, суть которых заключается в применении злоумышленниками программ по автоподбору паролей. Пароли, состоящие из специальных символов, прочерков и пробелов, содержащих прописные буквы наряду со строчными буквами и цифрами, гораздо труднее угадать, чем имя матери или дату рождения пользователя. Также следует помнить, что при увеличении длины пароля всего на один символ, увеличивается и степень числа возможных комбинаций для подбора. В целом, пароль длинной менее 8 символом объективно считается легким для подбора. 10, 12 или 16 символов – уже гораздо лучше. Однако не стоит придумывать такие пароли, которые трудно будет запомнить или набрать.
2...Внешняя защита. Не следует целиком полагаться только на возможности системы. Даже в случае наличия всего лишь одного компьютера неплохо иметь и внешний брандмауэр/маршрутизатор. В крайнем случае, можно приобрести обычный широко распространенный роутер, например Linksys, D-Link или Netgear (есть в продаже в магазинах Best Buy, Circuit City и CompUSA). Если этого покажется мало, то стоит установить коммутаторы и маршрутизаторы «промышленного» типа от таких производителей, как Cisco, Vyatta и Foundry Networks. Как вариант, можно использовать брандмауэры, спроектированные собственноручно с нуля или предустановленные, например m0n0wall и IPCop. Помимо этого, надежной внешней защите способствуют прокси-сервера, антивирусные и антиспамовые шлюзы. Также нужно учесть, что коммутаторы в плане защиты лучше хабов, маршрутизаторы с трансляцией сетевых адресов (NAT) лучше коммутаторов, а брандмауэры и вовсе суть средство первой необходимости.
3...Обновление программного обеспечения. Для того чтобы проверка приложений на вирусы перед их установкой проходила наиболее эффективно, следует постоянно обновлять программы защиты. Долгое игнорирование появляющихся обновлений может привести к тому, что система станет легкой добычей для хакеров. Это же касается любых систем обнаружения злоупотреблений, сканирующих трафик с целью поиска вредоносного участка кода - сигнатуры, например, антивирусных программ, которые не теряют свою эффективность, только в случае своевременного пополнения базы данных кодов, соответствующих той или иной атаке.
4...Отключение неиспользуемых служб. Зачастую пользователи не знают, какие системные сетевые службы работают у них на компьютере. К примеру, Telnet и FTP часто весьма уязвимы для сетевых атак и должны быть отключены в случае, если они не используются. Следует узнать, для чего нужна та или иная служба и удостовериться, что каждая работающая действительно имеет причины для того, чтобы работать. Возможно, потребуется тщательное исследование некоторых служб на предмет соответствия тем или иным интересам пользователя, например, не будет большой ошибкой отключение службы RPC на компьютере с операционной системой Microsoft Windows, или отмена входа в систему с паролем. В любом случае, отключение неиспользуемых служб – полезная вещь. Подробнее читайте в статье: Десять служб MS Windows XP, которые стоит отключить.
5...Шифрование информации. Этот метод подходит для опытных продвинутых пользователей или системных администраторов. Степень шифрования данных в каждом случае определяется индивидуально в зависимости от конкретных целей и обстоятельств. Зашифровываются как отдельные файлы, так и целые диски. Системный раздел жесткого диска при этом обычно не затрагивается, поскольку тогда потребуется специальное аппаратное устройство декодировки, однако если требуется безопасность подобного уровня, и имеются соответствующие средства, то можно произвести и такое полносистемное шифрование. Если же в кодировании системного раздела нужды нет, имеется множество решений для каждого уровня шифрования, работающих как с коммерческими системами, так и с платформами на основе открытого исходного кода.
6...Резервное копирование информации. Это одно из самых важных правил защиты. Резервное копирование может быть простым и примитивным как перенесение информации на компакт-диски, так и комплексным, в виде регулярного автоматического сохранения данных на отдельном сервере. На системах, требующих перманентной беспрерывной работы, целесообразно установить матрицы RAID (тип дисковой памяти с резервированием и дублированием данных), способные автоматически восстанавливать утерянную информацию. Существуют бесплатные приложения rsync и Bacula, где в произвольной последовательности объединены схемы автоматического резервного копирования. Автоматизированные системы управления версиями программных средств (version control), например Subversion, предоставляют такую гибкую систему контроля данных, что становится возможным не только хранить резервную копию информации на другом компьютере, но также легко управлять несколькими компьютерами с одними и теми же данными без особых проблем. Использование такой системы однажды спасло автора данного очерка во время поломки основного рабочего ноутбука.
7...Кодирование сообщений. Криптографические программы для защиты сообщений от посторонних глаз распространены достаточно широко: это приложения, поддерживающие протокол OpenPGP для электронной почты, плагины Off The Record для IM-клиентов, специальное программное обеспечение для продолжительного обмена сообщениями переписки, использующее протоколы SSH и SSL, и многие другие виды приложений, служащие для того, чтобы отсылаемая информация не подверглась риску при передаче. Иногда бывает сложно убедить партнера по переписке в необходимости использования подобных программ, однако в некоторых случаях без них нельзя обойтись.
8...Осторожное отношение к чужим сетям. Это особенно важно при работе с открытыми беспроводными сетями, расположенных в кафе, аэропортах, развлекательных центрах и т.п. При достаточной осторожности и осведомленности в вопросах безопасности информации нет причин, по которым нельзя использовать сети в вышеобозначенных местах, в противном случае не стоит доверять системе безопасности этих сетей. В случае подключения к беспроводной сети следует зашифровать частную переписку, и принять меры предосторожности при вводе данных и паролей в формы веб-сайтов. Также следует убедиться в том, что неиспользуемые и уязвимые для атак сетевые службы отключены. Это относится и к сетевым файловым системам типа NFS или Microsoft CIFS, SSH-серверам, службам Active Directory и многим другим. Не помешает полная проверка системы изнутри и снаружи на предмет возможностей, которые могут использовать злоумышленники с целью ее взлома. Каждый пользователь определяет самостоятельно, какие службы следует отключать и какие сообщение при переписке считать необходимыми для шифрования. Защита данных от вредоносных атак при работе с чужой незнакомой сетью может потребовать фактически полного изменения настроек безопасности системы.
9...Источник бесперебойного питания. ИБП не только помогает сохранить информацию в случае отключения электричества, но и обеспечивает управление параметрами электропитания и предотвращает нарушение работы файловой системы. Стабилизатора напряжения недостаточно для защиты системы от сильных скачков. ИБП защищает как аппаратную, так и информационную часть.
10...Системы мониторинга нарушений и попыток атаки. После проведения всех мер по защите системы не стоит терять бдительность и полагать, что теперь информация находится в полной безопасности. Следует постоянно выявлять подозрительные события на предмет взлома системы и хакерских атак. При этом отслеживания трафика только на сетевом мониторе недостаточно, важно наряду с прочими действиями по увеличению уровня защиты проводить полную проверку входящей информации на каждой машине.
Остальные профилактические меры зависят от типа используемой операционной системы. Некоторые из них, вследствие особенностей структуры системы, требуют проведения отдельных процедур по безопасности, другие – хорошей осведомленности в методах защиты только этих платформ, не подходящих для какой-либо других. Все это нужно учитывать как при защите коммерческих операционных систем (Microsoft Windows или Apple Mac OS X), так и при защите систем на основе открытого исходного кода (Linux, FreeBSD, NetBSD или даже OpenBSD).
В самых редких случаях бывает достаточно лишь настроек операционной системы по умолчанию без предприятия дальнейших шагов по ее защите. Следуя приведенным выше советам и действуя согласно специфическим особенностям конкретной ОС, у пользователей значительно больше шансов сохранить систему в целостности, чем в случае полного доверия сохранности этой целостности в руки судьбы.
Десять советов по обеспечению безопасности Microsoft Windows XP
Существуют, разумеется, общие рекомендации по обеспечению компьютерной безопасности, применимые к любым операционным системам, но каждая платформа обладает и своими собственными уязвимостями, на которые стоит обратить особое внимание. Ниже приводятся советы по обеспечению безопасности Microsoft Windows XP.
1. Отключите все небезопасные функции. Во всех системах Microsoft Windows по умолчанию включен целый ряд функций, совершенно бесполезных с точки зрения удобства и представляющих существенную угрозу безопасности ОС. Среди них – функция автозапуска (Autorun), учетная запись гостя (Guest) и даже механизм автоматических обновлений (Automatic Update). Позволять неизвестным ребятам из Редмонда решать, когда и какие изменения применять к операционной системе, притом что они не знают, какое в ней установлено программное обеспечение и совместимо ли оно с очередными обновлениями, – идея никуда не годная. Многие функции Microsoft Windows, включенные по умолчанию, оказываются недоработанными в плане компьютерной безопасности или, по крайней мере, совершенно не нужными подавляющему большинству пользователей. Все они представляют потенциальную угрозу системе, поэтому те функции, которыми вы не пользуетесь, следует отключать.
2. Отключите все ненужные службы. Вдобавок к бесполезным функциям ОС стоит отключить и все ненужные службы. Почти ровно год назад я опубликовал статью «Десять служб MS Windows XP, которые стоит отключить » (10 services to turn off in MS Windows XP), где приводится краткий список служб, которые следует отключить или хотя бы убедиться, что они действительно нужны. Разумеется, это не исчерпывающий список, но для начала и он подойдет.
3. Пользуйтесь надежными приемами защиты электронной почты. Выполняйте хотя бы базовые рекомендации по обеспечению безопасности электронной переписки, чтобы гарантировать, что «плохие парни» не смогут читать ваши письма, не завалят вас с спамом и не будут практиковать на вас технологии фишинга.
4. Установите и регулярно обновляйте приложения для защиты от вредоносного ПО. Вредоносное программное обеспечение по-прежнему остается серьезной угрозой для операционных систем Microsoft Windows (по какой бы причине это ни происходило), и в этих условиях оставлять свой компьютер без защиты – просто безответственно. Подходите к выбору антивирусного и антишпионского обеспечения серьезно и основательно. Регулярно обновляйте базу сигнатур своего защитного ПО, потому что оно умеет защищать систему только от тех угроз, которые в состоянии распознать. И не стоит упорно держаться за антивирус, выбранный еще шесть лет назад: в этой отрасли нет такого понятия как марка, которой можно безоговорочно доверять.
5. Обновляйте не только операционную систему, но и прочее ПО. Большинство приложений, с которыми работают пользователи Microsoft Windows, поступает от сторонних поставщиков, не имеющих никакого отношения к каналам распространения собственного программного обеспечения Microsoft. А значит, при установке чего-нибудь вроде Adobe Photoshop или Mozilla Firefox за обновлениями безопасности этих продуктов приходится следить отдельно. Ежемесячного обновления Microsoft может оказаться недостаточно: некоторые приложения от сторонних поставщиков нужно тоже обновлять. Чтобы защитить систему действительно надежно, необходимо следить за регулярным обновлением всех установленных программ, потому что в защите нуждаются не только основные компоненты ОС.
6. Проверяйте и тестируйте все обновления. С одной стороны, операционную систему необходимо регулярно обновлять и устанавливать все исправления безопасности от Microsoft и других производителей, чтобы устранить существующие уязвимости программного обеспечения. С другой стороны, прежде чем применять любые полученные обновления к рабочей системе, следует изучить их содержимое и испытать их на тестовой машине. Слишком часто пользователям и даже системным администраторам приходится убеждаться в том, что непроверенные обновления оказываются еще хуже, чем их отсутствие: они нарушают нормальное функционирование системы, создают новые уязвимости, а порой даже сводят на нет всю пользу от предыдущих обновлений. Для начала можно просто почитать отзывы других пользователей об очередном обновлении – кто-то наверняка уже его протестировал или установил просто так и сразу же столкнулся со всевозможными проблемами, которых вы благодаря полученным сведениям сможете избежать. И разумеется, прежде чем ставить обновление на рабочий компьютер, необходимо испытать его на тестовой системе, чтобы убедиться, что оно не вызовет никаких проблем в данной конкретной конфигурации.
7. Ищите альтернативы стандартному программному обеспечению. Не имеет ли смысла воспользоваться другим браузером (Google Chrome, Mozilla, Opera) вместо стандартного Internet Explorer? Не окажется ли с точки зрения удобства и безопасности многопротокольный IM-клиент Pidgin с шифровальным дополнением OTR лучше «родных» клиентов для AIM, MSN, Y!M, ICQ и gTalk? Единственный способ выяснить это – четко сформулировать свои требования к программному обеспечению, изучить всю доступную информацию и принять обдуманное решение. Не стоит ограничиваться стандартными приложениями, не проанализировав всех последствий такого выбора.
8. Пользуйтесь качественным брандмауэром для настольных систем. Хотя во многих отношениях брандмауэры для настольных систем ничем не отличаются от всех прочих пользовательских приложений, они заслуживают особого упоминания в контексте обеспечения безопасности MS Windows. Более того, даже серверы Windows по сути – те же настольные системы, поэтому серверная природа ОС еще не служит достаточным основанием для отказа от надежного «пользовательского» брандмауэра, если есть возможность пожертвовать для него определенной долей ресурсов процессора и оперативной памяти. Ну а для действительно пользовательской операционной системы брандмауэр, разумеется, еще нужнее. Ограничиться стандартными встроенными приложениями – значит, поставить под угрозу безопасность своей системы, даже этого не подозревая. Брандмауэр Windows (Windows Firewall), который входит в состав MS Windows XP начиная с пакета обновлений Service Pack 2, – это, конечно лучше, чем ничего, но существуют и куда более совершенные способы защиты. Ознакомьтесь с альтернативами и выберите брандмауэр, в полной мере удовлетворяющий вашим потребностям.
9. Проанализируйте альтернативные варианты, прежде чем останавливать свой выбор на MS Windows XP. К выбору операционных систем применимы те же принципы, что и к выбору отдельных приложений. Разные системы имеют разную степень защищенности и функциональности. Действительно ли вам подходит именно MS Windows XP? Задумывались ли вы о других вариантах – MS Windows 2000 или Vista, а может быть, даже MacOS X, FreeBSD или Ubuntu Linux для настольной системы и OpenBSD, OpenSolaris или OpenVMS для сервера?
10. Пользуйтесь стандартными приемами защиты, которые действуют вне зависимости от специфики операционной системы. В своей прошлогодней статье «10 советов по защите операционных систем» (10 security tips for all general-purpose OSes) я перечислил ряд рекомендаций, которые помогают повысить степень защищенности любой операционной системы общего назначения, в том числе, MS Windows.
Для полноценного пользования MS Windows XP недостаточно ее просто установить. Это только первый шаг, и если на нем остановиться, незащищенная система окажется открытой ко всевозможным потенциальным угрозам, существующим на просторах Интернета. Не ленитесь надежно защитить себя и свой компьютер от вездесущих опасностей!