Lekce 7 - Nastavujeme operační systém - Soukromí a antivirový SW
V předchozí lekci, Nastavujeme operační systém - Uživatelé a přihlašování, jsme se dozvěděli, jak správně využívat zabezpečení na základě uživatelských účtů.
V dnešní lekci seriálu věnovaném kybernetické bezpečnosti dokončíme nastavení operačního systému kontrolou nastavení soukromí a pustíme se na téma software. V tutoriálu zmíníme antivirový software, zásady bezpečné práce při instalaci programů a jejich aktualizaci a ukážeme si, jak využít nastavení řízeného přístupu ke složkám k minimalizaci rizik.
Kontrola nastavení soukromí
Bezpečnostně kritickým hardwarem, který nás může špehovat, je vestavěná kamera a mikrofon počítače. Úplně nejbezpečnějším řešením je prostá krytka na kameru (případně černá izolační páska) a žvýkačka nalepená na otvor s mikrofonem Pokud ale z nějakého důvodu tyto tradiční anti-hackerská opatření používat nechceme, zkontrolujme alespoň v Nastavení Windows v položce Soukromí, které aplikace mají k těmto zařízením přístup.
Pokud mikrofon a/nebo kameru běžně nepoužíváme, silně doporučujeme je v systému deaktivovat úplně. Jednoduše hned první položku v seznamu Povolit aplikacím přístup ke kameře přepneme na Vypnuto (budeme k tomu potřebovat administrátorská práva).
Pokud kameru potřebujeme používat, zkontrolujme si, co zabírá (například spuštěním aplikace „Kamera“). Rozhodně by neměla zabírat třeba klávesnici, na které zadáváme hesla! Dále se podíváme, zda k ní mají povolený přístup pouze ty aplikace, ve kterých ji skutečně používáme. Je to ale jen řešení typu „lepší než nic“, protože tradiční desktopové aplikace tímto způsobem omezit nelze!
Ve stejném nastavení nalezneme i povolení přístupu k naší poloze či možnost nás identifikovat podle reklamního ID.
Dodatečný antivirový software
Antivirový (přesněji antimalwareový) software býval dříve oblíbeným a doporučovaným bezpečnostním opatřením pro Windows, i když toto řešení mělo vždy své příznivce i odpůrce. Osobně zastávám názor, že takové zabezpečení má být součástí operačního systému. Vyjma specifických případů mi tedy nepřijde vhodné použít dodatečný program třetí strany.
Výjimkou může být například komplexní řešení zabezpečení celé sítě, kde se ovšem nejedná o typická antivirová řešení, ale jde spíše o centrální monitorování pokusů o průnik nebo nestandardních, a tudíž podezřelých operací.
Jak zmíníme dále, můžeme nechat program prověřit externím antivirem.
V dnešní době je dilema použití antivirů už víceméně vyřešeno, protože takový software je začleněn do standardní výbavy Windows přímo Microsoftem a počáteční „dětské“ nemoci už má také za sebou. Jedná se o nástroj nazvaný Windows Defender. Najdeme ho v hlavní nabídce pod názvem „Zabezpečení Windows“. Jeho výchozí nastavení je poměrně rozumné, takže se ve většině případů omezíme jen na jeho kontrolu:
- V části Ochrana před viry a hrozbami můžeme spustit klasickou antivirovou kontrolu. My zde projdeme položky Nastavení ochrany před viry a hrozbami, kde nastavíme vše na Zapnuto. U Aktualizace ochrany před viry a hrozbami zkontrolujeme, zda zobrazuje aktuální datum. Řízenému přístupu ke složkám se budeme věnovat níže, stejnojmennou položku i nabídku Ochrana před ransomwarem tudíž zatím přeskočíme.
- Firewall a ochrana sítě by měl být zapnutý. Klikneme-li na
Povolit aplikaci v bráně firewall, otevřeme seznam aplikací, které
mohou skrze firewall posílat síťové požadavky. Z bezpečnostního hlediska
nás spíše zajímá, co na kterém portu skutečně naslouchá, což můžeme
zjistit v PowerShellu Windows přes příkaz:
netstat -a | findstr LISTENING
. Jedná se o téma, které vyžaduje trochu hlubší znalost síťové problematiky a přesahuje tak rámec našeho článku. - V nabídce Řízení aplikací a prohlížečů rozhodně zapněme Ochranu na základě reputace (filtr SmartScreen) pro vše.
Pokud neprovozujete aplikace jako jsou například programy na těžbu kryptoměn, zvolte i Blokování potenciálně nežádoucích aplikací.
Tím máme všechna běžná nastavení Windows Defenderu hotová. Pokud náš počítač disponuje bezpečnostním čipem TPM (Trusted Platform Module, přeloženým ve Windows do češtiny jako Procesor zabezpečení), nalezneme zde ještě jednu poměrně důležitou funkci Secure Boot.
Instalace programů
Nejdříve bychom si měli uvědomit, že spuštění jakéhokoli programu je bezpečnostně kritická operace obecně. Můžeme mít na disku celou sbírku nejrůznějšího škodlivého kódu, prohlížet si ho, upravovat, kompilovat a nic se nestane, dokud někdo nedá počítači příkaz, že ho má také vykonat – tj. spustit. A to úplně nejhorší, co můžeme udělat, je spustit ho navíc s právy administrátora. Což je přesně to, co se děje, když program instalujeme.
Proto je naprosto klíčové program dokonale prověřit, než se pustíme do jeho instalace. V zásadě jsou dvě možnosti, jak se takový škodlivý kód do programu může dostat:
- Autor programu ho tam začlenil úmyslně a celá aplikace je už za tímto účelem napsaná.
- Původní a zcela korektní aplikace je „nakažena“ přidaným škodlivým kódem.
V obou případech se nás pak útočník nějakým způsobem (typicky pomocí sociálního inženýrství) snaží přesvědčit, abychom ho spustili / nainstalovali. Nejčastěji ho pošle jako přílohu mailem nebo ho vystaví na stránkách imitujících originální stránky a aplikaci, zejména hry.
Tomuto tématu se budeme podrobněji věnovat ještě v lekcích o bezpečném používání elektronické pošty a prohlížeče.
Proto při instalaci dodržujeme následující zásady:
- Instalujeme pouze aplikace, které jsou běžně známé a používané, případně jsme si o nich něco předem zjistili. Pokud z nějakého důvodu (např. pro testování) potřebujeme instalovat i další aplikace, pořiďme si na to nejlépe zvláštní počítač nebo alespoň SandBox či VirtualBox (o jejich použití se něco dozvíme v závěrečných lekcích).
- Programy stahujeme pouze z důvěryhodných zdrojů, nejlépe z jejich oficiálních stránek. Že stránky patří skutečně tomu, kdo je tam uveden (autorovi či distributorovi daného software), poznáme z jejich certifikátu a nikoli vzhledu!
- Nikdy neuškodí, když si stažený soubor prověříme externím antivirem. Použít můžeme např. VirusTotal, který aplikaci prověří několika desítkami antivirů najednou. Soubor sem po stažení stačí jen přetáhnout přímo z prohlížeče. Běžně se odesílá pouze hash souboru, takže nás to ani nijak zvlášť nezdrží.
- Většina
.exe
a.msi
instalátorů už dnes obsahuje digitální podpis autora nebo distributora aplikace. Pokud by ho někdo změnil, podpis by už nesouhlasil. Windows nám ho zobrazí spolu se žádostí o potvrzení, že program skutečně chceme spustit. Zkontrolujme si, že skutečně odpovídá očekávané identitě autora, než spuštění potvrdíme.
Aktualizace
Stará programátorská poučka říká, že v každém programu je alespoň jedna chyba. To sice nemusí být úplně pravda, nicméně u složitějších programů pravděpodobnost výskytu chyby vzrůstá. Zejména to platí v případě, když se aplikace stále vyvíjí a přidávají se k ní nové a nové funkce. Proto je u většiny programů více než vhodné zajistit jejich aktualizaci v co nejkratším čase - často stačí zapnout automatické aktualizace přímo v nastavení konkrétního programu. Důležité to je hlavně u samotného operačního systému a dále u programů, které komunikují s internetem a/nebo interpretují cizí kód. Jako příklad zmiňme různé prohlížeče nebo programy z Office, které zase mohou interpretovat makra.
Řízený přístup ke složkám
Jak už jsme zmínili výše, v zabezpečení Windows pod označením Ochrana před ransomwarem nalezneme také Řízený přístup ke složkám. Po jeho aktivaci zde lze specifikovat tzv. chráněné složky, do kterých mohou přistupovat pouze povolené aplikace. To může pomoci, spustíme-li nedopatřením nějakou zavirovanou aplikaci. Naše data budou v chráněných složkách v bezpečí za předpokladu, že program nepoběží s právy administrátora. V opačném případě zaleží na tom, jak je daný virus chytrý na to, aby dokázal administrátorská práva využít.
Jedná se tedy o velmi účinný způsob ochrany našich dat, vlastně o jakýsi slabší odvar z vysoce zabezpečených systémů C3+, používajících pro zabezpečení zpravidla jádro SE Linux. V řízených složkách ale bohužel nemáme možnost řídit přístup k určitým typům souborů a rozlišovat alespoň práva pro read/write a samozřejmě speciální právo pro změnu typu souboru.
Doporučujeme tuto ochranu zapnout až poté, co si důkladně rozmyslíme, kam jednotlivé soubory budeme ukládat a které programy pro práci s nimi budeme používat. Počítejme také s tím, že nám Windows bude neustále při něčem překážet, (a navíc nám neumožní v danou chvíli intuitivně daný program přidat do oprávněných, než tento systém vychytáme.
V následujícím kvízu, Kvíz - Bezpečnost hesel a nastavení operačního systému, si vyzkoušíme nabyté zkušenosti z předchozích lekcí.