Podstawy Bezpieczeństwa: Jak zadbać o swoje bezpieczeństwo, używając Windowsa

dodał 21 czerwca 2021 o 07:23 w kategorii HowTo, Info  z tagami:
Podstawy Bezpieczeństwa: Jak zadbać o swoje bezpieczeństwo, używając Windowsa

Dlaczego nie powinniśmy na co dzień używać konta z uprawnieniami administratora, jak efektywnie zarządzać aktualizacjami, do czego służy piaskownica systemu Windows i gdzie podział się EMET – dowiecie się z tego artykułu.

Pod artykułami z cyklu Podstawy Bezpieczeństwa niejednokrotnie widzieliśmy komentarze narzekające na konieczność przeklikiwania się przez dziesiątki opcji przy każdej próbie dopasowania Windowsa do własnych potrzeb. Istnieje prosty sposób na zmniejszenie liczby niezbędnych kliknięć – wystarczy włączyć „tryb boga” (ang. god mode). W grach komputerowych „tryb boga” umożliwia zwykle uzyskanie nieśmiertelności, a w systemach z rodziny Windows daje bezpośredni dostęp do około 200 funkcji i ustawień systemowych, również tych związanych z bezpieczeństwem. Możemy go aktywować wyłącznie na koncie z uprawnieniami administratora. Musimy w tym celu stworzyć w dowolnej lokalizacji nowy folder i nadać mu np. taką nazwę:

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

To, co wpiszemy przed kropką, nie ma większego znaczenia. Zamierzony efekt uzyskamy, umieszczając odpowiedni ciąg znaków w nawiasach klamrowych.

Podstawy Bezpieczeństwa
Artykuł stanowi część nowego cyklu pod patronatem Aruba Cloud, czyli Podstawy Bezpieczeństwa. Doradzamy w nim, jak podnosić bezpieczeństwo codziennego używania komputerów, telefonów i internetu. Nawet jeśli nie znajdziecie w nim niczego nowego (chociaż warto najpierw sprawdzić!), to zawsze możecie te wpisy podsyłać swoim bliskim i znajomym – im na pewno się przydadzą. W poprzednich odcinkach pokazywaliśmy, jak używać menedżerów haseł, włączyć dwuskładnikowe uwierzytelnianie, zadbać o bezpieczeństwo i prywatność w usługach Google i na Facebooku, odpowiednio skonfigurować bardziej i mniej popularne przeglądarki oraz dobrać do nich wtyczki. Sprawdziliśmy też, co oferuje Microsoft Defender i jak wypada w porównaniu z innymi antywirusami, a także czy warto instalować antywirusa na komórce. W ostatnim artykule wyjaśniliśmy, jak poradzić sobie z telemetrią w systemie Windows 10.

Otwierając świeżo utworzony folder, otrzymamy możliwość szybkiego dostosowania wielu parametrów.

Włączony „tryb boga” w systemie Windows 10

Innym sposobem na ograniczenie „klikologii” jest używanie klasycznej wersji „Panelu sterowania”, znanej ze starszych wydań systemu Windows. W odróżnieniu od „trybu boga” jest ona dostępna także na koncie zwykłego użytkownika. Aby uzyskać do niej dostęp, otwieramy menu „Start” i zaczynamy wpisywać słowo „panel” (zadziała, nawet jeśli nie widzimy żadnego pola do wpisywania tekstu). Na pierwszym miejscu w wynikach wyszukiwania najprawdopodobniej zobaczymy interesujące nas narzędzie.

Klasyczny „Panel sterowania”

Nic nie stoi na przeszkodzie, abyśmy skrót do niego utworzyli na pulpicie. W tym celu klikamy w pulpit prawym przyciskiem myszy i z rozwiniętego menu wybieramy opcję „Personalizuj”. W nowo otwartym oknie przechodzimy do zakładki „Kompozycje” i w sekcji „Powiązane ustawienia” znajdujemy „Ustawienia ikon pulpitu”. Kliknięcie w ten odnośnik otworzy kolejne okno, gdzie zaznaczamy pole wyboru „Panel sterowania” i korzystamy z przycisku „OK”.

Po co nam konto zwykłego użytkownika

Zagłębmy się teraz w ustawienia, które mogą poprawić nasze bezpieczeństwo. Jednym z najczęściej powtarzanych zaleceń jest nieużywanie na co dzień konta z uprawnieniami administratora. Szkopuł w tym, że domyślnie – po zainstalowaniu Windowsa – otrzymujemy do dyspozycji takie właśnie konto, co ułatwia potencjalnym atakującym dokonywanie niepożądanych zmian na naszym urządzeniu. Microsoft próbował ten problem rozwiązać za pomocą UAC (ang. User Account Control), czyli funkcji kontroli konta użytkownika, która zadebiutowała w systemie Windows Vista, uprzykrzając wszystkim życie natrętnymi komunikatami. Chodzi o to, że logując się do systemu, otrzymywaliśmy dwa tokeny: odpowiadający za standardowe uprawnienia użytkownika i związany z uprawnieniami administratora. Domyślnie używany był ten pierwszy, a w razie potrzeby zwiększenia uprawnień UAC wyświetlał prośbę o potwierdzenie – i początkowo robił to bez umiaru. Zmęczeni tym użytkownicy zaczęli mechanizm wyłączać, a twórcy złośliwego oprogramowania nauczyli się go omijać.

Chcąc zmniejszyć ryzyko, powinniśmy dla siebie utworzyć konto zwykłego użytkownika. W tym celu z poziomu menu „Start” uruchamiamy „Ustawienia”, przechodzimy do sekcji „Konta” i wybieramy zakładkę „Rodzina i inni użytkownicy”. Korzystamy z opcji „Dodaj kogoś innego do tego komputera”, nie przejmując się sugestiami systemu. Najpierw zaznaczamy „Nie mam informacji logowania tej osoby”, następnie „Dodaj użytkownika bez konta Microsoft”, w kolejnym kroku podajemy preferowaną nazwę użytkownika, hasło i odpowiedzi na trzy pytania, które zostaną nam wyświetlone, jeśli hasła zapomnimy.

Tworzenie konta zwykłego użytkownika

Gotowe, stworzyliśmy konto zwykłego użytkownika. Możemy wylogować się z dotychczas używanego konta administratora i zacząć korzystać z tego nowego. No, dobra – powiecie – ale trzeba je będzie od początku konfigurować, komu by się chciało… Jest na to sposób, w razie potrzeby można bowiem zmieniać przyznany kontom poziom uprawnień – służy do tego przycisk „Zmień typ konta” widoczny po zaznaczeniu każdego z nich. Możemy więc nowo powstałemu kontu nadać uprawnienia administratora, zalogować się na nie i w „Ustawieniach” obniżyć uprawnienia naszego osobistego konta, wybierając opcję „Użytkownik standardowy”. Od tego momentu – logując się na swoje konto – będziemy otrzymywać jedynie token zwykłego użytkownika. Jeśli natomiast zajdzie potrzeba zwiększenia uprawnień, UAC wyświetli monit z możliwością wyboru konta administratora, gdzie będziemy musieli podać hasło.

Zmiana typu konta

Niestety to nie wszystko, ponieważ podczas instalacji systemu Microsoft tworzy jeszcze jedno – ukryte i nieaktywne – konto administratora. Nie stanowi ono zagrożenia, dopóki nasz sprzęt nie wpadnie w niepowołane ręce (np. w przypadku kradzieży). Jeśli potencjalny atakujący będzie dysponować odpowiednią wiedzą techniczną, to będzie w stanie dostać się na to konto, zwłaszcza że domyślnie nie jest ono zabezpieczone żadnym hasłem. Wniosek? Powinniśmy to zmienić.

Zabezpieczanie ukrytego konta administratora

Zaczynamy od kliknięcia w menu „Start” i wpisania ciągu znaków „cmd” – wśród wyników wyszukiwania zobaczymy „Wiersz polecenia”, który uruchamiamy z uprawnieniami administratora (odpowiednią opcję znajdziemy w menu kontekstowym). W nowo otwartym oknie wpisujemy poniższe polecenie w celu aktywacji ukrytego konta i wciskamy na klawiaturze „Enter”.

net user administrator /active:yes

Wylogowując się, moglibyśmy teraz zobaczyć, że zyskaliśmy możliwość korzystania z niewidocznego dotąd konta o nazwie „Administrator”, które nie wymaga podania hasła. Możemy temu zaradzić z poziomu „Wiersza polecenia”, wpisując:

net user administrator trudne_do_zlamania_haslo

Ostatnim krokiem będzie dezaktywacja świeżo ujawnionego konta, co robimy, używając polecenia:

net user administrator /active:no

Powstaje pytanie, czy nie można byłoby korzystać z wbudowanego konta administratora zamiast z tego, które sami utworzyliśmy. No, można byłoby – ale nie polecamy, ponieważ praca na nim nie wymaga żadnych potwierdzeń UAC, wiąże się więc z jeszcze większym ryzykiem.

Zarządzanie aktualizacjami

O tym, że nie należy zwlekać z instalowaniem aktualizacji systemowych, przypominamy przy każdej nadarzającej się okazji. Czasem jednak Windows wchodzi nam w paradę, proponując instalację poprawek, kiedy akurat pracujemy nad ważnym projektem i wolelibyśmy nie przerywać. Inna sytuacja – zaktualizowaliśmy system i coś się ewidentnie popsuło. Sprawdźmy, co możemy na to poradzić.

Zarządzanie aktualizacjami w systemie Windows 10

Warto zacząć od przyjrzenia się opcjom dostępnym w zakładce „Windows Update”, którą znajdziemy w sekcji „Aktualizacja i zabezpieczenia” po wejściu do „Ustawień”. W oczy rzuca się możliwość wstrzymania aktualizacji na 7 dni. Jeśli natomiast klikniemy w „Opcje zaawansowane”, dowiemy się, że możemy zaprzestać instalowania przygotowanych przez firmę łatek nawet na 35 dni. Zalecamy nie używać tej funkcji bez wyraźnej potrzeby, ponieważ przestępcy co i rusz wykorzystują w atakach niezałatane podatności. Przykład? W połowie kwietnia br. namierzono grupę PuzzleMaker posługującą się dwiema różnymi lukami w jądrze Windowsa w połączeniu z błędem niezgodności typów w silniku JavaScriptu w przeglądarkach opartych na Chromium. Google rozprawił się z dziurą zaraz po jej wykryciu, Microsoft pracował nad stosowną aktualizacją dwa miesiące, ale zdążył już ją opublikować. Jeśli jednak nie zainstalowaliście wydanych w czerwcu poprawek, pozostajecie podatni na ataki za pośrednictwem exploitów opracowanych pod kątem tych luk.

Żeby usprawnić proces aktualizacji systemu, warto określić godziny aktywnego użytkowania – Windows obiecuje nie restartować się automatycznie we wskazanym odstępie czasu, nie dłuższym jednak niż 18 godzin. Jeśli mamy w domu kilka połączonych w sieć komputerów, to możemy skorzystać z usługi „Optymalizacja dostarczania”, rozprowadzając między nimi poprawki po pobraniu ich tylko na jedno urządzenie. W tym celu po przejściu do odpowiedniej zakładki w sekcji „Aktualizacja i zabezpieczenia” powinniśmy włączyć opcję „Zezwalaj na pobieranie plików z innych komputerów” i zaznaczyć „Komputery w mojej sieci lokalnej”. Na stronie pomocy technicznej możemy przeczytać, że „Za pomocą funkcji optymalizacji dostarczania nie można pobierać ani wysyłać zawartości prywatnej”, omawiana usługa „nie uzyskuje dostępu do plików osobistych ani folderów i nie zmienia żadnych plików na komputerze”. Jeśli musimy przejmować się zużyciem danych, to klikając w odnośnik „Opcje zaawansowane”, możemy ograniczyć poziom przepustowości wykorzystywany podczas pobierania i rozsyłania aktualizacji.

Optymalizacja dostarczania aktualizacji

Wróćmy jeszcze do zakładki „Windows Update”. Oprócz obowiązkowych, automatycznie instalowanych poprawek, związanych zwykle z bezpieczeństwem, Microsoft oferuje także aktualizacje opcjonalne, mające rozwiązywać problemy ze stabilnością systemu. Należy do nich m.in. wydawany pod koniec niemal każdego miesiąca „podgląd aktualizacji zbiorczej” (ang. Cumulative Update Preview). Jest to, krótko mówiąc, wstępna wersja poprawek dotyczących jakości, które użytkownicy mogą przetestować przed dodaniem ich do wersji finalnej, udostępnianej w „łatkowy wtorek” (ang. Patch Tuesday). Jeśli więc nie chcemy bawić się w testerów, możemy takich aktualizacji nie instalować. Trzeba też uważać, aktualizując sterowniki do używanych przez system podzespołów, Windows Update nierzadko bowiem proponuje instalację ich starszych wersji (jak na poniższym zrzucie ekranu), co może powodować problemy. Przed wdrożeniem aktualizacji warto więc sprawdzić, czy nie korzystamy już z nowszych sterowników. Aby to zrobić, klikamy prawym przyciskiem myszy ikonę Windowsa w lewym dolnym rogu pulpitu i w nowo otwartym menu wskazujemy „Menedżer urządzeń”. Szukamy sprzętu, którego sterownik chcemy zaktualizować i zaglądając do „Właściwości”, weryfikujemy jego datę wydania i wersję. Jeśli okaże się wyższa niż w przypadku sterownika sugerowanego przez system, to powinniśmy sobie tę aktualizację odpuścić.

Przestarzałe sterowniki oferowane przez Windows Update

Warto natomiast – jeśli używamy pakietu Office – zajrzeć do „Opcji zaawansowanych” w zakładce „Windows Update” i zaznaczyć „Odbieraj aktualizacje innych produktów firmy Microsoft podczas aktualizacji systemu Windows”.

Jeśli po zainstalowaniu którejś aktualizacji system przestanie poprawnie działać, możemy ją usunąć i sprawdzić, czy wszystko wróci do normy. Aby to zrobić, w zakładce „Windows Update” wybieramy „Wyświetl historię aktualizacji”, następnie klikamy w odnośnik „Odinstaluj aktualizacje”. W nowo otwartym oknie znajdujemy tę wadliwą i klikając w nią prawym przyciskiem myszy, korzystamy z opcji „Odinstaluj”.

Odinstalowywanie aktualizacji, które sprawiają problemy

Inny sposób poradzenia sobie z błędną aktualizacją opiera się na możliwości przywrócenia systemu – szkopuł w tym, że funkcję tę trzeba mieć włączoną, zanim przystąpimy do instalowania poprawek (w systemie Windows 10 jest ona domyślnie wyłączona). Najłatwiej aktywujemy ją, klikając w menu „Start” i wpisując „odzyskiwanie” – spośród wyników wyszukiwania wybieramy pozycję o takiej właśnie nazwie (nie ma ona nic wspólnego z zakładką „Odzyskiwanie”, którą mogliście widzieć na wcześniejszych zrzutach ekranu). Następnie klikamy w odnośnik „Konfiguruj przywracanie systemu” i w nowo otwartym oknie wybieramy „Konfiguruj…”. W kolejnym kroku zaznaczamy pole wyboru „Włącz ochronę systemu” i za pomocą suwaka określamy, jak wiele miejsca na dysku chcemy na to przeznaczyć.

Włączanie funkcji przywracania systemu

Po kliknięciu w przycisk „OK” będziemy mogli utworzyć pierwszy punkt przywracania, kolejne pojawią się automatycznie np. przy wdrażaniu aktualizacji systemowych i sprzętowych. Jeśli któraś okaże się wadliwa, będziemy mogli uruchomić omawiane narzędzie i skorzystać z odnośnika „Otwórz przywracanie systemu”, co pozwoli na pozbycie się niechcianej poprawki. Możemy też uruchomić przywracanie (a nawet odinstalowywanie aktualizacji) przed uruchomieniem całego systemu.

Opcje naprawy systemu Windows przed jego uruchomieniem

W tym celu musimy w końcu zajrzeć do zakładki „Odzyskiwanie” w sekcji „Aktualizacja i zabezpieczenia”, gdzie znajdziemy „Uruchamianie zaawansowane”. Po kliknięciu w przycisk „Uruchom ponownie teraz” Windows się zrestartuje i zobaczymy niebieski ekran z możliwością wybrania opcji „Rozwiąż problemy”. Na kolejnym ekranie wskazujemy „Opcje zaawansowane”, uzyskując w ten sposób dostęp m.in. do funkcji przywracania systemu.

Gdzie podział się EMET

Użytkownicy starszych wersji Windowsa mogą pamiętać zalecane przez ekspertów narzędzie EMET (ang. Enhanced Mitigation Experience Toolkit), opracowane zresztą przez Microsoft, pomocne w zabezpieczaniu systemu przed exploitami. Jeśli się zastanawiacie, czy nie dałoby się je wykorzystać także do ochrony Windowsa 10, to odpowiedź brzmi „i nie, i tak”. Nie, ponieważ pod koniec lipca 2018 r. firma przestała wspierać tę jakże potrzebną aplikację – od tego czasu nie jest ona ani rozwijana, ani łatana (choć w czeluściach internetu można ją pewnie jeszcze znaleźć). Tak, ponieważ wiele obecnych w niej mechanizmów zostało zintegrowanych z systemowym antywirusem pod postacią modułu Exploit Protection. Jeśli więc pominęliście nasz poradnik dotyczący konfiguracji Microsoft Defendera, bo nie planowaliście go używać – może przemyślcie to jeszcze raz? Nie wszyscy wiedzą, że z opcji dostępnych w tym programie można korzystać, nawet jeśli zainstalujemy antywirusa innej firmy, który będzie monitorował zagrożenia w czasie rzeczywistym.

Moduł Exploit Protection w Microsoft Defenderze

Aby odpowiednio skonfigurować następcę EMET-a, musimy w „Ustawieniach” wybrać „Aktualizację i zabezpieczenia”, przejść do zakładki „Zabezpieczenia Windows” i kliknąć w „Sterowanie aplikacjami i przeglądarką”. W nowo otwartym oknie znajdujemy odnośnik „Ustawienia funkcji Exploit Protection” i upewniamy się, że w zakładce „Ustawienia systemu” wszystkie dostępne mechanizmy są włączone. Zobaczymy wśród nich m.in.:

  • CFG (ang. Control Flow Guard), który chroni system przed niektórymi technikami uszkadzania zawartości pamięci, jak przepełnienie bufora czy fałszowanie kodu,
  • DEP (ang. Data Execution Prevention), który zapobiega wykonywaniu kodu z obszarów pamięci zarezerwowanych dla systemu i autoryzowanych programów,
  • SEHOP (ang. Structure Exception Handler Overwrite Protection), który blokuje ataki z wykorzystaniem nadpisania nagłówka SEH m.in. na stosie,
  • ASLR (ang. Address Space Layout Randomization), który służy do losowego generowania układu przestrzeni adresowej i występuje w paru wersjach, np. ASLR typu „od dołu do góry” zmienia bazowy adres chronionych aplikacji za każdym razem, gdy są one uruchamiane.

Przechodząc do zakładki „Ustawienia programów”, przekonamy się, że każdy program można skonfigurować z osobna, a lista dostępnych opcji jest o wiele dłuższa. Z uwagi na to, że przy takiej konfiguracji dochodzi do nadpisania ogólnych ustawień systemu, sugerujemy nie zmieniać niczego na ślepo.

Jak korzystać z piaskownicy systemu Windows

Wraz z aktualizacją 19H1, której Windows 10 doczekał się w maju 2019 r., zyskaliśmy możliwość korzystania z wbudowanej w system piaskownicy (ang. sandbox). Chodzi o izolowane środowisko służące do testowania programów i plików, których nie darzymy zbytnim zaufaniem. Podobne narzędzia dostarczają producenci rozwiązań antywirusowych, a ich używanie pozwala uniknąć przedostania się do systemu szkodliwego kodu. Uruchamiając piaskownicę, mamy za każdym razem do czynienia z czystą kopią naszego systemu operacyjnego, skonfigurowaną w sposób domyślny i zawierającą aplikacje standardowo dostępne w świeżo zainstalowanym Windowsie (w tym przeglądarkę Microsoft Edge, za pomocą której możemy pobrać inne programy). Po zamknięciu aplikacji następuje trwałe usunięcie wszystkich powiązanych plików – żadne dokonane w piaskownicy zmiany nie zostają zachowane. Z omawianej funkcji możemy korzystać w systemie Windows 10 Pro, a także w edycjach przeznaczonych dla organizacji, jak Enterprise czy Education. Niestety Microsoft uznał, że użytkownicy wersji Home nie potrzebują takiej opcji.

Uruchomiona piaskownica systemu Windows

Pierwszym krokiem do włączenia piaskownicy jest upewnienie się, że mamy aktywne sprzętowe wsparcie dla wirtualizacji. W tym celu naciskamy na klawiaturze Ctrl + Shift + Esc. W nowo otwartym oknie „Menedżera zadań” przechodzimy do zakładki „Wydajność” i szukamy napisu „Wirtualizacja: Włączone”. Jeśli znajdziemy, możemy przejść do kolejnego kroku. Jeśli nie, powinniśmy się zastanowić, czy nasz procesor aby na pewno obsługuje wirtualizację (w przypadku Intela nie mają takiej możliwości np. modele Pentium 4 wydane przed 2005 r. oraz niskobudżetowe Celerony; w procesorach AMD wirtualizacja pojawiła się w połowie 2006 r., nie uświadczymy jej więc w starszych Athlonach). Nowsze procesory będą raczej wirtualizację obsługiwać, choć w niektórych przypadkach nie obejdzie się bez jej włączenia w ustawieniach płyty głównej (BIOS/UEFI), co wykracza jednak poza temat tego artykułu – choćby dlatego, że układ BIOS-u może bardzo się różnić w zależności od konfiguracji sprzętowej danego komputera.

Sprawdzanie, czy wirtualizacja jest włączona

Po upewnieniu się, że mamy włączoną wirtualizację, otwieramy menu „Start” i zaczynamy wpisywać słowo „włącz”. W wynikach wyszukiwania zobaczymy m.in. opcję „Włącz lub wyłącz funkcje systemu Windows” – klikamy w nią i na liście dostępnych funkcji znajdujemy „Piaskownicę systemu Windows”. Zaznaczamy jej pole wyboru, potwierdzamy przyciskiem „OK”, spokojnie czekamy, aż system zainstaluje wybrany komponent i na końcu restartujemy komputer.

Opcjonalne funkcje systemu Windows

Aby włączyć piaskownicę, wystarczy teraz w menu „Start” znaleźć aplikację „Windows Sandbox”. Warto uruchomić ją jako administrator – w tym celu klikamy w nią prawym przyciskiem myszy i wybieramy odpowiednią opcję. W nowo otwartym oknie możemy testować dowolne programy i pliki, jak w każdej innej maszynie wirtualnej. Interesujące nas zasoby możemy pobrać z sieci, korzystając z przeglądarki Edge, o czym już wspominaliśmy. Możemy też użyć metody „kopiuj” (Ctrl + C) i „wklej” (Ctrl + V), by przenieść je do piaskownicy z systemu głównego. Przeciąganie i upuszczanie niestety nie działa.

Komunikat wyświetlany przed zamknięciem piaskownicy

Po zakończeniu testów możemy zamknąć piaskownicę jak każdą inną aplikację. Trzeba tylko pamiętać, że po tej akcji cała jej zawartość zostanie bezpowrotnie wykasowana. Po ponownym włączeniu programu otrzymamy do dyspozycji całkiem nową, czystą instalację Windowsa.

W następnym artykule z cyklu Podstawy Bezpieczeństwa zastanowimy się, czy warto tworzyć kopie zapasowe i szyfrować dyski oraz jak to robić bez zbytniego komplikowania sobie życia.

Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.