Способы защиты персональных компьютеров

Чек-лист разумной защиты своего ноутбука

Важный компонент защиты от несанкционированного доступа

Каждому разумному человеку есть, что скрывать. Это нормально. Никто не хочет, чтобы утекли его приватные ключи для доступа в репозиторий, важный код или личные фотки в свитере с оленями.

Поэтому, я тут подумал и решил собрать в одном месте некий стандартизированный чек-лист по комплексной защите своего ноутбука. Я намеренно отсекаю станционарные ПК, потому что они меньше подвержены угрозам вида «случайно забыл в баре». С 6 килограммами жестких дисков, тепловых трубок и башенным кулером это сделать куда сложнее.

Я постараюсь пройтись по основным угрозам и методам защиты. Например, люди часто забывают, что вводить пароль под камерой — плохая идея. Буду крайне признателен вашим дополнениям.

Паранойя непродуктивна

Мы можем сколько угодно фантазировать на тему зарядов термита в батарейном отсеке и загрузке с внешнего жесткого диска, замаскированного под кофеварку. Нет, все это реально можно реализовать, но, как показывает практика, это довольно бессмысленно и сильно усложняет жизнь владельцу.

К сожалению, самые изощренные схемы часто разбиваются тем самым гаечным ключом за $5. Поэтому, сразу определим уровень защиты как разумно-сбалансированный, где для включения ноутбука не требуется собирать вшестером ключ из фрагментов Шамира.

Больше всего нас тревожит, что к ноутбуку могут получить физический доступ. Это чревато утечкой содержимого жестких дисков и бонусами в виде руткитов. Особенно это опасно в случае, если вы не заметили, что компьютер побывал в чьих-то руках.

Почувствуй себя волшебной принцессой

Проблема скрытого доступа решается до идиотизма просто. Только для начала надо будет научиться делать покер-фейс в магазине, который продает максимально дешевые накладные ногти, пластмассовые сережки и тому подобные радости для девочек лет 10. Да, нам понадобится лак с блестками. Как ни странно, но практически невозможно замаскировать факт выкручивания винтов корпуса, если на них нанести каплю подобного разноцветного ужаса за 50 рублей. Структура лака будет нарушена и ориентация частиц изменится даже при попытке сгладить все каплей растворителя. Особенно удобно использовать для этого два разных лака с длинными частицами в форме волосков.

Помимо этого можно воспользоваться и штатными вариантами вроде kensington lock. Но это скорее не про защиту от скрытого доступа, а про пристегивание ноутбука к тумбе потяжелее, чтобы не утащили, пока вы отошли за кофе.

Разблокировка

Любая более или менее современная ОС предполагает автоматическую блокировку сеанса пользователя при закрытии крышки ноутбука, ручной блокировке или после некоторого таймаута. К сожалению, любая попытка сделать безопасно приводит к варианту «сделать неудобно». Поэтому есть смысл рассмотреть недостатки удобных и популярных способов упрощенной разблокировки.

Отпечаток пальца, если есть выделенный для этого сенсор ноутбука. Весьма неплох в большинстве ситуаций, но имеет несколько фундаментальных проблем, общих для любой биометрии. Его нельзя заменить, так как количество нескомпрометированных пальцев имеет тенденцию заканчиваться. А еще его очень просто использовать по принуждению. Думаю, что не ошибусь, если предположу, что большинство использует отпечаток указательного пальца правой руки. К тому же стандартные сенсоры потребительского сегмента не контролируют косвенные параметры вроде наличия пульсации капилляров, что позволяет не только приложить палец отдельно от владельца, но и банальную реплику, снятую со стакана в баре.

Разного рода face unlock также стали достаточно популярны вслед за мобильными телефонами, но они в большинстве случаев абсолютно непригодны для контроля доступа. Обычная камера с радостью разблокируется в ответ на фотографию из социальной сети, которую показывают на экране мобильника. Ну и все те же проблемы с недобровольным доступом.
Доверенные устройства вроде фитнесс-браслета уже интереснее. Но у них другая проблема- неконтролируемый радиус действия. Вроде бы отошел от ноутбука за кофе, но связь с браслетом все равно сохраняется. Реально подобный метод подходит для защиты только от кражи компьютера.

Резюме: лучше всего ввод пароля из неизвлекаемого хранилища в сером веществе владельца. Но если очень раздражает, то отпечаток пальца, хотя это и снижает защиту. А еще правда не стоит вводить пароли под камерами наблюдения. Разрешения более чем достаточно для его восстановления.

Шифрование

Это такой пункт, который не особо имеет смысл обсуждать. Шифровать однозначно надо. Да, формально это увеличивает риски необратимой потери данных. Но тут сразу есть два контраргумента:

• Особенно ценные данные лучше безвозвратно похоронить в виде шифрованного фарша, но не отдать в плохие руки
• Жесткий диск и так может отказать в любой момент, потому что звезды не так сошлись. Поэтому шифрование ни в коем случае не отменяет бэкапов.

Осталось определиться как лучше всего его реализовать. Наибольшее доверие традиционно отдается свободным вариантам реализации. LUKS с помощью dm-crypt для линуксоидов и полнодисковые варианты вроде VeraCrypt для всех вариантов ОС. Последний вариант хорош своей гибкостью в выборе алгоритмов шифрования диска и возможностью использования токенов и ключевых файлов на внешнем носителе. К сожалению, использование файлов в дополнение к паролю возможно только для контейнеров на уровне ОС, но не при полнодисковом шифровании.

Помимо этих вариантов я бы хотел еще предложить полнодискового шифрования с SED — Self-encrypting disk. На данный момент существует спецификация TCG OPAL 2.0, которой соответствует большинство современных SSD-дисков. Основной плюс этого подхода — нулевой оверхед на шифрование. CPU даже не пытается занимать этой задачей, а все шифрование абсолютно прозрачно для операционной системы. Всем занимается непосредственно контроллер SSD. Более того, если мы посмотрим спецификацию на распространенные Samsung EVO серии, то будет понятно, что они в принципе из коробки выполняют AES шифрование всех данных зашитым ключом. Просто по умолчанию поверх этого ключа не добавляется еще один пользовательский. Но после активации шифрования диск будет доступен только после ввода пользовательского ключа при загрузке. Есть очень неплохой мануал от Dell на эту тему.

Важно не забывать, что все шифрование бесполезно в тот момент, когда компьютер находится в разблокированном состоянии. Поэтому важно позаботиться об автоматической блокировке через приемлемо короткий промежуток времени. В случае с Self-encrypting disk есть проблема. Сброс ключей происходит в момент полного цикла включения-выключения. Так как процесс шифрования прозрачен для ОС, то обычный deauth не блокирует жесткий диск. Более того, на некоторых моделях ноутбуков не происходит обрыва питания SSD в момент перезагрузки, что потенциально делает всю систему уязвимой. Рекомендую прочитать презентацию с BlackHat на эту тему.

Также не забывайте организовать резервное копирование данных. Обычно оптимальным вариантом будет использование коммерческого облака с выгрузкой данных в шифрованном виде. Или можно поднять свой Nextcloud и организовать реплики данных на доверенных машинах.

Прочие очевидные и не очень пункты

Своевременно обновляйтесь. Я сам иногда сижу подолгу на Ubuntu LTS, который уже ушел в oldstable. Но все-таки не затягивайте до окончания сроков security поддержки вашей ОС и ключевых компонентов. Каждая незакрытая CVE — потенциальный вектор атаки.

Никогда не подключайте неизвестные устройства. Банально, но это типовой вектор получения контроля, особенно, если ОС имеет уязвимости или используется zero-day. Если прям очень надо, то лучше воспользоваться live-cd любого дистрибутива linux.

Следите за софтом, который вы устанавливаете. Сейчас все кому не лень хотят покопаться в ваших файлах. От Microsoft спрятаться сложно, можно только уповать на то, что хоть какие-то галочки они не игнорируют. Ну и на эффективность фильтрации телеметрии на уровне DNS от локального pi-hole. Но помимо системных утилит есть еще сторонние антивирусы, клиенты облачных хранилищ с мутным EULA и правами залить вам «ярлык для приложения видеоконференций» на 101 мегабайт. По возможности предпочтите свободные аналоги программ. Они, как правило, такой дичи не творят.

Источник

Обеспечение безопасности вашего компьютера дома

Обеспечение безопасности компьютера помогает избежать вредоносных программ и защититься от попыток взлома с целью хищения ваших личных данных. Вот несколько способов, которые помогут снизить онлайн-риски при использовании компьютера дома.

Советы по защите вашего компьютера

Используйте брандмауэр
В Windows есть встроенный брандмауэр, он автоматически включен.

Поддерживайте все ПО в актуальном состоянии
Не забудьте включить автоматическое обновление в центре обновления Windows, чтобы поддерживать Windows, Microsoft Office и другие приложения Microsoft в актуальном состоянии. Включите автоматические обновления для стороннего ПО, особенно браузеров, Adobe Acrobat Reader и других регулярно используемых приложений.

Используйте антивирусную программу и поддерживайте ее в обновленном состоянии
Если вы используете Windows, на вашем устройстве уже установлена программа Безопасность Windows или Центр безопасности Защитника Windows.

Подберите надежные пароли и обеспечьте их защиту
Чтобы узнать, как это сделать, обратитесь к разделу Защита паролей.

Не открывайте подозрительные вложения и не нажимайте подозрительные ссылки в сообщениях.
Они могут отображаться в электронной почте, твитах, публикациях, интернет-рекламе, сообщениях или вложениях и иногда маскируются под доверенные источники.

Безопасный просмотр веб-страниц
Старайтесь не посещать веб-сайты, предлагающие потенциально незаконное содержимое. Многие из них устанавливают на вашем ПК вредоносное ПО или предлагают загрузки, содержащие вредоносное ПО. Используйте современный браузер, например Microsoft Edge, который может помочь заблокировать вредоносные веб-сайты и предотвратить запуск на компьютере вредоносного кода.

Не пользуйтесь пиратскими материалами
Избегайте потоковой трансляции или скачивания фильмов. музыки, книг и приложений из недоверенных источников. Они могут содержать вредоносные программы.

Не используйте чужие USB-накопители и другие внешние устройства
Во избежание заражения вредоносными программами и вирусами убедитесь, что все внешние устройства либо принадлежат вам, либо взяты из надежного источника.

Защита личных сведений в Интернете

Ваша конфиденциальность в Интернете зависит от способности контролировать объем предоставляемых личных сведений и доступ разных лиц к этим сведениям. Узнайте, как защитить свою конфиденциальность в Интернете.

Защита от мошенничества

При чтении электронной почты, пользовании социальными сетями или просмотре веб-сайтов опасайтесь мошенников, которые стремятся похитить ваши личные сведения (кража идентификационных данных), деньги или и то, и другое. Многие такие атаки называются «фишингом» (от англ. «рыбачить»), потому что они охотятся за вашей информацией. Узнайте, как защитить себя от фишинга и избежать мошенников из «технической поддержки».

Предотвращение установки и удаление вредоносного ПО

Важным шагом к безопасности на рабочем месте является защита компьютера от вредоносного ПО.

Безопасность Windows

Приложение «Безопасность Windows» («Центр безопасности Защитника Windows» в Windows 8 и ранних версиях Windows 10) встроено в Windows и обеспечивает обнаружение вредоносных программ в реальном времени, предотвращение проникновения и удаление вредоносных программ с использованием облачной защиты. Она предназначена для дома, малого и большого бизнеса. Дополнительные сведения см. в разделе Защита компьютера с помощью панели «Безопасность Windows».

Другие способы удаления вредоносных программ

Для всех пользователей Windows, включая тех, которые не пользуются Безопасностью Windows, корпорация Майкрософт предоставляет автономный Защитник Windows.

Автономный Защитник Windows

Автономный Защитник Windows выполняется вне Windows и удаляет программы rootkit и другие угрозы, скрытые от ОС Windows. Этот инструмент использует небольшую отдельную операционную среду, в которой вездесущие угрозы не могут скрыться от сканеров вредоносного ПО.

В Windows 10 и Windows 11 автономный Защитник Windows встроен в операционную систему, его можно запустить из приложения «Безопасность Windows». Он предоставляется в виде отдельной загрузки для предыдущих версий Windows.

Источник

10 советов по защите компьютера

Те, кто стремится к максимальной безопасности при работе с Windows, не должны ограничиваться одним только антивирусным сканером. Следуя нашим советам, вы защитите свой компьютер даже от хитрых хакерских атак.

Антивирус должен быть установлен на каждом ПК с Windows. Долгое время это считалось золотым правилом, однако сегодня эксперты по IT-безопасности спорят об эффективности защитного ПО. Критики утверждают, что антивирусы не всегда защищают, а иногда даже наоборот — из-за небрежной реализации способны образовать бреши в безопасности системы. Разработчики же таких решений противопоставляют данному мнению впечатляющие цифры заблокированных атак, а отделы маркетинга продолжают уверять во всеобъемлющей защите, которую обеспечивают их продукты.

Истина лежит где-то посередине. Антивирусы работают небезупречно, однако все их повально нельзя назвать бесполезными. Они предупреждают о множестве угроз, но для максимально возможной защиты Windows их недостаточно. Для вас как для пользователя это означает следующее: можно либо выбросить антивирус в мусорную корзину, либо слепо ему довериться. Но так или иначе, он всего лишь один из блоков (пусть и крупный) в стратегии безопасности. Мы снабдим вас еще девятью такими «кирпичиками».

Угроза безопасности: антивирусы

> Что говорят критики Нынешний спор об антивирусных сканерах спровоцировал бывший разработчик Firefox Роберт О’Каллахан. Он утверждает: антивирусы угрожают безопасности Windows и должны быть удалены. Единственное исключение — Защитник Windows от Microsoft.

> Что говорят разработчики Создатели антивирусов, в том числе Kaspersky Lab, в качестве аргумента приводят впечатляющие цифры. Так, в 2016 году ПО из этой лаборатории зарегистрировало и предотвратило около 760 миллионов интернет-атак на компьютеры пользователей.

> Что думает CHIP Антивирусы не должны считаться ни пережитком, ни панацеей. Они всего лишь кирпичик в здании безопасности. Мы рекомендуем использовать компактные антивирусы. Но не стоит сильно заморачиваться: Защитник Windows вполне подойдет. Вы можете использовать даже простые сканеры сторонних разработчиков.

10 советов для большей безопасности

Выбрать правильный антивирус

Мы, как и прежде, убеждены, что Windows немыслима без антивирусной защиты. Вам нужно только выбрать правильный продукт. Для пользователей «десятки» это может быть даже встроенный Защитник Windows. Несмотря на то, что во время наших тестов он показал не самую лучшую степень распознавания, он идеально и, что самое важное, без каких-либо проблем для безопасности встроен в систему. Кроме того, компания Microsoft доработала свой продукт в обновлении Creators Update для Windows 10 и упростила его управление.

У антивирусных пакетов других разработчиков степень распознавания зачастую выше, чем у Защитника. Мы ратуем за компактное решение. Лидером нашего рейтинга на данный момент является Kaspersky Internet Security 2017. Те же, кто может отказаться от таких дополнительных опций, как родительский контроль и менеджер паролей, должны обратить свое внимание на более бюджетный вариант от «Лаборатории Касперского».

Следить за обновлениями

Если для обеспечения безопасности Windows нужно было выбирать лишь одну меру, мы однозначно остановились бы на обновлениях. В данном случае речь, разумеется, идет в первую очередь об апдейтах для Windows, но не только. Установленное ПО, в том числе Office, Firefox и iTunes, также следует регулярно обновлять. В Windows получить системные обновления относительно легко. И в «семерке», и в «десятке» патчи устанавливаются автоматически при настройках по умолчанию.

В случае с программами ситуация затрудняется, поскольку далеко не все из них так же легко обновить, как Firefox и Chrome, в которые встроена функция автоматического апдейта. Утилита SUMo (Software Update Monitor) поддержит вас в решении этой задачи и сообщит о наличии обновлений. Родственная программа DUMo (Driver Update Monitor) выполнит ту же работу для драйверов. Оба бесплатных помощника, однако, лишь информируют вас о новых версиях — загружать их и устанавливать вам придется самостоятельно.

Настроить брандмауэр

Встроенный в Windows брандмауэр хорошо справляется со своей работой и надежно блокирует все входящие запросы. Однако он способен на большее — его потенциал не исчерпывается конфигурацией по умолчанию: все установленные программы имеют право без спроса открывать порты в брандмауере. Бесплатная утилита Windows Firewall Control даст вам в руки больше функций.

Запустите ее и в меню «Profiles» установите фильтр на «Medium Filtering». Благодаря этому брандмауэр будет контролировать и исходящий трафик по заданному набору правил. Какие меры туда будут входить, устанавливаете вы сами. Для этого в нижнем левом углу экрана программы нажмите на иконку записки. Так вы сможете просмотреть правила и одним кликом выдать разрешение отдельной программе или же ее заблокировать.

Использовать особую защиту

Обновления, антивирус и браундмауэр — об этой великой трои­це мер безопасности вы уже позаботились. Пришло время тонкой настройки. Проблема дополнительных программ под Windows зачастую состоит в том, что в них не используются все предлагаемые защитные функции системы. Утилита против эксплойтов, такая как EMET (Enhanced Mitigation Experience Toolkit), дополнительно усиливает установленное ПО. Для этого нажмите на «Use Recommended Settings» и позвольте программе работать автоматически.

Укрепить шифрование

Вы можете существенно усилить защиту персональных данных их шифрованием. Даже если ваша информация попадет в чужие руки, хорошее кодирование хакеру снять не удастся, во всяком случае не сразу. В профессиональных версиях Windows уже предусмотрена утилита BitLocker, настраиваемая через Панель управления.

Альтернативой для всех пользователей станет VeraCrypt. Эта программа с открытым кодом ­является неофициальным преемником TrueCrypt, поддержка которого прекратилась пару лет назад. Если речь идет лишь о защите личной информации, вы можете создать зашифрованный контейнер через пункт «Create Volume». Выберите опцию «Create an encrypted file container» и следуйте указаниям Мастера. Доступ к готовому сейфу с данными осуществляется через Про­водник Windows, как к обычному диску.

Защитить пользовательские аккаунты

Множество уязвимостей остаются неиспользованными хакерами только потому, что работа на компьютере осуществляется из-под стандартного аккаунта с ограниченными правами. Таким образом, для повседневных задач вам также следует настроить такую учетную запись. В Windows 7 это осуществляется через Панель управления и пункт «Добавление и удаление учетных записей пользователя». В «десятке» щелкните по «Параметрам» и «Учетным записям», а далее выберите пункт «Семья и другие люди».

Активировать VPN вне дома

Дома в беспроводной сети ваш уровень безопасности высок, поскольку только вы контролируете, кто имеет доступ к локальной сети, а также несете ответственность за шифрование и коды доступа. Все иначе в случае с хотспотами, например,
в отелях. Здесь Wi-Fi распределяется между посторонними пользователями, и на безопасность сетевого доступа вы не способны оказать какое-либо воздействие. Для защиты рекомендуем применять VPN (Virtual Private Network). Если вам нужно просто просмотреть сайты через точку доступа, достаточно будет встроенной VPN в последней версии браузера Opera. Установите браузер и в «Настройках» нажмите на «Безопасность». В разделе «VPN» поставьте флажок для «Включить VPN».

Отрезать неиспользуемые беспроводные соединения

Исход ситуации могут решить даже детали. Если вы не пользуетесь такими соединениями, как Wi-Fi и Bluetooth, просто отключите их и тем самым закройте потенциальные лазейки. В Windows 10 проще всего это сделать через Центр уведомлений. «Семерка» предлагает для этой цели на Панели управления раздел «Сетевые подключения».

Управлять паролями

Каждый пароль должен использоваться только один раз, а также содержать специальные знаки, цифры, заглавные и прописные буквы. И еще быть максимально длинным — лучше всего из десяти и более символов. Принцип безопасности, обеспечиваемой паролем, сегодня достиг своих пределов, поскольку пользователям приходится слишком многое помнить. Следовательно, там, где это возможно, следует заменять такую защиту на другие способы. Возьмем, к примеру, вход в Windows: если у вас есть камера с поддержкой технологии Windows Hello, используйте для авторизации метод распознавания лиц. Для остальных кодов рекомендуем обратиться к менеджерам паролей, таким как KeePass, которые следует защитить мощным мастер-паролем.

Обезопасить личную сферу в браузере

Для защиты своей конфиденциальности в Сети существует множество способов. Для Firefox идеально подойдет расширение Privacy Settings. Установите его и настройте на «Full Privacy». После этого браузер не выдаст никакой информации о вашем поведении в Интернете.

Спасательный круг: бэкап

> Бэкапы крайне важны Резервное копирование оправдывает
себя не только после заражения вирусом. Оно отлично зарекомендовало себя и при возникновении проблем с аппаратным обеспечением. Наш совет: единожды сделайте копию всей Windows, а затем дополнительно и регулярно — ­бэкапы всех важных данных.

> Полное архивирование Windows Windows 10 получила в наследство от «семерки» модуль «Архивирование и восстановление». С помощью него вы создадите резервную копию системы. Вы также можете воспользоваться специальными утилитами, например, True Image или Macrium Reflect.

> Защита файлов True Image и платная версия Macrium Reflect способны сделать копии определенных файлов и папок. Бесплатной альтернативой для архивирования важной информации станет программа Personal Backup.

Источник