Ochrana Windowsu nastaveniami Windowsu a ine moznosti

[Márty84]

Marty napis lock a bude lock.

To zase neee, to bych neudelal To tema jako takove nic neporusuje, tak at klidne pisou o 106, ja jen upozornuju, nebo vlastne my oba, ze timhle stylem nikoho neoslovi a postrada tak vyznam. Napad to fakt nebyl spatny, ale zatim to nikam nevede

[Pavuk29]

Marty si ma zastavil tesne pred lockom, ja som mal fakt prst na mysi na lavom tlacitku
dobre. nechame topic zit

[sudanec]

nápad založit toto téma byl výborný, provedení strašné, k čemu jsou uživateli mraky obecných rad, které tady dáváte?

KEO bylo by fajn diskutovat o bezpečnosti, kdyby si tady napsal, jakým způsobem Windows upravit, aby byl bezpečnější, myslím tím ale konkrétní rady typu "klikněte tam a tam, změňte tohle a tohle, dosáhnete tím toho a toho", tyhle obecné rady a teoretizování jsou pro mě k ničemu (sorry za upřímnost)

Copy that.

[KEO]

Pozeram, ze sa tu krystalizuje niekolko nazorovych linii.

Ak spravne chapem postoj potomaca, tak tvrdi, ze "zavirovat" system "nevedomky", to znamena cez nejaku zranitelnost, znamu, neznamu je viac-menej nemozne. (V pripade znamych zranitelnosti ochrani aktualizacia, zneuzitie neznamych je v nasich podmienkach raritne a blizi sa statisticky k nule.) Neotvaranie neznamych priloh, nespustanie "cohokolvek" neznameho atd. eliminuje uzivatelom "potvrdene" spustenie a instalovanie malwaru.

KEO hovori o tom, ze v dynamicky sa meniacom systeme je v realnom case tazko povedat, ci je "cisty", alebo nie. Preto pred dolezitejsou operaciou ma prebehnut "reset", navrat do overeneho cisteho stavu. Ak sa tento navrat vie urobit rychlo, nebude to uzivatela obtazovat (cakat hodinu, kym sa natiahne zaloha z CDcka ? )

Pohlad vacsiny ostatnych ludi je asi ten, ako par klikmi spravit z PC nedobitnu pevnost (napriek uletom pri surfovani a spustani hier, ktore neboli kupene v obchode. )

Chapem to zatial spravne?

Presna a spravne pochopena sumarizacia.

DOPLNENIE este:
doplnil by som, ze tento pohlad hovori o tom, ze sa nemusim snazit urobit nedobitnu pevnost. Staci, ked vsetko bude smerovane k tomu, aby mi ziadny utok neublizil, ani mi nesposobil ziadne skody /pripadne niekomu inemu/ a ani ma neobmedzil vyrazne.

Predstavme si to ako jeden system, ktorym je hrad. Utoci sa na hrad a ked sa prenikne do hradu, ma vyhrante. Iny pohlad hovori o tom, napr. ako mali zabezpecne kobky faraoni. Zlodej dosiel dnu a na neho striehli rozne pasce v ktorych nakoniec skoncil a z ktorych sa uz nedostal. Prienik jedinca do hrobky automaticky neznamenal, ze hrobka je jeho. Skor ho ten system nejak potom zlikvidoval, chytiac sa do pasci.

[KEO]

Pani, aby sme sa chapali. Ked mam Tatry03 oslovil, zeby urcite myslienky bolo treba viac rozobrat, nebol som nadseny so zakladanim a preto som si dal podmienku, aby bolo aspon 10 uzivatelov, co ma o to zaujem. Horko tazko sa ich nazbieralo 9, ak nepocitam seba.

Tato tema nema oslovovat siroku verejnost a nikdy ju ani oslovovat nebude. Siroka verejnost sa nezaujima o nieco take, ako je bezpecnost, alebo ju to otravuje.

Toto je urcene ludom, co sa o bezpecnost zaujimaju, vedia o nej nieco, pripadne ju chcu zlepsit.

Typicke - klasicke rady na zabezpecenie si mozu najst v inych vlaknach, bolo tu toho na fore popisaneho dost, vratane navodov.

Toto je iny pohlad na bezpecnost, nez ma toto forum.

Cielom je nast ludi, ktori sa poucia vzajomnou vymenou nazorov. Ukazat cestu, smer. Nie niekoho vodit za rucicku ako male dieta.

Znovu - kebyze tu dam podrobne navody, tak poskodim seba a ludi, ktori maju uz toto zabezpecenie. Pri masovom rozsireni naviac vzniknu navody, ako obchadzat tieto tipy zabezpecenia a prirobim tak sebe a dalsim ludom starosti.

Kritizovat je lahke, ale zapajat sa nikto nechce. Kazdy len caka informacie, ale oponujuci rozumny nazor nepocut. Naviac sa to tu zacina zvrhavat v obhajobu...

Som zaneprazndeny clovek a toto robim zdarma vo volnom case. Nemam cas, kazdemu ukazovat podrobnosti a taktiez to neni ani ciel. Jedna vec sa da urobit X sposobmi a ja cakam tiez, ze diskusia v tomto vlakne ma nejak dusevne obohati, nieco mi da /iny konstruktivny nazor/.

Zopakujem znova - kto chce, pyta sa na podrobnosti a uvidi sa, do akych zajdeme. Ale toto je take siroke tema, ze to by som nan mohol napisat aj knihu a stale by to bolo malo. Tak nechcite zhrnut vsetko snad do SMSky. Kto si mysli, ze na par klikov ma bezpecnost hotovu, tak si asi poplietol vlakno

[KEO]

caRrrnifex.

žádné zálohy/obnovy, live distribuce apod., bohatě stačí lepší konfigurace Windows

Chceli by sme hrad, ale pojdeme ho stavat formickami na pieskovisku ? To snad nie... Napr. zaloha/obnova je najdolezitejsi a najviac podcenovany bod. Kto zmakne toto perfektne, tak vsetko ostatne, su uz len trivialnosti.

V pouzitelnosti live distribucii tiez nevidim problem. Dnes su rozne, este aj lokalizovane, nenarocne. Pripravene na pouzitie. Skoro na klik.

Lepsia konfiguracia - OK, je to skor ulahcenie, doplnok, ale k zabezpeceniu to az taky velky vplyv nema.

ad

doporučení nastavení systému

- preferujem urcite riesenia, lebo sa mi osvedcili na mnou spravovanych pocitacov. Neznamena to vsak, ze vyhovuju kazdemu.

ad rozdělení disku na os a datovou část je dobré (jak teď dál chránit os část, jak datovou? kryptování? read-only oddíl? jak na to?),

- OS sa da chranit klasicky, data je dobre presmerovat na druhy disk. Napr. data z plochy, ukladane subory, mojde dokumenty, atd. Pri zasahoch do systemu, napr. obnoveni z image, obnovujeme MENEJ dat, co je RYCHLEJSIE a zaroven sa nedotkneme vlastnych dat.
- sifrovanie chrani iba pred nabehom OS a pred prihlasenim. Je to skor fyzicke zabezpecenie. Sifrovanie datovej casti, alebo pristupove prava, zas mozu chranit za behu systemu. Na udaje potom mozeme nastavit prava take, ze prihlaseny uzivatel ich nevidi, alebo sa musi znovu autentifikovat, ked chce s nimi robit. Toto vylucuje stavy, ze chcem browsovat a system automaticky pri nejakej chybe ziska opravnenia prihlaseneho uzivatela.

nastavení firewallu, sítě (viz třeba nastavení pevných DNS

- o nastaveniach firewallu sa tu da docitat na fore dost. Zaklad pre bezneho uzivatela by som videl v NEVEREJNEJ IP adrese, chranenej firewallom a vlastny firewall napr. v routeri. Prekontrolovat si dobre, ci je nastavena WAN linka, nepristupna z vonku a na PC mat SW firewall, alebo systemovy. To je zaklad.

- pevne nastavenie DNS - na protokole TCI/IP V4 nastavit miesto pouzitia automatickeho nastavenia DNS servera, zadanie pevnych adries. Nemusi byt len primarna, sekundarna. Da sa ich zadat viac a treba ich zadat v spravnom poradi, co najrychlejsie a bezpecne /ako som spominal Norton, Comodo poskytuju ake take antivirove DNS, a potom su tu klasicke ako OpenDNS, alebo od Google, ci ine/. Antivirove DNSka zabezpecia sluzby niektorych AV, ze odmietnu spojenie na zavirovanu stranku. Nieco podobne s upozornenim robi aj google pri vyhladavani cez vyhladavac. Pevne nastavenie DNS chrani pred utokom na router. Kopec zariadeni nema aktualizovany firmware a su v nich chyby, ktore sa zneuzivaju. Cracker napadne router, modifikuje jeho DNS zaznamy a aj ked je cisty pocitac, udaje DNS su falosne a podnika tak phishingovy utok, odchytavanie udajov bez instalacie SW. Podmienkou vsak je, mat zabezpeceny aj OS, lebo presmerovanie sa da urobit aj v operacnom systeme.

Potom su este moznosti riadit odchadzajucu komunikaciu, ale to je uz zlozitejsie, to by bolo na dlhsie a uz by to postradalo tipy pre bezneho uzivatela.

prohlížečů, javy, flashe, certifikátů atd. atd.

Tie je dobre mat aktualizovane, alebo aj do statickeho systemu ich automaticky zapracovat. Napr. pouzit synchronizacne nastroje.

Co sa da este vylepsit je pouzivanie archaizmov - ako je obmedzit komunkaciu cez proxy server, ktory bude filtrovat prevadzku - na zaklade urcitych nastaveni, podobne ako firewall, a zaroven vyuzit tuto moznost, ako antivirove proxy. To samozrejme nemusi robit ta ista masina. Tusim v CZ som videl aj firmu, co takuto sluzbu poskytuje. Staci si nastavit pre HTTP proxy, alebo email a dane sluzby su filtrovane.
-----------------
Bezpecnost je proces, nie stav. A preto je vela moznosti.... Na kladene otazky je vela odpovedi a preto su prispevky aj objemnejsie.

[Tatry03]

Ak sa vratim k tomu co hrozi, teda odkial mozno ocakavat utok a aby sme diskusiu posunuli ku konkretnejsim otazkam. (Aj ked postupne sa niektore veci vynaraju. )
Pozrite si aktualne Top Threats podla ESETu pre CR.

A teraz otazka pre vsetkych, nielen KEA a potomaca.
Ktore opatrenia (nastavenia) podla vas zastavia tieto hrozby?

Priklad ako by to mohlo vyzerat:
Hrozba XYZ. Na beznom webe je umiestneny skodlivy JS, ktory presmerovava na stiahnutie niecoho.
Riesenie: Zakazat v IE spustanie scriptov.

PS:
Nehadat sa, nerecnit, ale RADIT.
PEACE

[Pavuk29]

A teraz otazka pre vsetkych, nielen KEA a potomaca.
Ktore opatrenia (nastavenia) podla vas zastavia tieto hrozby?

Priklad ako by to mohlo vyzerat:
Hrozba XYZ. Na beznom webe je umiestneny skodlivy JS, ktory presmerovava na stiahnutie niecoho.
Riesenie: Zakazat v IE spustanie scriptov.

PS:
Nehadat sa, nerecnit, ale RADIT.
PEACE

Ja mam vzdy vo Firefoxe zakazane doplnky okrem mnou vybranych a spustam ich len ked ich potrebujem
JS si ani nepamatam, kedy som naposledy povolil.

[potomac]

Tatry03:
Tak udělám stručný komentář k aktuálním hrozbám, jestli není něco jasné, vysvětlím.
Pokud se jedná o spustitelné soubory, tak vždy platí i nestahovat spustitelné soubory z neověřených zdrojů a pokud možno vždy vše ověřovat.

1. HTML/Refresh
Přesměrovává url v prohlížeči na url se škodlivým softwarem. Samo o sobě neškodné. Není třeba se chránit.

2. Win32/TrojanDownloader.Wauchos
Je to červ. Je součástí spustitelného souboru v příloze mailu. Ochrana tedy spočívá v nespouštění nápadně nenormálních příloh nápadně nenormálních mailů. Po nainstalování napadá USB média, kde se nakopíruje a vytvoří i zástupce. Neklikat tedy na nápadně nenormální spustitelné soubory a zástupce na vyměnitelných médií.

3. Win32/Injector.BNCN
Je to malware. Více variant. Je například součástí spustitelného souboru v archivu (Fax-<randomnumber>.zip or incoming_wire_report.zip) v mailu. Ochrana viz bod 2.

4. HTML/IFrame
V html kódu webové stránky iframe s url se škodlivým softwarem. Samo o sobě neškodné. Není třeba se chránit.

5. JS/Adware.Spigot
Nějaký malware javascript na webové stránce. Samo o sobě neškodné. Není třeba se chránit.

6. VBS/CoinMiner
Trojan. Infikuje malwarem a bude těžit coiny. Viděl jsem ho myslím na uloz.to v nějakém souboru. Ochrana spočívá hlavně v nestahování bordelu z netu.

7. HTML/Fraud
Sběr informací. Samo o sobě neškodné. Stačí nepsat na kdejaké stránce například mail a telefonní číslo.

8. JS/Kryptik.I
Nějaký malware javascript na webové stránce. Samo o sobě neškodné. Nejčastěji přesměrovává na url se škodlivým softwarem.

9. Win32/PSW.Papras
Nějaký malware. Viz poznámka ke spustitelným souborům.

10. Win32/Adware.MultiPlug
Nějaký adware. Samo o sobě neškodné. Pokud má někdo problém s instalacemi adwaru, tak neuškodí jednou za čas odbordelizovat utilitkou adwcleaner.

Takže ani jednoho se nebojím ani bez antiviru a jiného zabezpečení.

[KEO]

A teraz otazka pre vsetkych, nielen KEA a potomaca.
Ktore opatrenia (nastavenia) podla vas zastavia tieto hrozby?

Priklad ako by to mohlo vyzerat:
Hrozba XYZ. Na beznom webe je umiestneny skodlivy JS, ktory presmerovava na stiahnutie niecoho.
Riesenie: Zakazat v IE spustanie scriptov.

1. utoky su vedene na najpouzivanejsie systemy a prehliadace. Vyhoda je potom browsovat z niecoho netypickeho, na co sa horsie utoci. Miesto IE trebars Firefox, Chrome, Opera,...

2. u IE funguju bezpecnostne zony, kde sa daju cripty pre internet vypnut a nastavit vynimky, pre servre, kde je to potrebne.

3. mozem na to kaslat a nechat to defaultne nastavene, ak je browser v sandboxe, alebo virtualizovany, ci cely system virtualizovany - alebo mam za minimalny cas vratit stav PC do povodneho stavu.

[KEO]

Pokud se jedná o spustitelné soubory, tak vždy platí i nestahovat spustitelné soubory z neověřených zdrojů a pokud možno vždy vše ověřovat.

Bod 0 - Nemusi to nutne platit, ak mam oddelene data a system a pouzije sa virtualizacie, ci sandbox, alebo rychla obnova.

1. HTML/Refresh

Toto pouzivaju aj klasicke stranky, tak by to bola skoda vypinat. Clovek by narazal dost casto na nefunkcnost.

2. Win32/TrojanDownloader.Wauchos
Je to červ. Je součástí spustitelného souboru v příloze mailu. Ochrana tedy spočívá v nespouštění nápadně nenormálních příloh nápadně nenormálních mailů. Po nainstalování napadá USB média, kde se nakopíruje a vytvoří i zástupce. Neklikat tedy na nápadně nenormální spustitelné soubory a zástupce na vyměnitelných médií.

Problem je, ze emaily mozu dojst aj zo zdrojov, ktore su normalne pouzivane a mozu byt maskovane. Napr. je dobre zapnut si v systeme Windows /defaultne vypnute/ zobrazovanie koncoviek suborov, aby sme videli, ci sa jedna o .EXE, .LNK, .SCR, atd.... Poslednou dobou sa sirili napr. faktura.pdf.exe s ikonou PDFka a posielal to akoze telekom. Vela ludi na to skocilo, aj ked bola faktura v nemcine a jasne podvrhnuta adresa.

Tu odporucam pouzivanie antivirovej proxy pre email, ktora odfiltruje vela malware, ale na neznamy fungovat nemusi. Zaroven moze byt na antivirovej proxyne aj filtrovane, dorucovanie spustitelnych suborov, takze nejake .EXE nedojde, pripadne niektore systemy su schopne to rozoznat aj podla obsahu, keby to autor premenoval. Nieco take maju nasadene aj velke spolocnosti pre freemaily, ako Google. Tam s vysokou pravdepodobnostou takyto email ani nedostanete. U Googlu ide pri tom velkom pocte emailov mozno aj o kombinaciu antispamu, ktory pri dobrom nastaveni, moze odfiltrovat aj mnozstvo malware. Google ma vela vzoriek, ktore sa daju na to pouzit.

Dalsia varianta je, ked dojde klasicky email vo formate HTML a neobsahuje v podstate nic, len linkuje na web. Vtedy to sluzi len ako prostrednik a nabada k stiahnutiu z webu.

Co sa tyka sirenia cez USB, je dobre v systeme zablokovat spustanie autorun.inf a tak system po vlozeni klucenky, ci CDcka nespusta automaticky jeho obsah.
Na podporu nesirenia je vhodne aj autoimunizovat flash disky, kde sa vytvori falosny adresar s rovnakym nazvom a vela malware sa sice nahra na klucenku, ale uz nedokaze tam nakopirovat spustaciu sekvenciu.
Potom uz staci len kontrolovat klucenky manualne /so zapnutym zobrazenim skrytych a systemovych suborov/.

3. Win32/Injector.BNCN
Je to malware. Více variant. Je například součástí spustitelného souboru v archivu (Fax-<randomnumber>.zip or incoming_wire_report.zip) v mailu. Ochrana viz bod 2.

Pripadne to byva este heslovane a heslo v obrazku. Obchadza to tak antivirove brany. Riesenim je napr. pouzit blokovanie na brane/av proxyne/, kde sa ZIP zakaze, pripadne je len na autentifikaciu. Ak chcem poslat ZIP, mozem pouzivat nejaky format, ktory ma vynimku. Napr. ze v predmete spravy bude nejaky znak-kod. Vsetky subory menosuboru.zip budu presmerovane do priecinka podozrivej posty, ale kto bude komunikovat tak, ze menosuboru bude obsahovat napr. znaky OKzip1, tak prejde dalej. Ochrana bod 0 a predchadzajuce.
---------------------------
No a potom je tu ransomware a jeho zastupca Cryptolocker. To uz skodne je. Sifruje dokumenty, zalohy, obrazky na HDD, alebo na sieti, pokial k nim mate pristup. Takze moze znicit aj dostupne zalohy.

Preto je dobre mat data oddelene, aby sa k nim malware nedostal tak lahko + nemat priamy, ale nepriamy pristup k zaloham /alebo ich mat na read only mediach ako CD, DVD/.
------------------------------------
Inak, na statistiku malware by som sa nespoliehal, ze aka je pravdepodobnost mojho nakazenia. Aby sme si to vysvetlili, tak ta statistika hovori o tom, ze nejaky vyrobca AV riesenia zbieral informacie z URCITYCH OBLASTI, v URCITOM CASE po URCITU dobu s povedzme celkovou 40 percentnou uspesnostou a zobrazuje tym padom len ZACHYTENE a ZNAME infiltracie.

Ked budete mat to stastie, ako jeden moj znamy, kludne chytite aj malware, na ktory sa nechyta ziaden antivirak. Co z toho, ze pravdepodobnost je mala, ak postihne vas.

[potomac]

KEO:

Bod 0:
Já to psal stručně. Nestahovat potenciálně nebezpečný soubor je první fáze ochrany. Klidně se stáhnout může. Nejdůležitější fází je tento soubor nespouštět, případně pokud k tomu u běžného uživatele omylem dojde, přemýšlet nad těmito okny:





Poznámka: Výchozí nastavení SmartScreenu je takové, že je třeba k povolení spuštění nerozpoznaných aplikací povolení správce.
Použití dalších množností jako spouštět soubor ve virtuálce je věc jiná, tam se může spouštět co chce.

Bod 2:
Co se týče přípony, při otevření/spuštění souboru platí co jsem uvedl výše a tam ta přípona uvedena je.
Antivir na mail serveru je otázka pro správce mailserveru, tuším, že google a seznam antivir mají. Pokud chce filtrovat uživatel antivirem, tak v tom ppřípadě může zvolit lokální antivir, což je ale podle mě zbytečné.
Výše uvedená ochrana při spouštění souborů postačuje, navíc pokud uživatel používá mailového klienta jako je například outlook, těch výstrach při příjmutí má ještě víc (spustitelné soubory ve výchozím nastavení zakázané, při otevření archivu další výstraha).
Co se týče autorun.inf, výchozí nastavení systému jej nespouští automaticky. Co se týče neznámého média vždy překontrolovat co tam je, včetně autorun.inf (např. před tím než poklepeme na ikonu a dáme spustit).

Bod 3:
Co se týče jmen souborů v příloze mailu, stačí to filtrovat na uživatelské úrovni, to snad nikoho zatěžovate nebude , každopádně se mi to zdá zbytečné. Paranoici si to můžou posílat přes torrent, budou to mít rovnou ověřené pomocí sha1 [ironie].

[Tatry03]

Co se týče neznámého média vždy překontrolovat co tam je, včetně autorun.inf (např. před tím než poklepeme na ikonu a dáme spustit)

Prakticky dotaz. Ako zistit co tam je skor ako to otvorim?

[potomac]

Tatry03:
Třeba otevřením v průzkumníku. A konkrétně autorun.inf otevřením v poznámkovém bloku.
Nějak nechápu proč se na to ptáš.

[Tatry03]

Asi sme sa nepochopili. Z vety:

Co se týče neznámého média vždy překontrolovat co tam je, včetně autorun.inf (např. před tím než poklepeme na ikonu a dáme spustit)

som si myslel, ze mas na mysli "poklepanie" na ikonu USB jednotky, teda jej otvorenie. Preto som sa pytal, ako sa da zistit co tam je skor, ako ju otvorim v prieskumnikovy..
Inak, niektore smejdy sa vraj aktivovali, spustali prave uz pri otvoreni zlozky v prieskumnikovy. Plati to stale?