Windows bezpieczniejszy niż kiedykolwiek

Windows XP i Vista są pod stałym obstrzałem. Zagrożenia twojego systemu i twoich danych czyhają w Internecie, w domu, w biurze i w podróży. Przeczytaj, jak chronić się skutecznie w każdej okazji.

Praktycznie każdy autor złośliwego oprogramowania optymalizuje szkodliwy kod, aby uzyskać maksymalne pole rażenia w Windows XP i Viście. Dzień w dzień pojawiają się w Internecie nowe warianty szkodliwych programów, które wykorzystują luki w zabezpieczeniach systemu. A to tylko sam czubek góry lodowej. Czołowe produkty Microsoftu są pod nieustannym obstrzałem. W końcu są to najbardziej popularne systemy operacyjne.

Jako użytkownik systemu Windows korzystasz z niego zapewne codziennie w celach służbowych i prywatnych. Jednak nie masz czasu, aby 24 godziny dziennie uganiać się za każdą nowo odkrytą luką w zabezpieczeniach. Tym większe znaczenie mają mechanizmy automatyczne, które starają się jak najskuteczniej chronić peceta i zgromadzone w nim zasoby.

Zobacz również:

Jedno niewłaściwe kliknięcie w podejrzanej witrynie grozi zarażeniem, chyba że korzystasz z przeglądarki jako użytkownik o ograniczonych uprawnieniach.

Jedno niewłaściwe kliknięcie w podejrzanej witrynie grozi zarażeniem, chyba że korzystasz z przeglądarki jako użytkownik o ograniczonych uprawnieniach.

Na kolejnych łamach przedstawiamy skuteczne rozwiązania - w zależności od typu ataku i używanego systemu operacyjnego. Za pomocą naszych porad nie tylko pokrzyżujesz plany hakerów i ich złośliwych programów, lecz ponadto ochronisz swój system przed wszędobylskimi współmieszkańcami i kolegami w pracy. W ten sposób twoje poufne informacje nie dostaną się w niewłaściwe ręce.

Ochrona przed atakami z zewnątrz

Twój komputer, z którego korzystasz sam, i który nie jest podłączony do innych pecetów w sieci lokalnej (np. w domu), jest narażony przede wszystkim na ataki z Internetu. Szkodliwy kod może uaktywnić się bez twojego udziału lub przez omyłkowe kliknięcie. Tak czy owak, skutki są zawsze takie same, a przeważnie bywają opłakane. Dlatego warto się zabezpieczyć, zanim będzie za późno.

Aktualizacje Windows i aplikacji

Podstawowym środkiem prewencji przed atakami wirusów, hakerów i złośliwego oprogramowania jest całkowicie szczelny system, w którym są natychmiast łatane nowo odkryte luki w zabezpieczeniach.

Aktualizacje Microsoftu. Producent zapewnia regularnie aktualizacje łatające luki w zabezpieczeniach swojego oprogramowania (Windows, Office, Internet Explorer itd.). Aby upewnić się, że twój system jest zawsze zaktualizowany, sprawdź aplet Aktualizacje automatyczne (Windows XP) lub Wygląd klasyczny | Windows Update | Zmień ustawienia (Windows Vista) w Panelu sterowania. Powinna tu być zaznaczona opcja automatycznego pobierania i instalowania aktualizacji.

Aktualizacje oprogramowania. Luki w zabezpieczeniach mogą występować nie tylko w systemie Windows, lecz także w aplikacjach innych producentów. Aby uchronić się przed najgorszym, powinieneś je regularnie aktualizować. Na szczęście nie musisz robić tego ręcznie. Wyręczy cię w tym program UpdateStar (dostępny pod tym adresem). Gdy je zainstalujesz, przeprowadzi inwentaryzację wszystkich programów zainstalowanych w systemie. Kliknij przycisk Search for Updates, a wówczas porówna zarejestrowane wersje twoich programów ze swoją bazą danych i utworzy spis aplikacji, które są dostępne w nowszych wersjach. Kliknięciem jednego przycisku możesz je pobrać i zainstalować.

Program antywirusowy i spółka

W skład podstawowego zestawu oprogramowania w każdym systemie wchodzi strażnik antywirusowy. Programy tego rodzaju nie powinny być stosowane tylko w formie lekarstwa, gdy system padnie ofiarą wirusa. Należy używać ich przede wszystkim jako narzędzie wczesnego ostrzegania, które pomaga zapobiegać zarażeniu komputera.

Strażnik antywirusowy to tylko jeden z zabezpieczeń, które powinny znaleźć się w każdym systemie.

Strażnik antywirusowy to tylko jeden z zabezpieczeń, które powinny znaleźć się w każdym systemie.

Antywirus. Dobry, a na dodatek bezpłatny strażnik wirusowy to m.in. Avira Antivir (dostępny pod tym adresem). Po jego zainstalowaniu należy w pierwszej kolejności zaktualizować bazę sygnatur poprzez Internet. Potem program jest gotowy do użytkowania. Gdy przywołasz plik sklasyfikowany przez AntiVir jako podejrzany lub zostanie on przywołany przez jedną z aplikacji, strażnik natychmiast wkroczy do akcji, przerywając jego uruchomienie i zgłosi niebezpieczeństwo. Z reguły złośliwy kod nie zdąży jeszcze wyrządzić żadnych szkód w systemie.

Kontrola konta użytkownika. Vista dysponuje własnym mechanizmem wczesnego ostrzegania. Kontrola konta użytkownika (UAC) uniemożliwia aplikacjom dokonywanie zmian w systemie - np. w folderze systemowym lub w kluczu "HKEY_LOCAL_MACHINE" rejestru Windows. Nie odgrywa tu żadnej roli, czy program jest uruchamiany z konta administratora czy z konta użytkownika o ograniczonych uprawnieniach. Gdy zechcesz skorzystać z aplikacji, która wymaga praw administratora, kliknij ją prawym przyciskiem myszy i wskaż polecenie Uruchom jako administrator. Wprawdzie możesz wyłączyć UAC w Panelu sterowania (Wygląd klasyczny | Konta użytkowników | Włącz lub wyłącz funkcję Kontrola konta użytkownika), jednak nie należy tego robić.

Ograniczone prawa użytkownika

Każda aplikacja ma przydzielone prawa NTFS, pod warunkiem, że twardy dysk jest sformatowany w systemie plików NTFS (ustawienie domyślne w Windows XP i Viście). Z reguły aplikacja ma te same uprawnienia co użytkownik, który ją przywołuje. Jeśli więc jesteś zalogowany w systemie jako administrator każdy uruchamiany przez ciebie program ma wszystkie prawa dostępu - zatem nawet prawo do modyfikowania plików systemowych. Zatem gdy otworzysz przeglądarkę internetową, będąc zalogowany jako administrator, mogą zdarzyć się następujące rzeczy:

1. Zmodyfikowana przez hakerów witryna internetowa wykorzysta bez twojego udziału słaby punkt przeglądarki internetowej lub lukę w jej zabezpieczeniach.

2. Klikniesz pozornie nieszkodliwe łącze lub okno dialogowe, inicjując w ten sposób wykonanie złośliwego kodu. Przeglądarka ma uprawnienia administratora, więc szkodnik ma ogromne pole do popisu.

Możesz się przed tym zabezpieczyć w bardzo prosty sposób. Powinieneś przeglądać Internet tylko z poziomu konta użytkownika o ograniczonych uprawnieniach. Aby go założyć, otwórz aplet Konta użytkowników w Panelu sterowania. Następnie kliknij Utwórz nowe konto (Windows XP) lub Zarządzaj innym kontem | Utwórz nowe konto (Windows Vista). Jako typ konta wskaż opcję Ograniczone (Windows XP) lub Użytkownik standardowy (Windows Vista). Pamiętaj o tym, aby zdefiniować hasło dla nowo tworzonego konta.

Ruter, DNS i spółka

Wielu użytkowników korzysta z Internetu za pośrednictwem łącza DSL. W tym celu podłącza się komputer do rutera, który nawiązuje połączenie z Internetem poprzez modem DSL. Jeśli korzystasz z takiego rozwiązania, powinieneś koniecznie dokonać odpowiednich ustawień w swoim ruterze, aby zapobiec dostaniu się złośliwego kodu do swojej sieci lokalnej, a zarazem do swojego komputera.

Z reguły każdy ruter oferuje interfejs użytkownika przywoływany poprzez przeglądarkę internetową. To tu można ustawiać najważniejsze parametry. Dialogi konfiguracyjne różnią się zależnie od producenta i modelu rutera, więc nie możemy zaprezentować tu dokładnej instrukcji dla twojego urządzenia. Niemniej jednak są one na tyle intuicyjne, że powinieneś szybko znaleźć opcje, które omawiamy poniżej.

Zapora rutera. Najpierw sprawdź, czy ruter ma włączoną zaporę internetową. Taka zapora sprzętowa chroni skuteczniej przed połączeniami z zewnątrz od zapór software'owych (takich jak ZoneAlarm czy wewnętrzna zapora Windows).

Hasło DNS. W żadnym wypadku nie powinieneś pozostawiać fabrycznie przydzielonego hasła rutera. Głównym powodem są ustawienia DNS (Domain Name System). Gdy wpisujesz w przeglądarce dowolny adres URL (np. www.pcworld.pl), serwer DNS przekłada tę nazwę na odpowiedni adres IP. Twój ruter korzysta z serwerów DNS, które zostały umieszczone w jego konfiguracji przez twojego operatora Internetu. Gdy złośliwy kod dostanie się do konfiguracji DNS twojego rutera, może podać tu inny serwer DNS. Wskutek tego wpisywane i klikane adresy URL nie będą poprawnie interpretowane. Zamiast tego będziesz kierowany do witryn hakerów (np. próbujących wyłudzić poufne informacje). Strony phishingowe są do złudzenia podobne do oryginałów, więc prywatne dane (np. bankowe) mogą łatwo trafić w ręce oszustów.

Aby złośliwy kod nie wpłynął na przekładanie nazw URL na adresy IP, powinieneś odebrać wszystkim użytkownikom prawo zapisu do pliku Hosts.

Aby złośliwy kod nie wpłynął na przekładanie nazw URL na adresy IP, powinieneś odebrać wszystkim użytkownikom prawo zapisu do pliku Hosts.

Plik Hosts. Również środowisko Windows zapewnia pewien element przekładania nazw domen na adresy IP. Mowa o pliku Hosts w katalogu \Windows\System32\Drivers\etc. Aby złośliwy kod nie mógł umieścić tu adresów do serwerów phishingowych, powinieneś odebrać systemowi i wszystkim użytkownikom prawa zapisu do tego pliku (patrz dalej).

UPNP i otwarte porty. Porty to swoiste bramy pomiędzy twoim systemem i światem zewnętrznym. Każdy port otwarty na stałe, zwiększa obszar wystawiony na szkodliwe działanie. Aby aplikacja spoza twojej sieci lokalnej mogła korzystać z portu w twoim komputerze, musi uzyskać zezwolenie rutera. Za pomocą funkcji przekazywania portów (tzw. port forwarding) można zlecić ruterowi przekierowywanie zapytań dotyczących określonych portów. Przekazywanie to włącza się ręcznie. Wyjątek stanowi UPNP (Universal Plug & Play). Tej funkcji wolno modyfikować konfigurację portów bez pytania użytkownika, gdy żąda tego jedna z aplikacji w twoim systemie. Jeśli do systemu dostanie się szkodnik, może on w ten sposób otworzyć w twoim systemie tylne drzwi, dając hakerom dostęp do twoich zasobów. Dlatego warto wyłączyć UPNP lub przynajmniej tak ograniczyć tę funkcję, aby miała prawo zgłaszania zapytań, lecz nie mogła dokonywać żadnych zmian w konfiguracji.

Wirtualny system

Nawet gdy przeglądasz Internet z ograniczonymi uprawnieniami i załatałeś wszystkie luki w swoim oprogramowaniu, jest niebezpieczeństwo nieumyślnego zarażenia systemu. Wystarczy pobrać z Internetu pozornie pożyteczną aplikację i zainstalować ją (tym razem z uprawnieniami administratora). Aby nie rezygnować z wypróbowywania nowych programów, lecz mimo to nie ponosić ryzyka, zaleca się zainstalować wirtualny komputer.

Do stworzenia takiej wirtualnej maszyny możesz użyć np. bezpłatnego Virtual Box (dostępny pod tymi adresami: wersja 32-bitowa i wersja 64-bitowa). Po zainstalowaniu i uruchomieniu go, kliknij New i zastosuj się do wskazówek kreatora. Jako typ systemu-gościa wskaż wersję Windows, którą chcesz zainstalować w wirtualnym pececie. Potem określ rozmiar pamięci RAM, którą zamierzasz zarezerwować na potrzeby systemu-gościa (w Windows XP co najmniej 256 MB, w Viście co najmniej 512 MB). Utwórz nowy wirtualny dysk, na którym zainstalujesz żądaną edycję Windows.

W oknie konfiguracyjnym wirtualnej maszyny możesz dokonać dalszych ustawień. Kliknij CD/DVD-ROM i zaznacz pole wyboru Mount CD/DVD Drive. Upewnij się, że podana litera napędu jest zgodna z literą, która jest przypisana napędowi w systemie-gospodarzu. Sprawdź w sekcji sieci, czy jest uaktywniony adapter 1 i czy jest podłączony poprzez NAT (Network Address Translation). Inaczej nie będziesz miał dostępu do Internetu. Oprócz tego możesz włączyć obsługę dźwięku i portów USB.

Następnie włóż płytę instalacyjną systemu Windows i uruchom maszynę wirtualną. Zainstaluj system Windows. Nie musisz go aktywować. Po zainstalowaniu systemu-gościa kliknij Devices | Install guest additions. W ten sposób będziesz mógł m.in. przełączać się między systemami (gospodarzem i gościem) za pomocą myszy. Potem kliknij menu Machine | Save the machine state, aby zachować bieżący stan wirtualnego peceta. Teraz możesz bezpiecznie przeglądać Internet i wypróbowywać nowe oprogramowanie. Jeśli zdarzy ci się zarazić system, zamknij wirtualny komputer z opcją Power off the machine, a potem przeskocz na kartę Snapshots. Wskaż opcję Current state, naciśnij klawisze [Ctrl Shift R] i kliknij przycisk Start. W ten sposób odzyskasz stan sprzed infekcji.

Nietykalny profil

Jeżeli skonfigurowałeś Windows tak, że każdy członek rodziny ma własne konto, powinieneś dobrze zastanowić się, jakie uprawnienia przydzielić poszczególnym współużytkownikom. Osobom, które nie mają doświadczenia w obsługiwaniu komputera, należy przypisać minimalne prawa dostępu. Najlepiej, gdyby w ogóle nie wolno im było dokonywać jakichkolwiek zmian w systemie. Microsoftowe narzędzie Windows SteadyState (dostępne pod tym adresem) ochroni twój system pod każdym względem.

Za pomocą tego programu uniemożliwisz dokonywanie zmian w systemie, co da maksymalne bezpieczeństwo nawet wtedy, gdy będzie używany przez najmniej doświadczonych użytkowników.

Za pomocą tego programu uniemożliwisz dokonywanie zmian w systemie, co da maksymalne bezpieczeństwo nawet wtedy, gdy będzie używany przez najmniej doświadczonych użytkowników.

Przygotowania. Najpierw trzeba zainstalować SteadyState z konta administratora. W głównym oknie programu ujrzysz z prawej strony w sekcji User Setting listę pozostałych kont. Wybierz jedno z nich dwukrotnym kliknięciem myszy lub utwórz nowe, klikając Add a new user. Jeśli założyłeś nowe konto, powinieneś zalogować się w nim, a następnie zainstalować wymagane aplikacje i dokonać stosownych ustawień. Gdy zabezpieczysz konto, będzie na to za późno, bo wtedy nie uda ci się już nic zmienić.

Restrykcje profilu. Powróć do konta administratora i przywołaj ponownie okno konfiguracyjne danego użytkownika w programie SteadyState. Zaznacz pole wyboru Lock profile na karcie General, aby uniemożliwić dokonywanie jakichkolwiek zmian w profilu. W polach poniżej możesz podać czas, po upływie którego system wymusi wylogowanie użytkownika (górne pole), lub czas bezczynności, po upływie którego nastąpi automatyczne wylogowanie (dolne pole).

Ograniczenia funkcjonalności. Na karcie Windows Restrictions możesz zablokować wyświetlanie określonych funkcji, menu, folderów a nawet napędów. Na karcie Feature Restrictions ograniczysz funkcjonalność Internet Explorera i pakietu Office. Ponadto możesz zdefiniować listę dozwolonych witryn internetowych. Na karcie Block Programs zablokujesz w razie potrzeby uruchamianie określonych aplikacji. Gdy uporasz się z wszystkimi ustawieniami, zachowaj je przyciskiem OK. W ten sposób powrócisz do głównego okna SteadyState.

Ograniczenia globalne. Korzystając z funkcji Set Computer Settings, możesz dokonać ustawień obejmujących wszystkich użytkowników systemu (np. określisz, czy w oknie logowania ma być widoczna nazwa ostatniego użytkownika). Funkcją Schedule Software-Updates możesz włączyć automatyczne aktualizacje systemu.

Zabezpieczenie twardego dysku. Ostatnie zabezpieczenie Protect the Hard Disk uniemożliwia modyfikowanie zasobów danych na twardym dysku. Warunkiem jest udostępnienie dużej ilości wolnego miejsca (co najmniej 4 GB), bo SteadyState musi utworzyć w tym celu plik bufora. Przy włączeniu tej funkcji, sterownik wirtualizacyjny zapisuje wszelkie zmiany tylko w tym pliku. W trakcie trwania sesji użytkownik może jak zazwyczaj tworzyć, modyfikować i usuwać pliki, jednak gdy zrestartuje system, zastanie na dysku pierwotny stan zasobów.


Zobacz również