3 Разработка мероприятий по защите windows xp от троянских программ
3.1. Основные способы защиты операционной системы Windows XP от троянских программ.
ОС WINDOWS XP обладает встроенной системой безопасности, одним из компонентов которой является Брандмауэр.
Брандмауэр - это специальная программа (межсетевой экран), которая проверяет информацию, входящую в компьютер из локальной сети или Интернета, а затем либо отклоняет ее, либо пропускает в компьютер, в зависимости от параметров. Таким образом, брандмауэр помогает предотвратить атаки хакеров и вредоносных программ на компьютер.
Если на компьютере используются такие программы, как программа передачи мгновенных сообщений или сетевые игры, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр запрашивает пользователя о блокировании или разрешении подключения.
Если пользователь разрешает подключение, брандмауэр Windows создает исключение, чтобы не тревожить пользователя запросами, когда в будущем этой программе понадобятся данные.
В Microsoft Windows XP брандмауэр включен по умолчанию, то есть начинает работать сразу после установки системы.
Также операционная система и программное обеспечение Windows XP должны постоянно обновляться. Существует центр обновлений Windows - это услуга, предоставляемая Microsoft. Она обеспечивает обновления для операционных систем Microsoft Windows и его компонентов, включая Internet Explorer. Обновления предоставляются, когда эти обновления критические и необходимы во избежание эпидемий вируса. Центр обновления Windows можно настроить для автоматической установки обновлений, это гарантирует, что компьютер всегда будет иметь последние обновления и не будет подвержен уязвимости компьютерных червей и других вредоносных программ.
Контролируемый доступ к системе из сети. В Windows XP имеется встроенная функция системы безопасности, которая препятствует доступу злоумышленников, ограничивая права, предоставляемые пользователю, пытающемуся получить из сети доступ на ваш компьютер набором привилегий учетной записи "Гость".
Антивирусное программное обеспечение.
Антивирусные программы предназначены для защиты операционной системы от вредоносных программ, вирусов, троянов, червей и иногда даже от шпионских программ. Это вредоносное программное обеспечение может нанести значительный вред работе операционной системе компьютера. Антивирусное программное обеспечение защищает операционную систему от удаления файлов, от кражи персональных и конфиденциальных данных, от полного блокирования системы. Следовательно, выбор эффективной антивирусной программы является приоритетной задачей для защиты операционной системы.
Антивирусные программы проверяют файлы компьютера на наличие вирусов, червей и троянских программ. При обнаружении вредоносной программы антивирусная программа либо отправляет вирус в карантин (изолирует), либо полностью удаляет его до нанесения ущерба компьютеру и файлам.
Операционная система Windows XP не имеет встроенной антивирусной программы, но пользователь компьютера может самостоятельно выбрать и установить таковую. Так как новые вирусы обнаруживаются каждый день, очень важно использовать антивирусную программу с возможностью автоматического обновления. При обновлении программного обеспечения в список проверки добавляются новые вирусы, что защищает компьютер от новых атак. Устаревший список вирусов оставляет компьютер уязвимым для новых угроз.
Антитроянское программное обеспечение.
Наряду с антивирусными программами существуют и специализированные программы для борьбы с троянскими программами. Они называются антитроянскими программами.
Наиболее известными антитроянскими программами являются:
PC Door Guard;
Anti Trojan Elite;
Pest Patrol;
TrojanHunter;
Iparmor.
Рассмотрим основные функциональные особенности каждой из них.
Антитроянская программа «PC Door Guard».
Программа «PC Door Guard» предназначена для обнаружения и удаления компьютерных Win 32 вирусов типа Trojan,Back Door, Worm , Stealth (невидимые), Phantom (самовосстанавливающиеся), Script (VBS), Macro (word-exel) и других.
«PC Door Guard» проверяет на наличие вирусов память компьютера, файлы, системный реестр, системные области. Проверяются не только сами файлы, но и все "следы" жизнедеятельности вируса, точки запуска, системные процессы, окна (в том числе невидимые).
Мощный эвристический анализатор позволяет обнаружить практически все клоны, штаммы и мутации скрипт-вирусов, а также в некоторых случаях клоны вирусов у которых опубликованы исходники.
В состав программы входят: менеджер, сканер, средства раннего обнаружения вирусов (Monitor, Executor) и несколько диагностических утилит, позволяющих вручную самостоятельно выявить неизвестный вирус (Netstat, Sysinfo, File manager).
Программа определяет более 70000 вирусов и троянских программ, а также имеет возможность обнаружения их клонов и мутаций. Резидентный монитор постоянно проверяет запущенные процессы, изменения в реестре. Как только вы запустите вирус монитор немедленно остановит его процесс, предложит удалить вирус и восстановить все сделанные им изменения в реестре и системных файлах.
Сканер позволяет проверять диск целиком, выбранную директорию, или отдельный файл. Вы можете проверить файл или директорию непосредственно из проводника Windows, щелкнув в проводнике правой кнопкой мыши по обьекту и выбрав "Scan With PC DOOR GUARD". PC Door Guard (PDG) проверяет все распространенные типы архивов и самораспаковывающихся EXE файлов.
Цена: 29.95 USD
Резидентная программа «Anti Trojan Elite».
«Anti Trojan Elite» — программа для удаления всевозможных троянов, которая также поможет обезопасить работу на компьютере. Данная программа может сканировать, в поисках опасных файлов, жесткий диск или память ПК, обладает встроенным сетевым менеджером для мониторинга протоколов, имеет менеджер запущенных процессов, позволяет создавать резервные копии удаляемых файлов. Кроме того, в ней присутствует модуль оптимизации работы ПК и функция обновления программы через Интернет. Имеется поддержка работы со сжатыми файлами, защита реестра и т.д.
Цена: 39.95 USD
Программа для обнаружения троянских программ «Pest Patrol».
«Pest Patrol» - Один из самых мощных не антивирусов, а антитроянов - отлавливает всевозможные трояны. «Pest Patrol» может сканировать все файлы или только выбранные, включая запакованные в архивы. Он умеет проверять память на наличие в ней активных "паразитов", находит следы деятельности вредоносных программ в реестре и загрузочных областях, позволяет удалить любой обнаруженный троянский файл (а можно и не удалять, а поставить его на "карантин"), а также показывает уровень угрозы каждой обнаруженной "заразы".
Цена: 29.95 USD
Антитроянская программа «TrojanHunter».
«TrojanHunter» - программа для обеспечения безопасности работы. Имеется режим быстрого сканирования, продолжительностью менее минуты. С помощью этого режима можно провести «поверхностную» проверку системы, охватывающую лишь наиболее уязвимые и наиболее частые места расположения троянов. Помимо стандартных функций по защите и проверке системы, TrojanHunter имеет несколько дополнительных возможностей:
подробное дерево активных процессов с возможностью просмотра всех подключенных к исполняемому файлу библиотек; менеджер автозагрузки с возможностью сортировки по месту расположения (сервис, реестр, списки автозгрузки, ini-файлы и т.д.);
модуль мониторинга сетевой активности, модуль просмотра открытых окон, как скрытых, так и видимых;
MemString – модуль, позволяющий не только отображать активные процессы, но и просматривать их действия в области памяти.
Как и любая другая серьёзная программа, «TrojanHunter» имеет систему автоматического обновления и подробную помощь.
Цена: 39.00 USD
Антитроянская программа «Iparmor».
Iparmor – антитроянская программа, которая обнаруживает и удаляет известные и неизвестные трояны. После запуска проверяет память и, если заметит подозрительное приложение, немедленно отключает. Позволяет просматривать все активные процессы, активные порты, список программ загружаемых при запуске Windows.
Цена: 24.95 USD
3.2 Разработка методики тестирования антитроянского программного обеспечения.
На одной из рабочих станций данного предприятия, на свежеустановленной ОС Windows XP Professional SP2 будет проведено тестирование антитроянских программ на нахождение троянских программ. С помощью специальной программы резервного копирования с системного раздела диска будет сделан образ.
Затем будут доустанавливаться антитроянские программы и запущен поиск троянских программ, находящихся в тестовой коллекции троянских программ и записанной на CD-DVD диск.
3.3 Тестирование антитроянского программного обеспечения.
Для дальнейшего тестирования мной отобрано 5 антитроянских программ.
Перечень выбранных для тестирования антитроянских программ:
PC Door Guard;
Anti Trojan Elite;
Pest Patrol;
TrojanHunter;
Iparmor.
В тестовую коллекцию включены следующие троянские программы:
Trojan-Downloader.JS.Psyme;
Trojan-Downloader.JS.Remora;
Trojan-Downloader.JS.Agent;
DoS.JS.Dframe;
Trojan-Clicker.JS.Agent;
Trojan-Downloader.HTML.Agent;
Trojan.VBS.Qhost.
По окончанию поиска операционная система будет восстанавливаться из файла-образа, и на нее будет установлена новая антитроянская программа из списка, а сканирование тестовой коллекции будет проведено с привлечением вновь установленной антитроянской программы.
Тестирование антитроянских программ будет проводиться по четырем критериям:
по качеству поиска троянских программ;
по времени сканирования;
по стоимости;
по потреблению ресурсов ОС.
Результаты тестирования будут систематизироваться в таблице 3.1.
|
Потребление ресурсов ОС, % |
Время сканирования, сек |
Стоимость, USD |
Качество поиска, % |
PC Door Guard |
25 |
18 |
29,95 |
88 |
Anti-Trojan |
44 |
2 |
39,95 |
79 |
Pest patrol |
27 |
7 |
29,95 |
79 |
Trojan Hunter |
38 |
2 |
39 |
76 |
Iparmor |
26 |
5 |
24,95 |
56 |
Таблица 3.1 - Сравнительная характеристика антитроянских программ
Качество поиска троянских программ, %
%
Рисунок 3.1 - Качество поиска троянских программ
П
%
отребление ресурсов ОС, %
Рисунок 3.2 - Потребление ресурсов ОС при работе антитроянских программ
Стоимость, USD
$
Рисунок 3.3 - Стоимость антитроянских программ
Время сканирования, сек
сек
Рисунок 3.4 - Время сканирования
Результаты тестирования.
Наилучшие результаты тестирования показала программа PC Door Guard.
Она превосходит сравниваемые антитроянские программы по таким критериям тестирования:
наивысшее качество поиска троянских программ – 88%;
наименьшее потребление ресурсов ОС;
приемлемая цена.
Средние результаты показали антитроянские программы: Pest Patrol, Anti-Trojan и Trojan Hunter. Программы Anti-Trojan и Trojan Hunter показали приблизительно одинаковые результаты.
Наихудшие результаты показала антитроянская программа Iparmol. Качество поиска троянских программ составляет всего – 56%. Так как качество поиска является самым важным критерием тестирования, по результатам тестирования программа Iparmol не подходит для защиты данного предприятия.
Основываясь на результатах тестирования, мной принято решение использовать антитроянскую программу PC Door Guard для защиты АС данного предприятия от троянских программ.
3.4 Разработка мероприятий по защите ОС Windows XP от троянских программ.
3.4.1 Организационные мероприятия по защите информации на предприятии.
Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов и включать:
ограничение физического доступа к объектам обработки и хранения информации и реализацию режимных мер;
ограничение возможности перехвата информации вследствие существования физических полей;
ограничение доступа к информационным ресурсам и другим элементам системы обработки данных путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение "закладок";
проведение профилактических и других мер от внедрения троянских программ.
Для информационной безопасности предприятия важно, чтобы на предприятии строго соблюдались должностные инструкции, приказы и распоряжения, связанные с организацией труда, проводился инструктаж по техники безопасности предприятия.
К числу административных мероприятий по защите предприятия от троянских программ относятся:
создание политики информационной безопасности предприятия;
Политика безопасности предприятия – это совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации на предприятии.
В политике безопасности должны быть указаны ответственные лица за безопасность функционирования фирмы, полномочия и ответственность отделов и служб в отношении безопасности, организация пропускного режима, использование программно-технических средств защиты предприятия и т.д.[3]
разработка контроля над введением должностных инструкций сотрудников с учетом соблюдения требований политики безопасности;
разграничение доступа к информации;
Такой компонент, как разграничение доступа к информации, задается одним из важных элементов системы комплексной защиты информации. В основе ее построения лежит положение о том, что каждый из членов трудового коллектива должен обладать только теми сведениями, которые необходимы ему в силу выполняемых обязанностей. В этом случае только руководитель имеет доступ ко всем материалам, независимо от их важности.
запрет использования на предприятии неучтенного программного обеспечения и неучтенных съемных носителей.
3.4.2 Технические мероприятия по защите информации на предприятии.
а) Использование аппаратного межсетевого экрана (фаервола) для предотвращения распространения троянских программ из Глобальной сети.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также, сетевые экраны часто называют фильтрами, т.к. их основная задача — не пропускать (фильтровать) пакеты не подходящие под критерии, определенные в конфигурации.
б) Использование аппаратных генераторов одноразовых паролей для доступа к особо ценной информации.
Одноразовые пароли — это пароли, действительные только для одного сеанса аутентификации. Преимущество одноразового пароля по сравнению с обычным состоит в том, что одноразовый пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе.
Одноразовый пароль используются для аутентификации однократно, что значительно ослабляет риски, связанные с перехватом пароля. Учитывая, что человек не в состоянии запомнить необходимое количество одноразовых паролей, пользователю необходимо иметь при себе список таких паролей или используются специальные устройства для их генерации. Автономные генераторы одноразовых паролей не требуют подключения к компьютеру и установки дополнительного программного обеспечения и могут использоваться в любых операционных системах, а также при доступе к защищенным ресурсам с мобильных устройств и терминалов, не имеющих USB-разъема или устройства чтения смарт-карт.
3.4.3 Программные мероприятия по защите информации на предприятии.
а) Установка и использование антивирусных программ и антитроянских программ.
Обязательны установка и использование двух этих типов программ, так как использование одной из них не обеспечит необходимого уровня защищённости операционной системы. Так как не все антивирусные программы способны определить большое количество троянских программ.
б) Регулярное обновление операционной системы рабочих станций предприятия.
Корпорация Microsoft периодически выпускает специальные обновления безопасности, которые могут помочь защитить компьютер. Эти обновления могут предотвратить атаки троянских программ на компьютер, закрывая потенциально опасные точки входа. Необходимо убедиться, что Windows получает данные обновления, включив функцию автоматического обновления Windows.
в) Регулярное обновление сигнатурных баз антивирусного программного обеспечения, установленного на рабочих станциях предприятия.
г) Регулярное обновление сигнатурных баз антитроянского программного обеспечения.
д) Использование программного фаервола, в случае возможности использования аппаратного фаервола.
Использование аппаратного фаервола ограничивает сетевые возможности рабочих станций предприятия, так как настраиваемые параметры будут одинаковы для всех, а при использовании программного фаервола можно настраивать сетевые возможности отдельно каждой рабочей станции.
е) Резервное копирование особо важной информации предприятия.
Резервное копирование - процесс создания копии данных на носителе (жёстком диске.), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.
Резервное копирование необходимо для обеспечения возможности быстрого и недорогого восстановления информации (документов, программ, настроек и т.д.) в случае утери рабочей копии информации по какой-либо причине, в том числе при атаке троянскими программами.
ж) Сегментация жесткого диска.
Сегментация жесткого диска (разбивка диска на разделы) – процесс создания на диске разделов определенного размера для изоляции операционной системы и данных, изоляции разных операционных систем, организации отдельного хранилища для резервных копий или мультимедийного контента и т.п.
Разделение жесткого диска на части проводится с целью отделения критической информации от общедоступной информации.
з) Использование шифрования данных.
Шифрование — обратимое преобразование информации в целях сокрытия от неавторизованных лиц, с предоставлением, в это же время, авторизованным пользователям доступа к ней. Главным образом, шифрование служит задачей соблюдения конфиденциальности передаваемой информации. Важной особенностью любого алгоритма шифрования является использование ключа, который утверждает выбор конкретного преобразования из совокупности возможных для данного алгоритма.