Защита клиентских компьютеров от сетевых атак

Обновлено 21/07/2006

На этой странице

Введение Прежде чем приступить к работе Служба Windows Live OneCare Защитник Windows Брандмауэр Windows Дополнительные сведения

Введение

Многие организации в значительной мере полагаются на сетевые брандмауэры для защиты своих рабочих станций и серверов от угроз из Интернета. Этот подход часто называют «жестким снаружи, мягким внутри». Корпорация Майкрософт рекомендует использовать функции безопасности сетевого брандмауэра и рабочей станции, как изложено в остальной части этого документа. Этот метод в большей степени соответствует «жесткому снаружи и внутри» подходу к безопасности. Сетевые черви, проникающие внутрь брандмауэров организации, показали, что одних брандмауэров недостаточно.

Злоумышленники в Интернете создают червей и вирусы, которые могут уничтожить или привести к потере или краже данных, хранящихся в клиентских компьютерах. Эти атаки могут привести к потере личных данных и секретов компании, невозможности загрузить компьютеры и даже к их использованию для запуска атак против других компьютеров. Эти атаки представляют собой очень реальную угрозу для компьютеров, подключенных к Интернету.

Большинство методов атаки построены на использовании известных уязвимых мест компьютеров. Применение следующих функций может обеспечить надежную защиту клиентским компьютерам с операционной системой Microsoft® Windows® XP и пакетом обновления 2 (SP2):

• Персональный брандмауэр (брандмауэр Windows)

• Обновление пакетов обновления и исправлений (Auto-Update)

• Антивирусная программа со своевременно обновленными подписями (Windows Live OneCare)

• Антишпионская программа со своевременно обновленными подписями (защитник Windows)

Назначение данного документа

Прочитав этот документ, читатель познакомится с инструментами и компонентами корпорации Майкрософт, с помощью которых можно повысить безопасность клиентских компьютеров Windows XP SP2 в малой или средней сети предприятия.

К началу страницы

Прежде чем приступить к работе

Прежде чем применить любые рекомендации этого документа, необходимо познакомиться со следующими важными сведениями.

Необходимые учетные данные

Для выполнения большинства действий, описанных в этом документе, необходима учетная запись администратора. Обычный пользователь не сможет выполнить эти действия.

Рекомендации

Корпорация Майкрософт рекомендует модернизировать все рабочие станции Windows до уровня Windows XP SP2. Эта версия содержит самые новые функции безопасности, многие из которых включены по умолчанию.

Корпорация Майкрософт также рекомендует модернизировать установленные экземпляры обозревателя Internet Explorer всех версий до новейшей версии.

Значения по умолчанию

Параметры безопасности по умолчанию для инструментов, рассмотренных в данном документе, рекомендованы корпорацией Майкрософт. Эти рекомендации позволяют уравновесить функциональные возможности и безопасность Windows XP SP2. Во многих организациях требования к безопасности уникальны; все эти функции безопасности можно настраивать или отключать.

К началу страницы

Служба Windows Live OneCare

Корпорация Майкрософт выпустила Windows Live OneCare, автоматическую службу обновления ПК, которая функционирует в фоновом режиме, не привлекая внимания. Она помогает обеспечить устойчивую защиту от вирусов, взломщиков и других угроз, а также своевременно обновлять ПК и делать резервные копии важных документов. Дополнительные сведения см. на веб-узле Windows Live OneCare, www.windowsonecare.com.

Служба Windows Live OneCare обеспечивает единую консоль для проверки состояния нескольких связанных с безопасностью служб рабочей станции Windows XP. На едином экране описано состояние защиты от вирусов, своевременность обновлений, состояние системы и последнее резервное копирование данных.

Защита от вирусов

Компьютерные вирусы — программы, спроектированные специально, чтобы влиять на функционирование компьютера. Они могут записывать, искажать и удалять данные, распространяться на другие компьютеры и через Интернет, часто снижая быстродействие и параллельно вызывая другие проблемы.

Точно так же, как биологические вирусы различаются по степени опасности от 24-часовой простуды до вируса Эбола, компьютерные вирусы могут быть как незначительной досадной помехой, так и совершенно разрушительными. Они также принимают новые и различные формы. Однако с помощью простых превентивных мер и некоторых знаний можно уменьшить вероятность заражения вирусами и смягчить его последствия.

Служба Windows Live OneCare автоматически обновляет подписи вирусов и применяет пакеты обновлений служб безопасности в операционной системе, в результате компьютер будет обладать новейшими средствами защиты без вмешательства человека.

Список поставщиков программного обеспечения, которые также выпускают антивирусные программы, совместимые с Windows XP, см. по адресу http://support.microsoft.com/kb/49500.

Мониторинг брандмауэра

Брандмауэр Windows функционирует на одном компьютере и помогает защитить компьютер от хакеров, когда пользователь отправляет или получает файлы. Windows Live OneCare непрерывно контролирует брандмауэр Windows.  

Защитник Windows

Защитник Windows можно загрузить с веб-узла Майкрософт, она помогает защитить конфиденциальные сведения в компьютерах от атак из Интернета. Служба Windows Live OneCare контролирует состояние защитника Windows.

Обновления

Служба Windows Live OneCare автоматически обновляет и себя, чтобы своевременно вносить изменения в брандмауэр и защиту от вирусов и шпионских программ, а также обеспечить постоянную готовность к отражению новейших угроз.

Резервное копирование и восстановление файлов

С помощью службы Windows Live OneCare можно делать копии важных файлов и документов и хранить их на CD, DVD или внешнем жестком диске на случай аварийной ситуации. Это можно сделать вручную или настроить Windows Live OneCare на автоматическое выполнение операции, чтобы пользователю не приходилось помнить о необходимости регулярного резервного копирования файлов и документов. Windows Live OneCare также помогает восстановить резервные файлы на компьютере при возникновении неполадок.

К началу страницы

Защитник Windows

Шпионскими программами часто считают программы, которые показывают рекламу или собирают личные и конфиденциальные сведения. Это не значит, что вредны все программы, которые показывают рекламу или собирают сведения о действиях пользователя в сети. Например, можно подписаться на бесплатную музыкальную службу, но «заплатить» за услугу, согласившись получать направленную рекламу. Если потребитель понял предлагаемыми условия и согласился с ними, то такой компромисс оправдан. Потребитель может также согласиться, чтобы компания отслеживала его действия в сети и могла решить, какую рекламу ему показывать.

Другие виды нежелательных программ вносят изменения в компьютер, которые могут вызвать недовольство пользователя, снижение быстродействия и сбои компьютера. Эти программы способны изменить домашнюю страницу или поисковую страницу веб-обозревателя или добавить в обозреватель компоненты, которые не нужны и нежелательны пользователю. Эти программы также чрезвычайно затрудняют пользователю возврат к исходным настройкам. Нежелательные программы таких типов часто называются программами-шпионами.

Защитник Windows (бета-версии 2) — это технология безопасности, которая помогает защитить пользователей Windows от программ-шпионов и других потенциально нежелательных программ. Известные программы-шпионы в ПК можно обнаружить и удалить, что помогает снизить ущерб от программ-шпионов, в частности, снижение быстродействия ПК, раздражающие всплывающие рекламные сообщения и несанкционированное использование личных сведений. Постоянная защита повышает безопасность действий в Интернете благодаря блокированию более 50 способов, используемых программами-шпионами для проникновения в ПК. Участники международного сообщества SpyNet™ играют ключевую роль в определении, какие подозрительные программы можно отнести к шпионскому программному обеспечению. Исследователи корпорации Майкрософт быстро разрабатывают методы противодействия этим угрозам, и обновления автоматически загружаются в ПК потребителей, чтобы своевременно защитить их от опасности.

Можно загрузить защитник Windows по адресу www.microsoft.com/athome/security/spyware/software/default.mspx. Текущая версия — бета-версия 2. Имя файла — WindowsDefender.msi, а его размер около 5,5 МБ. (Имя и размер файла могут измениться в окончательной редакции.)

Выполните следующие операции, чтобы установить защитник Windows (бета-версии 2) после того, как программа будет загружена.

1. Когда будет загружен защитник Windows (бета-версии 2), на экране появится следующее диалоговое окно. Нажмите кнопку Выполнить.

   

2. Будет отображен следующий экран Мастер установки защитника Windows. Нажмите кнопку Далее.

   

3. Выводится лицензионное соглашение для защитника Windows (оно показано на следующем снимке экрана). Ознакомьтесь с условиями соглашения.

   Чтобы продолжить установку, выберите пункт принимаю условия лицензионного соглашения, а затем нажмите кнопку Далее.

   

4. На экране Помощь в защите Windows (он показан на следующем снимке экрана) выберите Использовать рекомендованные настройки. Нажмите кнопку Заявление о конфиденциальности, чтобы прочитать заявление о конфиденциальности. Затем нажмите кнопку Далее.

   

5. На экране Тип установки (он показан на следующем снимке экрана) выберите Полная, а затем нажмите кнопку Далее.

   

6. Когда будет отображен следующий экран Все готово для установки защитника Windows, нажмите кнопку Установить, чтобы начать установку.

   

7. После завершения процесса установки должен появиться следующий экран Установка защитника Windows завершена.

   Убедитесь, что установлен флажок Выполнить поиск обновлений и быстрое сканирование, а затем нажмите кнопку Готово.

   Примечание.   Для этого этапа требуется подключение к Интернету.

   

8. Когда будет отображен следующий экран, нажмите кнопку Поиск обновлений, чтобы получить последние обновления.

   

Дополнительные сведения о защитнике Windows (бета-версии 2) см. в статье, посвященной защитнику Windows (бета-версии 2), на веб-узле по адресу www.microsoft.com/athome/security/spyware/software/default.mspx.

К началу страницы

Брандмауэр Windows

Брандмауэр — система безопасности, которая функционирует в качестве защитной границы между сетью и внешним миром. В состав Windows XP SP2 входит брандмауэр Windows, программа, которая функционирует в основном одинаково для каждого отдельного клиентского компьютера.

Брандмауэр Windows установлен в Windows XP Professional SP2 и гибко настраивается на конкретное применение. Программа включена по умолчанию и помогает защититься от сетевых атак. Служба Windows Live OneCare также контролирует брандмауэр Windows и обеспечивает единую консоль для проверки общего состояния безопасности ПК. В остальной части этого документа показано, как изменить настройки брандмауэра Windows с помощью Центра безопасности Windows, который находится на панели управления.

Примечание.   Брандмауэр Windows не предназначен для функциональной замены сетевого брандмауэра. Сеть Windows включена и имеет разрешение на прохождение брандмауэра Windows; это означает, что пользователь может продолжать взаимодействовать с другими подключенными к сети компьютерами, распечатывать данные и обращаться к общим сетевым ресурсам. Сетевой брандмауэр рекомендуется использовать для защиты портов, открытых этими функциями.

Общие установки

Общие установки брандмауэра Windows позволяют настроить следующие параметры:

• Включить (рекомендуется).

• Выключить (не рекомендуется). Выключение брандмауэра Windows повысит уязвимость компьютера от вирусов, червей или взломщиков.

  1. Чтобы открыть Центр безопасности Windows, нажмите кнопку Пуск, а затем выберите Панель управления. Появится следующий экран.

     

  2. В разделе Выберите категорию, щелкните Центр безопасности. Будет показан экран Центр безопасности Windows (он показан на следующем снимке экрана).

     

Уведомления о конфигурации

По умолчанию брандмауэр Windows отображает диалоговое окно уведомления всякий раз, когда блокирует программу, которая пыталась с данного компьютера установить связь с другим компьютером. Диалоговое окно выглядит как окно, показанное на следующем снимке экрана:

Диалоговое окно показывает, какая программа была блокирована и позволяет выбрать, разрешать ли эту программу. Доступные варианты:

• Сохранить блокировку. Используйте этот параметр, чтобы программа не принимала подключения из Интернета или сети без разрешения пользователя.

• Разблокировать. Этот параметр помещает программу в список исключений брандмауэра Windows.

• Запросить позднее. Используйте этот параметр, если неизвестно, следует ли блокировать программу. Этот параметр удерживает программу блокированной в целях безопасности. Это сообщение появляется в следующий раз и указывает, что программа блокирована.

Об использовании портов приложениями

Порт — точка подключения, которую программа использует для связи с другими программами, особенно программами на других компьютерах. Каждый порт идентифицируется сочетанием транспортного протокола и номера порта. С каждым типом приложения или службы связаны определенные порты. Например, стандартный порт для веб-сервера — TCP-порт 80, стандартный порт для FTP-сервера — TCP-порт 21, а служба Windows Server, которая обеспечивает совместное использование файлов и принтеров, получает сообщения из четырех портов: UDP-портов 137 и 138, а также TCP-портов 139 и 445.

Брандмауэр Windows блокирует получение незапрошенных входящих сообщений во всех портах. Эта функциональность защищает компьютер, так как блокирует сообщения, которые обычно используются опасными программами, чтобы получить доступ к компьютеру. Брандмауэр Windows не препятствует большинству полезных программ для сферы бизнеса, поскольку, как правило, эти программы не посылают незапрошенных сообщений клиентским компьютерам.

Брандмауэры ограничивают связь между Интернетом и компьютером, поэтому может потребоваться изменить настройки для некоторых других программ, в которых используется открытое подключение. Для этих программ можно сделать исключение и разрешить связь через брандмауэр Windows.

Опасности, связанные с исключениями

Каждый раз, когда программе предоставляется исключение для связи через брандмауэр Windows, уязвимость компьютера повышается. Разрешенное исключение подобно отверстию в брандмауэре. Если отверстий слишком много, эффективность брандмауэра значительно снижается. Злоумышленники часто используют программы для поиска в Интернете компьютеров с незащищенными подключениями. При большом числе исключений и открытых портов уязвимость компьютера повышается.

Чтобы снизить риск:

• Разрешайте исключение только тогда, когда оно действительно необходимо.

• Никогда не делайте исключение для неопознанной программы.

• Удалите исключение после того, как необходимость в нем прошла.

Разрешение исключений, несмотря на риск

Иногда необходимо предоставить кому-то возможность подключиться к компьютеру, несмотря на риск, например, когда предстоит получить файл, посланный с помощью программы мгновенного обмена сообщениями через Интернет.

При обмене мгновенными сообщениями с лицом, которое хочет послать файл (например, электронную таблицу), брандмауэр Windows отображает запрос, нужно ли разблокировать подключение и разрешить передачу файла. Другой путь — ввести программу мгновенного обмена сообщениями в качестве исключения, чтобы брандмауэр Windows разрешил подключение к компьютеру.

Чтобы добавить программу к списку исключений, выполните этапы следующей процедуры.

1. Нажмите кнопку Пуск, а затем выберите Панель управления.

2. На панели управления выберите Центр безопасности, а затем Брандмауэр Windows.

3. На вкладке Исключения в разделе Программы и службы (он показан на образце снимка экрана), установите флажок для программы или службы, которую нужно разрешить. Затем нажмите кнопку ОК.

   

Если программы (или службы), которую нужно разрешить, нет в списке:

1. Нажмите кнопку Добавить программу.

2. В диалоговом окне Добавление программы выберите программу, которую нужно добавить, а затем нажмите кнопку ОК.

3. Нажмите кнопку ОК.

Совет. Если программы (или службы), которую нужно разрешить, нет в диалоговом окне Добавление программы, то нажмите кнопку Обзор, найдите программу, которую нужно добавить, а затем дважды щелкните ее. (Программы в компьютере обычно хранятся в папке Program Files.) Программа отобразится в разделе Программы в диалоговом окне Добавление программы.

Если нет другого выхода, откройте порт

Если программу все же не удается отыскать, можно открыть порт. Порт похож на маленькую дверь в брандмауэре, через которую могут быть установлены подключения. Чтобы указать порт, который нужно открыть, на вкладке Исключения нажмите кнопку Добавить порт. (Открывая порт, не забудьте закрыть его после того, как отпадет необходимость в его использовании.)

Добавить исключение предпочтительнее, чем открыть порт, по следующим причинам:

• Это легче сделать.

• Не нужно знать номер порта.

• Добавить исключение менее опасно, чем открыть порт, так как брандмауэр открыт только тогда, когда программа ожидает подключения.

Дополнительные возможности

Опытные пользователи могут открывать порты и настраивать диапазон для отдельных подключений, чтобы свести к минимуму возможности для злоумышленников подключиться к компьютеру или сети. Чтобы сделать это, откройте брандмауэр Windows, выберите вкладку Дополнительно и используйте параметры в разделе Параметры сетевого подключения.

Дополнительные сведения о расширенных функциях см. в статье, посвященной основным сведениям о брандмауэре Windows, по адресу www.microsoft.com/windowsxp/using/security/internet/sp2\_wfintro.mspx.

К началу страницы

Дополнительные сведения

Дополнительные сведения об открытии портов см. в следующих статьях:

• Статья, посвященная сетевым портам, использующимся ключевыми серверными продуктами Microsoft, на веб-узле Microsoft Small Business Center по адресу www.microsoft.com/smallbusiness/support/articles/ref\_net\_ports\_ms\_prod.mspx.

• Статья, посвященная номерам портов, документ на веб-узле Internet Assigned Numbers Authority по адресуwww.iana.org/assignments/port-numbers.

Дополнительные общие сведения о брандмауэрах см. в следующих статьях:

• Статья, посвященная функциональным изменениям Microsoft Windows XP с пакетом обновления 2 (SP2) — часть 2: технологии сетевой защиты, на веб-узле Microsoft TechNet по адресу http://go.microsoft.com/fwlink/?linkid=35486.

Дополнительные сведения о безопасности Windows XP SP2 см. в

• The руководстве по обеспечению безопасности в Windows XP на веб-узле центра загрузки Майкрософт по адресу http://go.microsoft.com/fwlink/?linkid=35309.

Определения терминов безопасности см. в

• глоссарии терминов, связанных с безопасностью Microsoft на веб-узле Microsoft Web по адресу http://go.microsoft.com/fwlink/?linkid=35468.

Загрузить

Получить статью, посвященную защите клиентских компьютеров от сетевых атак

К началу страницы