Это вторая статья из цикла «Безопасность в Windows, не прилагая усилий». В первой статье мы разобрались с тем, где спрятаны рекомендации Microsoft, поговорили о роли кнопки «Да» в обеспечении безопасности системы и определили преимущества лицензионного программного обеспечения. Данный материал целиком посвящен одной из самых важных тем безопасной работы в Windows – своевременному обновлению операционной системы и приложений, которые в ней установлены.
Обновление сторонних программ
А «яву» я всегда отменяла, когда предлагали обновить. Думала, что это не нужно…
Владелица стильного ноутбука Sony
В эпиграф вынесены слова моей хорошей знакомой, которые она произнесла, обнаружив у себя то, что вы видите на рисунке ниже. Ее ноутбук укомплектован новейшей операционной системой Microsoft, защитные настройки которой вполне стандартны. Но лишь наличие антивируса спасло ее от заражения, вызванного прошлогодней уязвимостью в популярной платформе Sun Java — она установлена у миллионов пользователей. Программа пыталась обновиться неоднократно, но ей не разрешили, т.к. было непонятно, зачем это нужно.
Рисунок 1 — Антивирус подстраховал давно не обновлявшуюся платформу Sun Java
Программы время от времени обновляются, и это не всегда связано с безопасностью, но в первую очередь именно ради нее нужно их обновлять. Защиту операционной системы Windows могут компрометировать не только собственные уязвимости, но и сторонние программы, и я не случайно начинаю с них. Злоумышленники все более активно атакуют системы ничего не подозревающих пользователей через их браузеры, но при этом далеко не всегда уязвимость браузера является причиной успешной атаки. Нередко вредоносные программы проникают через «дыры» в плагинах и надстройках, например, проигрывателях и сторонних панелях.
Microsoft приводит очень интересную статистику в своем последнем отчете по безопасности (за вторую половину 2009 года). По данным компании, в операционных системах Windows Vista и Windows 7 при атаках через браузер 3/4 уязвимостей приходятся на сторонние программы (причем картину подпортила уязвимость в Windows Vista, т.к. в первой половине года на долю Microsoft приходилось лишь 15% уязвимостей).
Рисунок 2 – Использование уязвимостей при атаках через браузер в Windows Vista и Windows 7 (данные Microsoft за вторую половину 2009 г)
В десятке наиболее активно эксплуатируемых через браузер уязвимостей три «дырки» принадлежат Microsoft, а семь – сторонним программам, но при этом чуть ли не половина всех атак приходятся на одну недоработку в Adobe Reader, который помимо нее отрядил еще две уязвимости в горячую десятку. А самое примечательное то, что в ней четыре уязвимости 2007 года, а одна – вообще 2006 года. Конечно, все они уже закрыты разработчиками.
Если данные Microsoft не внушают вам доверия, изучите сводки других компаний, работающих в сфере информационной безопасности. Так, аналитик лаборатории Касперского в отчете об информационных угрозах за первый квартал 2010 года, тоже приходит к выводу, что пользователи вовсе не спешат обновлять установленные программы, несмотря на доступность исправлений.
Рисунок 3 – Доступно обновление для Adobe Flash Player, не откладывайте его установку
К числу программ, которые необходимо своевременно обновлять, относятся:
- Adobe Reader;
- Adobe Flash Player;
- Sun Java;
- Apple QuickTime;
- надстройки браузеров.
И, конечно, нужно обновлять сами браузеры – все они имеют собственные возможности обновления, кроме Internet Explorer, который обновляется с помощью Windows Update.
Обновление операционной системы Windows и программ Microsoft
Того, кто не задумывается о далеких трудностях, поджидают близкие неприятности.
Конфуций
Обновление операционной системы – это не только установка исправлений и заплаток, но и переход на новую платформу. Windows Vista и Windows 7 лучше защищены, чем Windows XP, что находит подтве
рждение в цифрах.
Переход на Windows 7
В пользу перехода на новую операционную систему существуют разные аргументы, но безопасность – один из важнейших. Новые версии Windows учитывают опыт предыдущих систем, поэтому некоторые возможности атаки устраняются на конструктивном уровне. Так, немало крови выпили и еще продолжают пить вредоносные программы, которые переносятся на «флэшке» или карте памяти и при ее подключении скрытно выполняются с помощью файла autorun.inf, используя функцию автоматического запуска в Windows.
В Windows 7 наконец-то отключили автоматический запуск со съемных носителей, оставив только возможность автоматического воспроизведения (AutoPlay), хотя в русской версии операционной системы она все равно называется автозапуском.
Рисунок 4 – В Windows 7 при подключении съемного носителя вы можете выбрать действие, но автоматического запуска программ не происходит
Автозапуск в Windows 7 сохранился только для оптических дисков (CD/DVD), на которых экономически невыгодно распространять вредоносные программы.
Microsoft подсчитывает уровень заражений операционных систем с помощью средства удаления вредоносных программ (MSRT), которое распространяется по каналу Windows Update, причем учитывается уровень пакета исправлений системы и ее архитектура.
Рисунок 5 — Количество компьютеров, очищенных MSRT за каждую 1000 запусков утилиты (данные Microsoft, вторая половина 2009 г.)
Понимать эти цифры нужно так, что MSRT за 1000 запусков на Windows XP SP3 обнаруживала и удаляла вредоносные программы на 7 компьютерах, а на Windows 7 RTM таких было в среднем лишь 4,2. Но любопытен также и расклад по архитектуре.
Если сравнить уровень заражений 32-разрядных систем, то в Windows XP SP3 он в два раза выше, чем в Windows Vista SP2 и Windows 7 RTM. Также обратите внимание, что 64-разрядные системы заражаются значительно реже, чем 32-разрядные, и это можно отнести на счет лучшего контроля над переполнением буфера, а также технологий Kernel Patch Protection и DEP. Однако аналитики Microsoft указывают и на другой фактор — более высокий уровень технической грамотности людей, использующих 64-разрядную архитектуру. Предположу, что когда настольные и мобильные компьютеры нижней ценовой категории начнут комплектоваться 4 Гб оперативной памяти, 64-разрядные системы пойдут в массы, и разрыв между архитектурами с точки зрения уровня заражений станет не таким значительным.
Так или иначе, чтобы обеспечить максимальную безопасность ОС Windows с минимальными усилиями, нужно переходить на 64-разрядную версию Windows 7 и, конечно, поддерживать ее в актуальном состоянии.
Установка обновлений с помощью Windows Update и Microsoft Update
В Windows 7 центр обновления Windows улучшился с точки зрения удобства и понятности использования, но его главное назначение осталось прежним. Он помогает поддерживать в актуальном состоянии систему и драйверы (сервис Windows Update) и программы Microsoft (сервис Microsoft Update).
Назначение обновлений
Обновления Windows и программ Microsoft можно поделить на две категории.
- Устранение уязвимостей и повышение безопасности. В первую очередь центр обновления Windows помогает поддерживать безопасность Windows, Internet Explorer и Microsoft Office. Исправления, устраняющие уязвимости, в центре обновлений Windows помечаются как важные. Microsoft выпускает их в широкий доступ во второй вторник каждого месяца для удобства организаций, но через центр обновления они нередко предлагаются раньше.
Наряду с устранением уязвимостей, Microsoft распространяет и другие обновления, повышающие безопасность системы. Например, с помощью Windows Update обновляют свои базы антивирус Microsoft Security Essentials и защитник Windows, а Microsoft Outlook получает новые фильтры нежелательной почты. Средство удаления вредоносных программ (MSRT) также распространяется через Windows Update и успешно удаляет наиболее распространенных шпионов и троянов с компьютеров миллионов пользователей.
- Повышение стабильности и производительности. По каналу Windows Update на компьютер доставляются не только обновления безопасности. Многие производители устройств сотрудничают с Microsoft при разработке драйверов, и после проверки они становятся доступны в центре обновления Windows. Как правило, эти драйверы не обладают расширенными возможностями, которые доступны в пакетах, предлагаемых производителями оборудования на их сайтах.
Однако совместимость драйверов с Windows проверена в лабораториях Microsoft (при этом обязательно наличие 32- и 64-разрядных версий), поэтому стабильность работы весьма высока. С другой стороны, Microsoft распространяет обновления для операционной системы и Microsoft Office, которые улучшают совместимость приложений, исправляют ошибки и повышают производительность.
Рекомендация Microsoft по обновлению операционной системы и программ состоит в том, чтобы устанавливать все предлагаемые обновления автоматически. Именно этот способ загрузки и установки обновлений Windows 7 предлагает по умолчанию.
Рисунок 6 – Стандартные параметры установки важных и рекомендуемых обновлений в Windows 7
Обратите внимание, что не нужно ничего настраивать, чтобы обеспечить должный уровень безопасности, т.е. от вас не требуется никаких усилий. С помощью центра поддержки система лишь будет уведомлять вас о том, что обновления установлены.
Выборочная загрузка обновлений
Впрочем, не всегда нужна установка абсолютно всех обновлений, а также не исключено, что вы хотите контролировать процесс их загрузки и установки. В этом случае центр обновления Windows предлагает два варианта:
- доверить системе загрузку, но принимать решение об установке самостоятельно;
- настроить процесс так, что система будет только уведомлять о наличии обновлений, а решение о загрузке предоставит вам.
Например, если из пакета Microsoft Office установлены только Word, Excel и PowerPoint, необязательно загружать обновления фильтра нежелательной почты для Outlook или исправления OneNote. Такая тактика может быть оправдана для пользователей с узкими Интернет каналами или лимитированными тарифными планами. В этом случае можно избирательно подходить к загрузке исправлений, скрывая ненужные в центре обновления Windows. Однако необходимо учесть, что установив ранее не использовавшееся приложение Office, нужно сразу же загрузить скрытые обновления, т.к. система уже не будет о них напоминать.
Исходя из своего опыта, отмечу, что такой подход в итоге приводит к задержкам в установке обновлений. Ведь в тот момент, когда система уведомляет нас об их наличии, мы всегда заняты чем-то другим (а, возможно, еще и перезагружаться придется).
Рисунок 7 — Центр поддержки Windows 7 напоминает о том, что пора установить обновления
Отвлекаться на такую мелочь не хочется, поэтому установка откладывается «на потом». Но на протяжении этого времени системе и приложениям не обеспечивается необходимый уровень безопасности, поэтому нужно быть весьма дисциплинированным человеком, чтобы вовремя устанавливать обновления, о которых сообщает Windows. Не говоря уже о ежемесячных посещениях сайта Microsoft, чтобы выудить из бюллетеней безопасности ссылки на необходимые обновления. Поэтому проще всего устанавливать обновления автоматически, тем более что это не требует никаких усилий.
Дополнительные сведения вы найдете в материалах о центре обновления Windows 7 на OSZone.net.
Точки восстановления системы
Каким бы способом вы не обновляли Windows 7, система всегда создает точку восстановления перед установкой исправлений.
Рисунок 8 — Точки восстановления создаются автоматически при каждой установке обновлений
Это хорошая страховка на случай, если что-то пойдет не так, и нормальная работа Windows окажется нарушена. При самых худших раскладах система может перестать загружаться, и вернуть ее к жизни без точки восстановления будет весьма затруднительно. Если защита системы включена, вы всегда сможете загрузиться в среду восстановления Windows RE и откатиться на точку, созданную до возникновения проблемы.
Если наряду с Windows 7 у вас установлена Windows XP, точки восстановления новой системы будут пропадать при каждой загрузке старой. Обойти это можно, лишь сделав раздел с Windows 7 недоступным из Windows XP. Осуществляется это добавлением одного параметра в реестр или шифрованием раздела Windows 7 с помощью BitLocker, а подробные инструкции вы найдете в статье KB926185 базы знаний Microsoft.
Заключение
Переход на новую платформу клиентских систем Microsoft означает работу в более безопасной среде. В Windows 7 уровень заражений значительно ниже, чем в Windows XP SP3, причем в 64-разрядной архитектуре реализованы дополнительные защитные меры. Чтобы обезопасить себя от современных угроз, необходимо поддерживать Windows 7 в актуальном состоянии, и для этого в системе предусмотрен механизм полностью автоматического обновления. Но его затруднительно использовать в нелицензионной системе, поэтому для обеспечения должного уровня безопасности приходится прилагать дополнительные усилия.
Какую бы операционную систему Microsoft вы не использовали, уязвимости сторонних программ несут не меньше риска, чем недоработки в защите Windows, поэтому не откладывайте обновление приложений и надстроек браузеров. Если этого не делать, то в Интернете далеко от домашней страницы не уйдешь, т.к. заразиться можно при просмотре документа в формате PDF или флэш ролика.
Большинство угроз домашним системам исходит из Интернета, a окном в него служит браузер. В последнее время популярность Internet Explorer неуклонно снижается, что отчасти вызвано сложившимся мнением о том, что его использование небезопасно. В следующей статье мы посмотрим, действительно ли это так.
Пример с явой понравился. Характерный и, пожалуй, не единичный.
Что касается Явы — вопрос интересный и не факт, что огульное глобальное обновление гарантирует спокойную жизнь. Гораздо важнее поддерживать в боевом состоянии антивирусную программу: она и только она имеет право на постоянное автоматическое обновление. Что же касается самой ОС — достаточно иметь исходный бэкап полностью работоспособного экземпляра, а обновления устанавливать однократно после выхода очередного сервиспака. В отношении операционных систем NT Microsoft (вплоть до «семерки») — проверенная годами и отточенная на практике стратегия.Сегодня вы Майкрософт любите, завтра на Мак потянет, потом, глядишь, «зоопарком» побаловаться захочется. Операционная система — всего лишь двигатель, главное — ваш багаж, то есть непосильным трудом собранные фотографии «любимой попки младшего правнука», документы, базы данных (А НЕ ПРОГРАММЫ ИХ ОБРАБОТКИ!!!) и т. п.
Важность обновления антивируса вроде и не оспаривается. В случае же с программами, вы сами решаете, обновлять или нет — в любом случае требуется ваше одобрение для Java и Adobe, в браузерах же настраивается. Но если вы решаете пропустить обновление безопасности, у вас должны быть веские причины для работы с ПО с уязвимостями. И аргумент «а у меня есть антивирус», меня тут не убеждает.
Так же и с обновлениями ОС. Не вижу смысла работать с уязвимостями, даже при наличии бэкапа :) Обновления бэкапу не мешают.
Моя ХР стоит уже больше 4 лет, и прекрасно работает (до нее несколько лет стояла солянка из 5 систем от MS-DOS до win2000). Обновления в ней, а также для всех программ были отключены при установке. Также был отключен ряд служб самой винды, которые мне не понравились (типа удаленной правки реестра, и еще десятка 3 других). В итоге — минимум занимаемой виндой памяти и цп, максимум производительности. В интернете — почти каждый день и не один час. Антивирус и файрволл, плюс запрет всем программам кроме браузера и еще пары выходить в интернет — и никаких проблем, уязвимостей, неприятностей.
Что касается обновлений — почему-то у некоторых обновление винды приводило иногда к непонятным зависаниям, а в особо критичных случаях и к краху системы. Впрочем, оно было на висте… И, кстати, иногда приходилось выполнять пожелание снести висту или 8-ку напрочь, и поставить ХР или 7.
В общем — это я к тому, что если нормально всё настроить, то и без обновлений всё будет чётко работать. И к тому, что обновления бывают сырые, и могут вместо повышения надежности давать прямо противоположный результат. Вопрос, зачем делают сырые обновления, приводящие к краху или серьёзным неполадкам системы? И стоит ли их ставить вообще, если всё и так работает в лучшем виде?
Обновления это конечно хорошо, но думаю суть остаеться немного в другом. Мне как пользователю не всегда понятно зачем делать, потом закрывать дыры?)) Но с другой стороны, у Майкрософта слишком большие и громоздкие обновления, а засорять винчестер с другой стороны не всегда хочеться .. Эдоби в последнее время страдает своей уязвимостью, да и что то они зачястили выпускать каждый месяц обновления, да и последняя весрия 11.3(номер билда не помню) страшно тормозит и тупит на 7-ке, да и частенько идет крах. Ява, точно страдает малость, но у них обновление иногда редкость .. и дизайн не грех сменить. ХР с СП3 очень хорошо славиться БэкДорами .. Да и Если бы Система была бы более доступна, тогда бы можно было бы покупать лицензионку системы. А при стоимости в 56 000 KZT или 11200 RU дороговата 7-ка малость))
Александр, я думал, что в записи объясняется, зачем закрывать дыры… Если вы хотите стать частью ботнета, можете не закрывать.
Это обсуждалось в контексте шести ошибок.
Здравствуйте, Вадим.
Столкнулся со следующей проблемой при обновлении Win 7 Ultimate x86: в июне после автоматической установки обновлений PC перезагрузился и на надписи «Загрузка Windows» стал сам перезагружаться повторно бесконечное число раз. Невозможно было попасть в систему и через безопасный режим со всеми возможными вариантами — система на половине загрузки по-прежнему перезагружалась. Помог только предложенный самой Windows отладочный режим, правда и то не с первого раза. В итоге система загрузилась и напротив некоторых обновлений в журнале появилась надпись — «отказ».
Я сначала не придал этому особого значения, не смотря на то, что раньше никаких сбоев замечено не было. Но с пакетом июльских обновлений история повторилась. Прилагаю скриншот, который демонстрирует, что часть обновлений установилась успешно, а другая часть пошла в «отказ».
http://bit.ly/PQefVS
Подскажите где искать проблему и как быть в дальнейшем с обновлениями?.
Отчет в Microsoft, предложенный в Recovery menu, отправил в обоих случаях.
Хочу еще заметить, что накануне установки обновлений никаких сторонних программ не устанавливалось и в реестре ничего не правилось, по аппаратной части изменений также не было.
Заранее спасибо.
Виталий, за помощью в решении проблем обращайтесь в форум. Вот тема [решено] Центр обновления Windows (Windows Update) (все проблемы).
Vadim Sterkin,
Спасибо, написал в форум.