سألني بعض الإخوة عن برامج الحماية في الأجهزة الشخصية.
وموضوع الأجهزة الشخصية ليس بهذا البساطة ولا يمكنك ان ترميه فقط على برنامج وتقطها براسه وتطلع "سالم". هناك أمور يمكنك القيام بها.
لنبدأ.
وموضوع الأجهزة الشخصية ليس بهذا البساطة ولا يمكنك ان ترميه فقط على برنامج وتقطها براسه وتطلع "سالم". هناك أمور يمكنك القيام بها.
لنبدأ.
برامج الanti virus:
أفضل خيار بالنسبة لي هو Kaspersky الإصدار الكامل، وإذا كنت تستخدم Windows10 فWindows defender خيار جيد.
EETNode و Bitdefender ممتازين أيضاً
لكن هذا يعتمد على الاعدادات التي تضعها! أي برنامج حماية جيد سيسألك الكثير من الاسئلة عن كل شي يعمل بجهازك.
أفضل خيار بالنسبة لي هو Kaspersky الإصدار الكامل، وإذا كنت تستخدم Windows10 فWindows defender خيار جيد.
EETNode و Bitdefender ممتازين أيضاً
لكن هذا يعتمد على الاعدادات التي تضعها! أي برنامج حماية جيد سيسألك الكثير من الاسئلة عن كل شي يعمل بجهازك.
إذا كنت تستخدم ما قبل Windows10 فمفيد لك أيضا استخدام EMET وهي أداة من مايكروسوفت لتصعيب استغلال الثغرات.
إذا كنت تستخدم Windows 10 قم بضبط خاصية Exploit Protection فيه واجعل كل شي On
إذا كنت تستخدم Windows 10 قم بضبط خاصية Exploit Protection فيه واجعل كل شي On
يمكنك تشغيل بعض الإعدادات الإضافية لكل برنامج على حدة. مثلا برنامج Adobe او غيرهم من البرامج كثيرة الثغرات او التي يتم بالعادة فيها استغلال طرق معروفة مثل win32k.sys او gdi fonts يمكنك وضع المزيد من القيود عليها. يمكنك جعل القيود تجريبية audit only لتجربة عمل البرنامج اولا
المزيد من الخيارات والقيود في Windows Exploit Protection للحد من صلاحية البرامج كثيرة الاختراق.
احد المميزات المهمة للحماية من الاختراق للجهاز الشخصي هو تغيير ارتباطات الملفات File association.
يعني مثلا ملفات bat, js, vbs, و غيرها يمكنك تغيير البرنامج الافتراضي لتشغيلها ليكون محرر نصوص بدلا من برنامج تنفيذي.
مثال تغيير JS من zain Windows Script Host إلى Notepad++
يعني مثلا ملفات bat, js, vbs, و غيرها يمكنك تغيير البرنامج الافتراضي لتشغيلها ليكون محرر نصوص بدلا من برنامج تنفيذي.
مثال تغيير JS من zain Windows Script Host إلى Notepad++
قصة قصيرة:
يوما ما أثناء القيام بتحليل احد الفايروسات، تلخبطت و ظننت اني داخل الVM بينما كنت بجهازي الحقيقي وفتحت ملف VBS بالخطأ فظهر لي Notepad الذي كنت قد وضعته مسبقاً كمشغل تلقائي لملفات vbs بدلا من Windows Script Host فأنقذني من هذا الخطأ البسيط.
تغيير ارتباط الملفات مهم.
يوما ما أثناء القيام بتحليل احد الفايروسات، تلخبطت و ظننت اني داخل الVM بينما كنت بجهازي الحقيقي وفتحت ملف VBS بالخطأ فظهر لي Notepad الذي كنت قد وضعته مسبقاً كمشغل تلقائي لملفات vbs بدلا من Windows Script Host فأنقذني من هذا الخطأ البسيط.
تغيير ارتباط الملفات مهم.
بعالم الOffice تحتاج لتعطيل خاصية الmacro وهي أشهر وسيلة للاختراق في ملفات office مثل word و PowerPoint وتستطيع تعطيلها عن طريق الذهاب لإعدادات البرنامج ثم Trust Center ثم Macro Security
احد الاعدادات السهلة المهمة التي لا يهتم لها أحد هي استخدام مستخدم آخر غير admin.
يعني أن تستخدم اليوزر الخاص بك وتصنع به مستخدم آخر لا توجد لديه صلاحيات.
وتقوم باستخدام هذا المستخدم الجديد يومياً.
عندما تحتاج لأمور فيها صلاحيات حينها تستخدم حساب الlocal admin لديك
يعني أن تستخدم اليوزر الخاص بك وتصنع به مستخدم آخر لا توجد لديه صلاحيات.
وتقوم باستخدام هذا المستخدم الجديد يومياً.
عندما تحتاج لأمور فيها صلاحيات حينها تستخدم حساب الlocal admin لديك
خاصية App Locker في ويندوز من نوع application whitelisting يمكنك تشغيلها بجهازك إذا كان إصداره enterprise. انصح بعدم التعبث بها إذا لم تكن لديك خبرة عالية.
وتصل لها عن طريق تشغيل برنامج secpol local security editor.
يمكنك وضع قواعد لتشغيل البرامج مثلا:
وتصل لها عن طريق تشغيل برنامج secpol local security editor.
يمكنك وضع قواعد لتشغيل البرامج مثلا:
1- فقط شغل برامج من program files او system32.
2- فقط شغل برامج موقعة توقيعاً إلكترونيا.
3- فقط شغل برامج من شركات معينة.
ويمكنك تشغيل الخاصية بنظام المراقبة فقط audit only حتى تعرف مالذي يحدث بجهازك لتقوم بتعديل قواعد التشغيل وتحسينها حيث ستجد الكثير من الاستثناءات
2- فقط شغل برامج موقعة توقيعاً إلكترونيا.
3- فقط شغل برامج من شركات معينة.
ويمكنك تشغيل الخاصية بنظام المراقبة فقط audit only حتى تعرف مالذي يحدث بجهازك لتقوم بتعديل قواعد التشغيل وتحسينها حيث ستجد الكثير من الاستثناءات
في وندور ١٠ هناك خاصية مفيدة جدا اذا كان جهازك يدعمها وهي Virtualization Based Security وهي طريقة يقوم بها الويندوز لحفظ الباسورد وغيرها من الاعدادات بطريقة أكثر أمان.
هناك أداة في الويندوز اسمها Device Guard and Credential Guard hardware readiness tool تسمح لك بفحص قدرة جهازك
هناك أداة في الويندوز اسمها Device Guard and Credential Guard hardware readiness tool تسمح لك بفحص قدرة جهازك
وهذا مثال على استخدام الأداة للتحقق من وجود هذه الخاصية بجهازك وقدرته علي تشغيلها ثم تشغيلها وعمل reboot لتبدأ بالعمل.
ملاحظة؛ هذه الخاصية تتعارض مع النسخ القديمة من vmware workstation
ملاحظة؛ هذه الخاصية تتعارض مع النسخ القديمة من vmware workstation
أهم أمرين في الحماية من مشاكل الفلاش ميموري هي إغلاق الautorun أو autoplay وهي سهلة بوندوز ١٠ فقط اعمل للAutoplay off من الإعدادات.
الأمر الآخر هو الحذر من تشغيل فايروسات الshortcut (الاختصار) حيث يبدو شكل الملفات مع سهم صغير كما في الصورة.
حيث قد تحتوي هذه الshortcut على سكريب
الأمر الآخر هو الحذر من تشغيل فايروسات الshortcut (الاختصار) حيث يبدو شكل الملفات مع سهم صغير كما في الصورة.
حيث قد تحتوي هذه الshortcut على سكريب
بعدها يأتي أهمية تطبيق تحديثات الويندوز وخصوصا تحديثات الحماية Security updates
.
يمكنك القيام بها عن طريق الوسيلة الرسمية Windows Updates.
إذا عندك أكثر من جهاز شخصي يمكنك استخدام download.wsusoffline.net
لمعرفة ماذا ينقصك من التحديثات والإعدادات الأمنية استخدم MBSA
.
يمكنك القيام بها عن طريق الوسيلة الرسمية Windows Updates.
إذا عندك أكثر من جهاز شخصي يمكنك استخدام download.wsusoffline.net
لمعرفة ماذا ينقصك من التحديثات والإعدادات الأمنية استخدم MBSA
MBSA هو أداة Microsoft Baseline Security Analyzer.
microsoft.com/en-us/download…
يقوم بفحص جهازك ويعطيك ما ينقصك من تحديثات أمنية وإعدادات.
microsoft.com/en-us/download…
يقوم بفحص جهازك ويعطيك ما ينقصك من تحديثات أمنية وإعدادات.
أعدادات UAC وتعني User Account Control هي خاصية مهمة يقوم بها الويندوز للتحقق من الصلاحية قبل القيام بتشغيل اي برنامج عالي الصلاحية.
ادخل على أعداداتها بالوندوز واختر أعلى شي.
سيزعجك بالاسئلة. تحمله ولا تتدلع.
وضع UAC لأعلى شي يعطل كل وسائل تجاوز الصلاحية UAC bypass
ادخل على أعداداتها بالوندوز واختر أعلى شي.
سيزعجك بالاسئلة. تحمله ولا تتدلع.
وضع UAC لأعلى شي يعطل كل وسائل تجاوز الصلاحية UAC bypass
الحماية على مستوى الhardware:
تحتاج لجعل نظامك يستخدم UEFI بدل من BIOS. (صعبة من دون فورمات).
تحتاج لتشغيل Secure Boot.
ضع باسورد على الBIOS menu.
قم بتشغيل BitLocker:
عندك هنا حلين. جعله automatic يعني يشتغل من نفسه، او باستخدام باسورد قبل الاقلاع preboot password.
تحتاج لجعل نظامك يستخدم UEFI بدل من BIOS. (صعبة من دون فورمات).
تحتاج لتشغيل Secure Boot.
ضع باسورد على الBIOS menu.
قم بتشغيل BitLocker:
عندك هنا حلين. جعله automatic يعني يشتغل من نفسه، او باستخدام باسورد قبل الاقلاع preboot password.
لا تجرب أعدادات الhardware security إذا لم يكن لديك الخبرة الكافية. وقم بعمل باك اب قبلها تحسباً.
بالمناسبة. هل تقوم بعمل باك اب؟ هل الباك اب تشفره بباسورد؟ هل تحققت مرة من المرات من سلامة الباك ابز الذي تقوم بها؟ اسئلة يجب أن يكون لديك لها إجابات.
بالمناسبة. هل تقوم بعمل باك اب؟ هل الباك اب تشفره بباسورد؟ هل تحققت مرة من المرات من سلامة الباك ابز الذي تقوم بها؟ اسئلة يجب أن يكون لديك لها إجابات.
لم أكمل موضوع هذه التغريدة
الحقيقة أن خواص الvirtualization Security بوندوز ١٠ عديدة ومنها memory integrity و hypervisor protected code integrity وكلها تصعب من عملية استغلال الثغرات الخطيرة
يمكنك استخدام نفس الأداة Device Guard Readiness tool لتشغيله
الحقيقة أن خواص الvirtualization Security بوندوز ١٠ عديدة ومنها memory integrity و hypervisor protected code integrity وكلها تصعب من عملية استغلال الثغرات الخطيرة
يمكنك استخدام نفس الأداة Device Guard Readiness tool لتشغيله
تحتاج بعدها لتعطيل بروتوكولات النتورك القديمة في وندوز والتي قد تكون مفعلة إذا كان جهازك قديم. تحتاج لتعطيل SMB1 و LLMNR و NetBIOS.
google.com.kw/amp/s/www.thew…
woshub.com/how-to-disable…
google.com.kw/amp/s/www.thew…
woshub.com/how-to-disable…
أخيراً إذا كان نظامك ليس windows 10 ستحتاج بعض التعديلات لجعل شفط باسوردك أصعب قليلا.
p16.praetorian.com/blog/mitigatin…
p16.praetorian.com/blog/mitigatin…
