Praktyczne porady podnoszące bezpieczeństwo komputera

Czy można w kilku krokach drastycznie zwiększyć bezpieczeństwo komputera? Instalacja antywirusa i aktualizacja oprogramowania to istotne podstawy, ale nie najważniejsze. W tym poradniku wyjaśniamy, w jaki sposób drastycznie zwiększyć szanse na skuteczną i prewencyjną obronę przed złośliwym oprogramowaniem i exploitami.  

Niektóre poniższe zalecenia będą znane zaawansowanym użytkownikom, ale nawet oni znajdą w tym poradniku ciekawe zestawy oprogramowania i narzędzi. Gwarantujemy, że skorzystanie z naszych wskazówek wywinduje poziom ochrony komputera tak wysoko, że prewencyjna obrona przed exploitami 0-day lub wirusami bezplikowymi realizować będzie się sama w czasie rzeczywistym.

Poradnik zacznijmy od niezbędnych podstaw, czyli:  

  • Aktualny system operacyjny jest najlepszym zabezpieczeniem przed znanymi exploitami.
  • System bez programów byłby bezużyteczny, dlatego zainstalowane oprogramowanie np. pakiet biurowy lub przeglądarkę plików PDF utrzymuj aktualne. To najlepsza forma obrony przed szkodliwym oprogramowaniem wykorzystującym luki. 
  • Bazy wirusów programów antywirusowych aktualizują się automatycznie, ale już pliki antywirusa nie zawsze. Nie wstrzymuj aktualizacji antywirusa do nowszej wersji, ponieważ producent zazwyczaj dodał nowe funkcje lub naprawił kod, niwelując szansę hakerom na oszukanie zabezpieczeń.  
  • Nie pracuj na koncie z uprawnieniami administratora. Utwórz dla siebie konto zwykłego użytkownika, a przy podnoszeniu uprawnień wpisuj hasło administratora (tak jak robią to użytkownicy Linuksa).
  • Skonfiguruj automatyczne wykonywanie kopii zapasowych. Ważne pliki możesz synchronizować z chmurą Google Drive, Dropbox lub Microsoft OneDrive. Pamiętaj, aby dysk w chmurze posiadał system przywracania poprzednich wersji plików (na wypadek zaszyfrowania danych przez ransomware).

Zastosowanie się do powyższych porad drastycznie zwiększy szansę na skuteczne odparcie zagrożenia. Jeżeli ulegniemy sprytnemu atakowi socjotechnicznemu, nie zawsze te wskazówki będą wystarczające, dlatego szczegółowo opisujemy funkcje systemowe i zewnętrzne narzędzia, które pomogą lepiej zabezpieczyć komputer.

EMET / Windows Defender Exploit Protection

EMET (Enhanced Mitigation Experience Toolkit) to darmowy program od Microsoftu nakładający na aplikacje “ograniczenia”, m.in. DEP czy ASLR. W jednym zdaniu EMET utrudnia życie exploitom, zapobiegając wykorzystaniu luk w zabezpieczeniach oprogramowania. Chociaż technologie takie jak: blokowanie wykonywania danych poprzez oznaczenie fragmentów pamięci (DEP), losowanie adresu pod którym umieszczone są dane (ASLR) i blokowanie nadpisania nagłówków na stosie (SEHOP) nie gwarantują, że luki nie zostaną wykorzystane, to jednak w maksymalnym stopniu utrudniają exploitom penetrację systemu i programów.

EMET po 31 lipca 2018 roku nie będzie wspierany. Po tym dniu użytkownicy systemów starszych niż Windows 10 zostaną pozostawienia samym sobie zgodnie z polityką wygaszania Windows 7 i Windows 8.1. Jest to oficjalne stanowisko firmy Microsoft. Oznacza to, że oprogramowanie EMET nie tylko nie będzie już rozwijane, ale znalezione w nim luki nie będą łatane. Wszystkim poszkodowanym zalecamy zainstalowanie alternatywnego oprogramowania typu anti-exploit lub whitelist:

  • SpyShelter Firewall lub SpyShelter Premium (solidny polski produkt, którym trzeba się zainteresować)
  • VoodooShield Pro
  • Zemana Anti-Logger
  • Malwarebytes Anti-Exploit

EMET w Windows 10 został zastąpiony zintegrowanym z antywirusem modułem Windows Defender Exploit Protection. Użytkownicy najnowszej dziesiątki powinni włączyć wszystkie dostępne zabezpieczenia. Konfiguracja modułu znajduje się w Aktualizacja i Zabezpieczenia -> Zabezpieczenia Systemu Windows -> Otwórz Usługę Windows Defender Security Center -> Kontrola Aplikacji i Przeglądarki -> Ustawienia Funkcji Exploit Protection.

Windows Defender Exploit Protection

Windows Defender Exploit Protection

Microsoft zadbał o to, aby EMET był dostępny w Windows 10 jako integralna część antywirusa Windows Defender. Niektóre zabezpieczenia wcześniej dostępne tylko dla EMET zostały wbudowane w system operacyjny Windows 10, który obecnie wykracza ochroną poza zakres tego, na co pozwalał wcześniej EMET. Obecnie EMET w Windows 10 jest reliktem przeszłości. Stał się całkowicie zbędny. I tak, to prawda, że Windows Defender gwarantuje lepszą ochronię niż kiedyś — antywirus jest systematycznie rozbudowywany. Jednak jak pokazuje najnowszy test ochrony antywirusów przed exploitami, natywne rozwiązania systemowe Microsoftu okazały się gorsze w zabezpieczeniu środowiska Windows niż oprogramowanie stworzone przez firmy trzecie. Do zabezpieczeń systemowych oraz tych dostarczanych przez firmy trzecie zawsze warto podejść z ograniczonym zaufaniem i sprawdzać poprawność skonfigurowanego rozwiązania. Domyślne ustawienia nie zawsze są najlepsze.

AppLocker

AppLocker autorstwa Microsoftu ogranicza uruchamianie aplikacji, skryptów, instalatorów bądź bibliotek DLL ze wskazanych lokalizacji poprzez nałożenie im ograniczeń. AppLocker dostępny jest w Windows 10, ale by z niego skorzystać, trzeba posiadać wersję systemu Windows 10 Enterprise lub Windows 10 Education.

Aby aktywować AppLocker przechodzimy do Zasady Zabezpieczeń Lokalnych -> Zasady Sterowania Aplikacjami -> AppLocker.

AppLocker

Po zdefiniowaniu reguł opartych np. na atrybutach plików pochodzących z podpisu cyfrowego, w tym wydawcy, nazwy produktu, nazwy pliku oraz wersji, możemy na przykład utworzyć reguły na podstawie atrybutu wydawcy, który pozostaje niezmienny we wszystkich aktualizacjach, albo możemy też utworzyć reguły dla określonej wersji pliku. Jest to przydatne, kiedy oprogramowanie automatycznie pobiera aktualizacje z Internetu — posiada podpis cyfrowy wydawcy, którym jest ciągle ten sam deweloper.

AppLocker to bardzo rozbudowane narzędzie do whitelisting’u, które dodatkowo umożliwia:

  • Przypisywanie reguł do grupy zabezpieczeń lub wskazanego użytkownika.
  • Tworzenie wyjątków od reguł, np. możliwe jest utworzenie reguły, która zezwala na uruchamianie wszystkich procesów w systemie Windows z wyjątkiem powershell.exe.
  • Tworzenie reguł w modelu ochrony denny-by-default.
  • Użycia trybu raportowania (audit only) do obserwowania zachowania systemu przed wprowadzeniem zmian w życie.
  • Importowanie i eksportowanie reguł.

Na przykład do zwiększenia bezpieczeństwa komputerów pracowników blokujemy uruchamianie NIEPODPISANYCH aplikacji i skryptów z pulpitu oraz z lokalizacji tymczasowych:

%userprofile%\AppData\Local\Temp
%userprofile%\AppData\Local\Temp\*
%userprofile%\AppData\Local\Temp\*\*
%userprofile%\Desktop\*

Stosując się do zasady denny-by-default tworzymy specjalną regułę zezwalającą na uruchamianie programów wyłącznie z określonych folderów:

C:\Program Files (x86)\
C:\Program Files\

Zasady zabezpieczeń lokalnych

Kontrolując pliki wykonywalne (.exe i .com), skrypty (.js, .ps1, .vbs, .cmd i .bat), pliki Instalatora systemu Windows (.msi i .msp) oraz pliki DLL (.dll i .ocx) drastycznie zwiększamy bezpieczeństwo organizacji. Za darmo. Nie ma najmniejszego powodu, aby komputer w dziale księgowości miał nieograniczone możliwości uruchamiania złośliwego kodu przez makrowirusy lub wirusy bezplikowe. Warto tworzyć reguły definiujące tylko te narzędzia i oprogramowanie, które są faktycznie potrzebne do pracy.

Darmowy HIDS 

Systemy zapobiegania włamaniom są najczęściej spotykane w programach zabezpieczających pod postacią integralnej lub dedykowanej części do modułu zapory sieciowej. Organizacje nie muszą od razu decydować się na drogie w utrzymaniu systemu HIDS i SIEM. Takie praktyczne zastosowanie monitorowania logów systemowych, systemu plików i interfejsów sieciowych jest dostępne w  darmowym rozwiązaniu OSSEC.

System OSSEC to aplikacja typu klient-serwer. Serwer dostępny jest wyłącznie na systemy Linux, z kolei klienty dostępne na Windows, BSD, Solarix, VMware ESX, AIX, HP-UX, Linux i MacOS mogą monitorować zdarzenia systemowe za pomocą heurystyki i sygnatur zdarzeń.

OSSEC

OSSEC to potężna i nieskomplikowana w obsłudze pomoc, która wymaga jedynie poświęcenia czasu na skonfigurowanie oraz późniejsze reagowanie w czasie rzeczywistym na incydenty. Finansowe nakłady na bezpieczeństwo są w tym przypadku zerowe, ponieważ oprogramowanie jest darmowe nawet dla firm. Korzyści ze wdrożenia OSSEC-a w sieci są znaczne — zainstalowany agent potrafi sprawdzać integralność plików i rejestru, wykrywać rootkity, monitorować logi systemowe i skanować ruch sieciowy pod kątem znanych ataków. Wszystkie zdarzenia są przesyłane do centralnej konsoli. Wspierane są powiadomienia via e-mail, a także integracja z dowolnym komercyjnym rozwiązaniem SIEM. Dzięki OSSEC administratorzy będą wiedzieli wszystko o tym, co do tej pory działo się w sieci za ich plecami.

VPN

Połączenia VPN odgrywają ważną rolę w bezpieczeństwie. VPN-y dzielimy na te w przeglądarce oraz w systemie operacyjnym. Zalecamy instalację klienta VPN w systemie, ponieważ szyfruje on cały ruch sieciowy. Rozszerzenie zainstalowane w przeglądarce (lub zintegrowane z przeglądarką, np. OperaVPN) zaszyfruje wyłącznie ruch przechodzący przez protokół HTTP/S na portach 80, 8080 i 443 — i w zależności od dostawcy VPN-a — połączenie będzie korzystało z serwerów DNS dostawcy VPN lub z zewnętrznego dostawcy, który dowie się, jakie strony odwiedza użytkownik. To kolejna pułapka czyhająca na nieroztropnych, którzy chcieliby ukryć się przed światem. VPN-y nie powstały do ochrony prywatności, ale do zwiększenia bezpieczeństwa przesyłanych informacji.

Jeżeli mielibyśmy zarekomendować jakiegoś dostawcę, to chyba najlepszym wyborem jest NordVPN. W najkorzystniejszym 2-letnim planie NordVPN oferuje ponad 4000 serwerów wyjściowych z 62 krajów na całym świecie. Jest więc w czym wybierać. Osobom, które chciałyby skorzystać z oferty NordVPN, polecamy nasz link partnerski, z którego po każdym zakupie otrzymamy niewielki procent.

Aplikacje klienckie NordVPN są dostępne na niemal wszystkie systemy operacyjne: Windows, macOS, iOS, Apple, Linux i wiele więcej. NordVPN wspiera protokół P2P (nie wszystkie VPN-y to robią) więc bez przeszkód możesz pobierać co tylko chcesz i czuć się bezpiecznie. Oprócz tego NordVPN korzysta z własnego serwera DNS, czyli żaden inny węzeł komunikacyjny DNS nie będzie logował odwiedzanych stron internetowych. I co najważniejsze, firma NordVPN zarejestrowana jest w Panamie i nie przechowuje ŻADNYCH logów — nie ma takiego obowiązku.

VPN chroni właściciela urządzenia przed nieostrożnością lub nieroztropnością podczas logowania się do usług internetowych, ale i zabezpiecza m.in. przed podatnością KRACK na Wi-Fi. Ale przede wszystkim pozwala ominąć restrykcje na usługi bądź strony internetowe, które zostały nałożone przez rządowe dyktatury (co szczególnie przyda się za granicą).

Sysmon

Sysmon to kolejne narzędzie udostępniane za darmo do monitorowania logów systemowych. Ponownie organizacje muszą rozważyć, czy warto inwestować w drogie rozwiązania typu SIEM, skoro za rogiem jest dostępny Sysmon.

Sysmon wchodzi w skład narzędzi SysInternals od firmy Microsoft. Jego instalacja i wdrożenie jest banalne. W sieci dostępnych jest mnóstwo samouczków oraz gotowych konfiguracji zawierających zestawy reguł, które chcemy logować, tj. zmiany w procesach i plikach na dysku, komunikację sieciową, załadowane sterowniki i biblioteki, zmiany w rejestrze, porównywanie hashy plików, a także samą zmianę statusu działania usługi Sysmon (np. spowodowaną awarią lub działaniem malware).

Instalacja Sysmon sprowadza się do wydania w CMD jednego polecenia:

>Sysmon64.exe -i

System Monitor v8.00 - System activity monitor
Copyright (C) 2014-2018 Mark Russinovich and Thomas Garnier
Sysinternals - www.sysinternals.com
Sysmon64 installed.
SysmonDrv installed.
Starting SysmonDrv.
SysmonDrv started.
Starting Sysmon64..
Sysmon64 started.

Aby załadować lub zaimportować zmienione reguły wystarczy raz jeszcze uruchomić w konsoli plik i wskazać XML konfiguracyjny:

>Sysmon64.exe -c sysmonconfig-export.xml

Plik XML zawiera zrozumiałą konfigurację, którą możemy stworzyć od nowa lub edytować tę istniejącą. W tym samym pliku konfiguracyjnym możemy tworzyć jednakowo reguły z wyjątkami wykluczającymi proces, pliki, klucze, itp. oraz wyjątki zawierające interesujące nas pozycje. Na przykład do monitorowania procesu powershell.exe dodajemy regułę:

<Image condition="contain">powershell.exe</Image>

W tym samym pliki XML do bezwzględnego wykluczenia procesu searchIndexer.exe dodajemy:

<Image condition="is">C:\Windows\system32\SearchIndexer.exe</ParentImage>

Po skonfigurowaniu Sysmona wszystkie zmiany w systemie Windows zapisywane są w Windows Event w drzewie Aplikacje i Usługi -> Microsoft -> Windows -> Sysmon. Logi mogą być eksportowane w czasie rzeczywistym do innego narzędzia, np. Splunk lub Elk, gdzie tak naprawdę zyskujemy darmową platformę EDR.

Sysmon

Sysmon to także narzędzie dobrze znane autorom szkodliwego oprogramowania, którzy wiedzą jak wykryć działające usługi oraz jak rozpoznać Sysmona uruchomionego w tle. Bardziej zaawansowana konfiguracja zakłada utwardzenie ustawień oraz zmianę nazw instalowanych usług i sterownika Sysmona, które malware z łatwością mogłoby wykryć lub zatrzymać. Dlatego istotne jest, aby logi były wysyłane do zewnętrznej konsoli w czasie rzeczywistym (na wypadek zatrzymania usługi).

Sysmon to dobra i darmowa alternatywa rozwiązań typu EDR. Trzeba jednak pamiętać, że oprogramowanie nie posiada żadnych cech antywirusa — potrafi wyłącznie zapisywać logi.

Darmowy EDR

Endpoint Detection and Response (EDR) to system do zbierania informacji o podejrzanej aktywności. Głównym zadaniem tego rozwiązania jest ułatwienie zespołom ds. bezpieczeństwa podejmowania decyzji na podstawie wskaźników zagrożeń (IoC), zarządzenia dużą ilością danych oraz priorytetyzowaniu działań. Mówiąc wprost, EDR pozwala w czasie rzeczywistym zarządzać incydentami oraz wyszukiwać śladów włamań i ataków (wskaźników infekcji) na każdym punkcie końcowym. Rozwiązania EDR pozwalają uniknąć dodatkowych wydatków na bezpieczeństwo, a te komercyjne odpowiedniki mają dodatkowe funkcje „czyszczenia” zaatakowanych systemów (nie każdy EDR to potrafi).

Darmowym EDR-em jest „MIG” autorstwa firmy Mozilla — tak, tej od przeglądarki Firefox. MIG składa się z agentów zainstalowanych na wszystkich systemach infrastruktury, które są sprawdzane w czasie rzeczywistym w celu zbadania systemów plików, stanu sieci, pamięci lub konfiguracji punktów końcowych. Dodatkowo w systemie Linux możliwe jest zarządzanie podatnościami (vulnerability management) oraz szczegółowe raportowanie. Rozbudowany opis systemu MIG znajduje się na tej stronie.

Dobrym przykładem praktycznego wykorzystania MIG-a jest całkiem realna sytuacja: jest sobota 6 rano, gdy ktoś upublicznił krytyczną lukę w aplikacji PHP. Opublikowane IoC (sumy kontrolne, nazwy plików lub adresy IP) mogą być pomocne w rozpoznaniu zagrożenia. MIG umożliwia szybkie sprawdzenie systemów pod kątem wskaźników infekcji:

MIG Mozilla

Agenty zostały zaprojektowane tak, aby były lekkie, bezpieczne i łatwe do wdrożenia. Bezpieczeństwo wymiany informacji jest wymuszone za pomocą kluczy PGP, które nie są przechowywane na platformie, czyli zakładając sytuację, kiedy serwer MIG będzie skompromitowany, nikt nie przejmie kontroli nad agentami. 

Alternatywnie można skorzystać z:

Nakładamy ograniczenia na Powershell

Powershell to bardzo potężne narzędzie w rękach administratora i hakera, ale rzadko kiedy korzysta z niego księgowa lub zwykły użytkownik. To właśnie Powershell pozwala zdalnie zarządzać maszynami w większej organizacji, ale daje też niemal nieograniczone możliwości napastnikowi.

W standardowych sytuacjach przestępcy korzystają z około 50 najczęściej wykonywalnych poleceń w Powrshell, w tym do aktywowania bezplikowego szkodliwego oprogramowania, które jest bardzo trudne do wykrycia. Wykrycie tych skryptów jest tym bardziej problematyczne, jeżeli złośliwy kod jest wykonywany przez systemowy interpreter Powershell. Dzięki tej metodzie możliwe staje się zainfekowanie komputera bez podniesienia alarmu przez program zabezpieczający.

W Windows 10 Powershell umożliwia zainstalowanie Linuksa i uruchamianie poleceń linuksowych. Funkcja WSL (Windows Subsystem for Linux) sprawia, że popularny terminal bash jest dostępny dla użytkowników systemu Windows 10. Działanie szkodliwego oprogramowania w koncepcji hybrydowej może otworzyć nowe drzwi dla cyberprzestępców. Według wielu ekspertów zagrożenie bashware powinno być poważnym ostrzeżeniem, ponieważ otwiera nowe możliwości do ominięcia zabezpieczeń produktów ochronnych firm trzecich i Microsoftu. Zwróciliśmy na to uwagę producentom i przeprowadziliśmy taki test.

Zalecamy całkowite wyłączenie Powershella w archaicznej wersji 2.0. W Windows 10 otwieramy dowolny folder i przechodzimy pod adres: panel sterowania. Otworzy się tradycyjny panel, który znany jest wszystkim użytkownikom od czasów Windows XP. Przechodzimy do Programy -> Wyłącz lub włącz funkcję systemu Windows -> Windows PowerShell 2.0.

powershell

Dzięki temu w systemie pozostawimy Windows PowerShell w wersji 5, który ma funkcję ochrony przed szkodliwym oprogramowaniem — skanuje i zapobiega uruchamianiu złośliwych skryptów. Wyłączony PowerShell 2.0 nie pozwoli już przeprowadzić ataku, który polega na obniżeniu wersji i ominięcia sprawdzania zabezpieczeń przed złośliwym oprogramowaniem. Wyłączenie „5-tki” nie powinno mieć żadnych negatywnych skutków.

Dodatkowym rekomendowanym do wdrożenia zabezpieczeniem jest wpisanie jednej z poniższych komend z uprawnieniami administratora:

Restricted: Całkowicie wyłączamy uruchamianie jakichkolwiek skryptów np. tych podpisanych cyfrowo i tych pobranych z sieci bez podpisu. Przy czym ciągle zachowujemy możliwość wydawania pojedynczych poleceń. Jest to ustawienie rekomendowane większości użytkownikom.

Set-ExecutionPolicy Restricted

AllSigned: Uruchamiamy wyłącznie skrypty posiadające podpis cyfrowy niezależnie od tego, czy skrypt jest uruchamiany lokalnie czy został pobrany z sieci. Rekomendujemy to ustawienie większości użytkownikom.

Set-ExecutionPolicy AllSigned

RemoteSigned: Skrypty muszą być podpisane przez zaufanego wydawcę, zanim zostaną uruchomione, ale już skrypty uruchamiane z komputera lokalnego nie muszą być podpisane. W tym ustawieniu np. makrowirus będzie mógł uruchomić dowolnie zaprogramowany skrypt w PowerShell. Nie zalecamy tego ustawienia użytkownikom, którzy nie wykorzystują do pracy PowerShella.

Set-ExecutionPolicy RemoteSigned

Unrestricted i Undefined: Domyślnie włączony jest tryb Undefined, a jego przestawienie na Unrestricted także nic nie daje. Właśnie z tego powodu większość szkodliwego oprogramowania ma możliwość infekowania systemu operacyjnego lub pobierania i uruchamiania złośliwych skryptów, a także plików wykonywalnych.

Więc wszędzie tam, gdzie nie jest to konieczne, aktywujemy ustawienia Restricted albo AllSigned. Dzięki tylko tej jednej operacji znacznie podniesiemy prewencyjną ochronę systemu operacyjnego.

Wyłączamy makra

Microsoft ze względów bezpieczeństwa wyłączył automatyczne uruchamianie makr w pakiecie biurowym Office od wersji 2010. Użytkownicy tych programów właściwie nie muszą nic robić poza uświadomieniem sobie, że wszystkie podejrzane załączniki dokumentów Word lub Excel mogą posiadać szkodliwe polecenia, które po zignorowaniu ostrzeżenia uruchomią szkodliwe instrukcje np. pobrania trojana bankowego z sieci przez proces powershell.exe.

Atak zwykle zaczyna się tradycyjnie, czyli:

makrowirus

makrowirus

Po otworzeniu dokumentu jeszcze nic złego się nie dzieje. Dopiero klik w pasek „włącz zawartość” wywołuje całą lawinę niepożądanych skutków. Ale można i temu zapobiec nakładając ograniczenia na skrypty uruchamiane w PowerShell — makrowirus w taki właśnie sposób uruchamia niebezpieczny kod.

Użytkownikom pakietów Microsoft Office, Office 365, Libre Office, Open Office oraz innych biurowych programów zalecamy sprawdzenie ustawień i upewnienie się, że makra na pewno są wyłączone.

Szyfrujemy za pomocą BitLocker lub VeraCrypt

Zabezpieczyć nośniki zewnętrzne oraz partycje lub całe dyski możemy za pomocą funkcji BitLocker. Szyfrujemy nośniki nie po to, aby ukryć coś przed organami ścigania, ale by chronione dane nie dostały się w niepowołane ręce np. kiedy nasz laptop lub firmowy komputer zostanie skradziony. Administratorzy mogą wymusić przez GPO zainstalowanie „BitLocker to Go” na każdym przenośnym urządzeniu USB, dzięki czemu organizacja zyska pewność, że po zgubieniu nośnika nikt z zewnątrz nie będzie miał dostępu do zapisanych na nim dokumentów. BitLocker dostępny jest w systemie Windows 10 Pro lub wyższym.

Pozostali użytkownicy mogą skorzystać z VeraCrypt jako otwartoźródłowego narzędzia używanego do szyfrowania danych, który posiada więcej możliwości niż BitLocker. Jego unikalną cechą jest stworzenie ukrytego systemu operacyjnego obok tego, na którym pracujemy. Jest to szczególnie przydatne w sytuacjach, kiedy będziemy zmuszeni przez kogoś do odszyfrowania komputera. VeraCrypt domyślnie instaluje się w języku angielskim, ale możliwa jest jego zmiana na polski. Język zmieniamy wybierając z menu Settings -> Language.

VeraCrypt bezpieczeństwo komputera

Nie musimy od razu szyfrować całych wolumenów. Możemy to zrobić dla wybranych plików, katalogów, stworzyć szyfrowany dysk zabezpieczony hasłem lub przechowywać poufne dane na szyfrowanym nośniku USB. W takim zabezpieczonym miejscu bezpiecznie przechowujemy dokumenty lub pliki z danymi osobowymi klientów. Szyfrujemy, by zabezpieczyć dane i pliki przed otwarciem, a przy okazji spełniamy wymagania RODO.

Pozostałe wskazówki podnoszące bezpieczeństwo komputera

Aktualizacja programów i systemu: Edytory tekstu, przeglądarki plików graficznych i PDF, a w szczególności pakiety biurowe powinny być aktualizowane zawsze, jeżeli licencja tego nie zabrania lub nie spowoduje to żadnych problemów z kompatybilnością. Szkodliwe oprogramowanie często wykorzystuje nie tyle luki, co niepoprawnie wdrożoną domyślną konfigurację, która pozwala oszukać mechanizm zabezpieczeń i mimo wszystko uruchomić złośliwy kod. Dzięki aktualizowaniu programów i systemu podniesiemy drastycznie bezpieczeństwo bez dodatkowych kosztów. Firmy mają ułatwione zadanie, ponieważ wiele produktów antywirusowych posiada moduły do zarządzania aktualizacjami i automatycznego ich wdrażania.

Użytkownicy indywidualni do sprawdzania dostępnych aktualizacji programów powinni wykorzystać FileHippo App Manager. Popularny do tej pory Secunia Personal Software Inspector nie jest już wspierany przez producenta.

Routery i dyski NAS: To także istotny element bezpieczeństwa. Niezaktualizowane oprogramowanie routera lub dysku sieciowego NAS może narazić sieć na zainstalowanie niebezpiecznego skryptu, a w ekstremalnych sytuacjach może to grozić zmianą konfiguracji urządzenia i przejęcie nad nim kontroli przez osobę trzecią.

Jeżeli wasz router nie jest już aktualizowany, możecie zainstalować alternatywne oprogramowanie OpenWRT. Lista wspieranych modeli urządzeń dostępna jest pod tym linkiem.

Przechowywanie haseł: Nie jesteśmy zwolennikami przechowywania haseł w chmurze, ale nikomu tego nie zabraniamy. Pełną synchronizację pomiędzy różnymi systemami można osiągnąć synchronizując plik bazy z hasłami za pomocą Dropboxa lub innego dysku w chmurze. Do przechowywania bazy haseł i loginów rekomendujemy KeePass lub KeePassX.

Dodatki do przeglądarek: Przeglądarka to program na styku z Internetem, który najczęściej poddawany jest atakom. Jest to także narzędzie, które jako pierwsze przekazuje nam informacje o bezpieczeństwie witryny. Dlatego do przeglądarek polecamy rozszerzenia:

  • Bitdefender Trafficllight jako doskonały skaner stron internetowych i wyników wyszukiwania.
  • Windows Defender Broswer Protection to nowy skaner plików i stron od Microsoftu.
  • HTTPS Everywhere wymusza na przeglądarce łączenie się szyfrowanym kanałem ze stroną, jeśli serwer witryny to umożliwia.  
  • uBlock Origin blokuje reklamy, złośliwe skrypty oraz niebezpieczne strony korzystając z zewnętrznych list.
  • NoCoin blokuje koparki kryptowalut.
  • Skaner panopticlick.eff.org na podstawie ustawień przeglądarki i zainstalowanych pluginów sprawdzi, czy w wystarczającym stopniu dbamy o swoją prywatność.
  • Skaner privacytools.io/webrtc.html bazuje na protokole WebRTC, który może ujawnić publiczny i prywatny adres IP użytkownika, nawet wtedy kiedy ten ukrywa się za VPN-em lub wykorzystuje dodatki blokujące śledzenie, takie jak: AdBlock, Ghostery. NoScript jako że blokuje skrypty JavaScript (z którego korzysta WebRTC) zapobiega ujawnieniu prawdziwego adresu IP.

Firewalle: Firewall systemowy czy antywirusowy? Który jest lepszy? Oba mają swoje wady i zalety. A te wyjaśniamy w artykule z 2012 roku. Większość zawartych tam informacji jest ciągle aktualna.

Jesteśmy zwolennikami stosowania zapór sieciowych. To nieprawda, że są reliktem przeszłości. Firewall pod warunkiem, że jest odpowiednio skonfigurowany, potrafi zatrzymać bezplikowe szkodliwe oprogramowanie, podczas gdy reszta modułów antywirusowych nie zdołała wykryć przygotowanego wirusa. Przeprowadziliśmy doświadczenie, które pokazuje mocne strony stosowania zapór sieciowych w bezpieczeństwie. Dodatkowo firewalle chronią przed wieloma współczesnymi atakami, ponieważ posiadają mniej lub bardziej zaawansowane systemy do wykrywania i blokowania intruzów.

Oprócz zapór sieciowych, które są zintegrowane z antywirusowymi, polecamy do monitorowania połączeń procesów:

  • GlassWire
  • Comodo Firewall
  • TCP Viewer jako nie firewall, ale darmowe narzędzie do sprawdzania połączeń internetowych
  • Crowdinspect

Bezpłatne antywirusy: Listę najlepszych darmowych antywirusów na rok 2018 przygotowaliśmy w osobnym artykule. Polecane darmowe antywirusy zabezpieczające małe firmy i klientów indywidualnych zebraliśmy w jednym miejscu, przyznając każdemu rozwiązaniu ocenę i stosowną rekomendację AVLab. Krótka recenzja każdego z wymienionych programów powstała dzięki wieloletnim doświadczeniu w przeprowadzaniu testów, znajomości rynku, jak i samej branży od wewnątrz. Gorąco zachęcamy do przeczytania naszego rankingu antywirusów.

Kopia zapasowa: Kiedy wszystko już zawiedzie i wszystkie zabezpieczenia komputera nie przyniosą efektu, powinniśmy posiadać kopię zapasową najważniejszych plików. Nie ważne czy to zalecenie odnosi się do wielkiej lub jednoosobowej firmy. Prędzej czy później każdy będzie potrzebował przywrócić dane do stanu sprzed awarii sprzętu lub zaszyfrowania przez ransomware.

A czy wy macie własne sposoby, narzędzie i wskazówki na zabezpieczenie komputera?



Komentarze

Kermit pt., 27-07-2018 - 20:22

Ja dodatkowo wyłączam funkcję SMB, oraz w edytorze rejestru blokowałem wscript. Ale komenda w PS5, którą tu wyczytałem jest chyba lepsza i tyczy się wszystkich skryptów :)
Mam też coś takiego jak xvirus personal firewall pro. dobre to jest?

Adrian Ścibor pt., 27-07-2018 - 21:27

Nie znam. Osobiście nie wybrałbym tego. Ostatnia aktualizacja była rok temu, ale jeśli program spełnia funkcję dwukierunkowej zapory i masz kontrolę nad ruchem sieciowym, to moje zdanie się nie liczy :)

Dodane przez Kermit w odpowiedzi na

Adam60 ndz., 29-07-2018 - 09:03

Jeśli Emet nie będzie rozwijany to czy mimo wszystko da się go używać w Windows 7? Jeżeli nie to c zy znasz inne programy, które mogą zastąpić Emeta?
Drugie pytanie dotyczy tego, czym tak naprawdę odróżnia się Windows Event od Sysmona? Bo w jednym i w drugim jest możliwość audytowania logów.

Adrian Ścibor ndz., 29-07-2018 - 09:14

ad1. EMET nie będzie rozwijany i raczej też nie będzie łatany. Dlatego lepiej zastąpić ten program wyżej wskazanymi, ale na własną odpowiedzialność możesz nadal korzystać z EMET-a.

ad2. Natomiast co do tych dwóch narzędzi - sysmon i dziennik zdarzeń to bardzo podobne narzędzia. W zasadzie sysmon zawiera w mniejszej części to, co potrafi Windows Event. Sysmona używa się bardziej do zbudowania honeypota lub systemu wczesnego ostrzegania. Sysmon zawiera kilkanaście Event ID, które potrafi logować i większość z nich dotyczy security, a nie problemów z Windowsem. Z kolei Windows Event może logować dosłownie wszystko, jak błędy w przerwaniach I/O, problemy ze sterownikami, problemy z oprogramowaniem, itp, itd, ale można skonfigurować dokładnie to samo co loguje sysmon. Nie można jednak tworzyć wyjątków jak w sysmonie i logować tylko to, co może cie interesować. Tak naprawdę sysmona można używać do dynamicznej analizy malware. Jest dużo poradników na ten temat.

Dodane przez Adam60 w odpowiedzi na

Kermit pon., 30-07-2018 - 16:34

Adrianie mam pytanie odnośnie przeglądarki. Co będzie bezpieczniejszym rozwiązaniem w windows 10 Pro? MS Edge ze smart screen, windows defender i spyshelter FW czy może np. Ograniczony firefox ze spyshelterem FW i windows defender?

Do tego wyłączony SMB, powershell 2.0, internet explorer oraz zablokowane wszelkie skrypty komendą zaprezentowaną w artykule.

Co do smart screen zablokowałbym całkowicie pobieranie niepodpisanych plików czy uruchamianie takowych aplikacji.

Ostatnie pytanie, czy testowaliście nową funkcje w windows 10 tzn. core isolation? Ma to istony wpływ na bezpieczeństwo i czy nie gryzie się ze spyshelterem firewall?

Adrian Ścibor pon., 30-07-2018 - 18:14

Nigdy nie byłem zwolennikiem blokowanie wszystkiego co nie ma cyfrowego podpisu w środowisku na skalę mikro, ponieważ używam takich programów i czasami może to być nie tyle irytujące, co mylące. Trochę głupio blokować coś co może się przydać. Rozmawiamy o skali mikro w domowym zaciszu. Inna sprawa w firmach. Z przyzwyczajenia można pobrać jakiś program i uruchomić go, po czym automatycznie omijając zabezpieczenia Smart Screen zezwolić na działanie. W takim razie pytam się po co to zabezpieczenie dla użytkowników zaawansowanych?

Zestaw 1, który zaproponowałeś jest dobry dla osób, które korzystają z komputera w celach rozrywkowych, jako niedzielni użytkownicy. Ty raczej takim nie jesteś, ale jeśli chcesz to korzystaj. Ale...

Skoro korzystasz z domyślnego Windows Defendera, to niejako wymuszasz stosowanie systemowych zabezpieczeń. Więc korzystaj. A jeśli cię to zirytuje, to daj znać, jak sprawuje się Smart Screen w praktyce :) Bo testy to jedno, kiedy sprawdza się konkretną funkcjonalność. A wykorzystywanie tego na co dzień to też coś innego.

W. Def + SpyShelter to mega mocny zestaw. Do tego rozszerzenia do przeglądarek i jesteś prawie pewien co masz w systemie :)

Do przeglądarki nie będę namawiał ani zniechęcał, bo to najważniejsze okno to komunikacji w Internecie. Wybierz najwygodniejsze, które daje ci synchronizację zakładek pomiędzy urządzeniami - jeśli potrzebujesz. Ja korzystam z FF od lat.

A co do Izolacji Rdzenia (Core Isolation) odnośnie do SpySheltera. Pytaj producenta: https://www.spyshelter.com/support-center Nie mam fizycznej możliwości przetestować wszystkiego. Ale odpowiadając na pytanie, czy warto - są komentarze, że czasami powoduje to problemy z kompatybilnością oprogramowania. Co nie znaczy, że nie możesz sprawdzić na swoim przykładzie.

Na wszelkie nowinki w zabezpieczeniach Microsoftu nie rzucałbym się tak od razu. Izolacja rdzenia powinna działać we wszystkich współczesnych i starzych PC ze wsparciem wirtualizacji sprzętowej ADM-V i Intel VT-x (włącza się w biosie): https://www.howtogeek.com/357757/what-are-core-isolation-and-memory-int…

Lecz praktyka pokazuje, że nie zawsze idzie w parze z teorią. BTW, malware tak samo jak wirtualizację w maszynie VM wykrywają, mogą też wykrywać uruchomienie w tej izolowanej przestrzeni Core Isolation: https://support.microsoft.com/en-us/help/4096339/windows-10-device-prot…

Dodane przez Kermit w odpowiedzi na

Kermit pon., 30-07-2018 - 18:30

Sprawdzałem dłuższy czas smart screen systemowy i z Edge na ustawieniach jakich podałem i szczerze to mi bardzo spasowało, problemów z softem mogłem naliczyć na palcach jednej ręki, ale wiedziałem o braku podpisu więc ręcznie sobie to obszedłem i byłem zadowolony. Dodatkowo ublock , menager haseł i dla wsparcia np., Norton safe web i jest szybko stabilnie i chyba bezpiecznie :) zagadnieniem większym był dla mnie ssfw gdyż Edga nie da się ograniczyć, natomiast FF się da (też używam ok 10 lat i jestem zadowolony) i tu tkwi sedno mego pytania czy ta funkcja będzie miała kluczowe znaczenie, skoro i tak będę miał załączonych tryb pytający. ( nigdy też nie wybieram z automatu polecenia uruchom tylko pobierz) A ms Edge.. kurde no spodobał mi się :D

Dodane przez Adrian Ścibor w odpowiedzi na

Adrian Ścibor pon., 30-07-2018 - 18:48

Pewnie czytałeś, ale jeśli nie to lektura obowiązkowa o polskim SpyShelter: https://avlab.pl/pl/spyshelter-firewall-warownia-ktora-zdola-zastapic-a…
Jak na razie SpyShelter jako HIPS z regułami producenta i anty-logger ze wsparciem skanera w chmurze, szyfrowaniem klawiszy oraz dwukierunkowym firewallem przekracza możliwości samego Windows Defendera. Więc niezależnie z jakiej przeglądarki skorzystasz, to Win. Def + SpyShelter wystarczy.

Nie przesadź w drugą stronę, bo utrudnisz sobie życie. Ale przede wszystkim na nic się to ma, jeśli jedziesz na koncie z uprawnieniami administratora. Stwórz nowe konto, tak jak to robią Linuksowcy. No nie ma bata, żeby coś zdołało cię zainfekować, jeśli będziesz stosował się do zaleceń.

Przy okazji: https://old.reddit.com/r/Windows10/comments/8x0koc/what_are_core_isolat… Core Isolation może powodować ekrany śmierci. Jako młoda technologia potrzebuje dopracowania oraz sterowników producentów płyt głównych. Na razie nie wygląda to zachęcająco.

Dodane przez Kermit w odpowiedzi na

Kermit pon., 30-07-2018 - 18:53

Dzięki bardzo za informacje, teraz już nie mam takiego dylematu :)
Artykuł owszem czytałem i to kilka razy :D
Oj tak wiem coś o tym hips w Esecie i firewall do teraz czasem mnie wkurzają mimo ustanowionych reguł i zapisaniu ich do pliku....

Kermit pon., 30-07-2018 - 20:56

Eset działa jak należy, tylko jak co s nowego sie dzieje to idzie sie zaczytać i zaklikać bo taki wrażliwy :D ale to na plus
Dzięki bardzo :)

Kermit wt., 31-07-2018 - 11:01

Mam jeszcze pytanie bo dostawca neta dał mi F-Secure na 2 lata za free i ciekaw jestem czy to będzie dobre połączenie z SSFW?
Ma świetną blokadę url, i silnik BD, brak jako tako firewalla i słaba bankowość... dla tego myślę o ewentualnie połaczeniu jego z SSFW :)

Będzie to?

Adrian Ścibor wt., 31-07-2018 - 11:14

O rany! :) Sam korzystam z F-Secure bez dodatkowych wspomagaczy i czy to jest wystarczająca rekomendacja? SpySheltera nie musisz z niczym łączyć. Jeśli chcesz postawić na polski produkt to wbudowany Windows Defender z ograniczeniami, które wprowadziłeś, będzie wystarczający. Co za dużo to nie zdrowo.

Dodane przez Kermit w odpowiedzi na

Kermit wt., 31-07-2018 - 19:55

Zaskakująca odpowiedź! spodziewałbym się raczej Arcabit/MKS lub właśnie SSFW plus jakieś kosmiczne narzędzia:D tego rozwiązania bym się nie spodziewał a na pewno nie w wersji solo...

Dodane przez Adrian Ścibor w odpowiedzi na

Dodaj komentarz

Treść tego pola jest prywatna i nie będzie udostępniana publicznie.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej