5. Aktywacja systemu Windows

Bez zbędnych słów przechodzimy obecnie do aktywacji systemu Windows.

      Najbezpieczniej aktywacji dokonać Of-Line, a więc telefonicznie. Szczęśliwi ci, którzy wcześniej aktywowali Windowsa telefonicznie i odnaleźli kod zwrotny tej aktywacji (identyfikator potwierdzenia aktywacji), gdyż teraz mogą go wykorzystać (o ile sprzęt nie został znacznie zmieniony, ale zawsze warto spróbować, najwyżej trzeba będzie powtórzyć aktywację telefoniczną).

Warunki są dwa:

1. Sprzęt jak pisałem nie uległ znacznej zmianie, ale próbujemy mimo to
2. Wykorzystujemy ten sam klucz aktywacji (niby dlaczego miałby być inny i skąd?)

Tak więc wybieramy aktywację telefoniczną, tyle tylko że nie dzwonimy do MS, a od razu wklepujemy ten identyfikator – jeżeli aktywacja przeszła to się cieszymy i omijamy jeden akapit.

Pozostali uruchamiają program do ScreenShotów, dzwonią do MS (aktualny numer telefoniczny trzeba sobie zawczasu przygotować – są zmiany), wykonują polecenia i przed wciśnięciem Entera koniecznie wykonują ScreenShot ekranu aktywacji (na pamiątkę – wątpliwe, ale może się przydać). Teraz Enter i jesteśmy aktywowani, jeżeli nie to postępować zgodnie z instrukcjami MS. Nie zapomnijcie w bezpieczny sposób zabezpieczyć obrazek z danymi aktywacji.

      PO AKTYWACJI - Jeżeli wszystko poszło OK to teraz zakładacie hasło na swoje konto administratora Windows (na początek lepiej je zapisać, aby nie było śmiechu). Ważne, aby hasło było naprawdę hasłem – a więc nie proste słówko ze słownika, a np. dwa słowa zawierające także cyfrę/y i dużą/e litery w niestandardowych miejscach. Trzeba pamiętać o sensie tego hasła. Ono nigdy nie uchroni przed dostępem wprost do komputera (np. po kradzieży – przed tym zabezpieczy wyłącznie szyfrowanie dysku np. TrueCrypt), a jedynie ma uchronić przed dostępem zdalnym – poprzez sieć (czyli jeżeli PC będzie zawsze Of-Line – tylko do grania to jest zupełnie zbędne, chyba że nie chcemy, aby się braciszek dobrał do nieodpowiednich gier). Pora także na utworzenie drugiego konta w systemie Windows, które będzie miało ograniczone uprawnienia i także będzie zabezpieczone hasłem. Z niego to na co dzień powinniście korzystać – w razie włamania z sieci konto to znacznie utrudni przejęcie kontroli nad takim PC. Oczywiście te konto, a w razie potrzeby inne utworzone należy wstępnie skonfigurować (zapewne w podobny sposób jak konto administratora, ale teraz pójdzie szybciej, a pamiętajcie też, że macie swój folder ze skrótami).

      W przypadku Windows XP Home występuje przy niektórym oprogramowaniu problem z pracą na koncie z ograniczonymi uprawnieniami. Ta wersja systemu Windows pozbawiona jest mianowicie karty Zabezpieczenia we Właściwościach pliku/folderu. Niesie to za sobą problem w przypadku programów, które zapisują dane w folderze instalacyjnym i/lub systemowym. Nie ma bowiem możliwości prostego sposobu udostępniania takiego folderu do zapisu nowych plików i modyfikacji już istniejących przez dany program (w innych wersjach Windows można selektywnie nadawać uprawnienia kontom, grupom na odczyt, zapis, modyfikację, pełną kontrolę).

Tak więc posiadacze Windows XP Home będą w takim wypadku musieli skorzystać z polecenia CACLS.

Składnia polecenia CACLS jest następująca:

CACLS ”dysk:\folder\udostępniany_folder” [/T] /E /G nazwa_konta:F

lub

CACLS ”dysk:\folder\udostępniany_folder\maska_plików” [/T] /E /G nazwa_konta:F

/T – parametr opcjonalny dotyczy przetwarzania w folderze bieżącym i wszystkich podfolderach; nie trzeba wykonywać operacji dla każdego podfolderu oddzielnie

folder - ścieżka pośrednia (path)

udostępniany_folder - folder, którego zmiany będą dotyczyć (jeżeli nie podana maska plików to wszystkich zawartych tam plików i nowo tworzonych)

maska_plików – może to być nazwa konkretnego pliku, albo jakiś rodzaj np. *.ini, *.cfg albo xw*.db? (* - to dowolna ilość dowolnych znaków; ? – to jeden dowolny znak)

nazwa_konta – konto któremu nadamy rozszerzone uprawnienia dla tej operacji, czyli nazwa konta z ograniczonymi uprawnieniami (jeżeli zawiera spację musi być w cudzysłowie!); jeżeli będziemy posiadać kilka takich kont to można zastąpić nazwę konta:  BUILTIN\Użytkownicy wtedy takie same zmiany będą nadane na wszystkich kontach ograniczonych

:F – bez spacji za nazwą konta nadaje uprawnienia pełna kontrola czyli zapis, odczyt, modyfikacja

      Po założeniu hasła (i jego zapisaniu) wylogować się lub reset i po powtórnym zalogowaniu (na konto z uprawnieniami administratora) pierwszą rzeczą jaką trzeba wykonać jest pełna kopia bezpieczeństwa aktywowanego systemu!!! – pamiętajcie aby ją odpowiednio opisać w obrazie dysku, a także jako nazwa pliku!!!

Ten obraz dysku systemowego najbezpieczniej jest od razu odizolować od wcześniejszych (które były tymczasowe), przenosząc wszystkie te starsze do oddzielnego folderu (na tym samym HDD).

Wszyscy, którzy nie skorzystali z tej najbezpieczniejszej metody, będą musieli aktywować Windowsa On-Line (co i tak nie jest pewne czy przejdzie, jeżeli zbyt dużo razy już tak Windows był aktywowany).

Jednakże zanim połączycie się z siecią internetową należy się zabezpieczyć i to skutecznie!.

1)  Instalacja programu antywirusowego (zapomniałem o tym wcześniej napisać, ale najlepiej wykorzystać wcześniejszą wersję trial naszego AV, z możliwie najdłuższym czasem darmowego działania, a gdy ten czas się skończy instalujecie aktualną wersję główną np. Norton 360 czy NIS z kolejnym okresem trial i dopiero później na kluczyku), ważne aby miał dobrą zaporę oraz, aby od razu dobrze go skonfigurować.

2)  Kolejny program zabezpieczający to PeerBlock – swoista dwukierunkowa zapora zapobiegająca łączeniu się z niechcianymi komputerami (adresami IP). Podczas jego instalacji uaktywnić blokowanie: Spyware, Adwertising i ewentualnie P2P (skoro szpiegują to zapewne wszystkich, a jak się da to i wskoczą na taki PC), a później dokończyć konfigurację: List Manager>Add>Add URL – wybrać blueatack/hijacked i np. level-2 i level-3.

Pozostałe ustawienia PeerBlock'a na ScreenShotach:

History Log Blocked – w przeciwnym wypadku plik bazy rozrośnie się nawet do kilku GB w przeciągu tygodnia gdy bądzie zapisywał w historii wszystkie połączenia

History size i Every (Remove) na wszelki wypadek, aby nie osiągnął za dużego rozmiaru (warto co jakiś czas sprawdzić log historii, czy aby szczególnie jakaś organizacja nie upodobała sobie waszego PC

Oczywiście auto start z systemem – od razu do zasobnika, automatyczne aktualizacje programu i bazy blokowanych IP (obecnie nie można już za darmo dokonywać tego codziennie – może tak być ustawione – a co tydzień)

Minimize to tray, aby przypadkowo nie wyłączyć programu Windowsowym krzyżykiem na oknie

3)  Opcjonalnie warto zainstalować też Spybot - Search & Destroy, który wśród wielu ciekawych funkcji ma też Immunizer – narzędzie, które do pliku hosts (C:\Windows\System32\drivers\etc) dodaje niebezpieczne adresy IP i przekierowuje je na localhost, a więc komputer lokalny, czego efektem będzie niemożność przejścia na żadną podejrzaną stronę zarówno z linków, wpisania adresu jak i destrukcyjnych skryptów. Co ważne ochrona ta działa na poziomie systemu operacyjnego i jest całkowicie niezależna od programów AV.

      Na marginesie dodam, iż plik hosts często jest celem ataku hakerskiego. Odpowiednie wpisy w pliku hosts mogą doprowadzić nie tylko do zablokowania pożytecznych stron np. z programami anty wirusowymi czy poradnikami o ochronie PC, ale mogą przekierowywać też z takich użytecznych stron na strony zainfekowane bądź sklonowane w celu wyłudzenia danych, łudząco podobne do oryginalnych. Jeżeli więc zauważycie kiedyś problem z wejściem na pożądaną witrynę lub stwierdzicie że adres w przeglądarce jest inny od zadanego to warto przeszukać plik hosts (np. Notepad ++) czy nie występuje tam wspomniany adres (ten dobry będzie występować zapewne jako IP i aby go znaleźć należy najpierw uruchomić linię poleceń Menu Start>Uruchom>cmd.exe i wpisać polecenie: ping szukane_IP czyli np. ping wp.pl i w odpowiedzi otrzymamy adres IP szukanej witryny).

Co jeśli mamy router?

      Słuszne pytanie. Bierzemy się za ochronę furtek w PC, a może mamy otwartą całą bramę do naszej domowej sieci?

Jeżeli więc go posiadamy, a myślę że tak to przed podłączeniem do sieci należy odpowiednio skonfigurować i router. Pokażę to na przykładzie zrzutów ekranu routera Linksys (Cisco).

1)  Pierwszą operacją jaką należy bezwzględnie wykonać jest tym razem fizyczne odłączenie kabla internetowego od routera. Równocześnie też podpinamy kabelek między PC a routerem (chyba że łączy się po WiFi to uaktywniamy fizyczny włącznik – o ile jest).

Zdecydowanie jednak zalecam podpięcie nawet laptopa na kabel z uwagi na fakt, że niektóre ustawienia routera mogą spowodować nagłe zerwanie łączności radiowej, a powtórne jej nawiązanie będzie możliwe dopiero po zmianie tychże także w laptopie!

2)  Nawiązujemy połączenie – klik w połączenie lokalne lub dla WiFi połącz z siecią i logujemy się na starych danych. Jeżeli nie zostały zapisane to mamy 3 opcje:

    a)   Podpięcie się na kabelku na czas modyfikacji

    b)   Wejście przez inny komputer w sieci

  c)  Reset routera do ustawień fabrycznych i logowanie się na ustawienia default (odpowiednie dla producenta i modelu – zawarte w instrukcji, albo na stronie WWW)

3)  Otwieramy ulubioną przeglądarkę i wklepujemy kolejno adres IP routera ,[Enter], hasło,[Enter] i jak wszystko było dobrze zapisane to widzimy ekran administracyjny routera.

4)  Nie zawadzi zrobić ScreenShoty wszystkich zakładek, ale przede wszystkim należy wyeksportować ustawienia na nasz PC (backup ustawień routera), aby w razie komplikacji szybko je przywrócić i zacząć od nowa.

Wykonując powyższe minimum jesteśmy gotowi do prawdziwych zmian.

5)  Hasło dostępu do routera – te na które się logowaliśmy – mam nadzieję, że było zmienione przy tworzeniu sieci z domyślnego (np. Administrator, 123456789, …)jeżeli nie to zmieniamy - zasada jak przy haśle do Windows. Bez przesady ze stopniem trudności.

Protokół dostępu: HTTP i HTTPS – przydadzą się oba gdy np. przez pierwszy się nie zalogujemy dostęp może być możliwy przez drugi. W laptopie (przez WiFi) proponuję używać wyłącznie HTTPS.

I tym sposobem musimy odpowiedzieć sobie na pytanie czy w ogóle potrzebujemy dostępu radiowego do routera? (do jego ustawień, a nie do sieci). Czasowo, a więc na etapie konfiguracji tak, ale po przeprowadzeniu pełnych ustawień zalecam Disabled Access via Wireless.

Jeszcze ważniejszy jest dostęp zdalny – koniecznie wyłączony. Nie będziemy chyba będąc na plaży utrudniać życia domownikom wyłączając im zdalnie sieć, a pewnie znajdzie się nie jeden znudzony haker, który zrobi to za was lepiej – więc Disabled.

Wreszcie Upnp i zezwól wszystkim na konfigurację- Enabled, a blokowanie internetu wyłącz.

Ostatnią rzeczą na każdej z kart konfiguracji jest sprawdzenie zmian i naciśnięcie przycisku Save Settings (Accept).

Przejście na inną kartę bez zapisania zmian powoduje automatyczne przywrócenie tych, które były poprzednio! (może się przydać, gdy się pogubicie – łatwiej będzie zacząć wszystko od początku na danej stronie). Zapisanie poprawnych zmian należy wykonywać na każdej z zakładek oddzielnie (także w nowych oknach jak np. DHCP Client) – o czynności tej nie będę już przypominał w poniższych punktach!

6)  IP Adres (router): wcale nie musi być 192.168.1.1 – równie dobrze dwie ostatnie liczby można zastąpić dowolnymi z zakresu 1-250 np. jak na foto.

Tak samo pulę adresów dla urządzeń można rozpocząć od dowolnej liczby (tej na końcu) – ważne tylko, aby po dodaniu liczby użytkowników była mniejsza od 250; oczywiście Server DHCP Enabled.

O co w tym chodzi? Wskazujemy wprost ile urządzeń końcowych może być podpiętych do naszej sieci, a naciskając DHCP Reservation określimy jakie to urządzenia i jakie statyczne adresy IP (w naszej wewnętrznej sieci) otrzymają oraz jakie posiadają adresy MAC (przykład na załączonym obrazku; wpisać od razu również inne urządzenia które nie są zainstalowane np. drukarkę).

Cała ta zabawa z IP i MAC zabezpieczy sieć przed nieproszonymi gośćmi, a w związku z tym stanie się ona bezpieczniejsza.

7)  Kolejna prezentowana zakładka to MAC Address (zewnętrzny), czyli jak mniemam dla większości z Was to MAC waszego PC po którym dostawca internetowy (provider, ISP) rozpoznaje uprawniony komputer w sieci. Jest to ważne ustawienie, którego niewłaściwa zmiana spowoduje utratę dostępu do sieci zewnętrznej dlatego w tej chwili radzę nie zmieniać i koniecznie zapisać ten MAC.

Możliwa jest bowiem sytuacja, iż dostęp do internetu był aktywowany kilka lat temu, a w międzyczasie został zmieniony komputer (a więc i MAC, który przypisany jest do karty sieciowej – dla większości zintegrowana z płytą główną). Tak sytuacja nie rodzi jednak kłopotów gdy jest router, gdyż dostawca widzi sklonowany adres MAC i uważa routera za uprawniony komputer, natomiast inne elementy sieci wewnętrznej (domowej) nie są dla niego widoczne. Nieopatrzne sklonowanie adresu MAC z obecnego PC spowoduje nierozpoznanie MAC i zablokowanie dostępu. Oczywiście jest możliwość wtedy zmiany tego adresu u dostawcy nawet przez przeglądarkę (dostęp do BOK jest możliwy), ale poco sobie utrudniać.

8)  Kolejny screen to ustawienia Wi-Fi, w których lepiej skorzystać z ustawień manualnych wspomagając się np. inSSIDer (musi być zainstalowany na laptopie chyba że PC ma kartę Wi-Fi) dostępny także na Androida. Za jego pomocą określimy wolne kanały w naszym otoczeniu i siłę sygnału.

Na tej zakładce określamy też tryb sieci, szerokość kanału, wspomniany kanał, a także nasz SSID (nazwa sieci) i czy ma być rozgłaszany czyli czy ma router informować inne urządzenia o nazwie sieci. W zasadzie najlepiej aby było SSID Broadcast Disabled (każdy kto będzie się chciał zalogować do sieci będzie musiał także podać jej prawidłową nazwę), jednak zdarza się, że nie wszystkie urządzenia poprawnie współpracują z tą funkcją np. u mnie jeden z telefonów nie wykrywa sieci, a także drukarka ma z tym problem.

9)  Wirelless Security to najważniejsze zabezpieczenie sieci. Mamy tu standard szyfrowania i jeżeli tylko jest dostępne to koniecznie WPA2 (ewentualnie WPA, ale nigdy WEP). Również i metoda szyfrowania powinna być możliwie złożona (AES; TKIP powinno być stosowane wyłącznie dla starszych urządzeń końcowych nie obsługujących AES). No i dotarliśmy do hasła szyfrowania (passpharse).

Tu inaczej niż w haśle administracyjnym niedopuszczalne jest stosowanie jakiejkolwiek modyfikacji słownikowej. Hasło sieci Wi-Fi musi być losowe, długie (30-40 znaków) i z wykorzystaniem wszystkich rodzajów znaków!!! (duże i małe litery, cyfry, znaki specjalne). Można np. losowo klikać po klawiaturze, a następnie powstawiać znaki specjalne i duże litery. Najlepiej jednak wykorzystać do tego celu KeePass (Menu Narzędzia>Generator haseł…), którego zasadniczym celem jest przechowywanie haseł.

10)  Wi-Fi MAC Filter Enabled oraz zezwól wybranym (zaznaczone). Po wpisaniu adresów MAC naszych urządzeń tylko one uzyskają zgodę na podłączenie się do sieci (radiowej). Jest to rozszerzenie funkcji zawartej na karcie DHCP Client ograniczone wyłącznie do Wi-Fi.

Nie należy tu wpisywać komputera PC, a uzasadnione jest np. w przypadku laptopa (nawet gdy zawsze jest połączony kablem to czasami może również pracować jako mobilny), ale podobnie jak w przypadku DHCP wpisać można od razu niezainstalowane jeszcze na PC urządzenia.

11)  Na koniec SPI Firewall Protection Enabled czyli sprzętowa zapora – po prostu trudno nie skorzystać z takiego bonusa dla ochrony sieci.

      Po wykonaniu wszystkich powyższych czynności (wprowadzeniu zmian i ich zapisaniu) sprawdzamy czy nasze urządzenia widzą sieć i czy się do niej poprawnie logują (w przypadku zmiany nazwy SSID i/lub hasła sieci będzie zachodziła konieczność powtórnej konfiguracji tych urządzeń). Jeżeli pojedyncze urządzenie ma problem to może być np. wina źle wpisanego MAC, pasma (2,4/5GHz) albo np. wyłączonego SSiD Broadcast, ale również standardu i algorytmu szyfrowania, który wcale nie musi być zgodny ze wszystkimi naszymi odbiornikami. Radą jest w takiej sytuacji czasowe włączanie/wyłączanie poszczególnych opcji w celu stwierdzenia, która z nich blokuje urządzenie końcowe.

Jeżeli wszystko działa poprawnie to wykonujemy backup ustawień routera i zapisujemy go w odpowiednim folderze przeznaczonym na różne konfiguracje PC.

      Aby sieć była w pełni skonfigurowana brakuje jeszcze jednej rzeczy. Jest nią Grupa domowa (lub SMB / NetBIOS dla XP) i foldery udostępnione. Dzięki nim ich zawartość stanie się ogólnodostępna w naszej sieci LAN i będą z niej mogły korzystać wybrane urządzenia (np. telefon będzie odtwarzał muzykę, filmy czy zdjęcia zgromadzone na PC).

Jeżeli i z tym się uporamy i będzie działać udostępnianie prawidłowo należy wyłączyć Połączenie lokalne (lub Wi-Fi w zależności kto z czego korzysta) i podpiąć kabel sieciowy do routera.

Należy też wykonać kolejny backup naszego PC – tym razem przyrostowy.

Opcjonalnie i nie zalecane!

      Wszyscy, którzy koniecznie pragną aktywować system On-Line (chociaż dalece nie wskazane) włączają powtórnie połączenie lokalne i po uzyskaniu połączenia aktywują system Windows (można wymusić - ikona w Tray’u lub: XP – Start> Wszystkie programy> Akcesoria> Narzędzia systemowe>Aktywacja systemu Windows..; 7/8 Panel sterowania>System). W międzyczasie można również wymusić aktualizację oprogramowania anty wirusowego, Spybot - Search & Destroy czy PeerBlock.

W tym czasie nie wykonywać żadnych połączeń, nie otwierać przeglądarki itp., a po pomyślnej aktywacji i aktualizacji oprogramowania AV odłączyć połączenie sieciowe i wykonać pełny backup partycji systemowej swoim ulubionym programem i tak jak w przypadku aktywacji Of-Line odpowiednio ją opisać i zabezpieczyć przed przypadkowym usunięciem.

To już prawie koniec. Pozostało jeszcze nieco posprzątać, ale o tym w następnym poście.

                Podsumowanie

1. Aktywacja Windows - najlepiej telefoniczna (spróbować wykorzystać stary identyfikator potwierdzenia aktywacji)
2. Założyć hasło na konto administratora
3. Utworzyć konto(a) z ograniczonymi uprawnieniami do codziennej pracy; przeprowadzić ich konfigurację, dostosować, nadać hasła
4. Wykonać pełną kopię bezpieczeństwa aktywowanego systemu
5. Instalacja oprogramowania anty wirusowego i ochronnego
6. W przypadku posiadaczy routera jego konfiguracja - przy odłączonym kablu sieciowym od routera!!!; wykonanie backupu ustawień routera przed i po
7. Udostępnienie folderów w sieci: Grupa domowa i /lub NetBIOS
8. Wykonanie przyrostowej kopi bezpieczeństwa partycji systemowej
9. Jeżeli Windows nie był aktywowany Of-Line to można go aktywować teraz On-Line (nie zalecany taki sposób), a po aktywacji odłączyć połączenie sieciowe i wykonać pełną kopię partycji systemowej