08 04.2015

Proste i skuteczne zabezpieczanie systemu Windows

Panuje dość powszechna opinia, że system Windows nie jest systemem bezpiecznym. Czy jest ona zgodna z prawdą i nadal aktualna? I czy da się skutecznie zabezpieczyć Windows?

Faktycznie stare wersje systemu Windows wypadały bardzo słabo, jeśli chodzi o bezpieczeństwo. Pierwszą wersją Windows, którą można uznać za dobrze zabezpieczoną, był Windows XP SP2, wydany we wrześniu 2004. Service Pack 2 wnosił do systemu Windows XP wiele nowych zabezpieczeń, w tym domyślnie włączony firewall. Tak więc już od ponad 10 lat twierdzenie, że systemu Windows nie da się skutecznie zabezpieczyć, nie jest prawdą.

Główna przyczyna, dla której to twierdzenie żyje własnym życiem, jest zgoła inna: jest to niewiedza użytkowników tego systemu, często połączona z lekceważeniem podstawowych zasad bezpieczeństwa w imię wygody. Wielu użytkowników woli bowiem dla wygody pracować na koncie z uprawnieniami administracyjnymi, aby móc bez przelogowywania się instalować nowe programy i sterowniki, aktualizować już zainstalowane, nie przejmować, w jakie miejsce na dysku można ściągnąć i zapisać jakiś plik itd. Ich komputer po prostu ma działać. I działa - najczęściej jako element czyjegoś botnetu, albo koparka Bitcoin.

Co zatem powinieneś zrobić, aby zabezpieczyć swój system Windows? Zastosuj przynajmniej niektóre z kilkunastu poniższych kroków. Lista zaczyna się od najważniejszego kroku, każdy kolejny jest coraz mniej ważny. Już po wykonaniu pierwszych 8 kroków masz pewność, że do Twojego komputera nie włamie się żaden amator, ani automat.

  1. Upewnij się, że nikt nie pracuje na codzień na prawach administratora. Nawet administratorzy powinni pracować na nieuprzywilejowanych kontach i uzyskiwać uprawnienia tylko pod konkretne operacje. Już ten jeden punkt zabezpiecza Cię przed skutkami 97% błędów w zabezpieczeniach produktów Microsoftu zgłoszonych w 2014 roku (zobacz więcej).
  2. Zdejmij domyślne uprawnienia dla wszystkich użytkowników do tworzenia nowych plików i katalogów na dysku systemowym (najczęściej C:). Warto to przy okazji wykonać dla wszystkich pozostałych dysków, ale jest to już mniej ważne.
  3. Skonfiguruj mechanizm SRP (Software Restriction Policies) i zabroń wykonywania programów ze wszystkich katalogów, do których dostęp do zapisu mają zwykli użytkownicy (tak, również Ty). Bez wyjątków. Na tym opiera się bezpieczeństwo Windows.
  4. Włącz systemowy Firewall (powinien być domyślnie włączony, ale dla pewności to zweryfikuj) i usuń niepotrzebne wyjątki, ograniczając dostęp z zewnątrz do tego, co jest rzeczywiście potrzebne.
  5. Skonfiguruj Microsoft Update tak aby ściągało i instalowało poprawki w godzinach, w których komputer jest realnie włączony (w wielu firmach komputery są wyłączane na noc, co uniemożliwia instalację poprawek na czas).
  6. Zwróć uwagę na oprogramowanie, które instalujesz. Potencjalnie każdy program może być nośnikiem złośliwego oprogramowania - czy to za sprawą intencji autorów, czy też przełamania zabezpieczeń serwera, z którego ten program ściągnąłeś. Nie instaluj żadnych programów ani sterowników, którym nie ufasz. Zastanów się również, przed kim chcesz się zabezpieczyć - (1) przed dziećmi, współmałżonkiem lub innymi osobami jawnie korzystającymi z Twojego komputera, (2) przed przestępcami i zautomatyzowanym oprogramowaniem przestępczym, (3) przed policją kryminalną, (4) przed wywiadami obcych państw podsłuchującymi na wszelki wypadek cały świat, (5) przed wywiadem lub innymi służbami Twojego państwa. Od Twojej szczerej odpowiedzi zależy, jak bardzo paranoicznie powinieneś podejść do kwestii instalowanego oprogramowania, jego konfiguracji, oraz szyfrowania dysków twardych i szyfrowania ruchu (TOR).
  7. Zainstaluj dobry, komercyjny program antywirusowy (polecamy Eset) i ustaw monitor antywirusowy na agresywne skanowanie.
  8. Internet Explorera zastąp Firefoxem z pluginami co najmniej AdBlock Plus i NoScript, oraz zablokowanym Flashem i wyłączoną Javą. A najlepiej w ogóle nie instaluj pluginu Flash.
  9. Włącz wymóg podawania hasła przy wyłączaniu wygaszacza ekranu.
  10. Zmień domyślne nazwy kont Administrator i Gość (lub Guest w angielskiej wersji systemu) na inne. Sprawdź, czy instalowane na komputerze programy i sterowniki nie dodały nowych użytkowników. W miarę możliwości albo wyłącz całkowicie takich użytkowników, albo zmień im hasła i/lub usuń z grupy Administratorzy.
  11. Skonfiguruj backup danych - albo na zewnętrzny serwer czy urządzenie NAS, albo do usługi backupu online (np. tanibackup.pl, rsync.net), albo chociaż na jakiś pen drive lub dysk zewnętrzny. W miarę możliwości zadbaj o automatyzację procesu backupu (polecamy program cwRsync), oraz o posiadanie kilku osobnych kopii danych (ostatniej i poprzedniej).
  12. Jeśli posiadasz zewnętrzny serwer lub urządzenie NAS z możliwością przyjmowania komunikatów syslog z zewnątrz (np. QNAP, Synology), przekieruj do niego zdarzenia z Event Loga (za pomocą oprogramowania SNARE, Kiwi, CorreLog itp.).


Nie wiesz, jak zrealizować powyższe punkty i boisz się coś popsuć? Kup voucher na pomoc telefoniczną za jedyne 100 zł brutto (możesz go również podarować innej osobie jako prezent), a nasz konsultant zrobi to za Ciebie (zdalnie, za pomocą programu TeamViewer).



Tomasz Klim
Administrator serwerów i baz danych, specjalista w zakresie bezpieczeństwa, architekt IT, przedsiębiorca. Prawie 20 lat w branży IT. Pracował dla największych i najbardziej wymagających firm, jak Grupa Allegro czy Wikia. Obecnie zajmuje się doradztwem dla klientów Fajne.IT, a w wolnych chwilach pisze artykuły. Chętnie podejmuje się ciekawych zleceń.


Wzbudziliśmy Twoje zainteresowanie?

Szukasz pomocy? formularz kontaktowy