Zabezpečte svůj počítač pomocí zdarma dostupných utilit!(CD)
"Zapněte bránu firewall, nainstalujte všechny dostupné aktualizace, používejte nejnovější verzi antiviru!" Kolikrát už jste něco podobného slyšeli? A kolikrát jste si tato slova vzali k srdci? V tomto článku vám předvedeme několik triků, jak pomocí pouhých čtyř zdarma dostupných utilit snížíte nebezpečí napadení počítače na minimum!
Ve vašem počítači je k dispozici řada preventivních prostředků a obranných mechanismů, o nichž by měl každý uživatel minimálně vědět. Přesto stále dochází k napadení počítačů různými viry nebo červy, i když by tomu tak vůbec nemuselo být. V tomto článku vám prozradíme tipy pro zajištění bezpečnosti vašeho počítače, které vám do značné míry usnadní život. Pomocí čtyř zdarma dostupných utilit minimalizujete možnost napadení počítače a zároveň odstraníte všechny škodlivé programy, které se snad již ve vašem počítači vyskytují.
V první části vám představíme správce úloh, který můžete nastavit tak, že většinu nepovolených programů odstraníte z operační paměti pouhým stisknutím tlačítka myši. Viry a červy, kteří se ve vašem počítači již rozšířili, je nutné co nejrychleji zlikvidovat, a to nejlépe pomocí antivirového a antispywarového programu. Nabídneme vám dva nástroje pro Windows, které na rozdíl od mnohých specializovaných utilit zvládají následující dva úkoly týkající se bezpečnosti počítače na výbornou. Prvním z nich bude utilita pro kontrolu programů, které se spouštějí při startu Windows objevíte všechny chtěné i nechtěné položky, umožňující spuštění toho či onoho programu a budete moci libovolnou z nich deaktivovat.
Stejně tak důsledné bude i vyřazení nezvaných hostů díky důkladnému nastavení přístupových práv do systému. Škodlivé programy se snaží napadat důležité oblasti operačního systému, ale ty se dají chránit příslušným nastavením přístupových práv. Nabídneme vám utilitu, která toto nastavení umožní provést velmi pohodlně a jednoduše.
Nejdůležitější ze všeho je na nejvyšší míru omezit možnost napadení systému. Existují například tak jednoduché možnosti jako vypnutí zobrazování e-mailů ve formátu HTML nebo přechod na jiný internetový prohlížeč než Internet Explorer. Nejúčinnějším prostředkem je zablokování přístupu k jednotlivým portům zvnějšku. I to se dá zařídit velmi jednoduše pomocí utility, kterou vám rovněž v tomto článku představíme.
Kombinací zabezpečení formou instalování aktualizací, firewallu a antivirového programu můžeme ve spojení s našimi utilitami získat velmi dobře zabezpečený systém. Naše tipy jsou určeny pro operační systémy MS Windows 2000 a XP, tipy v druhé části článku také pro systémy MS Windows 98/ME.
Kontrola běžících procesů pomocí nástroje pcwListkill
1.Základy: procesy a aplikace
Viry, červi a spyware nic nezmohou, pokud leží na pevném disku a nejsou aktivováni. Každý program, ať užitečný nebo škodlivý, se aktivuje až v okamžiku, kdy se dostane do operační paměti, čímž se spustí jako proces. Bez procesů by se na žádném počítači na světě nedalo provozovat nic. Jsou základem pro správnou funkci operačního systému a spouštění aplikací. Úlohy pak představují uspořádané řady procesů, které vyžadují již spuštěné jádro systému jako interpreter a to poskytuje právě operační systém.
Z praktického hlediska jsou všechny ve Windows běžící a pro Windows napsané aplikace, ať ty užitečné nebo škodlivé, úlohami. Když například úloha aplikace typu červ přepíše soubor BOOT.INI, čímž poškodí systém tak, že se Windows již příště nespustí, je to zjevně špatná úloha. Pokud na druhou stranu instalujete do počítače další verzi Windows, pak úloha představující instalaci Windows upraví soubor BOOT.INI tak, aby bylo možné při spuštění počítače vybrat, který z obou operačních systémů se má spustit. Tady se jedná zjevně o prospěšnou úlohu.
Z pohledu operačního systému se provádí v obou případech to samé úprava souboru BOOT.INI. Možnosti výrobců antivirových programů jako specialistů jsou velmi omezené. V první řadě musí reagovat na jednoznačně identifikované a již známé hrozby, teprve pak vylepšují heuristickou analýzu umožňující odhalit škodlivý software zde vycházejí většinou ze statistických dat. V praxi není vždy jednoduché správně rozhodnout například úkol aplikace Wscript, který má modifikovat registr Windows, by mohl být virem a z preventivních důvodů by se mělo jeho spuštění zablokovat. Tato úvaha je sice na jednu stranu správná, ale na druhou stranu přesně nevíme, zda se skutečně jedná o virus.
2.Prospěšné procesy: správce úloh systému Windows
Správce úloh zobrazuje a spravuje všechny běžící úlohy v systémech Windows. Nejrychleji jej vyvoláte stiskem klávesové zkratky <Ctrl><Alt><Delete>. Na záložce Procesy vidíte jak prospěšné, tak škodlivé procesy, a to s názvy souborů. Pokud si libovolnou položku označíte klepnutím pravým tlačítkem myši, můžete proces ukončit příkazem Ukončit proces z kontextového menu. Pokud se bude jednat o škodlivý proces, zůstane sice na pevném disku, ale prozatím alespoň nebude škodit. Pokud se spustil při startu Windows jak tomu často bývá, bude jeho řádění učiněna přítrž alespoň pro právě spuštěnou instanci Windows.
Pro správnou funkci Windows XP jsou naprosto nepostradatelné následující procesy: Csrss, Lsass, Services, Smss, Svchost (několik instancí) a Winlogon. Díky existenci ochranných mechanismů správce úloh neumožní tyto procesy ukončit. Další možností, jak odhalit škodlivé procesy běžící na vašem počítači, je záložka Uživatelské jméno, kterou zobrazíte pomocí menu Zobrazit/Vybrat sloupce.
Většina škodlivých programů se jednoduše spouští v kontextu aktuálního uživatele, tedy v účtu právě přihlášeného uživatele, s přístupovými právy platnými pro tento účet. Z toho vyplývá, že položky Local Service, Network Service a System ve sloupci Uživatelské jméno ukazují na systémové procesy Windows. Toto třídění však není docela korektní, jelikož řada tvůrců virů služby, které jsou nutné pro jejich provoz, skrývá pod položku System.
Pokud chcete v případě nouze některý proces násilím ukončit, pak je vhodným řešením právě Správce úloh. Ale jakmile se pokusíme procesy jednoznačně identifikovat nebo pokud budeme chtít ukončit několik procesů současně, dostaneme se snadno na hranice schopností tohoto programu. Ale ani již zmiňované ochranné mechanizmy nejsou při svém rozhodování, zda je možné proces ukončit nebo ne, dostatečně průkazné. Pokud například libovolnou aplikaci přejmenujete na WINLOGON.EXE, nebude ji možné ukončit, protože se stejným názvem se spouští pro systém nepostradatelná komponenta WINLOGON.EXE.
3.Lepší řešení: White List Killer
Vzhledem k tomu, že nelze v principu rozlišit, zda se v systému Windows jedná o proces škodlivý nebo prospěšný, snažili jsme se najít řešení, jak si přece jen nějak pomoci. Nabízíme vám proto německou utilitu PCWLISTKILL.EXE, kterou naleznete i . Je určena pro Windows 2000 a XP a s její pomocí vytvoříte seznam všech procesů, jimž povolíte spuštění. Všechny ostatní úlohy, které na této "bílé listině" nebudou, opět klepnutím myší z operační paměti odklidíte. Pro první použití doporučujeme čistý systém, na němž jsou instalovány pouze ty nejnutnější aplikace. Utilitu spustíte pouhým poklepáním na spouštěcí soubor. V horní polovině okna následně uvidíte všechny úlohy, které aktuálně na vašem systému běží. Vedle jména souboru a cesty k němu se také ukazuje kontrolní součet pro daný soubor (CRC32). Kombinace těchto tří údajů daný proces jednoznačně identifikuje. Kontrolní součet CRC32 se počítá při každém spuštění pro úlohu vždy znovu. Ve spodní polovině okna se pak nacházejí úkoly, jimž chcete jejich běh dovolit. V tomto seznamu jsou při prvním spuštění uvedeny pouze pro systém kritické a nepostradatelné procesy. Pokud chcete do tohoto seznamu umístit další úkoly, spusťte danou aplikaci, například Firefox nebo Word, pak klepněte v utilitě na tlačítko Aktualisieren a poklepejte v horní polovině okna na novou položku. Další možností je použít tlačítko Prozess erlauben. Pokud zapomenete nějaký proces označit, objeví se dialogové okno, do něhož budete moci zadat cestu k souboru aplikace.
Obráceně je to stejně jednoduché. Pokud budete chtít nějaký proces zakázat jednoduše ve spodní části okna na položku v seznamu poklepete, čímž ji ze seznamu odstraníte.
Jakmile skončíte všechny úpravy v seznamech, klepněte na tlačítko Aktualisieren, čímž znovu v okně aplikace zobrazíte všechny spuštěné procesy. Klepnutí na tlačítko Kill ukončí všechny procesy, které nejsou v seznamu povolených aplikací nebo jejichž kontrolní součet CRC32 nesouhlasí.
Upozornění: Po instalaci aktualizací nebo Service Packů se kontrolní součty systémových procesů změní, i když k žádnému napadení počítače nedošlo. Jde totiž o to, že při aktualizaci systému se často nahrazují systémové soubory novějšími verzemi, čímž se změní i jejich kontrolní součet. V tomto případě odstraňte všechny starší položky ze seznamu způsobem, který jsme popsali výše, a přidejte položky nové.
Tlačítko Konfig.weg slouží ke kompletnímu vymazání obsahu bílé listiny. Při dalším spuštění utility se načtou všechny pro operační systém nepostradatelné procesy znovu a zobrazí se ve spodní části okna aplikace, stejně jako při prvním spuštění programu.
Kontrola na startovní čáře
4.Automatické spuštění programů ve Windows
Každý škodlivý program se nejprve zkouší dostat do takové pozice, aby se automaticky spouštěl při startu Windows a Windows tuto snahu paradoxně podporují existencí řady možností, jak toho dosáhnout. Doposud se nám podařilo ve všech verzích Windows napočítat celkem 30 možností, kam je možné takové položky umístit. Není divu, že škodlivé programy, které jste pomocí Správce úloh nebo utility PCWLISTKILL odstranili z paměti, se zpravidla při dalším spuštění Windows objeví znovu. Úklid v operační paměti je tedy pouze prvním prostředkem v nouzi. Pokud chcete škodlivý program ze svého počítače dostat úplně, musíte kromě prvního kroku učinit ještě druhý najít v systému místo, odkud se škodlivý program spouští, a odtud jej odstranit. Bohužel ručním prohledáváním to jde jen velmi obtížně.
Nejčastěji používaná místa, kam se škodlivé soubory umisťují, jsou tato:
1. Složka Po spuštění v nabídce Start.
2. Klíč registru s názvem: Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentVersionRun.
3. Klíč registru s názvem: Hkey_Current_UserSoftwareMicrosoftWindowsCurrentVersionRun.
Kromě toho jsou možná další umístění:
1. Umístění určené pro skripty správců systému %windir%System32GroupPolicyMachineScriptsStart-up.
2. Položka Userinit v klíči registru Hkey_Local_MachineSoftwareMicrosoftWindows NTCurrentVersionWinlogon, kde se standardně nahrává grafické rozhraní představované souborem EXPLORER.EXE, avšak mohou se zde spouštět i další programy.
3. Položka BootExecute v klíči registru Hkey_Local_MachineSystemCurrentControlSetControlSessionManager. Tuto položku mohou tvůrci virů libovolně rozšiřovat, protože většinou každý z nich ovládá tzv. Native Code, který se uplatňuje před zavedením 32bitového jádra systému.
Většina škodlivého softwaru se pro jistotu zapisuje na více míst současně. Pokud uživatel přehlédne byť jen jedno umístění, najde je v operační paměti při příštím spuštění znovu.
Upozornění: Směle můžeme prohlásit, že neexistuje ani jeden proces, který by byl ve zmíněných umístěních nepostradatelný. Přesto je dobré při zkoumání obsahu výše zmíněných položek uvažovat s rozmyslem. Jsou zde totiž programy, které spouští antivirové programy či podporují automatické aktualizace různých programů. Ty by se samozřejmě odstraňovat neměly.
5.Nedostatečné příslušenství Windows
Firma Microsoft nabízí (z hlediska možnosti kontrolovat v předchozím tipu zmíněná místa, odkud se dají automaticky spouštět různé programy), jen velmi málo prostředků. Uživatelé pracující ve Windows 2000 nejsou vybaveni vůbec ničím, ve Windows 98/ME a ve Windows XP je k dispozici alespoň systémová utilita MSCONFIG.EXE, jež dokáže zjistit, které položky, spouštějící se po startu Windows, se nacházejí v kterých umístěních. Tuto utilitu spustíte klepnutím do nabídky Start/Spustit a zadáním příkazu msconfig do políčka Otevřít. V okně programu Nástroj pro konfiguraci systému se přesuňte na záložku Po spuštění. Zde uvidíte všechny programy, které se při startu Windows spouštějí. Zrušte zatržítka u všech položek, u nichž nechcete, aby se při startu Windows spouštěly. Provedená nastavení potvrďte stiskem tlačítka OK.
Utilita MSCONFIG.EXE sice neukazuje všechna umístění pro automatické spouštění programů, ale na druhou stranu má jednu výhodu, např. oproti našemu nástroji PCWAUTOSTART.HTA1.2.HTA, že zde deaktivované položky zůstávají, tudíž je můžete později v případě potřeby znovu aktivovat.
6.Univerzální nástroj pro kontrolu automatického spouštění programů
Díky utilitě PCWAUTOSTART1.2.HTA, kterou naleznete , vám bude stačit několik klepnutí myší, abyste se dozvěděli, odkud se který program spouští. Pokud budete chtít, budete moci odpovídající položku i odstranit. Oproti starší verzi se tento skript vylepšil o klíč BootExecute. Můžeme možná trochu neskromně potvrdit, že žádná jiná utilita neposkytuje lepší informace o umístění položek, spouštěných při startu Windows.
Utilitu spustíte poklepáním na soubor a po jejím spuštění skript prohledá 22 klíčů v registru, pět souborů a tři složky, v nichž zkoumá, jaké položky nebo zástupci aplikací, které se mají automaticky spouštět při startu Windows, se tam nacházejí. Pokud je hledání úspěšné, ukáže se nejprve umístění dané položky. Po ukončení prohledávání uvidíte v horní části dialogového okna všechny klíče registru a také cesty ke složkám a souborům. Jakmile na některou z vyobrazených položek klepnete, zobrazí skript ve spodní části dialogového okna aplikace, které se z tohoto místa spouští. Chcete-li jednotlivé aplikace z tohoto místa odstranit, umístěte zatržítko vedle programu a stiskněte tlačítko Odstranit. Hned poté se skript znovu automaticky inicializuje a ukáže vám opět aktuální stav systému.
Všechny aplikace, ať škodlivé či užitečné, zůstávají samozřejmě při těchto akcích nedotčeny, ve skutečnosti se totiž odstraňuje jen možnost jejich automatického spouštění.
PCWAUTOSTART1.2.HTA však neumí pouze uklízet, ale dokáže ve Windows 2000 a XP rovněž zabránit možnému umístění dalších nechtěných programů do daných složek. Potřebujete pouze práva správce k systému, diskový oddíl se systémem souborů NTFS a v systému správně nainstalovanou utilitu SUBINACL.EXE (najdete ji i ).
Pokud všechny výše uvedené podmínky splňujete, klepněte na tlačítko Oprávnění. Tím odeberete uživateli a systému oprávnění Zapisovat do všech položek v registru a pro všechny soubory do složek, jejichž obsah se načítá při startu Windows. Důsledkem tohoto kroku bude to, že žádná aplikace, kterou sami spustíte, ani ta, kterou se do systému instaluje v důsledku například aktualizace systému, se sama nebude moci stát aplikací, jež se bude automaticky spouštět při startu Windows.
Toto nastavení je hlubokým zásahem do operačního systému, proto byste jej měli používat s rozmyslem.
Budete-li chtít někdy v budoucnu umožnit zápis do všech míst, kam patří odkazy na soubory, které se mají při startu Windows spustit, stačí znovu použít naši utilitu. Po novém klepnutí na tlačítko Oprávnění se pro všechna výše zmíněná umístění nastaví úplný přístup pro všechny soubory.
Méně práv, více bezpečnosti
7.Správce versus uživatel
Windows NT 4, 2000 a XP, která se instalují na pevný disk se systémem souborů NTFS, můžeme považovat za bezpečný systém. Ostatně Windows NT byla původně určena pro nasazení na serverech, popřípadě pracovních stanicích ve firmách a umožňují nastavit pro každého uživatele různou úroveň přístupových práv. Jsou-li tato práva správně nastavena, nemají šanci ani škodlivé programy, ani nepovolaní uživatelé, takže se o svá data nemusíte vůbec bát. Za vyšší bezpečnost systému ale uživatelé platí vyšší složitostí systému. Aby se uživatelé zejména Windows XP vyhnuli potenciálním problémům při práci, pokud by byli přihlášeni jako uživatelé s omezeným oprávněním, pracují raději přihlášení jako správci systému se všemi přístupovými právy. Tím ale získávají úplný přístup ke všem prvkům systému i viry, červi a další druhy škodlivých programů, takže mohou nakládat se systémem prakticky jak chtějí. Také i když používáte firewall a antivirový program, které zabraňují řadě škodlivých programů v přístupu do systému, je nejjistější surfovat po internetu nebo pracovat přihlášený pod účtem s omezenými právy. Toto je tím nejjistějším řešením, jak se chránit před škodlivými programy. Účty s omezeným oprávněním nemají mimo jiné právo zapisovat do složek Windows a Program Files a rovněž nemají právo ke čtení dat jiných účtů. Pokusy škodlivých programů zapisovat do systémových souborů, pokud jste přihlášeni pod účtem s omezeným oprávněním, pak vycházejí do prázdna.
Proto každý, kdo používá na počítači pouze několik programů, by měl vždy používat účet s omezeným oprávněním. Uživatel, který často instaluje nejrůznější aplikace, se však často dostane do úzkých řada programů totiž vyžaduje pro instalaci práva správce systému a pak nezbývá, než pracovat pod účtem správce.
V tomto konfliktu mezi zabezpečením počítače a komfortem při práci však existuje jeden velmi zajímavý kompromis. Můžete pracovat přihlášení jako správci systému, přesto lze surfovat na internetu s omezenými právy. Jde to ale i jinak: můžete pracovat přihlášeni jako uživatel s omezenými právy, přesto můžete z tohoto účtu instalovat programy s právy správce systému.
8.Užitečná utilita RUNAS.EXE pro Windows
Windows XP nabízí pro případ zmíněný v minulém tipu utilitu RUNAS.EXE. Jedná se o program běžící na příkazovém řádku, který dokáže spustit aplikace pro Windows i mimo prostředí kontextu uživatele, tedy aniž byste se museli odhlašovat z účtu, pod nímž právě pracujete. Podobnou funkci mají i položky vyvolané z kontextového menu u souborů EXE nebo zástupců k těmto typům souborů jedná se konkrétně o položku Spustit jako. U zástupců programů existuje ještě jedna možnost, jak spustit aplikaci pod jiným typem oprávnění. Klepněte pravým tlačítkem myši na ikonu zástupce, z kontextového menu vyberte položku Vlastnosti a přesuňte se na záložku Zástupce. Zde klepněte na tlačítko Upřesnit. V obou případech zadáváte uživatelské jméno a heslo. Windows tyto údaje standardně neukládají a při každém spuštění programu je musíte zadat znovu. Prázdná hesla nejsou povolena.
RUNAS.EXE zachází ve Windows XP Professional ještě o krok dále. Nabízí totiž přepínač, s jehož pomocí můžete přihlašovací údaje uložit (Windows XP Home tento přepínač ignoruje). Zadejte na příkazový řádek např. tento příkaz:
runas /user:<uživatelské jméno> /savecred "<název programu>"
Výraz <název programu> nahraďte úplnou cestou ke spouštěcímu souboru aplikace. Nyní stačí zadat heslo pouze jednou, Windows při příštím přihlášení použijí toto zadané a uložené heslo.
9.Ještě lepší utilita PCWRUNAS.EXE
Naše utilita PCWRUNAS.EXE, kterou najdete , pracuje podobně jako aplikace zmíněná v předchozím tipu. Pracuje na příkazovém řádku, ukládá přihlašovací heslo, čímž umožňuje spouštění programů bez zadávání dalších údajů. Navíc tato utilita funguje i ve Windows XP Home a ve Windows 2000. Typický příkaz může vypadat kupříkladu takto:
pcwrunas /u martin /p tajne /cmd explorer.exe
Výše uvedený příkaz spustí program EXPLORER.EXE v kontextu uživatele Martin s heslem tajne.
Po instalaci programu PCWRUNAS.EXE najdete na svém pevném disku ještě jednu utilitu PCWRUNASGUI.EXE. Ta vám umožní pohodlně vytvářet zástupce programů, s jejichž pomocí budete moci spouštět programy v účtu s omezenými právy nebo jako správce systému. A aby nikdo nepovolaný nemohl zjistit heslo správce systému, utilita tento parametr, který se musí zadat pro PCWRUNAS.EXE na příkazovém řádku, jednoduše šifruje. Pro šifrování používá algoritmus Blowfish (další informace na www.schneier.com/blowfish.html) a je tedy velmi obtížné toto heslo zjistit. Teoreticky by se toto heslo dalo odhalit, protože k šifrování pomocí PCWRUNAS.EXE žádné heslo nepotřebujete.
Abychom celou akci co nejlépe zabezpečili, použijeme jako heslo kontrolní součet spustitelného souboru a sériové číslo pevného disku. Tím zajistíme, že námi vytvořeného zástupce nebude možné použít ani na jiném počítači, ani ke spuštění jiného programu.
V dialogovém okně PCWRU-NASGUI si vyberte v poli Dateiname: jméno programu, který chcete spouštět. Poté zadejte přihlašovací údaje, jméno zástupce a klepněte na tlačítko ébernehmen. Parametry pro PCWRUNAS.EXE se objeví v políčku oddělené středníkem. Zde je můžete popřípadě upravit.
Po klepnutí na tlačítko Shortcut vytvoří program zástupce a umístí jej na pracovní plochu. Poklepáním pak spustíte program pod jiným uživatelským jménem a heslem.
Pro kontrolu přístupových práv instaluje do systému instalační program PCWRUNAS.EXE panel nástrojů pro Internet Explorer a Průzkumníka Windows (jedná se o knihovnu PCWPRIVILEGIEN.DLL) tento panel nástrojů zobrazíte pomocí menu Zobrazit/Panely nástrojů/pcwPrivilegien. Pracujete-li jako správce systému, uvidíte červený varovný symbol a tlačítko Administrator. Po stisku tlačítka se otevře okno s informacemi o příslušnosti k uživatelské skupině a informace o právech uživatele, pod jehož účtem se program spouští.
Porty a služby
10.Riziko jménem otevřené porty
Pokud některá ze služeb Windows nechá některý z portů otevřený, může počítač přes ně přijímat požadavky klientů, zpracovat je a odpovědět na ně. Pokud například zadáte v internetovém prohlížeči internetovou adresu www.pcw.cz, pošle prohlížeč přes port 80 na náš server následující příkaz:
get / http/1.0
Náš počítač naslouchá na portu 80, rozpozná výše uvedený příkaz a jako odpověď zašle vašemu počítači úvodní internetovou stránku našeho časopisu. Pokud byste stejný požadavek zaslali počítači svého kolegy, k němuž jste připojeni pomocí sítě LAN, pak vám určitě neodpoví, jelikož na něm neběží služba webového serveru a port 80 je uzavřený.
Otevřené porty představují nebezpečí pouze tehdy, pokud je program, který odpovídá, poškozený. V již zmíněném neškodném případě dojde nejspíše k zatuhnutí programu. V nejhorším případě povolí počítači, který na port přistupuje, podstrčit nějaký škodlivý program nebo dokonce získat přístup k celému systému. Například celá řada webových serverů povoluje nahrávání obrázků. Pokud je webový server špatně nastavený, může kupř. povolit, aby se dal na něj poslat nejen soubor obrázku, ale také například spustitelný soubor. Zároveň se dá cílová složka na webovém serveru nastavit tak, aby se nacházela v systémové složce. Měli byste se tedy postarat o to, aby na serveru běžely jen ty nejnutnější služby a připojení, zvláště v případě telefonického připojení.
Firewall (někdy se používají anglické výrazy Personal nebo Desktop Firewall), jakým je kupříkladu ten, který je součástí Windows XP, dokáže mimo jiné i blokovat aplikace, které chtějí navázat připojení proti vaší vůli. Účinnost ochrany firewallem je ale omezena tím, že se jedná o program, který by sám měl být chráněn. Proto je ve své podstatě daleko bezpečnější uzavřít všechny porty ještě dříve, než bude muset firewall něco ve vašem počítači řešit.
11.Nepohodlné utility pro správu služeb Windows
Co se týče možnosti vypnutí nepotřebných služeb, pak Windows 2000 a XP nabízejí následující nástroje: konzolu Služby (nabídka Start/Spustit/services.msc), Síťová připojení, Editor registru a utility NETSTAT.EXE a SC.EXE (ta je k dispozici pouze ve Windows XP), pracující na příkazovém řádku. Dále vám pomohou některé internetové služby, například ta na adrese portscan.winboard.org, která pokud budete chtít prozkoumá váš počítač a zobrazí výsledky. Při tomto testu se například dozvíte, které porty jsou na vašem počítači otevřené. Pokud chcete zjistit, které aplikace používají který port, otevřete program Příkazový řádek a v něm zadejte příkaz netstat -ab. V poli Místní adresa vidíte vždy číslo portu nebo název odpovídající služby. Dále můžete vidět název programu se všemi k němu příslušejícími částmi, tedy soubory EXE a DLL. Dané aplikace můžete následně ukončit pomocí Správce úloh.
Pokud se v seznamu objeví úloha SVCHOST.EXE, jedná se o službu Windows, která se dá konfigurovat pomocí konzoly Služby nebo souboru SC.EXE. Název služby zjistíte tak, že v Editoru registru vyhledáte v klíči Hkey_Local_MachineSystemCurrentControlSetServices název souboru knihovny DLL a potom v levém sloupci zjistíte, ke které službě nalezená DLL knihovna patří. V konzole Služby pak můžete danou službu ukončit, pozastavit nebo alespoň nastavit její spuštění na automatické nebo ruční.
Služby jako například Vzdálené volání procedur (RPC) se vůbec ukončit nedají. V takových případech se můžete spoléhat pouze na to, že se služba objeví ve vlastnostech telefonického připojení na záložce Sítě. Odstraněním zatržítka před službou odstraníte vazbu k telefonickému adaptéru sítě. Pokud se vazba ke službě nedá nakonfigurovat ani tady, pak pomůže už jen utilita SC.EXE. Pomocí příkazu:
sc config rpcss start=disabled tuto službu přece jen zastavíte.
Prostředky Windows jsou v podstatě schopné služby operačního systému řídit a upravovat, ale je to značně namáhavý a nevděčný podnik, zvláště když jsou na sobě jednotlivé služby navzájem závislé.
12.Superdávkový soubor SVC2KXP.CMD
Dávkový soubor SVC2KXP.CMD, který najdete , využívá pouze prostředky, které jsou součástí Windows. Když se podíváte na jeho obsah, zjistíte, že obsahuje přes 1 000 řádků kódu, jejichž účelem je uzavření všech otevřených portů a vypnutí všech nepoužívaných služeb.
SVC2KXP.CMD po spuštění nabízí výběr ze tří úrovní zabezpečení systému, které vyberete stiskem odpovídajícího čísla na klávesnici. Úroveň 1 ponechává všechny funkce sítí ve Windows beze změny a zavře všechny ostatní porty. Dále zastaví služby jako je Kurýrní služba, Distributed Transaction Coordinator (MSDTC) a Centrum zabezpečení. Nastaví skript tak, že nebude možné nastavovat IP adresu prostřednictvím služby DHCP, ukončí se tedy i služba DHCP. Služby jako Automatické aktualizace nebo Plánovač úloh budou běžet dále beze změny.
Úroveň 2 deaktivuje vše kromě podpory sítí ve Windows. Díky tomu jsou uzavřeny všechny porty. Tato možnost se hodí pro jednotlivé počítače s připojením k internetu.
Nejradikálnější je úroveň 3. V ní se zastavuje co nejvíce služeb mimo jiné všechny služby úrovní 1 a 2, dále Brána firewall/Sdílení připojení k internetu, DCOM, Automatické aktualizace a Plánovač úloh. Toto nastavení je vhodné pro počítač, na kterém se budou například učit začátečníci surfovat na internetu. Automatické aktualizace bude muset provádět správce počítačů ručně.
Při každé změně uloží utilita starou konfiguraci služeb ve formě souboru REG do složky ntsvcfg.
Pokud stisknete klávesu 4 (možnost Restore), obnovíte starou konfiguraci. Dále vám doporučujeme zálohovat složku ntsvcfg, která se vytvořila při prvním použití utility. Ta obsahuje výchozí konfiguraci před prvními úpravami služeb. Po každé změně doporučujeme restartovat počítač, a to i tehdy, pokud vás o to dávkový soubor vysloveně nežádá.
Kromě již zmíněných čtyř položek menu nabízí utilita ještě další parametry /relan a /default, které můžete používat pouze prostřednictvím příkazového řádku (například svc2kxp /default). Varianta /relan bude vhodná, pokud budete chtít vypnutou podporu sítí ve Windows znovu zapnout a zapomněli jste si vytvořit záložní soubory. Přepínač /default nastaví konfiguraci do původního stavu před prvním použitím dávkového souboru. Rychlou nápovědu ke všem možným volbám získáte pomocí příkazu svc2kxp /?.
SVC2KXP.CMD zálohuje nejen starou konfiguraci, ale po každém spuštění vytváří přesný obraz o tom, co je třeba vědět o způsobu spuštění každé služby, stejně jako její aktuální stav. Je dobré při novém spuštění skriptu vědět, zda se mezitím něco nezměnilo ať ručním nastavením nebo díky automatickým aktualizacím. V tom případě dávkový soubor neukáže žádný výběr z menu, ale zobrazí hlášení: Checking for modified services... failed services maybe modified! [E]valuate. Stiskem klávesy <E> můžete zobrazit změny nebo pomocí konzoly Služby nastavení služeb upravit.5 0709/OK o
Procesy z technického hlediska
Aby se mohl z nějakého programu na pevném disku stát proces, je nejprve nutné zdrojový kód souboru nahrát do operační paměti. Ukazatel ve zdrojovém kódu pak prozradí procesoru, kterou oblast operační paměti má zpracovat. Z paměti se pak zdrojový kód nahrává do vyrovnávací paměti procesoru a pak předává dekodéru instrukcí, který říká procesoru, co má vlastně dělat a jakou instrukci zpracovávat. Dále putuje do řadiče procesoru a provede se v jádru procesoru.
Nečinné procesy systému
Správce úloh systému Windows ukazuje vždy u položky Nečinné procesy systému (Idle), že spotřebovává prakticky celý výkon procesoru. Ve skutečnosti se jedná pouze o jediný proces, který sčítá všechny prostředky, které jsou v daném okamžiku volné. Součet celkového vytížení procesoru tedy dává 100 procent.
Falešné procesy
V seznamu pořízeném pomocí utility PCWLISTKILL.EXE nemají škodlivé programy, které se tváří jako systémové procesy, žádnou šanci. Naše utilita identifikuje všechny procesy na základě jejich cesty a jednoznačného kontrolního součtu.
Run, Run, Run...
Prakticky všechny škodlivé programy se ve Windows spoléhají na funkci automatického spouštění. Aktuálně na špici žebříčku nejčastěji se vyskytujících virů je W32/Netsky-P. Jedná se o červa hromadně se šířícího pomocí elektronické pošty, který se kopíruje do složky Windows jako soubor FVPROTECT.EXE a v registru Windows si zajistí automatické spuštění tak, že se umístí do klíče HKLMSoftwareMicrosoftWindowsCurrentVersionRunNorton Antivirus AV. I názvy souborů systémových procesů v klíči Run jsou přinejmenším podezřelé. Zkuste vyhledat několik typických názvů souborů v položkách zajišťujících automatické spuštění programů při startu Windows a prověřte je v některém ze seznamu virů, které najdete například na stránkách výrobců antivirových programů. Uvidíte, že se trefíte.
Ovladač jako škodlivý program?
Teoreticky můžeme uvažovat i o tom, že by se škodlivé programy mohly naprogramovat i jako ovladače. Mělo by to několik výhod ovladače potřebují neomezený přístup do systému a jako jediné programy dokáží přímo komunikovat s hardwarem počítače. V praxi však tato myšlenka nemá žádný význam. Za prvé by bylo třeba uživatele donutit k tomu, aby souhlasil s tím, že se do systému instaluje nepodepsaný ovladač, ačkoliv právě žádný hardware neinstalujete. Chyba při běhu programu by pak měla daleko osudovější důsledky. Pokud by došlo k zatuhnutí programu, vyvolal by špatně fungující ovladač modrou obrazovku a tím by se stal rychle nápadným.
SUBINACL.EXE: přidělování práv pomocí příkazového řádku
Utilita SUBINACL.EXE pochází z Resource Kitu pro Windows Server 2003 a slouží k přidělování přístupových práv souborům, složkám či klíčům registru. Náš skript PCWAUTOSTART1.2.HTA tuto utilitu potřebuje k tomu, aby mohl odepřít nebo přidělit právo zapisovat do všech umístění, kam se mohou dávat soubory, které se mají automaticky spouštět při startu Windows. Archiv s programy stačí stáhnout a instalovat. Po instalaci vyhledejte soubor SUBINACL.EXE a zkopírujte jej z instalační složky do složky Windows.
Přepnutí uživatele
Ve Windows XP můžete místo našich utilit RUNAS.EXE či PCWRUNAS.EXE využít pro spuštění programů pod jiným uživatelským účtem také funkci rychlého přepnutí uživatelů. Nejprve poklepejte v nabídce Start/Ovládací panely na ikonu Uživatelské účty a zde vytvořte nový účet s omezeným přístupem. Poté klepněte na nabídku Start/Odhlásit a na položku Přepnout uživatele, přihlaste se do systému. Všechny již spuštěné programy běží dále na pozadí. Stejným způsobem se poté vrátíte zpět do účtu správce počítače.
Účet s omezeným oprávněním
Internetový prohlížeč spuštěný přes utilitu PCWRUNAS.EXE zablokuje přes 90 procent všech útoků škodlivých programů. Několik příkladů: červ W32/Mydoom, šířící se elektronickou poštou, zruší možnost spojení se všemi internetovými stránkami výrobců antivirových programů úpravou souboru Hosts (podle vzoru 127.0.0.1 avp.com). Trojský kůň typu Backdoor s názvem W32/Rbot-AMR se zase zapíše do prakticky všech klíčů Run v registru Windows. Červ W32/Zafi-B se zkopíruje do složky System a zapíše se do klíče Run, zatímco varianta W32/Mytob-BE ukončí běh každého antivirového programu. Všechny tyto typy útoků by však předem ztroskotaly na účtu s omezeným oprávněním.
Průzkumník Windows
Pomocí utilit RUNAS.EXE či PCWRUNAS.EXE se bohužel nedá spustit v kontextu jiného uživatelského účtu jeden z nejčastěji používaných programů Průzkumník Windows. Grafické rozhraní Průzkumníka (shell) představované souborem EXPLORER.EXE nastavuje pracovní plochu a hlavní panel, běží tedy neustále na pozadí operačního systému. Při dalším spuštění Průzkumníka se program nespouští znovu, ale pouze se vytvoří nová instance tohoto programu se stejnými přístupovými právy. Prozradíme vám ale jeden trik, s jehož pomocí se vám přece jen podaří spustit Průzkumníka dvakrát. Spusťte soubor IEXPLORE.
EXE jako jiný uživatel. Do panelu Adresa následně zadejte příkaz C: a potvrďte zadání stiskem klávesy <Enter>. Tím přeměníte program Internet Explorer na Průzkumníka Windows. Další možností, pokud se přihlásíte jako uživatel s omezenými právy, je klepnutí v Průzkumníku do menu Nástroje/Možnosti složky na záložku Zobrazení a umístění zatržítka před položku Spouštět okna složek jako samostatné procesy. Tato možnost na druhou stranu klade větší nároky na velikost operační paměti.
Mozilla a ostatní
Podobně jako Průzkumník Windows se chová i Mozilla, Firefox či Thunderbird ty se také dají spustit pouze jednou. Spuštění programu pod jiným uživatelským účtem tedy vytvoří pouze novou instanci již běžícího programu se stejnými právy. Pokud tedy budete chtít spustit některý z těchto programů pomocí utilit RUNAS.EXE nebo PCWRUNAS.EXE pod jiným uživatelským jménem, je třeba zmíněné programy kompletně ukončit včetně pomocných programů, umožňujících jejich rychlé spuštění.
Nedostatek v zabezpečení I
Při spuštění utility RUNAS.EXE od Microsoftu s přepínačem /savecred se v systému s více uživateli musíte mít na pozoru. Windows ukládají heslo a umožňují tím každému uživateli nejen přístup k danému programu, ale ke všem ostatním programům. Přepínač /savecred tedy používejte pouze tehdy, pokud budete například chtít z účtu správce spustit internetový prohlížeč pod účtem s omezeným oprávněním.
Nedostatek v zabezpečení II
Jakmile spustíte nějaký program prostřednictvím utilit RUNAS.EXE nebo PCWRUNAS.EXE v účtu s omezeným oprávněním s oprávněním správce, získá takový uživatel přístup ke všem funkcím systému. Stačí klepnout do menu Soubor/Otevřít (pokud je k dispozici). Uživatel v tomto malém okně Průzkumníka získá přístupová práva k celému obsahu pevného disku. Pomocí kontextového menu pak můžete spustit například Průzkumníka Windows a tím pádem i libovolný další program.
Panel nástrojů Privilegien
Pomocí panelu nástrojů Privilegien (PCWPRIVILEGIEN.DLL) můžete zobrazit příslušnost k uživatelské skupině a přístupová práva k systému. Seznam všech možných položek a jejich popis naleznete na internetové adrese www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/resk it/
en-us/prnd_urs_mhnn.asp.
Co jsou porty?
Aplikace, které nabízejí své služby v počítačové síti, uskutečňují nabídky pomocí jistých charakteristik, které nazýváme porty. Například webový server odpovídá na dotazy na portu 80, server elektronické pošty přijímá vaše e-maily na portu 25. Uzavření portu tedy jinými slovy znamená ukončení programu nebo odepření přístupu do sítě pro danou aplikaci.
Co jsou služby?
Službou je v určitém smyslu slova každý program, který poskytuje funkce, jež následně využívají jiné aplikace, a to místně nebo přes síť. Windows chápou tento pojem poněkud úžeji a rozumí pod ním všechny takové programy, které běží na pozadí a nepotřebují žádnou interakci od uživatele. Přehled všech služeb na počítači vám poskytne konzola Služby, která je součástí sady pro správu počítače. Například trojští koně se rádi instalují jako služby, aby umožnili přístup k vašemu počítači přes internet.
Co jsou vazby?
Pokud nějaká služba nabízí své funkce prostřednictvím síťového připojení, hovoříme o vazbě na toto připojení. Počítač je tedy tím více zabezpečen, čím méně vazeb jednotlivé služby vytvářejí. Například služba pro sdílení souborů a tiskáren je obecně napojena pouze na síťovou kartu, ale kupříkladu ne na telefonní adaptér. Sdílení tedy platí pouze pro místní počítačovou síť, ale ne pro internet.
SVC2KXP.CMD pro systém Windows 2000
Ve Windows 2000 se utilita SC.EXE pracující na příkazovém řádku, která je potřebná pro správnou funkčnost skriptu, nevyskytuje. Skript SVC2KXP.CMD tuto skutečnost zjistí a pokud jste připojeni k internetu, potřebný soubor si sám stáhne.
Vsaďte na jistotu: přehled utilit
ProgramPopis programuOperační DownloadNázev a velikost systémsouboru
PCWAUTOSTART 1.2Kontrola programů, které se spouštějí WindowspcwAutostart1.2.hta při startu Windows.98/ME, 2000, XP(56,6 KB)
PCWLISTKILLVarianta správce úloh pro kontrolu Windows pcwListKill.exe spuštěných procesů.2000, XP(48,5 KB)
PCWRUNAS 0.2RUNAS v grafickém rozhraní.Windows pcwRunAs2.exe 2000, XP(815 KB)
SUBINACLPřidělování přístupových práv v systémech Windows www.microsoft.com/downloads/ a subinacl.msi
souborů NTFS a pro registr Windows.2000, XP(370 KB)
SVC2KXP 2.2Konfigurace systémových služeb.Windows www.ntsvcfg.de/ntsvcfg_eng.html a svc2kxp.cmd 2000, XP(49,2 KB)