Siguria dhe mbrojtja në sistemet kompjuterike

“Uncertainty is the only certainty there is, and knowing how to live with insecurity is the only security.” —John Allen Paulos

Listë kontrolli mbi elementët e sigurisë dhe mbrojtjes së komjuterit dhe informacionit Siguria e kompjuterit Siguria fizike Kriptimi TPM Siguria e sistemit të operimit Përdoruesit lokalë dhe grupet User Account Control (UAC) Përditësimi i Windows Atributet e file-ve Siguria e BIOS

Listë kontrolli mbi elementët e sigurisë dhe mbrojtjes së komjuterit dhe informacionit Konfigurimi i Firewall Programet anti-virus, anti-malware, anti-spyware Sigurimi i të dhënave kritike (back up/restore) Siguria në rrjetat wireless …etj

Siguria e kompjuterave Siguria fizike Ruajta në ambjente të kyçura Autentikim lokal Jo “auto login” Përdorimi i username dhe password të komplikuar Skanuesit biometrikë Kriptimi i drive-ave TPM (Trusted Platform Module)

Siguria e sistemit të shfrytëzimit Përdoruesit lokalë dhe grupet User Account Control (UAC) Kriptimi Atributet e file-ve Siguria e BIOS

Siguria e sistemit të shfrytëzimit 1. Përdoruesit lokalë dhe grupet Përdoruesit Administrator: ka akses të plotë mbi githçka që ndodhet në kompjuter Guest: ka akses të limituar në kompjuter User: mund të realizojë vetëm ato ndryshime që nuk prekin përdoruesit e tjerë apo sigurinë e sistemit Grupet Psh, Poëer Users

Siguria e sistemit të shfrytëzimit 2. User Account Control (UAC) Edhe pse mund të jeni loguar si Administrator, ju ekzekutoni me të drejtat e një përdoruesi standart Windows kërkon vëmendjen e përdoruesit për realizimin e detyrave që kërkojnë të drejta administrative Psh.: Konfigurimin e Firewall Instalimin e aplikacioneve Ndryshimin e informacionit të përdouesve …etj

Siguria e sistemit të shfrytëzimit 2. Përditësimi i sistemit të operimit Shumë hack-era shfrytëzojnë pikat e dobëta të njohura për të kompromentuar një sistem Për këtë sistemi duhet përditësuar sistemi me patch-et dhe service pack-et më të fundit

Siguria e sistemit të shfrytëzimit 3. Kriptimi Windows është i pajisur me disa mjete për kriptimin e të dhënave EFS (Encrypting File System) e disponueshme në file sistem-in NTFS Për të realizuar kriptimin: Right click>Properties>Advanced

Siguria e sitemit të shfrytëzimit BitLocker Kripton një drive të tërë Ruan celësin e kriptimit në chip-in TPM (Trusted Platforme Module) Aksesohet në Control Panel>System and security

Siguria e sitemit të shfrytëzimit 4. Atributet e file-ve File-t mund të kenë atribute të ndryshëm: Read-only Hidden Archive System

Siguria e sistemit të shfrytëzimit 5. Siguria në BIOS User password: fjalëkalimi që duhet të ketë përdoruesi për të ngarkuar sistemin e operimit Supervisor password: fjalëkalimi që duhet të ketë përdoruesi për t’u loguar dhe për të bërë ndryshime në bios Detektimi i ndërhyrjeve Detekton nëse kasa është hapur

Siguria e sitemit të shfrytëzimit

Firewall-i dhe lidhjet e sigurta Konfigurimi i Windows Firewall

Numrat e portave Portat TCP dhe UDP mund të jenë çdo numër ndërmjet 0 dhe 65535 Shumica e serverave përdorin numra të përherëshëm të portave (por kjo nuk ndodh gjithmonë) Psh. Protokolli HTTP përdor portën 80 Portat përdoren për komunikim dhe jo për siguri Numrat e portave të shëmbimeve duhet të jenë të njohura Numrat e portave TCP nuk janë të njëjtë me numrat e portave UDP Migjithëse në disa raste përputhen

Një lidhje në rrjet Kompjuteri përdor portën 1331 për të komunikuar me serverin Nëse kompjuteri komunikon me portën 53 të serverit merr shërbimin e DNS Nëse kompjuteri komunikon me portën 80 të serverit merr shërbimin e WEB Nëse kompjuteri komunikon me portën 443 të serverit merr shërbimin e një WEB Serveri që përdor komunikim të sigurtë (SSL)

Funksionimi i Firewall

Funksionimi i Firewall Bllokon portat që nuk nevojiten aktualisht Bllokon trafikun inbound/outbound (përveç trafikut të specifikuar në rregulla) Bën ndarjen e rrjetit publik (internetit) nga ai privat Mbron kompjuterat nga ndërhyrjet dhe sulmet Një Firewall mund të realizohet si: Hardware Fabrikuesit kryesorë janë Cisco, Juniper…etj Software Janë të përfshirë në sistemin e operimit ose mund të ofrohen nga një palë e tretë

Firewall-et software Ndryshe quhen edhe Firewall “personal” Janë të përfshira në shumë sisteme operimi Gjithashtu mund të ofrohen nga një palë e tretë Ndalon aksesin e paautorizuar nga rrjeti “stateful” Firewall Bllokon trafikun e aplikacioneve Windows Firewall Filtron trafikun sipas numrit të portës dhe aplikacioneve Mund të realizojë me sukses detyrat si: Bllokim i programeve që të mos aksesojnë internetin Krijmi i një whitelist për të kontrolluar aksesin në rrjet Lejimi i trafikut vetëm në disa posta dhe adresa IP specifike …etj

Konfigurimi i Windows Firewall Control Panel\System and Security\ Windows Firewall Windows njofton nëse një program bllokohet nga Firewall Për të lejuar një program për të punuar përmes Firewall klikojmë mbi “Allow a program or feature through Windows Firewall”

Konfigurimi i Windows Firewall Për të bërë ndryshime klikoni butonin “Change Settings” Klikoni programin dhe rrjetin të cilin do ta lejoni ta aksesojë Nëse programi nuk ndodhet në listë klikoni “Allow an other program…”

Change notification settings Shërben për të konfiguruar mënyrën se si Firewall ndërvepron me përdoruesin Aktivizimi/Ç’aktivizimi i Firewall Bllokimi i të gjitha lidhjeve hyrëse Njoftim kur Windows Firewall bllokon një program të ri Kjo automatikisht i jep përdoruesit mundësinë të shtojë rregulla në Firewall për lejuar programin të komunikojë Përdoruesit nuk kanë nevojë të konfigurojnë Firewall-in në mënyrë manuale

Windows Firewall with Advanced Security (WFAS) Control Panel\System and Security\Windows Firewall\Advanced Settings ose Start>wf.msc Dritarja që shfaqet jep një pamje të përgjithshme të konfigurimit të Firewall si dhe linqe për të mësuar dhe konfiguruar WFAS WFAS konfiguron Firewall-in duke duke grupuar rregullat në tre profile Domain profile: Private profile Public profile Për të ndyshuar konfigurimet për profilet klikojmë linkun Windows Firewall Properties Përdorim tab-et Domain profile, Private profile dhe Public profile për të realizuar konfigurimet (megjithëse konfiugurimet e parazgjedhura mund të jenë të përshtatshme)

Windows Firewall with Advanced Security (WFAS)

Windows Firewall with Advanced Security (WFAS) Paneli në të majtë ka katër kategori: Inbound Rules : Paraqet një listë për rregullave të përcaktuar për lidhjet inbound Outbound Rules : Paraqet një listë për rregullave të përcaktuar për lidhjet outbound Connection Security Rules : këtu mund të krijohen dhe menaxhohen rregullat e autentikimit Monitoring: shfaq konfigurimet e aktivizuara të Firewall-it. Përbëhet nga : Firewall: shfaq rregullat inbound dhe outbound të aktivizuara të Firewall Connection security rules: shfaq rregullat e aktivizuara të autentikimit

Windows Firewall with Advanced Security (WFAS) Krjimi i një rregulli: Për të krijuar një rregull zgjidhni Inbound Rules ose Outbound rules në panelin e majte dhe pastaj klikoni New Rule në panelin Actions Windows Firewall ofron 4 tipe rregullash Program: Bllokon ose lejon nje program Port : Bllokon ose lejon një portë Predefined : Perdor nje regull Firewall te paracaktuar te perfshire ne Windows Custom: Specifikon një kombinim programi, porte, dhe adrese IP per te lejuar ose bllokuar

Windows Firewall with Advanced Security (WFAS) Shembull 1:Bllokimi i një programi

Windows Firewall with Advanced Security (WFAS) Përcaktojmë tipin e rregullit të Firewall (program):

Windows Firewall with Advanced Security (WFAS) Vendosim path-in për tek file-i i ekzekutueshëm:

Windows Firewall with Advanced Security (WFAS) Caktojmë veprimin që do ndërmarrë Firewall (lejim apo bllokim):

Windows Firewall with Advanced Security (WFAS) Caktojmë profilet e rrjetit në të cilat do të aplikohet rregulli

Windows Firewall with Advanced Security (WFAS) Vendosim një emër për rregullin dhe klikojmë Finish

Windows Firewall with Advanced Security (WFAS) Pas aktivizimit të rregullit: Internet Explorer nuk akseson internetin

Windows Firewall with Advanced Security (WFAS) Shembull 2: Bllokimi i mesazheve ICMP (ping) Klikoni New Rule dhe zgjidhni Custom

Windows Firewall with Advanced Security (WFAS) Specifikojmë që ky rregull do të aplikohet për çdo program

Windows Firewall with Advanced Security (WFAS) Specifikojmë portën dhe protokollin (ICMP):

Windows Firewall with Advanced Security (WFAS) Specifikojmë adresat IP për të cilat aplikohet ky rregull

Windows Firewall with Advanced Security (WFAS) Zgjedhim veprimin e regullit (Bllokim i mesazheve ICMP)

Windows Firewall with Advanced Security (WFAS) Caktojmë profilet e rrjetit në të cilat do të aplikohet rregulli

Windows Firewall with Advanced Security (WFAS) Një emër për rregullin dhe klikojmë Finish:

Konfigurimi i Windows Firewall me Command Line Netsh (Network Shell) është një software command line që ju lejon të shfaqni apo të ndryshoni konfigurimin e rretit të një kompjuteri Për të ekzekutuar bllokimin e Internet Explorer në Command Prompt, në direktorinë System32 jepni komandën: C:\Windows\System32>netsh advFirewall Firewall add rule name=“Block Explorer” dir=out program=“C:\Program Files (x86)\Internet Explorer\iexplore.exe“ action=block

Konfigurimi i Windows Firewall me Command Line Për të ekzekutuar lejimin e Internet Explorer në Command Prompt, në direktorinë System32 jepni komandën C:\Windows\System32>netsh advfirewall firewall add rule name=“Block Explorer” dir=out program=“C:\Program Files (x86)\Internet Explorer\iexplore.exe“  action=alloë

Siguria e Skedarëve dhe kriptimi BitLocker

BitLocker BitLocker është një mënyrë për të kriptuar të dhënat në drive dhe për të kërkuar autentikim për të aksesuar informacionin BitLocker siguron mbrojtje për hard drive, external drive dhe për removable drive në rastet kur ato vidhen apo humbasin Bitlocker kripton të dhënat në mënyrë të tillë që askush nuk mund të aksesojë të dhënat pa patur fjalëkalimin Pas kriptimit mund të punoni me të dhënat ashtu si më parë, pa humbje të dukshme të performancës Për të realizuar kriptimin e fileve/skedarëve duhet të përdorni NTFS (New File System technology) Konvertimi i file-system në NTFS nga command prompt: convertd: /fs:ntfs

BitLocker BitLocker është në dy lloje në Windows 7 BitLocker to Go Kur aktivizoni BitLocker në një hard drive apo removable drive, BitLocker përdor këto metoda për të zbuluar drive-in: Fjalëkalim: Mund të përdorni një fjalëkalim për të zbuluar drive-in e kriptuar dhe në Group Policy mund të konfigurohet gjatësia minimale e fjalëkalimit Smart Card: BitLocker to Go është krijuar për të kriptuar të dhënat në mediat portabël

Kriptimi i një drive-i Start| Control Panel\System and Security\BitLocker Drive Encryption

Kriptimi i një drive-i Klikoni Turn On BitLocker pranë drive-it të cilin doni të kriptoni dhe vendosni një fjalëkalim

Kriptimi i një drive-i Opsionet për të ruajtur apo për të printuar recovery key (nevojitet kur harroni pasëordin) Në USB flash drive Në një file Mund të printohet

Kriptimi i një drive-i Konfirmoni vendimin duke klikuar Start Encrypting

Kriptimi i një drive-i Pasi proçesi të ketë përfunduar drive-i nuk mund të aksesohet pa patur fjalëkalimin

Sigurimi periodik i të dhënave Kritike Back up/Restore

Sigurimi i të dhënave kritike Duhet të realizoni rregullisht backup të të dhënave në kompjuterin tuaj në mënyrë që të mos humbisni të dhëna të rëndësishme në rastet kur një problem shfaqet në kompjuter Sistemi Windows ka mjete të posaçme për të realizuar backup dhe rikthim e të dhënave (restore) backup ka disa avantazhe krahasuar me kopjimin e thjeshtë të të dhënave në një disk të jashtëm: të dhënat kompresohen gjatë kopjimit kështu që backup zë më pak hapsirë në memorje. backup mund të ndajë një file të madh në dy apo më shumë disqe, gjë të cilën nuk mund të bëni me komandën Copy. në kushte emergjente kur disa të dhëna të rëndësishme humbasin apo ndryshohen, backup ofron mjete për rikthimin e të dhënave

Proçedura e back up Start| Control Panel\System and Security\Backup and Restore

Proçedura e back up nëse nuk keni realizuar një backup më përpara klikoni Set up backup.Nëse keni realizuar një backup më përpara klikoni Back up now

Proçedura e back up Në dritaren Set up back up zgjedhni vendin ku duam të ruajmë backup. Mediumi në të cilin realizojmë backup është zakonisht një hardisk i jashtëm, hardisk në rrjet, USB, CD apo DVD

Proçedura e back up Zgjedhni të dhënat për backup Let Windows choose realizon backup të të dhënave të ruajtura në librari, në desktop dhe në folderat “default” të Windows Let me Choose realizon backup të dosjeve /direktorive që ju zgjidhni

Proçedura e back up Selektoni të dhënat për backup

Proçedura e back up Konfirmoni konfigurimet e backup-it Klikoni mbi Save settings and run backup dritarja Backup and Restore tregon progresin e zhvillimit të backup

Proçedura e back up

Rikthimi i të dhënave nga backup (Restore) Në dritaren Backup and Restore klikoni Restore my files

Restore Klikoni Broëse for files ose Broëse for folders në varësi nëse doni të riktheni file apo folder

Restore Zgjidhni nëse doni t’i riktheni të dhënat në vendin e tyre origjinal apo në ndonjë vend tjetër

Restore Klikoni Restore : Të dhënat do të rikthehen në vendin e specfikuar.

Siguria ne rrjetat wireless

Siguria në WLAN Pozicionimi i access point për maximumin e sigurisë Porthuaj të gjitha problemet me sigurinë në WLAN vijnë si pasojë esinjalit që del jashtë ambjentit të punës apo shtëpisë Nëse mund të minimizoni këtë “rrjedhje sinjali” shtoni sigurinë e WLAN Poziciononi access point në vendodhje qëndrore dhe larg dritareve Kriprtimi në rrjetat wireless Vetëm përforuesit që kanë password mund të transmetojnë dhe të marrin informacion Dy standarte në sigurinë e rrjetave wireless: WEP WPA

Wired Equivalent Privacy WEP (Wired Equivalent Privacy) nivele të ndryshme të sigurie Çelësa kriptimi 40 bit Çelësa kriptimi 104 bit Që në vitin 2001 u identifikuan pika të dobëta të WEP Siguria e WEP mund të thyhet brenda pak minutash Nuk këshillohet përdorimi i WEP

Wi-fi Protected Access WPA (Wi-fi Protected Access) WPA WPA2 WPA-Enterprise WPA u krijua si një mënyrë për të zëvendësuar WEP me pjisjet harware ekzistuese Pëdor pjesë më të madhe të specifikimeve të standartit të sigurisë së 802.11i WPA përdor protokollin TKIP (Temporal Key Integrity Protocol) Probleme u identifikuan edhe në TKIP, në vitin 2004 krijua AES (Advanced Encryption Standart) është standarti më solid; deri tani nuk është zbuluar ndonjë pikë e dobët e AES

Wi-fi Protected Access WPA përdor pre-shared key 8 deri në 63 karaktere ASCII Këshillohet përdorimi i WPA2 dhe nëse jeni në një mjedis të madh duhet të përdorni WPA-Enterprise Përdor severa të posaçëm për të menaxhuar autentikimin në rrjet

Teknika për përmirësimin e sigurisë në rrjetat wireless Ndryshoni SSID që të mos jetë kaq e dukshme Ç’aktivizimi i SSID broadcast Service Set Identifier (SSID) është emri i rrjetit wireless është një mënyrë për të rritur sigurinë në rrjetin wireless Windows ruan SSID të një rrjeti nëse është lidhur të paktën një herë në të Pasi të gjithë kompjuterat janë lidhur të paktën një herë në WLAN nuk keni më nevojë të shpërndani SSID) Gjithsesi, SSID i fshehur mund të gjendet me një analizë pak më të detajuar me anë të softwareve open source Ndryshoni emrin e SSID Psai të keni ndaluar shpërndarjen e SSID duhet të ndryshoni emrin tij nga emri që i vendos fabrikuesi (psh, LINKSYS, NETGEAR…etj)

Teknika për përmirësimin e sigurisë në rrjetat wireless Filtrimi i adresave MAC MAC është adresa hardware e një karte rrjeti Konfigurimi i një ëhite list Lista e adresave mac që lejoihen të lidhen në access point Nuk është një metodë sigurie MAC adresat nuk kriptohen (Nuk kriptohet header-i i paketave wireless) Një përdores hacker mund të përgjojë paketat e rrjetit duke kapur edhe adresat MAC të konfiguruara në ëhite-list Në një stad të dytë mund të përdorë software të posaçëm për të dërguar/marrë paketa me adresë MAC të rremë

Teknika për përmirësimin e sigurisë në rrjetat wireless Filtrim me adresa IP Konfigurimi manual i adresave IP në një diapazon të caktuar Në një rrjet të pakriptuar mund të detektohen lehetë Nëse kriptimi thyhet, adresat IP kapen shumë lehtë Nga sa u tha më sipër: “Një rrjet i sigurtë wireless realizohet vetëm nëpërmjet kriptimit”

Kontrolli i Shërbimeve Ç’aktivizimi i shërbimeve të panevojshme

Kontrollimi i shërbimeve Windows 7 ka një listë të gjatë të programeve të quajtur shërbime (services) të cilat operojnë “në sfond” dhe realizojnë detyra themelore për llogari të tyre ose në mbështetje të progrmeve të tjera apo të sistemit të operimit Shërbimet janë routina (në background) që i lejojnë sistemit të realizojnë detyra si logimi në rrjet, menaxhimi i disqeve, mbledhja e të dhënave të performancës…etj Windows 7 ka më shumë se 150 shërbime të instaluara Megjithëse shërbimet ekzekutohen në background mund të ju duhet të ndaloni (stop), të ndaloni përkohësisht (pause), dhe startoni (start) një shërbim

Kontrollimi i shërbimeve Kontrollimi i shërbimeve bëhet në dritaren Services e cila aksesohet në tre mënyrat e mëposhtme Start| services.msc Control Panel\System and Security\Administrative Tools\Services Start| right-click në Computer| Manage dhe selektoni services në kategorinë Services and Application Ditarja Services afishon listën e të gjithë shërbimeve të instaluara dhe për çdo shërbim të isntaluar tregon: Status: gjendja e shërbimit (Started/Paused ose bosh për një shërbim të ndaluar) Startup Type: Mënyra e startimit të shërbimit (Automatic/ Manual) Log On As: Account-i që për dor shërbimi për t’u loguar

Kontrollimi i shërbimve

Kontrollimi i shërbimeve Për të ndryshuar statusin e një shërbimi: Klikoni Start për të startuar një shërbim Stop për të ndaluar një shërbim Pause për të ndaluar një shërbim përkohësisht Resume për të ristartuar një shërbim të ndaluar përkohësisht Për të ndryshuar mënyrën e startimit të shërbimit pas boot-imit të Windows: Double-click mbi shërbimin Në dritaren që shfaqet zgjidhni një nga opsionet Automatic- shërbimi startohet automatikisht gjatë bootim-it të Windows 7 Automatic (delayed Start)- si në rastin e parë me ndryshimin që shërbimi startohet pas log-imit Manual- Shërbimi duhet të startohet manualisht Disabled- Shërbimi është ç’aktivizuar; nuk mund të startohet

Mënyra e startimit të shërbimit

Kontrollimi i shërbimeve me anë të Command Prompt Për ato përdorues që manipulojnë shpesh me shërbimet, përdorimi i driatres Services në Control panel mund të konsumojë më shumë Në këto raste një metodë më e mirë është përdorimi i metodave command-line në cmd.exe Komandate që përdoren janë: NET STOP <emri i shërbimit> ndalon një shërbim NET START <emri i shërbimit> Starton një shërbim NET PAUSE <emri i shërbimit> ndalon përkohësisht një shërbim NET CONTINUE <emri i shërbimit> starton një shërbim të ndaluar përkohësisht

Kontrollimi i shërbimeve me anë të Command Prompt Shembull: net start Telephony net stop “Disk Defragmenter” net pause “World Wide Web Publishing Service” net continue “Windows Time” Në raste kur emri is shërbimit përmban hapsira, emri vendoset në thonjëza, psh. “Disk Defragmenter”

Ç’aktivizimi i shërbimeve për performancë më të mirë Meqë shërbimet janë software që ekzekutohen në memorje, secli prej tyre merr një pjesë të burimeve të sistemit Secili shërbim në vehte ndikon shumë pak në performancë, por ngarkimi i shumë shërbimeve të panevojshme e degradon ndjeshëm performancë Për këtë arsye Windows shumë shërbime nuk i aktivizon automatkisht në startup. Por këto shërbime aktivizohen vetëm kur nevojiten Mund të përmirësoni performancën e sistemit duke Ndaluar Windows të startojë automatikisht disa shërbime gjatë boot-imit (startim manual) Ndaluar Windows-in të startojë shërbime që nuk nevojiten (Disable)

Ç’aktivizimi i shërbimeve për performancë më të mirë Proçedura Start| services.msc Double-click në shërbimin që doni të ç’ativizoni Në dritaren që shfaqet , në tab-in General, në kategorinë Start-up type zgjidhni Disabled Klikoni OK

Programet e komunikimit Elektronik Konfigurimi i Outlook

Konfigurim manual ose automatik

Konfigurimi i E-mail

Konfigurimi i një account-iHotmail

Outgoing Server/ Advanced

Testimi i lidhjes

Finish/ Add another account

Konfigurimi i një account-i GMAIL Ndryshimi i vetëm është në numrat e portave dhe kriptimin e lidhjes (SSL)

Pyetje?