Biztonságos Windows-használat
Lengyel Zsolt
Ezen az oldalon a mindennapi biztonságos Windows-használathoz gyűjtöttük össze a tudnivalókat, illetve ajánlunk néhány szoftvert, amelyek ebben segítenek.
Figyelmeztetések beállítása
A nem megfelelő forrásból (nCore stb.) letöltött szoftverek telepítésekor semmi garancia nincs rá, hogy az adott szoftverben nincs valami kis „extra”... Ha ellenőrizetlen forrásból letöltött dolgokat telepítünk, amelyek módosítják a rendszerünket, nem árt, ha van egy figyelmeztető ablak, ami szól, hogy mi történik a gépünkön. Ezekről mindig jobb tudni, mint nem tudni.
A Windows mindig értesíthet, ha valamilyen szoftver telepíteni szeretne valamit, vagy valamilyen rendszergazdai műveletet fog végezni. Itt a „show details” gombot megnyomva azt is kideríthetjük, hogy a szoftver milyen szoftver, és pontosan milyen módosítást szeretne végezni. Ez segíthet annak eldöntésében, hogy szeretnénk-e ezt a módosítást.
A figyelmeztetés beállításának ellenőrzéséhez a Start gomb melletti keresőmezőbe írjuk be, hogy „user account control settings” (magyar Windowsban „felhasználói fiókok felügyelete”), kattintsunk a beállítások módosítására, és győződjünk meg róla, hogy a felugró ablakban az „Always notify” van beállítva.
Az általános (normális) számítógép-felhasználást ez semmilyen módon nem befolyásolja, csak tudatja velünk a Windows, ha egy szoftver (pl. vírus!) olyan műveletet végez a gépen, amihez rendszergazdai jogosultság szükséges. Ezt a működést ilyenkor meg tudjuk akadályozni, ha a popup ablakban a „No”-ra nyomunk.
Fontos hangsúlyozni azért, hogy ez semmitől nem véd meg, csak figyelmeztet. Egy tapasztalatlan felhasználó, vagy aki ezen a ponton sem érti, hogy mi történik, mert pl. el se olvassa a kiírt üzenetet, még mindig rá tud nyomni a „Yes”-re.
Van, aki ezt a funkciót teljesen kikapcsolja, hogy ne figyelmeztessen soha, mondván: idegesítő. Ebből bizonyos esetekben elég nagy probléma lehet. És olyan sűrűn azért nem telepítget egy átlag felhasználó, hogy zavaró legyen erre az ablakra néha odafigyelni.
Felhasználókezelés
A legtöbb kártékony szoftver, illetve a Windows biztonsági réseit kijátszó kártékony szoftver elleni védekezéshez elegendő az adminisztrátori jogok megvonása.
Amikor a Windowst napi szinten általános dolgokra használjuk, akkor ajánlott ezt egy olyan jogosultságú felhasználóval tenni, amely nem rendelkezik rendszergazdai jogokkal. Mégpedig azért, mert ha valamilyen kártékony szoftver a rendszerünkre kerül, akkor sokkal kevesebb kárt tud csinálni, ha csak általános jogú felhasználóként futtatjuk. A malware-ek igen jelentős százaléka ellen lehet védekezni pusztán annyival, hogy az admin jogosultságot elvesszük a felhasználóktól. Ez annyira alapvető biztonsági követelmény, hogy általános irányelvként is létezik: a legkisebb jogosultság elve, vagy angolul: Principle of least privilege.
Tehát ha a felhasználó, amelyikkel be vagyunk lépve, rendszergazda jogú, akkor inkább hozzunk létre egy új, általános jogú felhasználót, majd jelentkezzünk át abba a fiókba, és csak azt használjuk. (Ajánlott, hogy telepítés után eleve így állítsuk be a Windowst.)
Ez nem fogja akadályozni a munkánkat, csak legfeljebb ha egy vírus el akar indulni a gépen (vagy telepítünk egy szoftvert), akkor felugrik egy Windows-ablak, és be kell írnunk egy rendszergazdajelszót.
Ezzel is tudatosul majd bennünk, hogy most valamilyen rendszermódosítás történik. Ezenkívül rengeteg kártékony szoftver nem fog tudni kárt tenni a rendszerben, hiszen ha nem rendszergazdaként vagyunk belépve, akkor a kártékony szoftver se rendszergazdai jogokkal fut.
Általános jogú felhasználó létrehozása
Ez a fejezet helyi felhasználó létrehozását mutatja be, a Microsoft-fiókkal összekötött Windows felhasználó kezelésére nem tér ki.
A Windows + R billentyűre megjelenő Futtatás ablakba, vagy a Start menügomb melletti keresőmezőbe írjuk be az alábbi sort:
lusrmgr.msc
Ez fel fogja hozni a Local Users and Groups ablakot (ezt az ablakot mindenképp rendszergazdaként nyissuk meg, különben csak nézegetni tudjuk. Tehát ha keresésbe írtuk be, akkor Ctrl+Shift+Enterrel indítsuk, vagy jobb klikk: futtatás rendszergazdaként.)
Itt kezelhetjük a felhasználókat: létrehozhatunk új felhasználót, vagy rendszergazda jogot adhatunk meglévő felhasználónak, illetve el is vehetjük a a rendszergazdai jogot felhasználóktól.
Ha új felhasználót akarunk létrehozni, akkor a Users mappán belül kattintsunk jobb egérgombbal, és a helyi menüből válasszuk a „New User” opciót:
Ezután töltsük ki az űrlapot. (Kényelmi okok miatt a „password never expires”-t érdemes bepipálva hagyni, de persze vállalati, nagyvállalati környezetben ezt sem hagyják úgy a rendszergazdák.)
Ezután ha a „Create” gombra kattintunk, akkor ez az ablak újra megjelenik, mert feltételezi a Windows, hogy akarunk még felhasználót létrehozni. Ha ezt most bezárjuk, akkor láthatjuk, hogy létrejött a listában az új felhasználó, ezt pedig tudjuk utólag szerkeszteni (pl. adhatunk neki vagy elvehetünk tőle rendszergazda jogot). Ehhez jelöljük ki a felhasználót, jobb egérgombbal kattintsunk rá, majd válasszuk a „Properties” opciót:
Itt a „Member Of” fülön tudjuk megnézni, hogy az adott felhasználó milyen csoportokban van benne. Ha ezt meg szeretnénk változtatni, pl. általános userből rendszergazdát akarunk csinálni, akkor az „Add” gombra nyomjunk, az „Enter the object names to select” mezőbe írjuk be: „Administrators” (magyar Windows esetén: „Rendszergazdák”), majd kattintsunk a „Check names” gombra. (Ez ellenőrzi, hogy az általunk beírt csoport valóban létezik-e. Ha igen, akkor eléírja a domaint, és aláhúzza, amit beírtunk. Innen tudjuk, hogy a csoport tényleg létezik.) Ezután okézzuk le az ablakot.
Ezt a felhasználót így hozzáadtuk a rendszergazda csoporthoz, tehát most már rendszergazda jogosultságú, a sima Users (általános jogú felhasználók) csoportból akár ki is vehetjük: ehhez kattintsunk a Users csoporta, és nyomjunk rá a „Remove” gombra:
A fentieket felhasználva alakítsunk ki magunknak egy olyan környezetet, amelyben a saját (mindennapokon használt) felhasználónk sima (általános jogú) user legyen. Emellett legyen egy rendszergazda jogosultságú userünk is (amelynek más a jelszava), csak ne azzal jelentkezzünk be mindig, amikor a Windowst használjuk.
A Windows telepítésekor létrehozott felhasználó egyébként automatikusan rendszergazda jogú lesz. Így akár azt is megtehetjük, hogy amellé már csak egy általános jogú felhasználót hozunk létre, és azt használjuk, az alap (telepítéskor létrejött admin) user pedig megmarad adminnak.
Az általános jogú felhasználónkkal is tudunk majd szoftvert telepíteni, illetve olyan beállításokat végezni, amelyekhez rendszergazda jogosultság szükséges, csak ilyenkor be kell majd írnunk a rendszergazdai userünk jelszavát. Ez a normális működés. Ha például rendszergazdaként nyitjuk meg a Notepadet, ezt fogjuk látni:
Ha eleve rendszergazdaként lennénk belépve, akkor itt csak egy „Yes”-t kellene nyomnunk, amit elég könnyen ki tudnak kerülni a vírusok, viszont a rendszergazda userünk jelszavát már nem biztos, hogy ki tudják találni…
Tehát még egyszer: A legtöbb kártékony szoftver, illetve Windows biztonsági réseit kijátszó kártékony szoftver elleni védekezéshez elegendő az adminisztrátori jogok megvonása. Vagy akár úgy is fogalmazhatnánk, hogy:
A Windows indításával automatikusan elinduló folyamatok
A Windowsban van egy beépített szoftver, amely jelzi, hogy mik azok a folyamatok, szolgáltatások, amelyek a Windows indításával automatikusan elindulnak. Ezt a listát az msconfig paranccsal tudjuk megnézni:
A Windows + R billentyűre megjelenő Futtatás ablakba, vagy a Start menügomb melletti keresőmezőbe írjuk be az alábbi sort:
msconfig
(Ezt az ablakot mindenképp rendszergazdaként nyissuk meg: ha keresésbe írtuk be a parancsot, akkor Ctrl + Shift + Enterrel indítsuk, vagy jobb klikk: futtatás rendszergazdaként.)
Itt a „Services” fülön láthatók azok a háttérben futó szolgáltatások, amelyek a Windows indításakor automatikusan elindulnak.
A Manufacturer oszlopot egy hacker nem igazán tudja áthackelni, tehát nem valószínű, hogy fogunk találni olyan elemet, amelynél a Manufacturer pl. a Microsoft Corporation, de az az elem valójában vírus. Viszont itt ki tudjuk kapcsolni azokat a szolgáltatásokat, amelyekre nincs szükségünk, esetleg ismeretlenek számunkra.
Arra azért érdemes figyelni, hogy ne összevissza kapcsolgassunk ki itt bármit, mert előfordulhat, hogy alapvető működéshez szükséges szolgáltatásokat kapcsolunk ki. Tehát mielőtt kikapcsolunk valamit, érdemes rákeresni a Google-ban, hogy meggyőződjünk róla, tényleg felesleges az adott szoftver.
A képernyőképen pl. a Google Update Service van kikapcsolva. Ezt egyébként nem ajánlott kikapcsolni, mert a frissítések rendkívül fontosak. Ide ne azért nézzünk be, mert mindent ki akarunk kapcsolgatni, hanem hogy lássuk, van-e itt valami gyanús. Ha valamilyen szoftverre nincs szükségünk, akkor inkább távolítsuk el a gépről.
A következő hely, ahol a telepített programok automatikusan elinduló szoftvereit találjuk, a „Startup” fül az msconfig ablakon belül. Itt egy linkre kattintva nyílik meg a Task Managerben lévő „Startup” fül, mert már itt találhatóak ezek az elemek.
Itt is hasonló a teendőnk: nézzük át a listát, és amire nincs szükségünk, vagy nem ismerjük, és amiről a Google segítségével is meggyőződtünk, hogy nem kell, azt ki tudjuk kapcsolni, vagy el tudjuk távolítani a szoftvert a gépünkről.
Autoruns – mélyebb víruskeresés
Az Autoruns szoftver mélyebb információkat nyújt az automatikusan indított folyamatokról, szolgáltatásokról. Ezt a Sysinternals csomagban találjuk. Ez nem egy Windowsba beépített szoftvercsomag, hanem külön le kell tölteni és telepíteni. Ha nem akarjuk az egész Sysinternalst letölteni, akkor csak magát az Autorunst is letölthetjük a Microsoft oldaláról.
Az Autoruns egy futtatható alkalmazás, amit szintén rendszergazdaként kell elindítani. Itt az Everything fület nézzük át:
Ezen a fülön elég részletes listában vannak megjelenítve azok a fájlok és alkalmazások, amelyek valamilyen módon használva vannak akkor, amikor a Windows elindul (automatikusan elindulnak). Ezek között találhatunk vírusokat is (persze máshol is, de itt is gyakori).
Itt a „Publisher” és az „Image Path” oszlopot érdemes ellenőrizni. Ha olyan Publishert látunk, amelyikre rákeresve gyanús dolgokat találunk, esetleg az elérési útja valamilyen böngésző mappáján belüli temp folder stb., akkor az adott elem nagy valószínűséggel vírus, és nyugodtan kikapcsolhatjuk vagy akár törölhetjük.
Értelemszerűen itt is igaz, hogy ha nem vigyázunk törölhetünk fontos (a rendszer alapműködéséhez szükséges) fájlokat is, de ha ezekre rákeresünk a Google-ben, akkor elég gyorsan meggyőződhetünk róla, hogy kell-e (pl. ha a Microsoft hivatalos fórumján megtaláljuk, és nem írnak róla semmi rosszat, akkor maradhat). Ha valami piros színnel van jelölve, még nem biztos hogy veszélyes…
Amit még kipróbálhatunk: jobb egérgombbal rákattintunk az adott fájlra, és a helyi menüből kiválasztjuk a Check VirusTotalt:
Ez az opció a https://www.virustotal.com-on ellenőrzi az adott fájlt. Ha sok helyen írja a VirusTotal, hogy vírusos, akkor szintén nyugodtan törölhetjük.
Miután rányomtunk az adott elemen a „Check virusTotal” gombra, az Autorunsban a VirusTotal oszlopban meg fog jelenni egy eredmény. Ezen a képernyőképen például az látszik, hogy 72 féle víruskereső szoftverrel tesztelve az adott fájl nem vírus (0 helyen jelentették, hogy vírusos):
Ellenőrizzük az összes elemet, ami általunk nem ismert gyártótól származik, és töröljük, ha gyanúsnak találja a VirusTotal (vagy ha mi gyanúsnak találjuk). Vigyázzunk, hogy a rendszer működéséhez szükséges meghajtók fájljait (pl. hálózati kártya driverének DLL fájlja, alaplapdriverek stb.) ne töröljük!
Process Explorer
A következő Sysinternals-program a Process Explorer. Ezt is vagy a csomagban találjuk, vagy külön letölthetjük és futtathatjuk (rendszergazdaként!).
A Process Explorer hasonlít a Task Managerhez, de sokkal több információt ír ki a futó alkalmazásokról. Itt is láthatjuk az alkalmazás kiadóját (Company Name), a process treet (melyik alkalmazás indított el másik al-alkalmazást, mi annak az elérési újta stb.), itt is van „Check VirusTotal” gomb, ami ellenőrzi az adott alkalmazást VirusTotalon.
Ha gyanúsat látunk, töröljük – de ez csak az éppen futó rendszereden működő alkalmazások listája. Vagyis ha innen kiszedjük, de Autorunsban még bent marad valami, akkor következő indításkor még elindulhat újra a kártékony szoftver.
Telepített programok eltávolítása
Nyissuk meg a Vezérlőpultot: a Windows + R billentyűkombinációval hozzuk fel a Futtatás ablakot, és írjuk be ezt a parancsot: control panel, vagy a Start gomb melletti keresőmezőbe írjuk be: „vezérlőpult” (angol Windowsban „control panel”).
A megnyíló ablakban válasszuk a „Programok és szolgáltatások” opciót.
Ha egyből erre a panelre akarunk jutni, akkor az Appwiz.cpl shortcutot használjuk a Futtatásban vagy a keresőben.
Itt a gépünkre telepített szoftverek listáját találjuk – ezek közül is takarítsunk ki minden szükségtelen, ismeretlen, illetve gyanús elemet.
Ahogy eddig korábban is minden lépésnél: Google-kereséssel győződjünk meg róla, hogy mire való az adott szoftver, és hogy van-e szükségünk rá, vagy esetleg egy másik szoftvernek, eszköznek van-e szüksége rá. (Pl. ha véletlenül eltávolítjuk a touchpad driverét, nem fog működni a touchpaden a kétujjas görgetés.)
Vírusirtó szoftver
Használjunk vírusirtó szoftvert, de ne az AVG-t, ne az Avastot, és ne is a McAfeet. Ezeket nem ajánljuk – az első kettőről kifejezetten az a tapasztalatunk, hogy több kárt okoznak, mint amennyi hasznuk van.
Amit ajánlunk, az a Panda vagy a Comodo, de a Windows beépített vírusirtója is elegendő.
Töltsük le pl. a Pandát, és futtassunk egy teljes rendszervizsgálatot a gépünkön, miután az előző lépésekben leírt takarításokat elvégeztük.
Tűzfal szoftver
A Windowsban van alapértelmezett beépített tűzfal, de ez kevés olyan funkcióval rendelkezik, ami egy ténylegesen biztonságos host gépen megfelelő lenne, például kevés eseményről értesít. Ha egy kártékony szoftver nyit egy backdoort a gépünkön (pl. a háttérben csatlakozik egy távoli szerverre, és adatokat küld rá), akkor erről nem feltétlenül lesz tudomásunk, ha csak a Windows beépített tűzfalát használjuk.
Amit ajánlani tudunk, az a GlassWire. Ez fizetős szoftver, azonban nem kifejezetten drága (kb. 10 000 forint körül van, ami egyszeri összeg), és ennek is van ingyenes próbaverziója.
A GlassWire-ral kiválóan lehet szabályozni a gépen folyó hálózati működést. Meg kell ismerni a szoftvert, és be kell hangolni (eleinte mindenért szólni fog, pl. a Google Chrome miatt is), de ha az összes ismert szoftvert engedjük, akkor később már csak az új szoftverek esetén fog szólni, és így még több esélyünk van rá, hogy felismerjük a gyanús hálózati tevékenységeket. A beállításai pedig exportálhatók és átvihetők egy új vagy másik rendszerre, megoszthatók ismerőssel.
MacOS rendszerre egy hasonlóan jó tűzfalszoftver a LittleSnitch.
Frissítések
Minden létező szoftverhez folyamatosan jönnek ki biztonsági rések, amelyeket a hackerek azonnal ki tudnak használni. Ha nincs kellően friss verzió mindenből, akkor előbb-utóbb áldozatául fogunk esni valamelyik automatizált támadásnak.
Ezért általánosan igaz minden informatikai eszközre, szoftverre (böngésző, operációs rendszer, telepített szoftverek, Android, iOS stb.) és hardverre is (pl. router!), hogy megfelelően frissen kell tartani őket.
A frissítéseket mindig telepítsük, amikor van időnk és gyors netünk, és semmiképp se kapcsoljuk ki az automatikus frissítéseket (vagy ha igen, akkor emlékezzünk rá, hogy kézzel mindig telepítgessük az új verziókat).
Ha egy szoftver valami miatt nem tud frissülni, akkor először is ellenőrizzük, hogy a tűzfalunk nem tiltja-e az adott szoftvert. Ha nem, akkor kézzel töltsük le a szoftver új verzióját, és telepítsük újra.
Vannak például olyan vírusok, amelyek vírusirtók telepítését teszik lehetetlenné. Ilyenkor az Autoruns segíthet.
Merevlemez-titkosítás
Ha nincs bekapcsolva a merevlemez titkosítása, és fizikai hozzáférést kap egy hozzáértő felhasználó, akkor percek alatt bejut a gépedbe, akármilyen erős is a jelszavunk. MacOS, Windows,és Linux esetén is nagyon könnyű jelszót feltörni, ha nincs titkosítva az a tároló, amin a rendszer található.
Windows esetén ezt a BitLocker bekapcsolásával lehet megoldani, MacOS esetén pedig a FileVault szolgáltatást kell engedélyezni a biztonsági beállításokban. Ez azt fogja eredményezni, hogy pl. a Windows bootoláskor egy extra jelszót kell megadnunk (amivel a merevlemez titkosítva van).
Összegezve:
- update-ek (mindenből mindenhol a legfrissebb, legújabb),
- biztonsági beállítások, jogosultságok (principle of least privilege),
- vírusirtó (egy elég, csak ne AVG, Avast… Helyette Windows Defender, Panda, Kaspersky, Avira, Comodo – ezeket tudom/merem ajánlani, de egyes security expertek szerint ezek önmagukban már nem érnek semmit),
- tűzfal (Windows: GlassWire, MacOS: LittleSnitch),
- merevlemez-titkosítás (Windows: Bitlocker, MacOS: FileVault).
A fentiek betartásával és az internet biztonságos használatával a biztonsági problémák legnagyobb része elkerülhető.