2.1 Безопасность Windows
Общие замечания
I.Периодически устанавливайте обновления операционной системы.
II.Не теряйте из виду файлы и документы на вашем компьютере.
III.Используйте пароль BIOS для защиты компьютера при загрузке.
IV.Чтобы затруднить доступ посторонних к вашему компьютеру, используйте
программу блокировки содержимого экрана или защищенный паролем хранитель
экрана.
V.Используйте пароли, когда это возможно, и не делайте их достоянием
гласности.
VI.Будьте осторожны при установке программ и при работе с предустановленными
программами. Используйте только те программы, которые нужны для
работы; остальные лучше удалить.
Мы обсудили безопасность рабочей среды. Теперь мы знаем: очень
важно понимать, что именно делает ваш компьютер. Обратимся к более
техническим вопросам. Речь пойдет о главном условии нормальной работы
компьютера – стабильности операционной системы (ОС). Если вы утратите
контроль над компонентами компьютера и программами, функциональность
и безопасность компьютера могут существенно пострадать. ОС дает
возможность с помощью разных настроек повышать (или понижать) уровень
безопасности. ОС – главный управляющий центр компьютера. Безопасность
зависит не только от нее, но важно знать об уязвимостях и возможностях
администрирования ОС.
Windows – ОС, которая печально известна "благодаря" большому
числу таких уязвимостей. Если по тем или иным обстоятельствам вы
выбрали именно ее (а не какую-нибудь альтернативу, например, один
из клонов Linux), вам будет полезно, как минимум, иметь представление
о том, как сделать вашу ОС более безопасной. В этой главе вы можете
встретить советы, касающиеся разных версий Windows. Некоторые версии
Windows (например, XP Professional) обладают дополнительными настройками,
с помощью которых можно управлять уровнем безопасности компьютера.
Эти опции по умолчанию отключены. Чтобы их включить, вам надо постараться
самому.
Обновления
Обновления Windows – это усовершенствования и "заплатки",
которые не вошли в дистрибутив ОС. С их помощью производитель решает
проблемы с безопасностью, обнаруженные после выхода официальной версии.
Иногда Microsoft выпускает целый пакет обновлений (т.н. service pack).
Для Windows 95, 98 и NT такая практика уже прекращена. Можно скачать
и установить обновления за предыдущие годы, но на дальнейшую поддержку
вы можете не рассчитывать. Выпуск обновлений для Windows 2000 и XP
продлится до июня 2010 года включительно(1).
Если у вас нет доступа
к Интернету, сетевые атаки вам не грозят. Тем не менее, разумно
обновлять ОС, например, с компакт-диска. Можно написать в Microsoft
и попросить прислать свежий пакет обновлений (будьте готовы сообщить
информацию, подтверждающую законность приобретения ОС).
Если доступ к Интернету есть, можно зайти на сайт http://update.microsoft.com.
Там вы узнаете, какие обновления доступны для вашей версии Windows,
и сможете установить те, которые вам необходимы. Если ваш компьютер
работает под управлением Windows XP, сайт сначала проверит действие
вашей лицензии. Даже если у вас медленный и дорогой доступ к Интернету,
и скачивание больших файлов доставляет хлопоты , я настоятельно
советую установить обновления, по крайней мере, самые важные ("критические").
Обновления для любой операционной системы можно скачать прямо из
каталога Microsoft(2). Это удобно, если обновить нужно сразу несколько
компьютеров (глупо каждый раз скачивать файл из Интернета). Действие
лицензии перед скачиванием файла не проверяется.
Если вы используете Windows ME, 2000 или XP, да к тому же имеете
постоянное подключение к Интернету, Windows можно настроить на периодическую
проверку, скачивание и установку обновлений. Отправляйтесь в "Панель
управления" (Control Panel), выберите пункт меню "Система",
а в нем – вкладку "Автоматическое обновление". Отметьте
галочкой первое же поле, чтобы включить автоматическую установку
обновлений.
__________________________________
(1) См. http://support.microsoft.com/lifecycle.
(2) http://v4.windowsupdate.microsoft.com/catalog; пользователям
Windows 95 следует выбирать http://www.microsoft.com/windows95/
Где хранятся файлы?
Поговорим о том, где Windows хранит важные пользовательские (а также
временные) файлы. Это важно знать перед тем, как "почистить"
компьютер от лишних файлов, определить слабые места в системе безопасности
и организовать грамотную защиту данных.
Пользовательские документы
Многие пользователи хранят свои файлы в папке "Мои документы"
(My Documents). Там можно найти информацию о вашем профиле Windows. Эта
ОС создает для каждого свой профиль,
где хранятся соответствующие данные:
журнал посещений Интернет-браузера,
закладки, файлы cookies, содержимое рабочего
стола, пользовательские настройки
программ (например, электронные письма
в Outlook).
Windows 95, 98, ME
По умолчанию персональные файлы хранятся в следующих папках:
Документы – C:\My Documents
Содержимое рабочего стола – C:\Windows\Desktop
Пользовательские настройки программ – C:\Windows\Application Data
Закладки – C:\Windows\Favourites
Журнал – C:\Windows\History
Если вы создадите пользователя "Anton" (Панель управления
– Профили пользователей; Control Panel – User Accounts), его персональные
файлы будут храниться тут: C:\Windows\Profiles\Anton.
О серьезной системе защиты говорить не приходится: любой пользователь
имеет полный доступ к папкам своих "соседей" на этом компьютере.
Windows NT, 2000, XP
В этих ОС предусмотрена возможность создавать профили для разных
пользователей. В нашем примере данные будут находиться здесь:
C:\Documents and Settings\Anton
Как правило, пользователи не могут видеть файлы друг друга. Впрочем,
администратор имеет доступ к любым файлам на компьютере. Не следует
использовать для работы администраторский профиль или же профиль
с полномочиями администратора.
Временные файлы
Эти файлы компьютер собирает и создает в процессе работы. Незаконченные
тексты, несохраненные документы, картинки из Интернета (так называемый
кэш), множество других файлов, которые иллюстрируют ваше общение
с компьютером. Время от времени полезно делать "чистку",
и вот каким образом:
Пуск – Все программы – Стандартные – Служебные – Очистка диска
(Start – Programs – Accessories – System Tools – Disk Clean Up)
Выберите, какие временные файлы вы хотите удалить. Для надежного
уничтожения файлов (без возможности восстановления) пользуйтесь
программой BCwipe (ее можно взять, например, из комплекта программ
"НПО в коробке: безопасность" (NGO in a Box – Security
Edition)). Очистка диска от временных файлов полезна также потому,
что позволяет высвободить больше места для работы.
Аккуратно удалить файлы, используя различные настройки, можно
с помощью таких программ, как BCWipe и CCleaner(3).
__________________________________________________________________________________________________
(3)Эти инструменты можно найти в пакете "НПО в коробке:
безопасность" ("NGO in a Box – Security Edition")
и на веб-сайте http://security.ngoinabox.org.
"Экранные замки"
Что предпринять, если компьютер включен и работает, но надо временно
закрыть к нему доступ? В Windows это можно сделать с помощью пароля:
поставить на экран виртуальный "замок" или включить защищенный
паролем хранитель экрана.
Экранный "замок" – Windows NT, 2000
Убедитесь, что для вашего пользовательского профиля включена опция
парольной защиты.
Нажмите одновременно клавиши CRTL + ALT + DEL.
Нажмите клавишу Enter.
Экранный "замок" – Windows XP
Вариант 1) Нажмите одновременно "клавишу Windows" (если
такая есть у вас на клавиатуре) + L
Вариант 2) Переключитесь на "классический" вид Windows
для активации функции экранного замка.
Выберите Пуск – Панель управления.
Дважды щелкните по значку Учетные записи пользователей.
Выберите Изменение входа пользователей в систему.
Уберите галочку из поля Использовать страницу приветствия.
Теперь вы можете использовать комбинацию Ctrl + Alt + Del, чтобы
активировать экранный "замок".
Вариант 3) Кликните правой кнопкой мыши на пустом месте где-нибудь
на рабочем столе
Выберите Создать – Ярлык (New – Shortcut).
Наберите в появившемся поле rundll32.exe user32.dll, LockWorkStation.
Нажмите Далее.
Наберите имя для нового значка (к примеру, Экранный замок).
Нажмите Готово.
На рабочем столе появится значок. Двойнок клик по этому значку
вызовет экранный "замок". Чтобы вернуться к работе, нужно
ввести пароль.
Windows 95, 98, ME
К сожалению, в этих ОС нет специальной функции экранного "замка".
Придется использовать защищенный паролем хранитель экрана и создавать
для него значок (или указывать период бездействия, по истечении
которого хранитель включается).
Хранитель экрана – (Windows 95, 98, ME)
Кликните правой кнопкой мыши на рабочем столе и выберите из выпадающего
меню пункт Свойства. Выберите закладку Заставка, в ней – хранитель
экрана, который вам нравится. Поставьте галочку в поле Защита паролем
(Password Protect) и введите желаемый пароль. Установите период
срабатывания хранителя экрана на 5 минут. Теперь можно сделать ярлык,
чтобы запускать хранитель экрана прямо с рабочего стола – тогда
не придется ждать пять минут, если нужно немедленно включить парольную
защиту.
Пуск (Start) – Поиск (Search) – Файлы и папки (Files & folders)
Наберите *.scr
Нажмите Enter
Вы получите список всех хранителей экрана, которые обнаружены на
вашем компьютере. Выберите хранитель и щелкните по нему правой кнопкой
мыши.
Выберите Отправить (Send to) – Рабочий стол (создать ярлык) (Desktop
(Create ShortCut))
Теперь включить хранитель экрана можно щелчком по ярлыку на рабочем
столе. Впрочем, можно упростить дело. Щелкните правой кнопкой мыши
по ярлыку и выберите Свойства (Properties). Выберите Быстрый вызов
(Short cut key) и нажмите Ctrl + Alt + S.
Нажмите
OK. Теперь хранитель экрана можно вызывать комбинацией этих клавиш.
Не очень-то надежный способ защиты, но лучше, чем оставлять компьютер
открытым для всех. .
Хотите узнать больше?
BIOS
У каждого компьютера имется BIOS (читается "биос") – базовая
система ввода-вывода (Basic Input/Output System). Ее задача – передавать
компьютеру начальные инструкции при загрузке. После того, как компьютер
включен, последовательно запускаются программы BIOS. Они тестируют
аппаратное обеспечение, дают старт жесткому диску и операционной системе.
Инструкции BIOS хранятся в специальной "памяти только для чтения"
(ROM – Read Only Memory). Пользователю они не видны. Однако большинство
компьютеров позволяет просматривать и настраивать BIOS, включая опцию
парольной защиты.
Чтобы войти в BIOS, при загрузке компьютера нужно нажать определенную
клавишу (или сочетание клавиш). Это может быть F1, F2, F10, F12
– в зависимости от типа BIOS. Иногда используются клавиши ESC или
DEL. У некоторых компьютеров загрузка происходит быстро, и может
понадобиться нажать клавишу Pause, чтобы прочесть текст на экране.
Здесь мы обсуждаем только парольную защиту. Не меняйте ничего в
стандартных настройках BIOS, если вы не уверены в их предназначении.
BIOS бывают разные, но возможность парольной защиты есть у всех.
Power On password. Эта функция защищает BIOS от несанкционированного
доступа. Без нужного пароля компьютер просто не запустится.
Hard-drive password. Эта функция говорит BIOS, что без пароля нельзя
запустить жесткий диск компьютера. Может быть полезно для ноутбука,
который часто погружается в режим ожидания и отключает жесткий диск.
Supervisor password (BIOS password). Главный, "управляющий"
пароль, который имеет приоритет над двумя предыдущими. Устанавливать
его необязательно, однако если вы забыли (или просто хотите поменять)
один из первых двух паролей, нужно знать supervisor password.
С помощью этих паролей можно защитить компьютер от включения. Это
станет препятствием для не слишком настойчивого злоумышленника.
Способ защиты далек от идеала – есть несколько способов обойти пароли
BIOS. Почти все они подразумевают физический доступ внутрь системного
блока. Если злоумышленник туда доберется, он может сбросить установки
BIOS к первоначальным или вообще вынуть жесткий диск, чтобы потом
запустить его на другом компьютере, где нет защиты BIOS. Выбирайте
качественный компьютерный корпус, который запирается физически.
Но если вы сами забыли пароль BIOS, придется опробовать методы,
о которых сказано выше.
(начиная с верхнего кружка по часовой стрелке)
Устанавливайте свежие обновления ОС – Периодически удаляйте временные
файлы – Поставьте парольную защиту при запуске компьютера – Используйте
экранный "замок" или защищенный паролем хранитель экрана
– Выключайте компьютер на ночь – Установите брандмауэр, антивирус
и антиспамерский фильтр – Отключите все ненужные компоненты и службы
(в центре)
Безопасность Windows
Установка программ
Хотите узнать больше?
Многие компьютеры попадают к нам с предустановленным программным
обеспечением. Это вполне нормально. Однако помните, что предустановленные
программы несут определенную угрозу безопасности. Есть другое решение.
Если у вас неограниченный и/или дешевый доступ к Интернету, все,
что вам нужно – компакт-диск с Windows. Остальное можно найти в
каталогах бесплатных программ в Интернете(4). Когда я покупаю новый
компьютер, мой первый шаг – отформатировать жесткий диск. То есть,
удалить все, включая операционную систему. Потом я начинаю "с
нуля", зато в полной уверенности, что никаких "подводных
камней" не осталось. Среди предустановленных программ попадается
немало пробных версий антивирусов, графических пакетов и т.д. Иногда
они содержат шпионские коды. Начиная "с нуля", я полностью
контролирую все настройки безопасности Windows, устанавливаемое
программное обеспечение и вообще все компоненты компьютера. Присмотритесь
к советам по безопасности Windows (см. пакет "НПО в коробке:
безопасность"), установите обновления ОС из Интернета, запустите
антивирус, включите брандмауэр, – и уровень безопасности вашего
компьютера будет гораздо выше, чем в момент первого выхода в Интернет.(5)
С чем сравнить установку программ? Представьте, будто вы раздумываете
над тем, что приготовить на ужин. Если использовать продукты, срок
годности которых закончился, или просто малосовместимые друг с другом,
нетрудно получить расстройство желудка. Некоторые программы могут
довести ваш компьютер до неработоспособного состояния, и восстановить
данные уже не получится. Выбирая программу, подумайте, заслуживает
ли доверия ее автор. Диета приносит пользу, только если держаться
подальше от сомнительных продуктов. Зачем устанавливать ненужные
"украшательства" для компьютерного экрана или приложения,
которые помогают быстрее заполнять формы в Интернете? В таких программах
обычно встречаются вирусы, о которых мы говорим в этой книге. Не
пытайтесь "скормить" компьютеру любую программу: компьютер
может "переварить" далеко не все. Если вы в своей работе
ограничиваетесь редактированием текста и приемом/отправкой электронной
почты, для этих нужд достаточно установить OpenOffice и Mozilla
Thunderbird. А больше ничего и не надо. Простое решение, правда?
___________________
(4) Набор дисков "НПО в коробке" (включая диск, посвященный
безопасности) можно бесплатно заказать на сайте www.tacticaltech.org.
(5) См. руководство Маркуса Йохансона (Markus Johansson) по установке
Windows 2000/XP на диске "НПО в коробке: безопасность"
(Secure NGO in a Box).
|