Windows XP – како добро заштитити небезбедан систем?

Имате рецимо гигабајт или мање меморије, не желите ни ви ни ваша компанија да трошите паре на новији хардвер док год стари ради без проблема, не можете да користите бесплатни Линукс као замену због специфичних програма које користите на послу или игрица које играте, дакле морате да наставите са Windows XP оперативним системом.

Као што знате, компанија Мајкрософт се од априла 2014-те више не бави Windows XP оперативним системом нит’ је он нешто занима у животу, послала га је у пензију, тако да све могуће сигурносне рупе које постоје или које ће постојати на том оперативном систему неће бити крпљене нит ће се ко бактати њима.

О куповини лиценце и надоградњи система морате размислити добро уколико сте пословни корисник, баратате поверљивим документима, вршите плаћања преко интернета, имате на рачунару вама битне податке и битно вам је да рачунар увек буде софтверски чист, без вируса, разних претњи и шпијуна који ће софтверски пратити шта на рачунару радите.

А шта ако не можете или не смете да радите надоградњу на новији Виндовс из овог или оног разлога?

Питања и одговори

…ево одговора на нека од питања која су ми постављана до сад око проблематике везане за наставак коришћења Windows XP-а?

  • Да ли ће ми компјутер радити и даље нормално после обуставе подршке за Windows XP?
    Хоће! Само ћете бити мало софтверски ограничени и мораћете мало више да бринете о е-безбедности.
  • Шта губим губитком подршке за Windows XP?
    Све постојеће и будуће сигурносне рупе биће актуелне и неокрпљене. Дакле бићете изложенији безбедоносним проблемима самог оперативног система.Прекидом подршке за Windows XP, многи други програми ће такође прекинути свој развој за тај оперативни систем.Битне компоненте попут Java-e или Flash-а, а које су посебно рањиве неће више бити развијане нити крпљене за Windows XP. Другим речима, имаћете ограничену функционалност рачунара и бићете лакши за вирусну инфекцију и крађу података.
  • A шта губим куповином нове лиценце уместо Windows XP-а?
    Паре. Лиценца за Виндовс кошта око 120 евра а највероватније ћете морати освежити и хардвер на рачунару, првенствено меморију (већина Windows XP корисника има 512 или 1GB, а минимум за Виндовс 7 је 1GB односно 2GB ако ћете да терате 64-битни систем, што је препорука за рачунаре са 64-битним процесором), а неки старији рачунари користе старије типове меморије, која се више и не може набавити, тако да ће ти корисници бити у проблему.
  • Кућни сам корисник, немам ништа битно на рачунару, не купујем преко нета, да ли морам да пређем на новији оперативни систем?
    Не морате. Пошто немате ништа поверљиво, не бавите се финансијским трансакцијама са рачунара неће бити неких великих проблема. Ако вам и утрчи нека зараза, урадићете освежавање из бекапа (ако сте га направили) или ћете поново да реинсталирате Виндовс и то је ОК. Морате се само још пазити где се све логујете, јер рецимо, неко вам може украсти Фејсбук/Твитер/Линкедин лозинку на незаштићеном систему.
  • Мени тај Windows Update ионако није био укључен јер користим Виндовс са торента?
    Онда те боли уво, у дебелом си безбедоносном си проблему и онако и овако. Надам се да не плаћаш преко нета нит’ користиш е-банкинг.

Windows XP – како га сад заштитити?

Навешћу вам неке проверене методе како да армирате и забетонирате заштиту вашег Windows XP оперативног система од ког је Мајкрософт дигао руке.
Заштита укратко обухвата:

  • Деградација корисничких привилегија
  • Антивирус заштиту
  • Firewall заштиту
  • Инсталацију Service Pack 3 ако га немате
  • Коришћење SandBox технологије
  • Одбацивање употребе небезбедних прогама
  • Локалну DNS заштиту

Деградирајте себи корисничке привилегије на Guest

Сигурно (вероватноћа 99.99%) имате администраторска права кад се улогујете у Виндовс, што значи да свако ко се домогне вашег Виндовс налога може да инсталира вирусе какве жели, деинсталира заштиту како му се ћефне, креира нове кориснике са администраторским правима.
То исто значи да уколико посетите неки инфицирани вебсајт нема препрека да се било какав тројанац или спајвер инсталира на вашем рачунару (препрека је само антивирус ако постоји и ако је ажуриран).

Ово највише важи за кућне кориснике, пошто је претпоставка да су пословни корисници везани за доменску инфраструктуру и да им је домен администратор већ одсекао администраторске привилегије.

Још један од проблема је и корисник „Administrator“ коме је велика већина корисника приликом инсталирања Windows XP-а одабрала да нема никакву лозинку….доделите му је и потрудите се да не буде нешто типа 12345 или ааааа.

Дакле, најбоље поставите себи Guest корисничке привилегије. Guest привилегије су најниже на лествици привилегија, с њима не можете ништа да инсталирате нити подешавате на систему.
Наравно, ако буде постојала потреба да нешто инсталирате, покрените инсталациони фајл са „Run as“ (држите леви SHIFT на тастатури и кликните десним кликом на мишу) или се излогујте, улогујте се као администратор, инсталирајте/подесите шта сте хтели па се излогујте и улогујте као корисник.

Деградација привилегија ће вас заштитити и од AutoRun функционалности, где би вам се аутоматски инсталирао вирус чим би неко „утако“ заражени USB flash у ваш рачунар.

Како деградирати привилегије?

Десни клик на My ComputerManageLocal Users and Group – па клик на фолдер Users. Ту ћете видети све налоге на вашем рачунару. За почетак налогу Administrator промените лозинку (десни клик на Administrator у овом прозору па Set Password) али је запамтите добро или запишите негде, јер без ње биће проблема.

Десни клик на кориснички налог, Properties па таб Member of па клик на Add

У прозору од малопре, клик на Advanced – па у новом прозору на Find now, па клик на Guest у резултатима, па клик на ОК и потврдите опет са ОК.

Сад ћете сем Administrator видети и Guest у привилегијама корисника те још треба да укинете Administratorске привилегије.

Клик на Administratorс (унутар Member оф секције) – Ремове и потврдите са ОК, те тиме корисник губи администраторске привилегије. Након овога урадите један LogОff-LogOn како би корисник повукао нове привилегије или једноставно рестартујте рачунар.

Можете пробати после тога да инсталирате неки програм, али ће вам се јавити грешка попут ове, што је знак да сте добро одрадили посао.

Антивирус је ОБАВЕЗАН

Овде ће проблем временом бити отказивање даљег развоја антивируса за пензионисан оперативни систем. Бесплатни антивируси који још увек раде на Windows XP-у сем одличног 360 Total Security-ја су и Аваст, AVG, Авира и Панда

Ако га немате инсталираног, инсталирајте Service Pack 3

Service Pack је скуп свих безбедоносних закрпа у једном пакету, а јесте и он поприлично матор, али ако ни њега немате инсталираног онда сте дефинитивно у проблему.
Service Pack 3 – http://technet.microsoft.com/en-us/windows/windows-xp-service-pack-3.aspx

Постоје и незванични service pack-ови за Windows XP попут Service Pack 4, али ја их избегавам, немам појма колико су они безбедни и шта у њима све има јер не долазе из Мајкрософта.
После инсталације стартујте Windows Update и инсталирајте све закрпе које вам Виндовс нуди (напомена: не знам како и да ли ће ово радити на нелегалним копијама Виндовса)

Ако вам је укључен AutoUpdate онда прескочите овај корак.

На сумњиве и порно сајтове идите користећи SandBox технологију

SandBox је технологија која одређени процес изолује од оперативног система и тако га ограничи на самог себе, недозвољавајући му да ишта скида на рачунар, преправља registry уносе, инсталира и слично.

Тако рецимо, можете подесити да вам се Фајерфокс увек стартује у SandBox контејнеру и тако да му повисите безбедност на максимум, те све и да одете на заражени сајт, нећете бити заражени.
Један од познатијих програма којим можете сендбоксовати одређену апликацију зове се Sandboxie и можете је скинути одавде али постоје и сигурносна решења која већ имају имплементирану SandBox технологију у себи попут рецимо Comodo антивируса. Порно сајтове сам овде споменуо јер по званичним статистикама генеришу огроман саобраћај и имају велики број посета.

Након што инсталирате Sandboxie стандардним Next-Next-Finish, имаћете и иконицу „Sandboxед Wеb Browser“, а дуплим кликом на њу отвориће вам се дифолтни веб браузер који користите на рачунару али изолован од оперативног система, што ће рећи да остаје безбедан ма шта радили да је браузер стартован сендбоксован, знаћете по карактеру [#] у називу прозора, али иапк не претерујте са сумњивим посетама, ово је ипак софтвер а сваком се софтверу кад тад открије нека безбедосна рупа.

Дакле, ако идете на легитимне и познате сајтове (Гугл, Фејсбук…) можете ићи регуларно, али ако идете на HotMilfFreeVideos.ru идите искључиво сендбоксовани, да вас не бије малер 🙂
Унутар програма Sandboxie имате могућности и да подесите које све програме желите да увек покрећете изоловане а могућност покретања изолованих програма иматећете и у десном кликну у опцији „Run Sandboxed“

Заборавите на Интернер Експлорер и Adobe Reader

Последња верзија Интернет Експлорера за Windows XP је осмица и она је заостала у времену и простору. Дакле, Интернет Експлорер на Windows XP-у користитите само иницијално да скинете Фајерфокс или Гугл Хром који су још увек подржани на Windows XP-у, па заборавите на њега. Оно додуше, Интернет Експлорер мени и служи да на тазе инсталацијама било које верзије Виндовса само скинем Фајерфокс или Гугл Хром.

Уместо Adobe Reader-а користите Foxit PDF Reader.

Можда ће вас занимати и: Списак препоручених бесплатних програма од стране Kompjuteras.com блога

Инсталирајте Firewall

Ово је већ бетон опција (даље нећеш моћи) – неко је успео да се ушуња на систем иако немате администраторске привилегије, идете сендбоксовани на сумњиве сајтове преко нe-ИнтернетЕксплорер браузера, и сад би да украде податке са вашег рачунара (рецимо username/password који сте сачували за ваш е-банкинг налог)….е па цврц.

Firewall ће онемогућити комуникацију ван вашег рачунара, онемогућити покушаје упада на систем док сте на мрежи (интранет или интернет) и показати вам нотификације кад неки програм жели да пошаље информације са вашег рачунара.

Бесплатни firewall који се показао одлично јесте Comodo Firewall и он је специфичан по томе што ће сваку могућу акцију ван уобичајене да вам пријави (ово уме помало да смара) али ви за сваку за коју знате да је легитимна (рецимо Фајерфокс хоће да изађе на интернет) можете закоментарисати као Trusted и више вас неће смарати за њу.

Преправите DNS адресу мрежног адаптера?!

У јеботе, да ниси мало претерао?
Укратко, DNS (Domain Name System) је систем који упит који ви разумете (нпр: www.google.com) преводи у адресу коју мрежа разуме (нпр 79.101.111.227).

Подразумевана DNS сервер адреса на 99% кућних рачунара је 192.168.1.1 што је у принципу IP адреса вашег рутера, а који ваше упите прослеђује вашем интернет провајдеру (у највећем броју случајева) који се даље бакће са упитима (да не смарам).

Е сад, тај дифолт DNS ће www.zarazeni-sajt.com и проследити на заражени сајт где ћете морати да се суочите са заразом….али постоје и системи који ће упит www.zarazeni-sajt.com проверити а вама проследити поруку да покушавате да се домогнете опасног сајта те ће вам блокирати приступ истом или ћете бити обавештени о малициозном сајту.

Шта треба да урадите?
Постоји више бесплатних DNS система али ја ћу издвојити онај који се показао као одличан и ултра безбедан: OpenDNS

OpenDNS – Бесплатни DNS сервер који постоји дуги низ година уназад и који веома добро и брзо ради и има велику базу малициозних сајтова. Њега обично постављам на рачунарима или рутерима родитеља (уз њихов пристанак, наравно) који имају малу децу (а данас деца већ од 5 година знају да користе интернет), првенствено због OpenDNS Family Shield заштите коју овај DNS сервис нуди а која блокира све порно или насилно што се налази на нету.

Постављањем OpenDNS записа на рутеру који сте добили од провајдера, сем рачунара биће заштићени и сви остали уређаји који су накачени на тај рутер, без обзира који оперативни систем користе. Мана OpenDNS-а је та што ће иста та порњава бити забрањена и родитељима, па се дешавало да ме родитељи зову и псују звог овога али шта ћеш, такав је посао, ни ја га не волим, безбедност система и деце на првом месту…

Постоји и OpenDNS без ове заштите, као и плаћени OpenDNS сервис који нуди додатну заштиту и модуле.

OpenDNS адреса са Family заштитиом:
208.67.222.123
208.67.220.123

OpenDNS адреса без Family заштите:
208.67.222.222
208.67.220.220

Како променити DNS адресу мрежног адаптера?

StartControl PanelNetwork connection па десни клик на адапатер на коме вам пише Connected (обично се зове Local Area Connection или Wireless Network Connection) и изаберите Properties. Потом кликните на Internet Protocol (TCP/IP) па на тастер Properties у том прозору. Потом кликните на „Use the following DNS server addresses“ и унесите IP неког од горепоменутих сервиса

Пример конфигурисања мрежног адаптера са OpenDNS адресом без Family Safety заштите.

Уколико сте рецимо IP адресе за DNS сервер променили на OpenDNS адресе које написах горе (208.67.222.123, 208.67.220.123) дочекаће вас овакав прозор ако одете на недозвољени сајт:

Заблокиран порно сајт због OpenDNS заштите исконфигурисане на нивоу рутера

OpenDNS IP адресе можете дакле користити без обзира на све и на било ком оперативном систему. Њиховом употребом повећаћете безбедност вашег без икаквих даљих подешавања а ако исто подешавање поставите на рутер обезбедићете додатно и све уређаје иза њега. Наравно, ово није потпуна заштита већ само један њен део…али део по део…