10 способов поддерживать безопасность Windows XP

07.05.2014 | 23:41 Аналитика

Теперь, когда поддержка от Microsoft популярной операционной системы Windows XP закончилась, вы должны будете использовать любую возможность, чтобы уберечь ваши компьютеры от взлома.

Теперь, когда Microsoft больше не поддерживает Windows XP, единственный способ сохранить операционную систему защищённой от вновь обнаруженных уязвимостей безопасности — платить Microsoft за расширенную поддержку. Если это не вариант для вашей организации, то только вопрос времени, когда многие из ваших компьютеров, работающих на стареющей операционной системе, окажутся под угрозой.

Тем не менее, вы можете уменьшить уязвимость машин, работающих на Windows XP. Эти 10 советов вам помогут.

1. Не используйте Internet Explorer

Internet Explorer является источником многих уязвимостей. Совсем недавно, в конце апреля, была обнаружена новая уязвимость нулевого дня в IE. Эта уязвимость позволяла нападавшим взять под контроль компьютеры с Windows, поставив миллионы пользователей Windows под угрозу, пока не была исправлена.

«Более серьёзная проблема в том, что все, кто ещё используют XP — совершенно беззащитны, пока используют неподдерживаемую ОС», говорит Педро Бустаманте, эксперт по безопасности антивирусной компании Malwarebytes. «Для них никогда не будет выпущено патчей».

Вместо IE, используйте другой браузер, например, Google Chrome или Mozilla Firefox, которые всё ещё получают обновления безопасности.

2. Если вам приходится использовать IE, снижайте риски

Одна из основных причин, по которой многие организации по-прежнему работают на Windows XP, является запуск старых версий Internet Explorer для доступа к внутренним приложениям, которые несовместимы с другими браузерами или более современными версиями Explorer.

Вы можете снизить риск путем удаления плагинов браузера от сторонних разработчиков, таких как Java, Flash и PDF-просмотрщиков, так как уязвимости браузера часто происходят от этих типов плагинов.

3. Виртуализируйте Windows XP

Если необходимость запуска старой версии Internet Explorer является единственной причиной для пребывания на Windows XP, подумайте об обновлении до Windows 7, а затем запустите старую версию Explorer в режииме XP Mode. Он представляет собой виртуальную машину Windows XP, которая работает внутри Windows 7 и позволяет запускать приложения в XP Mode (например, старых версий Explorer) из рабочего стола Windows 7.

Преимущество этого подхода состоит в том, что XP используется только в случае крайней необходимости (для доступа к унаследованным приложениям, например). Остальную часть времени пользователь работает в среде более безопасной Windows 7.

XP Mode можно бесплатно загрузить для Windows 7 Professional, Enterprise или Ultimate.

4. Используйте инструмент смягчения Microsoft Enhanced Mitigation Experience Toolkit

EMET — бесплатный инструмент Microsoft, который позволяет заставить приложения «портировать» на XP некоторые меры безопасности, находящихся в более поздних версиях Windows.

Одним из таких методов является Включение защиты от перезаписи обработчика структурных исключений (SEHOP), который был введен в Windows Vista, чтобы помочь предотвратить эксплойты переполнения буфера. EMET позволяет расширить эту защиту на машины с XP.

Вы можете скачать EMET 4.1 из Microsoft Security TechCenter.

5. Не используйте аккаунт администратора

Многие из уязвимостей, касающиеся Windows XP, а именно 92% от всех критических уязвимостей из бюллетеней по безопасности Microsoft 2014, в соответствии с исследованием 2013 Microsoft Vulnerabilities Study, проведенным Avecto, могут быть использованы успешно, только если пользователь вошел в систему с правами администратора.

Если пользователи входят со стандартными, не администраторскими правами, это позволит одним махом смягчить подавляющее большинство рисков, работающих в Windows XP. В более крупных организациях, может быть использовано программное обеспечение управления привилегиями — для управления учетными записями пользователей и повышения привилегий в случае необходимости.

6. Выключите функцию автозапуска

Обычный способ заражения компьютеров вредоносными программами — автоматический запуск исполняемого программного обеспечения, которое присутствует на вставленном диске USB.

Можно отключить все функции автозапуска в Windows XP Professional, настроив параметры групповой политики — но проще просто скачать и запустить Microsoft Fix It 50471 (автозапуск можно при необходимости повторно включить, запустив Microsoft Fix It 50475).

7. Настройте Предотвращение выполнения данных

Защита предотвращения выполнения данных (DEP) предназначена для предотвращения исполнения вредоносного кода в части памяти компьютера, предназначенной для хранения данных, а не программного кода. Вредоносный код может быть помещен в этих частях памяти во время атаки переполнения буфера, а впоследствии могут произойти попытки его выполнения из этого места.

Чтобы получить максимальную защиту от DEP, убедитесь, что она включена для всех приложений. Если конкретное приложение становится нестабильным при включении DEP, можно выборочно отключить DEP для этого приложения.

Для установки максимальной защиты DEP выполните следующие действия:

1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду sysdm.cpl и нажмите кнопку ОК.
2. Перейдите на вкладку Дополнительно. В разделе Быстродействие нажмите кнопку Параметры.
3. В диалоговом окне Параметры быстродействия откройте вкладку Предотвращение выполнения данных.
4. Выберите Включить DEP для всех программ и служб, кроме выбранных ниже.

8. Не используйте Office 2003 (или Office XP)

Поддержка Microsoft Office 2003 и более ранних была прекращена вместе с поддержкой операционной системы Windows XP. Чтобы свести к минимуму шансы взлома через Office на машине с Windows XP, вы должны обновиться до более поздней версии Office или использовать альтернативный продукт, такой как LibreOffice с открытым исходным кодом.

Важно также убедиться, чтобы любые другие программы, установленные на компьютере с Windows XP имели последние обновления безопасности и прекратить использование любого программного обеспечения (например, Outlook Express), который больше не поддерживается, и для которого существует альтернатива.

9. Получите максимум от доступного программного обеспечения безопасности для Windows XP

Windows XP больше не обновляется, но у неё есть некоторая защита. Она включает в себя встроенный брандмауэр (который должен быть включён) и много вариантов антивирусного программного обеспечения.

Бесплатный продукт Security Essentials от Microsoft будет продолжать получать обновления до 14 июля 2015 года. Другие известные производители, такие как McAfee заявили о поддержке не менее двух лет. Некоторые, например, ESET, обещали поддержку на три года.

10. Отключитесь от сети

Некоторые старые аппаратные средства, такие как научное оборудование, могут работать только с Windows XP из-за отсутствия современных драйверов.

Если вам нужна Windows XP только для того, чтобы использовать этот тип аппаратных средств и получать данных от них, рассмотрите отключение компьютера от корпоративной сети (и Интернета), если это возможно, чтобы передавать полученные данные на другие компьютеры вручную (с помощью USB-накопителя, например).

По крайней мере, вы должны использовать сегментацию сети для изоляции машины с Windows XP от более чувствительных частей вашей сети.