Povećanje bezbednosti u Windowsu

Šta prosečan korisnik Windowsa može da učini kako bi smanjio rizik od infekcija raznim zloćudnim softverom i sprečio neke od smetnji koje ga mogu zadesiti tokom boravka na Mreži

(Autor karikature: Peđa Milićević)

Verujemo da su vam poznate osnovne prednosti širokopojasnih (broadband) veza ka Internetu. Međutim, ADSL, kablovska ili bežična veza omogućavaju korisnicima dugotrajnu, ako ne i konstantnu povezanost računara s Internetom što umnogome povećava postojeće rizike od narušavanja bezbednosti računara i podataka koji se na njemu nalaze.

Microsoftov Windows XP je najpopularniji operativni sistem među domaćim korisnicima računara. Međutim, prema mišljenju mnogih korisnika i stručnjaka, kao i prema ranijim i aktuelnim dešavanjima, Windows nažalost ne spada u sisteme koji se mogu okarakterisati kao bezbedni. Jedan od osnovnih razloga za to jeste njegova orijentacija ka komfornosti u radu na uštrb bezbednosti. Ipak, uz malo truda i pažnje Windows XP je moguće dovesti na dovoljan nivo sigurnosti, kako bi se sprečile mnoge neprijatnosti koje dolaze u vidu raznih zloćudnih programa (virusi, crvi, trojanci, edver, spajver i slično), žrtvujući pri tom deo komfora.

Prava pristupa i korisničke grupe

Osnovna uloga operativnog sistema je upravljanje resursima kojima računar raspolaže, a svaki moderan višekorisnički operativni sistem koji omogućava rad u bilo kakvom vidu računarske mreže podržava ograničavanje prava pristupa korisnika resursima računara. Pažljivo definisanje prava pristupa je ujedno i osnovni način postizanja traženog nivoa sigurnosti. Windows XP, u obe svoje verzije, podržava upravljanje pristupom resursima na ovaj način, kao i upravljanje vlasničkim odnosima i korisničkim grupama.

Princip prava pristupa krajnje je jednostavan. Administrator računara može da odredi ko i na koji način može pristupati određenim resursima. Windows XP podržava oko dvadeset osnovnih prava pristupa od kojih su neka vezana za resurse određene vrste (štampači, registarski ključevi i sl.). Radi lakše dodele, osnovna prava su organizovana u određene grupe kao što su Full Control, Modify, Write, Read i List Contents. Ove grupe predstavljaju skupove prava koja korisnicima omogućavaju određene vrste operacija nad resursima.

Poput prava pristupa, korisnici su takođe organizovani u grupe. Dve osnovne grupe koje postoje u Windowsu XP su Administrators i Users. Članstvo u ovim grupama može se odrediti kroz stavku User Accounts u Control Panelu, izborom željenog naloga i klikom na opciju Change the account type. Ponuđeni izbor je Computer administrator, koji odgovara grupi Administrators, i Limited, koji odgovara grupi Users. Iako postoji još predefinisanih korisničkih grupa, nama su najinteresantnije ove dve. Korisničke naloge koji su kreirani prilikom instalacije Windowsa XP treba premestiti u grupu Users.

Prava pristupa resursima mogu se dodeliti kako pojedinačnim korisnicima tako i grupama. Ovo se obično izvodi desnim klikom na željeni resurs i izborom opcije Security (može biti i Sharing & Security u nekim slučajevima) ili izborom opcije Properties praćene odabirom sekcije Security.

U dodeli prava pristupa koristi se sistem nasleđivanja tako da fajlovi imaju prava pristupa kao folderi u kojima se nalaze, a folderi koji se nalaze u korenu fajl-sistema imaju prava kao particija na kojoj se nalazi fajl-sistem. Ovaj lanac je moguće prekinuti na nekom folderu i započeti novi, što se izvodi klikom na dugme Advanced u sekciji Security i podešavanjem opcija Inherit form parent i Replace permission entries on all child objects.

Kako i kome dodeliti koja prava?

Kada su hard diskovi i fajl-sistemi u pitanju, pre svega moramo pomenuti da su prava pristupa pod Windowsom XP ograničena na fajl-sistem NTFS i na deljene resurse (čak i ako su na fajl-sistemu FAT32). Na sveže instaliranom Windowsu XP na svim fajl sistemima su određena prava pristupa za dve korisničke grupe i jednog do dva posebna korisnika. U pitanju su Administrators, Everyone, SYSTEM i CREATOR OWNER. Korisničkoj grupi Administrators, kao i korisnicima CREATOR OWNER i SYSTEM po pravilu je dodeljena grupa prava Full Control. Što se korisničke grupe Everyone tiče, preporučuje se njena zamena grupom Authenticated Users, što znači da će svako ko želi da pristupi nekom resursu morati da ima korisničko ime i lozinku. Takođe, preporučuje se da se korisničkoj grupi ANONYMOUS LOGON eksplicitno zabrane sva prava uključivanjem statusa Deny.

Što se foldera tiče, najveći broj „softverske gamadi” pokušava da se ugnezdi u neki od sistemskih foldera, posebno u folder System32 koji se nalazi u folderu Windows, kao i u folder Program Files. Zbog toga je poželjno zabraniti običnim korisnicima pravljenje novih fajlova u ovim direktorijumima time što bi im se dodelila samo grupa prava Read & Execute.

Ovo je ujedno i prvo smanjivanje komfora u radu s kojim se moramo pomiriti ukoliko želimo da „zabarikadiramo” Windows XP pošto oduzimanje prava za bilo kakav upis u ove foldere obično za posledicu ima nemogućnost korisnika da instalira dodatne programe, već to može da izvrši samo administrator. Srećom, pod Windowsom XP je unapred uključena mogućnost izvršavanja programa sa pravima pristupa drugog korisnika. Ovo se izvodi desnim klikom na program uz pritisnut taster ’Shift’ i izborom opcije Run As. U novootvorenom prozoru moguće je izvršiti program sa pravima trenutnog korisnika uz sprečavanje programa da ošteti sistem, ali je moguće i odrediti korisničko ime drugog korisnika (obično administratora) i ukucati njegovu lozinku. Ukoliko iz nekog razloga program odbija da se instalira, korišćenjem opcije Run As je iz Control Panela moguće pokrenuti User Accounts i sebi promeniti status u Computer Administrator. Ovo zahteva odjavljivanje i ponovno prijavljivanje na računar, ali omogućava instaliranje programa. Takođe, ne treba zaboraviti da se po obavljenom poslu valja ponovo vratiti na status Limited.

Particije, folderi i pojedinačni fajlovi mogu da se dele putem mreže, što je uobičajena pojava u lokalnim mrežama. Prava pristupa deljenim resursima se regulišu klikom na dugme Permissions u sekciji Sharing. Kao i kod NTFS-a, i ovde važi preporuka da se grupa Everyone zameni grupom Authenticated Users, nakon čega joj se, po potrebi, mogu dati sva prava pristupa. Takođe, grupi ANONYMOUS LOGON treba eksplicitno zabraniti sav pristup.

Za razliku od prava pristupa kod NTFS-a koja se sabiraju, prava pristupa deljenim resursima se oduzimaju tako da korisnik koji pristupa deljenom resursu preko mreže ima skup prava koji predstavlja presek skupa prava koja su dodeljena njegovom lokalnom nalogu i prava koja su definisana na deljenom resursu.

Sistemski registar

Sistemski registar (Registry) jeste baza podataka u kojoj su smešteni praktično svi podaci vezani za rad operativnog sistema, počev od spiskova instaliranih programa i uređaja, pa do posebnih parametara koji upravljaju radom hardvera i spiska programa koji se izvršavaju pri pokretanju. Između ostalog, u registru se nalazi i spisak programa koji se izvršavaju pri startovanju računara, kao i pri prijavljivanju korisnika na računar.

Kada se govori o bezbednosti registra, pre svega se misli na sprečavanje nepoželjnih upisa u sistemski registar. Windows XP nudi sistem kontrole pristupa registru koji je gotovo identičan onom već viđenom na NTFS-u. Dozvole se mogu dodeljivati na nivou pojedinačnih ključeva, a takođe se koristi sistem nasleđivanja tako da svaki ključ može imati definisana prava pristupa kao i osnovni ključ u grani.

Podešavanjima prava pristupa za registarske ključeve se pristupa iz programa regedit ili regedt32, i to desnim klikom na željeni ključ i izborom opcije Permissions. Prava pristupa koja mogu da se dodele korisnicima uglavnom su slična onima koja važe na NTFS-u, uz nekoliko izuzetaka koji u principu nisu bitni za ovu temu.

Posebno interesantni ključevi u registru su oni koji u imenu imaju Run, mogu se naći u granama HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER i HKEY_USERS, a put do njih je Software/Microsoft/Windows/Current Version. Oduzimanjem prava upisa u ove ključeve grupi Users sprečava se startovanje zloćudnog softvera pri pokretanju Windowsa i prijavljivanju korisnika.

Generalno, preporučuje se da se korisnicima zabrani bilo kakvo menjanje registra, a pogotovo dodavanje novih ključeva. Međutim, kao i u prethodnom slučaju, ovo predstavlja žrtvovanje komfora u radu i može da dovede do nemogućnosti instaliranja nekih programa. Rešenje je isto kao i u prethodnom slučaju – privremena dodela administratorskog statusa.

Lozinke i korisnički nalozi

Ključ uspešne eksploatacije sigurnosnih propusta u operativnom sistemu su u najvećem broju slučajeva propusti pri korišćenju lozinki i dodeli korisničkih prava. U toku instalacije Windowsa, korisnik ima mogućnost da dodeli lozinku za administratorski nalog, kao i da kreira nekoliko korisničkih naloga. Osnovni problem koji nastaje u ovim koracima jeste to što instalacioni program dozvoljava korisniku da ne unese administratorsku lozinku, čime doslovce ostavlja pozivnicu zlonamernim korisnicima Interneta da izvršavaju napade na njegov računar. Takođe, korisnički nalozi koji se kreiraju pri instalaciji imaju status administratora, što im garantuje potpun i neprikosnoven pristup svim delovima sistema, dok se prilikom njihovog pravljenja ne zahteva definisanje lozinki.

Lozinke postoje da bi se koristile i to bi trebalo da bude dovoljan razlog za njihovu upotrebu. Međutim, postoji i jedan primer koji posebno ilustruje njihov značaj. Hteli ne hteli, svaka particija na hard diskovima u računaru se deli na mreži, i to na poseban, administratorski način kojim je obezbeđen pun pristup. Ukoliko želite da vidite kako je izvršena ova podela, morate prvo da isključite Simple file sharing, što se može uraditi iz Explorera. Otvorite My Computer, kliknite na Tools, pa na Folder Options i izaberite sekciju View. Na kraju liste se nalazi opcija s imenom Use simple file sharing koju treba isključiti (iako se preporučuje da bude uključena, ona značajno smanjuje kontrolu korisnika nad deljenim fajlovima i folderima). Nakon toga desnim klikom na particiju i izborom opcije Sharing and Security možete pogledati kako je ona deljena. U novom prozoru se može primetiti da na datoj particiji (npr. particija „C”) već postoji jedno definisano deljenje koje se zove „C$”, a koje predstavlja pomenuto administratorsko deljenje. Ukoliko nije definisana dobra administratorska lozinka, svaki korisnik Interneta koji sazna vašu IP adresu (što nije teško jer je IP adresa u principu javni podatak) može da ima neograničen pristup podacima na vašim hard diskovima jednostavnim ukucavanjem \\ip_adresa\C$ (za particiju „C”) i unosom korisničkog imena Administrator bez lozinke.

Gornji primer u dovoljnoj meri ilustruje potrebu za postojanjem administratorske lozinke. Ali, kako administratorske privilegije koje imaju ostali korisnici mogu uticati na narušavanje bezbednosti? Sasvim jednostavno: ako neko zna vaše korisničko ime, može uspešno da izvrši goreopisani napad. Takođe, ukoliko imate administratorske privilegije i koristite programe u kojima postoje sigurnosni propusti putem kojih se na vaš hard disk mogu upisati fajlovi i dodati vrednosti u sistemske registre, vaša neograničena prava pristupa će omogućiti raznoj softverskoj gamadi da se zapati na vašem računaru. Ovo može da se spreči oduzimanjem administratorskog statusa i pažljivom dodelom prava pristupa particijama, folderima i fajlovima.

Browser i e-mail klijent

Svi pokušaji da se lokalni računar obezbedi primenom korisničkih prava mogu pasti u vodu ukoliko korisnici ne vode računa o tome šta rade. Najčešći uzrok infekcije zloćudnim softverom jeste pokretanje sumnjivih programa od strane korisnika (najčešće putem e-maila), kao i pristupanje sajtovima koji koriste sigurnosne propuste u browserima. Ovo može da se desi i potpuno slučajno, bez znanja korisnika, tako da je neophodno podesiti programe koji se koriste za pristup Web sadržajima i e-mailu da ne izvršavaju „na svoju ruku” pojedine program(čić)e koji se nalaze na sajtovima. U ove programe spadaju ActiveX kontrole, kao i programi pisani u Javi i Javascriptu. Takođe, preporučuje se da se za surfovanje i e-mail ne koriste programi koji dolaze uz Windows XP. Što se tiče browsera, neke alternative opisali smo u ovom broju.

Ažuriranje sistemskog softvera

Bitan korak u održavanju sigurnosti Windowsa XP jeste redovna primena sigurnosnih zakrpa koje Microsoft objavljuje na sajtu http://windowsupdate.microsoft.com. Windows XP ima veoma jednostavan sistem automatskog ažuriranja koji se automatski uključuje ukoliko je instaliran drugi servisni paket (Service Pack 2), a rad ovog servisa možete podesiti iz Control Panela kroz stavku Automatic Updates. Moguće opcije su automatsko skidanje i instaliranje zakrpa, isključivanje ovog sistema, kao i dve varijante interaktivne instalacije: automatsko skidanje zakrpa i njihova instalacija na zahtev administratora i obaveštavanje o postojanju zakrpa kako bi ih administrator sam skinuo i instalirao. Veličina ovih zakrpa se obično kreće od nekoliko desetina kilobajta do više megabajta, a ponekad i desetina megabajta, što ih čini pogodnim za skidanje preko širokopojasne veze.

Dodatni hardver i softver

Da bi se korisnik povezao na Internet putem širokopojasne veze, mora da koristi uređaj koji će vršiti funkciju modema. Ovaj uređaj se može sastojati samo od modema, ali može u sebi da sadrži i ruter. Prvenstvena uloga rutera jeste da preusmerava saobraćaj između različitih mreža, a najčešća situacija u kojoj se ruteri koriste jeste povezivanje računara lokalne mreže s Internetom. Kako ovi uređaji nisu skupi, a mnogi provajderi nude i iznajmljivanje rutera po prilično niskoj ceni, ovi uređaji se mogu iskoristiti i za dodatno obezbeđivanje lokalnih računara pri povezivanju s Internetom.

Gotovo svaki ruter nudi jednu mogućnost koja lokalnu mrežu (makar se ona sastojala od samo jednog računara) može učiniti nevidljivom za spoljašnji svet. Ona se zove NAT (Network Address Translation) i njeno korišćenje je često neophodno kada se preko jednog linka povezuje više računara. NAT omogućava da se cela lokalna mreža „vidi” preko adrese rutera. Ovo znači da se svako ko s Interneta pokušava da se poveže s nekim računarom u lokalnoj mreži zapravo povezuje sa ruterom. Pošto su lokalni računari sakriveni iza rutera, potencijalni napadač ne može da im pristupi, pa samim tim ni da ugrozi njihovu bezbednost.

Pored NAT-a, ruteri nude i funkcije mrežne barijere (firewall). Svrha mrežne barijere je da filtrira komunikaciju preko Internet protokola, omogućavajući prolaz samo željenom saobraćaju, dok se ostali saobraćaj blokira. Na ovaj način je moguće zabraniti prilaz lokalnoj mreži s Interneta. Ukoliko ne želite da koristite ruter, pod Windowsom XP možete koristiti i neki od softverskih rutera. Posebnu pažnju treba obratiti na firewall koji se isporučuje uz Servis Pack 2. Iako Microsoft preporučuje njegovu upotrebu, ovaj firewall nema sve potrebne funkcije tako da ne nudi dovoljan nivo sigurnosti i treba ga izbegavati. Postoje mnogi drugi softverski firewallovi od kojih neki nude dovoljnu funkcionalnost i u besplatnim varijantama, a jedan od najpopularnijih je Kerio Personal Firewall. Mnogi od ovih programa nude i filtriranje sadržaja koji se prikazuje u browseru tako da mogu da spreče prikazivanje nervirajućih oglasa, kao i automatsko instaliranje nepoželjnih programa.

Kao poslednji korak u odbrani od softverske gamadi, koriste se antivirusni programi. Oni obično nude usluge proveravanja programa pri startovanju, kao i proveru sadržaja e-mail poruka prilikom njihovog preuzimanja. Bez obzira na to koji antivirusni program koristite, najvažnije je redovno ažurirati bazu na osnovu koje se vrši prepoznavanje virusa. Ukoliko se ažuriranje baze obavlja redovno, ne predstavlja obiman posao i sasvim je podnošljivo čak i kada korisnik pristupa Internetu preko Dial-Up veze tako da realno ne postoji nijedan razlog da se ova mogućnost ne koristi. Preporučeni period ažuriranja baze je jedan dan ili manje.

• • •

Kada se govori o bezbednosti podataka, osnovno što se mora uzeti u obzir jeste činjenica da bezbednost nije neko stanje koje se postiže, već proces koji traje. Najviše sigurnosnih problema koji se javljaju u računarskim mrežama potiču pre svega od samih korisnika. Objašnjenja i preporuke u ovom tekstu predstavljaju samo osnovu za postizanje dovoljnog nivoa bezbednosti pri boravku na Internetu. Detaljnija objašnjenja, kao i dodatne metode zaštite treba tražiti u tehničkoj dokumentaciji, kao i na sajtovima posvećenim ovoj tematici.

Bojan ŽIVKOVIĆ