| Sicurezza in Windows XP
Sul web si sprecano le guide che parlano di questo tema, tuttavia, voglio qui riassumere i principali punti da seguire per avere un minimo di sicurezza sul proprio PC.
1° PASSO
La prima cosa da fare è di visualizzare l’account nascosto Administrator ed impostargli una password; per fare questo, apriamo regedit da start->esegui
ed editiamo la seguente chiave di registro:
HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows NT |
CurrentVersion | Winlogon | SpecialAccounts | UserList |
Tasto destro in uno spazio vuoto del pannello di destra, selezionare
"Nuovo" > "Valore DWORD",
rinominarlo "Administrator" ed assegnargli valore 1.
Chiudere il registro e riavviare il sistema.
A questo punto alla scelta dell’utente dovreste visualizzare questo account, che poi sarebbe quello che utilizziamo quando il sistema va in ripristino!
Adesso andiamo in Pannello di controllo->Account Utente
Clicchiamo su Administrator ed impostiamo una password che non sia banale, e la conserviamo in un posto sicuro, ma non troppo da dimenticarci dove l’abbiamo messa!
Password che rendono la vita difficile ai maleintenzionati sono:
$pRova123$
mYpa$$w0rd ecc…
L’importante che ci siano numeri, caratteri speciali, maiuscole e minuscole ecc…
2° PASSO: chiudere le porte
Dopodichè bisogna chiudere quelle porte che anche con certi firewall sono difficili da chiudere. A questo scopo esiste un programma chiamato WWDC che scaricate da internet che permette di chiudere quelle porte che usa winxp ma che sono piene di falle sulla sicurezza che conviene che stiano ben chiuse!
Per quanto riguarda i firewall essi devono permettere solo ed esclusivamente il traffico necessario alle nostre attività e niente di più.
Il browser deve comunicare solo sulla porta 80 o 8080
Il client di posta sulle porte 25, 110, ed eventualmente le porte SNTP che il vostro provider di posta elettronica prevede!
Per gli altri sta al vostro buon senso, se una calcolatrice vuole accedere alla rete è evidente che dovreste bloccarla.
Se siete connessi ma non avete nessun programma in esecuzione, e lecito aspettarsi che i computerini della connessione nella systray devono essere spenti. Se invece vedete che nonostante avete tutto chiuso il pc scambia informazioni con la rete dovete cercare di capire cosa succede (potrebbero essere degli aggiornamenti di qualche programma, a anche degli spyware!)
Aprite il prompt dei comandi. digitate
netstat –ano
Doverebbe spuntarvi una cosa del genere:
Proto Indirizzo locale Indirizzo esterno Stato PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 704
TCP 0.0.0.0:990 0.0.0.0:0 LISTENING 1972
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 644
TCP 83.xxx.x.xx:3887 63.xx.xx.xx:80 TIME_WAIT 0
TCP 127.0.0.1:1037 127.0.0.1:1038 ESTABLISHED 1316
TCP 127.0.0.1:1038 127.0.0.1:1037 ESTABLISHED 1316
TCP 127.0.0.1:1039 127.0.0.1:1040 ESTABLISHED 1316
TCP 127.0.0.1:1040 127.0.0.1:1039 ESTABLISHED 1316
TCP 127.0.0.1:2000 0.0.0.0:0 LISTENING 1100
TCP 127.0.0.1:5679 0.0.0.0:0 LISTENING 1876
TCP 127.0.0.1:7438 0.0.0.0:0 LISTENING 1876
UDP 0.0.0.0:1027 *:* 832
UDP 0.0.0.0:1028 *:* 832
UDP 0.0.0.0:1029 *:* 832
UDP 0.0.0.0:1030 *:* 832
UDP 0.0.0.0:1031 *:* 832
UDP 127.0.0.1:1026 *:* 1860
L’indirzizzo 127.0.0.1:139 è diciamo il computer locale, potrebbe spuntarvi anche il vostro indirizzo ip mentre il numero 139 è la porta presa in considerazione, quello che dovete vedere è se il vostro pc ha delle porte in ascolto: LISTENING e/o delle connessioni stabilite ESTABLISHED. Dopodichè guardate la colonna PID, il pid è il numero di targa del processo in ascolto o connesso!
Per vedere a quale processo fa riferimento un pid:
CTRL-ALT-CANC
Si apre il task manager
clicca su processi, clicca su visualizza->seleziona colonne
clicca su PID.
Adesso, oltre al nome dei processi attualmente in esecuzione apparirà anche il PID, verificate se i programmi in ascolto o in connessione lo siano a buon diritto. Se avete dei dubbi circa un processo, cercate su google (potrebbero essere processi indispensabili che non vanno terminati!)
Eliminati tutti i programmi e chiuse tutte le porte, dovreste sentirvi abbastanza sicuri da attacchi da rete al vostro PC.
3° PASSO: PROTEZIONI FILE E CARTELLE
Winxp ha una gestione della protezione che può essere impostata in maniera molto specifica se il sistema è installato in una partizione NTFS, ma di default le impostazioni non sono molto sicure.
Per attuare queste modifiche occorre passare alla modalità condivisione avanzata:
Click su una cartella->proprietà->condivisione
click su condivisione avanzata!
Fatto ciò per ogni file o cartella possiamo stabilire delle politiche di accesso particolari per ogni utente.
In genere è bene:
EVITARE DI DARE TUTTI I DIRITTI AL GRUPPO ADMINISTRATOR:
Esistono dei virus che creano un account administrator, e quindi hanno accesso a tutti i file del sistema. Meglio invece dare i diritti non al gruppo administrator ma ai singoli utenti. In questo modo se si crea un nuovo administrator questo non ha immediatamente i diritti sui vostri file (potrà però crearseli in seguito!)
EVITARE DI USARE L’ACCOUNT EVERYONE, per ovvie ragioni, se proprio si deve evitare di dargli diritti di modifica al file!
EVITARE DI MODIFICARE I DIRITTI PER l’ACCOUNT SYSTEM, sempre per ovvie ragioni.
Per quanto riguarda la condivisione di file e cartelle, dare sempre privilegi minimi, e limitare il numero di connessioni al massimo che in effetti ci aspettiamo. esempio: Se abbiamo due pc collegati in rete, è ovvio che il numero massimo di utenti che una cartella condivisa accetta è 2. Il mio pc e l’altro!
Un modo veloce per avere sotto mano tutte le condivisioni è:
Esegui-> fsmgmt.msc
Potete anche creare un collegamento specificando come percorso “fsmgmt.msc”
4° PASSO VIRUS e ANTIVIRUS
Anche se il nostro sistema è una botte di ferro, siamo sempre in grado di ospitare qualche virus, a parte le solite raccomandazioni (non aprire e mail strane ecc…), può capitare di scaricare dei file che sembrano una cosa e poi ne sono altre, l’antivirus non può far molto se scarichiamo una crack per esempio! Lui ci dice che è pericoloso ma noi l’apriamo lo stesso, e a volte ci becchiamo il virus.
A questo punto…a che serve l’antivirus? Se lo lasciamo sempre attivo le risorse che consuma sono più dei benefici che traiamo, quindi, la mia personale opinione è che i servizi in background dell’antivirus vanno disabilitati, ma non lo eliminiamo dal sistema.
Innanzi tutto se navighiamo su internet su un account utente (e non administrator) i danni che può fare un virus sono limitati. In secondo luogo se abbiamo ben settato i parametri relativi alla protezione dei file il virus può procurare qualche fastidio ma niente di più.
Nel momento in cui ci accorgiamo che qualcosa non va nel sistema, facciamo ctrl-alt-canc per vedere se cè qualche processo strano in esecuzione. Se questa operazione risulta impossibile (perché il virus l’ha bloccata) riavviare e loggarsi come Administrator. A questo punto possiamo fare una scansione con Highjackthis. E vedere se sono presenti dei file malevoli nel sistema. Generalmente sono dei file exe che si trovano in system32. Prendere il file (che non è mai solo!) spostarlo e annotarsi il nome e l’ora di creazione!
Cercare su internet informazioni sul file in questione per vedere da quali altri file è accompagnato, eventualmente effettuare una ricerca sul pc di tutti i file creati nella stessa data del virus, probabilmente ma non necessariamente fanno parte del virus, ma senza l’exe sono innocui!
A questo punto facciamo pulizia con CCleaner, dato che generalmente nei file temporanei sono contenuti altri file dei virus. Effettuiamo una scansione del registro sia con CCleaner sia con un antirootkit (antirootkit o Sophos antirootkit) potrebbe darsi che il virus abbia messo delle chiavi nascoste non visibili ai normali registry scan. A questo punto possiamo scansionare il sistema con l’antivirus (se aggiornato!) alla ricerca di eventuali altri file dannosi!
Con queste operazioni generalmente i virus più banali spariscono!
Spero di essere stato d'aiuto a qualcuno e se avete critiche, chiarimenti e qualsiasi cosa sono qui!
|
