Безопасный доступ к устройствам

Статьи по теме: «Информационная безопасность»

Повышение уровня безопасности локальной вычислительной сети

Содержание статьи:

Локальная сеть состоит из серверов и рабочих станций. Сервером называют компьютер, подключенный к сети и обеспечивающий ее пользователей определенными услугами, а рабочей станцией – собственно компьютер, с помощью которого пользователь подключается к ресурсам сети.

Локальная вычислительная сеть позволяет обеспечить доступ к системам электронного документооборота, общий доступ и совместное использование файлов и сетевых папок, доступ к офисной технике, например, принтеру или сканеру. Локальные сети являются сетями закрытого типа, доступ к ним разрешен только ограниченному кругу пользователей. Обычно они включают в себя сетевое оборудование; каналы передачи данных, такие как кабели, разъемы, серверы и пользовательские компьютеры; принтеры, сканеры; операционную систему, программное обеспечение; средства защиты, такие как межсетевые экраны, системы предотвращения и обнаружения вторжений и т. д.

Локальная вычислительная сеть позволяет подключать дополнительное оборудование без изменения программных и технических параметров всей сети, а также разграничивать уровень доступа к сетевым ресурсам отдельных устройств. Если в одной из рабочих станций возникает неисправность, это никак не влияет на работу остальных устройств и доступ к нужной информации, хранящейся в сети.

Основные угрозы безопасности вычислительных сетей

Выделяют три основных типа угроз, которым подвержены локальные вычислительные сети: раскрытие информации (доступ к конфиденциальным данным), нарушение целостности (изменение данных или их удаление) и отказ в обслуживании.

Реализуются эти угрозы посредством воздействий на локальные вычислительные сети — атак.

Угроза – это потенциально возможное событие, действие, которое может привести к нанесению ущерба в результате случайных действий или специального вмешательства в систему.

Цель большинства атак – получить доступ к конфиденциальным данным, в результате чего данные либо просто перехватываются, либо еще и искажаются.

Кроме того, существуют атаки, нацеленные не на получение доступа к сети или получение из нее какой-либо информации, а на лишение пользователей возможности пользоваться ресурсами локальной вычислительной сети.

Отказ в обслуживании

Реализуются с помощью DDoS-атак, которые направлены на уничтожение либо истощение ресурсов. В первом случае для DDoS-атаки используется уязвимость программного обеспечения, установленного на атакуемом компьютере. Уязвимость позволяет вызвать определенную критическую ошибку, которая приведет к нарушению работоспособности системы. Во втором случае атака осуществляется путем одновременной отсылки большого количества пакетов информации на атакуемый компьютер, что вызывает перегрузку сети. Результатом DDoS-атак становится частичная либо полная невозможность пользоваться ресурсами сети, к которым относятся память, процессорное время, дисковое пространство и т. д.

Типичные примеры атак:

• зондирование сетевых широковещательных адресов с целью полного заполнения полосы пропускания сети трафиком ответных сообщений;
• передача данных в непредусмотренном формате в систему, сервис или сеть в попытке разрушить или нарушить их нормальную работу;
• одновременное открытие нескольких сеансов с конкретной системой, сервисом или сетью в попытке исчерпать их ресурсы (то есть замедление их работы, блокирование или разрушение).

Несанкционированный доступ

Угроза состоит в последовательности действий, которые приводят к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Несанкционированный доступ может быть вызван неправильной конфигурацией операционной системы. Наиболее распространенными способами получения несанкционированного доступа являются:

Буфер – это временная область памяти, которая используется программами для хранения данных при ожидании передачи, например, между областью данных приложения и другим устройством.

Настройка параметров безопасности

Обзор

Настройки параметров безопасности — единое меню для настройки большинства параметров безопасности устройства. Настройки этой страницы, наряду с настройками Мастера настройки безопасности HP Jetdirect помогают улучшить уровень безопасности устройства.

Этот раздел справки дополняет страницу Настройки параметров безопасности. Он содержит объяснение настроек и связанные с ними рекомендации. Учтите, что не все сети работают одинаково и рекомендации даются для справки, чтобы дать пользователю возможность рассмотреть варианты.

ПРИМЕЧАНИЕ. Рекомендации HP, приведенные на этой странице, относятся к типовой корпоративной сети. Каждую из рекомендаций следует проверять на применимость к конкретной сети.

Нажмите кнопку Применить в нижней части страницы для завершения настройки. Настройка не будет завершена, пока вы не нажмете Применить.

В разделах ниже описываются соответствующие разделы страницы Настройки параметров безопасности устройства встроенного веб-сервера (EWS).

Пароль устройства

Пароль устройства помогает защитить устройство от несанкционированного доступа через удаленные приложения, такие как устройство EWS (это приложение). После настройки пароля устройства продукт не позволит изменять конфигурацию без ввода правильного пароля. Пароль устройства называется паролем администратора в некоторых приложениях.

Параметр Для вкладки «Информация» требуется административный доступ повышает уровень безопасности; если его включить, информация об устройстве будет недоступна пользователю без ввода пароля устройства (если он задан). Если этот параметр не включен, пользователь может осуществлять доступ к вкладке Информация без ввода пароля устройства (если он задан).

Мастер настройки безопасности Jetdirect также позволяет настроить пароль устройства (здесь он называется паролем администратора). Если первым делом вы запустили мастер настройки безопасности (в соответствии с рекомендациями) к этому моменту пароль устройства уже настроен.

Кроме того, в устройстве есть функция «Пароль EWS», доступная в некоторых приложениях. При настройке пароля устройства продукт синхронизирует его с паролем EWS.

Рекомендация: задайте пароль устройства, чтобы обеспечить контроль над конфигурацией.

Чтобы задать пароль устройства, введите 12 символов (или меньше) в поле Новый пароль и повторите ввод в поле Подтверждение пароля.

Чтобы изменить пароль, введите старый пароль в поле Старый пароль и новый пароль в поля Новый пароль и Подтверждение пароля.

Чтобы отключить пароль устройства, введите старый пароль в поле Старый пароль и оставьте поля Новый пароль и Подтверждение пароля пустыми.

Пароль PJL

Функция «Пароль PJL» помогает защитить устройство от несанкционированной конфигурации посредством команд языка PJL (Print Job Language). Она не влияет на обычные задания печати. После настройки пароля PJL устройство будет требовать ввода этого пароля перед обработкой команд PJL.

Рекомендация: функция «Пароль PJL» отличается от функции отключения дискового доступа PJL (другая настройка страницы безопасности EWS). Для лучшего уровня безопасности задайте обе настройки.

Чтобы задать пароль PJL, введите любое число между 1 и 2147483647 в поле Новый пароль и повторите ввод в поле Подтверждение пароля.

Чтобы изменить пароль, введите старый пароль в поле Старый пароль и новый пароль в поля Новый пароль и Подтверждение пароля.

Чтобы отключить пароль устройства, введите старый пароль в поле Старый пароль и оставьте поля Новый пароль и Подтверждение пароля пустыми.

Пароль файловой системы

Пароль файловой системы помогает защитить устройства хранения данных продукта от несанкционированного доступа. После задания пароля файловой системы устройство потребует этот пароль при попытке настройки функций, влияющих на систему хранения данных. В числе таких функций режим стирания файлов, безопасное стирание данных и доступ к файловой системе.

Рекомендация: настройте пароль файловой системы, чтобы обеспечить улучшенный контроль доступа к файловой системе.

Чтобы задать пароль файловой системы, введите 8 символов (или меньше) в поле Новый пароль и повторите ввод в поле Подтверждение пароля.

Чтобы изменить пароль, введите старый пароль в поле Старый пароль и новый пароль в поля Новый пароль и Подтверждение пароля.

Чтобы отключить пароль устройства, введите старый пароль в поле Старый пароль и оставьте поля Новый пароль и Подтверждение пароля пустыми.

Настройки доступа к файловой системе

Настройки доступа к файловой системе позволяют отключить многие точки доступа к системе хранения данных устройства. Эти точки доступа относятся к разным областям использования устройства. Некоторые из них являются функциями устройства, другие нет. См. рекомендации ниже.

Если вы задали пароль файловой системы, устройство запросит его перед изменением настроек файловой системы.

Рекомендация: корпорация HP рекомендует отключить функции Доступ к диску PJL, Доступ к диску SNMP и Доступ к диску NFS. Эти точки доступа предназначены для добавления и удаления файлов в устройствах хранения, но они не требуются для обычных операций устройства, таких как печать, копирование, факс и цифровая отправка.

Корпорация HP рекомендует включить (выбрать) функцию Доступ к диску PS. Это даст пользователям возможность печатать файлы PS-типа.

ПРИМЕЧАНИЕ. Имейте в виду, что некоторые сетевые процессы могут использовать эти точки доступа. Например, некоторым приложениям Norton необходим доступ через NFS. Таким образом не следует отключать доступ через NFS, если он используется в вашей сети.

Режим стирания файлов

Режим стирания определяет уровень безопасности удаления файлов с устройств хранения.

Доступно три уровня безопасности удаления файлов:

• Небезопасное быстрое стирание — самый быстрый метод, стирание файлов путем удаления их идентификаторов;
• Безопасное быстрое стирание — более медленный метод, стирание файлов путем записи случайных символов поверх данных;
• Безопасная санация — самый медленный метод, стирание файлов сопровождается троекратной перезаписью данных.

Рекомендация: корпорация HP рекомендует метод Безопасное быстрое стирание, так как он относительно быстр, но предоставляет эффективное стирание данных, обеспечивая приемлемый уровень безопасности. Если в вашей сети необходим более высокий уровень безопасности (например для соответствия требованиям Министерства обороны), необходимо выбрать метод Безопасная санация.

ПРИМЕЧАНИЕ. Настройка Режим стирания файлов будет доступна только после задания пароля файловой системы.

Блокировка панели управления

Функция блокировки панели управления поддерживает три режима работы, подразумевающих блокировку различных меню панели управления.

• Без блокировки — обеспечивает доступ ко всем настройкам.
• Минимальная блокировка меню — блокируются только системные настройки, влияющие на работу устройства в сети.
• Средняя блокировка меню — блокируется все меню настроек, за исключением меню настроек отдельных заданий.
• Расширенная блокировка меню — блокируются меню обработки бумаги и все меню настроек, за исключением меню настроек отдельных заданий.
• Максимальная блокировка меню — блокируется все меню настроек.

Рекомендация: корпорация HP рекомендует выбрать параметр Средняя блокировка меню. Это позволит пользователям работать с их собственными заданиями, но запретит вмешиваться в задания других пользователей.

ПРИМЕЧАНИЕ. После блокировки доступа к панели управления, доступ к заблокированным функциям из панели управления будет невозможен. Устройство не предлагает способ авторизованного использования заблокированных настроек.

Параметры домашней страницы (встроенного веб-сервера)

Параметры EWS позволяют определить некоторые настройки, доступные на странице EWS по умолчанию. Некоторые параметры позволяют пользователям управлять заданиями других людей или даже удалять их.

Рекомендация: компания HP рекомендует отключить все эти функции, кроме Страница печати. Страница печати позволяет пользователям печатать документы через EWS. Отключение других функций позволит предотвратить несанкционированный доступ к пользователей к устройству.

Параметры услуг

Устройство поддерживает различные службы, которые могут работать удаленно или непосредственно на устройство. Имейте в виду, что авторизованный администратор может включать службы, необходимые для работы, и отключать их.

Рекомендация: корпорация HP рекомендует отключить все функции, кроме Хранения задания, если эти функции не требуются приложениям в вашей сети. Например, в некоторые сетевые приложения предоставляют возможности печати документооборота, которые могут понадобиться пользователю.

Эти параметры, предназначены для удобства использования и для некоторых типов сетевых приложений, которые помогают в управление.

• Удаленное обновление микропрограммы — эта служба позволяет администратору использовать пользовательское приложение для удаленного обновления микропрограммы устройства. Так как корпорация HP рекомендует использование приложения HP Web Jetadmin для обновления устройства, функцию Удаленное обновление микропрограммы следует отключить.
• Загрузка служб — эта функция позволяет администратору устанавливать приложения, работающие непосредственно на устройстве. Многие из этих приложений предлагают новые функциональные возможности. Корпорация HP рекомендует отключить функцию Загрузка служб, если вы не используете подобные приложения.
• Хранение заданий эта функция предлагает различные варианты хранения заданий, такие как «Личное задание» и «Отложенное задание». Пользователи должны подтвердить свое присутствие во время печати, чтобы гарантировать конфиденциальность документов в выходных приемниках устройства. Корпорация HP рекомендует включить Хранение заданий.
• Время ожидания для отложенного задания эта функция является частью функции Хранение заданий. Оно ограничивает период хранения отложенных заданий заданным промежутком времени, по истечение которого задание удаляется. Для этой настройки необходимо выбрать разумное значение времени ожидания, которое даст пользователю достаточно времени, чтобы прийти к устройству и напечатать задание, а также обеспечит оперативную печать заданий в очереди.

Прямые порты (USB/IEEE 1284)

Функция Прямые порты позволяет заблокировать прямые подключения (параллельный порт и USB-порт). Блокировка этих портов делает невозможным прямое подключение компьютера к устройству. Это ограничивает доступ к устройству сетевым подключением.

Рекомендация: отключите прямые порты, чтобы ограничить доступ к конфигурации.

Отслеживание расхода печати

Функция отслеживания расхода печати позволяет изменить способ подсчета страниц на устройстве. Новый метод подсчета страниц более приспособлен для сегодняшних задач. Однако после включения нового метода подсчета страниц невозможно вернуться к старому.

Рекомендация: Поскольку переход на новый метод подсчета является необратимым, корпорация HP настоятельно рекомендует внимательно прочитать условия, представленные в этом разделе, прежде чем включать эту функцию на устройстве. Для получения более подробной информации о переходе следуйте инструкциям, приведенным в этом тексте данного раздела.

Следуйте инструкции, чтобы включить функцию «Отслеживание расхода печати».

1. Выберите параметр Принять.

2. Отметьте флажком параметр Включить отслеживание расхода печати на устройстве.

3. Чтобы изменения вступили в силу, нажмите кнопку Применить.

Применение настроек

Настройки на этой странице применяются к устройству после нажатия кнопки Применить в нижней части экрана. Можно применить настройки по мере их изменения, или применить все настройки единовременно. Нажмите Отмена, чтобы отменить изменения.

ПРИМЕЧАНИЕ. Ни одна из заданных настроек не будет применена к устройству, пока вы не нажмете кнопку Применить.

Безопасность сети: то, что должен знать каждый

Written on 05 Сентября 2006 . Posted in Локальные сети

Политика обеспечения безопасности — это не обычные правила, которые и так всем понятны. Она должна быть представлена в форме серьезного печатного документа. А чтобы постоянно напоминать пользователям о важности обеспечения безопасности, можно разослать копии этого документа по всему офису, чтобы эти правила всегда были перед глазами сотрудников.

Хорошая политика обеспечения безопасности включает несколько элементов, в том числе следующие.

• Оценка риска. Что именно мы защищаем и от кого? Нужно идентифицировать ценности, находящиеся в сети, и возможные источники проблем.
• Ответственность. Необходимо указать ответственных за принятие тех или иных мер по обеспечению безопасности, начиная от утверждения новых учетных записей и заканчивая расследованием нарушений.
• Правила использования сетевых ресурсов. В политике должно быть прямо сказано, что пользователи не имеют права употреблять информацию не по назначению, использовать сеть в личных целях, а также намеренно причинять ущерб сети или размещенной в ней информации.
• Юридические аспекты. Необходимо проконсультироваться с юристом и выяснить все вопросы, которые могут иметь отношение к хранящейся или генерируемой в сети информации, и включить эти сведения в документы по обеспечению безопасности.
• Процедуры по восстановлению системы защиты. Следует указать, что должно быть сделано в случае нарушения системы защиты и какие действия будут предприняты против тех, кто стал причиной такого нарушения.

Классификация вторжений

Список ресурсов, которые обычно являются целями вторжений, можно найти в документе RFC 1244.

Все вторжения можно разделить на пять классов, в зависимости от того что является их целью.

• Аппаратные средства — рабочие станции и серверы, принтеры, дисковые накопители и сетевые кабели, а также такие межсетевые устройства, как мосты, маршрутизаторы и коммутаторы.
• Программное обеспечение. Любое программное обеспечение, работающее на любом компьютере в сети, является потенциальной «дверью» для злоумышленника. Это могут быть программы, купленные у внешних разработчиков и программное обеспечение для внутреннего использования, созданное собственным отделом программистов. Именно поэтому операционные системы нуждаются в регулярной установке патчей.
• Информация. Наиболее значительной ценностью, конечно же, являются данные, которые создаются или используются в сети. Программное обеспечение и операционные системы можно переустановить — а если подвергнутся разглашению важные данные, такие как списки клиентов, сведения о продажах или корпоративные секреты, то ущерб бизнесу может быть значительным.
• Люди. В «группу риска» входят все пользователи, имеющие доступ к сети или к любому подключенному к ней устройству.
• Документы. Об этом очень важном для хакеров ресурсе часто забывают. Пароли записываются на бумажках; отчеты, содержащие конфиденциальную информацию, распечатываются, а потом все это часто выбрасывается в мусорную корзину. Лучше измельчить эти бумаги на мелкие кусочки или сделать их нечитаемыми другим способом — и только потом выбросить. Одной из величайших угроз компьютерной безопасности являются заметки-«липучки». Вспомните, сколько раз вам приходилось видеть такие липучки с именем пользователя и паролем, приклеенные сбоку монитора?

Одной из величайших угроз компьютерной безопасности являются заметки-«липучки». Вспомните, сколько раз вам приходилось видеть такие липучки с именем пользователя и паролем, приклеенные сбоку монитора?

Хорошая политика обеспечения безопасности, понятная всем пользователям,- это нечто гораздо большее, чем просто средство предотвращения некоторых возможных проблем. Хорошей практикой является процедура регулярного повторного ознакомления пользователей с этой политикой, наравне с инструктажем по техника безопасности на рабочем месте. Это не должно быть пустой формальностью. Важно, чтобы пользователи сознавали, какую ответственность они берут на себя одновременно с правом доступа к корпоративной компьютерной сети.

Физическая безопасность

Предотвращение неавторизованного доступа к сетевым ресурсам означает, прежде всего, невозможность физического доступа к компонентам сети — рабочим станциям, серверам, сетевым кабелям и устройствам, и т.п. Когда сетевое соединение выходит за пределы вашей зоны влияния, например в точке подключения к внешнему провайдеру интернета, то контроль за физическими аспектами сети, разумеется, теряется — и остается полагаться на другие методы, такие как шифрование и туннелирование. Но оборудование в помещении компании должно находиться под пристальным наблюдением.

Как бы глупо это ни звучало, но от несанкционированного доступа часто спасает простой дверной замок. Серверы, на которых хранятся важные или уязвимые данные, не должны стоять открыто на столе или в незапертой комнате, куда может зайти кто угодно. Аналогичным образом должны защищаться маршрутизаторы, концентраторы, коммутаторы и другие устройства. Комнаты с компьютерами должны закрываться на замок или находиться под круглосуточным наблюдением. Если кто-то из сотрудников компании работает круглосуточно, то это комнату закрывать не обязательно — но только в том случае, если персонал не дежурит по одному. В идеале доступ в подобные помещения должен контролироваться, например, путем регистрации в журнале.

Резервные носители, такие как ленты или перезаписываемые компакт-диски, должны быть защищены так же, как и исходные данные. Недопустимо хранить резервные копии на сервере или рабочей станции, оставлять картриджи и CD на столе или в незапертом ящике.

Утилизация старых компьютеров

При обновлении сети и установке новых рабочих станций и серверов старое, ненужное оборудование часто передают сотрудникам компании или другим организациям, например школам. В политике обеспечения безопасности должно быть правило, согласно которому со всех жестких дисков, подлежащих списанию, должны быть удалены данные, а при необходимости — заново установлена легальная копия операционной системы. Там же должна быть описана процедура утилизации использованных дискет, компакт-дисков и картриджей с резервными копиями. При малейшем подозрении, что на них могла сохраниться важная информация, которую можно восстановить, лучше сначала разбить эти носители и только потом выбросить. Хорошим средством уничтожения информации с таких носителей является магнитное устройство «тотального» стирания. Ссылка на ЕПОС

Программный доступ

Кроме физического, следует ограничить и программный доступ к сети. И все равно, независимо от того насколько хорошо налажен контроль доступа, всегда найдется человек, который нарушит эту защиту. Поэтому необходимо иметь возможность проследить сетевые события и определить по ним, не пытался ли кто-то вторгнуться в сеть и насколько это удалось.

Существует несколько типовых механизмов управления доступом к сети:

• пользовательские учетные записи и пароли;
• физические идентификаторы;
• защита ресурсов.

Во многих операционных системах важной частью этой схемы является концепция владения ресурсами. Например, в OpenVMS и Windows 2000/Server 2003 отслеживаются пользователи, создающие ресурсы (такие как файлы). Владельцы таких ресурсов имеют право изменять режим защиты файла и предоставлять другим пользователям полномочия, необходимые для работы с этим файлом. То же самое, хотя и в меньшей степени, можно сказать об операционных системах Unix/Linux.

Идентификация пользователей

Если в сети не хранятся сверхсекретные данные, то для доступа к ресурсам обычно достаточно логина и пароля. Управление такими системами обычно не представляет сложностей. В Windows 2000/XP и Server 2003 можно создавать обособленные защищенные зоны управления — домены. Сетевой администратор может предоставить пользователям домена права доступа к ресурсам любого компьютера, будь то сервер или рабочая станция. Кроме того, при сотрудничестве администраторов между доменами могут быть установлены доверительные отношения, в результате чего пользователи получат доступ к сетевым ресурсам другого домена по той же учетной записи и паролю. В Windows 2000 и более поздних версиях для разграничения доступа к важным ресурсам могут применяться групповые политики.

В Novell NetWare для этого применяется служба Novel Directory Services, которая предоставляет пользователю регистрационное сетевое имя. Каждый пользователь представляется в каталоге объектом User, в свойствах которого содержится информация о его паролях и соединениях.

В операционных системах Unix концепция домена отсутствует. Вместо этого каждый хост Unix содержит файл паролей, где хранится информация о каждом пользователе, включая шифрованный пароль. Для доступа к ресурсам других сетевых хостов пользователь Unix должен либо зарегистрироваться на этом компьютере, либо использовать прокси. Утилиты TCP/IP, такие как FTP и Telnet, часто пересылают пароли пользователей по сети открытым текстом и поэтому являются легкой добычей для хакера.

В Unix для выполнения обычных сетевых операций, таких как копирование или печать файлов, или регистрация на удаленной системе, используются утилиты удаленной работы, обычно называемые r-командами (их имена начинаются буквой r). Такие утилиты очень полезны в сетевой среде, где один пользователь работает на нескольких компьютерах, но часто вызывают проблемы с безопасностью: ведь для выполнения команды на удаленном хосте пользователю достаточно иметь действительную для этого хоста учетную запись.

Вместо пароля право доступа определяется записью в файле /etc/hosts.equiv или.rhosts. Удаленный компьютер доверяет компьютеру, на котором пользователь выполняет r-команду, если находит в одном из этих файлов соответствующую запись. Каждая запись файла /etc/hosts.equiv содержит имя хоста и имя пользователя и позволяет идентифицировать пользователей и хосты, которым разрешено выполнять соответствующие команды. Поэтому ввода пароля не требуется. Считается, если пользователь зарегистрировался на удаленном хосте, то он уже прошел аутентификацию. Файл.rhosts работает подобным образом, но находится в домашнем каталоге пользователя. Удаленные пользователи, указанные в этом файле, могут выполнять действия на основании своих учетных записей.

Несмотря на то, что в большинстве операционных систем Unix и Linux сохранились базовые r-команды, теперь у них появилась альтернатива — утилиты защитной оболочки (Secure Shell, SSH), обеспечивающие передачу данных подобно r-командам, но с аутентификацией и шифрованием. Более подробные сведения о SSH можно получить по адресу, а бесплатные версии SSH-утилит — на веб-сайте.

Все это очень напоминает механизм доверительных отношений Windows NT/2000/Server 2003/XP — но все же это разные механизмы. Злоумышленник легко может выдать себя за удаленный узел и получить доступ к системе Unix/Linux посредством r-команд.

Системные демоны и службы

Фоновые процессы, выполняющие различные функции на серверах Windows, называются службами. В операционных системах Unix также есть аналогичные фоновые процессы, называемые демонами. И те, и другие процессы являются фоновыми — не требуют взаимодействия с клавиатурой и выполняются на компьютере, ожидающем запуска некоторой функции. Иногда они могут стать причиной нарушения системы защиты.

Следует ознакомиться с фоновыми процессами, выполняемыми на всех серверах сети, и отключить лишние. Например, в системах Unix есть много фоновых демонов, связанных с набором протоколов TCP/IP. На одних компьютерах они нужны, на других же используются, в лучшем случае, только некоторые из них. В таблице перечислены некоторые демоны, которые нередко можно отключить.

Безопасный доступ к устройствам

В зависимости от типа устройства вы можете изменять разные параметры доступа: список пользователей, получающих доступ к устройству, расписание доступа и разрешение / запрет на доступ.

Чтобы изменить правило доступа к устройствам, выполните следующие действия:

1. Откройте окно настройки параметров программы.
2. В левой части окна в разделе Контроль безопасности выберите подраздел Контроль устройств .

В правой части окна отобразятся параметры компонента Контроль устройств.

В правой части окна выберите закладку Типы устройств .

На закладке Типы устройств находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

После того как вы изменили исходные значения параметров правила доступа к устройствам, параметр доступа к типу устройств в графе Доступ в таблице на закладке Типы устройств принимает значение Ограничивать правилами.

В начало

Настройки безопасности на Самсунг

Как повысить безопасность своего устройства? Как защититься от вирусов и вредоносных приложений? Как зашифровать устройство и все данные на нем? Как найти потерянный или украденный телефон, стереть все данные и заблокировать гаджет? Обновление безопасности и назначение администраторов на телефон.

Дополнительно разберем интеллектуальную систему защиты Samsung Pass и Knox. Какие возможности они предлагают, разберем основные настройки.

Сканирование телефона

В смартфон уже установлен штатный антивирус/файрвол (на базе антивируса McAfee), который находит и обезвреживает вирусы и угрозы. Чтобы просканировать телефон, переходим в Настройки – Оптимизация – Безопасность устройства.

приложение сканирует все установленные программы в телефоне.

Активная защита Knox

Такая защита применяется в телефонах и планшетах Samsung. Она работает на базе антивирусного комплекса McAfee и обеспечивать дополнительную защиту от вредоносных атак. При первом запуске нужно согласиться с условиями использования (лицензией), телефон перезагрузится. Для включения защиты перейти в Настройки – Оптимизация – Безопасность устройства – Активная защита Knox.

Для пользователей разработчики предлагают полную защиту информации на мобильном устройстве и безопасный способ доступа в сеть (через VPN и антивирусные NS-сервера). Если вам это нужно, перейдите по ссылкам.

Samsung Pass

Это встроенная интеллектуальная система распознавания пользователя с помощью биометрических данных – простой и безопасный способ подтверждения личности. Вам больше не нужно запоминать сложные пароли или графические ключи. Что предлагает этот сервис?

• Распознавание по радужке глаз,
• по отпечатку пальца,
• распознавание лица,
• электронная подпись.

Используйте биометрические данные, чтобы получить быстрый и безопасный доступ к избранным приложениям и службам. Биометрические данные будут зашифрованы и защищены благодаря Samsung Knox. Указывать имя пользователя и пароль больше не потребуется. Для входа на сайт в интернете достаточно будет воспользоваться своими биометрическими данными.

Внимание! В телефоне должны быть соответствующие датчики для использования сервиса Samsung Pass.

Для настройки и регистрации перейдите в Настройки – Экран блокировки – Samsung Pass. Перед использованием сервиса нужно сначала зарегистрировать свой отпечаток пальца, снимок лица или радужки глаза.

Дополнительно можно применить стилус для использования своей электронной подписи в системе идентификации личности через биометрические данные.

Как использовать Samsung Pass на сайтах?

1. Войдите на нужный сайт, через логин и пароль.
2. Появится окошко “Запомнить пароль”. Выберите “В следующий раз использовать биометрию для подтверждения личности”.
3. Теперь можете использовать отпечаток пальца или скан радужки глаза, чтобы зайти на выбранный сайт без пароля.

Найти телефон

Очень классный сервис – поиск телефона и удаленное управление им с помощью учетной записи Samsung. Например, вы потеряли телефон. Можно через интернет найти его местоположение, заблокировать, стереть все данные или вывести на экране сообщение, чтобы нашедший позвонил вам и вернул телефон (за вознаграждение).

Это приложение действительно защищает вас от воров. Какой смысл красть телефон, если его владелец может в любой момент заблокировать устройство, превратив его в “кирпич”?

ОБЯЗАТЕЛЬНО настройте этот сервис у себя на телефоне! Переходим в Настройки – Экран блокировки и безопасность – Найти телефон.

• Удаленное управление. Позволяет через интернет управлять устройством через свою учетную запись Samsung. Включите эту опцию.
• Служба Google Location. Разрешите службу Гугл более точно определять местоположение вашего устройства.
• Отправление последнего местоположения. Разрешите отправлять эти данные на сервер “Найти мое мобильное устройство”, когда заряд аккумулятора опускается ниже определенного уровня.

После всех этих настроек можно удаленно следить за своим смартфоном через сайт findmobile.samsung.com.

Неизвестные источники

Опция предоставляет разрешение на установку приложений из других источников, кроме Google Play Маркет и Galaxy Apps. Перед активацией опции помните, что неизвестные приложения могут нанести вред устройству и личным данным, содержать вирусы.

Для активации перейдите в Настройки – Экран блокировки и безопасность – Неизвестные источники.

Когда можно включить установку приложений из неизвестных источников?

1. Если вы скачали программу или игру на телефон/компьютер в виде APK файла.
2. При установке мода, взломанной игры и приложения.
3. Если нужной программы нет в Плей Маркет и вы скачали приложение на другом сайте.
4. При установке nulled-версии игры/программы. Т.е. игра или программа платная, а вы скачали ломаную версию и бесплатно.
5. Если вы опытный пользователь и доверяете своим источникам приложений на Андроид.

Зашифровать устройство

Эта опция позволяет защитить устройство, зашифровав все данные на нем. Вы можете шифровать учетные записи, любые настройки, установленные приложения и игры + их данные (кэш, сохранения), а также все свои мультимедийные (фото, видео, музыка) и любые другие файлы.

Для шифрования перейдите в Настройки – Экран блокировки и безопасность – Зашифровать устройство.

По времени шифрование может длиться до 12 часов, в зависимости от количества данных на телефоне. Перед началом шифрования телефон должен быть заряжен, не отключайте его от розетки во время самого процесса. Т.е. если шифрование будет прервано (села батарейка), все или часть данных будет потеряна.

Шифрование SD-карты

Опция аналогична шифрованию самого телефона. Все настройки и советы смотрите выше. опция доступна по адресу: Настройки – Экран блокировки и безопасность – Шифрование SD-карты.

Отображать пароли

Еще одна надстройка безопасности телефона. Функция отображения паролей кратковременно отображает символы пароля по мере их ввода. Включите для удобства набора паролей.

Перейдите в Настройки – Экран блокировки – Другие параметры безопасности – Отображать пароли.

При этом сам пароль будет скрыт звездочками – злоумышленник его не прочитает.

Служба обновления безопасности

Служба следит за обновлением политики безопасности для укрепления защиты вашего смартфона и отправляет отчеты о безопасности в Samsung по сети Wi-Fi для анализа. Перед отправкой отчета все данные шифруются, так что вы ничем не рискуете.

Политика безопасности

Для управления безопасностью перейдите в Настройки – Экран блокировки и безопасность – Другие параметры безопасности – Политика безопасности.

• Обновить – проверяет актуальные обновления и загружает их. Пишется дата последней проверки, например 04.01.19.
• Автообновление – включите опцию. Служба автоматически проверяет наличие обновлений.
• Способ загрузки обновлений. Установите только Wi-Fi, без мобильных сетей, иначе потратите весь пакет Интернета по своему тарифному плану на обновления.

Отправлять отчеты о безопасности

Как я писал выше, эта служба отправляет отчеты в компанию Самсунг по Wi-Fi, так что мобильный трафик расходоваться не будет. Включите опцию – так компания Самсунг будет лучше обеспечивать безопасность своих устройств.

Администраторы устройства

Это служба администрирования вашего телефона. Можно просмотреть и отключить администраторов устройства. Администратор – это та служба, которая обладает неограниченными возможностями на вашем смартфоне: может удалить все данные, заблокировать устройство, следит за вами и многое другое.

Для выбора администратора переходим в Настройки – Экран блокировки и безопасность – Другие параметры безопасности – Администраторы устройства.

У меня в качестве администратора стоит сервис “Найти устройство”, как и у большинства. Он может удалять все данные, изменять пароль разблокировки экрана, блокировать экран, отключать любые функции в телефоне.

Рекомендую использовать этот сервис – он найдет ваш телефон в случае потери/кражи и сохранить все ваши данные в конфиденциальности (может всё удалить дистанционно).

Хранилище учетных данных

Здесь хранятся все сертификаты безопасности и цифровые подписи (лицензии) установленных приложений, ваши сертификаты.

Перейдите в Настройки – Экран блокировки и безопасность – Другие параметры безопасности – Хранилище учетных данных.

• Тип хранилища – сам телефон. Т.е. резервное копирование на устройстве.
• Сертификаты безопасности. Отображает все системные и пользовательские сертификаты. Каждый сертификат безопасности можно просмотреть и выключить при необходимости (не рекомендую выключать).
• Установить из памяти. Дополнительно можно установить сертификат с карты памяти. Это может быть нужно для безопасной работы какого-нибудь приложения, например, интернет-банк для Юр. лиц и ИП.
• Удалить учетные данные. Удаляет все сертификаты. Никогда этого не делайте!

Прикрепить окна

Полезная функция – закрепляет приложение на экране устройства. Если на экране телефона закреплено приложение, вызовы, сообщения и другие функции могут быть недоступны. Также будет невозможен доступ к другим приложениям.

Для включения перейдите в Настройки – Экран блокировки и безопасность – Другие параметры безопасности – Прикрепить окна.

Чтобы прикрепить программу на экране:

1. Включите эту опцию в настройках.
2. Откройте нужное приложение.
3. Нажмите кнопу “Последние” (внизу на телефоне рядом с кнопкой Домой).
4. Коснитесь значка “заколка” (замок) в нижнем правом углу окна приложения, которое нужно оставить на экране.

Статистика использования

Просмотр приложений, которые могут получать доступ к журналу использования устройства. Эта настройка ничем не примечательна и нам неинтересна.

Уведомления о доступе

Отображение приложений, которые могут читать ваши уведомления. Лучше запретить доступ для всех приложений в целях безопасности. Т.к. для доступа в интернет-банк пароли часто приходят через push-уведомления, которые может прочесть вредоносная программа и перехватить доступ к вашему интернет-банку.

Перейдите в Настройки – Экран блокировки и безопасность – Другие параметры безопасности – Уведомления о доступе.

Доступ к режиму “Не беспокоить”

Какие приложения могут изменять параметры режима “Не беспокоить”. Т.е. вы включили этот режим, чтобы отдохнуть от звонков, смс и уведомлений, а какая-то программа все перенастроила и присылает вам рекламу или смс.

Отключите доступ для всех приложений. Перейдите в Настройки – Экран блокировки … – Другие параметры … – Доступ к режиму…

На этом всё. Мы разобрали все основные настройки безопасности для смартфонов на базе ОС Андроид. Есть замечания и вопросы? Пишите в комментариях.