Lucrarea nr.

ADMINISTRAREA SECURITĂŢII SISTEMULUI WINDOWS (1)

2.1 Activarea/dezactivarea firewall-ului

Un firewall este un sistem destinat a proteja un calculator sau o reţea împotriva atacurilor de tip
network-based. Protecţia se realizează prin filtrarea pachetelor de date care vin şi pleacă spre/dinspre
staţia de lucru/reţea, în funcţie de anumiţi parametri ce pot fi setaţi (aplicaţia care a trimis pachetul,
adresa, tipul pachetului, etc.).
Sistemul de operare Windows posedă un firewall destul de simplu dar şi destul de eficient, care
poate fi activat/dezactivat parcurgând paşii (figura 2.1):
1. Se deschide Control Panel;
2. Dacă suntem in modul de vizualizare Category, se efectuează clic pe System and
Security, apoi clic pe Windows Firewall. Dacă suntem în modul de vizualizare Icon, se
efectuează dublu clic pe Windows Firewall;
3. În panoul din stânga, se face clic pe Windows Firewall on sau off. Dacă suntem solicitaţi
să introducem parola de administrator sau confirmarea, se introduce parola solicitată sau se
furnizează confirmarea;
4. Se efectuează clic pe Turn on Windows Firewall referitor la locaţia reţea corespunzătoare
pentru a activare, sau clic pe Turn off Windows Firewall (not recommended)
referitor la locaţia reţea corespunzătoare pentru dezactivare.
.

1
 Fig. 2.1 Windows Firewall(1)

5. Dacă se doreşte blocarea traficului de intrare (incoming) atunci când suntem conectaţi la o
reţea publică, se selectează şi opţiunile Block all incoming connections,
including those in the list of allowed programs şi Notify me when Windows
Firewall blocks a new program;
6. Clic pe Ok.

2.2 Acordarea/eliminarea permisiunii unui program de a comunica prin intermediul firewall-ului

Este posibilă adăugarea/eliminarea unui program din lista celor cărora le este permis să comunice
prin intermediul firewall-ului (figura 2.2 ):
1. Se deschide Windows Firewall;
2. În panoul din stânga, se efectuează clic pe Allow a program or feature through
Windows Firewall;
3. Se efectuează clic pe Change settings. Dacă suntem solicitaţi să introducem parola de
administrator sau confirmarea, se introduce parola solicitată sau se furnizează confirmarea;
4. Se selectează caseta de validare din dreptul programului căruia dorim să îi permitem
comunicarea, selectăm locaţiile reţelei cărora dorim să le permitem să comunice, şi apoi clic pe
Ok.

2
 Fig. 2.2 Windows Firewall(2)

2.3 Deschiderea de porturi în Windows Firewall

Dacă programul căruia dorim să îi permitem să comunice nu este listat (afişat), este posibil să avem
nevoie să deschidem un port. Pentru a deschide un port, se vor efectua paşii:
1. Se deschide Windows Firewall;
2. În panoul din stânga se efectuează clic pe Advanced settings. Dacă suntem solicitaţi să
introducem parola de administrator sau confirmarea, se introduce parola solicitată sau se
furnizează confirmarea (figura 2.3);

Fig. 2.3 Windows Firewall(3)

3. În panoul din stânga al casetei de dialog Windows Firewall with Advanced Security, se
efectuează clic pe Inbound Rules (figura 2.4), iar apoi în panoul din dreapta, clic pe New Rule.
Se selectează Port şi apoi clic pe butonul Next (figura 2.5);

3
 Fig. 2.4 Windows Firewall(4)

Fig. 2.5 Windows Firewall(5)

4. Se specifică TCP sau UDP şi se specifică în continuare numerele de port. Se efectuează clic pe
butonul Next (figura 2.6);

4
 Fig. 2.6 Windows Firewall(6)

5. Se selectează Allow the connection, Allow the connection if it is secure, sau

Block the connection. Clic pe butonul Next;
6. Implicit, regula se va aplica tuturor domeniilor. Dacă nu dorim ca regula să se aplice unui domeniu,
se va deselecta domeniul respectiv. Clic pe butonul Next;
7. Se specifică un nume pentru regulă şi dacă se doreşte, un descriptor. Clic pe butonul Finish.

Deşi Windows Firewall este un o aplicaţie care evită foarte multe probleme, ea nu va
satisface cerinţele unui control mai strict al pachetelor ce intră/pleacă pe/de pe staţie, respectiv stabilirea
unor anumitor reguli de filtrare la nivel de aplicaţie, la nivel de director, etc. În cazul acesta se recomandă
utilizarea unui firewall de la un producător terţ, în funcţie de necesităţile utilizatorului.

2.4 Dezactivarea serviciilor neutilizate ale sistemului de operare

Serviciile sistemului de operare sunt procese care implementează diverse funcţii ale acestuia. Ele
sunt încărcate la pornirea sistemului, iar în configuraţia standard Windows-ul are până la 80 de astfel de
servicii. Lista serviciilor disponibile se accesează din Control Panel, Administrative Tools,
Services. În figura 2.7 este selectat serviciul Automatic Updates.

5
 Fig. 2.7 Listă serivicii disponibile

Există două tipuri de servicii: servicii necesare permanent, care sunt de tip Automatic şi servicii
necesare temporar, de tip Manual. Tipul unui serviciu este precizat în coloana Startup Type (figura
2.7). Informaţii suplimentare despre un anumit serviciu (utilizatorul pentru care se execută, legătura cu alte
servicii, etc.) se obţin utilizând opţiunea Properties din meniul contextual.
Nu este nevoie ca toate serviciile să fie active permanent. Astfel, în scopul asigurării unei protecţii
adecvate, anumite servicii pot fi dezactivate complet. Dezactivarea este posibilă dacă se introduce comanda
msconfig în caseta de dialog Run (figura 2.8). Apoi din tab-ul Services prin bifare, se
dezactivează/activează un serviciu, setare ce va produce efecte la următoarea pornire a sistemului.

Fig. 2.8 Activare/dezactivare servicii

6
 Pentru a asigura un nivel de securitate mai ridicat (sau chiar un spor de performanţă al sistemului)
este nevoie de o configurare atentă a serviciilor, dezactivarea la întâmplare a acestora putând afecta
stabilitatea şi funcţionarea sistemului. Înainte de a face o modificare se poate nota starea iniţială a
serviciului, pentru revenire în caz de necesitate.

2.5 Update-urile sistemului de operare

După lansarea unui sistem de operare periodic apar update-uri (actualizări) care remediază
anumite deficienţe sau care conţin versiuni noi ale anumitor aplicaţii (de exemplu pentru Internet
Explorer). Din punct de vedere al securităţii este importantă instalarea regulată a update-urilor, chiar
dacă această operaţie necesită un anumit timp.
În sistemul Windows gestiunea update-urilor este accesibilă din Control Panel, System
and Security, Windows Update(figura 2.9).

Fig. 2.9 Gestiunea update-urilor (1)

Opţiunea Install updates automatically(recommended)(figura 2.10) permite

descărcarea şi instalarea automată a update-urilor. Celelalte opţiuni disponibile permit, fie notificarea
existenţei unor update-uri fără instalare, caz în care utilizatorul este interogat dacă doreşte descărcarea
imediată sau mai târziu a acestora, fie neverificarea existenţei update-urilor.

7
 Fig. 2.10 Gestiunea update-urilor (2)

2.6 Utilizarea User Account Control

User Account Control (UAC) reprezintă o facilitate ce previne efectuarea de modificări

neautorizate în cadrul sistemului.
Dacă suntem conectaţi ca şi administrator, UAC ne solicită permisiunea înainte de a efectua acţiuni
care potential pot să afecteze modul de operare al calculatorului sau să modifice setări care să afecteze alţi
utilizatori. În mod similar, dacă suntem conectaţi ca utilizator standard, UAC ne va solicita să introducem
parola administratorului înainte de a putea să efectuăm asemenea acţiuni. Deoarece UAC este destinat să
prevină modificări neautorizate, în special cele efectuate de către software-ul maliţios, este nevoie să citim
cu atenţie avertismentele respective pentru a ne asigura că acţiunea sau programul care este pe cale de a fi
lansat în execuţie este unul pe care într-adevăr intenţionăm să-l lansăm.
Un utilizator standard, în Windows, poate efectua, fără a avea permisiuni sau drepturi
administrative, următoarele:
- instalarea update-urilor din Windows Update;
- instalarea driverelor din Windows Update sau a driverelor care sunt incluse în sistemul de operare;
- vizualizarea setărilor Windows;
- împerecherea dispozitivelor Bluetooth cu un calculator;
- resetarea adaptorului de reţea şi efectuarea de alte sarcini de reparare sau diagnostic ale reţelei.
Atunci când o aplicaţie solicită să se poată executa cu permisiuni de administrator, UAC ne va
solicita confirmarea, şi dacă aceasta este acordată, va permite accesul ca administrator (figura 2.11):

Fig. 2.11 UAC confirmation with Secure Desktop

8
 UAC poate fi activat sau dezactivat pentru orice cont utilizator. Dezactivarea UAC va supune
calculatorul unui risc major.
Pentru activarea/dezactivarea UAC se vor parcurge paşii:
1. În Control Panel se efectuează clic pe opţiunea User Accounts;
2. În pagina User Accounts se efectuează clic pe User Accounts;
3. Clic pe Change User Account settings;
4. Se culisează cursorul la opţiunea dorită (figura 2.12);

Fig. 2.12 Setările UAC

5. Când suntem solicitaţi să restartăm claulcuatorul, se va face clic pe Restart Now sau Restart
Later, pentru ca modificările să producă efecte.

2.7 Backup şi restaurare

Efectuarea periodică a operaţiei de backup este esenţială pentru a putea recupera datele distruse
sau corupte.
Cea mai simplă modalitate de realizare a acestei operaţii este utilizarea aplicaţiei Backup and
Restore accesibilă din Control Panel, System and Security, Backup and Restore
(figura 2.13):

9
Fig. 2.13 Backup (1)

Fig. 2.14 Backup (2)

10
 Fig. 2.15 Backup (3)

Un alt utilitar foarte important este System Restore. Acesta rulează în fundal (background),
ţinând o evidenţă a tuturor schimbărilor ce au loc în sistem şi, o dată pe zi, face o copie de siguranţă a
fişierelor de sistem şi a datelor din Registry (figurile 2.16, 2.17, 2.18).

Fig. 2.16 System Restore(1)

11
 Fig. 2.17 System Restore(2)

Fig. 2.18 System Restore(3)

Este important a nu se confunda System Restore cu Backup, deoarece System Restore nu

face backup la nici un fel de documente, e-mail-uri sau fişiere care nu ţin de sistemul de operare. În afară
punctele de restaurare zilnice, System Restore face câte un punct de restaurare când în sistem este
introdusă o componentă hardware al cărei driver nu este semnat (pentru a evita funcţionarea defectuoasă
a sistemului) sau când se instalează o aplicaţie folosind Windows Installer sau InstallShield
Professional. De asemenea, de fiecare dată când sistemul este actualizat sau i se aplică un patch, se
creează un punct de restaurare, pentru cazul în care patch-ul sau update-ul nu lucrează cu una din
aplicaţiile instalate.

2.8 Securizare Internet

Un număr mare de ameninţări de securitate vin prin intermediul Internet-ului, ca urmare setările
de securitate ale programului de navigare (browser-ului) sunt critice. Securizarea Internet se referă la
aplicarea unor restricţii de securitate în funcţie de diferitele "zone delimitate" în care se navighează.

12
 Sunt predefinite cinci zone de securitate, accesibile prin Control Panel, Network and
Internet, Internet Options, Security (figura 2.19):

Fig. 2.19 Zone de securitate

• Local Intranet, pentru site-urile din cadrul organizaţiei sau care se află în spatele firewall-
ului utilizatorului;
• Trusted Sites, pentru site-uri care nu se află în spatele firewall-ului utilizatorului, dar pentru
care utilizatorul are încredere totală;
• Restricted Sites, pentru site-uri cunoscute de utilizator ca fiind maliţioase;
• Internet Zone, pentru restul de site-uri;
• My Computer, care însă de obicei nu e configurabilă, deoarece controalele ActiveX pe care
chiar sistemul de operare le instalează, rulează pe setările de securitate din această zonă.
Este posibilă modificarea setărilor unei zone de securitate, astfel:

13
 1. Se selectează zona pentru care se doreşte modificarea setărilor de securitate;
2. În caseta Security level for this zone, se ajustează poziţia cursorului pentru a creşte sau
descreşte nivelul de securitate al zonei (figura 2.19);
3. Pentru obţinerea unui control mai precis (mai fin) asupra setărilor de securtate ale zonei, se
efectuează clic pe Custom level. Va apărea cutia de dialog Security Settings, pentru acea
zonă (figura 2.20);
4. Se selectează butoanele radio pentru setările individuale în fiecare dintre categoriile de securitate;
5. Se face clic pe Ok pentru a închide caseta de dialog Security Settings;
6. Se face clic pe Ok pentru a închide formularul Internet Properties.

Fig. 2.20 Setări de securitate pentru o zonă Internet în Internet Explorer

În situaţia accesării unor pagini web de neîncredere este recomandată modificarea setărilor
implicite (Default Level) ale Internet Zone, pe nivelul High, iar pentru pagini ale unor site-uri
cunoscute este suficient nivelul Medium, aceste site-uri putând fi incluse în zona Trusted Sites.
Adăugarea unui site într-o zonă de securitate se face astfel:
1. Din Internet Options se face clic pe tab-ul Security;
2. Se selectează fie zona Trusted sites fie zona Restricted sites, funcţie de cea în care
dorim să adăugăm un site;
3. Clic pe opţiunea Sites. Va apărea una dintre casetele de dialog Trusted sites sau
Restricted sites (figura 2.21);

14
 Fig. 2.21 Adăugarea unui site la o zonă de securitate

4. Se introduce URL-ul site-ului Web ce se doreşte a fi adăugat în zona respectivă, folosind caseta de
text Add this website to the zone, şi se efectuează clic pe butonul Add. URL-ul va apărea în
lista site-urilor Web;
5. Se face clic pe Close pentru a închide caseta de dialog;
6. Se face clic pe Ok pentru a închide formularul Internet Properties.
Se recomandă, de asemenea, ca funcţia Autocomplete să fie dezactivată, fie în totalitate, fie
numai opţiunea de autocompletare a numelor de utilizator şi a parolelor (figura 2.22).

Fig. 2.22 Opţiuni Autocomplete

15
 Exerciţii

1. Să se activeze comunicarea prin Windows firewall a următoarelor aplicaţii: Remote

Service Management şi Secure World Wide Web Services (HTTPS).
2. Specificaţi procedura prin care se poate dezactiva un serviciu Windows.
3. Să se specifice setările necesare pentru stabilirea modului Automatic în verificarea şi
descărcarea update-urilor.
4. Să se efectueze setarea necesară în programul de navigare astfel încât la închiderea sesiunii de
navigare să se şteargă automat lista paginilor web vizitate.

16