איך להקשיח את Windows XP נגד פריצות
מערכת ההפעלה הנפוצה ביותר בעולם היא יעד פופולרי להתקפות, והגדרות ברירת המחדל שלה הופכות אותה למטרה קלה מאוד. כך תשנו אותן ותהפכו את המחשב שלכם למוגן ובטוח יותר
בכתבה הקודמת: איך פועלים פורצי מחשבים
הגדרות ברירת המחדל של מערכת ההפעלה לא מספקות הגנה טובה ורמת אבטחה סבירה. רצוי לשנות את ההגדרות כך ש-Windows תמלא את תפקידה אך לא תתיר לעשות שום דבר מלבד מה שנחוץ על מנת שתמלא את תפקידה.
Windows XP היא מערכת ההפעלה הנפוצה ביותר בעולם ולכן גם יעד פופולרי להתקפות. הגדרות ברירת המחדל של מערכת ההפעלה הופכות אותה למטרה קלה מאוד. חבילת העדכונים Service Pack 2 שיפרה מהותית את רמת האבטחה של מערכת ההפעלה, אך גם לאחר התקנתה, רצוי לבצע שינויים רבים שישפרו את האבטחה ויפחיתו את הסיכון כי המחשב ייפול קורבן להתקפה.
כתבה זו מתייחסת למערכת ההפעלה לאחר התקנת Service Pack 2. אם עדיין לא התקנתם את Service Pack 2, אנו ממליצים בחום לעשות זאת.
ביטול כניסה אוטומטית למערכת ההפעלה
עם התקנת מערכת ההפעלה, בדרך כלל (תלוי במספר הגדרות שנבחרו בזמן התקנת מערכת ההפעלה), Windows מגדירה כי תיכנסו בצורה אוטומטית למערכת ההפעלה ללא צורך בהקשת שם משתמש וסיסמה. כדאי לבטל הגדרה זאת כך שכל פעם שתפעילו את המחשב תאלצו להקיש שם משתמש וסיסמה על מנת להיכנס למחשב.על מנת לעשות זאת לחצו על הכפתור Start ואחר כך Run. הקלידו את השורה הבאה:
rundll32 netplwiz.dll,ClearAutoLogon
ולחצו על מקש ה-Enter.
שיתוף קבצים
ניתן להגדיר את Windows XP כך שתאפשר שיתוף של קבצים. כלומר, תאפשר למחשבים אחרים ברשת לגשת לקבצים המאוחסנים במחשב. ניתן גם לבטל הגדרה זאת ולא לאפשר שיתוף קבצים ובכך להעלות את רמת האבטחה במחשב. אם אין לך מחשבים נוספים המחוברים ברשת להם אתה מעוניין לתת גישה לקבצים המאוחסנים במחשב שלך או אפשרות הדפסה במדפסות המחוברות למחשב שלך, כדאי שתבטל אפשרות זאת.על מנת לבטל אפשרות של שיתוף קבצים עליכם ללחוץ על הכפתור Start, לבחור Settings ולהיכנס ל-Network Connections. כעת עמדו על חיבור הרשת (בדרך כלל Local Area Connection), לחצו על הלחצן הימני של העכבר ובחרו Properties. עמדו על השורה שנקראת File and Print Sharing for Microsoft Networks ולחצו על הכפתור Uninstall.
אם אתם צריכים לאפשר לאחרים לגשת לקבצים במחשב שלך, יש מספר הגדרות שצריך לשים לב אליהן על מנת לאפשר גישה רק לנתונים אליהם תרצו לאפשר גישה.
מנגנון המשתמשים במערכת ההפעלה
לשם כך, תחילה עליכם להבין את מנגנון המשתמשים וההרשאות ב-Windows XP.
במערכת ההפעלה מוגדרים מספר משתמשים (לפחות אחד). ישנם מספר סוגי משתמשים. הבולטים מביניהם הם משתמשים מסוג Administrator, ומשתמשים מסוג User. משתמש Administrator הוא למעשה בעל הרשאות לעשות כל דבר במחשב, לטוב ולרע. משתמש מסוג User הוא בעל הרשאות מוגבלות וישנם פעולות רבות אותם לא יוכל לבצע. מעבר להגדרת סוג המשתמש ניתן להגדיר לכל משתמש אילו פעולות ביכולתו לבצע.
מדריכים רבים העוסקים בתחום אבטחת המידע ממליצים לעבוד עם משתמש רגיל (User) ללא הרשאות אדמיניסטרטיביות (Administrator). המלצה זאת נובעת מהעובדה שווירוס שמופעל במחשב מקבל את ההרשאות שיש למשתמש שהריץ אותו. אם למשתמש זה לא תהיה אפשרות לבצע פעולות מסוימות אזי גם הווירוס יהיה מוגבל בפעולותיו וכנראה שלא יוכל לבצע את זממו.
אני מסכים לגמרי עם גישה זאת אך יש לי הסתייגות. זה לא מעשי לעבוד בצורה כזאת. משתמש ללא הרשאות אדמיניסטרטיביות אינו יכול להתקין תוכנות, אינו יכול לבצע איחוי דיסק , הוא אינו יכול אפילו לעדכן את השעון במחשב ולבצע פעולות שכיחות נוספות.
אם תנסו לעבוד בצורה כזאת תגלו שאתם צריכים כל הזמן להשתמש במשתמש עם הרשאות אדמיניסטרטיביות. כדי לעשות זאת תאלצו לצאת מהמערכת, להיכנס כמשתמש בעל הרשאות אדמיניסטרטיביות, לשנות את השעה בשעון או לבצע כל פעולה אחרת שרציתם לבצע, לצאת שוב מהמערכת ולהיכנס שוב עם המשתמש הרגיל שלכם.
אמנם, קיימת אופציה להריץ תוכנות כמשתמש אחר מבלי שתצטרכו לצאת ולהיכנס למערכת אך לא
ניתן להשתמש באופציה זאת בכל הפעולות. פעולה זאת, סביר להניח, תייאש אתכם בסופו של דבר ותחזרו לעבוד עם משתמש שהוא Administrator כפי שאני עושה.
לעומת זאת, אם יש לכם ילדים, בני זוג, חברים וכו' שעובדים על המחשב שלכם זה יכול להיות רעיון לא רע לתת להם הרשאות של User בלבד. זה נתון לשיקולכם, תלוי בקשר שלכם איתם ובמה שהם צריכים לעשות עם המחשב, או יותר נכון במה שאתם מעוניינים שהם יוכלו לעשות עם המחשב שלכם.
אם כן, נחזור למנגנון המשתמשים וההרשאות. ישנן הגדרות רבות במערכת ההפעלה הקשורות להרשאות ואת רובן ניתן לשנות ולאפשר למשתמשים מסוימים לבצע פעולות מסוימות מבלי קשר לעובדה אם הם בעלי הרשאות של Administrator או לא. אחת ההגדרות החשובות ביותר הן הרשאות גישה לקבצים.
ב-Windows XP ניתן להגדיר איזה משתמש יוכל לגשת לאיזה קובץ ואיזה פעולה הוא יוכל לבצע בקובץ זה (לראות שהוא קיים, לקרוא אותו, לשנות אותו, לשנות הרשאות גישה אליו וכו'). לפני Service Pack 2 ברירת המחדל הייתה הרשאות מלאות לכל המשתמשים על כל הקבצים. מיותר לציין שהגדרה זו היא מאד בעייתית בהתחשב בעובדה שרוב המשתמשים אינם משנים את הגדרות ברירת המחדל.
ב-SP2 שונתה המדיניות, אך עדיין ניתן לשפר את ההגדרות. בתור התחלה נבדיל בין שתי סוגי הרשאות של גישה לקבצים. האחת מוגדרת במסך אבטחה (Security) והיא הגנה ברמת מערכת הקבצים. השנייה מוגדרת במסך השיתוף (Sharing) והיא חלוקת הרשאות למשתמשים הניגשים למחשב דרך הרשת.
כדי להיות מסוגלים לצפות ולשלוט בצורה מלאה בהרשאות עלינו תחילה לשנות הגדרה ב-Windows Explorer. מיקרוסופט, כנראה מתוך ניסיון להקל על המשתמשים, החביאו את מסך ההרשאות. כדי להציג אותו יש לפתוח את Windows Explorer, ללחוץ על Tools ולבחור Folder Options. כעת יש ללחוץ על הלשונית View, ולבטל את ה-V בשורה Use simple file sharing (השורה האחרונה באיור למטה)
כדי להגיע לחלון האבטחה עליכם ללחוץ עם הלחצן הימני של העכבר על ספרייה או קובץ כלשהו, לבחור Properties וללחוץ על לשונית ה-Security.
כשתעמדו עם הסמן על שורה מסוימת בחלק העליון של החלון תראו את ההרשאות של אותה קבוצה או משתמש בחלק התחתון של החלון. קבוצת המשתמשים שנקראת SYSTEM (כפי שמופיעה באיור) היא קבוצה של מערכת ההפעלה ומשמשת למתן הרשאות למערכת ההפעלה עצמה. שינוי הרשאות אלה ימנעו ממערכת ההפעלה לתפקד כמו שהיא אמורה ואף עלול לגרום לקריסתה.
מתוך הנחה שישנו משתמש אחד שעובד על המחשב ושלמשתמש זה יש הרשאות של Administrator, כלומר, שהוא חבר בקבוצת המשתמשים שנקראת Administrators, מומלץ להסיר את כל ההרשאות הקיימות ולהשאיר רק את הקבוצות Administrators ו-SYSTEM כשלאלה הרשאות מלאות (Full Control) כפי שמוצג באיור למעלה. על מנת להסיר קבוצה לגמרי עליכם לעמוד עליה וללחוץ על הכפתור Remove.
על מנת להגדיר שיתוף ולהגדיר הרשאות שיתוף עליכם ללחוץ עם הלחצן הימני של העכבר על ספרייה או קובץ כלשהו, לבחור Properties וללכת ללשונית ה-Sharing.
כפי שניתן לראות באיור למעלה, לכל כונן בדיסק הקשיח יש Default Share ששמו אות הכונן בצירוף $ אחריו (C$, D$, E$ וכו'). Default Share הוא שיתוף שמוגדר עם התקנת מערכת ההפעלה.
המשמעות של זה היא שגם אם לא הגדרתם שיתוף על ספרייה כלשהיא, עדיין יהיה אפשר להגיע אליה באמצעות ה-Default Share וזאת בתנאי שיש למשתמש המתחבר מהרשת הרשאות אבטחה כפי שהגדרנו מקודם, ובתנאי שאפשרו שיתוף (כלומר שלא הסרנו את השירות של שיתוף קבצים כפי שהוסבר מקודם).
על מנת ליצור שיתוף חדש עלינו ללחוץ על הכפתור New Share, להזין שם לשיתוף, ולהגדיר הרשאות על ידי לחיצה על הכפתור Permissions.
חשוב מאד להגדיר הרשאות וזהו שלב שלעיתים קרובות מדלגים עליו. ברירת המחדל היא הרשאות קריאה לכולם (קבוצת Everyone).
אם הגדרתם שיתוף חדש כדאי שתסירו את ההרשאות של קבוצת Everyone על יד לחיצה על כפתור Remove ותוסיפו הרשאות למשתמשים או הקבוצות הספציפיות להן אתה רוצה לתת הרשאות.
חשוב לציין שאין די בהגדרת הרשאות שיתוף. אם לאותם משתמשים ו/או קבוצות שלהם נתת הרשאות לא יהיו הרשאות במסך האבטחה (Security) כפי שהוסבר קודם, הם לא יוכלו לגשת לשיתוף שהגדרת.
עדכונים אוטומטיים
אם לא הדגשתי מספיק עד כה, הדבר החשוב ביותר שיש לעשותו הוא קודם כל להתקין את Service Pack 2 של Windows XP. כדי לבדוק אם הוא מותקן ניתן ללחוץ על הכפתור Start, לבחור Run, להקליד
winver וללחוץ על מקש ה- Enter. החלון שיוצג בפניכם יראה פחות או יותר כך:
כפי שניתן לראות בשורה השנייה בסוף, Service Pack 2 כבר הותקנה. אם זה לא מופיע כך במחשבך סימן שאתה צריך להתקינה.
הדרך הנוחה והפשוטה ביותר לעשות זאת היא לגלוש לאתר Windows Update של מיקרוסופט ולעקוב אחר ההוראות. ניתן גם לגשת לאתר העדכונים של מיקרוסופט מתוך דפדפן האינטרנט על ידי לחיצה על Tools ובחירה ב-Windows Update.
הדבר השני שכדאי לעשות הוא להגדיר הורדה קבועה של עדכונים קריטיים ממיקרוסופט. כדי לעשות זאת עליכם ללכת ל-Automatic Updates אשר נמצא בלוח הבקרה (Control Panel).
בחלון ה-Automatic Updates ניתן להגדיר התקנה אוטומטית של עדכונים והורדה אוטומטית של עדכונים. אני לא אוהב שאך אחד מתקין לי דברים על המחשב ללא ידיעתי ואישורי, גם לא מיקרוסופט, על כן אני בוחר הורדה אוטומטית ובוחן את העדכונים לפני התקנתן (ראה איור).
כדי להגדיר זאת עליכם לבחור באפשרות Download updates for me, but let me choose when to install them וללחוץ על הכפתור OK. הגדרה זאת תגרום למערכת ההפעלה להוריד כל עדכון חדש ממיקרוסופט ולאחר שהורד תתקבל הודעה בשורת המשימות ליד השעון. כל שיהיה עליכם לעשות הוא ללחוץ על ההודעה ולאשר את התקנה.
שינוי שם משתמש של Administrator
שינוי שם המשתמש Administrator אפשרי רק במערכת ההפעלה Windows XP Professional Edition. על מנת לעשות זאת יש לעמוד על My Computer, ללחוץ על המקש הימני בעכבר ולבחור Manage. כעת יש לפתוח את Local Users and Groups ולעמוד על Users.
לחצו לחיצה ימנית בעכבר כשאת עומד על המשתמש Administrator ובחר Rename. כעת שנה את שם המשתמש לכל שם שאתם רוצים ורק דאגו לזכור את השם החדש. סביר להניח שלא תשתמשו בשם זה הרבה זמן אך אתם עלולים להזדקק לו יום אחד וכדאי שתדע מה שמו. כך תוכלו לחסוך לך טרחה רבה.
בכתבה זו סיפקתי מידע בסיסי בלבד. מעבר לדלת זו מסתתר עולם שלם וככל שתלמדו אותו יותר כך תהיו מוגנים יותר. דבר זה נחוץ על מנת לשרוד בצורה טובה בעתיד. הרחובות די בטוחים. האינטרנט לא, והאינטרנט נמצא אצלך בבית.
ניר שאולי הוא יועץ אבטחת מידע
לפנייה לכתב/ת 
