עשרת הדברות להתקנה בטוחה

כשחבר סיפר לי, שבאמצע התקנת Windows XP הוא חטף בלאסטר ובזבז כמה שעות כדי לתקן את הנזק, זה היה משעשע. הוא אינו מתחיל בתחום, וכבר עבר מספיק כדי לא לטעות. קראנו יחד את "שלושה שלבים להגנה על המחשב האישי", כדי לראות היכן הטעות, ולמרבה ההפתעה גילינו שהוא פעל בדיוק על פי ההנחיות - מה שלא הפריע לווירוס לתפוס אותו.

כיוון שכך, עברנו למסמך "עשרת הדברות למתקין", שחובר עבור סדנת בסיס באבטחה אותו הדרכתי. עשרת הדברות הצדיקו את שמן: מיד עלינו על החור שאפשר לבלאסטר לחדור למחשבו. זה היה רק מבוא לכמה לילות, בהם חזרנו והתקנו מערכות הפעלה, חשופים בצריח, מול האינטרנט, ללא הגנות.

את המסקנות העלינו על הכתב. ההסברים אינם מפורטים מאד. גם על שום קוצר היריעה וגם מתוך הנחה שאתם הקוראים, יודעים מה אתם עושים - ואם לא, אז כדאי להיעזר במישהו שכן. את סדר הפעולות יש לבצע פעם אחת, אבל כדאי לעשותן נכון לפחות פעם.

1. התקינו מערכת הפעלה עם יכולות אבטחה מינימליות

לכל אוהבי DOS, Windows for Workgroup, Windows 95, Widows 98, Windows ME וכל צעצוע דומה - לא חשוב אם הנ"ל נחשבו פעם (בטעות או מתוך אמונה תמימה) למערכות הפעלה. היום הן נחשבות לגרוטאות, ובצדק. לפחות בכל מה שקשור לאבטחה. המינימום למשמש הביתי היא Windows XP, ועדיפה גירסת ה-Pro. למרבית מערכות ההפעלה ההיסטוריות יש רשימה פרצות אבטחה מכובדת, אך לרובן אין תיקון. ב-XP לעומת זאת, לכל החורים הידועים לציבור, יש תיקונים הניתנים להורדה והתקנה אוטומטיות.

נרקומנים מהעשירון התחתון משתמשים במזרק משותף כדי לחסוך בהוצאות, וחשופים למחלות יותר מנרקומנים מהעשירון העליון, שמשתמשים במזרק חדש בכל פעם. המסקנה: אל תשאילו - קנו. פעמים רבות יש צורך בתקליטור המקורי של Windows, וכדאי להחזיק עותק נקי ומהוגן. נכון, קל להעתיק מחבר, אבל אם החבר נגוע בווירוס - כך יהיה גם העותק. בימינו חייבים להיות בטוחים שתקליטור נקי לגמרי. 

3. התחילו נקי, אל תגררו היסטוריה

התקנת מערכת הפעלה יש לבצע על דיסק נקי ומפורמט, ורצוי על MBR נקי - אל תעשו Upgrade. התקנה חדשה שונה מהתקנת עדכון; העדכון יוצא מגדרו כדי לשמר מה שהיה קודם במחשב, כולל וירוסים ותולעים למיניהם. התקנה חדשה לא לוקחת שבויים. זה אומר שתצטרכו להתקין מחדש את כל התוכנות ולשחזר את כל פרופילי המשתמש. אבל בסוף ההתקנה לא תהיינה הפתעות לא רצויות.

אם המחשב כבר ננגס על ידי תולעת, היו בטוחים שהיא השאירה די נזקים ודלתות פתוחות כך שהתקנה מחדש ללא מחיקת ההתקנה הקיימת, לא תעשה כלום ותשאיר את כל החורים פתוחים. אל תשכחו לוודא שיש גיבוי למידע, מנהלי התקן לכל רכיבי החומרה ותקליטורים של התוכנות.

בזמן ההתקנה מערכת ההפעלה נמצאת במצב הפגיע והרגיש ביותר. התקנה שבמהלכה אתם מחוברים לאינטרנט, היא מתכון כמעט בטוח להידבקות במשהו. בחלק מהניסיונות, מרגע שנסתיים שלב ההתחברות לרשת בהתקנה ועד שההתקנה הסתיימה והתבקשנו לאתחל, כבר היו על המחשב שני וירוסים לפחות. זכרו: בתוך כ-10 דקות מרגע ההתחברות, כבר יהיה מי שינסה להדביק אתכם.

5. השתמשו בפיירוול

עם תום ההתקנה, לפני הכל - הפעילו את הפיירוול הפנימי של מערכת ההפעלה (Start / Settings / Network Connecions, קליק ימני על האייקון של חיבור האינטרנט ו-Properties, היכנסו ל-Advanced וסמנו את האופציה המתאימה). הפעילו במצב המוגן מקסימלית (ברירת המחדל), והפעילו גם רישום Log, וגם הגדילו את גודל הקובץ המקסימלי של ה-Log (בחלון Settings). זאת כדי שתוכלו לראות כמה אתם פופולריים וכמה יבואו לבקר בלי רשות, ברגע שתתחברו לרשת. עד שלא רואים - לא מאמינים כמה המחשב חשוף.

6. התקינו את כל העדכונים הקריטיים

גלשו ללא שהיות לאתר Windows Update של מיקרוסופט. עדכנו את המחשב עם כל התיקונים והעדכונים המופיעים באתר. לאחר שהתהליך הסתיים, חזרו עליו, עד שתתקבל ההודעה "אין יותר עדכונים קריטיים". זה הזמן לגשת ללוח הבקרה ולהפעיל את תהליך העדכון האוטומטי, כך שמעתה והלאה המחשב יעשה זאת לבדו, אוטומטית. בלי קשר לאוטומציה, הקפידו להריץ את מנגנון העדכון לפחות פעם בשבוע.

7. הפעילו Auditing מלא

את שלב זה בצעו דרך כלי ניהול מדיניות האבטחה (Local Security Policy, בתוך Administrative Tools בלוח הבקרה), והוא יעזור לגלות נסיונות פריצה. זו גם ההזדמנות להפעיל את ה-Event Viewer (באותו מיקום), ולהגדיל את גודל קבצי היומן של ה-Security Log וגם את האחרים, מספיק כדי לצבור היסטוריה של כמה ימים. ניתן לשקול את ביטול המחיקה האוטומטית של אירועים במקרה של הצפה, כל עוד תבדקו מה קורה. הצצה קבועה ב-Security Log של ה-Event Viewer, תגלה דברים מדהימים על היקף ניסיונות הפריצה מהאינטרנט.

8. שנו את שם המשתמש של ה-Administrator למשהו פחות בולט ובחרו סיסמה חזקה

סיסמה חזקה היא ערבוביה של לפחות שמונה תווים מסוג שונה - אותיות גדולות, אותיות קטנות ומספרים. אם תרצו הוסיפו סימן מיוחד, זה לא יזיק. סיסמה ריקה או חלשה לאדמיניסטרטור, היא הזמנה להשתלטות על המחשב שלכם מרחוק. שינוי שם המשתמש מ-administrator יקשה על הפורץ עוד יותר.

9. פתחו משתמש רגיל, ללא יכולות מנהל, והשתמשו בו לעבודה היומיומית

לעבודה היומיומית - כל מה שלא קשור לתחזוקה - אין צורך להיות מנהל מערכת. שמרו את הרשאות המנהל להזדמנויות מיוחדות כמו התקנות ותחזוקת מערכת. אם תחטפו איזה וירוס בדואר, עדיף שהוא ירוץ תחת שם משתמש חלש מאשר תחת מנהל מערכת. (פקודת Run As תחסוך Logoff/Logon).

10. הגדירו שיגרת אחזקה שבועית  

קבעו תכנית עבודה שבועית, למעבר על ה-Log של הפיירוול ושל ה-Event Log, לגיבוי ולניקוי שלהם. שימו לב להודעות על ניסיונות Logon לא מוצלחים וגישת משתמשים עם הרשאות מערכת. עדיף לדעת שמישהו הצליח לחדור גם בדיעבד, מאשר להיות זומבי של מישהו שמשתמש במחשב למשלוח דואר זבל או תקיפת מחשבים אחרים.

ומילת אזהרה לסיום

גם אם תבצעו את עשרת הדברות, ותקפידו על כל תג ומצווה, החיים הם לא חברת ביטוח. תמיד יש מישהו חכם, שימצא דרך לפרוץ את ההגנות. עשרת הדברות הללו אינן מבטיחות הגנה מושלמת, אבל הן מקטינות בצורה משמעותית את הסיכוי שזה יקרה. המפתח להגנה טובה הוא מודעות ושכל ישר. כלי הנשק הטוב ביותר נמצא בין האוזניים שלכם.

גדי מאיר הוא מנהל המו"פ בחברת ידאג, ספקית פתרונות מיקרוסופט.