Защити свой компьютер на 100% от вирусов и хакеров
Шрифт:
А теперь разберем сухой отчет от Microsoft подробнее. Служба Spooler предназначена для управления принтерами и заданиями печати и экспортирует интерфейс на базе RPC (Remote Procedure Call). В данной службе присутствует уязвимость переполнения буфера. Удаленный или локальный пользователь может подключиться к системе через NULL-сессию и с помощью специального запроса выполнить произвольный код с привилегиями Local System или вызвать отказ от обслуживания. Данной уязвимости подвержены следующие версии операционных систем: Microsoft Windows 2000 Service Pack 4, Microsoft Windows XP Service Pack 1, Microsoft Windows XP Service Pack 2, Microsoft Windows Server 2003.
Как
Как все это дело прикрыть? Просто. Достаточно лишь установить обновление для Windows , и все.
Следующим открытым портом оказался порт 4899, принадлежащий Radmin. Комментарий в данном случае будет не такой горячий, как в предыдущих: просто на машине установлена утилита удаленного администрирования – хотя для злонамеренного пользователя данная информация не должна показаться столь уж бесполезной.
И напоследок, открытый TCP-порт 5000, который принадлежит службе SSDP. Данный сервис отвечает за обнаружение UPnP-устройств в домашней сети. Уязвимость в службе SSDP, а точнее отсутствие таковой (по крайней мере на момент написания книги), не представляет реальной угрозы и не может быть использована для удаленного выполнения кода, отказа в обслуживании и т. п. Тем не менее никогда не стоит забывать простое правило: меньше служб – меньше открытых портов – меньшая вероятность того, что ваша система окажется уязвимой (подробно про оптимизацию безопасности Windows средствами операционной системы смотрите в гл. 7).
При ненадобности "обнаруживать UPnP-устройства в вашей сети" смело отключаем эту службу через Панель управления Администрирование Службы.
Подведем итог. Шесть открытых портов: 135-UDP, 135-TCP, 139-TCP, 445-TCP, 4899-TCP и 5000-TCP, половина из которых (135-UDP, 139-TCP и 445-TCP) открывают практически безграничные возможности для "творчества" удаленного "зло-админа".
6.2. Безопасная архитектура – это фундамент
Итак, помимо централизованной политики безопасности, без которой де факто невозможно построение безопасной сети в принципе, особое внимание следует обратить на следующее моменты.
Использование безопасных протоколов обмена (не секрет, что такие текстовые протоколы, как FTP и telnet, представляют собой явную угрозу) и туннелирование данных, например, посредством SSH.
Шифрование критичных данных с использованием надежных криптоалгоритмов.
Использование архитектуры сети, включающей в себя наличие DMZ (демилитаризованной зоны), обслуживаемой двумя брандмауэрами. DMZ подразумевает под собой фрагмент сети, не являющийся полностью доверенным. Смысл создания DMZ заключается в том, чтобы оградить внутреннюю систему (в данном случае это наша защищенная LAN) от доступа, который осуществляется из Интернета.
Использование NAT (технология трансляции адресов локальной сети на IP-адрес внешнего соединения). Очевидно, что функция безопасности NAT реализуется, благодаря тому что скрытые адреса внутренних систем являются невидимыми из внешней сети, в частности из Интернета.
Защита периферии посредством тонких клиентов и двухфакторной системы аутентификации (подобные инструменты в значительной мере уменьшают риск вторжения изнутри).
Более частные рекомендации могут быть следующими.
Первое, что необходимо сделать, – установить самые последние обновления для вашей операционной системы. Скачать обновления можно с официального сайта Корпорации Microsoft, предварительно установив как можно более новый вариант сборки вашей операционной системы. Дыры как находили, так и будут находить, поэтому, если вы обладатель самых свежих обновлений, расслабляться все равно не стоит: с момента обнаружения новой уязвимости и до момента выхода заплатки "умные люди" успевают написать вирус или создать червя.
В свойствах подключения крайне желательно оставить только самое необходимое, а именно ТСР/IP. Службу доступа к файлам и принтерам сети Microsoft при
отсутствии реальной необходимости сетевого доступа к ним необходимо отключить, чтобы не облегчать задачу всем любителям открытых по умолчанию C$, D$, ADMIN$ и т. д.
Все неиспользуемые сервисы желательно выключить: FTP, Telnet, удаленный реестр – зачем все это, если вы не используете ни один из перечисленных сервисов? Это не только улучшит производительность вашей системы, но и автоматически закроет кучу открытых портов.
Установите файловую систему NTFS, которая позволяет разграничить доступ к ресурсам вашего ПК и усложняет процесс локального взлома базы SAM.
Удалите лишние учетные записи, а в оснастке gpedit.msc запретите локальный и сетевой вход для всех пользователей, оставив только используемых на данной машине, и доступ по сети для Администратора.
Не используйте автоматический ввод пароля при входе в систему, особенно для пользователя Администратор.
Желательно, чтобы на вашем ПК был установлен какой-нибудь персональный брандмауэр, закрывающий доступ к открытым портам (ZoneAlarm, Outpost Firewall или что-нибудь подобное). Помимо защиты от попыток проникновения извне, с помощью брандмауэра вы сможете легко и просто контролировать доступ программ (среди них может быть, к примеру, затаившийся троянский конь) к Интернету. Любая попытка вырваться в Сеть не останется незамеченной вашей "огнедышащей стеной".
ПРИМЕЧАНИЕ
Очевидно, что вышеперечисленное адекватно для защиты рабочих станций. Если же речь идет об организации безопасности крупной корпоративной сети, о защите сервера/шлюза, то здесь взор системного администратора/администратора безопасности в первую очередь должен быть направлен на использование UNIX-подобных систем (FreeBSD, Linux) как наиболее безопасной альтернативе Windows.