Захист клієнтських комп’ютерів від мережевих атак
На цій сторінці
Зловмисники в Інтернеті створюють черв'яків і віруси, які можуть знищити або привести до втрати або крадіжки даних, що зберігаються в клієнтських комп'ютерах. Ці атаки можуть привести до втрати особистих даних і секретів компанії, неможливість завантажити комп'ютери і навіть до їх використання для запуску атак проти інших комп'ютерів. Ці атаки є дуже реальну загрозу для комп'ютерів, підключених до Інтернету.
Більшість методів атаки побудовані на використанні відомих уразливих місць комп'ютерів. Застосування таких функцій може забезпечити надійний захист клієнтським комп'ютерам з операційною системою Microsoft® Windows® XP і пакетом оновлень 2 (SP2):
Персональний брандмауер (брандмауер Windows)
Оновлення пакетів оновлення і виправлень (Auto-Update)
Антивірусна програма зі своєчасно оновленими підписами (Windows Live OneCare)
Антишпигунська програма зі своєчасно оновленими підписами (захисник Windows)
Призначення даного документа
Перш ніж приступити до роботи
Перш ніж застосувати будь-які рекомендації цього документа, необхідно познайомитися з наступними важливими відомостями.
Необхідні облікові дані
рекомендації
Значення за замовчуванням
Служба Windows Live OneCare
Захист від вірусів
Комп'ютерні віруси - програми, спроектовані спеціально, щоб впливати на функціонування комп'ютера. Вони можуть записувати, спотворювати і видаляти дані, поширюватися на інші комп'ютери і через Інтернет, часто знижуючи швидкодія і паралельно викликаючи інші проблеми.
Точно так же, як біологічні віруси розрізняються за ступенем небезпеки від 24-годинний застуди до вірусу Ебола, комп'ютерні віруси можуть бути як незначною прикрою перешкодою, так і зовсім руйнівними. Вони також беруть нові і різні форми. Однак за допомогою простих превентивних заходів і деяких знань можна зменшити ймовірність зараження вірусами і пом'якшити його наслідки.
Служба Windows Live OneCare автоматично оновлює підпису вірусів і застосовує пакети оновлень служб безпеки в операційній системі, в результаті комп'ютер буде мати новітніми засобами захисту без втручання людини.
моніторинг брандмауера
Брандмауер Windows функціонує на одному комп'ютері і допомагає захистити комп'ютер від хакерів, коли користувач відправляє або отримує файли. Windows Live OneCare безперервно контролює брандмауер Windows.
захисник Windows
оновлення
Служба Windows Live OneCare автоматично оновлює і себе, щоб своєчасно вносити зміни в брандмауер і захист від вірусів і шпигунських програм, а також забезпечити постійну готовність до відбиття новітніх загроз.
За допомогою служби Windows Live OneCare можна робити копії важливих файлів і документів та зберігати їх на CD, DVD або зовнішньому жорсткому диску на випадок аварійної ситуації. Це можна зробити вручну або встановити Windows Live OneCare на автоматичне виконання операції, щоб користувачеві не доводилося пам'ятати про необхідність регулярного резервного копіювання файлів і документів. Windows Live OneCare також допомагає відновити резервні файли на комп'ютері при виникненні неполадок.
захисник Windows
Інші види небажаних програм вносять зміни в комп'ютер, які можуть викликати невдоволення користувача, зниження швидкодії і збої комп'ютера. Ці програми здатні змінити домашню сторінку або пошукову сторінку веб-браузера або додати в оглядач компоненти, які не потрібні і небажані користувачеві. Ці програми також надзвичайно ускладнюють користувачеві повернення до вихідних налаштувань. Небажане програмне забезпечення таких типів часто називаються програмами-шпигунами.
Виконайте наступні операції, щоб встановити захисник Windows (бета-версії 2) після того, як програма буде завантажена.
Коли буде завантажений захисник Windows (бета-версії 2), на екрані з'явиться наступне діалогове вікно. Натисніть кнопку Виконати.
З'явиться наступний екран Майстер установки захисника Windows. Натисніть кнопку "Далі .
Виводиться ліцензійну угоду для захисника Windows (воно показано на наступному скріншоті). Ознайомтеся з умовами угоди.
Щоб продовжити установку, виберіть пункт приймаю умови ліцензійної угоди. а потім натисніть кнопку Далі.
На екрані Допомога в захисті Windows (він показаний на наступному скріншоті) виберіть Використовувати рекомендовані настройки. Натисніть кнопку Заява про конфіденційність. щоб прочитати заяву про конфіденційність. Потім натисніть кнопку Далі.
На екрані Тип установки (він показаний на наступному скріншоті) виберіть Повна. а потім натисніть кнопку Далі.
Коли буде відображено наведений нижче екран Все готово для установки захисника Windows. натисніть кнопку Встановити. щоб почати установку.
Після завершення процесу установки повинен з'явитися наведене нижче вікно Установка захисника Windows завершена.
Переконайтеся, що встановлено прапорець пошук оновлень і швидке сканування. а потім натисніть кнопку Готово.
Примітка. Для цього етапу потрібне підключення до Інтернету.
Коли буде відображено наведений нижче екран, натисніть кнопку Перевірити наявність оновлень. щоб отримати останні оновлення.
брандмауер Windows
Брандмауер - система безпеки, яка функціонує в якості захисної кордону між мережею і зовнішнім світом. До складу Windows XP SP2 входить брандмауер Windows, програма, яка функціонує в основному однаково для кожного окремого комп'ютера клієнта.
Брандмауер Windows встановлений в Windows XP Professional SP2 і гнучко настроюється на конкретне застосування. Програма включена за замовчуванням і допомагає захиститися від мережевих атак. Служба Windows Live OneCare також контролює брандмауер Windows і забезпечує єдину консоль для перевірки загального стану безпеки ПК. В іншій частині цього документа показано, як змінити налаштування брандмауера Windows за допомогою Центру безпеки Windows, який знаходиться на панелі управління.
Примітка. Брандмауер Windows не призначений для функціональної заміни електричного кабелю брандмауера. Мережа Windows включена і має дозвіл на проходження брандмауера Windows; це означає, що користувач може продовжувати взаємодіяти з іншими підключеними до мережі комп'ютерами, роздруковувати дані і звертатися до загальних мережних ресурсів. Мережевий брандмауер рекомендується використовувати для захисту портів, відкритих цими функціями.
загальні установки
Загальні установки брандмауера Windows дозволяють налаштувати наступні параметри:
Вимкнути (не рекомендується). Вимкнення брандмауера Windows підвищить вразливість комп'ютера від вірусів, хробаків або зломщиків.
Щоб відкрити Центр безпеки Windows, натисніть кнопку Пуск. а потім виберіть Панель керування. З'явиться наступний екран.
Повідомлення про конфігурацію
За замовчуванням брандмауер Windows відображає діалогове вікно повідомлення всякий раз, коли блокує програму, яка намагалася з даного комп'ютера встановити зв'язок з іншим комп'ютером. Діалогове вікно виглядає як вікно, показане на наступному скріншоті:
Діалогове вікно показує, яка програма була блокована і дозволяє вибрати, чи дозволяти цю програму. Доступні варіанти:
Зберегти блокування. Використовуйте цей параметр, щоб програма не приймала підключення з Інтернету або мережі без дозволу користувача.
Розблокувати. Цей параметр поміщає програми до списку дозволених брандмауера Windows.
Запросити пізніше. Використовуйте цей параметр, якщо невідомо, чи слід блокувати програму. Цей параметр утримує програму блокованої в цілях безпеки. Це повідомлення з'являється в наступний раз і вказує, що програма блокована.
Про використання портів додатками
Порт - точка підключення, яку програма використовує для зв'язку з іншими програмами, особливо програмами на інших комп'ютерах. Кожен порт ідентифікується поєднанням транспортного протоколу і номера порту. З кожним типом програми або служби пов'язані певні порти. Наприклад, стандартний порт для веб-сервера - TCP-порт 80, стандартний порт для FTP-сервера - TCP-порт 21, а служба Windows Server, яка забезпечує спільне використання файлів і принтерів, отримує повідомлення з чотирьох портів: UDP-портів 137 і 138, а також TCP-портів 139 і 445.
Брандмауер Windows блокує отримання незапрошених вхідних повідомлень у всіх портах. Ця функціональність захищає комп'ютер, так як блокує повідомлення, які зазвичай використовуються небезпечними програмами, щоб отримати доступ до комп'ютера. Брандмауер Windows не перешкоджає більшості корисних програм для сфери бізнесу, оскільки, як правило, ці програми не посилають незапрошених повідомлень клієнтським комп'ютерам.
Брандмауери обмежують зв'язок між Інтернетом і комп'ютером, тому може знадобитися змінити налаштування для деяких інших програм, в яких використовується відкрите підключення. Для цих програм можна зробити виняток і дозволити зв'язок через брандмауер Windows.
Небезпеки, пов'язані з винятками
Кожен раз, коли програмі надається виняток для зв'язку через брандмауер Windows, вразливість комп'ютера підвищується. Дозволена виняток подібно отвору в брандмауері. Якщо отворів занадто багато, ефективність брандмауера значно знижується. Зловмисники часто використовують програми для пошуку в Інтернеті комп'ютерів з незахищеними підключеннями. При великому числі виключень і відкритих портів вразливість комп'ютера підвищується.
Щоб знизити ризик:
Дозволяйте виняток лише тоді, коли воно дійсно необхідно.
Ніколи не робіть виключення для непізнаною програми.
Видаліть виключення після того, як необхідність в ньому пройшла.
Дозвіл винятків, незважаючи на ризик
Іноді необхідно надати комусь можливість підключитися до комп'ютера, не дивлячись на ризик, наприклад, коли треба буде отримати файл, посланий з допомогою програми миттєвого обміну повідомленнями через Інтернет.
При обміні миттєвими повідомленнями з особою, яка хоче послати файл (наприклад, електронну таблицю), брандмауер Windows запитає, чи потрібно розблокувати підключення і дозволити передачу файлу. Інший шлях - ввести програму миттєвого обміну повідомленнями в якості винятку, щоб брандмауер Windows дозволив підключення до комп'ютера.
Щоб додати програму до списку винятків, виконайте етапи наступної процедури.
Натисніть кнопку Пуск. а потім виберіть Панель керування.
На панелі керування виберіть Центр безпеки. а потім Брандмауер Windows.
На вкладці Виключення в розділі Програми та служби (він показаний на зразку знімка екрана), встановіть прапорець для програми або служби, яку потрібно вирішити. Потім натисніть кнопку ОК.
Якщо програми (чи служби), яку потрібно вирішити, немає в списку:
Натисніть кнопку Додати програму.
У діалоговому вікні Додавання програми виберіть програму, яку потрібно додати, а потім натисніть кнопку ОК.
Порада. Якщо програми (чи служби), яку потрібно вирішити, немає в діалоговому вікні Додавання програми. то натисніть кнопку Огляд. знайдіть програму, яку потрібно додати, а потім двічі клацніть її. (Програми в комп'ютері зазвичай зберігаються в папці Program Files.) Програма відобразиться в розділі Програми в діалоговому вікні Додавання програми.
Якщо немає іншого виходу, відкрийте порт
Якщо програму все ж не вдається відшукати, можна відкрити порт. Порт схожий на маленьку двері в брандмауері, через яку можуть бути встановлені підключення. Щоб вказати порт, який потрібно відкрити, на вкладці Винятки натисніть кнопку Додати порт. (Відкриваючи порт, не забудьте закрити його після того, як відпаде необхідність в його використанні.)
Додати виключення краще, ніж відкрити порт, з наступних причин:
Це легше зробити.
Не потрібно знати номер порту.
Додати виключення менш небезпечно, ніж відкрити порт, так як брандмауер відкритий тільки тоді, коли програма очікує підключення.
Додаткові можливості
Досвідчені користувачі можуть відкривати порти і налаштовувати діапазон для окремих підключень, щоб звести до мінімуму можливості для зловмисників підключитися до комп'ютера або мережі. Щоб зробити це, відкрийте брандмауер Windows, виберіть вкладку Додатково і використовуйте параметри в розділі Параметри мережевого підключення.
додаткові відомості
Додаткові відомості про безпеку Windows XP SP2 см. В
Визначення термінів безпеки см. В