16 839
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/A415/windows_xp_sp3.jpg
Kattints ide  ➜

Csakazértis XP támogatás ‑ Hogyan védjük rendszerünket ingyen, frissítések nélkül

Black Cell Kft.2014.04.12. 20.33
A Microsoft által megszüntetett XP támogatás miatt vállalatok, szervezetek és magánszemélyek is óriási veszélynek lettek kitéve. A migráció a kórházak számára legnehezebb feladat, ugyanis a speciális műszerekhez, gépekhez nem létezik Windows 7 eszközmeghajtó, továbbá az állami szektorban is számtalan végponton XP-t használnak, mivel a speciális alkalmazások kizárólag ezzel az operációs rendszerrel működnek.

Az késői átállások okai között gyakran szerepel a finanszírozás, hiszen nem elég az új operációs rendszert megvásárolni, de az egész elavult gépparkot is le kell cserélni, ami óriási befektetést kíván a kórházak, vállalatok vagy szervezetek esetében.

A PC felhasználók közel 30 százaléka továbbra is Windows XP-t használ


A Microsoft továbbra is hajlandó egyedi frissítéseket, biztonsági javításokat szolgáltatni azoknak a szervezeteknek, akik ezért hajlandóak fizetni. Hivatalos árlistát nem bocsátottak ki, ám az általánosan elfogadott éves díj számítógépenként 200 USD körül mozog, ami minden azt követő évben duplázódik.

A biztonságos működés fenntartása érdekében az XP felhasználóknak egyéb lehetőségeik is vannak az említett egyedi támogatáson túl. Feltelepíthetnek egy figyelő szoftvert (ExtendedXP) minden végpontra, továbbá XP monitoring szolgáltatást rendelhetnek hozzá, amit egy francia vállalat kínál. Ebben az esetben a költségek valószínűleg alacsonyabbak a Microsoft támogatásánál. Egy másik megoldást Kaliforniában fejlesztettek ki, aminek során virtuális izolációt (vSentry) alkalmaznak az egyes alkalmazások esetében. Amennyiben behatolás, támadás történik ebben a hardver-izolált micro-VM környezetben, úgy elszigetelve marad a processzortól, a memóriától, az adattároló eszközöktől és a hálózat hozzáférési pontjaitól.

Azok számára sem omlik össze a rendszer, akiknek nincs lehetőségük megfizetni a támogatást, ugyanis Gyebnár Gergő, a Black Cell IT Security vezető biztonsági szakértője az úgynevezett Windows XP OS Hardening néven oktatást indít e téma mélységeiben, továbbá 14 pontban összefoglalta azokat az intézkedéseket, amiket mindenki saját maga megtehet rendszerei védelmének érdekében.

Alapvető Windows XP OS Hardening 14 pontban

Az OS Hardening az a művelet, aminek során biztonságosabbá tesszük, megerősítjük az operációs rendszert, azáltal, hogy rendszer és a hálózat támadhatóságát csökkentjük. Ez történhet a legfrissebb patch-ek (biztonsági frissítések), gyorsjavítások, frissítések telepítésével, amitől jelen esetben el kell tekintenünk, mivel 2014. április 8-tól a Microsoft nem készít ilyeneket a Windows XP operációs rendszerekhez.

Így egyéb szabályokkal és eljárásokkal kell megerősítenünk az XP-s munkaállomásokat, környezeteket. Összegyűjtöttünk 14 pontot, amiknek a konfigurálásával és betartásával jelentősen csökkenhetjük a biztonsági kockázatokat, ráadásul ingyen.

1. Rendszergazda fiók átnevezése

A alapértelmezett beállításként beépített rendszergazda fióknak és csoportnak van a legtöbb jogosultsága, ami magában foglalja a jogosultságok megváltoztatását is. A cél az, hogy támadó ne vehesse át az irányítást, ne jusson rendszergazda jogosultságokhoz a beépített adminisztrátor fiókból. Ehhez át kell nevezni a rendszergazda fiókot, megváltoztatni a leírását, továbbá jelszóval levédeni.

2. Erős jelszó használata

A jelszónak legalább 8 karakternek kell lenni, de jobb, ha a 15-öt preferáljuk, kisbetű, nagybetű, a Windows 127 karakterig elfogadja. Egy jelszót ne használjunk máshol, ne küldjük el e-mailben, ha leírjuk, ne hagyjuk látható helyen!

3. Boot szintű BIOS jelszó használata

Ha egyszer beállítottuk a BIOS jelszót, az minden egyes alkalommal kérni fogja, amikor a rendszer elindul. Ennek köszönhetően a rendszer teljesen le van tiltva, amíg a helyes jelszót meg nem adjuk. Megfontolandó egy másik BIOS jelszó megadása is, amivel a BIOS beállításokat tudjuk levédeni az illetéktelenektől.

4. Képernyőzár használata

A képernyőzár megfelelő használatával, megóvhatjuk a számítógépet, ha rövid időre ott kell hagynunk. Ez különösen a vállalati környezetben fontos. Csak a képernyővédő beállítást kell megnyitni és engedélyezni a jelszavas védelmet. Mivel meg kell adni egy időintervallumot, ami után a jelszavas képernyővédő bekapcsol, talán 10 perc az alapértelmezett. Ha otthagyjuk a PC-t egy rövid időre, bármikor bekapcsolhatjuk mi is manuálisan, egyszerűen a Ctrl-Alt-Delete billentyűk használatával, ami felhozza a feladatkezelőt és a „Számítógép lezárása” gombra kattintva lezárható.

5. Vendég fiók

A Microsoft ajánlása szerint le kell tiltani, vagy el kell távolítani a Vendég fiókokat a Win2000 és az XP-s gépekről. Ezt kiválthatjuk, ha átnevezzük és jelszóval levédjük a Vendég fiókokat úgy, ahogyan a Rendszergazda fiókkal is tettük.

6. NTFS fájl rendszer használata

A Windows XP vagy Windows 2000 operációs rendszerek telepítésénél egy szeparált NTFS partícióra ajánlott telepíteni a régebbi FAT fájlrendszerrel szemben. Az NTFS rendszer lehetőséget ad a felhasználók adatelérésének konfigurálására, ki milyen műveletet jogosult végezni, valamint lehetőség van a fájlok és adatok titkosítására.

7. Automatikus bejelentkezés letiltása

Soha ne használjunk automatikus bejelentkezést és a felhasználóknak is írjuk elő a jelszavas védelmet! Egy géphez maximum egy rendszergazda-fiókot ajánlott rendelni.

8. SID-ek felsorolásának letiltása

Akár a Vendég és Rendszergazda fiókok átnevezése után, a megfelelő szoftverrel felfegyverkezett támadó meg tudja találni a valós fiókokat a SID-ek (Security Identifiers) felsoroltatásával, mivel az átnevezés a SID-ekre nincs hatással. Ha a támadó egy fiók nevét beazonosította (Admin fiók után fog keresgélni) a jelszó brute force-olása általában a következő lépés. Ez elkerülhető, ha nem engedélyezzük a fiókok SID-jeinek felsorolását.

9. Fájl kiterjesztések mutatása, felfedése

Alapértelmezett módban az XP és a Win2000 az ismert fájlkiterjesztéseket egyszerűen elrejti. Ezzel az a probléma, hogy a malware írója is el tudja rejteni a fájl kiterjesztését, amivel megelőzi, hogy tudjuk, milyen típusú fájlt is nyitunk meg. Ez különösen igaz a fájlrejtő trójaiakra. A Vezérlőpultban beállíthatjuk, hogy ne rejtse el, de három ismert kiterjesztés így is rejtve fog maradni: .shs; .pif; .lnk. Lehetőleg ne futtassuk, ne nyissuk meg az ilyen kiterjesztésű fájlokat!

10. Távoli asztal és távoli vezérlés letiltása

Ez csak a Windows XP operációs rendszerrel ellátott gépeken működik. A távoli segítség azt a célt szolgálja, hogy engedélyt adjunk egy másik személynek a bejelentkezésre a számítógépünkre, például segítségnyújtás céljából. Ezt a funkciót, ha lehet, érdemes letiltani. Szükség esetén bármikor újra engedélyezhető. A távoli asztal elérhető az XP Professionalnél, ami lehetőséget ad a Windows session-ökbe való belépéshez egy másik helyen lévő számítógép számára, LAN-on és Interneten egyaránt.

11. Lapozó fájlok takarítása rendszerleállás előtt

Alapértelmezett beállításként engedélyezve van a memóriafájlok merevlemezen való lapozása egyszerű adat, „plain text” formátumban. Ez az információhalmaz biztosítja a rendszer gyors felállítását a következő indítás során, és egyúttal nagyszerű lehetőséget biztosít a támadónak, akinek csak ki kell innen olvasnia az értékes adatokat.

12. Dump fájl készítésének letiltása

Amikor a Windows váratlanul leáll (kékhalál, rendszerösszeomlás), egy Memory.dmp fájl készül, ami segítséget nyújt a debuggoláshoz az eszközök és szoftverek részére. Úgy, mint a lapozó fájl, ez is tartalmazhat kritikus adatokat, jelszavakat, amiket a támadó azonnal hasznosítani tud.

13. Dr. Watson dump fájl készítésének letiltása

Egy másik memória dump, ami hasonló az előzőhöz, csak a neve Dr. Watson. Ez egy programhiba debugger, ami összegyűjt minden információt a számítógépről, amikor felhasználói vagy felhasználó módú hiba jelentkezik egy programon belül.

14. „Scrap” fájlok kiterjesztésének mutatása

Ezeket a fájlokat – részfájlokat – a Windows arra használja, hogy adatokat szállítson a programok között és tartalmazhat bármilyen adatot egy végrehajtható programban. Ez a fentebb már említett (9. pont) .shs kiterjesztéssel rendelkezik.

A scrap fájlokat át lehet nevezni, más kiterjesztést adni nekik. A Windows alapértelmezettként a „RUNDLL32.EXESHSCRAP.DLL, OPENSCRAP_RUNDLL %1”-et rendeli az SHS kiterjesztéshez. Amikor a fájl megnyitásra kerül, a Windows kicsomagolja, majd végrehajtja a fájlban lévő összes utasítást. Ha egyszer egy scrap fájl fut, már egyáltalán nem lehet kontrollálni. A trükk, hogy megmutattassuk a fájl igazi .shs kiterjesztését.

  1. Start menü, futtatás -> regedit.exe

  2. Szerkesztés, aztán keresés -> HKEY_CLASSES_ROOT\ShellScrap

  3. Ha megtaláltuk, jobb panelen jobb klikk, a NeverShowExten módosítás

  4. Gépeljük be AlwaysShowEx, majd Enter

  5. Zárjuk be a Registry szerkesztőt!

  6. Teljesen állítsuk le, majd indítsuk el újra a számítógépet!


Ha ezeket megetettük, már csak a higiénés feladatokat kell végrehajtani a munkaállomásokon, minthogy jó webvédelmet kell biztosítanunk kliens vagy átjáró szinten, lehetőleg olyat, ami képes a HTTPS forgalmat is megfigyelni. Emellett a hordozható eszközöket és a levelezést kell maximálisan felügyelnünk. A levelezésnél nem csak a spamszűrés, de a spamszűréssel sok esetben nem védhető phishing kampányok ellen is védekeznünk kell a végfelhasználók biztonsági tudatosságának fejlesztésével.

Ezek után érdemes egy sérülékenységi vizsgálatot végezni penetrációs tesztelés keretében – saját phishing kampányok szimulálásával – a hatékonyság megállapításának okán. A mélyebb OS hardening ismeretek érdekében jelentkezzen oktatásunkra, amiről bővebb információt a következő linken talál:

http://www.blackcell.hu/windows-xp-rendszerek-megerositese/
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Amazon Go ‑ Csak kisétálsz a boltból, fizetés nélkül
Régóta várt funkciók debütálnak az új Instagramban
Megérkezett az Android 7.0 Nougat a Huawei P9‑re és a Huawei Mate 8‑ra
2017‑re teljesen zöld energiára áll át a Google
Már 20 millióan használják az Apple Musicot
Brutális részletesség: Teljes felbontású képek a Light 16 szenzoros kamerájából
Felkapott témák
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Ezek a jelenleg kapható legerősebb okostelefonok
2016 legjobb okostelefonjai - Sebességteszt
Sokan fognak kiakadni a Samsung Galaxy S8-ra
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Melyik lesz 2017 legjobb okostelefonja?
Állásajánlatok
IT helpdesk munkatárs
Plc programozó
Alkatrész üzletág vezető
Experiened Business Analyst for IT Order Portal and Service Catalogue ITIL Budapest/Szeged/Debrecen
System Administrator 2nd Level support Budapest
Experienced/Senior Service Desk munkatárs német nyelvtudással Budapest
IT Compliance and web developer [ST-UCWD01]