Безопасность ноутбука

Введение

Ноутбуки в силу своей мобильности очень плохоприспособлены к хранению конфиденциальной информации. Работая вполевых условиях (скажем, в гостиничном номере, купе поезда илисамолета), вы ничем не застрахованы от любопытных глаз окружающих. Ктому же ноутбук неизбежно приходится оставлять без присмотра, отлучаясьв кафе или по естественным надобностям.

Словом, существует вполне осязаемая угрозанесанкционированного доступа к информации, а то и кражи ноутбука совсем его содержимым! Убытки же от раскрытия и/или модификации секретнойинформации зачастую сравнимы, а то и превосходят стоимость самогокомпьютера!

Право же, не стоит надеяться на авось иоправдывать халатное отношение к собственной безопасности нехваткойвремени или какими бы то ни было другими причинами. Помните: беда не предупреждает о своем приходе!

Выбор операционной системы

Воздвигать крепость защиты мы начнем с закладкифундамента. Фундамент – это надежная, отказоустойчивая,пуленепробиваемая и максимально жизнеспособная операционная система.Народная Windows 98, равно как и ее старшая сестра Windows Millennium, построена на латанном-перелатанном ядре Windows 3.0,и потому на эту роль категорически не подходит. Какими бы изощреннымизащитами вы ни пользовались, профессиональный взломщик без особыхтрудов сумеет их обойти, поскольку Windows 9x не позволяетгарантированно предотвратить модификацию кода защиты (т.е., попростуговоря, ее убиение).

Поэтому имеет смысл установить на всех своих компьютерах, включая ноутбук, одну из систем, базирующихся на ядре NT. К таковым принадлежат (в порядке роста требований к аппаратным ресурсам): Windows NT, Windows 2000, Windows XP.Защищенность всех их в той или иной степени одинакова, афункциональность увеличивается явно медленнее, чем аппетит, который вотношении Windows XP иначе, как обжорливостью, просто не назовешь.

Теоретически можно оснастить ноутбук какой-нибудь UNIX-подобной системой, например, LINUX.Достаточно непритязательные к мощности аппаратуры, они, тем не менее,обладают не сильно уступающей Windows функциональностью и обеспечиваюточень высокий уровень защиты. (Некоторые UNIXы сертифицированы помандату B, что значительно выше мандата C2, выданного всвое время NT). Единственное, что останавливает: крайне убогая – да незапинают меня юниксоиды – поддержка форматов Microsoft Office, ставших сегодня стандартом де-факто (Star Office многиедокументы не открывает вообще или делает это не вполне корректно) иотсутствие драйверов под многие, в том числе, и не экзотическиежелезки. Очень может сложиться так, что LINUX на ваш компьютер простоне встанет.

Поэтому давайте остановимся на компромиссном варианте – Windows 2000.

Выбор файловой системы

При установке системы обязательно выберите тип файловой системы NTFSи без колебаний откажитесь от FAT. Мотивация такова: NTFS, в отличие отFAT, действительно надежная отказоустойчива система, разрушить которуюможно только динамитом (шутка, конечно, но весьма недалекая от истины).

К тому же, в состав NTFS входит EFS Encryption File System (Шифрованная Файловая Система),обеспечивающая прозрачное шифрование файлов и папок. Конечно, этувозможность никак не назовешь уникальной – подобное сегодня реализуютвсе кому не лень. Сеть буквально кишит шифровальными программами. Какговорится, выбирай на вкус! Но помимо проблемы выбора (у буридановаосла было всего две кучки сена, и то он окочурился с голоду, так и нерешив с какой из них начать трапезничать), пользователь сталкивается сневозможностью проверки соответствия заявленных характеристикдействительным.

Разработчик может уверять вас, что использует1024-битное шифрование, а на самом деле не выполнять никакогошифрования вообще или реализовать примитивнейшую ксорку. И дажечестные разработчики ничем не застрахованы от ошибок! Благодаря этомустойкость шифра может оказаться значительно ниже ожидаемой или, что ещехуже, зашифрованный файл в некоторых случаях необратимо искажается иего вообще не удается расшифровать!

Особенно щепетильным следует быть при выборе утилит,создающих виртуальные шифрованные диски (т.е. делающих приблизительното же самое, что и EFS). Один неверный бит способен превратить десяткигигабайт ценнейшей информации в бесценный хлам. Положение усугубляетсятем, что дисковых докторов для таких утилит нет, и даже самыйничтожный сбой восстанавливать нечем. Не поможет тут и ручная работа,поскольку разработчики практически никогда не описывают форматышифрованных дисков.

Словом, несмотря на то, что EFS обеспечивает всеголишь 56-битное шифрование (что при мощностях современных компьютеровназвать шифрованием даже язык не поворачивается), она – хороший выбор!

Шифрование папок и файлов

Как пользоваться шифрованием? Во-первых, поскольку вкачестве ключа будет использоваться пароль, под которым вы входите всистему, со всем вниманием отнеситесь к его выбору. Пароль не долженпредставлять собой словарное слово, предсказуемую или слишком короткуюпоследовательность.

Во-вторых, следует выбрать, какие папки вы будете шифровать. Не забывайте также про папку TEMP –очень многие приложения (тот же Word, например) не слишком-то аккуратноудаляют после себя временные файлы, а во временные файлы попадает всечто угодно, – от рабочих данных до копий редактируемых файлов!

Папка с временными файлами может размещаться в различных каталогах, да к тому же она может быть и не одна. В Командной строке дайте команду start %TEMP%, start %TMP%, и указанные каталоги появятся на экране. (Обычно это что-то типа: C:\Documents and Settings\Kris Kaspersky.KPNC\Local Settings\Temp). Переходим на уровень вверх и, щелкнув правой клавишей мыша по папке, в контекстном меню выбираем Свойства. Во вкладке Общие находим кнопочку Дополнительно, которая открывает нам еще один диалог, содержащий помимо прочего пункт Шифровать содержимое для защиты данных. Взводим галочку и дважды нажимаем ОК.Система попросит уточнить: хотим ли мы шифровать вложенные папки илитолько эту папку? Конечно же, хотим шифровать вложенные! – ОК.Если все сделано правильно, на экране появится градусник,изображающий ход шифрования, и абстрактная анимационная картинка, сумным видом рисующая разноцветные крестики в нужных местах.

На первый взгляд может показаться, что ничего непроизошло: работа с зашифрованными файлами происходит так же, как ираньше. Однако все изменится, если зайти в систему под другим именем.Будь вы хоть администратором, – в доступе вам будет отказано независимоот того, идентичен пароль или нет!

Теперь перейдем к Корзине. Вообще-то, от нее лучше сразу отказаться, указав в настройках Удалять файлы сразу после удаления, не помещая их в корзину,но если уж очень хочется иметь возможность восстановления ранееудаленных файлов, найдите в корневых каталогах каждого из дисковскрытую папку Recycle. Открыв ее, вы увидите нескольковложенных папок, каждая из которых хранит удаленные файлы своегопользователя. К сожалению, вместо имен здесь используются бессмысленныена первый взгляд идентификаторы. Впрочем, найти свою Корзину оченьпросто: лишь ее одну вы сможете открыть, а в остальные вас просто непустят (если, конечно, вы не администратор системы, но постояннозаходить в систему с привилегиями администратора могут толькосамоубийцы). Шифруем Корзину и переходим к личной почте.

Почта – настоящий кладезь информации для злоумышленника,особенно, если вы бережно храните всю полученную и отправленнуюкорреспонденцию. Не стоит пренебрегать возможностью ее зашифровать. В Outlook Express это делается так: щелкаем правой клавишей мыши по папке Входящие и выбираем Свойства. В появившемся диалоговом окне находим пункт Данная папка хранится в следующем файле. Переходим по указанному адресу и шифруем всю папку целиком.

В заключение шифруем папку Мои документы,равно, как и все папки, где вы храните секретные документы,предварительно убедившись, что ничего ценного в других папках нет. Впервую очередь к другим относится папка WINNT\Repair, открыто хранящая копию реестра, в том числе и базу паролей. Либо удалите ее совсем, либо зашифруйте.

Быстрая блокировка компьютера

Проделав все эти операции, вы можете со спокойнойсовестью оставлять работающий ноутбук без присмотра, естественно нажавперед уходом Alt-Ctrl-Del и выбрав пункт Блокировка системы.Система окажется заблокированной вплоть до ввода пароля, излоумышленник, пускай он даже похитит ваш ноутбук, не сможет добратьсядо охраняемой информации. Правда вам придется отказаться отавтоматического ввода пароля при старте системы, ибо это маленькоеудобство сводит защищенность компьютера практически к нулю. Итак, Панель управления aПользователи и пароли aТребовать ввод имени пользователя и пароля.

Не лишним будет установить пароль и на включениекомпьютера (если, конечно, ваша BIOS это позволяет). Несмотря на то,что пароль снимается элементарным замыканием специальной перемычки наматеринской плате, он все-таки представляет вполне надежную защиту,ведь далеко не во всех случаях злоумышленник имеет время, достаточноедля вскрытия ноутбука. Правда, некоторые BIOS поддерживают, такназываемый, мастер-пароль, наиболее известный из которых – AWARD_SW – всвое время наделал много шума. Не брезгуйте пройтись по хакерскимсайтам, – очень много нового о своем кремниевом друге можете вычитать!

Также обязательно запретите BIOSу грузиться сдискеты, иначе никакая Windows 2000 вам не поможет! Прочесть-тозашифрованную информацию злоумышленник не прочтет, но вот уничтожитьсможет.

Некоторые тонкости шифрования

Кстати, о шифровании. В работе с зашифрованной папкой через Проводникаесть одна тонкость. Файлы, перетащенные в зашифрованную папку,зашифрованы не будут! Microsoft честно об этом предупреждает инастоятельно рекомендует вместо Drag & Drop пользоваться командами Вырезать/Копировать и Вставить. Неудобно, конечно, но…

Но было бы ошибкой считать систему шифрованияWindows 2000 кривой, как бумеранг. При более детальном знакомстве с нейнегативное впечатление плавно перетекает, если уж не в щенячий восторгто, по крайней мере, в глубокое уважение.

Ах да, легально нам доступно лишь56-битное шифрование, но контрафактные диски еще никто не отменял, иWindows 2000 с крутым шифрованием в России не редкость (невероятно,но Microsoft в файле помощи сама невольно подсказывает, как этосделать).

Заключение

Для создания защиты от рядового злоумышленника нетникакой необходимости покупать дорогостоящие аппаратные комплексы,неоправданно широко рекламируемые в последнее время. В конце концов,шпионов под кроватью нет, а ноутбуки воруют в первую очередь для того,чтобы их продать.

Штатные средства операционных систем Windows 2000/XPдают вполне удовлетворительные гарантии, что зашифрованная информацияне будет вскрыта ни одиночкой, ни даже группой злоумышленников заразумное время. Исключение составляют лишь государство и корпорации,однако и тем, и другим вряд ли придет в голову атаковать пароль, когдапод рукой всегда есть утюг (паяльник). А от утюга никакие, даже самыесовременные защиты, основанные на биометрических показаниях, не спасут.

Увы, замки (какие бы то ни было) защищают лишь отчестных людей, поэтому, право же, не стоит вкладывать в них излишнебольшие деньги.

Добавить комментарий