Защита вашего компьютера с Windows 7 в сети Интернет
Некоторые люди тратят всю свою жизнь на работу по улучшению безопасности для корпораций и частных лиц. И немалую часть этого времени они тратят, латая дыры в Windows. Система Windows является основным каналом для вредоносных программ, которые создают зомби (роботов) и это лишь верхушка айсберга. Справедливости ради следует сказать, что в значительной степени вина лежит на огромной популярности Windows, но при этом в Windows 7 имеется такое количество дыр, что непонятно, беспокоит ли это хоть кого-нибудь в компании Microsoft.
Имеется три основных типа угроз. Во-первых, специально направленная атака человеком, пытающимся взломать ваш компьютер через сетевое подключение. Во-вторых, атака со стороны человека, сидящего за клавиатурой вашего компьютера. И наконец, возможна автоматическая атака, совершаемая вирусом-червем или вредоносной программой другого вида.
В Windows 7, а еще раньше в Vista, включен Контроль учетных записей пользователей (User Account Control), что должно помочь задержать поток непреднамеренных и нежелательных установок программ, — об этом не забывают и при разработке и создании сайтов. Однако большая часть мусора приходит через сетевое подключение, поэтому с него и стоит начать обеспечение защиты компьютера. Операционная система Windows 7 включает в себя несколько функций, которые дают возможность обеспечить определенный уровень безопасности, не прибегая к приобретению дополнительных программ или оборудования.
К сожалению, не многие из этих функций задействованы по умолчанию. Нижеследующие факторы являются лазейками, которые не следует игнорировать.
- Плохо: уязвимость протокола UPnP
Еще одна функция под названием UPnP (Universal Plug-and-Play) может открыть дополнительные уязвимые места в вашей сети. Более подходящим названием для UPnP было бы Network Plug and Play (Подключайся и работай), так как эта функция имеет дело только с сетевыми устройствами. UPnP представляет собой набор стандартов, позволяющих недавно подключенным устройствам объявить о своем присутствии серверам UPnP в вашей сети, почти так же, как устройства USB объявляют о своим присутствии принадлежащей Windows системе «Подключай и работай» (plug-and-play).Внешне функция UPnP выглядит неплохо. Но на практике недостаток аутентификации в стандарте UPnP и легкость, с которой вредоносные программы могут использовать UPnP для того, чтобы пробить дыры в брандмауэре, а также создать правила переадресации портов в маршрутизаторе, приносят одни неприятности. В настоящее время UPnP используется для некоторых игр, большинства расширителей средств передачи информации, мгновенных сообщений, удаленной помощи и т. п., что и объясняет, почему эта функция включена по умолчанию в Windows 7 и во многих сетевых устройствах. Но если она вам не нужна, то лучше ее выключить.
Для того чтобы отключить UPnP, откройте окно Службы (services.msc). Найдите в списке службу Обнаружение SSDP (SSDP Discovery Service) и нажмите кнопку с квадратиком Остановить службу (Stop) на Панели инструментов. При этом должен остановиться и Узел универсальных РnР устройств (UPnP Device Host). Если это не так, остановите и его. Теперь протестируйте любые приложения или устройства, которые, как вы подозреваете, могут использовать обнаружение сети, например серверы мультимедиа или расширители. Если у вас нет ничего такого, можете вообще отключить UPnP, дважды щелкнув на каждой службе и из списка Тип запуска (Startup type) выбрав Отключена (Disabled). В противном случае, когда вы в следующий раз загрузите Windows, эти службы запустятся снова.
Теперь откройте страницу настройки конфигурации маршрутизатора (описанную ранее в данной главе) и отключите сервис UPnP. Это требуется для того, чтобы не допустить установления прикладными программами новых правил персадресации портов. Если маршрутизатор не позволяет вам изменять настройки UPnP, полуманте о возможности перехода к более новой версии прошивки, как описано в разделе «Переход к более новой версии маршрутизатора».
- Плохо: уязвимость наличия открытых портов
Поищите уязвимые места в вашей системе с помощью сканирования на обнаружение открытых портов, как изложено ниже в данной статье. - Хорошо: удаленный Рабочий стол, но только когда он нужен Функция удаленного рабочего стола включена по умолчанию в Windows 7 Professional and Ultimate. Если только вам специально не нужна эта функция, ее следует выключить. В Панели управления откройте Систему и затем выберите ссылку Настройка удаленного доступа. На странице Удаленный доступ окна Свойства системы выключите флажок Разрешить подключения удаленного помощника к этому компьютеру (Allow Remote Assistance connections to this computer) и отметьте находящийся ниже переключатель Не разрешать подключения к этому компьютеру.
- Хорошо: пароль учетной записи
Теоретически общий доступ к файлам не работает для учетных записей, не имеющих пароля, что является настройкой по умолчанию при создании новой учетной записи пользователя. Но беспарольная учетная запись не дает никакой защиты от кого-либо севшего за вашу клавиатуру, а если это учетная запись пользователя с правами администратора, то дверь открыта и к любому другому пользователю данного компьютера. - Домашние группы и совместный доступ к файлам
Каждая папка, к которой разрешен совместный доступ, потенциально является открытой дверью. Поэтому открытый доступ следует предоставлять только к тем папкам, к которым это действительно необходимо. Обратите внимание, что разрешения на использование файлов и разрешения на общий доступ в Windows 7 представляют собой разные вещи. - Плохо: уязвимость мастера настройки общего доступа
Одной из главных причин создания рабочей группы является общий доступ к файлам и принтерам. Но благоразумно делиться только теми папками, которыми необходимо делиться, и отключать общий доступ ко всем остальным. Функция под названием Использование Мастера совместного доступа (Use Snaring Wizard) не дает полного контроля над теми, кто может просматривать и изменять ваши файлы. - Плохо: уязвимость общих административных ресурсов
Функция совместного доступа, рассмотренная в главе 7, открывает доступ ко всем дискам вашего компьютера, независимо от того, предоставляете ли вы доступ к папкам на этих дисках. - Хорошо: межсетевая защита
Настройте брандмауэр, рассмотренный ниже, для строгого контроля сетевого потока в ваш компьютер и из него, но не рассчитывайте, что достаточной защитой является встроенная в Windows программа-брандмауэр. - Хорошо: центр поддержки хорош, но не следует полностью полагаться на него Центр поддержки является центральной страницей в Панели управления, используемой, чтобы управлять брандмауэром Windows, Защитником Windows (Windows Defender), Контролем учетных записей пользователей (UserAccountControl) и автоматическими обновлениями. Он также контролирует антивирусные программы, но, чисто по политическим мотивам, Windows 7 не имеет собственных антивирусных программ.
Самое главное, что Центр поддержки является только средством просмотра. Если он видит, что данная мера защиты включена, независимо от того, активно ли она работает. Центр поддержки будет доволен и вы не получите никаких уведомлении.
Надоели сообщения oт Центра поддержки? Нажмите ссылку Настройка центра поддержки (Change Action Center settings) с левой стороны и выберите, какие проблемы стоят того, чтобы о них сообщали, и какие можно игнорировать. Вы можете отключить все сообщения на Центра поддержки, выключив все флажки на данной странице, но чтобы полностью дезактивировать всю функцию, необходимо открыть окно Службы (services.msc) и выключить Центр поддержки. Этим вы не выключите брандмауэр, антивирусы или автоматические обновления, которые вы. возможно, используете, а выключите только средства наблюдения за этими средствами и сопутствующие им сообщения.
Здесь вы не можете изменить параметры брандмауэра или зашиты от вредоносных программ. Для этого необходимо вернуться в Панель управления и открыть там соответствующую программу.