Защита от рансъмуер
Лесен, но надежден начин да защитите компютъра си от вируси и троянски коне, както и шпионски софтуер допълнително - зловреден софтуер.
Повечето зловреден софтуер не са напълно независими програми, но получават команди от интернет и изпращат открадната информация там. Освен това най-често компютърът се заразява на 2 етапа: на първия етап се стартира само сравнително безвредна програма за изтегляне и едва след това изтегля и инсталира пълноценен вирус или троян.
Първият етап на заразяване е доста прост и в същото време ефективен, като правило потребителят получава имейл, съдържащ линк, като щракне върху него, потребителят изтегля програма за изтегляне на компютъра си, която впоследствие инсталира пълноценен вирус. Освен това, в зависимост от вида на вируса, има няколко сценария за развитие на събитията, злонамереният софтуер може да криптира вашите файлове и да изисква плащане, за да ги декриптира, или да направи екранни снимки на работния плот и да ги изпрати на нападателя, всяка от тези опции ще има катастрофални последици за крайния потребител. Възниква въпросът как да защитите компютъра си, ако буутлоудърът вече присъства на твърдия диск.
Следвайки простата логика, ако забраните достъп до мрежата по подразбиране на всички програми, инсталирани на вашия компютър, и разрешите само тези, които са надеждни и трябва да работят, това значително ще повиши сигурността на вашата работа.
Как мога да направя това
Ако не използвате компютър на голяма компания, където целият трафик към Интернет се проверява от корпоративни антивируси, използващи вирусни бази данни от различни доставчици на антивирусни решения и строг списък от клиентски приложения, които имат права за достъп до Интернет, тогава най-простият начин енастройка на локална защитна стена.
Коя защитна стена да избера
Какво да правя? За потребителите на операционни системи на Microsoft отговорът е доста прост, избирайки тази операционна система, потребителят вече има 100% доверие на корпорацията и ако Microsoft шпионира потребителя, тогава използването на друга програма няма да повлияе на този процес по никакъв начин.
Конфигуриране на вградената защитна стена на Windows
По подразбиране вградените настройки на защитната стена позволяват достъп до интернет на целия изходящ трафик, така че всяка програма, инсталирана на вашия компютър, може да изпраща всякаква информация към интернет. Както споменахме по-рано, идеята на нашата статия е проста – да разрешим достъп до интернет само на онези приложения, на които имаме доверие, и да забраним всички останали.
В примера на вградената защитна стена на Windows управлението може да се извърши чрез графичната обвивка на GUI или чрез командния ред. За да блокирате целия изходящ и входящ трафик, трябва да изпълните командата:
Set-NetFirewallProfile -all -DefaultInboundAction Block -DefaultOutboundAction Block
Изглежда така:
1. Отворете модула за защитна стена на Windows с разширена защита и вижте активния профил на главната страница.
2. След това в прозореца Действия изберете Свойства
3. В отворения диалогов прозорец срещу Входящи и Изходящи връзки - Блокиране.
Като забраним целия входящ и изходящ трафик, ще направим редица изключения за програмите, от които се нуждаем.
Кои програми се нуждаят от достъп до интернет
По правило най-популярните програми са браузърите.
Затова ще ги разрешим на първо място, по-долу са командите, с които се създават изключения в защитната стена, за работата на такива браузъри като: Internet Explorer, Mozilla FireFox, Chrome. Всеки другбраузърът ще бъде добавен по абсолютно същия начин, единствената разлика може да е в пътя до прекия път на програмата.
netsh advfirewall защитна стена add rule name="Internet Explorer" dir=out action=allow program="%ProgramFiles% (x86)\Internet Explorer\iexplore.exe" enable=yes
netsh advfirewall защитна стена add rule name="Mozilla Firefox" dir=out action=allow program="%ProgramFiles% (x86)\Mozilla Firefox\firefox.exe" enable=yes
netsh advfirewall защитна стена add rule name="Chrome" dir=out action=allow program="%ProgramFiles% (x86)\Google\Chrome\Application\chrome.exe" enable=yes
За стабилната работа на уеб браузърите е необходимо да поддържате текущите им версии, за това ще направим отделни изключения за актуализации, примери за команди са изброени по-долу:
netsh advfirewall защитна стена add rule name="Chrome Update" dir=out action=allow program="%ProgramFiles% (x86)\Google\Update\GoogleUpdate.exe" enable=yes
netsh advfirewall защитна стена add rule name="Mozilla Firefox Updater" dir=out action=allow program="%ProgramFiles% (x86)\Mozilla Firefox\updater.exe" enable=yes
Тъй като браузърът Internet Explorer идва с операционната система, ще позволим актуализации за операционната система с командите:
netsh advfirewall защитна стена add rule name="SVCHOST" dir=out action=allow program="%SystemRoot%\System32\svchost.exe" enable=yes
netsh advfirewall защитна стена add rule name="WUAC" dir=out action=allow program="%SystemRoot%\System32\wuauclt.exe" enable=yes
По аналогия с правилата, посочени по-горе, ще направим изключения за други програми, които са ни необходими за работа, например: Skype, Outlook
netsh advfirewall защитна стена add rule name="Skype" dir=out action=allow program="%ProgramFiles% (x86)\Skype\Phone\Skype.exe" enable=yes
netsh advfirewall защитна стенадобавете правило name="Outlook" dir=out action=allow program="%ProgramFiles%\Microsoft Office\Office15\OUTLOOK.EXE" enable=yes
За удобство всички команди могат да се издават като Powershell скрипт. За да направите това, създайте текстов документ и въведете всички необходими команди, посочете всяка команда на нов ред. След като добавите командите, запишете документа с разширение .ps1
За да стартирате скрипта, стартирайте Powershell като администратор и разрешете изпълнението на скриптове с командата - Set-ExecutionPolicy Unrestricted –force
След като изпълните командата, отидете в папката, където се намира скриптът, и го стартирайте, пример е показан по-долу.
След като скриптът се изпълни успешно, добавените правила ще бъдат показани в защитната стена, както е на екранната снимка по-долу.
Проблеми и неудобства
Повишаването на нивото на сигурност води до редица неудобства, върху които си струва да се съсредоточите.
Ако вече има съществуващи правила, тогава общата забрана няма да забрани изпълнението на конкретно разрешително правило.
Не всяка услуга има очевиден изпълним файл, който може лесно да бъде намерен или проследен, освен това често възниква ситуация, когато един изпълним файл стартира друг и така нататък във веригата, в който случай е проблематично да се определи кой конкретен файл се нуждае от достъп, дори с помощта на специализирани помощни програми като: Process Explorer или Network Monitor. Пример е услугата Windows SmartScreen, която засяга както File Explorer, така и уеб браузъра при работата си.
Като разрешаваме достъп до отделни програми, ние не правим изключение за конкретен протокол, а само позволяваме пълен достъп за изпълнимия файл на програмата, в резултат на което работата на сервизните протоколи ще бъде ограничена и изисква отделни разрешаващи правила.
Като разбрахс изключения ще получим по-пълна и всеобхватна версия на PC защита.