A késői átállások oka gyakran a pénzhiány: nem elég az új operációs rendszert megvásárolni, az egész elavult gépparkot is cserélni kell, ami a kórházak, vállalatok, szervezetek számára csillagászati összeg lehet.
A Microsoft továbbra is hajlandó egyedi frissítéseket, biztonsági javításokat szolgáltatni azoknak a szervezeteknek, amelyek megfizetik. Hivatalos árlistát a szoftvergyártó nem bocsátott ki, ám az általánosan elfogadott éves díj számítógépenként mintegy 200 amerikai dollár, ami évente megkétszereződik.
A biztonságos működés fenntartása végett az XP-haszálóknak egyéb lehetőségeik is vannak az említett egyedi támogatáson túl. Telepíthetik az ExtendedXP figyelő szoftvert a végpontokra, továbbá XP-monitoring szolgáltatást rendelhetnek hozzá, amit egy francia vállalat kínál. Ebben az esetben a költségek valószínűleg alacsonyabbak, mint amennyit a Microsoft kérne.
Egy másik megoldást Kaliforniában fejlesztettek ki: virtuális izolációt (vSentry) alkalmaznak az egyes alkalmazások esetében. Ha behatolás, támadás történik az elszigetelt hardveres micro-VM környezetben, az nem jut el a processzorhoz, a memóriához, az adattároló eszközökhöz és a hálózat hozzáférési pontjaihoz.
Azok rendszere sem omlik össze, akiknek nincs lehetőségük megfizetni a támogatást, ugyanis Gyebnár Gergő, a BlackCell IT Security vezető biztonsági szakértője Windows XP OS Hardening néven oktatásra vállalkozott ebben a témában, és 14 pontban összefoglalta azokat az intézkedéseket, amelyeket bárki megtehet rendszerei védelmére.
Alapvető Windows XP OS Hardening 14 pontban
Az OS Hardening (edzés) az a művelet, amellyel használója biztonságossá teszi, megerősíti az operációs rendszert, azáltal, hogy rendszer és a hálózat támadhatóságát csökkenti. Ez történhet a legfrissebb pacthek (biztonsági frissítések), gyorsjavítások, frissítések telepítésével, amitől – a Microsoft „jóvoltából” – ezentúl el kell tekintenünk, mivel április 8-tól az MS nem készít ilyeneket a Windows XP operációs rendszerekhez.
Így egyéb szabályokkal és eljárásokkal kell megerősítenünk az XP-s munkaállomásokat, környezeteket. Gyebnár Gergő biztonsági szakértő összegyűjtött 14 pontot, amelynek a konfigurálásával és megtartásával látványosan csökkenhetők a biztonsági kockázatokat – ingyen.
1. A rendszergazda-fiók átnevezése
A alapértelmezett beállításként beépített rendszergazda-fióknak és -csoportnak van a legtöbb jogosultsága, ami magában foglalja a jogosultságok megváltoztatását is. A cél az, hogy támadó ne vehesse át az irányítást, ne jusson rendszergazdai jogosultságokhoz a beépített adminisztrátor-fiókból. Ehhez át kell nevezni a rendszergazda-fiókot, megváltoztatni a leírását, továbbá jelszóval védeni.
2. Erős jelszó használata
A jelszónak legalább 8 karakternek kell lenni, de jobb, ha a 15-ből áll, kisbetű, nagybetű – a Windows 127 karakterig elfogadja. Egy jelszót ne használjunk máshol, ne küldjük el e-mailben, ha leírjuk, ne hagyjuk látható helyen.
3. Boot-szintű BIOS-jelszó használata
Ha egyszer beállítottuk a BIOS-jelszót, az minden rendszerindításkor kérni fogja. Ennek köszönhetően a rendszerhez mindaddig nem lehet hozzáférni, amíg nem kapja meg a helyes jelszót. Megfontolandó egy másik BIOS-jelszó megadása is, amivel a BIOS-beállításokat tudjuk megvédeni az illetéktelenektől.
4. Képernyővédő használata
Általa megóvható a számítógép, ha rövid időre felügyelet nélkül kell hagynunk. Ez különösen a vállalati környezetben fontos. Csak a képernyővédő-beállítást kell megnyitni és engedélyezni a jelszavas védelmet. Mivel meg kell adni egy időintervallumot, ami után a képernyővédő bekapcsol, talán 10 perc az alapértelmezett. Ha rövid időre magára hagyjuk a pc-t, bármikor bekapcsolhatjuk mi is manuálisan, egyszerűen a Ctrl-Alt-Delete billentyűk használatával, ami megjeleníti a feladatkezelőt és a „Számítógép lezárása” gombra kattintva lezárható.
5. Vendégfiók
A Microsoft ajánlása szerint le kell tiltani, vagy el kell távolítani a vendégfiókokat a Win 2000 és az XP-s gépekről. Nem kell foglalkozni vele, ha átnevezzük és jelszóval védjük a vendégfiókokat úgy, ahogy a rendszergazda-fiókkal is tettük.
6. NTFS-fájlrendszer használata
A Windows XP vagy Windows 2000 operációs rendszereket ajánlott elkülönített NTFS-partícióra telepíteni – a régebbi FAT-fájlrendszerrel szemben. Az NTFS-rendszer lehetőséget ad a használók adatelérésének konfigurálására; meghatározható, ki milyen műveletre jogosult, valamint lehetőség van a fájlok és adatok titkosítására.
7. Az automatikus bejelentkezés letiltása
Sose használjunk automatikus bejelentkezést és a használóknak is írjuk elő a jelszavas védelmet. Egy géphez legföljebb egy rendszergazda-fiókot ajánlott rendelni.
8. A SID-ek felsorolásának letiltása
A vendég- és rendszergazda-fiókok átnevezése után is meg tudja találni a megfelelő szoftverrel felfegyverkezett támadó a valós fiókokat a SID-ek (Security Identifiers) felsoroltatásával, mivel az átnevezés a SID-ekre nincs hatással. Ha a támadó egy fiók nevét azonosította (admin-, azaz rendszergazda-fiók után fog keresgélni) a jelszó brute force-olása (teljes kipróbálása) általában a következő lépés. Ez elkerülhető, ha nem engedélyezzük a fiókok SID-jeinek felsorolását.
9. A fájl kiterjesztések mutatása, felfedése
Alapértelmezettként az XP és a WIN 2000 az ismert fájl-kiterjesztéseket egyszerűen elrejti. Ezzel az a probléma, hogy a malware írója is el tudja rejteni a fájl kiterjesztését, amivel megelőzi, hogy tudjuk, milyen típusú fájlt nyitunk meg. Ez különösen igaz a fájlrejtő trójaiakra. A vezérlőpultban beállítható, hogy ne rejtse el, de három ismert kiterjesztés így is rejtve fog maradni: .shs; .pif; .Ink. Lehetőleg ne futtassuk, ne nyissuk meg az ilyen kiterjesztésű fájlokat.
10. Távoli asztal és távoli vezérlés letiltása
Ez csak a Windows XP operációs rendszerrel ellátott gépeken működik. A távoli segítség azt a célt szolgálja, hogy engedélyt adjunk egy másik személynek a bejelentkezésre a számítógépünkre, például segítségnyújtás céljából. Ezt a funkciót, ha lehet, érdemes letiltani. Szükség esetén bármikor újra engedélyezhető. A távoli asztal elérhető az XP Professional-nál, ami lehetőséget ad a Windows session-ökbe való belépéshez egy másik helyen lévő számítógép számára, LAN-on és interneten egyaránt.
11. A lapozó fájlok takarítása rendszerleállás előtt
Alapértelmezett beállításként engedélyezve van a memóriafájlok merevlemezen való lapozása egyszerű adat, „plain text” formátumban. Ez az információhalmaz biztosítja a rendszer gyors felállítását a következő indítás során, de egyúttal nagyszerű lehetőséget biztosít a támadónak, akinek csak ki kell innen olvasnia az értékes adatokat.
12. Dump-fájl készítésének letiltása
Amikor a Windows váratlanul leáll (kék halál, rendszer-összeomlás), egy memory.dmp fájl készül, ami segít a debuggoláshoz az eszközök és szoftverek részére. Úgy, mint a lapozó fájl, ez is tartalmazhat kritikus adatokat, jelszavakat, amiket a támadó azonnal hasznosítani tud.
13. A Dr. Watson dump-fájl készítésének letiltása
Egy másik memória-dump, ami hasonló az előzőhöz, csak a neve Dr. Watson. Ez egy programhiba-debugger, ami összegyűjt minden információt a számítógépről, amikor használói vagy használó módú hiba jelentkezik egy programon belül.
14. A scrap-fájlok kiterjesztésének mutatása
Ezeket a fájlokat/részfájlokat a Windows arra használja, hogy adatokat szállítson a programok között, és tartalmazhat bármilyen adatot egy végrehajtható programban. A már említett (9. pont) .shs-kiterjesztéssel rendelkezik.
A scrap fájlok átnevezhetők, más kiterjesztés adható nekik. A Windows alapértelmezettként a ’RUNDLL32.EXESHSCRAP.DLL, OPENSCRAP_RUNDLL %1’-et rendeli az shs-kiterjesztéshez. A fájl megnyitásakor a Windows kicsomagolja, majd végrehajtja a fájlban lévő összes utasítást. Ha egyszer egy scrap-fájl fut, már egyáltalán nem lehet kontrollálni. A trükk, hogy megmutattassuk a fájl igazi .shs-kiterjesztését.
1. Start menü, futtatás „regedit.exe”
2. Szerkesztés, aztán keresés => HKEY_CLASSES_ROOTShellScrap
3. Ha megtaláltuk, jobb panelen jobb klikk, a ‘NeverShowExt’-en módosítás
4. Gépeljük be ‘AlwaysShowEx’, majd Enter
5. Zárjuk be a Registry szerkesztőt
6. Teljesen állítsuk le, majd indítsuk el újra a számítógépet
Ha ezeket megetettük, akkor már csak a higiénés feladatokat kell végrehajtani a munkaállomásokon: jó webvédelem kliens vagy átjáró szinten, lehetőleg olyat, ami képes a HTTPS-forgalmat is megfigyelni. Emellett a hordozható eszközöket kell maximálisan felügyelni és a levelezést. A levelezésnél nemcsak a spamszűrés, de a spamszűréssel sok esetben nem védhető phishing-kampányok ellen is védekezni kell a végfelhasználók biztonsági tudatosságának fejlesztésével. Ezek után érdemes sérülékenységi vizsgálatot végezni penetrációs teszteléssel (saját phishing-kampányok szimulálásával) a hatékonyság megállapításának okán.
Az itt leírtaknál nagyobb mértékű mélyebb OS-hardening (operációsrendszer-edzés) -ismeretek elsajátítására külön oktatás is szolglál.