Przewodnik po zabezpieczaniu komputera: obalamy najpopularniejsze mity

Systemy z rodziny Windows w pewnych kręgach mają opinię niezbyt bezpiecznych. Pracowały na nią dziarsko przez wiele długich lat, aczkolwiek dziś nie jest to opinia szczególnie uzasadniona.

Windowsy są masowo używane w firmach i komputerach domowych, a świat jeszcze stoi. Większość wystarczających mechanizmów zabezpieczeń jest od dawna dostępna w domyślnych instalacjach, a specjalizowane wersje przeznaczone na serwery aplikacyjne z powodzeniem dźwigają wymagające obciążenie ruchem w niebezpiecznych środowiskach internetowych.

Niestety, bardzo trudno jest przełamać złą prasę i lata przyzwyczajeń i negatywne opinie na temat Windowsów stały się dla wielu ludzi niepodważalnym dogmatem religijnym, podsycanym (zwłaszcza u użytkowników innych systemów) przez sensacyjne informacje prasowe o kolejnych problemach z Windows 10, zazwyczaj żenujących, acz marginalnych.

Zabezpieczanie stacji roboczych w środowisku korporacyjnym sterowanym domeną Active Directory to zupełnie inna historia w zestawieniu z zabezpieczaniem komputerów osobistych w domowym użytku biurkowym. Wynika to nie tylko z odmiennych narzędzi (choć wiele z tych "korporacyjnych" niewiele tak naprawdę robi...), ale także z innej definicji celu. Bo co to znaczy "bezpieczny komputer"?

Odporność na wirusy i włamania to jedynie skromny podzbiór zabezpieczeń, które należy wprowadzać w firmach. Wiele z nich nie ma sensu na komputerach osobistych. Inne jest też zarządzanie ryzykiem. "Skompromitowaną" maszynę można błyskawicznie zreinstalować przez sieć, a pracownika kopnąć, ale w scenariuszu domowym nie zwolnimy samych siebie, a w dodatku jeszcze będziemy musieli siedzieć z pendrivem i instalować system ręcznie.

Zajmiemy się więc procesem zabezpieczenia komputera z perspektywy użytkownika domowego. Bardzo chętnie podyskutuję na temat Active Directory i projektowania modelu zagrożeń dla stacji roboczych, ale wykracza to dalece poza zakres zainteresowań (a raczej poszukiwań!) czytelników i ramy objętościowe niniejszej publikacji. Możemy na ten temat porozmawiać na HotZlocie, a o punktowych wątpliwościach – dyskutować na forum, do czego zachęcam. Wróćmy tymczasem do naszych stacji roboczych.

Zacznijmy od szybkiego rozprawienia się z najpopularniejszymi mitami. Przede wszystkim – od antywirusów. Wbrew wielu opiniom, oprogramowanie antywirusowe nie jest bowiem lekiem na całe zło. Zeszłoroczne fale kolejnych kampanii ze złośliwym oprogramowaniem wielokrotnie i bez wyjątku udowadniały, jak bezradna jest większość antywirusów w walce z nowymi zagrożeniami. Odpowiednie definicje pojawiały się zazwyczaj kilka dni po zakończeniu kampanii, nierzadko dobre kilka godzin po unieszkodliwieniu serwerów sterujących kampanią.

Dlatego przed instalacją oprogramowania antywirusowego należy się dwa razy zastanowić. Powodów jest wiele. Po pierwsze, rok 2020 to nie 1999, gdy system koniecznie należało suplementować zbiorem niezbędnego oprogramowania, ponieważ wbudowane komponenty były kiepskie lub nieistniejące. Systemowy Windows Defender, mimo burzliwej historii, jest bardzo dobrym oprogramowaniem, które w dodatku dobrze integruje się z systemem. W kolejnych częściach zajmiemy się jego dokładniejszą konfiguracją, celem zmaksymalizowania skuteczności.

Być może jednak ktoś nie ufa mechanizmom wykrywania zagrożeń oferowanym przez Microsoft. Ma do tego prawo. Warto wtedy pamiętać, że skuteczne oprogramowanie antywirusowe musi się instalować w systemie jako sterownik o wysokich uprawnieniach. Wtedy zamiast jednego "punktu nieufności" mamy do czynienia z dwoma. Wbudowane mechanizmy ochrony muszą zostać rozbrojone, by dopuścić do nich oprogramowanie firmy trzeciej. Nie jest to jednoznacznie chwalebne podejście.

Drugim popularnym mitem jest wiara w zaporę internetową (firewall). Uchodzi ona za absolutne minimum z zestawu oprogramowania zabezpieczającego, ma bowiem chronić przed bliżej nieokreślonymi "atakami z internetu". Dobrze. Wyjaśnijmy więc pokrótce, jak działa zapora i co tak naprawdę blokuje. Ignorując przy okazji wszelkie potencjalne głosy purystów, sugerujących że poniższy opis jest niekompletny. Nie jest.

Zapora filtruje przychodzące pakiety (ruch sieciowy) i "dopuszcza" jedynie te, które pasują do wzorca. Ale co to znaczy "dopuszcza"? Chodzi tu o umożliwienie odpowiedzi. Gdy na porcie docelowym nic nie słucha, odpowiedzią w komputerze bez zapory będzie informacja o odrzuceniu połączenia. Komputer za zaporą nie odpowie niczym, w idealnych okolicznościach zachowując się tak, jakby po drugiej stronie kabla nie było nic. Jeżeli jednak na porcie docelowym słucha jakaś usługa, zapora sprawdza, czy nadawca pakietu znajduje się na liście upoważnionych. Jeżeli nie, komputer w odpowiedzi również milczy.

Wyobraźmy sobie zatem dwa scenariusze. Komputer, na którym nie słucha żadna usługa, oraz komputer znajdujący się za routerem zainstalowanym przez dostawcę łącza internetowego. W pierwszym przypadku wszelkie próby połączenia zakończą się niepowodzeniem. Nie ma więc (teoretycznie) znaczenia, że na komputerze nie ma zapory: nie istnieje żadna usługa oferująca zdalny dostęp, więc nie ma to znaczenia.

Podobnie w drugim przypadku. Zapora sieciowa będzie filtrować tylko ruch lokalny (domowy), bowiem połączenia przychodzące będą tak naprawdę połączeniami przychodzącymi... do routera. Tylko połączenia wychodzące, uprzednio zainicjalizowane przez komputer za routerem, są źródłem dwukierunkowej komunikacji ze światem. A filtrowanie ruchu wychodzącego najlepiej ogarnąć w sposób pośredni, kontrolując zainstalowane oprogramowanie. Pilnowanie i analiza ruchu wychodzącego to cięższy kaliber, niekoniecznie potrzebny na zwyczajnych stacjach roboczych. Czy domowe routery są niepenetrowalne? Nie są. Ale warto mieć świadomość tego, co filtrujemy. Przyda nam się ona podczas dyskusji o systemowej zaporze.

Z Windowsami jednak, jak zwykle, nie jest tak łatwo. System zawsze zawiera jakieś słuchające usługi, ponieważ są one niezbędne do jego funkcjonowania. Dlatego zaporę należy pozostawić włączoną, podobnie jak usługę szacowania lokalizacji sieciowej. W zależności od tego, do jakiej sieci jesteśmy podłączeni, zastosuje ona różne rodzaje restrykcji dostępu. Gdy nasz laptop nagle połączy się z publicznym niezaufanym Wi-Fi, Windows zablokuje usługi udostępniania plików i narzędzia przeszukiwania sieci w postaci urządeń PNP. O jego obecności w sieci będzie wiedzieć tylko router... o ile nie mamy zainstalowanego innego oprogramowania, które za wszelką cenę usiłuje propagować swoją dostępność w sieci. Ale to inna sprawa.

Niemniej, domyślne ustawienia systemu, w postaci włączonego Defendera oraz Zapory, są rozsądne i nie należy owych elementów wyłączać. Co więcej, ustawienia w przypadku oprogramowania antywirusowego są całkiem mocne, a system chroni przed ich modyfikacją. Dlatego domyślnie jesteśmy zapisani do SpyNetu (MAPS), mamy ustawione periodyczne skanowanie oraz domyślne podejmowanie akcji dla znalezionych zagrożeń. To niezły zestaw. Zajmiemy się nim już wkrótce.

• Najczęściej przytaczane narzędzie do cyfrowej ochrony, antywirus, nie jest kluczowym ani bezbłędnie skutecznym rozwiązaniem, co pokazały zeszłoroczne kampanie trojanów
• Windows jest zaopatrzony w oprogramowanie antywirusowe o niepomijalnej skuteczności, a jego zaletą jest pochodzenie z tego samego źródła co system. Należy brać to pod uwagę podczas wyboru rozwiązania
• Zapora sieciowa (firewall) chroni przed niechcianymi połączeniami, ale dużą rolę w odseparowaniu komputera od prób połączeń pełni architektura sieci, czyli np. obecność routera

Wiemy już czemu nie należy bezgranicznie ufać. To jednak nie koniec informatycznych mitów. W kolejnej części – aktualizacje!

Niniejszy tekst jest pierwszą częścią serii o zabezpieczeniu komputera, poświęconej sprzętowi, systemom operacyjnym i oprogramowaniu.