1 SIGURIA DHE MBROJTJA NË SISTEMET KOMPJUTERIKE 2 “Uncertainty is the only certainty there is, and knowing how to live with insecurity is the only security.” —John Allen Paulos 3 Listë kontrolli mbi elementët e sigurisë dhe mbrojtjes së komjuterit dhe informacionit 1. Siguria e kompjuterit 2. Siguria fizike Kriptimi TPM Siguria e sistemit të operimit Përdoruesit lokalë dhe grupet User Account Control (UAC) Përditësimi i Windows Kriptimi Atributet e file-ve Siguria e BIOS 4 Listë kontrolli mbi elementët e sigurisë dhe mbrojtjes së komjuterit dhe informacionit Konfigurimi i Firewall 4. Programet anti-virus, anti-malware, anti-spyware 5. Sigurimi i të dhënave kritike (back up/restore) 6. Siguria në rrjetat wireless 3. 7. …etj 5 Siguria e kompjuterave • Siguria fizike • Ruajta në ambjente të kyçura • Autentikim lokal • Jo “auto login” • Përdorimi i username dhe password të komplikuar • Skanuesit biometrikë • Kriptimi i drive-ave • TPM (Trusted Platform Module) 6 Siguria e sistemit të shfrytëzimit 1. 2. 3. 4. 5. Përdoruesit lokalë dhe grupet User Account Control (UAC) Kriptimi Atributet e file-ve Siguria e BIOS 7 Siguria e sistemit të shfrytëzimit 1. Përdoruesit lokalë dhe grupet • Përdoruesit Administrator: ka akses të plotë mbi githçka që ndodhet në kompjuter Guest: ka akses të limituar në kompjuter User: mund të realizojë vetëm ato ndryshime që nuk prekin përdoruesit e tjerë apo sigurinë e sistemit • Grupet Psh, Poëer Users 8 Siguria e sistemit të shfrytëzimit 2. User Account Control (UAC) • Edhe pse mund të jeni loguar si Administrator, ju ekzekutoni me të drejtat e një përdoruesi standart Windows kërkon vëmendjen e përdoruesit për realizimin e detyrave që kërkojnë të drejta administrative Psh.: • Konfigurimin e Firewall • Instalimin e aplikacioneve • Ndryshimin e informacionit të përdouesve …etj 9 Siguria e sistemit të shfrytëzimit 2. Përditësimi i sistemit të operimit Shumë hack-era shfrytëzojnë pikat e dobëta të njohura për të kompromentuar një sistem Për këtë sistemi duhet përditësuar sistemi me patch-et dhe service pack-et më të fundit 10 Siguria e sistemit të shfrytëzimit 3. Kriptimi • Windows është i pajisur me disa mjete për kriptimin e të dhënave • EFS (Encrypting File System) e disponueshme në file sistem-in NTFS • Për të realizuar kriptimin: Right click>Properties>Advanced 11 Siguria e sitemit të shfrytëzimit • BitLocker Kripton një drive të tërë Ruan celësin e kriptimit në chip-in TPM (Trusted Platforme Module) Aksesohet në Control Panel>System and security 12 Siguria e sitemit të shfrytëzimit 4. Atributet e file-ve • File-t mund të kenë atribute të ndryshëm: Read-only Hidden Archive System 13 Siguria e sistemit të shfrytëzimit 5. Siguria në BIOS • User password: fjalëkalimi që duhet të ketë përdoruesi për të ngarkuar sistemin e operimit • Supervisor password: fjalëkalimi që duhet të ketë përdoruesi për t’u loguar dhe për të bërë ndryshime në bios • Detektimi i ndërhyrjeve Detekton nëse kasa është hapur 14 Siguria e sitemit të shfrytëzimit 15 Firewall-i dhe lidhjet e sigurta Konfigurimi i Windows Firewall 16 Numrat e portave • Portat TCP dhe UDP mund të jenë çdo numër ndërmjet 0 dhe 65535 • Shumica e serverave përdorin numra të përherëshëm të portave (por kjo nuk ndodh gjithmonë) • Psh. Protokolli HTTP përdor portën 80 • Portat përdoren për komunikim dhe jo për siguri • Numrat e portave të shëmbimeve duhet të jenë të njohura • Numrat e portave TCP nuk janë të njëjtë me numrat e portave UDP • Migjithëse në disa raste përputhen 17 Një lidhje në rrjet • Kompjuteri përdor portën 1331 për të komunikuar me serverin • Nëse kompjuteri komunikon me portën 53 të serverit merr shërbimin e DNS • Nëse kompjuteri komunikon me portën 80 të serverit merr shërbimin e WEB • Nëse kompjuteri komunikon me portën 443 të serverit merr shërbimin e një WEB Serveri që përdor komunikim të sigurtë (SSL) 18 Funksionimi i Firewall 19 Funksionimi i Firewall • Bllokon portat që nuk nevojiten aktualisht • Bllokon trafikun inbound/outbound (përveç trafikut të specifikuar në rregulla) • Bën ndarjen e rrjetit publik (internetit) nga ai privat • Mbron kompjuterat nga ndërhyrjet dhe sulmet • Një Firewall mund të realizohet si: • Hardware • Fabrikuesit kryesorë janë Cisco, Juniper…etj • Software • Janë të përfshirë në sistemin e operimit ose mund të ofrohen nga një palë e tretë 20 Firewall-et software • Ndryshe quhen edhe Firewall “personal” • Janë të përfshira në shumë sisteme operimi • Gjithashtu mund të ofrohen nga një palë e tretë • Ndalon aksesin e paautorizuar nga rrjeti • “stateful” Firewall • Bllokon trafikun e aplikacioneve • Windows Firewall • Filtron trafikun sipas numrit të portës dhe aplikacioneve • Mund të realizojë me sukses detyrat si: • • • • Bllokim i programeve që të mos aksesojnë internetin Krijmi i një whitelist për të kontrolluar aksesin në rrjet Lejimi i trafikut vetëm në disa posta dhe adresa IP specifike …etj 21 Konfigurimi i Windows Firewall • Control Panel\System and Security\ Windows Firewall • Windows njofton nëse një program bllokohet nga Firewall • Për të lejuar një program për të punuar përmes Firewall klikojmë mbi “Allow a program or feature through Windows Firewall” 22 Konfigurimi i Windows Firewall • Për të bërë ndryshime klikoni butonin “Change Settings” • Klikoni programin dhe rrjetin të cilin do ta lejoni ta aksesojë • Nëse programi nuk ndodhet në listë klikoni “Allow an other program…” 23 Change notification settings • Shërben për të konfiguruar mënyrën se si Firewall ndërvepron me përdoruesin • Aktivizimi/Ç’aktivizimi i Firewall • Bllokimi i të gjitha lidhjeve hyrëse • Njoftim kur Windows Firewall bllokon një program të ri • Kjo automatikisht i jep përdoruesit mundësinë të shtojë rregulla në Firewall për lejuar programin të komunikojë • Përdoruesit nuk kanë nevojë të konfigurojnë Firewall-in në mënyrë manuale 24 Windows Firewall with Advanced Security (WFAS) • Control Panel\System and Security\Windows Firewall\Advanced Settings ose Start>wf.msc • Dritarja që shfaqet jep një pamje të përgjithshme të konfigurimit të Firewall si dhe linqe për të mësuar dhe konfiguruar WFAS • WFAS konfiguron Firewall-in duke duke grupuar rregullat në tre profile • Domain profile: • Private profile • Public profile • Për të ndyshuar konfigurimet për profilet klikojmë linkun Windows Firewall Properties • Përdorim tab-et Domain profile, Private profile dhe Public profile për të realizuar konfigurimet (megjithëse konfiugurimet e parazgjedhura mund të jenë të përshtatshme) 25 Windows Firewall with Advanced Security (WFAS) 26 Windows Firewall with Advanced Security (WFAS) • Paneli në të majtë ka katër kategori: • Inbound Rules : Paraqet një listë për rregullave të përcaktuar për lidhjet inbound • Outbound Rules : Paraqet një listë për rregullave të përcaktuar për lidhjet outbound • Connection Security Rules : këtu mund të krijohen dhe menaxhohen rregullat e autentikimit • Monitoring: shfaq konfigurimet e aktivizuara të Firewall-it. Përbëhet nga : • Firewall: shfaq rregullat inbound dhe outbound të aktivizuara të Firewall • Connection security rules: shfaq rregullat e aktivizuara të autentikimit 27 Windows Firewall with Advanced Security (WFAS) • Krjimi i një rregulli: • Për të krijuar një rregull zgjidhni Inbound Rules ose Outbound rules në panelin e majte dhe pastaj klikoni New Rule në panelin Actions • Windows Firewall ofron 4 tipe rregullash • Program: Bllokon ose lejon nje program • Port : Bllokon ose lejon një portë • Predefined : Perdor nje regull Firewall te paracaktuar te perfshire ne Windows • Custom: Specifikon një kombinim programi, porte, dhe adrese IP per te lejuar ose bllokuar 28 Windows Firewall with Advanced Security (WFAS) • Shembull 1:Bllokimi i një programi 29 Windows Firewall with Advanced Security (WFAS) • Përcaktojmë tipin e rregullit të Firewall (program): 30 Windows Firewall with Advanced Security (WFAS) • Vendosim path-in për tek file-i i ekzekutueshëm: 31 Windows Firewall with Advanced Security (WFAS) • Caktojmë veprimin që do ndërmarrë Firewall (lejim apo bllokim): 32 Windows Firewall with Advanced Security (WFAS) • Caktojmë profilet e rrjetit në të cilat do të aplikohet rregulli 33 Windows Firewall with Advanced Security (WFAS) • Vendosim një emër për rregullin dhe klikojmë Finish 34 Windows Firewall with Advanced Security (WFAS) • Pas aktivizimit të rregullit: Internet Explorer nuk akseson internetin 35 Windows Firewall with Advanced Security (WFAS) • Shembull 2: Bllokimi i mesazheve ICMP (ping) • Klikoni New Rule dhe zgjidhni Custom 36 Windows Firewall with Advanced Security (WFAS) • Specifikojmë që ky rregull do të aplikohet për çdo program 37 Windows Firewall with Advanced Security (WFAS) • Specifikojmë portën dhe protokollin (ICMP): 38 Windows Firewall with Advanced Security (WFAS) • Specifikojmë adresat IP për të cilat aplikohet ky rregull 39 Windows Firewall with Advanced Security (WFAS) • Zgjedhim veprimin e regullit (Bllokim i mesazheve ICMP) 40 Windows Firewall with Advanced Security (WFAS) • Caktojmë profilet e rrjetit në të cilat do të aplikohet rregulli 41 Windows Firewall with Advanced Security (WFAS) • Një emër për rregullin dhe klikojmë Finish: 42 Konfigurimi i Windows Firewall me Command Line • Netsh (Network Shell) është një software command line që ju lejon të shfaqni apo të ndryshoni konfigurimin e rretit të një kompjuteri • Për të ekzekutuar bllokimin e Internet Explorer në Command Prompt, në direktorinë System32 jepni komandën: C:\Windows\System32>netsh advFirewall Firewall add rule name=“Block Explorer” dir=out program=“C:\Program Files (x86)\Internet Explorer\iexplore.exe“ action=block 43 Konfigurimi i Windows Firewall me Command Line • Për të ekzekutuar lejimin e Internet Explorer në Command Prompt, në direktorinë System32 jepni komandën C:\Windows\System32>netsh advfirewall firewall add rule name=“Block Explorer” dir=out program=“C:\Program Files (x86)\Internet Explorer\iexplore.exe“ action=alloë 44 SIGURIA E SKEDARËVE DHE KRIPTIMI BitLocker 45 BitLocker • BitLocker është një mënyrë për të kriptuar të dhënat në • • • • • drive dhe për të kërkuar autentikim për të aksesuar informacionin BitLocker siguron mbrojtje për hard drive, external drive dhe për removable drive në rastet kur ato vidhen apo humbasin Bitlocker kripton të dhënat në mënyrë të tillë që askush nuk mund të aksesojë të dhënat pa patur fjalëkalimin Pas kriptimit mund të punoni me të dhënat ashtu si më parë, pa humbje të dukshme të performancës Për të realizuar kriptimin e fileve/skedarëve duhet të përdorni NTFS (New File System technology) Konvertimi i file-system në NTFS nga command prompt: convertd: /fs:ntfs 46 BitLocker • BitLocker është në dy lloje në Windows 7 • BitLocker • BitLocker to Go • Kur aktivizoni BitLocker në një hard drive apo removable drive, BitLocker përdor këto metoda për të zbuluar drivein: • Fjalëkalim: Mund të përdorni një fjalëkalim për të zbuluar drive-in e kriptuar dhe në Group Policy mund të konfigurohet gjatësia minimale e fjalëkalimit • Smart Card: • BitLocker to Go është krijuar për të kriptuar të dhënat në mediat portabël 47 Kriptimi i një drive-i • Start| Control Panel\System and Security\BitLocker Drive Encryption 48 Kriptimi i një drive-i • Klikoni Turn On BitLocker pranë drive-it të cilin doni të kriptoni dhe vendosni një fjalëkalim 49 Kriptimi i një drive-i • Opsionet për të ruajtur apo për të printuar recovery key (nevojitet kur harroni pasëordin) • Në USB flash drive • Në një file • Mund të printohet 50 Kriptimi i një drive-i • Konfirmoni vendimin duke klikuar Start Encrypting 51 Kriptimi i një drive-i • Pasi proçesi të ketë përfunduar drive-i nuk mund të aksesohet pa patur fjalëkalimin 52 SIGURIMI PERIODIK I TË DHËNAVE KRITIKE Back up/Restore 53 Sigurimi i të dhënave kritike • Duhet të realizoni rregullisht backup të të dhënave në kompjuterin tuaj në mënyrë që të mos humbisni të dhëna të rëndësishme në rastet kur një problem shfaqet në kompjuter • Sistemi Windows ka mjete të posaçme për të realizuar backup dhe rikthim e të dhënave (restore) • backup ka disa avantazhe krahasuar me kopjimin e thjeshtë të të dhënave në një disk të jashtëm: • të dhënat kompresohen gjatë kopjimit kështu që backup zë më pak hapsirë në memorje. • backup mund të ndajë një file të madh në dy apo më shumë disqe, gjë të cilën nuk mund të bëni me komandën Copy. • në kushte emergjente kur disa të dhëna të rëndësishme humbasin apo ndryshohen, backup ofron mjete për rikthimin e të dhënave 54 Proçedura e back up • Start| Control Panel\System and Security\Backup and Restore 55 Proçedura e back up • nëse nuk keni realizuar një backup më përpara klikoni Set up backup.Nëse keni realizuar një backup më përpara klikoni Back up now 56 Proçedura e back up • Në dritaren Set up back up zgjedhni vendin ku duam të ruajmë backup. Mediumi në të cilin realizojmë backup është zakonisht një hardisk i jashtëm, hardisk në rrjet, USB, CD apo DVD 57 Proçedura e back up • Zgjedhni të dhënat për backup • Let Windows choose realizon backup të të dhënave të ruajtura në librari, në desktop dhe në folderat “default” të Windows • Let me Choose realizon backup të dosjeve /direktorive që ju zgjidhni 58 Proçedura e back up • Selektoni të dhënat për backup 59 Proçedura e back up • Konfirmoni konfigurimet e backup-it • Klikoni mbi Save settings and run backup • dritarja Backup and Restore tregon progresin e zhvillimit të backup • 60 Proçedura e back up 61 Rikthimi i të dhënave nga backup (Restore) • Në dritaren Backup and Restore klikoni Restore my files 62 Restore • Klikoni Broëse for files ose Broëse for folders në varësi nëse doni të riktheni file apo folder 63 Restore • Zgjidhni nëse doni t’i riktheni të dhënat në vendin e tyre origjinal apo në ndonjë vend tjetër 64 Restore • Klikoni Restore : Të dhënat do të rikthehen në vendin e specfikuar. 65 SIGURIA NE RRJETAT WIRELESS 66 Siguria në WLAN • Pozicionimi i access point për maximumin e sigurisë • Porthuaj të gjitha problemet me sigurinë në WLAN vijnë si pasojë esinjalit që del jashtë ambjentit të punës apo shtëpisë • Nëse mund të minimizoni këtë “rrjedhje sinjali” shtoni sigurinë e WLAN • Poziciononi access point në vendodhje qëndrore dhe larg dritareve • Kriprtimi në rrjetat wireless • Vetëm përforuesit që kanë password mund të transmetojnë dhe të marrin informacion • Dy standarte në sigurinë e rrjetave wireless: • WEP • WPA 67 Wired Equivalent Privacy • WEP (Wired Equivalent Privacy) • nivele të ndryshme të sigurie • Çelësa kriptimi 40 bit • Çelësa kriptimi 104 bit • Që në vitin 2001 u identifikuan pika të dobëta të WEP • Siguria e WEP mund të thyhet brenda pak minutash • Nuk këshillohet përdorimi i WEP 68 Wi-fi Protected Access • WPA (Wi-fi Protected Access) • WPA • WPA2 • WPA-Enterprise • WPA u krijua si një mënyrë për të zëvendësuar WEP me • • • • pjisjet harware ekzistuese Pëdor pjesë më të madhe të specifikimeve të standartit të sigurisë së 802.11i WPA përdor protokollin TKIP (Temporal Key Integrity Protocol) Probleme u identifikuan edhe në TKIP, në vitin 2004 krijua AES (Advanced Encryption Standart) është standarti më solid; deri tani nuk është zbuluar ndonjë pikë e dobët e AES 69 Wi-fi Protected Access • WPA përdor pre-shared key • 8 deri në 63 karaktere ASCII • Këshillohet përdorimi i WPA2 dhe nëse jeni në një mjedis të madh duhet të përdorni WPA-Enterprise • Përdor severa të posaçëm për të menaxhuar autentikimin në rrjet 70 Teknika për përmirësimin e sigurisë në rrjetat wireless • Ndryshoni SSID që të mos jetë kaq e dukshme • Ç’aktivizimi i SSID broadcast • Service Set Identifier (SSID) është emri i rrjetit wireless • është një mënyrë për të rritur sigurinë në rrjetin wireless • Windows ruan SSID të një rrjeti nëse është lidhur të paktën një herë në të • Pasi të gjithë kompjuterat janë lidhur të paktën një herë në WLAN nuk keni më nevojë të shpërndani SSID) • Gjithsesi, SSID i fshehur mund të gjendet me një analizë pak më të detajuar me anë të softwareve open source • Ndryshoni emrin e SSID • Psai të keni ndaluar shpërndarjen e SSID duhet të ndryshoni emrin tij nga emri që i vendos fabrikuesi (psh, LINKSYS, NETGEAR…etj) 71 Teknika për përmirësimin e sigurisë në rrjetat wireless • Filtrimi i adresave MAC • MAC është adresa hardware e një karte rrjeti • Konfigurimi i një ëhite list • Lista e adresave mac që lejoihen të lidhen në access point • Nuk është një metodë sigurie • MAC adresat nuk kriptohen (Nuk kriptohet header-i i paketave wireless) • Një përdores hacker mund të përgjojë paketat e rrjetit duke kapur edhe adresat MAC të konfiguruara në ëhite-list • Në një stad të dytë mund të përdorë software të posaçëm për të dërguar/marrë paketa me adresë MAC të rremë 72 Teknika për përmirësimin e sigurisë në rrjetat wireless • Filtrim me adresa IP • Konfigurimi manual i adresave IP në një diapazon të caktuar • Në një rrjet të pakriptuar mund të detektohen lehetë • Nëse kriptimi thyhet, adresat IP kapen shumë lehtë • Nga sa u tha më sipër: • “Një rrjet i sigurtë wireless realizohet vetëm nëpërmjet kriptimit” 73 KONTROLLI I SHËRBIMEVE Ç’aktivizimi i shërbimeve të panevojshme 74 Kontrollimi i shërbimeve • Windows 7 ka një listë të gjatë të programeve të quajtur shërbime (services) të cilat operojnë “në sfond” dhe realizojnë detyra themelore për llogari të tyre ose në mbështetje të progrmeve të tjera apo të sistemit të operimit • Shërbimet janë routina (në background) që i lejojnë sistemit të realizojnë detyra si logimi në rrjet, menaxhimi i disqeve, mbledhja e të dhënave të performancës…etj • Windows 7 ka më shumë se 150 shërbime të instaluara • Megjithëse shërbimet ekzekutohen në background mund të ju duhet të ndaloni (stop), të ndaloni përkohësisht (pause), dhe startoni (start) një shërbim 75 Kontrollimi i shërbimeve • Kontrollimi i shërbimeve bëhet në dritaren Services e cila aksesohet në tre mënyrat e mëposhtme • Start| services.msc • Control Panel\System and Security\Administrative Tools\Services • Start| right-click në Computer| Manage dhe selektoni services në kategorinë Services and Application • Ditarja Services afishon listën e të gjithë shërbimeve të instaluara dhe për çdo shërbim të isntaluar tregon: • Status: gjendja e shërbimit (Started/Paused ose bosh për një shërbim të ndaluar) • Startup Type: Mënyra e startimit të shërbimit (Automatic/ Manual) • Log On As: Account-i që për dor shërbimi për t’u loguar 76 Kontrollimi i shërbimve 77 Kontrollimi i shërbimeve • Për të ndryshuar statusin e një shërbimi: • Klikoni Start për të startuar një shërbim • Stop për të ndaluar një shërbim • Pause për të ndaluar një shërbim përkohësisht • Resume për të ristartuar një shërbim të ndaluar përkohësisht • Për të ndryshuar mënyrën e startimit të shërbimit pas boot- imit të Windows: • Double-click mbi shërbimin • Në dritaren që shfaqet zgjidhni një nga opsionet • Automatic- shërbimi startohet automatikisht gjatë bootim-it të Windows 7 • Automatic (delayed Start)- si në rastin e parë me ndryshimin që shërbimi startohet pas log-imit • Manual- Shërbimi duhet të startohet manualisht • Disabled- Shërbimi është ç’aktivizuar; nuk mund të startohet 78 Mënyra e startimit të shërbimit 79 Kontrollimi i shërbimeve me anë të Command Prompt • Për ato përdorues që manipulojnë shpesh me shërbimet, përdorimi i driatres Services në Control panel mund të konsumojë më shumë • Në këto raste një metodë më e mirë është përdorimi i metodave command-line në cmd.exe • Komandate që përdoren janë: • NET STOP <emri i shërbimit> ndalon një shërbim • NET START <emri i shërbimit> Starton një shërbim • NET PAUSE <emri i shërbimit> ndalon përkohësisht një shërbim • NET CONTINUE <emri i shërbimit> starton një shërbim të ndaluar përkohësisht 80 Kontrollimi i shërbimeve me anë të Command Prompt • Shembull: net start Telephony net stop “Disk Defragmenter” net pause “World Wide Web Publishing Service” net continue “Windows Time” • Në raste kur emri is shërbimit përmban hapsira, emri vendoset në thonjëza, psh. “Disk Defragmenter” 81 Ç’aktivizimi i shërbimeve për performancë më të mirë • Meqë shërbimet janë software që ekzekutohen në memorje, secli prej tyre merr një pjesë të burimeve të sistemit • Secili shërbim në vehte ndikon shumë pak në performancë, por ngarkimi i shumë shërbimeve të panevojshme e degradon ndjeshëm performancë • Për këtë arsye Windows shumë shërbime nuk i aktivizon automatkisht në startup. Por këto shërbime aktivizohen vetëm kur nevojiten • Mund të përmirësoni performancën e sistemit duke • Ndaluar Windows të startojë automatikisht disa shërbime gjatë boot-imit (startim manual) • Ndaluar Windows-in të startojë shërbime që nuk nevojiten (Disable) 82 Ç’aktivizimi i shërbimeve për performancë më të mirë • Proçedura • Start| services.msc • Double-click në shërbimin që doni të ç’ativizoni • Në dritaren që shfaqet , në tab-in General, në kategorinë Start-up type zgjidhni Disabled • Klikoni OK 83 PROGRAMET E KOMUNIKIMIT ELEKTRONIK Konfigurimi i Outlook Konfigurim manual ose automatik • Konfigurim Manual Konfigurimi i E-mail Konfigurimi i një account-iHotmail Outgoing Server/ Advanced Testimi i lidhjes Finish/ Add another account Konfigurimi i një account-i GMAIL • Ndryshimi i vetëm është në numrat e portave dhe kriptimin e lidhjes (SSL) 91 Pyetje?