Zabezpieczyć Windowsa XP.doc

Najważniejszą, a zarazem najprostszą w wykonaniu rzeczą, jest trzymanie zaktualizowanego systemu. Co to oznacza? Aplikowanie odpowiednich patchy (hotfixów, łatek, ...) bez lekceważenia informacji o potencjalnych zagrożeniach. Można powtarzać to do znudzenia, a i tak całkiem spora grupa użytkowników tego nie robi. To poważny błąd. Informacji o tego typu rzeczach najlepiej szukać w specjalistycznych serwisach, np. takich jak nasz. Regularne samodzielne ich przeglądanie, choćby tylko pod kątem opisywanych dziur w zabezpieczeniach, da o wiele więcej niż poleganie na znajomych, sąsiadach, czy własnej intuicji. Korzystanie z serwisu WindowsUpdate jest rzeczą nad wyraz pożądaną (ze wszechmiar wskazana jest bezwzględna instalacja wszystkiego, co określane jest tam mianem Critical), nie jest to jednak wystarczające. Podobnie z oficjalną stroną MS poświęconą bezpieczeństwu Windowsa XP (znajdziecie ją pod tym adresem). Odpowiednie łatki często pojawiają się tam po prostu zbyt późno, dając hackerom czas na trenowanie swoich umiejętności. Jeśli dowiadujemy się o problemie dopiero z WindowsUpdate znaczy to, że z dużym prawdopodobieństwem taką łatkę można było już gdzieś wcześniej dostać. Pojawia się tutaj co prawda problem ufania serwisom, z których ściągamy aktualizacje zabezpieczeń. Najpewniejszym miejscem, z którego zaleca się pobieranie łatek (już konkretnych plików), są serwery Microsoftu. Dopiero w drugiej kolejności poważne serwisy zajmujące się tą tematyką. W Polsce jest takich raptem kilka, warto się z nimi zapoznać.

Kwestią związaną z trzymaniem systemu w jak najbardziej aktualnej postaci jest wybór wersji językowej. Polska lokalizacja XP, podobnie jak i lokalizacje innych produktów Microsoftu, zazwyczaj nie są traktowane priorytetowo. Dlatego też często zdarza się, że łatka do znanego problemu jest już dostępna, jednak tylko dla angielskiej edycji (same Service Packi wychodzą z kilkumiesięcznym opóźnieniem!). To spory argument ZA używaniem angielskiej wersji systemu, która przecież z powodzeniem obsługuje polskie czcionki, klawiaturę czy polskie programy.




Jak słusznie zauważył Piotr/piciu/Krzyżański (thx), nie sposób nie zwrócić uwagi w takim artykule na kwestię, o którą trzeba zadbać już na etapie instalacji samego Windowsa. Chodzi oczywiście o system plików. Bezwzględnie zalecamy korzystanie z NTFS'a zamiast staruszka FAT'a. Dlaczego? Z kilku powodów - przede wszystkim, system ten oferuje zaawansowane możliwości kontroli dostępu do zasobów. Dzięki temu można swobodnie ustawiać prawa odczytu i zapisu nawet dla pojedynczych plików czy katalogów (co przyda się w opisywanym później udostępnianiu materiałów w sieci lokalnej czy też tworzeniu tzw. bezpiecznych katalogów, w których w sposób zaszyfrowany przechowywać możemy swoje najcenniejsze rzeczy). Mało tego, NTFS jest znacznie bardziej odporny na uszkodzenia (powstałe np. w wyniku zawieszenia się lub spontanicznego restartu komputera). Jeśli zainstalowaliśmy już system na partycji FAT'owej, możemy skorzystać z narzędzia do konwersji. Wpisując w polu Start/Run polecenie convert c: /fs:ntfs dokonamy konwersji istniejącego systemu plików na dysku c: bez utraty istniejących danych.

Drugą rzeczą jest katalog (a także i dysk), w którym zainstalowany jest system. Domyślnie jest nim c:/WINDOWS i stanowi to cenną informację dla potencjalnego hackera. Dlatego też zaleca się zainstalowanie Windowsa w niestandardowym katalogu (a w ramach możliwości, także i na niestandardowej partycji). Sama zamiana c:/WINDOWS na np. c:/WINDOWSXP spowoduje, że większość popularnych narzędzi użytych przeciwko nam bez większego zastanowienia po prostu nic nie da.




Windows XP w trakcie instalacji tworzy konta użytkowników: Administrator i Guest. Dzięki temu potencjalny hacker od razu zna przynajmniej dwa funkcjonalne loginy, a to czasem już całkiem sporo. Można to prosto i szybko poprawić. Uruchamiamy secpol.msc (np. przez Start/Run), rozwijamy zakładkę Local Policies i wybieramy Security Options.

Interesujące nas opcje to Accounts: Rename administrator account i Accounts: Rename guest account. Zmieniamy w tym miejscu te dwie wartości na wybrane przez nas. Następnie opcję Accounts: Guest account status ustawiamy na Disabled, żeby uniemożliwić anonimowy dostęp do naszego komputera. W celu udostępniania plików najlepiej jest zrobić osobne konto użytkownika i jego hasło przekazać tylko tym, którym z całą pewnością chcemy dać dostęp do naszych zasobów.

Inną istotną rzeczą, o której wypada wspomnieć przy okazji kont systemowych jest to, że nie powinno się pracować na systemie z konta administratora. To też z pewnością nie nowość dla użytkowników linuxa. Windows XP jednak defaultowo przy instalacji tworzy nam konto z uprawnieniami administratora, co nie jest zalecane. Dlatego też należy po podjęciu wspomnianych już kroków odnośnie kont administratora i gościa stworzyć sobie dodatkowe konta wykorzystywane na codzień. Z prawami zwykłych użytkowników - jedno do udostępniania plików w sieci lokalnej, drugie do normalnej pracy. Konta administratora (z szeregiem niebezpiecznych uprawnień) będziemy używać wtedy tylko do grzebania w systemie (np. instalowania programów, zmian konfiguracji), a nie do takich trywialnych rzeczy jak przeglądanie stron www. Przy takim wykorzystaniu możliwości oferowanych przez system obsługujący wiele kont użytkowników, ewentualne włamanie z poważnymi konsekwencjami staje się od razu trudniejsze.




W tej samej zakładce, w której edytowaliśmy parametry kont administratora i gościa, warto wyłączyć (ustawić na Disabled) następujące opcje:

·         Interactive logon: Do not require CTRL+ALT+DEL.

·         Network access: Allow anonymous SID/name translation.

·         Network access: Let Everyone permissions apply to anonymous users.

·         Recovery console: Allow automatic administrative logon.

·         Recovery console: Allow floppy copy & access to all drives & all folders.

Natomiast jako włączone (Enabled) z kolei te:

·         Devices: Restrict CD-ROM access to locally logged-on user only.

·         Devices: Restrict floppy access to locally logged-on user only.

·         Interactive logon: Do not display last user name.

·         Network access: Do not allow anonymous enumeration of SAM accounts.

·         Network access: Do not allow anonymous enumeration of SAM accounts & shares.

·         Network security: Do not store LAN Manager hash value on next password change.

·         System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links).

Wejdźmy teraz w zakładkę Local Policies/User Rights Assignements. Także tutaj jest kilka ciekawych rzeczy, o których wypada wiedzieć:

·         Access this computer from network: ta opcja pozwala wybrać nazwy konkretnych użytkowników, którzy będą mieli dostęp do tego komputera z sieci. Najlepiej pozostawić tam jedynie stworzonych własnoręcznie (publiczne konto Guest wyłączyliśmy już wcześniej) użytkowników tylko na użytek połączeń sieciowych.

·         Deny access to this computer from the network: tutaj możemy podać użytkowników, którym chcemy zabronić możliwości, którą omawialiśmy powyżej. Jeśli jednak poprzednią opcję skonfiguruje się wg. naszych zaleceń, nie potrzeba już tutaj dodatkowo potwierdzać swojego wyboru. Niemniej, warto wiedzieć o takiej możliwości.

·         Deny logon locally i Deny logon through Terminal Services: tutaj podajemy nazwy użytkowników, którym chcemy zabronić logowania się na nasz komputer - czy to w formie bezpośredniej posiadając fizyczny dostęp do maszyny, czy też przez usługi zdalnego dostępu. Należy tutaj podać wszystkich użytkowników, których używamy do udostępniania plików czy innych zasobów (drukarki itp) w sieci (namawialiśmy do tego przy okazji wyłączania konta Guest).

Ponadto, w zakładce Computer Configuration/Administrative Templates/System/Windows File Protection modułu gpedit.msc (uruchamiamy go tak samo jak secpol.msc) znajdźmy opcję Set Windows File Protection scanning. WFP to moduł sprawdzający integralność systemu reagujący na próbę podmiany kluczowych jego plików. Różne poradniki wyciskania siódmych potów z XP zalecają wyłączenie WFP, my jednak ostrzegamy, że fakt ten zdecydowanie odbije się na stabilności i bezpieczeństwu. Dlatego też radzimy ustawić tą opcję na Enabled/Scan during setup, dzięki czemu sprawdzanie będzie dokonywane dodatkowo przy każdym restarcie.




Ciężko jest wymyślić hasło, którego nie da się zcrakować. Skupmy się zatem na tym, żeby ewentualne złamanie hasła uczynić jak najcięższym zadaniem. A że do problemu stosowania haseł podchodzimy w większości przypadków ze znudzeniem i rutyniarstwem, czas nałożyć sobie samemu ograniczenia, które przypomną o konieczności dbania o bezpieczeństwo. W tym celu ponownie uruchamiamy program secpol.msc, rozwijamy zakładkę Account Policies i wybieramy Password Policy. Jest tutaj klika opcji, z którymi warto się bliżej zapoznać:

·         Enforce password history: ustala, ile razy musimy zmienić własne hasło, nim będziemy mogli ponownie użyć któreś stosowane już wcześniej. Najlepiej unikać czegoś takiego zupełnie, dlatego też zalecamy ustawienie tej opcji na najwyższą możliwą wartość, 24.

·         Maximum password age: określa, jak długo możemy używać danego hasła. Po upływie tego czasu (liczonego w dniach) zostaniemy poproszeni o zmianę. Defaultowa wartość 0 jest raczej niewskazana, zalecalibyśmy ustawienie jej na rząd 30-60 dni.

·         Minimum password length: to minimalna liczba znaków, jaką może mieć dopuszczalne hasło. Zalecamy ustawienie tej wartości na minimum 6-8.

·         Password must meet complexity requirements: to opcja, której włączenie powoduje akceptowanie haseł o dużej złożoności. System nie zaakceptuje wtedy hasła zawierającego w sobie ciąg znaków z loginu lub takiego, które nie składa się z dużych i małych liter oraz cyfr i znaków specjalnych.

Opcje te szczególnie przydatne są, gdy chcemy narzucić innym użytkownikom stosowanie się do odpowiednio wysokich standardów zabezpieczeń (co może się przydać, kiedy współdzielimy komputer z innymi ludźmi). Jest też i batem dla nas samych - jeśli system przypomni nam o konieczności zmiany hasła, prościej będzie je zmienić (tutaj Windows z odpowiednimi ustawieniami zadba o to, żebyśmy wybrali w miarę bezpieczny ciąg znaków) niż grzebać w ustawieniach zabezpieczeń w secpol.msc :-)




Internet Explorer jest jedną z najbardziej newralgicznych części systemu Windows XP. To właśnie w niego wymierzana jest zdecydowana większość ataków przy użyciu najpopularniejszych metod. Odpowiednie ustawienie przeglądarki przed przystąpieniem do radosnego surfowania po sieci jest zatem rzeczą podstawową. Warto dodać, że umiejętności tzw. script-kiddies, czyli dzieciaków włamujących się do komputerów, zwykle kończą się właśnie na atakach okołoInternetExplorerowych. Pozostałe metody są już nieco trudniejsze w zastosowaniu - nic dziwnego zatem, że IE poświęcimy sporo miejsca. Uruchamiamy zatem IE, w menu Tools szukamy Internet Options, po czym wybieramy zakładkę Security:

Widzimy tutaj tzw. strefy adresów, z którymi łącząc się IE przyjmie zadany zestaw ustawień. Strefą, z której korzystamy najczęściej jest oczywiście Internet i zamiast wybierać predefiniowany zestaw zabezpieczeń, klikamy w przycisk Custom Level:

W tym miejscu znajduje się cała masa ustawień, z którymi warto się bliżej zapoznać:

·         Download unsigned ActiveX controls: Nie podpisane przez nikogo kontrolki ActiveX są największym zagrożeniem dla niedoświadczonych użytkowników i zdecydowanie nie powinny być ustawione na Enabled. Zaleca się ustawienie Disabled lub Prompt, kiedy to system spyta się o pozwolenie. My jednak postaramy się zamiast opcji Prompt skorzystać później ze strefy stron zaufanych, którym pozwolimy na większą swobodę bez rysy na bezpieczeństwie.

·         Initialize & script ActiveX controls not marked as safe: Podobnie jak w opcji poprzedniej z tym, że tym razem dotyczy tu skryptów.

·         Run ActiveX controls & plug-ins: Ponieważ wcześniej wyłączyliśmy akceptowanie wszystkich kontrolek bez wyjątku, możemy zostawić tą opcję na Prompt, dzięki czemu zawsze przed uruchomieniem zostaniemy poproszeni o potwierdzenie. Dzięki temu mamy kontrolę nad tym, na których etapach wczytywania się stron uruchamiane są zewnętrzne aplikacje i łatwiej wyłapać jest nam podejrzane zachowanie.

·         Script ActiveX controls marked safe for scripting: Analogicznie do opcji poprzedniej, z tym że znowu dotyczy to skryptów.

·         Active scripting: Najbardziej kontrowersyjna opcja IE. To właśnie dzięki aktywnym skryptom dokonuje się najwięcej włamań do systemów przez przeglądarkę. Niektórzy eksperci twierdzą, że tylko wyłączenie tej opcji gwarantuje bezpieczeństwo i nie jest to pozbawione argumentów. Niemniej, wiele witryn korzysta z dobrodziejstw tej opcji (np. WindowsUpdate). Rodzi się zatem problem, który proponujemy rozwiązać wyłączając (Disabled)tą opcję dla strefy Internet i umożliwiając korzystanie jej jedynie stronom znajdującym się w strefie Trusted (o tym później).

·         Allow paste operations via script: Dzięki tej opcji strony webowe będą mogły uzyskać dostęp do schowka, czyli miejsca w pamięci, w którym przechowywana jest zawartość operacji Copy i Paste. Zdecydowanie zaleca się ustawienie tej opcji na Disabled.

·         Scripting of Java applets: JavaScript (nie mylić z samą Javą) to język skryptów podobny do Active scripting i jako taki także powinien być wyłączony dla strefy Internet.

Teraz, żeby nie poświęcać funkcjonalności na ołtarzu paranoi, w zakładce Internet Options/Security wybieramy zamiast strefy Internet strefę Trusted sites, po czym klikamy w przycisk Sites:

W tym miejscu możemy dodać adresy wszystkich stron, którym chcemy dać możliwość korzystania z wcześniej ograniczonych uprawnień. Warto więc podać tam http://microsoft.com, czy też inne "pewne" serwisy używające skryptów czy kontrolek.

Ponadto, używając gpedit.msc (uruchamiamy go tak samo jak secpol.msc), można w zakładce Computer Configuration/Administrative Templates/Internet Explorer skorzystać z opcji Security Zones: Do not allow users to change policies i Security Zones: Do not allow users to add/delete sites. Zabroni to użytkownikom bez praw administratora (a, jak już wspominaliśmy, z takich właśnie kont należy korzystać z systemu) na zmianę tych parametrów.

Zainteresujmy się jeszcze w Internet Options zakładką Content. Ważna z punktu widzenia bezpieczeństwa jest obecna tutaj opcja AutoComplete, w którą klikamy:

Funkcja ta istotnie zwiększa komfort korzystania z sieci, z drugiej jednak strony stanowi poważne zagrożenie bezpieczeństwa i prywatności. Pozwoli ona komuś, kto w jakiś sposób zaloguje się jako używany przez nas użytkownik, uzyskać dostęp do zapisanych w pamięci naszych nazw użytkowników, haseł, opcji i wielu innych rzeczy, których zwykle nie mamy ochoty podawać co chwila w formularzach, a które niejednokrotnie wcale nie są takie niewinne. Dlatego też polecamy odznaczenie opcji Forms (czyli np. frazy używane przez nas ostatnio przy korzystaniu z wyszukiwarek sieciowych), User names and passwords on forms oraz Prompt me to save passwords (znaczenia tych opcji chyba nikomu nie trzeba uzmysławiać). Dla pewności możemy teraz kliknąć w przyciski Clear Passwords i Clear Forms, żeby wyczyścić z pamięci ewentualne pozostałości naszej zabawy sprzed okresu "bezpiecznego IE".

Przejdźmy teraz do zakładki Internet Options/Advanced. Tutaj także znajdziemy kilka opcji, którym warto się przyjrzeć:

·         Use Passive FTP (for firewall & DSL modem compatibility): Zaznaczając tą opcję zmuszamy przeglądarkę do korzystania z tzw. trybu pasywnego w połączeniach protokołem FTP. Dzięki temu między innymi nie udostępnimy tak łatwo swojego adresu IP.

·         Check for publisher’s certificate revocation: Zmusi to przeglądarkę do sprawdzania, czy wydany certyfikat na komponenty, z których właśnie mamy zamiar skorzystać, nie został z jakichś powodów cofnięty. Zaznaczamy tą opcję.

·         Check for server certificate revocation: Podobnie jak poprzednia opcja z tym, że ta dotyczy certyfikatów anulowanych przez serwer, a nie wydawcę.

·         Check for signatures on downloaded programs: Dzięki włączeniu tej opcji (co zalecamy) IE sprawdzał będzie w ramach możliwości autentyczność programów ściąganych przy jego użyciu.

·         Do not save encrypted page to disk: Zdecydowanie zaznaczyć. Dzięki temu strony z poufnymi informacjami (choć zaszyfrowanymi) nie będą zapisywane na dysku w celach tymczasowej ich obsługi.

·         Warn about invalid site certificates: Zalecamy zaznaczenie tej opcji, co spowoduje wygenerowanie ostrzeżenia w przypadku braku zgodności adresu na certyfikacie strony ze stanem faktycznym.

·         Warn about changing between secure & not secure mode: Dzięki zaznaczeniu tej opcji będziemy informowani o zmianie trybu pracy przeglądarki pomiędzy bezpiecznym i niezabezpieczonym. Warto wiedzieć, które informacje idą jaką drogą.

·         Warn if forms submittal is being redirected: Zalecamy zaznaczenie tej opcji. Dostaniemy wtedy informację, kiedy dane z wypełnionego przez nas formularza mają zostać przekazane do innej strony niż ta, na której znajdował się sam formularz.

Zewnętrznych narzędzi, których możemy użyć żeby jeszcze bardziej zabezpieczyć swój system, jest całkiem sporo. Do najpopularniejszej grupy należą oprogramowanie antywirusowe (kto jeszcze nie złapał wirusa niech wie, że to tylko kwestia czasu i że powiedzenie "czego oczy nie widzą, tego sercu nie żal" nie ma zastosowania w tym wypadku) i tzw. firewalle. Firewalle to programy ściśle kontrolujące przepływ informacji przez nasze łącze internetowe i odpowiedniej ich konfiguracji poświęcimy osobny artykuł. W systemach Windowsowych spełniają one dodatkową funkcję - pozwalają na limitowanie dostępu do sieci poszczególnym programom. To ciekawa rzecz, która pozwoli nam dokładnie kontrolować, który komponent systemu i w jakim celu próbuje uzyskać dostęp do sieci (czegoś takiego nie oferuje firewall wbudowany w XP i dlatego go nie polecamy). Po zezwoleniu na dostęp do netu jedynie używanym przez nas programom i pewności, że nic innego się nie przeciśnie, od razu poczujemy się lepiej.

Warto też skorzystać z narzędzi, które w bezpieczny sposób przeskanują nasz system w poszukiwaniu dziur w zabezpieczeniach. Polecane przez nas to:

·         Microsoft Baseline Security Analyzer: Narzędzie autorstwa Microsoftu, które pomoże wytknąć nam dziury w posiadanym systemie.

·         Qualys BrowserCheck: Ciekawa strona webowa, która próbuje robić użytek z instejących w naszej przeglądarce dziur. Przedstawia odpowiedni raport i sugestie rozwiązania problemów.

·         XP AntiSpy: Bardzo popularny program do wykrywania i wyłączania wszystkich opcji Windowsa XP mogących umożliwić komuś naruszenie naszej prywatności. Jedno z najlepszych narzędzi tego typu.

·         ...