Ochrona antywirusowa w dobie Windows 10 – hardening cz.1

Rozwijając temat zabezpieczenia Windows 10 z pierwszego artykułu, tym razem chciałbym opisać podstawowe składniki ochrony, których uaktywnienie bądź instalacja zwiększa poziom bezpieczeństwa. Według Wikipedii, tak zwany "hardening" systemów operacyjnych to proces zabezpieczania systemu poprzez redukcję powierzchni ataku (podatności na ataki), na którym dzisiaj się skupimy.

Zmniejszenie powierzchni ataku pojedyńczej stacji można zacząć od zaplanowania instalacji z włączonym UEFI Secure Boot i modułem TPM z Bitlockerem (mówimy tu o komputerach z jednym systemem operacyjnym Microsoft w wersji od Professional).

W jaki sposób w kilku krokach zwiększyć bezpieczeństwo stacji roboczej?

Wraz z zainstalowanym Windowsem 10 od razu dostajemy włączony firewall oraz zainstalowany antywirus. Wszystkie standardowe zalecenia po instalacji sprowadzają się do:

  • utrzymywania aktualnego systemu operacyjnego,
  • aktualizacji zainstalowanych programów,
  • aktualizacji systemu antywirusowego,
  • pracy na koncie bez uprawnień administracyjnych,
  • regularnego wykonywania kopii zapasowych.

Pomijając funcje, które można wyklikać w ustawieniach systemu Windows jak np. auto-odtwarzanie, bardzo pomocny w hardeningu jest program EMET (obecnie w wersji 5.52), który chroni przed zagrożeniami typu 0-day, zarówno system jaki i programy (ich lista w zakładce Apps). Ponadto zabezpiecza przeglądarki mechanizmem Certificate Trust (Pinning), czyli sprawia, że są "bardziej odporne" na podszywanie się pod strony (ich lista w zakładce Trust).

Przy instalacji EMET-a zaznaczamy rekomendowane ustawienia.
Jeśli chcemy to włączamy blokadę niezaufanych czcionek (Block Untrusted Fonts) i restartujemy komputer.
Wskazujemy szablon…

Certificate Trust (Pinning) najprościej można określić jako metodę kojarzenia certyfikatów klucza publicznego X.509 z konkretnym urzędem certyfikacji. Dzięki skojarzeniu strony SSL/TSL z certyfikatem, można wykrywać dla tych stron ataki typu man-in-the-middle. EMET w domyślnej konfiguracji zabezpiecza usługi internetowe firmy Microsoft. Funkcja przeznaczona jest do używania z przeglądarką Internet Explorer. EMET wstrzykuje do chronionego procesu nowy mały moduł (EMET_CE.DLL), aby wymusić ochronę Certificate Trust (Pinning).

Do "utwardzenia" Windows 10 przydadzą się też wskazówki NSA, jak i jego angielskiego odpowiednika CESG. Nasz rządowy CERT także nie pozostawia użytkowników samym sobie: na swoich stronach publikuje zalecenia do konfiguracji Windowsa 10, jednak jest w nich tylko jedna wzmianka na temat EMET’a.

W następnej części postaram się przybliżyć temat „białych list”.



Komentarze

ichito czw., 02-03-2017 - 09:41

Dobrze, że coś o EMET, bo narzędzie choć nie nowe, to mało popularne jednak...a swoją "moc" ma :)

Adrian Ścibor czw., 02-03-2017 - 09:43

@#1 Ma, ale już nie długo. Zdaje się, że MS kończy wsparcie chyba w przyszłym toku.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej