Чтение онлайн

Работаем не от имени администратора (надеюсь, что вы не забыли о том, что "вредоносный код может все то, что могут пользователь и служба").

Отключаем ненужные службы через Пуск Панель управления Администрирование Службы (рис. 7.1 и 7.2).

Рис. 7.1. Службы Windows

Рис. 7.2. Управление запуском – все интуитивно просто

Зачем? Все очень просто. Больше работающих служб (имеется в виду связанных с сетью) – больше

открытых портов – выше вероятность, что через очередной из этих открытых портов "вломится" червь или вирус.

Удаляем "непрошеных гостей" (HelpAssistant и другие "левые" учетные записи) из списка пользователей (рис 7.3).

Рис. 7.3. Всех «левых» пользователей вон!

В пакете SP2 имеется замечательный инструмент DEP (рис. 7.4). Предотвращение выполнения данных (DEP) используется для предотвращения проникновения на компьютер вирусов и других угроз безопасности, выполняющих вредоносный код из областей памяти, которые должны использоваться только операционной системой Windows и другими программами. В отличие от брандмауэра или антивирусной программы, средство DEP не препятствует установке потенциально опасных программ на компьютер. Однако данное обстоятельство никоим образом не уменьшает значимость данной службы. Если какая-либо программа пытается запустить код (любой код) из защищенной области, DEP закрывает программу и отображает уведомление.

Рис. 7.4. Включаем DEP

ПРИМЕЧАНИЕ

Как было уже сказано выше, говорить о защищенной системе уместно только в контексте многоуровневой защиты, и это факт. К примеру, тот же DEP легко обходится некоторыми продвинутыми техниками, и даже в том случае, если речь идет об аппаратном DEP!

Последний штрих – включаем отображение скрытых файлов и папок, а также системных файлов, снимаем флажок в параметре Скрывать расширения для зарегистрированных типов файлов (рис. 7.5). «Зачем?» – спросят некоторые из читателей. Ответ на этот вопрос приходит сам собой: достаточно вспомнить, к примеру, вирус KESHA, распространяющийся через флэшки в виде скрытого системного файла в скрытой папке Recycled.

Рис. 7.5. Эти три нехитрые настройки могут оказаться весьма и весьма полезными

ВНИМАНИЕ

Некоторые вирусы, распространяющиеся описанным выше способом (KESHA.EXE), дезактивируют настройку отображения скрытых файлов и папок. Выход – удаление вируса из-под чистой среды (например, загрузочный LiveCD).

Вышеперечисленные правила – отнюдь не исчерпывающее руководство по оптимизации безопасности системы, однако в большинстве случаев их оказывается вполне достаточно.

«Комплексная безопасность. а при чем здесь взлом Windows?» – спросят многие из читателей. Взлом пароля Windows – это как раз и есть яркий пример успешной атаки, при условии что:

пользователь работает с правами администратора;

не включена служба DEP (в большинстве из случаев программы взлома, подобные описанной ниже, инициируют DEP на принудительный останов службы LSASS);

операционная система не имеет свежих обновлений (от этого, между прочим, в ряде случаев зависит, сработает ли DEP).

Итак, технология.

Для хранения и обработки таких атрибутов пользователя, как пароли в операционной системе Windows NT и ей подобных, используется SAM (Security Accounts Manager –

администратор учетных записей в системе защиты). SAM размещает всю информацию в одноименной базе данных, которая находится по адресу %SystemRoot%\system32\config. Забегая вперед, необходимо сказать, что именно SAM-файл является наиболее ценным трофеем, пропустив который через соответствующую програму, можно получить пароли от текущих учетных записей. Но в данном случае нас в большей степени интересует не взлом как таковой, а уязвимость, посредством которой «брут» имеет место быть.

В операционных системах Windows NT для защиты паролей используются две однонаправленные хэш-функции (хэш-функция– алгоритм, используемый для генерации хэш-кодов цифровых объектов, в нашем случае паролей). В Windows-системе присутствуют LM-хэш (Lan Manager-хэш) и NT-хэш (WindowsNT). Наличие двух аналогичных функций необходимо для совместимости со старыми операционными системами. LM-хэш-алгоритм изначально был разработан Microsoft для операционной системы OS/2, он интегрирован в Windows 95/98, Windows for Workgroups и частично в Windows 3.1. Хэш WindowsNT был разработан специально для операционной системы Microsoft Windows NT. На страже LM-хэша стоит известный алгоритм шифрования DES, NT-хэш держится на алгоритме шифрования MD4.

А теперь внимание (рис. 7.6)!

Рис. 7.6. Локальный взлом SAM. Понадобилось всего 28 секунд, чтобы взломать пароль из восьми знаков

Говоря о многоуровневой защите, нельзя не упомянуть о таком явлении, как утечка информации посредством паразитного электромагнитного излучения.

Представьте себе такую ситуацию: ваша компания оперирует с информацией закрытого характера. На обеспечение надежной защиты информации брошены все силы и вложены значительные финансовые средства. Однако криптография, разделение доступа и политика безопасности – все это в одно мгновение может стать совершенно бесполезным. Почему?

Все началось в 1985 году в Каннах на Международном конгрессе по вопросам безопасности ЭВМ. Именно тогда сотрудник голландской телекоммуникационной компании РТТ Вим ван Экк (Wim van Eck), продемонстрировав, с какой легкостью можно восстановить картинку с монитора компьютера, шокировал присутствующих специалистов: используя довольно простое в своем роде устройство, размещенное в автомобиле, он сумел снять данные, источник которых находился на восьмом этаже здания, располагающегося на расстоянии около ста метров от места перехвата.

Проблема утечки информации через ПЭМИ (побочные электромагнитные излучения) существовала еще в начале ХХ века, однако серьезно изучением этого феномена начали заниматься в конце 1940-х – начале 1950-х годов. Исследования подобного рода носили закрытый характер, что неудивительно, ведь все технические ноу-хау всегда прямым или косвенным образом затрагивали сферу интересов оборонных ведомств. Однако все тайное рано или поздно становится явным, и уже в 1980-х годах количество публикаций на эту щекотливую тему начало неуклонно возрастать. ПЭМИ, возникающие при работе каких-либо электронных устройств, обусловлены протеканием тока в их электрических цепях.

Простейшим примером ПЭМИ на бытовом уровне (очень упрощенно) можно считать возникновение индукционных токов в телефонных проводах. Устройством перехвата в данном случае может служить индукционный датчик (например, датчик Холла). Чтобы убедиться в том, что "умная" электроника активно фонит, вовсе не обязательно держать в квартире дорогостоящую аппаратуру, размещаемую в трех огромных чемоданах. Достаточно включить обычный калькулятор и поднести это "чудо техники" к радиоприемнику, настроив последний на прием коротких волн.