1 SIGURIA DHE MBROJTJA N SISTEMET KOMPJUTERIKE 2

1 SIGURIA DHE MBROJTJA NË SISTEMET KOMPJUTERIKE

2 “Uncertainty is the only certainty there is, and knowing how to live with insecurity is the only security. ” —John Allen Paulos

3 Listë kontrolli mbi elementët e sigurisë dhe mbrojtjes së komjuterit dhe informacionit 1. Siguria e kompjuterit Ø Ø Ø 2. Siguria fizike Kriptimi TPM Siguria e sistemit të operimit Ø Ø Ø Përdoruesit lokalë dhe grupet User Account Control (UAC) Përditësimi i Windows Kriptimi Atributet e file-ve Siguria e BIOS

4 Listë kontrolli mbi elementët e sigurisë dhe mbrojtjes së komjuterit dhe informacionit Konfigurimi i Firewall 4. Programet anti-virus, anti-malware, anti-spyware 5. Sigurimi i të dhënave kritike (back up/restore) 6. Siguria në rrjetat wireless 3. 7. …etj

5 Siguria e kompjuterave • Siguria fizike • Ruajta në ambjente të kyçura • Autentikim lokal • Jo “auto login” • Përdorimi i username dhe password të komplikuar • Skanuesit biometrikë • Kriptimi i drive-ave • TPM (Trusted Platform Module)

6 Siguria e sistemit të shfrytëzimit 1. 2. 3. 4. 5. Përdoruesit lokalë dhe grupet User Account Control (UAC) Kriptimi Atributet e file-ve Siguria e BIOS

7 Siguria e sistemit të shfrytëzimit 1. Përdoruesit lokalë dhe grupet • Përdoruesit ØAdministrator: ka akses të plotë mbi githçka që ndodhet në kompjuter ØGuest: ka akses të limituar në kompjuter ØUser: mund të realizojë vetëm ato ndryshime që nuk prekin përdoruesit e tjerë apo sigurinë e sistemit • Grupet ØPsh, Poëer Users

8 Siguria e sistemit të shfrytëzimit 2. User Account Control (UAC) • Edhe pse mund të jeni loguar si Administrator, ju ekzekutoni me të drejtat e një përdoruesi standart ØWindows kërkon vëmendjen e përdoruesit për realizimin e detyrave që kërkojnë të drejta administrative ØPsh. : • Konfigurimin e Firewall • Instalimin e aplikacioneve • Ndryshimin e informacionit të përdouesve …etj

9 Siguria e sistemit të shfrytëzimit 2. Përditësimi i sistemit të operimit ØShumë hack-era shfrytëzojnë pikat e dobëta të njohura për të kompromentuar një sistem ØPër këtë sistemi duhet përditësuar sistemi me patch-et dhe service pack-et më të fundit

10 Siguria e sistemit të shfrytëzimit 3. Kriptimi • Windows është i pajisur me disa mjete për kriptimin e të dhënave • EFS (Encrypting File System) e disponueshme në file sistem-in NTFS • Për të realizuar kriptimin: Right click>Properties>Advanced

11 Siguria e sitemit të shfrytëzimit • Bit. Locker ØKripton një drive të tërë ØRuan celësin e kriptimit në chip-in TPM (Trusted Platforme Module) ØAksesohet në Control Panel>System and security

12 Siguria e sitemit të shfrytëzimit 4. Atributet e file-ve • File-t mund të kenë atribute të ndryshëm: ØRead-only ØHidden ØArchive ØSystem

13 Siguria e sistemit të shfrytëzimit 5. Siguria në BIOS • User password: fjalëkalimi që duhet të ketë përdoruesi për të ngarkuar sistemin e operimit • Supervisor password: fjalëkalimi që duhet të ketë përdoruesi për t’u loguar dhe për të bërë ndryshime në bios • Detektimi i ndërhyrjeve ØDetekton nëse kasa është hapur

14 Siguria e sitemit të shfrytëzimit

15 Firewall-i dhe lidhjet e sigurta Konfigurimi i Windows Firewall

16 Numrat e portave • Portat TCP dhe UDP mund të jenë çdo numër ndërmjet 0 dhe 65535 • Shumica e serverave përdorin numra të përherëshëm të portave (por kjo nuk ndodh gjithmonë) • Psh. Protokolli HTTP përdor portën 80 • Portat përdoren për komunikim dhe jo për siguri • Numrat e portave të shëmbimeve duhet të jenë të njohura • Numrat e portave TCP nuk janë të njëjtë me numrat e portave UDP • Migjithëse në disa raste përputhen

17 Një lidhje në rrjet • Kompjuteri përdor portën 1331 për të komunikuar me serverin • Nëse kompjuteri komunikon me portën 53 të serverit merr shërbimin e DNS • Nëse kompjuteri komunikon me portën 80 të serverit merr shërbimin e WEB • Nëse kompjuteri komunikon me portën 443 të serverit merr shërbimin e një WEB Serveri që përdor komunikim të sigurtë (SSL)

18 Funksionimi i Firewall

19 Funksionimi i Firewall • Bllokon portat që nuk nevojiten aktualisht • Bllokon trafikun inbound/outbound (përveç trafikut të specifikuar në rregulla) • Bën ndarjen e rrjetit publik (internetit) nga ai privat • Mbron kompjuterat nga ndërhyrjet dhe sulmet • Një Firewall mund të realizohet si: • Hardware • Fabrikuesit kryesorë janë Cisco, Juniper…etj • Software • Janë të përfshirë në sistemin e operimit ose mund të ofrohen nga një palë e tretë

20 Firewall-et software • Ndryshe quhen edhe Firewall “personal” • Janë të përfshira në shumë sisteme operimi • Gjithashtu mund të ofrohen nga një palë e tretë • Ndalon aksesin e paautorizuar nga rrjeti • “stateful” Firewall • Bllokon trafikun e aplikacioneve • Windows Firewall • Filtron trafikun sipas numrit të portës dhe aplikacioneve • Mund të realizojë me sukses detyrat si: • • Bllokim i programeve që të mos aksesojnë internetin Krijmi i një whitelist për të kontrolluar aksesin në rrjet Lejimi i trafikut vetëm në disa posta dhe adresa IP specifike …etj

21 Konfigurimi i Windows Firewall • Control PanelSystem and Security Windows Firewall • Windows njofton nëse një program bllokohet nga Firewall • Për të lejuar një program për të punuar përmes Firewall klikojmë mbi “Allow a program or feature through Windows Firewall”

22 Konfigurimi i Windows Firewall • Për të bërë ndryshime klikoni butonin “Change Settings” • Klikoni programin dhe rrjetin të cilin do ta lejoni ta aksesojë • Nëse programi nuk ndodhet në listë klikoni “Allow an other program…”

23 Change notification settings • Shërben për të konfiguruar mënyrën se si Firewall ndërvepron me përdoruesin • Aktivizimi/Ç’aktivizimi i Firewall • Bllokimi i të gjitha lidhjeve hyrëse • Njoftim kur Windows Firewall bllokon një program të ri • Kjo automatikisht i jep përdoruesit mundësinë të shtojë rregulla në Firewall për lejuar programin të komunikojë • Përdoruesit nuk kanë nevojë të konfigurojnë Firewall-in në mënyrë manuale

24 Windows Firewall with Advanced Security (WFAS) • Control PanelSystem and SecurityWindows FirewallAdvanced Settings ose Start>wf. msc • Dritarja që shfaqet jep një pamje të përgjithshme të konfigurimit të Firewall si dhe linqe për të mësuar dhe konfiguruar WFAS • WFAS konfiguron Firewall-in duke grupuar rregullat në tre profile • Domain profile: • Private profile • Public profile • Për të ndyshuar konfigurimet për profilet klikojmë linkun Windows Firewall Properties • Përdorim tab-et Domain profile, Private profile dhe Public profile për të realizuar konfigurimet (megjithëse konfiugurimet e parazgjedhura mund të jenë të përshtatshme)

25 Windows Firewall with Advanced Security (WFAS)

26 Windows Firewall with Advanced Security (WFAS) • Paneli në të majtë ka katër kategori: • Inbound Rules : Paraqet një listë për rregullave të përcaktuar për lidhjet inbound • Outbound Rules : Paraqet një listë për rregullave të përcaktuar për lidhjet outbound • Connection Security Rules : këtu mund të krijohen dhe menaxhohen rregullat e autentikimit • Monitoring: shfaq konfigurimet e aktivizuara të Firewall-it. Përbëhet nga : • Firewall: shfaq rregullat inbound dhe outbound të aktivizuara të Firewall • Connection security rules: shfaq rregullat e aktivizuara të autentikimit

27 Windows Firewall with Advanced Security (WFAS) • Krjimi i një rregulli: • Për të krijuar një rregull zgjidhni Inbound Rules ose Outbound rules në panelin e majte dhe pastaj klikoni New Rule në panelin Actions • Windows Firewall ofron 4 tipe rregullash • Program: Bllokon ose lejon nje program • Port : Bllokon ose lejon një portë • Predefined : Perdor nje regull Firewall te paracaktuar te perfshire ne Windows • Custom: Specifikon një kombinim programi, porte, dhe adrese IP per te lejuar ose bllokuar

28 Windows Firewall with Advanced Security (WFAS) • Shembull 1: Bllokimi i një programi

29 Windows Firewall with Advanced Security (WFAS) • Përcaktojmë tipin e rregullit të Firewall (program):

30 Windows Firewall with Advanced Security (WFAS) • Vendosim path-in për tek file-i i ekzekutueshëm:

31 Windows Firewall with Advanced Security (WFAS) • Caktojmë veprimin që do ndërmarrë Firewall (lejim apo bllokim):

32 Windows Firewall with Advanced Security (WFAS) • Caktojmë profilet e rrjetit në të cilat do të aplikohet rregulli

33 Windows Firewall with Advanced Security (WFAS) • Vendosim një emër për rregullin dhe klikojmë Finish

34 Windows Firewall with Advanced Security (WFAS) • Pas aktivizimit të rregullit: Internet Explorer nuk akseson internetin

35 Windows Firewall with Advanced Security (WFAS) • Shembull 2: Bllokimi i mesazheve ICMP (ping) • Klikoni New Rule dhe zgjidhni Custom

36 Windows Firewall with Advanced Security (WFAS) • Specifikojmë që ky rregull do të aplikohet për çdo program

37 Windows Firewall with Advanced Security (WFAS) • Specifikojmë portën dhe protokollin (ICMP):

38 Windows Firewall with Advanced Security (WFAS) • Specifikojmë adresat IP për të cilat aplikohet ky rregull

39 Windows Firewall with Advanced Security (WFAS) • Zgjedhim veprimin e regullit (Bllokim i mesazheve ICMP)

40 Windows Firewall with Advanced Security (WFAS) • Caktojmë profilet e rrjetit në të cilat do të aplikohet rregulli

41 Windows Firewall with Advanced Security (WFAS) • Një emër për rregullin dhe klikojmë Finish:

42 Konfigurimi i Windows Firewall me Command Line • Netsh (Network Shell) është një software command line që ju lejon të shfaqni apo të ndryshoni konfigurimin e rretit të një kompjuteri • Për të ekzekutuar bllokimin e Internet Explorer në Command Prompt, në direktorinë System 32 jepni komandën: C: WindowsSystem 32>netsh adv. Firewall add rule name=“Block Explorer” dir=out program=“C: Program Files (x 86)Internet Exploreriexplore. exe“ action=block

43 Konfigurimi i Windows Firewall me Command Line • Për të ekzekutuar lejimin e Internet Explorer në Command Prompt, në direktorinë System 32 jepni komandën C: WindowsSystem 32>netsh advfirewall add rule name=“Block Explorer” dir=out program=“C: Program Files (x 86)Internet Exploreriexplore. exe“ action=alloë

44 SIGURIA E SKEDARËVE DHE KRIPTIMI Bit. Locker

45 Bit. Locker • Bit. Locker është një mënyrë për të kriptuar të dhënat në drive dhe për të kërkuar autentikim për të aksesuar informacionin • Bit. Locker siguron mbrojtje për hard drive, external drive dhe për removable drive në rastet kur ato vidhen apo humbasin • Bitlocker kripton të dhënat në mënyrë të tillë që askush nuk mund të aksesojë të dhënat pa patur fjalëkalimin • Pas kriptimit mund të punoni me të dhënat ashtu si më parë, pa humbje të dukshme të performancës • Për të realizuar kriptimin e fileve/skedarëve duhet të përdorni NTFS (New File System technology) • Konvertimi i file-system në NTFS nga command prompt: convertd: /fs: ntfs

46 Bit. Locker • Bit. Locker është në dy lloje në Windows 7 • Bit. Locker to Go • Kur aktivizoni Bit. Locker në një hard drive apo removable drive, Bit. Locker përdor këto metoda për të zbuluar drivein: • Fjalëkalim: Mund të përdorni një fjalëkalim për të zbuluar drive-in e kriptuar dhe në Group Policy mund të konfigurohet gjatësia minimale e fjalëkalimit • Smart Card: • Bit. Locker to Go është krijuar për të kriptuar të dhënat në mediat portabël

47 Kriptimi i një drive-i • Start| Control PanelSystem and SecurityBit. Locker Drive Encryption

48 Kriptimi i një drive-i • Klikoni Turn On Bit. Locker pranë drive-it të cilin doni të kriptoni dhe vendosni një fjalëkalim

49 Kriptimi i një drive-i • Opsionet për të ruajtur apo për të printuar recovery key (nevojitet kur harroni pasëordin) • Në USB flash drive • Në një file • Mund të printohet

50 Kriptimi i një drive-i • Konfirmoni vendimin duke klikuar Start Encrypting

51 Kriptimi i një drive-i • Pasi proçesi të ketë përfunduar drive-i nuk mund të aksesohet pa patur fjalëkalimin

52 SIGURIMI PERIODIK I TË DHËNAVE KRITIKE Back up/Restore

53 Sigurimi i të dhënave kritike • Duhet të realizoni rregullisht backup të të dhënave në kompjuterin tuaj në mënyrë që të mos humbisni të dhëna të rëndësishme në rastet kur një problem shfaqet në kompjuter • Sistemi Windows ka mjete të posaçme për të realizuar backup dhe rikthim e të dhënave (restore) • backup ka disa avantazhe krahasuar me kopjimin e thjeshtë të të dhënave në një disk të jashtëm: • të dhënat kompresohen gjatë kopjimit kështu që backup zë më pak hapsirë në memorje. • backup mund të ndajë një file të madh në dy apo më shumë disqe, gjë të cilën nuk mund të bëni me komandën Copy. • në kushte emergjente kur disa të dhëna të rëndësishme humbasin apo ndryshohen, backup ofron mjete për rikthimin e të dhënave

54 Proçedura e back up • Start| Control PanelSystem and SecurityBackup and Restore

55 Proçedura e back up • nëse nuk keni realizuar një backup më përpara klikoni Set up backup. Nëse keni realizuar një backup më përpara klikoni Back up now

56 Proçedura e back up • Në dritaren Set up back up zgjedhni vendin ku duam të ruajmë backup. Mediumi në të cilin realizojmë backup është zakonisht një hardisk i jashtëm, hardisk në rrjet, USB, CD apo DVD

57 Proçedura e back up • Zgjedhni të dhënat për backup • Let Windows choose realizon backup të të dhënave të ruajtura në librari, në desktop dhe në folderat “default” të Windows • Let me Choose realizon backup të dosjeve /direktorive që ju zgjidhni

58 Proçedura e back up • Selektoni të dhënat për backup

59 Proçedura e back up • Konfirmoni konfigurimet e backup-it • Klikoni mbi Save settings and run backup • dritarja Backup and Restore tregon progresin e zhvillimit të backup •

60 Proçedura e back up

61 Rikthimi i të dhënave nga backup (Restore) • Në dritaren Backup and Restore klikoni Restore my files

62 Restore • Klikoni Broëse for files ose Broëse for folders në varësi nëse doni të riktheni file apo folder

63 Restore • Zgjidhni nëse doni t’i riktheni të dhënat në vendin e tyre origjinal apo në ndonjë vend tjetër

64 Restore • Klikoni Restore : Të dhënat do të rikthehen në vendin e specfikuar.

65 SIGURIA NE RRJETAT WIRELESS

66 Siguria në WLAN • Pozicionimi i access point për maximumin e sigurisë • Porthuaj të gjitha problemet me sigurinë në WLAN vijnë si pasojë esinjalit që del jashtë ambjentit të punës apo shtëpisë • Nëse mund të minimizoni këtë “rrjedhje sinjali” shtoni sigurinë e WLAN • Poziciononi access point në vendodhje qëndrore dhe larg dritareve • Kriprtimi në rrjetat wireless • Vetëm përforuesit që kanë password mund të transmetojnë dhe të marrin informacion • Dy standarte në sigurinë e rrjetave wireless: • WEP • WPA

67 Wired Equivalent Privacy • WEP (Wired Equivalent Privacy) • nivele të ndryshme të sigurie • Çelësa kriptimi 40 bit • Çelësa kriptimi 104 bit • Që në vitin 2001 u identifikuan pika të dobëta të WEP • Siguria e WEP mund të thyhet brenda pak minutash • Nuk këshillohet përdorimi i WEP

68 Wi-fi Protected Access • WPA (Wi-fi Protected Access) • WPA 2 • WPA-Enterprise • WPA u krijua si një mënyrë për të zëvendësuar WEP me pjisjet harware ekzistuese • Pëdor pjesë më të madhe të specifikimeve të standartit të sigurisë së 802. 11 i • WPA përdor protokollin TKIP (Temporal Key Integrity Protocol) • Probleme u identifikuan edhe në TKIP, në vitin 2004 krijua AES (Advanced Encryption Standart) • është standarti më solid; deri tani nuk është zbuluar ndonjë pikë e dobët e AES

69 Wi-fi Protected Access • WPA përdor pre-shared key • 8 deri në 63 karaktere ASCII • Këshillohet përdorimi i WPA 2 dhe nëse jeni në një mjedis të madh duhet të përdorni WPA-Enterprise • Përdor severa të posaçëm për të menaxhuar autentikimin në rrjet

70 Teknika përmirësimin e sigurisë në rrjetat wireless • Ndryshoni SSID që të mos jetë kaq e dukshme • Ç’aktivizimi i SSID broadcast • Service Set Identifier (SSID) është emri i rrjetit wireless • është një mënyrë për të rritur sigurinë në rrjetin wireless • Windows ruan SSID të një rrjeti nëse është lidhur të paktën një herë në të • Pasi të gjithë kompjuterat janë lidhur të paktën një herë në WLAN nuk keni më nevojë të shpërndani SSID) • Gjithsesi, SSID i fshehur mund të gjendet me një analizë pak më të detajuar me anë të softwareve open source • Ndryshoni emrin e SSID • Psai të keni ndaluar shpërndarjen e SSID duhet të ndryshoni emrin tij nga emri që i vendos fabrikuesi (psh, LINKSYS, NETGEAR…etj)

71 Teknika përmirësimin e sigurisë në rrjetat wireless • Filtrimi i adresave MAC • MAC është adresa hardware e një karte rrjeti • Konfigurimi i një ëhite list • Lista e adresave mac që lejoihen të lidhen në access point • Nuk është një metodë sigurie • MAC adresat nuk kriptohen (Nuk kriptohet header-i i paketave wireless) • Një përdores hacker mund të përgjojë paketat e rrjetit duke kapur edhe adresat MAC të konfiguruara në ëhite-list • Në një stad të dytë mund të përdorë software të posaçëm për të dërguar/marrë paketa me adresë MAC të rremë

72 Teknika përmirësimin e sigurisë në rrjetat wireless • Filtrim me adresa IP • Konfigurimi manual i adresave IP në një diapazon të caktuar • Në një rrjet të pakriptuar mund të detektohen lehetë • Nëse kriptimi thyhet, adresat IP kapen shumë lehtë • Nga sa u tha më sipër: • “Një rrjet i sigurtë wireless realizohet vetëm nëpërmjet kriptimit”

73 KONTROLLI I SHËRBIMEVE Ç’aktivizimi i shërbimeve të panevojshme

74 Kontrollimi i shërbimeve • Windows 7 ka një listë të gjatë të programeve të quajtur shërbime (services) të cilat operojnë “në sfond” dhe realizojnë detyra themelore për llogari të tyre ose në mbështetje të progrmeve të tjera apo të sistemit të operimit • Shërbimet janë routina (në background) që i lejojnë sistemit të realizojnë detyra si logimi në rrjet, menaxhimi i disqeve, mbledhja e të dhënave të performancës…etj • Windows 7 ka më shumë se 150 shërbime të instaluara • Megjithëse shërbimet ekzekutohen në background mund të ju duhet të ndaloni (stop), të ndaloni përkohësisht (pause), dhe startoni (start) një shërbim

75 Kontrollimi i shërbimeve • Kontrollimi i shërbimeve bëhet në dritaren Services e cila aksesohet në tre mënyrat e mëposhtme • Start| services. msc • Control PanelSystem and SecurityAdministrative ToolsServices • Start| right-click në Computer| Manage dhe selektoni services në kategorinë Services and Application • Ditarja Services afishon listën e të gjithë shërbimeve të instaluara dhe për çdo shërbim të isntaluar tregon: • Status: gjendja e shërbimit (Started/Paused ose bosh për një shërbim të ndaluar) • Startup Type: Mënyra e startimit të shërbimit (Automatic/ Manual) • Log On As: Account-i që për dor shërbimi për t’u loguar

76 Kontrollimi i shërbimve

77 Kontrollimi i shërbimeve • Për të ndryshuar statusin e një shërbimi: • Klikoni Start për të startuar një shërbim • Stop për të ndaluar një shërbim • Pause për të ndaluar një shërbim përkohësisht • Resume për të ristartuar një shërbim të ndaluar përkohësisht • Për të ndryshuar mënyrën e startimit të shërbimit pas boot- imit të Windows: • Double-click mbi shërbimin • Në dritaren që shfaqet zgjidhni një nga opsionet • Automatic- shërbimi startohet automatikisht gjatë bootim-it të Windows 7 • Automatic (delayed Start)- si në rastin e parë me ndryshimin që shërbimi startohet pas log-imit • Manual- Shërbimi duhet të startohet manualisht • Disabled- Shërbimi është ç’aktivizuar; nuk mund të startohet

78 Mënyra e startimit të shërbimit

79 Kontrollimi i shërbimeve me anë të Command Prompt • Për ato përdorues që manipulojnë shpesh me shërbimet, përdorimi i driatres Services në Control panel mund të konsumojë më shumë • Në këto raste një metodë më e mirë është përdorimi i metodave command-line në cmd. exe • Komandate që përdoren janë: • NET STOP <emri i shërbimit> ndalon një shërbim • NET START <emri i shërbimit> Starton një shërbim • NET PAUSE <emri i shërbimit> ndalon përkohësisht një shërbim • NET CONTINUE <emri i shërbimit> starton një shërbim të ndaluar përkohësisht

80 Kontrollimi i shërbimeve me anë të Command Prompt • Shembull: net start Telephony net stop “Disk Defragmenter” net pause “World Wide Web Publishing Service” net continue “Windows Time” • Në raste kur emri is shërbimit përmban hapsira, emri vendoset në thonjëza, psh. “Disk Defragmenter”

81 Ç’aktivizimi i shërbimeve për performancë më të mirë • Meqë shërbimet janë software që ekzekutohen në memorje, secli prej tyre merr një pjesë të burimeve të sistemit • Secili shërbim në vehte ndikon shumë pak në performancë, por ngarkimi i shumë shërbimeve të panevojshme e degradon ndjeshëm performancë • Për këtë arsye Windows shumë shërbime nuk i aktivizon automatkisht në startup. Por këto shërbime aktivizohen vetëm kur nevojiten • Mund të përmirësoni performancën e sistemit duke • Ndaluar Windows të startojë automatikisht disa shërbime gjatë boot -imit (startim manual) • Ndaluar Windows-in të startojë shërbime që nuk nevojiten (Disable)

82 Ç’aktivizimi i shërbimeve për performancë më të mirë • Proçedura • Start| services. msc • Double-click në shërbimin që doni të ç’ativizoni • Në dritaren që shfaqet , në tab-in General, në kategorinë Start-up type zgjidhni Disabled • Klikoni OK