Lab03_Malware - sposoby obrony Windows 7

SAVE OFFLINE

POLITECHNIKA KRAKOWSKA INSTYTUT INFORMATYKI STOSOWANEJ M-7 Administracja bezpieczeństwo systemów komputerowych

i Laboratorium

2 x 45 minut

Temat: Malware - sposoby obrony Windows 7 SP1

1. Cel Celem ćwiczenia jest zapoznania się z ze sposobami obrony Windows 7 SP1 przed złośliwym oprogramowaniem.

2. Wprowadzenie Złośliwym oprogramowaniem nazywamy programy, które działają w sposób szkodliwy dla pracy komputera. Wyróżniamy wirusy, robaki, programy szpiegujące oraz konie trojańskie. W systemie Windows 7 SP1 może uwzględnić technologie, które chronią system przed wirusami:  Windows Defender,  User Account Control,  Action Center,  MSRT,  Biometric Security,  Zapora systemu Windows,

 AppLocker.

3. Windows Defender Jest to program antyszpiegowski, który jest uruchamiany automatycznie, zaraz po włączeniu systemu. Zapewnia ochronę komputera przed potencjalnymi programami szpiegującymi. Programy, które uszkadzają system mogą zostać zainstalowane bez wiedzy użytkownika sprzętu, np. podczas surfowania po Internecie lub podczas instalowania oprogramowania.

Usługa Windows Defender oferuje użytkownikowi, dwa sposoby ochrony jego komputera przed programami szpiegującymi: 

Ochrona w czasie rzeczywistym,



Opcje skanowania. Pierwsza alarmuje użytkownika w sytuacji, kiedy program próbuje się zainstalować

lub włączyć. Drugim przypadkiem jest próba ingerencji programu w system. Drugi sposób skanuje komputer w celu znalezienia zainstalowanych programów szpiegujących. Dodatkowo użytkownik, może ustawić, kiedy chce, aby program skanował komputer i usuwał znalezione wirusy. Windows Defender ma określone poziomy ostrzegania na wykryte programy szpiegujące. Są to:  Niski,  Średni,  Poważny lub Wysoki. Niski określa potencjalne niepożądane oprogramowanie, które mogą gromadzić informacje o użytkowniku, o systemie lub ingerować w działanie sprzętu. Programy określane tym poziomem są zazwyczaj niegroźne dla komputera, chyba że zostały zainstalowane bez wiedzy użytkownika. Średni określa oprogramowanie, które może gromadzić informacje użytkownika, stanowiące zagrożenie dla jego prywatności lub zmieniające ustawienia. Najwyższy program ostrzegania to programy, które gromadzą informacje o użytkowniku lub uszkadzające system.

4. Mechanizm Kontrola konta użytkownika (User Account Control)

Zapobiega nieautoryzowanym zmianom wprowadzanym w naszym systemie bez wiedzy użytkownika. W sytuacji logowania się, jako administrator, każdy program uruchomiony będzie miał prawa administratora, również programy w tle. Przez to oprogramowanie złośliwe będzie również posiadało prawa administratora. Suwak oferuje 4 ustawienia: 1) Powiadamiaj zawsze, 2) Powiadamiaj mnie tylko wtedy, gdy programy próbują wprowadzić zmiany na komputerze, 3) Powiadamiaj mnie tylko wtedy gdy programy próbują wprowadzić zmiany na komputerze, 4) Nie powiadaj mnie nigdy. 1) Powiadomienia

przed

wprowadzeniem

zmian

wymagających

uprawnień

administratora. Kiedy pojawi się taki komunikat, pulpit zostaje przyciemniony. Użytkownik musi zaakceptować lub nie zaakceptować zmiany.

2) Powiadomienia

przed

wprowadzeniem

zmian

wymagających

uprawnień

administratora. Powiadomienia nie będą się wyświetlać, jeżeli użytkownik sam będzie wprowadzał zmiany, które będą wymagały uprawnień administratora. 3) Powiadomienia

przed

wprowadzeniem

zmian

wymagających

uprawnień

administratora. Powiadomienia nie będą się wyświetlać, jeżeli użytkownik sam będzie wprowadzał zmiany, które będą wymagały uprawnień administratora. 4) Powiadomienia nie będą się wyświetlać, nawet, jeśli użytkownik będzie zalogowany, jako administrator. Jeżeli uruchomiony jest konto z uprawnieniami standardowymi, wszystkie zmiany, które wymagają uprawnienia administratora zostaną odrzucone.

5. Konsola Centrum akcji Tutaj użytkownik może wyświetlić alerty oraz podejmować działania, które, zapewnieni sprawne funkcjonowanie systemu Windows. W Centrum akcji wyświetlana znajduje się lista ważnych komunikatów dotyczących ustawień zabezpieczeń oraz konserwacji.

6. Malicious Software Removal Tool Jest to program wykonywalny niewielkich rozmiarów, który ułatwia użytkownikowi usuwanie najbardziej rozpowszechnionych rodzajów złośliwego oprogramowania z komputerów z systemami Windows. Jest to produkt Microsoft. Warto podkreślić, że co miesiąc dostępne są nowe wersje programu. Narzędzie działa w trybie cichym. Kiedy skończy skanowanie, wyświetla swój raport. Malicious Software Removal Tool nie jest programem, który trzeba zainstalować. Domyślnie plik z raportem z przeprowadzonego skanowania umieszczony jest w lokalizacji: %SystemRoot %\Debug\mrt.log. Program podczas swojej pracy tworzy katalog, który jest lokalizowany na dysku, który posiada największą przestrzeń, najczęściej jest to dysk, na którym znajduje się system. Po skończonej pracy zostaje usunięty automatycznie. Jednak może zdarzyć się, że program nie usunie folderu, wtedy należy usunąć go ręcznie.

7. Zabezpieczenia biometryczne Zazwyczaj komputery zabezpieczone są za pomocą hasła. Wadami takiego rozwiązania jest zapomnienie hasła lub zapisanie go na kartce. Alternatywą dla takiego rozwiązania są czytniki obsługujące czytniki linii papilarnych. Zalety tego rozwiązania:  Szybkość i prostota skanowania palców,  Niezmienność odcisku palca,  Niezawodność skanowania,  Nie ma takich samych odcisków. Wady tego rozwiązania: 

Problem osób z uszkodzonymi odciskami palców,



Wiek użytkownika.

8. Zapora systemu Windows Głównym zadaniem zapory jest blokowanie dostępu do komputera, hakerom lub wirusom. Domyślnie jest ustawiona tak zwana zapora osobista, której zadaniem jest ochrona sytemu nami uzyska on gotowość do działania.

Domyślnie zapora jest włączona. Dzięki temu większość programów nie może komunikować się po przez nią. Kiedy użytkownik chce, aby dany program mógł to robić musi dodać go do listy dozwolonych programów. Zastosowanie ustawienia "Blokuj wszystkie połączenie przychodzące łącznie z programami znajdującymi się na liście dozwolonych programów" powoduje brak możliwości

połączenia się z tym komputerem. Dobre zastosowanie w hotelu lub lotnisku, podczas korzystania z siecią publiczną. Użytkownik może chcieć, aby system informował go, kiedy zapora zablokuje nowy program. Po zaznaczeniu odpowiedniego pola w zaporze, takie komunikaty będą się pojawiać. Niezalecaną opcją jest wyłączenie zapory. Dzięki temu komputer jest narażony na ataki.

W zaawansowanych zabezpieczeniach zapory mamy trzy rodzaje profili:  Domenowy,  Prywatny,  Publiczny.

Profil domenowy to taki, który jest stosowany, kiedy komputer jest podłączony do Internetu oraz kontrole domeny został uwierzytelniony. Profilem prywatnym nazywamy taki, kiedy administrator przypisze go do sieci, zdefiniowanej, jako sieć publiczna. Profil publiczny to taki, który jest stosowany, kiedy komputer nie jest podłączony do żadnej domeny. Jego ustawienia muszą być restrykcyjne, kiedy komputer łączy się z siecią publiczną.

9. Zadania 9.1 Część 1 •

•

Windows Defender: •

Częstotliwość: wtorek

•

Przybliżona godzina: 7:00

•

Stworzyć na pulpicie folder "Dokumenty Student"

•

Wykluczyć go ze skanowania przez Windows Defender.

•

Wykluczyć ze skanowania pliki typu "AVI" oraz "MP4".

•

Włącz możliwość skanowania dysków wymiennych.

•

Wyłącz możliwość skanowania plików archiwum.

W kontroli użytkownika ustawić opcję, która spowoduje przyciemnienie ekranu przy wyświetlaniu komunikatu.

•

Wyłączyć sprawdzanie aktualizacji.

•

Wyłącz komunikaty kontroli użytkowników.

9.2 Część 2 •

Wykorzystaj program Malicious Software Removal Tool do przeskanowania szybkiego systemu.

•

Zapora: •

W regułach wychodzących: •

Stworzyć nową regułę: •

Dla Windows Update, aby nie mogła się aktualizować (wykorzystać kreator nowych reguł ruchu wychodzącego).

•

Ścieżka: " c:\windows\system32\svchost.exe"

•

Reguła ma być stosowana dla wszystkich profili.

•

Nadać jej nazwę WinUp_BLOK.

•

Dla przeglądarki Google Chrome, aby mogła się aktualizować (wykorzystać kreator nowych reguł ruchu wychodzącego).

•

Instalacja przeglądarki. •

Tworzenie reguły: •

Wskazujemy ścieżkę, gdzie jest zainstalowana przeglądarka.

•

Zezwalaj na połączenie.

•

Reguła ma być stosowana dla wszystkich profili.

•

Nadać jej nazwę GooCHR_AKT.

•

We

właściwościach

reguły,

wchodzimy

do

zakładki "Protokoły i porty", ustawiamy typ protokołu, jako TCP, ustawiamy port 80 i 443. •

•

W menu Akcja w ustawieniach zaawansowanych: •

Ustawić rejestrowanie zdarzeń,

•

Porzucone pakiety: Tak,

•

Udane połączenia: Nie,

•

Wskazać miejsce zapisu pliku rejestru,

•

Ustawić limit rozmiaru, jako 4096 KB.

Zmienić algorytm szyfrowania: •

Wejść we właściwości Zapory systemu Windows, a następnie w Ustawienia protokołu IP SEC.

• •

Zmienić AES-CBC 128 na AES-CBC 256.

W regułach przychodzących: •

Stworzyć nową regułę:

•

Dla programu Wise Data Recovery, •

Instalacja programu, który znajduje się w folderze.

•

Tworzenie reguły: •

Wskazujemy ścieżkę, gdzie jest zainstalowana program.

•

•

Zezwalaj na połączenie.

•

Reguła ma być stosowana dla wszystkich profili.

•

Nadać jej nazwę WDR_AKT.

Zaktualizować metodę: •

Dla programu Windows Media Player, Zamiast szukać w regułach przychodzących skorzystać z

•

opcji "Nowa reguła", Uprzednio zdefiniowała » Windows Media Player

•

•

•

Zaznaczyć istniejącą regułę,

•

Zablokować połączenie.

Windows 7 Firewall Control Free •

Instalacja programu. •

Program znajduje się na dysku z materiałami. Gdyby nie chciał działać, ściągnąć

wersję

32

bitową

soft.com/Vista/order.html • •

Zainstalować przeglądarkę Firefox.

Dla przeglądarki:

ze

strony

http://www.sphinx-

•

Internet Explorer: •

•

Google Chrome: •

•

Zablokować całkowity dostęp.

Pozwolić na jednorazowe odpalenie.

Firefox: •

Pozwolić na dostęp.