Дуже довгий час операційні системи на базі WindowsNT вважалися самими захищеними в сімействі Windows (всі версії NT, 2000, XP). Причина — складна система безпеки, розмежування прав доступу не те що користувачів, навіть програм. Але, відносно недавно, була знайдена пролом в одній з системних бібліотек. Виявляється, «кватирки» були уразливі спочатку. При зверненні по протоколу NetBios до сервера з ім’ям довше, ніж 32 символу відбувається, так зване «переповнення буфера», тобто програмний код затирається «зайвими» даними…

«А мені-то що, нехай цей буфер хоч весь переповниться до країв і виплеснеться назовні!»- скаже обиватель. А немає, ця проблема торкнулася кожного користувача, який має доступ до глобальної мережі. Справа в тому, що в результаті дірки зловмисник може написати запит, при якому на комп’ютері жертви будуть виконані необхідні команди, аж до відкриття повного доступу з правами адміністратора. Доказ — в інтернеті вже повно інтуїтивно зрозумілих програм, за допомогою яких простий користувач може отримати права адміністратора на комп’ютері, що знаходиться на іншому боці земної кулі.

Хоча фірма мікрософт дуже швидко відреагувала на вразливість — створила оновлення, що виправляє помилку, і надала йому статус «критичний», як у нас буває найчастіше — поки грім не вдарить… Не те що прості користувачі, системні адміністратори полінувалися його встановити. А умілі вірусописьменники поспішили використовувати уразливість на свій розсуд… Результат повільності на обличчя — десятки тисяч заражених комп’ютерів, і стільки ж можуть заразитися найближчим часом. Як не потрапити під удар?

Все дуже просто, є два рішення: перше — встановити «латку» виробника, але, враховуючи те, що оновлення даються тільки зареєстрованим користувачам, а в Росії основна маса людей користується піратськими програмами, даний метод відпадає.

Друге рішення — встановити брандмауер. І якщо минулого разу, я тільки торкнувся теми про мережевих екранах, то зараз, опишу їх налаштування на прикладі нової програми — Aganitum Outpost FireWall, безкоштовна версія якої доступна за адресою: www.agnitum.ru/download/outpost1.html.

Після установки Outpost’а, в системному треї (це область в нижньому правому куті екрану, там, де знаходяться годинник), з’явиться значок «питання в колі». Якщо клацнути на нього два рази мишкою, відкриється сама програма. Отже, приступимо.

— Перше і головне: зайдіть в меню «параметри–політики» і виберіть «режим блокування». Цей вибір означає, що заборонені всі сполуки, крім тих, які дозволені вами явно.

— Далі, перейдіть на закладку «системні», і якщо у вас немає локальної мережі — вимкніть галочку NetBios. Якщо ж є — включіть її та вкажіть всі IP-адреси всіх комп’ютерів локалки у вікні, що з’являється при натисканні кнопки «параметри».

— Потім доведеться перенастроювати «Загальні правила». Вимкніть у відповідному вікні опції «Allow Outgoing DHCP», «Allow loopback», GRE та протоколи PPTP, інше дозвольте. Тепер по порядку: DHCP — система динамічної видачі IP адрес, якщо ви не провайдер — вона не потрібна. LoopBack — дозвіл звертатися до свого ж комп’ютера через мережу — часто використовується вірусами, отже — треба заблокувати. GRE — це старий, вже невикористаний протокол Gopher. Нарешті, PPTP — point to point protocol — протокол, використовуваний для роботи у віртуальних приватних мережах, які не отримали широкого застосування в нашій країні.

— Після загальних правил, треба вказати дозволу для конкретних програм: провідника по інтернету, поштової програми і FTP менеджера (якщо ви користуєтеся їм). Головне правило якісної налаштування мережевого екрану — заборонити все, що може дати доступ до комп’ютера ззовні, і витік інформації з комп’ютера. Для цього і потрібно перемикання в режим блокування». Тут-то і починається найскладніше…

Перейдіть на закладку «Додатки», клацніть мишкою на рядок «режим користувача» і за допомогою кнопки «додати» виберіть свій улюблений браузер (Internet Explorer, NetScape, Opera…)

Ось і дісталися до налаштування правил

Правило перше: Дозвольте додатком зв’язуватися по протоколу UDP (це метод посилки даних без встановлення зв’язку), де напрямок — вихідні, віддалений порт — DNS. Тепер ваш комп’ютер буде знати, як звернутися до того чи іншого сайту. Справа в тому, що спочатку в інтернеті комп’ютери мають адресу, що складається з чотирьох цифр, розділених крапкою, які важко запам’ятати. З-за цього було прийнято рішення створити надбудову, що дозволяє зв’язуватися з сервером по зрозумілому для імені людини, що складається з літер латинського алфавіту, цифр і деяких інших символів (наприклад, www.my_server.com).

Друге правило: протокол і напрям — ті ж, порти — 80-83 (стандартні для веб-сторінок). Дія — дозволити дані. Так ви дозволите перегляд всіх сайтів з вашого комп’ютера.

Налаштування поштової програми FTP-клієнта проводиться так само просто, як і браузера:

Перше правило дублюється. Друге — дозволити для поштовика вихідні дані по віддаленого порту SMTP, і вхідні — по POP3. Для FTP-клієнта — це порти FTP і FTPDATA відповідно.

При такій настройці комп’ютера ви сильно ускладните життя «куль хацкерам». Тепер можете спати спокійно, поки не виявляться нові пробоїни в «найбільш безпечною і зручною операційної системи» Windows.