Захист від шифрувальників
Простий, але надійний спосіб захистити свій комп'ютер від вірусів і троянів, і шпигунських програм - зловредів.
Більшість зловредів не є повністю самостійними програмами, а отримують команди з мережі інтернет і надсилають туди вкрадену інформацію. Так само, найчастіше, зараження комп'ютера відбувається у 2 етапи: на першому етапі запускається лише порівняно нешкідлива програма downloader, а вже потім вона завантажує та встановлює повноцінний вірус чи троян.
Перший етап зараження досить простий і одночасно дієвий, як правило, користувачеві на пошту приходить лист, що містить посилання, перейшовши по ній користувач завантажує собі на комп'ютер завантажувач, який згодом встановлює повноцінний вірус. Далі в залежності від типу вірусу, є кілька сценаріїв розвитку подій, зловред може зашифрувати ваші файли і вимагати оплати для їх розшифровки, або робити скріншоти робочого столу і відправляти зловмиснику, будь-який з цих варіантів матиме плачевні наслідки для кінцевого користувача. Виникає питання як захистити свій комп'ютер, якщо програма-завантажувач вже є на жорсткому диску.
Дотримуючись простої логіки, якщо заборонити за промовчанням доступ у мережу всім програмам встановленим на комп'ютері, а дозволити тільки тим, які викликають довіру і потрібні вам для роботи, це значно підвищить безпеку вашої роботи.
Як це можна зробити
Якщо ви не користуєтеся комп'ютером великої компанії, де весь трафік у мережу інтернет перевіряється корпоративними антивірусами з використанням баз вірусів різних постачальників антивірусних рішень та строгим списком клієнтських додатків, які мають права на доступ в інтернет, то найпростішим способом я єналаштування локального файрвола.
Який файрвол вибрати
Що ж робити? Для користувачів операційних систем Мікрософт відповідь досить проста, обравши цю операційну систему, користувач вже 100% довірився корпорації і якщо Мікрософт шпигує за користувачем то використання ще однієї програми вже ніяк не вплине на цей процес.
Налаштування вбудованого windows файрвола
За замовчуванням в налаштуваннях вбудованого файрволу дозволено доступ до інтернету всьому вихідному трафіку, відповідно будь-яка програма встановлена на вашому комп'ютері може надсилати в інтернет будь-які відомості. Як було сказано раніше, ідея нашої статті проста – дозволити вихід в Інтернет лише тим додаткам, яким ми довіряємо, а всім іншим – заборонити.
На прикладі вбудованого Windows Firewall керування може здійснюватися через графічну оболонку GUI або через командний рядок. Для того щоб заборонити весь вихідний та вхідний трафік потрібно виконати команду:
Set-NetFirewallProfile -all -DefaultInboundAction Block -DefaultOutboundAction Block
Виглядає це так:
1. Відкриваємо оснащення Windows Firewall with Advanced Security і на головній сторінці дивимося активний профіль.
2. Далі у вікні Actions вибираємо Properties
3.У діалоговому вікні навпроти Inbound і Outbound connections - Block.
Заборонивши весь вхідний та вихідний трафік зробимо низку винятків для потрібних програм.
Яким програмам потрібен доступ до інтернету
Як правило, найбільш популярними програмами є браузери.
Тому їх дозволимо в першу чергу, наведені нижче команди за допомогою яких створюються винятки у файрволі, для роботи таких браузерів як: Internet Explorer, Mozilla FireFox, Chrome. Будь-який іншийбраузер буде додаватися точно таким же способом, єдина відмінність може бути в дорозі до ярлика програми.
netsh advfirewall firewall add rule name="Internet Explorer" dir=out action=allow program="%ProgramFiles% (x86)\Internet Explorer\iexplore.exe" enable=yes
netsh advfirewall firewall add rule name="Mozilla Firefox" dir=out action=allow program="%ProgramFiles% (x86)\Mozilla Firefox\firefox.exe" enable=yes
netsh advfirewall firewall add rule name="Chrome" dir=out action=allow program="%ProgramFiles% (x86)\Google\Chrome\Application\chrome.exe" enable=yes
Для стабільної роботи веб-браузерів необхідно підтримувати їх актуальні версії, для цього зробимо окремі винятки для оновлень, приклади команд наведені нижче:
netsh advfirewall firewall add rule name="Chrome Update" dir=out action=allow program="%ProgramFiles% (x86)\Google\Update\GoogleUpdate.exe" enable=yes
netsh advfirewall firewall add rule name="Mozilla Firefox Updater" dir=out action=allow program="%ProgramFiles% (x86)\Mozilla Firefox\updater.exe" enable=yes
Так як браузер Internet Explorer поставляється разом з операційною системою, то дозволимо оновлення для операційної системи командами:
netsh advfirewall firewall add rule name="SVCHOST" dir=out action=allow program="%SystemRoot%\System32\svchost.exe" enable=yes
netsh advfirewall firewall add rule name="WUAC" dir=out action=allow program="%SystemRoot%\System32\wuauclt.exe" enable=yes
За аналогією з правилами вказаними вище зробимо винятки для інших потрібних для роботи програм, наприклад: Skype, Outlook
netsh advfirewall firewall add rule name="Skype" dir=out action=allow program="%ProgramFiles% (x86)\Skype\Phone\Skype.exe" enable=yes
netsh advfirewall firewalladd rule name="Outlook" dir=out action=allow program="%ProgramFiles%\Microsoft Office\Office15\OUTLOOK.EXE" enable=yes
Для зручності всі команди можна оформити як Powershell скрипта. Для цього створіть текстовий документ та впишіть усі необхідні команди, кожну команду вказуйте з нового рядка. Після додавання команд збережіть документ з розширенням .ps1
Для запуску скрипту запустіть від імені адміністратора Powershell і дозвольте виконання сценаріїв командою - Set-ExecutionPolicy Unrestricted –force
Після виконання команди переходимо в папку, в якій лежить скрипт і запускаємо його, приклад показаний нижче.
Після того, як скрипт успішно виконався, додані правила будуть відображатися у файрволі, як на скріншоті нижче.
Проблеми та незручності
Підвищення рівня безпеки спричиняє низку незручностей, на яких варто загострити увагу.
Якщо вже є існуючі правила, то загальна заборона не заборонить виконання конкретного правила.
Не кожен сервіс має очевидний виконуваний файл, який можна легко знайти або відстежити, навіть часто виникає ситуація, коли один виконуваний файл запускає інший і так по ланцюжку, в такому випадку визначити якому конкретно файлу потрібен доступ проблематично, навіть використовуючи спеціалізовані утиліти на кшталт: Process Explorer або Network Monitor. Прикладом може бути служба Windows SmartScreen, яка зачіпає у своїй роботі і провідник, і веб-браузер.
Дозволяючи доступ окремим програмам ми робимо винятку для певного протоколу, лише дозволяємо повний доступ для виконуваного файлу програми, як наслідок робота службових протоколів буде обмежена і потребує окремих дозволяючих правилах.
Розібравшись уВинятки ми отримаємо більш повний і комплексний варіант захисту ПК.