Bezpieczeństwo Windows XP...krótki poradnik część I.
04.04.2014 | aktual.: 05.04.2014 06:37
Jak wszyscy już chyba wiedzą, wielkimi krokami zbliża się moment, kiedy Microsoft ostatecznie osieroci swoje wciąż żywotne dziecko czyli system Windows XP. Akcja informacyjna idzie pełną parą i coraz więcej mamy sygnałów od producenta, które mają użytkownikowi uzmysłowić, że pracuje na systemie niemal nieaktualnym i które mają go (użytkownika) naprowadzić na jakieś sensowne rozwiązanie. Oficjalne stanowisko nie pozostawia użytkownikom zbyt wielkiego wyboru, ograniczając się do dwóch rad niezwykle oczywistych [item]przejścia na tym samym sprzęcie na bardziej aktualny system...w domyśle Windows 8.1,[/item][item]zakupu nowego sprzętu, bo na takim sprzęcie z założenia systemy operacyjne będą w nowszych wersjach.[/item] Jak widać nie za wiele tego i można by utyskiwać, czy to wystarczające nawet biorąc pod uwagę udostępnienie specjalnego narzędzia, które ma pomóc w migracji do nowego systemu i bezpiecznym przeniesieniu do niego istniejących już danych. Można by też narzekać, że Microsoft nie wskazał żadnego innego alternatywnego systemu poza tymi ze swojej rodziny, ale nie możemy chyba się specjalnie dziwić, bo w końcu tak powszechna akcja zamiany systemów napędza sprzedaż nowych produktów, a interes firmy stoi przecież ponad wszystkim. W prasie tradycyjnej i w sieci znaleźć można już wiele artykułów, które wskazują na takie alternatywy i chyba nie zrobię żadnego odkrycia, jeśli najpowszechniej wskazywanymi okazują się być systemy z rodziny GNU/Linux...ale zawiedzie się niestety ten, kto myśli, że mój artykuł również będzie o tym...nie będzie. Nie będzie też o wyższości programów jednego producenta nad rozwiązaniami od innego, ani o jakichkolwiek obowiązujących i jedynie słusznych rozwiązaniach w budowaniu ochrony systemu...nie będzie również o tym, że płatne jest lepsze od darmowego lub, jak kto woli, na odwrót. Artykuł będzie za to moim subiektywnym poradnikiem dla mniej i bardziej radzących sobie z komputerem, który ma za zadanie uzmysłowić, że "XP wciąż może" oraz udzielić kilka wskazówek, co zrobić by wciąż można było go używać nie tracąc wiele albo nawet nic z poczucia bezpieczeństwa. Zdaję sobie sprawę, że treść tego artykułu nie wyczerpuje tematu i zaawansowany użytkownik czy znawca systemu znajdzie niedociągnięcia, może zbytnie uproszczenia czy nawet błędy…ale nie uważam się za „power usera”, więc z góry wybaczam sobie takie rzeczy ? Poza tym jest to z założenia subiektywne ujęcie tematu, więc niektóre rzeczy pomijam celowo, a inne czasem bardziej podkreślam.
Pozbywamy się zbędnych rzeczy od Microsoft
Producent systemu w wielu swoich komunikatach „zagwarantował” nam…indywidualnym użytkownikom XP…że niczego dla nas już nie zrobi…że nie przygotuje dla nas żadnych aktualizacji do systemów oraz swoich programów użytkowych, które na komputerze u nas wciąż są, nie opublikuje łatek do znalezionych w nich podatności…więcej nawet – pozbawia nas właściwie jakiegokolwiek poczucia bezpieczeństwa, zaprzestając wsparcia dla swojego darmowego programu AV, który części wciąż jeszcze działa czyli Microsoft Security Essentials. Skoro więc tak, to możemy spokojnie na MS się „obrazić” i wyrazić to w postaci usunięcia z naszych systemów niemal wszystkich mniej lub bardziej zbędnych programów/komponentów, które gdzieś tam w cichych zakątkach dysków egzystowały. Zapewniam, że większość z nas z niektórych nigdy nie korzystała, a teraz te właśnie programy staną się nam „kulą u nogi”…więcej nawet…staną się niebezpieczne dla naszego systemu, ponieważ znane i nieznane dotąd luki w nich zawarte będą łatwym celem dla wszelkich możliwych ataków. Ponadto te programy właśnie często miały włączone automatyczne aktualizacje i samoczynnie bez naszego udziału łączyły się z siecią…nie powinny były tego robić wcześniej, tym bardziej nie powinny teraz…już trwają spekulacje, że kanał automatycznych aktualizacji systemowych może zostać wykorzystany do siania infekcji na komputerach, zwłaszcza na „osłabionych” XP‑kach. Zgodnie więc z powyższym pozbywamy się więc dokładnie wszystkiego, co jest niebezpieczne, podatne, zbędna albo dla nas całkowicie nieprzydatne (odinstalowujemy, usuwamy albo wyłączmy działanie, usuwamy w usługach i w autostarcie): [item]program zabezpieczający MSE oraz - jeśli wciąż mamy - również jego poprzednika Windows Defender[/item][item]skaner „Narzędzie do usuwania złośliwego oprogramowania” (Windows Malicious Software Removal Tool), którego kolejne wersje otrzymywaliśmy każdego miesiąca wraz z aktualizacjami systemowymi[/item][item]programy Outlook, Outlook Express i komunikator Windows Messenger oraz związane z nimi usługi…jeśli potrzebujemy, to z pewnością znajdziemy dużo bardziej funkcjonalne i wygodniejsze programy pocztowe i komunikatory[/item][item]wszystkie nieużywane komponenty związane z Windows Live[/item][item]to dobry również moment na usunięcie Windows Media Player, który u większości ma domyślnie włączone aktualizowanie danych z sieci, współdzielenie plików oraz oczywiście aktualizacje od producenta.[/item] Jednej przydatnej wciąż rzeczy się jednak nie pozbywamy…pakietu Office jeśli go mamy. Na systemie XP często używaną wersją była wersja 2003, do której też już wsparcia producenta nie będzie, a wciąż jeszcze są maszyny z wersją 2000…i jak tak właśnie mam, czego ze względu na przyzwyczajenie, jako taką znajomość obsługi i wciąż niezaprzeczalną funkcjonalność nie mam zamiaru zmieniać.
Konieczne na tym etapie będą również poniższe, niemniej ważne rzeczy związane z usługami systemowymi (właściwie wszystkie poniżej wymienione usługi były na liście usług zbędnych i do wyłączenia zawartych w publikowanych lata temu poradnikach typu „jak odchudzić/podkręcić XP” i prawdopodobnie zostały już wyłączone, ale warto to sprawdzić): [item]wyłączamy współdzielenie zasobów (dysków/folderów)…pozostawienie tej opcji włączonej bardzo ułatwia niekontrolowany i niepożądany dostęp do naszych danych,[/item][item]wyłączamy usługi zdalne jak zdalny dostęp, rejestr, pulpit, zdalną pomoc i obsługę techniczną, usługi terminalowe[/item][item]wyłączmy również takie usługi jak raportowanie błędów (nikt się nimi już nie zajmie przecież), NetMeeting Remote Desktop Sharing, czas systemu Windows, logowanie pomocnicze, klient sieci Web (WebClient), WebFolders[/item][item]sprawdzamy czy deinstalacji wcześniej wymienionych komponentów nie pozostały jakieś aktywne wpisy – jeśli tak, to wyłączamy je.[/item]
Na koniec tej części pozostawiłem do omówienia automatyczne aktualizacje systemowe…po 8 kwietnia 2014 wyłączamy je całkowicie i nieodwołalnie z przyczyn podanych już wyżej, bo musimy sobie zapamiętać, że cudu nie będzie i naprawdę żadne aktualizacje od tego dnia się nie pojawią…nie mogą się pojawić (taki stan jest na moment pisania artykułu) i raczej nic tego nie zmieni. Jeśli otrzymamy nagle jakiś komunikat, wiadomość na prywatną pocztę, że takowe aktualizacje są dla nas przygotowane, to naprawdę musimy to potraktować z rezerwą i powinniśmy starannie najpierw sprawdzić, czy rzeczywiście MS takowe opublikował, a najlepiej taką informację zignorować.
Naszym celem jest jednak otrzymanie systemu możliwie najbardziej aktualnego i niejako „zmrożenie” go tym stanie na przyszłość, dlatego konieczne są dla nas te systemowe aktualizacje tak długo, jak to tylko będzie możliwe. Nie musimy się tym jednak martwić, bo wszystko, co nam się jeszcze od producenta „należy” uzyskamy korzystając z przeznaczonej do tego strony Microsoftu – update.microsoft.com – strona ta jednak do poprawnego działania wymaga przeglądarki Internet Explorer, która na pewno jest zainstalowana w systemie. Pobyt na tej stronie skutkuje sprawdzeniem istniejących aktualizacji na naszym systemie i zaproponowanie zainstalowania tych najbardziej podstawowych, jak i tych opcjonalnych…te wszystkie najważniejsze (poza „Narzędziem do usuwania złośliwego oprogramowania”) instalujemy dla własnego dobra. Reszta opcjonalnych wedle uznania.
Gdyby ktoś chciałby mieć możliwość dysponowania zbiorem samych tylko poprawek do czystego zainstalowanego systemu XP, którego pakiet instalacyjny posiada, to taką możliwość oferuje program WSUS Offline Update, który daje możliwość stworzenie zbioru najbardziej aktualnych poprawek do systemu, ale również do pakietu Office 2003 (jego wparcie również się kończy 8 kwietnia) czy nawet zaktualizowanej wersji Microsoft Security Essentials.
Usuwamy resztę śmieci...odświeżamy to, co zostało
Teraz przyszedł czas na kolejne porządki czyli przegląd tego, co jeszcze w systemie jest zainstalowane i rachunek sumienia – czy wciąż nam to potrzebne, czy może jednak nie. Zaręczam, że każdy z nas znajdzie pewnie niejeden program, o którego istnieniu właściwie zapomniał…jakąś grę, kolejną i nieaktualną już przeglądarkę internetową czy trzeci odtwarzacz filmów, który był tylko „na próbę”, może kodeki do muzyki. Wszystko to rozsądnie jest odinstalować – zwolnimy sobie miejsce na dysku, zmniejszymy zużycie zasobów, prawdopodobnie usuniemy jakieś niepotrzebne wpisy w autostarcie, zrobimy nieco porządków w systemie, odświeżymy go, a generalnie nie będziemy się musieli martwić, czy mamy te aplikacje zaktualizowane czy nie i ogólnie będziemy mieć poczucie dobrze spełnionego obowiązku :) To, co nam zostało, dobrze jest zaktualizować do ostatnich dostępnych na XP wersji…i tu znów musimy pamiętać, że skoro producent systemu przestaje go wspierać, to z pewnością znajdą się producenci oprogramowania, którzy swoich aplikacji pod ten system rozwijać też już nie będą. Ilość producentów programów na XP idzie pewnie w tysiące, a ilość programów i ich kolejnych wersji z pewnością przekroczyła dziesiątki tysięcy, trudno więc wymagać, by ktokolwiek opublikował listę tego wszystkiego, na co jeszcze będzie można liczyć w nowszych odsłonach. Aktualizacje możemy przeprowadzić, szukając samemu na stronie producenta lub na innych zaufanych stronach z programami ewentualnie posiłkując się specjalistycznymi aplikacjami do wyszukiwania aktualizacji zainstalowanych na konkretnej maszynie programów (nawet niektóre portale z programami oferują swoje własne narzędzia do tego).
Kolejną rzeczą po aktualizacji programów jest aktualizacja pluginów/wtyczek do przeglądarek, a wśród nich tych najbardziej podatnych czyli Javy, Adobe Flash i ewentualnie Silverlight. Każda z dostępnych przeglądarek oferuje taką funkcję (chyba tylko IE nie) więc nie będzie to trudne, a jeśli nawet to można znaleźć dedykowany dla naszej lub uniwersalny dla wielu dodatek, które nam pomoże sprawdzić, jak aktualne mamy wtyczki.
Słabe punkty czyli szukamy „dziury w całym”
Kiedy pozbyliśmy się już najbardziej newralgicznych programów i usług, kiedy mamy za sobą już proces aktualizacji systemu, czas sprawdzić, jak to wszystko naprawdę wygląda i jaki jest stan systemu pod kątem bezpieczeństwa. Microsoft dysponuje odpowiednim narzędziem – to Microsoft Baseline Security Analyzer czyli najprościej mówiąc skaner luk i podatności w systemie…oczywiście tych związanych z Microsoft. Program wykryje niezainstalowane jeszcze aktualizacje i poprawki, sprawdzi np. jeszcze nasze hasło. Z praktyki jednak wiadomo, że program cechuje się długotrwałym procesem skanowania, co może być niewygodne i frustrujące no i niestety jest po angielsku, co powoduje, że staje się niezbyt czytelny dla części użytkowników. W zamian można zaproponować mały programik, który co prawda jest również po angielsku, ale jest tak prosty w obsłudze i w budowie, że tu nie sposób coś zepsuć. Program nazywa się Protector Plus - Windows Vulnerability Scanner (Proland Software) i jest jednym plikiem od razu do uruchomienia po pobraniu. Zaraz po uruchomieniu pyta, czy rozpocząć skanowanie, a po chwili już mamy listę wykrytych niezainstalowanych poprawek wraz z ich poziomem ważności. Dobrze program jest zainstalować w osobnym przeznaczonym dla niego folderze, ponieważ wynik skanowania jest dostępny w tworzonym zaraz po tym pliku HTML. Po otwarciu tego raportu otrzymujemy listę podobną do tej w ekranie programu, a do wszystkich znalezionych podatności mamy aktywne linki, dzięki czemu każdą poprawkę możemy zainstalować wedle konieczności i wyboru. Całość naprawdę jest bardzo poręczna i szybka.
Tym sposobem zbudowaliśmy podstawy pod system, który może funkcjonować spokojnie jeszcze przez lata…tak myślę, choć nie jestem w stanie przewidzieć jakiś katastrofalnych epidemii infekcji komputerowych i nie mam pewności, jak długo najbardziej aktualny i odizolowany Windows XP będzie mógł bezpiecznie funkcjonować. O tym jednak, jak bardziej go zabezpieczyć, napiszę w części drugiej artykułu...bo pewnie taka powstanie :)