Šolski center Kranj

Informatika

DIPLOMSKA NALOGA

Kranj, oktober 2015 Tadej Peršič

Šolski center Kranj

Informatika

DIPLOMSKA NALOGA

Kranj, oktober 2015 Tadej Peršič

Šolski center Kranj

Informatika

Diplomska naloga višjega strokovnega izobraževanja

CELOVITO ZAGOTAVLJANJE INFORMACIJSKE VARNOSTI

DOMAČEGA OKOLJA ALI MIKRO PODJETJA

Avtor: Tadej PeršičIme podjetja: Tehna d.o.o.Mentor v podjetju: Žiga Petrič, univ. dipl. inž. el.Mentorica v šoli: Marjeta Pučko, dr.Lektorica: Bojana Samarin

Kranj, oktober 2015

ZAHVALA

Svoji mentorici na šoli dr. Marjeti Pučko se iskreno zahvaljujem za pomoč pri izbiri

primerne teme in naslova za diplomsko nalogo, kasneje pa za mnoge nasvete, pripombe

oziroma komentarje in vso ostalo strokovno pomoč pri izdelavi diplomske naloge. Brez

njene pomoči bi bila diplomska naloga veliko manj kvalitetna.

Prav tako se za priložnost, da sem pobližje spoznal informacijsko infrakstrukturo v

podjetju Tehna d.o.o., zahvaljujem svojemu so-mentorju v podjetju Žigi Petriču.

I

II

POVZETEK

V diplomski nalogi je obravnavan problem zagotovitve informacijske varnosti za

domače delovno okolje ali majhno (mikro) podjetje. V teoretičnem delu so v prvem delu

opisane tri vrste varnostnih incidentov glede na vzrok in način izgube oziroma zlorabe

podatkov, nato so opisana nekatera pomembna orodja in procedure za varovanje

podatkov, na koncu pa so predstavljeni še glavni varnostni mehanizmi, ki so vgrajeni v

operacijska sistema Windows XP in Windows 7. V praktičnem delu so v prvem delu na

primeru domačega delovnega okolja opisane konkretne varnostne nastavitve za internet,

ki so na voljo skrbnikom sistemov in končnim uporabnikom, v drugem delu pa so

navedena varnostna orodja, specifični programi in postopki, ki zagotavljajo varnost

računalnika in podatkov v delovnem okolju. Osnova za diplomsko nalogo je avtorjevo

poznavanje varnostnih mehanizmov pri operacijskih sistemih Microsoft Windows,

praktične izkušnje v zvezi z varnostnimi uporabniškimi programi in varnostnimi orodji

v domačem delovnem okolju in izkušnje z varnostjo pri računalniških sistemih nasploh.

KLJUČNE BESEDE

operacijski sistemi Windows, varnost informacijskih sistemov, varnost in zaščita

podatkov, varnostne nastavitve

III

ABSTRACT

In the thesis we presented the problem of providing security for the home working

environment or small (micro) company. The first part of the theoretical part of thesis

describes three types of security incidents in relation to the source of threats and the

cause for data loss, then a few most important tools and procedures for keeping the data

data secure are listed and shortly described, while the last part describes main security

mechanisms built into operating systems Windows XP and Windows 7. The first part of

practical part of thesis describes specific internet related configuration settings that are

available to system administrators and end-users, and the second part describes specific

security tools, programs and procedures, which provide security for the home working

environment. The basis for the thesis is author’s own knowledge about security

mechanisms in case of Microsoft Windows operating systems, his practical experiences

with security user programs and tools in home working environment, and experiences

with security in information technology in general.

KEY WORDS

Windows operating systems, information systems security, security and protection

od data, security configuration

IV

KAZALO VSEBINE

1 UVOD.............................................................................................................101.1 NAMEN DIPLOMSKE NALOGE in METODE DELA....................................................101.2 OPIS DELOVNEGA OKOLJA IN PODJETJA.................................................................111.3 ZASTAVLJENA HIPOTEZA.............................................................................................12

2 TEORETIČNE OSNOVE O VARNOSTI..................................................132.1 VZROKI ZA IZGUBO IN ZLORABO PODATKOV........................................................13

2.1.1 Izguba zaradi samega uporabnika..............................................................................132.1.2 Izguba ali zloraba zaradi tretje osebe.........................................................................132.1.3 Izguba zaradi nezanesljivosti tehnologije..................................................................142.1.4 Statistika napadov v letu 2014...................................................................................14

2.2 VARNOSTNA ORODJA IN STORITVE..........................................................................152.2.1 Anti-virusni programi.................................................................................................152.2.2 Požarni zidovi.............................................................................................................162.2.3 Storitev Dropbox........................................................................................................162.2.4 tev OpenDNS.............................................................................................................17

2.3 GLAVNE DOBRE VARNOSTNE PRAKSE.....................................................................192.3.1 Izdelava varnostnih kopij podatkov...........................................................................192.3.2 Uporaba varnih uporabniških gesel............................................................................192.3.3 Celovito zavarovan Windows XP..............................................................................202.3.4 Licenčna ali preverjena odprto-kodna programska oprema.......................................212.3.5 Pomembnost administriranja......................................................................................22

3 VARNOSTNI MEHANIZMI PRI MICROSOFT WINDOWS................243.1 VARNOSTNI MEHANIZMI PRI WINDOWS XP............................................................24

3.1.1 Varnostni mehanizem DEP........................................................................................243.1.2 Funkcije datotečnega sistema NTFS..........................................................................243.1.3 Windows sistemski servisi.........................................................................................243.1.4 Varnostna komponenta Windows Firewall................................................................253.1.5 Varnostna komponenta Microsoft Security Essentials..............................................263.1.6 Nastavitve za internet pod Internet Options...............................................................26

3.2 VARNOSTNI MEHANIZMI PRI WINDOWS 7...............................................................273.2.1 Varnostni mehanizem ASLR.....................................................................................273.2.2 Varnostni mehanizem UAC.......................................................................................273.2.3 Varnostna komponenta Windows Firewall................................................................283.2.4 Varnostna komponenta Action Center.......................................................................293.2.5 Varnostna komponenta Windows Defender..............................................................293.2.6 Varnostna funkcija Windows Update........................................................................30

4 PRAKTIČNI PRIMER ZAŠČITE IT SISTEMA......................................314.1 KREIRANJE IN KONFIGURACIJA WI-FI OMREŽJA...................................................31

4.1.1 WI-Fi omrežje in storitev OpenDNS.........................................................................324.2 CELOVITA DNS ZAŠČITA ZA INFORMACIJSKI SISTEM.........................................34

4.2.1 Program DNSKong in DNS filtriranje.......................................................................344.2.2 LAN omrežje in program DNSKong.........................................................................354.2.3 Več-nivojska zaščita DNS sistema.............................................................................36

4.3 ANTI-VIRUSNI PROGRAM IN POŽARNI ZID..............................................................374.3.1 Anti-virusni program Avast Antivirus 2015..............................................................374.3.2 Požarni zid pri Windows XP SP3..............................................................................38

4.4 PROGRAMI ZA VARNOST NA INTERNETU................................................................394.4.1 K9 anti-spam program................................................................................................39

V

4.4.2 Proxomitron filtrirni proxy program..........................................................................404.5 DRUGI VARNOSTNI UPORABNIŠKI PROGRAMI.......................................................41

4.5.1 Clamwin Antivirus Free.............................................................................................414.5.2 Spybot - Search & Destroy........................................................................................414.5.3 Bitdefender Adware Removal....................................................................................414.5.4 Program xp-AntiSpy..................................................................................................424.5.5 Program SpywareBlaster............................................................................................424.5.6 Cryptainer in fSekrit...................................................................................................434.5.7 Program PsExec.........................................................................................................444.5.8 Program BugOff.........................................................................................................464.5.9 Ostali varnostni uporabniški programi.......................................................................46

4.6 PROGRAMI ZA NADZOR NAD DELOVANJEM RAČUNALNIKA............................474.6.1 Program Process Explorer..........................................................................................474.6.2 Program TCPView.....................................................................................................494.6.3 Program AutoRuns.....................................................................................................504.6.4 Programa FileMon in RegMon..................................................................................51

4.7 VARNOSTNO KOPIRANJE PODATKOV.......................................................................534.7.1 Kopiranje na drug disk...............................................................................................544.7.2 Kopiranje na Dropbox................................................................................................544.7.3 Avtomatizacija z orodjem TaskScheduler.................................................................55

5 ZAKLJUČEK................................................................................................576 LITERATURA................................................................................................58

VI

KAZALO SLIK

Slika 1: Windows XP, Windows Firewall, opozorilno okno...................................25Slika 2: Windows 7, Windows Firewall, opozorilno okno......................................29Slika 3: Program Tenda Configuration Utility, Network Status..............................32Slika 4: Wi-Fi Properties, DNS servers, OpenDNS.................................................33Slika 5: OpenDNS, Settings, Web content filtering.................................................34Slika 6: LAN Properties, DNS servers, DNSKong + OpenDNS.............................36Slika 7: Program K9, e-mail sporočila v mapi Spam...............................................40Slika 8: Program Mozilla Firefox, proxy nastavitve................................................41Slika 9: Program xp-AntiSpy, uporabniški vmesnik, nastavitve..............................42Slika 10: Pravice procesa zagnanega brez (zgoraj) in s PsExec (spodaj)................44Slika 11: Program BugOff, uporabniški vmesnik,, nastavitve.................................46Slika 13: Program Process Explorer, uporab. vmesnik, glavno okno......................48Slika 14: Program Process Explorer, proces firefox.exe, Performance Graph........49Slika 17: Program TCPView, uporab. vmesnik,, protokol TCP..............................50Slika 18: Program AutoRuns, uporab. vmesnik,, zavihek Everything.....................51Slika 15: Program FileMon, uporabniški vmesnik...................................................52Slika 16: Program RegMon, uporabniški vmesnik..................................................53Slika 19: Orodje Task Scheduler, skripta Backup_n1.bat........................................56

VII

KAZALO TABEL

Tabela 1: Statistika napadov glede na programsko opremo.....................................14

VIII

UPORABLJENE KRATICE IN POJMI

DNS - Domain Name System – Sistem imenovanja domen

HSPA - High Speed Packet Access – Hitri dostop do paketov; t. j. združeni termin

za protokola mobilne telefonije HSDPA (angl. High Speed Downlink Packet Access) in

HSUPA (angl. High Speed Uplink Packet Access)

Napad buffer overflow - napad na računalnik, ki izkorišča varnostno luknjo

oziroma napako imenovano »buffer overflow«; le-ta se pojavi, ko poskuša program ali

operacijski sistem v računalniški pomnilnik zapisati več podatkov, kot gredo v blok

pomnilnika, ki mu je bil dodeljen za uporabo

Storitve v oblaku - posebna vrsta storitev, pri katerih se obdelava in shranjevanje

podatkov ne izvaja na lokalnem računalniku, ampak na oddaljenih računalnikih

(stežnikih); dostop do podatkov shranjenih »v oblaku« je možen prek interneta

RAM - Random Access Memory – Pomnilnik z naključnim dostopom; t. j. hiter

fizični pomnilnik (za razliko od virtualnega pomnilnika), ki ga uporabljajo operacijski

sistemi in programi

RAMDisk - izraz za del spomina RAM, ki se obnaša kot pogon na trdem disku;

vsebina na njem je ob vsakem zagonu – resetiranje ali izklop – računalnika izgubljena

Ribarjenje - poskus pridobitve osebnih podatkov (na primer uporabniškega imena,

varnostnega gesla, številke kreditne kartice) za njihovo zlorabo; to se poskuša storiti

prek spletnih strani ali e-mail sporočil, ki izgledajo kot legitimne strani oziroma e-maili.

Robotsko omrežje - mreža računalnikov (angl. botnet) s katero upravlja tretja oseba

in jo uporablja za širjenje neželene e-pošte, virusov in drugih zlonamernih programov;

uporabniki praviloma ne vedo, da je njihov računalnik del botnet omrežja in da ga

nekdo zlorablja

IX

1 UVOD

V današnjem času so računalniki – oziroma širše, informacijska tehnologija – postali

nepogrešljiv sestavni del naših življenj. Brez njih si dela in izkoriščanja prostega časa

skoraj ne moremo več predstavljati. Računalnike uporabljamo za komunikacijo, pisanje

besedil, izdelavo prezentacij, v prostem času na njih igramo računalniške igrice in tako

dalje. V povezavi z njimi pa je prav tako nepogrešljiv postal tudi internet; uporabljamo ga

za iskanje informacij, spremljanje novic, spletne nakupe, spletno bančništvo, socialna

omrežja, pošiljanje in prejemanje elektronske pošte, klepet z osebami na drugih koncih

sveta prek audio in video povezave in tako dalje. Ker pa pri uporabi računalnika za kateri

koli namen že, obstajajo varnostna tveganja, je izjemno pomembno, da je vsak

informacijski sistem pravilno zaščiten. Glede varnosti pri informacijski tehnologiji

obstajajo mnogi postopki oziroma metode v smislu preventive, s katerimi lahko

preprečimo okužbo enega ali več računalnikov.

1.1 NAMEN DIPLOMSKE NALOGE IN METODE DELA

Namen diplomske naloge je bil – prek obravnavanega problema zagotovitve celovite

informacijske varnosti za domače delovno okolje ali majhno podjetje – opredeliti

pomembnost varnega informacijskega sistema, opredeliti glavne grožnje za varnost

informacijskih sistemov, navesti najbolj pogoste vrste varnostnih incidentov, celovito

opisati mehanizme, ki so vgrajeni v Microsoft Windows in zagotavljajo varnost in zaščito

operacijskih sistemov, cilj diplomske naloge pa je bil predstaviti nabor konkretnih

praktičnih rešitev (varnostna orodja, postopki in dobre prakse za zagotovitev varnosti pri

delu z osebnim računalnikom) za varno delo v domačem delovnem okolju.

Metoda dela za dosego cilja predstavitve pomembnosti varnega informacijskega

sistema je bila navajanje varnostnih groženj za nezavarovan informacijski sistem, za

predstavitev praktičnih varnostnih rešitev za varno delovno okolje pa je bila glavna metoda

dela opis konkretnih varnostnih orodij, storitev in dobrih varnostnih praks, povezanih z

varnostjo informacijskega sistema, kot tudi podroben opis nastavitev operacijskega sistema

in varnostnih uporabniških programov. Druga metoda za dosego ciljev je bila uporaba

izsledkov raziskovanja (prebiranje literature na svetovnem spletu), v manjši meri pa tudi

testiranje na domačem delovnem informacijskem sistemu. V diplomski nalogi se je avtor v

veliki meri naslanjal na svoje dosedanje izkušnje z varnostjo pri informatiki.

1.2 OPIS DELOVNEGA OKOLJA IN PODJETJA

Domače delovno okolje, katerega smo opisovali v diplomski nalogi, je informacijski

sistem, katerega sestavljajo naprave na dveh ločenih lokacijah. Na eni lokaciji se nahajajo

tiskalnik, skener in namizni računalnik z operacijskim sistemom Windows XP, ki se na

internet se povezuje prek lokalnega brezžičnega omrežja (ponudnik storitev je Telemach,

kabelska povezava). Na drugi lokaciji pa imamo namizni računalnik, ki prav tako uporablja

operacijski sistem Windows XP, na internet pa se povezuje prek 3G USB modema

(ponudnik storitev je Si.mobil, UMTS mobilni internet). Oba računalnika se lahko s

kablom poveže z notesnikom, ki uporablja operacijski sistem Windows 7, za povezavo v

internet pa uporablja USB Wi-Fi mrežno kartico.

Tehna podjetje za marketing in inženiring, d.o.o. pa je podjetje, ki je specializirano za

svetovanje in izvedbo rešitev za avtomatizacijo strojev in naprav. Od leta 1990 ponuja

slovenskemu trgu opremo, s katero dviguje raven industrijske avtomatizacije. Podjetje je

pooblaščen predstavnik in distributer vodilnega proizvajalca opreme za avtomatizacijo

Rockwell Automation. Dejavnosti podjetja se delijo na prodajo, svetovanje in izvedbo

rešitev za avtomatizacijo strojev in naprav in vključujejo:

− Dobavo aparaturne in programske opreme in rezervnih delov

− Servis za izdelke zastopanih podjetij

− Tehnično podporo uporabnikom in šolanje sistemskih integratorjev

− Izračun in simulacija pogonov in pogonskih komponent

− Izdelava programov za krmilnike in vizualizacijo

− Analiza in optimizacija delovanja servo pogonskih sklopov strojev in naprav

Infrastruktura informacijskega sistema v podjetju Tehna d.o.o. se seveda zelo razlikuje

od informacijskega sistema v našem domačem delovnem okolju, kljub temu pa je njihov

sistem razmeroma preprost. Glavni strežniški računalnik teče na strežniškem operacijskem

sistemu Windows 2008 R2 Small Business Server Edition, njegovi funkciji pa sta nudenje

in upravljanje z domenskimi računi za zaposlene (domenski računi so zaščiteni s

standardnimi dvojicami: uporabniško/geslo) in upravljanje DNS sistema. Podjetje za

uporabnike iz domene uporablja deljeni disk strežniku, prek njega pa deluje Microsoft

Exchange 2010 za OWA (angl. Outlook Web Mail) s privatnim certifikatom za dostop od

zunaj. Za povezavo v internet v podjetju uporabljajo Wi-Fi usmerjevalnik (dostop z WEP

ključem), ki ima DHCP in požarni zid, ki deluje na usmerjevalniku. Dostop je ločen za

zaposlene in goste. Za varnostno kopiranje podatkov uporabljajo storitev Vembu StoreGrid

(t. i. "cloud backup"), spletni strežnik za njihovo spletno stran in stežnik za elektronsko

pošto pa imajo pri ponudniku storitev Amis. V osnovi veljajo torej zelo podobne zahteve in

ukrepi za zagotavljanje osnovne informacijske varnosti.

1.3 ZASTAVLJENA HIPOTEZA

Glede na tematsko področje in zastavljene cilje diplomske naloge sem postavil sledečo

hipotezo: »Ne glede na stopnjo računalniškega znanja končnega uporabnika lahko z dobro

zavarovanim informacijskim sistemom zelo zmanjšamo možnost za okužbo računalnikov,

izgubo in/ali krajo pomembnih podatkov, zlorabo osebnih podatkov in ostalih varnostnih

incidentov.«

2 TEORETIČNE OSNOVE O VARNOSTI

2.1 VZROKI ZA IZGUBO IN ZLORABO PODATKOV

Ena od glavnih funkcij računalniških sistemov je obdelava podatkov, zato so pri

informacijski tehnologiji podatki bistvenega pomena, njihova varnost pa je ključnega

pomena. Zato učinkoviti načini za varovanje oziroma zaščito podatkov zavzemajo

pomemben del v svetu računalništva. Vzrokov zakaj – in načinov kako – pride do izgube

ali zlorabe podatkov je veliko, saj je vsak primer zase specifičen. Bi se pa dalo te varnostne

incidente smiselno razdeliti glede na vzrok in izvor grožnje (oziroma povzročitelja) in

glede na način, kako je do izgube oziroma zlorabe prišlo.

2.1.1 Izguba zaradi samega uporabnika

Pod to vrsto spada izguba in zloraba podatkov, za katero je kriv izključno uporabnik

sam. Ti varnostni incidenti so večinoma posledica raznih nesreč pri ravnanju s podatki in

pri tej vrsti izgube podatkov gre za nenamerne izgube, ki so posledica človeških napak pri

ravnanju s podatki. Sem sodijo raznorazne nesreče, kot so na primer nenamerno brisanje

ali prepis podatkov, napačna hramba in podobno. Najbolj pogost primer izbrisanja

podatkov je nenamerni izbris datoteke ali mape. Do nenamernega prepisa podatkov pride

na primer, ko ima uporabnik v urejevalnika besedila odprto datoteko, nakar naredi nek

popravek (recimo izbriše nekaj odstavkov) in nato program datoteko shrani in zapre

program, s čimer ni več mogoče razveljaviti (angl. Undo) zadnjih sprememb. Do

podobnega primera lahko pride pri deljenju datotek, ko imata isto datoteko hkrati odprto

dva uporabnika in ko jo eden od njiju shrani in zapre, lahko s tem uniči vse, kar je vanjo

pred tem napisal drug uporabnik. Na srečo obstajajo pri teh storitvah varnostne funkcije

(na primer zaklenitev datoteke, ki je trenutno odprta), ki lahko to preprečijo. Do nenamerne

izgube podatkov pride tudi v primerih, ko uporabnik datoteke ne shranjuje sproti. Vedno

lahko namreč pride do sesutja programa, pri čemer bo izgubljeno vse delo, ki je bilo

opravljeno od zadnje shranitve dokumenta.

2.1.2 Izguba ali zloraba zaradi tretje osebe

V to skupino spadajo vsi načini izgube podatkov, kjer je krivec za izgubo ali zlorabo

podatkov nekdo tretji. Pri tej skupini gre za namerne zlorabe podatkov ozrioma

povzročitve izgub podatkov, kjer neka tretja oseba – na primer nekdo, ki vdre v

uporabnikov poštni račun ali pisec virusa – to namerno povzroči. Pod to vrsto torej spadajo

zlorabe podatkov zaradi nepooblaščenega dostopa do njih, kot tudi okužbe z zlonamerni

programi. Same okužbe pa so velikokrat posledica naivnosti uporabnika pri uporabi spleta

in elektronske pošte. Na srečo se da te indicente preprečiti z poučevanjem končnih

uporabnikov o dobrih praksah varnosti na spletu, kot tudi z uporabo varnostnih orodij in

tehnologij, kot so na primer anti-virusni program, šifriranje komunikacije po internetu,

šifriranje samih podatkov in tako dalje.

2.1.3 Izguba zaradi nezanesljivosti tehnologije

Pri tej vrsti izgube podatkov, ki je – enako kot prva – tudi nenamerna izguba, krivec za

izgubo podatkov ni uporabnik sam, niti ni to nekdo tretji, ampak je vzrok za izgubo strojna

oprema. Sem spadajo izgube podatkov, ki so posledica odpovedi posameznih računalniških

komponent informacijskega sistema; v veliki večini gre za okvaro strojne opreme

namenjeni hranjenju podatkov. Najbolj pogost primer je na primer odpoved trdega diska,

namenjenega shranjevanju podatkov.

2.1.4 Statistika napadov v letu 2014

Pri statistiki napadov v letu 2014 smo se omejili na statistiko ogroženosti glede na

ogroženost produktov oziroma programske opeme. Zlonamerne osebe so v letu 2014

najbolj pogosto izkoriščale ranljivosti v programski opremi podjetja Oracle, točneje,

njihovo programsko opremo Java. Naslednji najbolj ranljivi programi so bili iz kategorije

spletnih brskalnikov (Internet Explorer, Google Chrome, Mozilla Firefox in tako dalje). Na

tretjem mestu je bil program Adobe Reader (zlonamerneži so izkoriščali ranljivosti t. .i

»drive-by attacks« prek interneta in ranljivosti formata PDF). Na predzadnjem mestu se je

znašel vtičnik (anlg. »Add-on«) Flash Player podjetja Adobe, na zadnjem – s samo enim

odstotkom od vseh napadov – pa so bili programi, ki so del Microsoftovega paketa Office.

Tabela 1: Statistika napadov glede na programsko opremo

Produkt

Oracle

Java

Spletni

brskalniki

Adobe

Reader AndroidOS

Adobe

Flash

Player

Microsoft

Office

Odstotki 45% 42% 5% 4% 3% 1%

Vir: https://securelist.com/analysis/kaspersky-security-bulletin/68010/kaspersky-security-

bulletin-2014-overall-statistics-for-2014/ (5. 9. 2015)

Zgoraj je prikazana tabela s statistiko napadov za leto 2014, podatki pa so rezultat raziskav

– okužb, zaznanih in preprečenih z uporabo njihovih varnostnih rešitev – podjetja

Kaspersky Lab. Kot lahko vidimo v tabeli, okužbe prek uporabe spletnih brskalnikov

predstavljajo skoraj polovico vseh okužb, zato je potrebno njihovi varnosti (redno

posodabljanje brskalnika in vtičnikov) posvetiti dovolj pozornosti.

Kot zanimivost bi bilo vredno omeniti še to, da je (glede na podatke, dostopne v članku s

statistiko napodov) prav v letu 2014 Slovenija – poleg Malte in Slovaške – izpadla iz liste

10 najbolj varnih držav. Te tri države (torej Malto, Slovenijo in Slovaško), ki so izpadle, so

zamenjale otoška državica Martinique, otoška mestna država Singapur in Švedska. To

vseeno pomeni, da je informacijska varnost pri nas v Sloveniji na dokaj visokem nivoju.

2.2 VARNOSTNA ORODJA IN STORITVE

2.2.1 Anti-virusni programi

Anti-virusni program je programska oprema, ki se uporablja za preprečevanje okužb z

zlonamerno programsko opremo (angl. malware), kot tudi za odkrivanje in odstranjevanje

že prisotne zlonamerne programske opreme. Primeri zlonamerne programske opreme so

računalniški virusi, črvi (angl. worm) in trojanski konji (angl. trojan). Večina anti-virusnih

programov omogoča detekcijo in odstranjevanje tudi drugih vrst zlonamerne programske

opreme; to so na primer t. i. oglaševalski programi (angl. adware), vohunski programi

(angl. spyware), t. i. rootkiti (angl. rootkits) in tako dalje. Anti-virusni programi pri svojem

delovanju uporabljajo različne strategije za detekcijo in odstranjevanje zlonamerne

programske opreme. Strategija zaznavanja virusov, ki temelji na t. i. podpisih (angl.

signatures) se poslužuje iskanja znanih vzorcev zlonamerne kode v izvršljivih datotekah,

vendar pa ima ta strategija slabosti, ker anti-virusni program ne more zaznati zlonamernega

programa, če je uporabnikov računalnik okužen z neko novo vrsto kode, za katero tak

podpis še ne obstaja.

Pri anti-virusnih programih poznamo namensko skeniranje računalnika (angl. on-demand

scan), ki pregleda trdi disk in RAM na ukaz uporabnika, za preprečavanje okužb pa je

ključnega pomena skeniranje oziroma zaščita v realnem času (angl. real-time ali on-

access), ki pregleduje zaganjanje programov in odpiranje oziroma nalaganje datotek v

istem trenutku oziroma prej, preden se program zažene oziroma preden program datoteko

odpre. Uporaba zaščite v realnem času ima to slabost, da lahko upočasni delovanje

računalnika. Prav tako imajo – podobno kot v primeru bolj naprednih požarnih zidov –

neizkušeni uporabniki težave, ko se morajo odločiti, kako reagirati na opozorilna okna, ki

jih v primeru detekcije zlonamerne programske opreme prikaže anti-virusni program;

napačna odločitev namreč lahko pripelje do okužbe računalnika. Še en problem z anti-

virusnimi programi pa je zaznavanje programov kot zlonamernih, ki to niso. V takih

primerih lahko anti-virusni program izbriše legalen program ali dokument. Vseeno pa je v

smislu preventive uporaba anti-virusnega programa močno priporočljiva, še posebej za

manj vešče uporabnike. Pri uporabi anti-virusnih programov pa je bistveno to, da

uporabnik čim bolj pogosto posodablja bazo virusnih definicij (podpisov); še najbolje, da

je program nastavljen tako, da sam vsakodnevno preverja, če je na voljo nova različica

podpisov in/ali nova različica samega programa.

2.2.2 Požarni zidovi

Požarni zid (angl. firewall) je varnostna komponenta, ki nadzoruje promet – pretok

podatkov – v omrežju in ga glede na nastavitve omejuje, s tem pa varuje računalnik

oziroma lokalno omrežje pred nepooblaščenim dostopom do podatkov in pred

neavtoriziranim odtokom podatkov. Požarni zid pregleda vsak paket podatkov in blokira

prehod tistim, ki ne zadostijo kriterijem. Požarni zid je lahko strojni ali pa programski

(aplikacijski) in torej deluje kot filter pretoka podatkov; preverja vse podatke, ki prihajajo

iz interneta v lokalno omrežje, in vse podatke, ki iz lokalnega omrežja odhajajo v internet.

Glede na nastavitve požarni zid določen prenos podatkov dovoli, ali pa ga ne dovoli.

Požarni zidovi lahko tudi zamaskirajo identiteto računalnika, da zlonamerni računalniški

programi, ki želijo raziskati ali pregledati nek računalnik, ne morejo pridobiti potrebnih

informacij, s katerimi bi lahko ta računalnik identificirali in napadli. Na računalniškem

sistemu sta lahko v uporabi obe vrsti požarnega zidu (strojni in programski), prednost

programskih požarnih zidov pa je predvsem v njihovi enostavnejši uporabi. Prav tako so

namenski strojni požarni zidovi običajno precej dragi in so zato bolj primerni za podjetja in

ustanove z več računalniki. So pa strojni požarni zidovi precej hitrejši v samem delovanju

in tako omogočajo večjo prepustnost prometa. Mnogo programskih požarnih zidov za

domačo uporabo je na voljo tudi v brezplačnih različicah, v veliko primerih pa so celo

enako zmogljivi in zanesljivi kot plačljivi. Nekaj primerov programskih požarnih zidov:

Zone Alarm, Kerio Firewall, Outpost Firewall in Comodo Firewall.

2.2.3 Storitev Dropbox

Dropbox je storitev, ki registriranim uporabnikom nudi varno shranjevanje in deljenje

datotek »v oblak«, prav tako pa omogoča sinhronizacijo datotek na lokalnem računalniku z

njihovimi strežniki. Dropbox te storitve nudi tako, da Dropbox program pri inštalaciji na

uporabnikovem računalniku ustvari posebno mapo z imenom »My Dropbox«, običajno

pod %userprofile%\My Documents\. To mapo nato Dropbox program uporablja za

sinhroniziranje podatkov s svojimi datotečnimi strežniki. To pomeni, da bo za uporabnika

vsebina te mape vedno ista, ne glede na to, na katerem računalniku bo dostopal do nje.

Datoteke v tej mapi so torej na lokalnem disku enako kot tiste na Dropbox strežniku,

dostopne pa so tudi prek mobilnih aplikacij in prek spletnega brskalnika na spletni strani

Dropbox. Dropbox v brezplačni različici (angl. Dropbox Basic) uporabnikom nudi 2 GB

prostora na svojih strežnikih, v plačljivi različici pa kar 1000 GB (1 TB). Uporabniki

brezplačne različice pa lahko na različne načine (na primer na Dropbox napotijo novega

uporabnika ali začnejo Dropboxu slediti na socialnih omrežjih) pridobijo dodaten

razpoložljiv prostor. Vir: https://en.wikipedia.org/wiki/Dropbox_(service) (5. 7. 2015)

Zelo pomembna je varnostna storitev hranjenja podatkov na Dropbox strežnikih za

primere izbrisa datotek. Ko uporabnik izbriše datoteko iz mape »My Dropbox« na svojem

računalniku, ta datoteka ni več vidna v upravljalcu datotek in je odstranjena iz lokalnega

diska. A datoteka dejansko še ni trajno izbrisana; Dropbox program jo je le uvrstil na listo

datotek, ki čakajo na trajni izbris. Ta mehanizem omogoča uporabniku, da izbrisano

datoteko (ali več datotek) pridobi nazaj, prav tako pa omogoča funkcijo zgodovine različic

datotek(e). Za uporabnike osnovne brezplačne storitve Dropbox se varnostne kopije

izbrisanih in/ali spremenjenih datotek na Dropbox strežnikih hranijo 30 dni. Vir:

https://www.dropbox.com/help/115?path=space_and_storage (6. 7. 2015) Za uporabnike

osnovne brezplačne storitve se izbrisane in spremenjene datoteke na Dropbox strežnikih

hranijo 30 dni.

Še vedno pa za podjetja in korporacije v praksi velja (oziroma bi moralo veljati)

pravilo, daz a ključne poslovne podatke z visoko stopnjo zaupnosti zagotovijo tudi fizične

kopije, ki se hranijo v bančnem sefu.

2.2.4 tev OpenDNS

OpenDNS je varnostna storitev, ki razširja DNS sistem z dodatkom raznih varnostnih

funkcij. OpenDNS za DNS storitve uporabnikom ponuja svoje DNS strežnike. IP naslova

od OpenDNS strežnikov za različico IP protokola IPv4 sta 208.67.222.222

(resolver1.opendns.com) in 208.67.220.220 (resolver2.opendns.com), za različico Ipv6 pa

2620:0:ccc::2 in 2620:0:ccd::2. Glavne funkcije, ki jih ponuja storitev OpenDNS, so

sledeče:

− osnovna DNS storitev (pretvorba spletnih naslovov – oziroma imen domen – v IP

naslove)

− zaščita pred ribarjenjem (angl. anti-phishing)

− zaščita pred znanimi robotskimi omrežji (angl. botnets oziroma bot networks)

− popravljanje napak v spletnih naslovih; če uporabnik storitve OpenDNS pomotoma

napačno vnese ime spletne strani (na primer google.cm in ne google.com), ga

OpenDNS preusmeri na pravi naslov

− filtriranje vsebin prek kategorij spletnih strani, ki se nastavijo individualno za

vsakega uporabnika posebej in filtriranje imen domen glede na črno in belo listo; za te

domene uporabnik nastavi, da jih OpenDNS vedno blokira (oziroma nikoli), te

nastavitve pa imajo prednost pred kategorijami in je tako mogoče obiskati stran, ki je v

blokirani kategoriji

Ker DNS sistem uporablja UDP protokol – ki je t. i. nepovezavno orientiran protokol –

in ne povezavnega protokola TCP, so DNS operacije ene najhitrejših operacij na internetu.

Kljub temu pa je OpenDNS v veliko primerih pri pretvorbi naslovov hitrejši od DNS

strežnikov uporabnikovega ponudnika spletnih storitev. Svoje DNS strežnike ima namreč

razporejene po celem svetu, prav tako ima OpenDNS tudi velik predpomnilnik (angl. DNS

cache) že pretvorjenih spletnih naslovov v IP naslove. Njegovim strežnikom se tako ni

treba povezati z avtoritativnim DNS imenskim strežnikom od spletne strani za vsako DNS

zahtevo, ker ima OpenDNS IP naslov od spletne strani shranjen že od prej. Osnovna

storitev OpenDNS ne zahteva registracije, če pa želi uporabnik uporabljati napredne

funkcije, se mora registrirati. Vir: https://en.wikipedia.org/wiki/OpenDNS 27. 6. 2015)

OpenDNS uporablja t. i. Anycast usmerjanje, ki je posebna tehnologija usmerjanja, ki

poskrbi, da računalniki OpenDNS uporabnikov vedno komunicirajo z najbližjim

podatkovnim središčem OpenDNS. Z usmerjanjem Anycast OpenDNS v praksi doseže, da

nek IP naslov obstaja na več sto strežnikih. OpenDNS procesira več milijard DNS

zahtevkov dnevno in ker upravlja enega največjih DNS predpomnilnikov na internetu, ima

v danem trenutku pregled nad celotnim globalnim stanjem interneta. To pomeni, da je

velika verjetnost, da za poljubno DNS zahtevo OpenDNS že pozna odgovor, ne da bi

moral pridobiti informacijo od avtoritativnega DNS strežnika. Ta mehanizem zmanjšuje

uporabnikov DNS odzivni čas in zagotavlja hitrejšo uporabniško izkušnjo. OpenDNS

podpira tudi protokol DNSCrypt, ki omogoča overitev DNS prometa med računalnikom in

imenskimi strežniki. Vir: https://www.opendns.com/about/global-dns-infrastructure/ (27. 6.

2015)

2.3 GLAVNE DOBRE VARNOSTNE PRAKSE

2.3.1 Izdelava varnostnih kopij podatkov

Najbolj učinkovita, zanesljiva in univerzalna metoda za obrambo pred izgubo

podatkov izdelovanje varnostnih kopij podatkov. Univerzalna v tem smislu, da deluje ne

glede na vzrok za izgubo podatkov oziroma storilca. Ker se podatki na računalniških

sistemih hranijo v obliki datotek, te pa so hierarhično razporejene v mape, varnostno

kopiranje pomeni izdelovanje varnostnih kopij datotek in map. Glede na možnost okvare

strojne opreme izdelava varnostih kopij na isti trdi disk nima smisla, ker se bodo v primeru

okvare diska izgubili vsi podatki na njem. Zato je varnostne kopije smiselno izdelovati

izključno na zunanji medij; zunanji medij je lahko USB ključ, CD/DVD disk, drug trdi

disk (ali več diskov) na istem računalniku in tako dalje. Katero vrsto zunanjega medija

bomo izbrali je odvisno od našega namena in cilja; ali želimo redno izdelovati varnostne

kopije manjših količin podatkov, ali želimo (trajno) arhivirati večje količine podatkov.

Glede na kapaciteto, zmogljivost in ceno, je izdelava varnostnih kopij na drug trdi disk še

najbolj ugodna rešitev. Poleg nam dostopnih (fizičnih) zunanjih medijev pa obstajajo tudi

spletne storitve za varno hrambo in deljenje podatkov v »oblaku«. Primeri takih storitev so

Dropbox, Copy, Google Drive, Microsoft OneDrive in Syncplicity. Pri varovanju podatkov

pred izgubo z uporabo politike izdelovanja varnostnih kopij pa se je treba zavedati, da je

lahko tako varovanje nezanesljivo, če je odvisno od človeka; človek lahko namreč na redno

izdelavo varnostnih kopij pozabi. Zato je najbolj smiselno, da varnostno kopiranje

podatkov popolnoma avtomatiziramo. To lahko v primeru kopiranja na zunanji medij ali v

»oblak« storimo z namenskimi programi ali z osnovnimi oziroma bolj naprednimi

skriptnimi jeziki (na primer VBScript, ki je akronim za »Basic Scripting Edition« in je bolj

napreden skriptni jezik, ki ga je Microsoft razvil na podlagi jezika Visual Basic) in

Windows orodjem Task Scheduler.

2.3.2 Uporaba varnih uporabniških gesel

Zelo pomembna dobra varnostna praksa je uporaba varnih gesel v kombinaciji z

uporabniškimi imeni, pa naj gre za gesla za vpis v uporabniški račun na računalniku, gesla

za dostop do uporabniških računov na spletnih straneh in tako dalje. Osnova varnega gesla

sta njegova dolžina in kompleksnost; da je geslo zares varrno mora biti čimbolj

raznovrstno, kajti večja kot je variacija v znakih, ki ga sestavljajo, težje ga je uganiti ali

razbiti. Se je pa treba zavedati, da se da praktično vsako geslo razbiti. Ni pa zelo verjetno,

da bi nekdo posvetil veliko resursov za to, da bi odkril na primer naše geslo za vpis na

neko spletno stran. Zato je v primerih, ko gre za uporabniška imena in gesla za vpis v

spletne strani in podobno (ko torej ne gre za zelo pomembne, občutljive ali vredne

informacije), pretiran strah odveč.

Pri izbiri gesla se je potrebno držati nekaj osnovnih pravil: geslo mora biti dovolj

dolgo (sestavljeno mora biti iz dovolj velikega števila znakov), vsebovati mora velike in

male črke, kot tudi številke, ločila in druge simbole. Za gesla ne smemo uporabiti besed iz

slovarjev, svojega (ali uporabniškega) imena ali priimka, oziroma katerega koli lastnega

imena. Zelo važno je, da gesel nikomur ne izdamo in da si jih nikamor ne zapišemo, ampak

jih imamo v spominu; najmanj varno geslo je namreč tisto, ki je nekje zapisano, še toliko

slabše, če je shranjeno v digitalni obliki na disku. Vedeti pa je treba, da je najslabše geslo

tisto, ki smo ga pozabili, ker s tem izgubimo dostop do želene vsebine. Zato si izberimo

tako geslo, ki se ga bomo mi lahko spomnili, za druge pa je težko ali nemogoče, da bi ga

uganili. Dobra varnostna praksa je tudi to, da geslo vsake toliko časa zamenjamo. Vir:

http://www.usewisdom.com/computer/passwords.html (6. 6. 2015)

Druga možnost pa je, da si izberemo bolj kompleksno geslo, ki si ga ne moremo

zapomniti na pamet, nato pa uporabljamo program za varno hrambo gesel v šifrirani obliki.

Za hranjenje takih bolj kompleksnih varnostnih gesel je namenjena posebna vrsta

programov za šifriranje, ki so posebej namenjenih varnemu hranjenju gesel. Za hranjenje

gesel v šifrirani obliki obstaja kar nekaj zastonjskih uporabniških programov, dva izmed

najbolj popularnih pa sta programa KeePass (bolj napreden program) in program Password

Safe (preprostejši), ki sta oba v osnovi namenjena hranjenju uporabniških imen in gesel v

dvojicah in ostalih poljubnih dodatnih podatkov v zašifrirani bazi podatkov.

2.3.3 Celovito zavarovan Windows XP

Windows XP je bil izdan in je prišel v uporabo oktobra 2001; to pomeni, da je v letu

2015 star skoraj 14 let in je že zelo star operacijski sistem. Faza podaljšane podpore se je

zanj končala 8. aprila 2014 po več kot 12 letih od prihoda operacijskega sistema na trg.

Tudi spletni brskalnik Internet Explorer je komponenta operacijskega sistema Windows,

zato so pri Microsoftu prenehali tudi s podporo za vse različice programa za Windows XP.

Microsoft je za Windows XP od tega datuma dalje zagotavljal le še definicije in

posodobitve za anti-malware program Microsoft Security Essentials. A tudi to se je

končalo 14. julija 2015. Ker torej Microsoft ne nudi več popravkov za operacijski sistem in

Microsoft programe, je prav ranljivost operacijskega sistema eden največjih faktorjev

tveganja za varnostne incidente; Windows XP je tako rekoč z vsakim dnem bolj ranljiv in

njegova uporaba bolj tvegana. Če imajo posamezne naprave v informacijskem sistemu še

vedno nameščen operacijski sistem Windows XP, je njegova zavarovanost še toliko bolj

pomembna. Vir: https://en.wikipedia.org/wiki/Windows_XP (20. 6. 2015)

Glede na to, da je izvor večine zlonamernih programov internet, ima tako najbolj

pomembno vlogo pri varovanju pred vdori in okužbami na starem operacijskem sistemu

požarni zid. Prav tako je pomembno, da imamo na računalniku dober anti-virus program,

ki ga je potrebno redno posodabljati; še najbolje, da ga nastavimo tako, da se redno

posodablja sam. Še en zelo učinkovit način, kako dodatno zavarovati računalniški sistem,

ki ima na eni od naprav (ali na večih) inštaliran operacijski sistem Windows XP, je z

uporabo storitve OpenDNS. Ko je računalnik s takim operacijskim sistemom priključen na

internet, ga OpenDNS varuje pred spletnimi stranmi in e-mail sporočili, katerih namen je

»ribarjenje« podatkov o uporabniku, storitev OpenDNS pa nudi zaščito pred robotskimi

omrežji. Vir: http://searchsecurity.techtarget.com/definition/botnet (28. 6. 2015)

Ker imamo v domačem delovnem okolju na dveh lokacijah računalnika, ki še vedno

uporabljata operacijski sistem Windows XP, je prav dobra zavarovanost operacijskega

sistema pred grožnjami iz interneta izredno pomembna. Zastareli operacijski sistem

Windows XP še vedno uporabljamo iz več razlogov. Enega od računalnikov (na eni od

dveh lokacij) za delo uporabljajo tudi drugi uporabniki, ki so manj vešči uporabe

računalnika in programov in so navajeni izključno na uporabniški vmesnik operacijskega

sistema Windows XP in bi zanje prehod na vmesnik novejših različic operacijskega

sistema Microsoft Windows (Windows 7, Windows 8 in Windows 10) predstavljal veliko

oviro. Obstaja tudi nekaj nepogrešljivih programov (na primer program Diogenes za

prevajanje iz klasične grščine v angleščino), ki jih pogosto uporabljamo, a še niso bili

posodobljeni za novejše različice Microsoft Windows in tudi ni jasno ali sploh kdaj bodo.

Prav tako pa za star UMAX skener ni na voljo posodobljenih gonilnikov za Windows 7.

2.3.4 Licenčna ali preverjena odprto-kodna programska oprema

Za varnost informacijskega sistema je pomembno tudi to, da uporabljamo bodisi

plačljivo licenčno (angl. proprietary software), bodisi preverjeno zastonjsko odprto-kodno

(angl. freeware ali open-source) programsko opremo. Kot najbolj pomembno je, da je

licenčen operacijski sistem; v našem primeru sta to Windows XP in Windows 7. Torej da

ne uporabljamo operacijskega sistema, katerega nelicenčen in »razbit« (angl. cracked)

inštalacijski program je mogoče dobiti prek interneta ali pa od tretjih oseb. Prav tako pa je

pomembno tudi da je licenčen ali v primeru zastonjskega programa od znanega podjetja

anti-virusni program; v našem primeru sta to programa Microsoft Security Essesntials in

Windows Defender od Microsofta in program Avast Antivirus 2015. Prav tako pa je

pomembno, da ne uporabljamo »razbitih« različic licenčne oz. preizkusne programske

opreme (angl. shareware oziroma trialware). Če pa že uporabljamo zastonjske programe,

naj bodo ti kot rečeno od znanih podjetjih (primer Mozilla Firefox, Google Chrome in tako

dalje) oziroma znanih avtorjev programske opreme.

Glavna prednost licenčne programske opreme (ki pa je lahko tudi slabost) tiči predvsem v

dejstvu, da gre za zaprto-kodne programske rešitve, kar pomeni, da izvirna koda ni na

voljo javnosti (na primer zlonamernim tretjim osebam, ki bi poskušale najti varnostne

luknje v kodi), ostale prednosti pa so njena legalnost, možnost nudenja pomoči

uporabnikom ob težavah (angl. user support) in tako dalje. Slabosti licenčne programske

opreme pa so v tem, da je izvorna koda programa nedosegljiva in bi to neko podjetje lahko

izkoristilo v zle namene. Ena od glavnih prednosti zastonjske (oziroma odprto-kodne)

programske opreme je v transparentnosti; izvorna koda je namreč javna. V praksi to

pomeni na primer to, da si lahko vsak uporabnik (programer) program prilagodi po svoje,

prav tako pa to pomeni tudi, da uporabniki odprto-kodne programske opreme hitreje

najdejo potencialne varnostne luknje, ki so zato tudi hitreje odpravljene. Glavna slabost

odprto-kodne programske opreme pa je v tem, da je izvorna koda prosto dostopna, kar

pomeni, da je na voljo tudi zlonamernim tretjim osebam, ki lahko izkoristijo še neodkrite

varnostne luknje v programski kodi. Vir: http://www.gnu.org/philosophy/proprietary.html

Proprietary Software (5. 9. 2015)

2.3.5 Pomembnost administriranja

Sistemski skrbniki (administratorji) imajo pri varovanju informacijskih sistemov

najpomembnejšo vlogo. Oni so praviloma tisti, ki so namestili operacijski sistem na

računalnike končnih uporabnikov in oni upravljajo z administrativnimi opravili, kot so na

primer posodabljanje operacijskega sistem in programov. Administrator v večini primerov

skrbi tudi za avtomatizacijo opravil povezanih z varno hrambo podatkov oziroma

izdelovanjem varnostnih kopij. In ker je pri zanesljivem varnostnem kopiranju podatkov

pomembno, da to opravilo ni odvisno od spomina in dejanj končnega uporabnika (niti

samega administratorja), je najbolje, da so ta opravila popolnoma avtomatizirana. Zato je

še posebej pomembno, da ima administrator dober pregled nad celotnim informacijskim

sistemom, za katerega skrbi, pa naj gre za domače delovno okolje za manjše oziroma večje

podjetje. Administratorji skrbijo tudi za posodobitve operacijskega sistema in uporabniških

programov. V delovnih okoljih z več računalniki je avtomatizacija teh opravil praktično

nujna, saj si je težko predstavljati, da bi sistemski skrbnik posodabljal vsako napravo

posebej. Pri tem pa si lahko pomaga s številnimi namenskimi orodji in varnostnimi

uporabniškimi programi.

Za večja delovna okolja pa je pomembno tudi to, da obstaja med administratorjem –

oziroma pri večjih informacijskih sistemih več administratorji – in končnimi uporabniki

dobra komunikacija. Administratorji imajo glede na naravo svojega dela priložnost, da ob

konkretnih primerih težav oziroma varnostnih incidentov končne uporabnike poučijo o

varnosti na spletu, dobrih praksah uporabe računalnika in podobno.

3 VARNOSTNI MEHANIZMI PRI MICROSOFT WINDOWS

3.1 VARNOSTNI MEHANIZMI PRI WINDOWS XP

3.1.1 Varnostni mehanizem DEP

Varnostni mehanizem DEP (»Data Execution Prevention«) je varnostna funkcija, ki v

delovnem spominu operacijskega sistema opredeli določena področja kot izvršljiva, druga

pa kot neizvršljiva. Tako na primer programom, servisom in gonilnikom dovoli samo

zagon kode v območju, ki je označeno kot izvršljivo. Ta varnostni mehanizem ni v uporabi

samo na operacijskih sistemih Microsoft Windows, ampak je na voljo tudi v oprearcijskih

sistemih Linux, OS X in iOS, in v operacijskem sistemu za pametne telefone Android.

3.1.2 Funkcije datotečnega sistema NTFS

Z operacijskim sistemom Windows XP je prišel nov datotečni sistema NTFS in z njim

veliko varnostnih funkcij, ki jih datotečni sistem FAT32, ki je bil v uporabi do takrat, ni

poznal. NTFS datotečni sistem uporabnikom omogoča podrobne varnostne nastavitve za

pogone, mape in datoteke. Te varnostne nastavitve so na voljo v zavihku Security v

lastnostih pogona, datoteke ali več datotek, in mape ali več map. S klikom na gumb

»Advanced« lahko administrator računalnika podrobno določa pravice za različne

uporabnike in skupine uporabnikov, po želji pa jih tudi dodaja in briše. Prav tako lahko

spreminjamo lastnika (angl. Owner) pogona, map in datotek. Datotečni sistem NTFS

ponuja tudi enkripcijo posameznih datotek in map.

3.1.3 Windows sistemski servisi

Vsi Microsoft Windows operacijski sistemi imajo vgrajene t. i. servise, ki imajo vsak

svojo specifično vlogo, velika večina pa se jih v računalniški spomin naloži pri zagonu

računalnika s pomočjo gostiteljskih »svchost.exe« procesov. Veliko servisov pri

operacijskem sistemu Windows nima direktne veze z varnostjo, ampak je njihova vloga, da

podpirajo operacijski sistem; brez zagnanih servisov Remote Procedure Call (RPC), Event

Log in še nekaterih, uporabnik ob zagonu računalnika najverjetneje sploh ne bi prišel do

namizja, ali pa bi bilo le-to popolnoma neuporabno. Nekaj servisov pa je ključnih za

varnost računalnika. To so na primer servisi: Windows Firewall/Internet Connection

Sharing (ICS), Microsoft Antimalware Service, Security Center, Windows Updates,

Security Center, HTTP SSL in tako dalje. Med njih bi lahko uvrstili še druge servise, kot

sta na primer servisa Protected Storage (nudi varno shranjevanje podatkov) in System

Restore (izvaja funkcije za povrnitev sistema v prejšnje stanje), a zgoraj našteti so

najpomembnejši.

3.1.4 Varnostna komponenta Windows Firewall

Windows Firewall oziroma Windows požarni zid je varnostna komponenta pri

operacijskih sistemih Windows XP in je pri Windows XP SP3 privzeto omogočen. Požarni

zid Windows Firewall filtrira ves promet – zahtevke za vzpostavitev povezave in prenos

podatkov – v lokalnem omrežju; to pomeni, da preverja prenos podatkov, ki prihajajo iz

interneta v lokalno omrežje in podatke, ki odhajajo iz lokalnega omrežja v internet, in

glede na nastavitve požarnega zidu vzpostavitev povezave oziroma prenos podatkov dovoli

ali ne dovoli.

Slika 1: Windows XP, Windows Firewall, opozorilno okno

Windows Firewall pri Windows XP deluje prek procesov »alg.exe«, ki poganja

Application Layer Gateway Service servis in »svchost.exe«, v katerem je zagnan Windows

Firewall/Internet Connection Sharing (ICS) servis. Glavna naloga Windows požarnega

zidu je torej ta, da preverja TCP zahtevke oddaljenih računalnikov za povezavo z

uporabnikovim računalnikom in glede na nastavitve – oziroma odločitev uporabnika – to

komunikacijo dovoli, oziroma je ne dovoli.

3.1.5 Varnostna komponenta Microsoft Security Essentials

Od operacijskega sistema Windows XP SP3 dalje podjetje Microsoft ponuja svojim

uporabnikom zastonjski anti-virus in anti-sypware program Microsoft Security Essentials

(ali kratko MSE). Microsoft Security Essentials je podobno kot Windows požarni zid

varnostna komponenta, ki je vgrajena v Windows operacijske sisteme in je privzeto

omogočena. Prek uporabniškega vmesnika lahko ročno zaženemo skeniranje sistema

oziroma ga avtomatiziramo, vklopimo in izklopimo lahko zaščito v realnem času, v

nastavitvah programa pa lahko pod Izjeme (angl. Exclusions) dodamo procese in poti do

map in datotek, za katere nočemo, da jih program preverja.

3.1.6 Nastavitve za internet pod Internet Options

Napredne konfiguracijske nastavitve za spletni brskalnik Internet Explorer so

uporabniku dostopne prek ikone Internet Options v Kontrolni plošči (angl. Control Panel).

Te nastavitve so univerzalne v tem smislu, da veljajo tudi za veliko drugih programov in ne

samo za brskalnik Internet Explorer; veljajo tako za programe od Microsofta, kot tudi za

druge programe, ki se povezujejo v internet. Prek teh nastavitev lahko nastavimo razne

napredne nastavitve, ki izboljšajo varnost našega računalnika med uporabo interneta.

V zavihku General se nahajajo osnovne nastavitve spletnega brskalnika Internet

Explorer, kot so na primer nastavitev za domačo stran, nastavitev za zgodovino brskanja

po spletu, nastavitve za ponudnike iskanja po spletu, obnašanje zavihkov, lokacijo mape in

maksimalno velikost za začasne internetne datoteke (angl. Temporary Internet Files), ter

nastavitve za barve, jezik in pisavo. V zavihku Security so pomembne nastavitve v za štiri

različne cone: Internet, Local intranet, Trusted sites in Restricted sites. Privzete nastavitve

za vsako cono je poleg popolnoma poljubnih nastavitev možno spremeniti tudi v eno od

petih vnaprej nastavljenih stopenj varnosti; High, Medium-high, Medium, Medium-low,

Low. Stopnja High je najbolj varna nastavitev, Medium-high je podobna stopnji Medium

(vendar so nekatere dodatne funkcije onemogočene oziroma nastavljene tako, da brskalnik

za potrditev vpraša uporabnika), Medium je stopnja s srednje varnimi nastavitvami,

Medium-low je tudi podobna stopnji Medium, le da brskalnik uporabnika ne vpraša za

potrditev, preden požene neko potencialno nevarno vsebino (ta nastavitev je privzeta za

cono Local intranet), Low pa je najmanj varna stopnja. Obstaja še stopnja Custom Level,

ki pomeni od uporabnika nastavljene nastavitve in je namenjena bolj izkušenim

uporabnikom. Praviloma je za brskanje po spletu (cona Internet) privzeta nastavitev

Medium-high dovolj varna. Nastavitve za cono Internet lahko administrator ali končni

uporabnik na primer nastavi tako, da ne dovoli avtomatičnega zagona t. i. »Active Scripts«;

to naredi tako, da v oknu Settings (ki se odpre prek gumba »Custom Level…«) pod sekcijo

Scripting odstrani kljukici pod »Active scripting« in »Scripting of Java applets«. Zelo

pomembne so tudi nastavitve, ki programu Internet Explorer preprečijo, da bi avtomatično

zagnal Java programe. V teh nastavitvah se nahaja tudi opcija, ki brskalniku Internet

Explorer prepreči, da bi avtomatično prikazoval aktivno vsebino, kot so na primer

animacije.

Zlasti pomembne so napredne nastavitve v zadnjem zavihku Advanced. V sekciji

Accessibility se nahajajo osnovne nastavitve v zvezi s prikazom vsebine, v sekciji

Browsing so nastavitve od izgleda samega okna spletnega brskalnika, do načina prikaza

spletnih strani, in prikaza map in datotek pri uporabi FTP protokola (angl. File Transfer

Protocol), nastavitve v zvezi z razširitvami oziroma vtičniki in tako dalje. V sekciji

Multimedia se tudi nahajajo nekatere nastavitve v povezavi s prikazom vsebine spletnih

strani, sekcija Security pa vsebuje varnostne nastavitve za t. i. aktivno vsebino, nastavitve

za preverjanje varnostnih certifikatov spletnih strani in digitalnih podpisov programov

pridobljenih iz spleta, in nastavitve za DOM Storage, SSL in TSL protokole.

3.2 VARNOSTNI MEHANIZMI PRI WINDOWS 7

3.2.1 Varnostni mehanizem ASLR

Varnostni mehanizem ASLR (»Address space layout randomization«) je varnostna

tehnologija, ki varuje računalnik pred t. i. »buffer overflow« napadi. Da bi potencialnemu

apadalcu, ki je vdrl v operacijski sistem preprečili, da dostopal določene ranljive funkcije

oziroma področja v sistemskem pomnilniku, varnostni mehanizem ASLR v naslovnem

prostoru naključno organizira položaje za ključne podatke od procesov, ki so v tistem

trenutku zagnani.

3.2.2 Varnostni mehanizem UAC

Varnostni mehanizem UAC (»User Account Control«) je varnostna komponenta, ki jo

je Microsoft prvič predstavil v operacijskih sistemih Windows Vista in Windows Server

2008, v verziji Windows 7 pa je bila še izboljšana. Bistvo tega mehanizma je v izboljšanju

varnosti operacijskega sistema s tem, da Windows programe privzeto zaganja z navadnimi

uporabniškimi pravicami. Za posebne primere – na primer povečanje pravic, da lahko

uporabnik inštalira nov program – pa mora dejanje potrditi administrator operacijskega

sistema. V Windows 7 je varnostni mehanizem UAC postal manj nadležen in bolj

fleksibilen. Vir: https://www.nsa.gov/ia/_files/os/win7/win7_security_highlights.pdf (4. 7.

2015) Manj programov zahteva odobritev za zagon. Če ima uporabnik administratorske

pravice, lahko sam podrobno nastavi kako pogosto in za katere stvari ga bo UAC

mehanizem obveščal. UAC je privzeto nastavljen tako, da uporabnika obvesti vedno (angl.

Always notify), ko programi poskušajo izvesti spremembe na računalniku oziroma v

nastavitvah operacijskega sistema, ki zahtevajo skrbniško dovoljenje. To je tudi najbolj

varna možna nastavitev. Ko je UAC aktiviran, uporabnika obvesti tako, da se namizje

zatemni in mora v UAC opozorilnem oknu odobriti ali zavrniti zahtevo, preden lahko

naredi karkoli drugega na računalniku.

3.2.3 Varnostna komponenta Windows Firewall

Požarni zid, ki je bil vgrajen v starejše operacijske sisteme Windows, je bil dolgo tarča

pritožb, da ne nudi dovolj zaščite. Požarni zid je namreč v svoji prvi različici (najprej se je

imenoval preprosto Internet Connection Firewall, od Windows XP SP2 naprej pa Windows

Firewall) filtriral samo dohodni promet (angl. inbound traffic), prometa z izvorom na

lokalnem računalniku (angl. outbound traffic) pa ne. Običajno gre sicer za legitimne TCP

zahtevke za povezavo, kar pomeni, da nek program na določenem vratih (angl. port)

posluša in čaka na zahtevke za povezavo z oddaljenih računalnikov; temu rečemo, da se

program obnaša kot strežnik (angl. server). Tako pa se obnaša tudi veliko zlonamernih

programom in s tem, ko onemogoči povezavo v internet in s tem prepreči nadaljno škodo;

privzeta nastavitev Windows požarnega zidu je namreč taka, da programom dovoli

povezavo v internet. To je Microsoft popravil že v različici požarnega zidu za Windows

XP SP3, ko je bil požarni zid nadgrajen, da je uporabnik za programe, ki poslušajo za

dohodne TCP povezave z oddaljenih računalnikov, začel prikazovati preprosta opozorilna

okna. V Windows 7 pa je požarni zid še veliko bolj napreden in nudi veliko več nastavitev

in je bolj podoben namenskim programskim požarnim zidovom.

Slika 2: Windows 7, Windows Firewall, opozorilno okno

3.2.4 Varnostna komponenta Action Center

Action Center je varnostna komponenta, ki uporabniku posreduje pomembna sporočila

o varnostnih nastavitvah in priporočenih vzdrževalnih ukrepih. V Action Center so z rdečo

barvo so obarvana pomembna sporočila, na primer taka, ki kažejo na večje potencialne

težave ali varnostna tveganja, za katera je priporočeno, da se jim uporabnik čim prej

posveti. Primer za tako vrsto sporočila je – če je Action Center nastavljen tako, da spremlja

delovanje teh dveh komponent – ustavljen Windows Firewall ali zastarele oziroma še ne

inštalirane posodobitve za operacijski sistem. Z rumeno barvo pa so v Action Center

obarvana manj pomembna sporočila, ki kažejo na priporočene – običajno vzdrževalne –

naloge, za katere je le priporočeno, da jih uporabnik obravnava, ni pa to nujno. V Nadzorni

plošči je mogoče nastaviti katere funkcije oziroma komponente operacijskega sistema

Action Center spremlja in za njih prikazuje sporočila in katerih ne.

3.2.5 Varnostna komponenta Windows Defender

Windows Defender je anti-malware program, ki je vključen v sistem Windows 7,

podobno kot je bil Microsoft Security Essentials vključen v Windows XP. Windows

Defender je torej varnostna aplikacija, katere glavna naloga je preprečevanje okužb,

uporablja pa se ga tudi za odkrivanje in odstranjevanje že prisotne zlonamerne programske

opreme. Windows Defender nudi zaščito v realnem času, kar pomeni, da blokira

zlonamerno programsko opremo, ko se poskuša namestiti ali zagnati, prav pa redno

samodejno skenira računalnik za že prisotno zlonamerno kodo. Windows Defender za

prepoznavo zlonamerne kode uporablja t. i. definicijske datoteke. To so posebne datoteke,

ki vsebujejo podatke o potencialnih grožnjah oziroma podatke o zlonamerni programski

opremi. Kot pri vseh anti-malware programih je tudi pri programu Windows Defender

pomembno, da so njegove definicijske datoteke redno posodabljane. Windows Defender za

posodabljanje definicijskih datotek in za posodabljanje samega programa uporablja

Windows Update, ki samodejno prenese in namesti nove definicije takoj ko so na voljo.

http://www.microsoft.com/security/pc-security/windows7.aspx (5. 7. 2015),

3.2.6 Varnostna funkcija Windows Update

Windows Update (ali kratko WU) je storitev, ki jo Microsoft ponuja uporabnikom za

zagotavljanje posodobitev za operacijske sisteme Windows in njihove komponente..

Storitev WU omogoča različne vrste posodobitev; varnostne posodobitve in/ali kritične

posodobitve zaščitijo računalnik pred ranljivostmi, ki bi jih lahko izkoristili zlonamerni

programi ali tretje osebe (t. i. »hekerji«), posodobitve, ki niso ključnega pomena za varnost

računalnika, pa so namenjene odpravi odkritih napak v komponentah operacijskega

sistema ali povečanju funkcionalnosti. Storitev je možno nadgraditi v Microsoft Update, ki

je razširjena različica storitve in zagotavlja posodobitve tudi za druge Microsoftove

programe . Vir: https://en.wikipedia.org/wiki/Windows_Update (20. 6. 2015)

Microsoft običajno izdaja varnostne posodobitve vsak drugi torek v mesecu, lahko pa

jih izda in namesti na računalnike pravzaprav kateri koli dan, kar velja za primere na novo

odkritih večjih varnostnih lukenj. Posodobitev je takrat nujna in njo se prepreči morebitve

množične okužbe opreracijskih sistemov Windows po celem svetu. Sistemski skrbniki

lahko konfigurirajo storitev tako, da se nujne posodobitve pridobijo in namestijo

samodejno, ko je računalnik povezan v internet. Za podjetja in ustanove je to pravzaprav

edina možnost, ker je praktično nemogoče, da bi administrator ročno posodabljal vse

operacijske sisteme. Za Windows Vista, Windows Server 2008 in kasnejše operacijske

sisteme Windows (torej tudi za Windows 7) stara spletna stran za Windows Update ne nudi

več uporabniškega vmesnika za izbiro in prenos posodobitev. Namesto nje nudi podobno

funkcionalnost Windows Update v Nadzorni plošči. Podpora za Microsoft Update je

vgrajena tudi v sam operacijski sistem, vendar je privzeto izklopljena.

4 PRAKTIČNI PRIMER ZAŠČITE IT SISTEMA

4.1 KREIRANJE IN KONFIGURACIJA WI-FI OMREŽJA

V domačem delovnem okolju na eni lokaciji se osebni računalnik, ki ima inštaliran

operacijski sistem Windows XP Home SP3, na internet povezuje prek Wi-Fi mrežne

kartice, Wi-Fi usmerjevalnika in kabelskega modema od ponudnika storitev Telemach. Da

je to možno, je bilo najprej potrebno ustvariti lokalno domače brezžično omrežje. Nekateri

usmerjevalniki in brezžične mrežne kartice se znajo sami pravilno konfigurirati, tukaj pa

bomo opisali potek ročnega kreiranja nove Wi-Fi povezave prek vmesnika, ki je na voljo v

operacijskih sistemih Windows.

Za kreiranje nove Wi-Fi povezave je treba v oknu, ki se odpre, ko uporabnik z desnim

klikom na miško klikne na Wi-Fi ikono v orodni vrstici, izbrati »View Available Wireless

Connections« in nato klikniti »Set up a wireless network for a home or small office«. S

tem se odpre čarovnik Wireless Network Setup Wizard, v katerem je treba vnesti ime

oziroma SSID (angl. wireless network name) in geslo (angl. network key) za novo domačo

brezžično omrežje, prav tako pa je treba izbrati način enkripcije podatkov (WPA oziroma

WPA2 ali WPE). Nato je potrebno usmerjevalnik resetirati (da se izbrišejo morebitne že

obstoječe nastavitve), v operacijskem sistemu pa onemogočiti Wi-Fi mrežno kartico. Nato

je treba Wi-Fi usmerjevalnik s kablom povezati na pravi vhod na računalniku. Ko je to

storjeno v spletnem brskalniku vnesemo IP naslov 192.168.0.1 in pritisnemo tipko Enter,

kar odpre nastavitveni vmesnik od Wi-Fi usmerjevalnika, tja pa je potrebno vnesti iste

podatke, kot so bili prej vnešeni prek čarovnika v Windows vmesniku. Ko so pravi podatki

za novo Wi-Fi omrežje vnešeni v Wi-Fi usmerjevalnik, ga je potrebno odklopiti iz

elektrike, odnesti k kabelskemu modemu (ki v našem domačem delovnem okolju ni v

istem nadstropju kot Wi-Fi usmerjevalnik) in ju povezati s kablom. Lokalno Wi-Fi omrežje

začne delovati takoj, ko uporabnik iz usmerjevalnika izklopi kabel in v operacijskem

sistemu spet omogoči Wi-Fi mrežno kartico; Wi-Fi kartica v računalniku nato svoj privatni

IP naslov dobi od DHCP strežnika. Od takrat dalje se je na računalniku možno v internet

povezati prek Wi-Fi mrežne kartice in nadaljnja konfiguracija ni bila več potrebna.

V primeru računalnika na tej lokaciji pa zaradi zastarelosti gonilnikov Wi-Fi mrežne

kartice ni možno uporabljati Windows programske opreme za konfiguracijo in

povezovanje v omrežje; namesto nje je treba uporabiti namenski program Tenda

TWL541C(P) Wireless LAN Adapter Configuration Utility od Wi-Fi mrežne kartice. Ko s

tem programom ustvarjamo profil za domače Wi-Fi omrežje, je potrebno – podobno kot

velja za vmesnik od Wi-Fi usmerjevalnika – v vnosno polje v prvem koraku vnesti iste

podatke (SSID in geslo), kot so bili vnešeni prek čarovnika v Windows vmesniku, ko smo

ustvarjali Wi-Fi omrežje. Razlika med ustvarjanjem lokalnega brezžičnega omrežja z

Windows vmesnikom in ustvarjanjem profila z namenskim programom je le v tem, da je

pri slednjem poleg metode za enkripcijo podatkov (WPA-PSK) potrebno izbrati tudi način

overovljenja (AES ali TKIP).

Slika 3: Program Tenda Configuration Utility, Network Status

4.1.1 WI-Fi omrežje in storitev OpenDNS

Kot je opisano v poglavju v teoretičnem delu, storitev OpenDNS ponuja uporabnikom

za DNS storitve svoja alternativna DNS strežnika. Ta dva IP naslova vpišemo kot DNS

strežnika v lastnostih lokalnega Wi-Fi omrežja (angl. Wireless Local Area Network) v

zavihku General pod Internet Protocol (TCP/IP), lahko pa bi to naredili tudi v DNS

nastavitvah Wi-Fi usmerjevalnika. Spodaj je primer nastavitev za lokalno brezžično

omrežje, preko katerega se v internet povezuje delovni računalnik v domačem delovnem

okolju na eni od dveh lokacij.

Za uporabo storitve OpenDNS je potrebno namesto »Obtain DNS server address

automatically« izbrati »Use the following DNS server addresses« in v tista vnosna polja –

torej pod Preferred in Alternate DNS Server – vpisati IP naslova 208.67.222.222 in

208.67.220.220, prek katerih deluje storitev OpenDNS. Tako imamo DNS nastavitve

nastavljene na enem od računalnikov.

Slika 4: Wi-Fi Properties, DNS servers, OpenDNS

Ko je omrežje enkrat nastavljeno, da za DNS storitve uporablja imenska strežnika od

OpenDNS, bodo vsi DNS zahtevki z izvorom na tem omrežju šli prek storitve OpenDNS.

Bolj podrobne nastavitve za omrežje so administratorju omrežja na voljo na spletni strani.

Funkcije, ki jih OpenDNS privzeto nudi so zaščita pred ribarjenjem, robotskimi

zlonamernimi omrežji (angl. botnets) in popravljanje napak v vpisanih spletnih naslovih.

Bolj napredne nastavitve, kot je na primer filtriranje vsebin prek kategorij spletnih strani

ter belo in črno listo domen, pa je potrebno ročno nastaviti na OpenDNS spletni strani.

Slika 5: OpenDNS, Settings, Web content filtering

4.2 CELOVITA DNS ZAŠČITA ZA INFORMACIJSKI SISTEM

V domačem delovnem okolju na drugi lokaciji pa je računalnik bolj zapleteno

konfiguriran za hranjenje IP naslovov za imena domen. Ta računalnik ima inštaliran

Windows XP Professional SP3, na internet pa se povezuje prek HSPA USB modema in

namenskega Vodafone Mobile Broadband programa, ki pri inštalaciji ustvari – in kasneje

uporablja – lokalno omrežje (angl. Local Area Network), kateremu privatni IP naslov

dodeli lokalni DHCP strežnik. Možno pa se je v internet povezati tudi prek PPP protokola

(angl. Point-to-Point Protocol) z uporabo t. i. ročne povezave (angl. dial-up), ki ne

uporablja lokalnega omrežja in Vodafone programa Mobile Broadband.

4.2.1 Program DNSKong in DNS filtriranje

DNSKong je program, ki se obnaša kot lokalni DNS stežnik. DNSKong deluje na

lokalnem IP naslovu 127.0.0.1 (localhost) in tako filtrira ves internetni promet. Noben

zunanji računalnik ne more uporabljati programa DNSKong; uporablja ga samo lokalni

računalnik. Program DNSKong za pravila za filtriranje in blokiranje uporablja tri navadne

tekstovne datoteke:

– named.txt je datoteka, ki vsebuje posamezne dele imen v URL naslovih, ki bodo

blokirani (preusmerjeni na 127.0.0.1)

– pass.txt je datoteka, ki enako kot »named.txt« vsebuje posamezne dele imen, samo

da so te za razliko od tistih v »named.txt«, ki so blokirane, eksplicitno dovoljene

– presets.txt je datoteka, ki deluje kot lokalni DNS predpomnilnik, po vlogi in

funkcionalnosti podoben hosts datoteki

Glede na specifično uporabo filtrirnih datotek obstajata dva glavna načina uporabo

programa DNSKong. Prvi način je t. i. »block all« način, ki privzeto blokira vse IP naslove

razen tistih nekaj, katere se uporablja vsak dan in se jim zato zaupa. To se doseže tako, da

se doda .com, .net, .org top oziroma root-level imena domene v named.txt, v datoteko

pass.txt pa tiste posamezne, za katere se dovoli. Drugi način je pa t. i. »pass all« način,

kateri načeloma dovoli vse, razen tiste, katere se eksplicitno doda v named.txt datoteko.

Jaz uporabljam slednjega.

4.2.2 LAN omrežje in program DNSKong

Konfiguriranje operacijskega sistema Windows za uporabo programa DNSKong je

dokaj preprosto. Najprej je treba onemogočiti DNS Client servis, ker se bi le-ta vmešaval v

delovanje programa, nato pa imamo dve možnosti. Nastavitve za lokalno omrežje lahko

nastavimo tako, da bo DNS sistem in z njim internet deloval samo takrat, ko bo zagnan

program. To dosežemo tako, da pod »Preferred DNS Server« vpišemo naslov 127.0.0.1

(kar pomeni, da bo prek tega naslova deloval program DNSKong, ko bo zagnan), naslova

za »Alternate DNS Server« pa ne določimo.

Lahko pa nastavitve za lokalno omrežje nastavimo tudi tako, da bo DNS (in z njim

internet) vedno deloval, ne glede na to, ali bo program DNSKong zagnan ali ne. Ko bo

DNSKong zagnan, bo DNS deloval prek njega, ko pa DNSKong ne bo zagnan, bo DNS

deloval prek sekundarnega DNS imenskega stežnika. To dosežemo tako, da »Preferred

DNS Server« nastavimo na naslov 127.0.0.1, naslov za »Alternate DNS Server« pa

nastavimo poljubno. Tja lahko vpišemo IP naslov od enega od dveh OpenDNS DNS

imenskih stežnikov. Tako, da program DNSKong deluje skupaj s storitvijo OpenDNS, je

internetna povezava nastavljena na računalniku na drugi lokaciji v delovnem okolju.

Slika 6: LAN Properties, DNS servers, DNSKong + OpenDNS

Program DNSKong pa se da skupaj s storitvijo OpenDNS uporabljati tudi tako, da ko

je DNSKong zagnan, kar sam program DNSKong za pretvorbo DNS uporablja IP naslove

od OpenDNS imenskih stežnikov. To dosežemo tako, da naslova 208.67.222.222 in

208.67.220.220 vpišemo v nastavitev »Proxied DNS servers« v programu DNSKong.

4.2.3 Več-nivojska zaščita DNS sistema

V Windows operacijskih sistemih ima za DNS operacije glavno prioriteto datoteka

»hosts«, ki se nahaja pod %windir%\system32\drivers\etc\ (pri operacijskem sistemu

Windows XP je to običajno mapa C:\Windows\system32\drivers\etc\). Da ima ta datoteka

glavno prioriteto pomeni to, da operacijski sistem za vse DNS zahtevke najprej pogleda

vanjo za morebitna imena domen pretvojena v IP naslove, šele nato uporabi DNS Client

servis (če je nastavljen, da ga operacijski sistem uporablja) in zunanje DNS strežnike. Na

ta način je možno tudi blokirati povezave za želena imena domen oziroma do poljubnih

spletnih strani. To storimo tako, da imenu domene, na katero želimo programom preprečiti

povezavo, določimo IP naslov 127.0.0.1 (localhost) oziroma 0.0.0.0 (anyhost), ki sta oba

splošna IP naslova za lokalni računalnik.

DNS sistem na tem računalniku je z uporabo datoteke »hosts« in programa DNSKong

več-nivojski, kar pomeni to, da na tem računalniku operacijski sistem išče na več lokacijah,

preden se – če je to sploh potrebno – poveže z zunanjimi DNS strežniki. V praksi to

pomeni, da sistem za dano ime domene vedno najprej preveri lokalne zaloge za pretvorjene

IP naslove in šele v tistih primerih, ko se pretvorjeni IP ne nahaja na nobeni od teh lokacij,

naredi poizvedbo prek OpenDNS imenskih strežnikov. Prvi nivo DNS sistema na tem

računalniku so torej dvojice imen domen in pripadajočih IP naslovov, ki so shranjeni v

datoteki »hosts«. Drugi nivo so dvojice imen domen in IP naslovov, ki se nahajajo v

predpomnilniku v RAM-u in v datoteki presets.txt od programa DNSKong. Ta računalnik

torej uporabi DNS server od storitve OpenDNS šele takrat, ko v datoteki hosts in v

predpomnilniku programa DNSKong ne najde razrešenega imena domene. DNS sistem

torej deluje preko dveh lokalnih stopenj, z OpenDNS pa se doda še eno zunanjo, kajti tudi

OpenDNS ima svoj DNS predpomnilnik. S takim DNS sistemom poskrbimo tudi za

varnost računalnika med uporabo interneta.

4.3 ANTI-VIRUSNI PROGRAM IN POŽARNI ZID

4.3.1 Anti-virusni program Avast Antivirus 2015

Na enem od računalnikov imamo namesto Microsoft programa MSE nameščen anti-

virusni program Avast Antivirus. Uporabljamo trenutno najsodobnejšo zastonjsko varianto

Avast Antivirus 2015. Glavno vlogo pri zaščiti pred okužbami ima Ščit datotečnega

sistema (angl. File System Shield), ki v realnem času pregleduje vse datoteke in programe

preden jih je dovoljeno odpreti in zagnati. V nastavitvah je možno podrobneje nastaviti

kakšne vrste datotek in aplikacij naj program skenira, kot tudi ob katerih operacijah.

Datotečni ščit je privzeto nastavljen, da pregleduje datoteteke pri izvajanju – kar pomeni,

da ščit preverja programe, ko se zaženejo –, možno pa ga je nastaviti, da tega ne počne.

Enako velja za pregledovanje datotetek pri odpiranju, pri spremenjena in shranjevanju, pri

priklapljanju in tako dalje. V naprednih nastavitvah pod Izjeme je možno izbrati lokacije

na lokalnem disku, za katere želimo, da jih ščit ne pregleduje v realnem času. Pod

nastavitvijo Akcije pa lahko uporabnik sam izbere, kaj naj ščit stori, ko je zaznana

določena vrsta grožnje. Obstajajo še druge napredne nastavitve, na primer Packers in

Sensitivity. Pod Izjeme sam dodam procese, katere dobro poznam, še posebej sploh tiste,

ki se ne povezujejo v internet. Prav tako tja vpišem poti do map na lokalnem disku, kjer

vem, da ni možnosti za okužbo (na primer mape z 1 GB in več velikimi multimediskimi

datotekami) in s tem pohitrim delovanje programa, saj aktivni ščiti v realnem času ne

pregledujejo prav vseh programov, ki jih zaženem in datotek, ki jih odprem.

Za varnost med brskanjem po spletu pa je zelo pomemben »Spletni ščit« (angl. Web

Shield), ki v realnem času varuje računalnik pred grožnjami med brskanjem po spletu in

nalaganje ali prenašanjem podatkov iz spleta, prav tako pa preprečuje tudi zagon

zlonamernih skript. V naprednih nastavitvah je možno natančno nastaviti spletno in

HTTPS skeniranje, kot tudi skeniranje skript. Pod Izjeme pa je možno iz pregledovanja

izključiti določene URL naslove (angl. Uniform Resource Locator) in tipe MIME (angl.

Internet media type). Podobno kot za datotečni ščit pod Izjeme dodam vse procese, ki jih

dobro poznam, naslove spletnih mest, ki so praviloma varna poti do map na lokalnem

disku, kjer vem, da ni možnosti za okužbo (na primer mape z 1 GB in več velikimi

multimedijskimi datotekami) in s tem pohitrim delovanje programa, saj aktivni ščiti v

realnem času ne pregledujejo prav vseh programov, ki jih zaženem, datotek, ki jih odprem

in tako dalje.

Res pa je, da njegovo zaščito v realnem dostikrat onemogočim – sploh takrat, ko

računalnik ni povezan na internet –, saj je moje znanje glede varnosti pri uporabi interneta

obširno in moj računalnik še nikoli ni bil resneje ogrožen zaradi virusa ali katere koli druge

oblike zlonamernih programov. Vzrok za to verjetno tiči tudi v dejstvu, da običajno

vsakodnevno obiskujem ena in ista spletna mesta.

4.3.2 Požarni zid pri Windows XP SP3

Kot zelo pomembno obliko zaščite svojega računalnikov, ki imajo inštaliran

operacijski sistem Windows XP, uporabljam požarni zid, ki je vgrajen v operacijski sistem

Microsoft Windows XP Professional SP3. Kot ostali požarni zidovi Windows Firewall

nadzira pretok podatkov, ki pridejo do računalnika iz drugih računalnikov in deloma tudi

pretok informacij, ki imajo svoj izvor na lokalnem računalniku (računalnik, kjer deluje

požarni zid). Windows požarni zid, vgrajen v operacijski sistem deluje tako, da ko se

nekdo na lokalnem omrežju ali internetu poskuša povezati z računalnikom, Windows

požarni zid blokira povezavo, dovoli pa nam, da se povezujemo v internet. V primeru če

uporabljamo programe, kot so na primer programi za pogovor (angl. chat), ali igramo

igrice po internetu, požarni zid ob zagonu takega programa prikaže opozorilno okno, mi pa

moramo povezovanje izrecno dovoliti s klikom na gumb »Unblock«. Drugi dve opciji sta

»Keep Blocking« in »Ask Me Later«.

Če se uporabnik odloči za odblokiranje povezave, požarni zid za ta program ustvari

izjemo in uporabnika v prihodnosti ne moti več opozorilnim oknom. Pri teh povezavah, ko

se nekdo na lokalnem omrežju ali internetu poskuša povezati z uporabnikovim

računalnikom in ne obratno, gre za programe na našem računalniku, ki poslušajo za

prihajajoče zahtevke za povezavo. Drugače rečeno, gre za TCP povezavo v t. i. stanju

LISTENING. Za vsako izjemo so na voljo dodatne možnosti kaj vse ta program sme in

česa ne; dodamo lahko na primer vrata, na katerih lahko nek program posluša za

prihajajoče zahtevke, dodajamo enega ali več računalnikov, od katerih lahko ta program

vedno sprejema zahtevke za povezavo in tako dalje. Seveda lahko tudi tu ročno dodajamo

programe in tako za njih vnaprej – preden jih prvič zaženemo in preden se prvič povežejo

na internet – nastavimo kaj smejo in česa ne.

4.4 PROGRAMI ZA VARNOST NA INTERNETU

4.4.1 K9 anti-spam program

K9 je program za filtriranje elektronske pošte, ki deluje v povezavi z lokalnim e-mail

odjemalcem in avtomatično razvršča dohodna e-mail sporočila kot »spam« (neželjena e-

mail sporočila) oziroma »ne-spam«. Program deluje tako, da ni potrebe po vzdrževanju -

in/ali rednem posodabljanju - pravil, glede na katera naj program sortira e-mail sporočila.

Program K9 uporablja statistično analizo dohodnih e-mail sporočil, ki po določenem času

postane zelo natančna; program se uči iz svojih napak in s časom postane vedno boljši v

prepoznavi neželjene e-pošte. Še pomembneje je to, da se program nauči prepoznati, katera

sporočila uporabnik razume kot spam e-pošto. K9 deluje samo z e-poštnimi računi, ki

uporabljajo standardni POP3 protokol (angl. Post Office Protocol), ne podpira pa računov,

ki uporabljajo protokol IMAP (angl. Internet Message Access Protocol), niti ne podpira

Hotmail, AOL in drugih računov e-pošte, ki je dostopna prek brskalnika (angl. webmail).

Slika 7: Program K9, e-mail sporočila v mapi Spam

4.4.2 Proxomitron filtrirni proxy program

Proxomitron je zelo zmogljiv lokalni filtrirni HTTP proxy. Program Proxomitron se

najbolj pogosto uporablja za blokiranje odpiranja nadležnih oken (angl. pop-ups), oglasnih

pasic (angl. banners) in odstranjevanje multimedijskih vsebin (zvoki in animacije), ki so

vgrajene v spletne strani. Prav tako je program zmožen blokirati JavaScript skripte,

spreminjati in brisati glave HTTP sporočil (angl. HTTP message headers) in blokirati

zahtevke in jih preusmeriti k oddaljenemu zunanjemu proxy-ju. Program deluje prek

konfiguracijskih datotek, ki vsebujejo zapletena filtrirna pravila, le-ta pa se spreminja in

omogoča prek programskega uporabniškega vmesnika.

V brskalniku Internet Explorer nastavimo uporabo proxy-ja prek menija Tools,

Internet Options, in v zavihku Connections za izbrano povezavo kliknemo gumb

»Setttings«, nato pa pod sekcijo Proxy Settings odkljukamo opcijo »Use a proxy server for

this connection«, nato pa preko gumba »Advanced« za HTTP in Secure pod »Proxy

address to use« vpišemo »localhost«, pod »Port« pa vnesemo število 8080.

V brskalniku Mozilla Firefox pa uporabo proxy-ja nastavimo prek menija Tools,

Options, Advanced, Network in okna, ki se odpre, ko kliknemo na gumb »Settings«. Tam

namesto »Use system proxy settings« (kar je privzeta nastavitev) izberemo »Manual proxy

configuration« in pod polji HTTP Proxy in SSL Proxy vnesti »localhost«, pod polje »Port«

pa številko 8080 (kar je običajno v navadi; lahko pa bi izbrali tudi kakšna druga vrata)

Slika 8: Program Mozilla Firefox, proxy nastavitve

4.5 DRUGI VARNOSTNI UPORABNIŠKI PROGRAMI

4.5.1 Clamwin Antivirus Free

V našem delovnem okolju občasno na enem od računalnikov uporabljamo tudi

zastonjski anti-virusni program Clamwin Antivirus Free, ki je namenjen samo za

skeniranje operacijskega sistema za potencialno nameščeno zlonamerno programsko kodo

(zlasti viruse), ne omogoča pa zaščite v realnem času. Program je prenosljiv (angl.

portable), kar pomeni, da ne potrebuje inštalacije in se ga lahko zažene iz USB ključa in

podobno.

4.5.2 Spybot - Search & Destroy

Za zaščito v realnem času kot tudi za skeniranje za vohunske in oglaševalske

programe imamo na enem od računalnikov nameščen tudi program Spybot - Search &

Destroy. Program je kompatibilen z vsemi različicami Microsoft Windows od Windows 95

naprej. Mjegova naloga je predvsem skeniranje računalnikovega spomina in trdega diska

za zlonamerno programsko kodo; v primeru, če tako programsko opremo odkrije, jo je z

njim možno tudi odstraniti.

4.5.3 Bitdefender Adware Removal

Bitdefender Adware Removal je zastonjski skener za vohunske, oglaševalske in ostale

zlonamerne programe, ki po končanem preverjanju delovnega spomina in trdega diska

odstrani razne tipe zlonamerne programe. Program razvija znano podjetje Bitdefender, ki

nudi licenčni anti-virusni program Bitdefender Total Security 2015.

4.5.4 Program xp-AntiSpy

Program xp-AntiSpy je program, ki na enem mestu omogoča spreminjanje raznih

skrite« varnostnih nastavitev operacijskega sistema, nastavitev za omrežje, nastavitev

programa Internet Explorer in tako dalje.

Slika 9: Program xp-AntiSpy, uporabniški vmesnik, nastavitve

4.5.5 Program SpywareBlaster

Program SpwareBlaster je zelo uporaben anti-spyware program, ki pomaga

preprečevati inštalacijo vohunskih in drugih potencialno nevarnih programov. Njegove

funkcije vključujejo zaščito pred znanimi nevarnimi ali vsaj nezaželjenimi piškotki (angl.

Cookie Protection) in pred nevarnimi ActiveX komponentami (angl. ActiveX Protection)

za spletni brskalnik Internet Explorer. Nudi tudi zaščito pred znanimi nevarnimi spletnimi

stranmi (angl. Restricted Sites), kar program naredi tako, da imena teh spletnih strani doda

v cono »Restricted sites« v zavihku Security v Internet Options oknu v Nadzorni plošči.

Prav tako program nudi zaščito tudi za spletni brskalnik Mozilla Firefox pred

nezaželjenimi piškotki, za spletni brskalnik Google Chrome pa pred nezaželjenimi piškotki

in nevarnimi skriptami (angl. Scipt Protection).

4.5.6 Cryptainer in fSekrit

Program za šifriranje podatkov Cryptainer PE je šifrirni program, ki mape in datoteke

v hierarhični strukturi – enako kot na trdem disku – shrani v zašifriran trezor (angl.

encrypted vault). Ta trezor je v upravljalcu datotek viden kot navaden pogon s pripadajočo

črko pogona (npr. E:, F:), ko ga ima uporabnik odprtega. Vsebino teh zašifriranih trezorjev

pa program shrani v poljubno imenovano datoteko s poljubno končnico. Program

Cryptainer PE deluje na način povleci in spusti (angl. drag & drop), med tem pa se podatki

tudi zašifrirajo. Za šifriranje podatkov sta na voljo dva algoritma: 448-bitni Blowfish in

novi standard za šifriranje imenovan AES (angl. Advanced Encryption Standard).

Cryptainer je na voljo tudi v zastonjski različici (Cryptainer LE), a pri tej različici je

velikost šifriranih trezorjev omejena; v našem delovnem okolju uporabljamo licenčno

verzijo programa.

Program za šifriranje podatkov z imenom fSekrit pa je namenjen za varno hranjene

šifriranih zapiskov. fSekrit deluje na drugačen način kot Cryptainer in sicer šifrira golo

besedilo (tekst), katerega uporabnik zavaruje z varnostnim geslom, ki ga je treba vnesti ob

zagonu šifrirane datoteke. Zašifirano besedilo program hrani kot izvršljivo datoteko –

datoteko s končnico .exe – s poljubnim imenom. Velika prednost uporabe programa fSekrit

je v tem, da se dešifrirani podatki nikoli ne hranijo na trdi disk, ampak so ves čas locirani

izključno v delovnem spominu računalnika. fSekrit uporablja močno šifriranje: standard

AES / Rijndael v načinu CBC z velikostjo ključa 256-bitov. Zaprte šifrirane datoteke

prograna fSekrit so majhne; velikost datotek je le okoli 50 KB plus dolžina šifriranega

besedila. fSekrit je kompatibilen s celotno paleto Windows operacijskih sistemov: 9x /

NT / 2K / XP (32-bit in 64-bit).

4.5.7 Program PsExec

Program PsExec je program za zagon drugih programov z zmanjšanimi pravicami s

spletne strani Sysinternals (več o strani v naslednjem poglavju). Če uporabnik operacijski

sistem Windows uporablja kot administrator (torej z uporabniškim računom, ki ima vse

pravice), lahko z uporabo programa PsExec želene programe zažene z omejenimi

pravicami (kot t. i. »Limited User«). To je sploh koristno za tiste programe, ki se

povezujejo v internet. V zaslonski sliki zavihka Security za proces »firefox.exe« v

programu Process Explorer spodaj je vidna razlika v pravicah procesa zagnanega brez

PsExec, ki ima omogočenih več privilegijev, kot proces zagnan s programom PsExec.

Slika 10: Pravice procesa zagnanega brez (zgoraj) in s PsExec (spodaj)

Spodaj je primer skripte s katero prek programa PsExec zaganjam anti-spam program

K9 in lokalni e-mail odjemalec Mozilla Thunderbird.

echo off

C:

cd\

cd C:\Software\

C:\WINDOWS\psexec.exe -l -d -belownormal K9.exe

Doze.exe 2

C:\WINDOWS\psexec.exe -l -d -belownormal Trayconizer.exe

"C:\Program Files\Mozilla Thunderbird\thunderbird.exe"

Spodaj je primer skripte s katero prek programa PsExec zaganjamo dva različna

profila programa Firefox; več profilov –pri čemer vsak teče kot samostojen proces –

uporabljam zato, da če se mi sesuje eden od njih ne izgubim vseh odprtih spletnih strani

ozrioma že naloženih videov. Ker je na tem operacijskem sistemu vrednost za User

okoljski spremenljivki (angl. Environment Variable) TEMP in TMP nastavljena na mapo

B:\Cache\Temp\ na RAMDisk, v skripti za prvi profil nastavim lokacijo za TMP in TEMP

spremenljivki nazaj na disk. To je potrebno, ker bi na RAMDisk-u – ki ima samo 64 MB

prostora – drugače hitro zmanjkalo prostora; vtičnik Adobe Flash Player namreč med

predvajanjem Flash vsebin podatke zapisuje v datoteke s končnico *.tmp v »Temp« mapo.

Za drugi profil, katerega uporabljam skupaj s filtrirnim proxy programom Proxomitron, pa

spremenljivko nastavim nazaj na »Temp« direktorij na RAMDisk-u.

echo off

C:

set TEMP=C:\WINDOWS\Temp\

set TMP=C:\WINDOWS\Temp\

cd\

cd "C:\Program Files\Mozilla Firefox\"

C:\WINDOWS\psexec.exe -l -d -belownormal firefox.exe -p

profile1

Doze.exe 4

set TEMP=B:\Cache\Temp\

set TMP=B:\Cache\Temp\

cd\

cd C:\Software\Support\Proxomitron\

C:\WINDOWS\psexec.exe -l -d -abovenormal Proxomitron.exe

cd\

cd "C:\Program Files\Mozilla Firefox\"

C:\WINDOWS\psexec.exe -l -d -belownormal firefox.exe -p

profile2

4.5.8 Program BugOff

Program z imenom BugOff je program, ki onemogoči razne varnostne luknje v

starejših različicah IE / Windows, kar vključuje tudi Windows XP, ki ga uporabljamo na

dveh napravah.

Slika 11: Program BugOff, uporabniški vmesnik,, nastavitve

4.5.9 Ostali varnostni uporabniški programi

Na naših računalnikih, ki imajo inštaliran operacijski sistem Windows XP,

uporabljamo še veliko drugih uporabniških varnostnih programov (vse omeniti je praktično

nemogoče zaradi dolžine diplomske naloge), ki pa jih ne bomo bolj podrobno opisovali. V

tem primeru gre za preproste programe, ki imajo eno samo glavno funkcijo. Na primer s

programom NoShare lahko na operacijskem sistemu omogočimo pomembno varnostno

funkcijo (angl. Closed NetBIOS). S programom SocketLock inštaliramo gonilnik, ki

prepreči eno od ranljivih funkcionalnosti operacijskega sistema Windows XP (angl. Full

RAW sockets), s podobnim programom SockLock pa oneomogočimo okužbo sistemskih

datotek winsocks (angl. winsocks stack) s trojanskimi konji Happy99, SKA in tako dalje.

Program HijackThis je namenjen temu, da naredi podroben pregled sistema za vse

programe, servise, BHO objekte in tako dalje, ki se avtomatično zaženejo ob zagonu

računalnika, uporabnik pa jih z njim po potrebi lahko tudi odstrani. Program

RootkitRevealer pa je program (iz znane strani Syinternals), ki je namenjem iskanju okužb

s t. i. »rootkits«; program skenira operacijski sistem in prikaže morebitbe okužbe, žal pa se

jih z njim ne da odstraniti.

4.6 PROGRAMI ZA NADZOR NAD DELOVANJEM RAČUNALNIKA

Glede bolj naprednih uporabniških programov za nadzor nad računalnikom izstopajo

(zastonjski) programi iz spletne strani Sysinternals, ki se je začela kot stranski projekt

podjetja Winternals Software LP, leta 2006 pa jo je kupil Microsoft in je postala del

Microsoft TechNet. Vir: https://en.wikipedia.org/wiki/Sysinternals (20. 9. 2015) Spletna

stran je bila ustanovljena že leta 1996, ko je na njej Mark Russinovich, sedaj razvijalec

jedra novih operacijskih sistemov in ostale programske opreme pri Microsoftu, začel na

spletu deliti tehnične informacije in sistemske pripomočke in programe, ki jih je sam

napisal. Programi se v grobem ločijo na kategorije »File and Disk Utilities«, »Networking

Utilities«, »Process Utilities«, »Security Utilities« in »System Information Utilities«. Vir:

https://technet.microsoft.com/en-us/sysinternals/default (20. 9. 2015)

4.6.1 Program Process Explorer

Program Process Explorer je enen bolj uporabnih programom s spletne strani, z njim

pa lahko nadziramo vse zagnane procese, servise, t. i. opravila (angl. jobs) in posebne

sistemske procese kot so na primer psevdo procesi System Idle Process, Hardware

Interrupts, DPCs in System. S programom je možno spremljati tudi koliko procentov

procesorske moči ali % CPU (angl. Central Processing Unit) vsak od njih uporablja v

danem trenutku, koliko spomina zaseda, koliko I/O (angl. Input/Output) operacij proces

vrši, katere knjižnice uporablja, katere niti (angl. threads) tečejo v procesu, katere ročice

(angl. handles) ima odprte in tako dalje. Process Explorer ponuja toliko funkcij, da smo

našteli samo najbolj pomembne.

Slika 13: Program Process Explorer, uporab. vmesnik, glavno okno

Windows operacijski sistemi imajo sicer vgrajen program Task Manager, a je ta veliko

manj napreden kot Process Explorer; ne prikazuje procesov v drevesu (angl. process tree),

ne kaže bolj podrobnih informacij za vsak proces posebej – kot so na primer zgodovina

rabe CPU, spomina in I/O v zavihku Performance Graph, odprte TCP povezave v zavihku

TCP/IP, niti v procesu v zavihku Threads in tako dalje –, kot jih kaže Process Explorer.

Daleč najbolj pa pride Process Explorer prav pri odpravljanju težav. Ko nek računalnik na

primer deluje počasi, je v veliki večini primerov vzrok v katerem od programov – katerem

od njegovih procesov –, ki se je zataknil in jemlje ogromno procesorske moči (tudi do

100% CPU), ali pa brez nadzora rabi vedno več sistemskega spomina (angl. memory leak);

če je torej vzrok za počasno delovanje v kateri od naštetih stvari, to najlažje odkrijemo s

programom tipa Process Explorer.

Slika 14: Program Process Explorer, proces firefox.exe, Performance Graph

4.6.2 Program TCPView

S programom TCPView lahko spremljamo vse TCP in UDP povezave med dvema

točkama (angl. endpoints), tako odprte povezave v stanju »ESTABLISHED«, kot tudi

neodprte povezave v stanje »LISTENING«, pri čemer je ena točka na lokalnem in druga na

oddaljenem računalniku, v primeru nekaterih posebnih programov pa sta obe točki na

lokalnem računalniku. Program TCPView povezave, ki so bile pred kratkim na novo

vzpostavljene oziroma ustvarjene označi z zeleno barvo.

Slika 17: Program TCPView, uporab. vmesnik,, protokol TCP

Povezave, ki so tekom zadnjega intervala osveževanja prešle iz enega v drugo stanje –

na primer iz stanja »ESTABLISHED« v stanje »TIME_WAIT« – TCPView obarva z

rumeno barvo. Povezave, ki so bile pred kratkim prekinjene oziroma zaprte, pa obrava z

rdečo barvo. Program TCPView je zelo uporaben zato, ker se praktično vsak zlonemeren

program povezuje v internet in lahko z njim vidimo kateri proces se kam povezuje. Z njim

tudi poljubno ustavljamo procese, kar naredimo z desnim klikom na vrstico povezave in v

meniju izberemo »End Process«, prav tako pa lahko z njim zapiramo posamezne TCP

povezave, kar naredimo z desnim klikom na vrstico povezave in v meniju izberemo »Close

Connection«).

4.6.3 Program AutoRuns

S programom AutoRuns lahko nadziramo vse zagonske vnose. To so lahko programi,

knjižnice, gonilniki, servisi, BHO objekti, ki se zaženejo ob zagonu računalnika.

Posemezne zagonske vnose v registru in na disku je s tem programom mogoče tudi

omogočati, onemogočati in/ali trajno brisati. Zagonski vnosi so priročno razdeljeni v

kategorije katerim pripadajo. Nekaj primerov kategorij: AppInit, KnownDLLs, Logon,

Winlogon, Explorer, Sheduled Tasks, Services, Drivers. AutoRuns pride zelo prav, ker se

praviloma vsak nezaželjen oziroma zlonameren program zažene že ob zagonu računalnika,

kar pomeni, da je moral v sistemski register dodati vnos za zagon. S programom AutoRuns

lahko tak vnos onemogočimo ali izbrišemo in preprečimo okužbo oziroma nadaljno škodo.

Slika 18: Program AutoRuns, uporab. vmesnik,, zavihek Everything

4.6.4 Programa FileMon in RegMon

Programa FileMon in RegMon žal nista več na voljo, ker ju je nadomestil enoten

program Process Monitor. Vir: https://technet.microsoft.com/en-us/library/bb896645 (20.

9. 2015) V našem delovnem okolju pa ju raje še vedno uporabljamo ločeno. Program

FileMon v realnem času nadzira delovanje datotečnega sistema, z njim pa lahko vidimo

katere datoteke procesi odpirajo, spremljamo lahko tudi informacije, ki jih procesi

zapisujejo, kot tudi to kam na disk jih zapisujejo. Na zaslonski sliki spodaj lahko vidimo

kako se v programu vidi, ko sem odprl urejevalnik teksta Notepad, v njem odprl in

spremenil vsebino datoteke »Test_n2.bat« in jo shranil. Prav tako se na sliki vidi ko sem

nato v upravljavcu datotek Total Commander datoteko »Temp1.bat« preimenoval v

»Test_n1.bat«, jo odprl v programu EditPad Lite in jo shranil.

Slika 15: Program FileMon, uporabniški vmesnik

S programom RegMon pa lahko v realnem času nadziramo delovanje sistemskega

registra operacijskega sistema in z njim lahko spremljamo kam kateri proces zapiše v

register, kot tudi kaj zapiše. Na zaslonski sliki spodaj lahko vidimo kako se v programu

RegMon vidi, ko sem s programom AutoRuns najprej onemogočil zagon programa

TaskSwitchXP in ga nato nazaj omogočil; proces »autoruns.exe« je zagonski vnos iz

ključa »Run« premaknil v podključ »AutorunsDisabled«, nato pa nazaj v ključ »Run«.

Prav tako pa se na sliki vidi ko sem malce zatem v programu za urejanje slik Irfan View v

mapo B:\Temp\ shranil sliko »Autoruns_Logon.png«; proces »i_view32.exe« je pot in ime

datoteke dodal pod ključ MRU (angl. Most Recently Used; t. j. lista nazadnje uporabljanih

ali nazadnje shranjenih datotek).

Slika 16: Program RegMon, uporabniški vmesnik

4.7 VARNOSTNO KOPIRANJE PODATKOV

Poleg uporabe požarnega zidu, anti-virusnega programa, in ostalih z varnostjo in

zaščito povezanih programov, je v domačem delovnem okolju za varovanje podatkov

najbolj pomembno izdelovanje varnostnih kopij pomembnih podatkov. Najbolj preprosto

je sproti izdelovati varnostne kopije pomembnih datotek in map, bodisi na drugo particijo

na istem trdem disku, bodisi na drug trdi disk. Ker pa lahko zaradi nezanesljivosti storjne

opreme pride do odpovedi trdega diska, vsake toliko časa – ko se nabere dovolj podatkov

–, nove podatke zapečemo na CD/DVD optični disk. V zadnjih letih, ko so kapacitete USB

ključev postale vedno večje, pa smo se navadili na kopiranje pomembnih podatkov na

dovolj velik USB ključ. Ker sem v tem informacijskem sistemu administrator, sem

postopek varnostnega kopiranja delno avtomatiziral z uporabo skriptnih datotek (angl.

batch files), katere običajno sam ročno zaganjam. Nekatere datoteke in mape kopiram

pogosteje, druge redkeje; to pa je odvisno od tega, kdaj so bile nazadnje spremenjene in

koliko novih podatkov – ki bi jih v primeru okvare trdega diska pogrešal –, vsebujejo od

zadnjega varnostnega kopiranja.

4.7.1 Kopiranje na drug disk

Spodaj je primer skripte, ki določene datoteke varnostno kopira iz enega na drug disk.

Skripta najprej na pogonu D: v direktoriju D:\Backup\ ustvari mapo z imenom »Docs« (v

primeru da že obstaja pa kopira vanjo), nato pa iz mape C\Documents and Settings\

Administrator\My Documents\ na C: pogonu vanjo kopira vse datoteke s končnicami *.txt,

*.doc in *.docx. V primeru, da datoteke na ciljni lokaciji že obstajajo, skripta tja kopira

samo tiste datoteke, ki so novejše kot tiste pod ciljnim direktorijem. To dosežemo z

uporabo parametra /D v ukazni vrstici programa xcopy. Kdaj je bila katera datoteka zadnjič

spremenjena program izve iz vrednosti atributa Spremenjeno (angl. Modified) od

posameznih datotek; novejše datoteke imajo kasnejši datum in čas. Skripta od uporabnika

ne zahteva nobenih potrditev za posamezna kopiranja, kar dosežemo s parametrom /Y.

@echo off

D:

cd\

cd Backup

mkdir "Docs"

C:

cd\

cd %userprofile%\My Documents\

xcopy *.txt "D:\Backup\Docs" /D /Y

xcopy *.doc "D:\Backup\Docs" /D /Y

xcopy *.docx "D:\Backup\Docs" /D /Y

4.7.2 Kopiranje na Dropbox

Spodaj je primer skripte, ki datoteke kopira iz ene lokacije na pogonu C: na drugo

lokacijo na istem disku – v direktorij, ki ga uporablja storitev Dropbox – in jih s tem

varnostno kopira tudi na Dropbox strežnik. Skripta iz mape C\Documents and Settings\

Administrator\My Documents\ na pogonu C: v mapo »Documents« v direktoriju C:\

Documents and Settings\Administrator\My Documents\My Dropbox\Backup\ kopira vse

datoteke s končnicami *.doc in *.docx. Če nekatere (ali vse) datoteke na ciljni lokaciji že

obstajajo, skripta tja kopira samo tiste, ki so novejše od tistih v ciljni mapi. Tudi ta skripta

ne zahteva interakcije; da varnostno kopiranje pravilno deluje pa mora biti zagnan program

Dropbox, ki sinhronizira mapo na disku z mapo na Dropbox strežniku. Če v času zagona

skripte program ni bil zagnan, bo kopiranje datotek izvedeno ob prvem zagonu Dropbox

programa.

@echo off

C:

cd\

cd %userprofile%\My Documents\

xcopy *.doc "C:\Documents and Settings\Administrator\My

Documents\My Dropbox\Backup\Documents" /D /Y

xcopy *.docx "C:\Documents and Settings\Administrator\My

Documents\My Dropbox\Backup\Documents" /D /Y

4.7.3 Avtomatizacija z orodjem TaskScheduler

Uporabnik oziroma administrator v domačem delovnem okolju lahko – oziroma je to

priporočeno – zagon skripte, ki varnostno kopira datoteke na drug disk ali v »oblak« na

Dropbox, popolnoma avtomatizira z orodjem Task Scheduler. Task Scheduler je orodje za

avtomatizacijo opravil, ki je vgrajeno v vse operacijske sisteme Windows, deluje pa tako,

da z njim po korakih prek čarovnika nastavimo vse potrebno za zagon programov,

dokumentov ali skript. Spodaj je zaslonska slika primera ene od avtomatiziranih nalog

(skripta, ki vsak tretji dan kopira podatke na drug disk), ki je bila ustvarjena z orodjem

Task Scheduler. Vir: https://msdn.microsoft.com/en-us/library/windows/desktop/aa384006

(7. 7. 2015)

Slika 19: Orodje Task Scheduler, skripta Backup_n1.bat

5 ZAKLJUČEK

Nepogrešljivost informacijske tehnologije se je v zadnjih 20-25 letih stopnjevala do te

mere, da je uporaba osebnih računalnikov, tablic, pametnih telefonov in tako dalje, postala

nekaj popolnoma samoumevnega. Lahko bi rekli, da si naših življenj – pa naj gre za delo

ali izkoriščanje prostega časa oziroma zabavo – brez informacijske tehnologije skorajda ne

moremo več predstavljati. Informacijska tehnologija se je razširila na toliko področij

življenja, da velikokrat ugotovimo kako zelo vpletena je v naša življenja šele takrat, ko

nam ni več dostopna.

Prav zaradi dejstva, da je informacijska tehnologija v zadnjih dveh desetletjih postala

tako nepogrešljiva, je varnost informacijskega sistemov ključnega pomena, kajti pri

uporabi računalnika za kateri koli namen že, vedno obstajajo varnostna tveganja. Zato je

izjemno pomembno, da je vsak informacijski sistem pravilno zaščiten. Glede varnosti pri

informacijski tehnologiji obstajajo mnogi postopki oziroma metode v smislu preventive, s

katerimi lahko preprečimo okužbo enega ali več računalnikov.

Glede varnosti pri informacijski tehnologiji obstajajo mnogi postopki oziroma metode

v smislu preventive, s katerimi lahko preprečimo okužbo enega ali več računalnikov, vdor

v informacijski sistem in nepooblaščen dostop do podatkov, zlorabo osebnih podatkov in

tako dalje. V primerih, ko takih varnostnih incidentov ne moremo preprečiti, pa lahko z

dosledno uporabo nekaterih konkretnih dobrih varnostnih praks dosežemo, da če do

incidenta pride, bo škoda veliko manjša, kot bi bila, če se jih ne bi držali. S pametno

konfiguriranim in zavarovanim informacijskim sistemom in pravimi orodji lahko že na

začetku zelo zmanjšamo možnost, da v bodoče pride do varnostnih incidentov.

Analiza stanja informacijskega sistema z vidika varnosti in analiza izkušenj iz

preteklosti glede varnostnih incidentov v domačem delovanjem okolju, pritrjujeta

zastavljeni hipotezi, da lahko z dobro zavarovanim informacijskim sistemom zelo

zmanjšamo možnost za okužbo računalnikov, izgubo in/ali krajo pomembnih podatkov,

zlorabo osebnih podatkov in ostalih varnostnih incidentov, ne glede na stopnjo

računalniškega znanja končnega uporabnika.

6 LITERATURA

Kaspersky Lab, Kaspersky Security Bulletin 2014. Overall statistics for 2014 (online).

2014. (citirano 5. 9. 2015). Dostopno na naslovu: https://securelist.com/analysis/kaspersky-

security-bulletin/68010/kaspersky-security-bulletin-2014-overall-statistics-for-2014/

Dropbox, What happens when I delete a file? (online). (citirano 6. 7. 2015). Dostopno

na naslovu: https://www.dropbox.com/help/115?path=space_and_storage

Wikipedia, Dropbox (service) (online). 2015. (citirano 5. 7. 2015). Dostopno na

naslovu: https://en.wikipedia.org/wiki/Dropbox_(service)

Wikipedia, OpenDNS (online). 2015. (citirano 27. 6. 2015). Dostopno na naslovu:

https://en.wikipedia.org/wiki/OpenDNS

OpenDNS, Fast, Intelligent DNS Service (online). (citirano 27. 6. 2015). Dostopno na

naslovu: https://www.opendns.com/about/global-dns-infrastructure/

Use Wisdom, Passwords (online). (citirano 6. 6. 2015). Dostopno na naslovu:

http://www.usewisdom.com/computer/passwords.html

Wikipedia, Windows XP (online). 2015. (citirano 20. 6. 2015). Dostopno na naslovu:

https://en.wikipedia.org/wiki/Windows_XP

WhatIs.com, What is botnet (zombie army)? (online). 2012. (citirano 28. 6. 2015).

Dostopno na naslovu: http://searchsecurity.techtarget.com/definition/botnet

Free Software Foundation, Proprietary Software – GNU Project (online). 2015.

(citirano 5. 9. 2015). Dostopno na naslovu:

http://www.gnu.org/philosophy/proprietary.html

Microsoft, Windows 7 Security Features (online). 2014. (citirano 5. 7. 2015).

Dostopno na naslovu: http://www.microsoft.com/security/pc-security/windows7.aspx

NSA, The Information Assurance Mission at NSA, Security Highlights of Windows 7

(online). 2014. (citirano 4. 7. 2015). Dostopno na naslovu:

https://www.nsa.gov/ia/_files/os/win7/win7_security_highlights.pdf

Microsoft, What are User Account Control settings? (online). 2015. (citirano 5. 7.

2015). Dostopno na naslovu: http://windows.microsoft.com/en-us/windows/what-are-user-

account-control-settings#1TC=windows-7

Bradley, T., Pros and Cons of Windows 7 Security, PCWorld (online). 2009. (citirano

4. 7. 2015). Dostopno na naslovu:

http://www.pcworld.com/article/182917/pros_cons_windows_7_security.html

Wikipedia, Windows Update (online). 2015. (citirano 20. 6. 2015). Dostopno na

naslovu: https://en.wikipedia.org/wiki/Windows_Update

Wikipedia, Sysinternals (online). 2015. (citirano 20. 9. 2015). Dostopno na naslovu:

https://en.wikipedia.org/wiki/Sysinternals

Microsoft, Windows Sysinternals: Documentation, downloads and additional resources

(online). 2015. (citirano 20. 9. 2015)

https://technet.microsoft.com/en-us/sysinternals/default

Microsoft, Using the Task Scheduler (Windows) (online). 2015. (citirano 7. 7. 2015).

Dostopno na naslovu:

https://msdn.microsoft.com/en-us/library/windows/desktop/aa384006

Solomon, D. in Russinovich, M., Microsoft Windows Internals 4th Edition, 4. izd.,

Microsoft Press, 2004. ISBN: 0-7356-1917-4 (online). (citirano 5. 7. 2015). Dostopno na

naslovu: http://csit.udc.edu/~byu/UDC3529315/WindowsInternals-4e.pdf

IZJAVA O AVTORSTVU DIPLOMSKE NALOGE

Diplomant-ka: Tadej Peršič,

rojen-a: 13. 7. 1980 v kraju Ljubljana,

i z j a v l j a m

da sem diplomsko nalogo z naslovom:

Celovito zagotavljanje informacijske varnosti domačega okolja ali mikro podjetja

izdelal-a in napisal-a samostojno.

Kraj in datum: Podpis študenta-ke:

Kranj, 9. oktober 2015

ZAŠČITA DIPLOMSKE NALOGE

A. Copyright c: - diplomant Tadej Peršič podpis

Kopiranje in vsakršen drug način razmnoževanja v celoti ali posameznih delov ni

dovoljeno brez predhodnega pisnega dovoljenja nosilcev te pravice.

B. Glede na Zakon o avtorskih pravicah in sorodnih pravicah (UL RS št. 21/95, 9/01,

30/01, 85/01, 43/04, 58/04, 94/04, 17/06, 44/06, 139/06, 16/07) in Zakona o industrijski

lastnini (UL RS št. 13/92, 13/93, 27/93, 34/97, 75/97) in velja še naslednje:

Diplomska naloga – arhivski izvod si je možno ogledati samo v prostorih knjižnice

Šolskega centra Kranj, s pisnim dovoljenjem:

avtorja – diplomanta

diplomantTadej Peršič podpis avtorja – diplomanta

Če ni avtorjevega – diplomantovega podpisa, je diplomska naloga v knjižnici Šolskega

centra Kranj, nedostopna za vpogled.

Pojasnilo k B točki:

Lastnoročni podpis avtorja – diplomanta dovoljuje ogled diplomske naloge le v

knjižnici Šolskega centra Kranj,

Brez lastnoročnega podpisa avtorja – diplomanta ogled diplomske naloge, ni možen.

Kranj, oktober 2015