Tulostettava sivuversio WindowsXP suojaamisen ohjeesta

Windows XP suojaaminen

Kuinka suojata Windows XP? Miten turvata Windows XP siten, että se ei kovin helposti päädy hakkereiden käsiin? Nämä kysymykset lienevät jokaisen edes hitusen tietoturvasta kiinnostuneen XP:n omistajan mielessä. Pyrin antamaan nyt joitain tietoturvaohjeita, joilla peruskäyttäjäkin voi merkittävästi parantaa Windows XP turvallisuutta, vaikka hänellä ei olisi mitään tietoa Windowsista tai tietoturvasta ennestään. WindowsXP on mahdollista saattaa hyvinkin turvalliseksi käyttöjärjestelmäksi, vaikka se oletuksena onkin kaikkea muuta kuin turvallinen. Windows XP Service Pack 2 on merkittävästi parantunut Windowsin tietoturvaa, mutta sekään ei yksinomaan anna mielestäni edes tyydyttävää suojaa. Käyttäjän pitää valitettavasti itse säätää Windows XP kuntoon, mikäli haluaa tietoturvan kuntoon... Onneksi Windows XP:n turvaaminen ei kuitenkaan ole kovin vaikeaa!

Mikäli olet kiinnostunut Windows Vistan tietoturvaominaisuuksista ja käyttöohjeista, kurkkaappa Jarmo Mäkelän tekemää nettikirjaa asiasta.

Takaisin alkuun

Huomioi ihan alkuun...
Mikäli asennat WindowsXP SP2 koneellesi puhtaasti uutena asennuksena, toimi tämän ohjeen mukaan, kulkien alusta loppuun päin. Kaikki tässä kuvatut toimenpiteet tulee tehdä "Järjestelmänvalvoja" tiliin kirjautuneena tai sen valtuuksin, mikäli muuta ohjetta ei anneta. Windows XP Home Editionissa "Järjestelmänvalvoja" tilille pääsee kirjautumaan vain vikasietotilassa, eli joudut käyttämään jotakin muuta tiliä, jolla on järjestelmänvalvojan oikeudet. Mikäli et pääse kirjautumaan ko. tilille (sitä ei ole valittavissa kirjautumisruudussa), paina Ctrl+Alt+Del pari kertaa napakasti jolloin voit valita kirjautumisen sillekin tilille tai jollekin muulle tilille jolla on järjestelmänvalvojan oikeudet. Mikäli päivität tietokoneeseesi SP2 tai olet aikaisemmin asentanut WindowsXP:n jo koneellesi, mene listaa alaspäin ja hae ensimmäinen kohta jonka voit tehdä ja jatka siitä eteenpäin, hyppien ylitse niiden kohtien joita et pysty tekemään. :) Kiinnitä tällöin erityistä huomiota siihen, että kytkeydyt fyysisesti irti netistä ja laitat Windowsin ICF palomuurin päälle ennen kuin alat touhuamaan mitään muuta koneellasi ja ennen kuin kytkeydyt takaisin nettiin. WindowsXP (ilman SP2:ta) palomuuri laitetaan päällä "Verkkoyhteydet" kohdasta verkkojen ominaisuuksista!

Tämä tietoturvaohje on tarkoitettu ensisijaisesti kotikäyttäjälle. Mikäli tarkoituksesi on asentaa tai säätää Windows XP esimerkiksi yritysverkkoon tms. muuhun "ei-kotikäyttäjä-ympäristöön", suosittelen tutustumaan tämän sivun sijasta NSA:n ohjeisiin. Ohjeet ovat hyvät, mutta edellyttävät tietysti englanninkielen hallintaa ja melko hyvää käyttöjärjestelmätuntemusta. Jos taas olet kiinnostunut palveluiden (services) säätämisestä, Blackviperin sivuilta löytyy erinomaista tietoa asiaan liittyen, mutta valitettavasti englanniksi. Yleistä infoa tietoturvasta löytyy suomeksi esimerkisi tietoturvaopas.fi -sivustosta sekä Microsoftin omilta sivuilta.

Pieni varoituksen sana lienee paikallaan. Jokin voi mennä pieleen, mutta mikäli et ole itse viritellyt tietokonettasi tätä ennen esimerkiksi herra ties millä "turvaohjelmilla" tai käytä jotain omituista nettiliittymää, ongelmia tuskin tulee. Itse olen käyttänyt näitä ohjeita lukuisia kertoja korjatessani tuttavieni jne. koneita, ilman pienintäkään ongelmaa. Palaute on toki tervetullutta esim. foorumiini tai sähköpostiini!

PS. Mikäli haluat helposti tulostettavan version tästä sivusta, jota voit lukea asennuksen aikanakin, ilman nettiyhteyttä, paina tästä.

PPS. Ja muistathan, että kun olet jonkun asetukset laittanut kohdalleen, poistu AINA painamalla "OK" tai "Kyllä", koska muuten tekemäsi asetukset eivät tule voimaan!

Takaisin alkuun

1) Alkuvalmistelut
Ennen kuin teet mitään muuta...siis yhtään mitään muuta. Ennen kuin edes mietit mitä pitäisi tehdä, ennen kuin edes käynnistät tietokonettasi tai alat kaivamaan cd-levyjä kaapeistasi...Aloita tästä. Muuten olet ongelmissa ennen kuin olet päässyt kunnolla edes vauhtiin.

A ) Irroita tietokone fyysisesti netistä heti. Irroita siis nettikaapeli/piuha/modeemin johto tms. Suojaamaton Windows XP saastuu yleensä alle minuutissa vaikka et tekisi sillä yhtään mitään, riittää kun kone on kiinni verkossa.

B) Huolehdi varmuuskopioistasi. Varmista, että sinulla on varmuuskopiot kaikista olennaisista dokumenteistasi, kirjainmerkeistäsi ja tarvittavat ohjelmat saatavilla. Mikäli et ole vielä tehnyt varmuuskopioita kiintolevyllä olevista tiedostoistasi (esim. vanha Windows on asennettuna koneessa yhä), käynnistä kone, mene Windowsiin ja esim. polta kaikki varmuuskopioitava materiaali esimerkiksi cd- tai dvd-levylle.

C) Käynnistä asennus Windows XP asennus cd:ltä. Seuraa ohjeita kunnes pääset kohtaan, jossa on mahdollista osioida kiintolevyjä. Aloita mieluiten tekemällä kaksi eri levyosiota (toinen esim. 20Gt ja toinen loput), joista ensimmäiseen asennat Windowsin ja ohjelmat ja toiseen laitat omat dokumenttisi jne. Näin tehdessäsi turvaat dokumenttisi kiintolevyongelmien varalta ja toisaalta mahdollistat myöhemmin helpommat uudelleenasennukset. Alusta levyt NTFS tiedostojärjestelmään.

2) Älä laita omaa äläkä yrityksesi tai tietokoneesi oikeaa nimeä tietoihin.
Tietosuojan kannalta ei ole hyväksi antaa turhaan ylimääräisiä tietoja itsestään. Käyttöjärjestelmästä nämä tiedot ovat kaikkein helpoiten erilaisten sovellusten ja myös hakkerien saatavilla.

3) Älä laita järjestelmänvalvojalle / administratorille salasanaa vielä.
Tässä on kyse käytännöllisyydestä, koska joudut käynnistämään tietokoneen useaan kertaan uudelleen ja kirjautumaan sisään. Salasana tulee olla, erityisesti järjetelmänvalvojan tilissä, ja sen tulee olla hyvä (yli 14 merkkiä pitkä ja mahdollisimman vaikeasti arvattava), mutta älä laita sitä turhaan vielä.

4) Kun verkkoasetukset tulevat asetettavaksi, valitse "mukautetut asetukset".
Oletusasetuksia ei kannata käyttää tai jättää päälle, koska ne sisältävät turhia "ominaisuuksia" ja tietoturvariskejä, jotka voit jo tässä vaiheessa ottaa pois päältä häiritsemästä sinua ja aiheuttamasta potentiaalisia ongelmia jatkossa. Vaikka tietäisitkin tarkasti mitä olet tekemässä ;) suosittelen, että tässä vaiheessa(kin) noudatat näitä ohjeita ja myöhemmin sitten säädät verkkoasetuksia Windowsista käsin jos tarvetta ilmenee.

A) Poista "Tiedostojen ja tulostimien jakaminen Windows-verkossa" osat, mikäli sinulla ei ole ulkoisella palomuurilla/reitittimellä/NAT:lla suojattua omaa verkkoa jo asennettuna JA haluat jakaa tiedostoja ja tulostimia Windows-verkossa omien tietokoneidesi välillä. Jos olet vähänkin epävarma asiasta, poista ne varmuuden vuoksi! Tiedostojen ja tulostimien jakaminen Windows-verkossa avaa helposti koko tietokoneesi muulle internetille, sekä näissä ominaisuuksissa havaitut tietoturva-aukot ovat olleet merkittäviä uhkia. Älä ota turhaan riskiä, jota et tarvitse, jos voit sen vain välttää.

B) Valitse "Internet protokolla (TCP/IP) ja valitse "ominaisuudet" ja edelleen "lisäasetukset".

C) Mene "WINS" välilehdelle ja poista "Käytä LMHOSTS-hakua", sekä valitse "Poista käytöstä NetBIOS TCP/IP:n päällä". Mikäli päätit käyttää tulostimien ja tiedostojen jakoa Windows-verkossa kohdassa 4B, älä valitse "Poista käytöstä NetBIOS TCP/IP:n päällä". Mikäli olet vähänkin epävarma asiasta, valitse "Poista käytöstä NetBIOS TCP/IP:n päällä! Netbios on "kaiken pahan alku ja juuri" Windows järjestelmissä, mitä tulee tietoturva-aukkoihin.

5) Valitse "Suojaa tietokone ja ota automaattiset päivitykset käyttöön"
Automaattiset päivitykset on syytä ottaa käyttöön, koska ilman ajantasaisia tietoturvapäivityksiä Windowsisi on erittäin haavoittuvainen. Automaattisuus takaa, että sinun ei tarvitse vähän väliä miettiä asiaa ja käydä itse hakemassa päivityksiä myöhemmin, vaan käyttöjärjestelmä huolehtii päivittämisestä automaattisesti. Voit itse vain silloin tällöin käydä kurkkaamassa päivityssivuilla ja varmistaa, että päivitykset ovat todellakin asentuneet automaattisesti kuten on pitänytkin.

6) Valitse "Ohita" kun Windows kysyy "Onko tässä tietokoneessa suora internet-yhteys vai muodostetaanko yhteys verkon kautta".
On turha lähteä tähän Windowsin leikkiin nyt mukaan, koska verkkoasetuksia jne. pitää kuitenkin myöhemmin säätää, vastaat tähän kohtaan sitten mitä tahansa. Lisäksi Windows vaan alkaa ihmettelemään, kun ei pääsekään internettiin jos vastaat myöntävästi (koska verkkopiuhahan on irti seinästä ja sen pitääkin olla irti seinästä vielä).

7) Valitse "Ei nyt" kun Windows kysyy haluatko rekiteröityä Microsoftin onlinepalvelussa.
Parempi minimoida kaikkea tietoa, jota Microsoft saa sinusta ja käyttöjärjestelmästäsi, mikäli vain suinkin mahdollista. Ja edelleenkin, koska verkkopiuha ei ole seinässä niin Windows ei voi tietoja kuitenkaan lähettää ja hyvä niin...

8) Kirjoita ensimmäiseksi yksi tietokoneen ylläpitoon tarkoitettu käyttäjätili (esim. "ylläpito") ja sitten oma käyttäjänimesi ja halutessasi muiden käyttäjien (esim. lapsesi tai puolisosi käyttäjätunnukset) nimet.
Käyttäjätilejä kannattaa luoda jokaista potentiaalista käyttäjää varten. Kun jokaisella on oma tilinsä, he eivät voi sotkea toistensa asetuksia ja muuta vastaavaa. Ylläpitoon tarkoitettu ensimmäinen tili on tärkeä, koska sitä käytät jatkossa kaikkien uusien ohjelmien asentamiseen ja olennaisten asetusten muuttamiseen, koska sillä on "järjestelmänvalvojan" oikeudet. Itse surffaat tietysti myös jatkossa oman käyttäjänimesi tilillä, etkä käytä tätä ylläpitoon tarkoitettua tiliä todellakaan mihinkään muuhun kuin tietokoneen ylläpitotehtäviin...netissä surffailuun ja arkipäiväiseen käyttöön ylläpitotilillä on aivan liikaa "valtaa" jos esimerkiksi virus tai spyware pääsee saastuttamaan koneesi sitä käyttäessäsi! Salasanasuojaus on tärkeä osa eri tilien luomista ja käyttöä, mutta unohda edelleenkin se, vielä vähäksi aikaa. Palataan siihen tuonnempana.

9) Anna tietokoneen käynnistyä. :)

Takaisin alkuun

10) Mene "Käynnistä" – "Ohjauspaneeli" – "Tietoturvakeskus"
Huom! Tietoturvakeskus näkyy vain jos koneessasi on jo SP2 päivitys! Mikäli et löydä Tietoturvakeskusta, mene "Verkkoyhteydet" ja valitse kaikki verkkoyhteytesi ja laita niiden ominaisuuksista/lisäasetuksista Windowsin Internet Connection Firewall päälle ja hyppää sitten kohtaan 11!

A) Mene "Automaattiset päivitykset" ja tarkista, että ne on asetettu "Automaattinen, lataa ja asenna suositeltavat päivitykset tietkoneeseeni automaattisesti" ja "Joka päivä" ja esimerkiksi kello "19:00" tai muuna aikana kun yleensä tietokoneesi on päällä ja netissä. Automaattipäivitykset ovat huoleton tapa pitää yhdestä tietoturvan kannalta olennaisesta asiasta hyvää huolta.

B) Mene "Windows palomuuri".
- Mene "Yleiset" -välilehdelle ja tarkista, että se on asetettu "Käytössä (suositellaan)" ja "Älä salli poikkeuksia" on valittuna. Huom! Mikäli käytät esim. Bittorrent ohjelmia, sinun on syytä sallia ne Windowsin palomuurista, tällöin älä laita ruksia kohtaan "Älä salli poikkeuksia". Palomuuri estää sisäänpäin tulevan liikenteen tietokoneeseesi, eli käytännössä estää matojen leviämisen ja useiden muiden tietoturva-aukkojen hyväksikäytön tietokoneessasi. Lisäksi se "peittää" toiminnallaan mahdollisesti epäturvallisia asetuksiasi jne. Palomuuri on ehdottoman välttämätön kaikissa tietokoneissa!
- Mene "Poikkeukset" -välilehdelle ja laita kruksi kohtaan "Näytä ilmoitus, kun Windowsin palomuuri estää ohjelman", jolloin saat tietoa kun joku ohjelma koettaa pitää portteja auki tietokoneessasi. Ota varmuuden vuoksi kruksit pois kaikista "poikkeuksia" kohdista, mutta mikäli käytät esim. Bittorrent ohjelmaa, joka vaatisi portit auki, anna sille poikkeuslupa täältä.
- Mene sitten "Lisäasetukset" -välilehdelle ja varmista, että kaikkien verkkoyhteyksien kohdalla on kruksi, eli että palomuuri myös on ihan oikeasti toiminassa kaikissa verkkoyhteyksissäsi.

11) Vasta nyt voit kytkeä nettipiuhan takaisin seinään ja fyysisesti kytkeytyä internettiin.
Nyt koneesi on alustavasti suojattu, joten se ei saastu itsestään ja voit ryhtyä niihin toimenpiteisiin, jotka vaativat internetin käyttöä. Jos olet kytkenyt tietokoneesi fyysisesti nettiin ennen tätä vaihetta, on erittäin todennäköistä että se on jo saastunut jostain madosta netin kautta ja joudut luultavasti palaamaan takaisin alkuun ja asentamaan koko systeemin uudelleen.

A) Mikäli et pääse internettiin (älä surffaile turhia, tietokoneesi ei ole vielä suojattu kunnolla!), mene "Käynnistä" ja "Kaikki ohjelmat" ja "Apuohjelmat" ja "Tietoliikenneyhteydet" ja suorita "Ohjattu verkkoyhteyden muodostaminen".

B) Valitse valikoista yhteysmuotoosi sopivat valinnat. Yleensä laajakaistayhteyksissä valitaan "Muodosta Internet-yhteys" ja "Määritä yhteys manuaalisesti" ja "Muodosta laajakaistayhteys, joka on jatkuvasti päällä".

C) Mikäli nettiyhteytesi ei vieläkään toimi, varmista että ADSL-modeemisi toimii ja käy läpi netin asennusohjeet, jotka palveluntarjoajasi on sinulle antanut.

Takaisin alkuun

12) Käynnistä Internet Explorer -selain ja valitse "Työkalut" – "Windows Update".
Nyt on aika mennä hakemaan ne tuhat ja yksi päivitystä, joita Windowsiin on sen hetken jälkeen jo tullut kun cd-levy, jolta sen asensit, on markkinoille toimitettu. Ilman näitä päivityksiä sinulla ei ole mitään asiaa internettiin surffailemaan, koska koneesi saastuu hetkessä haittaohjelmista jotka hyödyntävät tietoturva-aukkoja, joihin siis vielä et ole saanut päivityksiä asennettua.

A) Mikäli saat turvallisuusvaroituksia, hyväksy ne. Ne koskevat Windows Updaten toiminnalle välttämättömiä komponentteja, joita Internet Explorer yrittää asentaa. Windowsupdate -sivulla valitse "Mukautettu asennus", jotta pääset itse kurkistamaan ja valitsemaan mitä kaikkea Windows pyrkii itseensä päivittämään.

B) Mikäli ohjelma löytää sinulle päivityksiä, ne ilmestyvät ruudulle vasempaan reunaan. Valitse kaikki päivitykset (mikäli eivät ole jo valmiiksi valittuina) "Tarkasta ensisijaiset päivitykset" ja "Valitse valinnaiset laitteistopäivitykset" -kohdista. Laitteistopäivitykset ovat sinällään hyödyllisiä, koska ne sisältävät esim. uusia ajureita tietokoneesi komponentteihin jne. Et yleensä pysty valitsemaan heti kaikkia, vaan Windows valittaa että jotkin päivitykset on asennetta erillään muista. Tee näin ja asenna sitten vain ko. päivitykset jne.

C) Klikkaa vasemmassa reunassa olevasta "Valitse valinnaiset päivitykset" kohdasta, jotta sen alla oleva hakemistopuu aukeaa ja näet sen alla "Windows XP family" osankin. Valitse kaikki.

D) Kun olet valinnut siis kaikki muut päivitykset kaikista näistä kohdista, valitse "Siirry päivitysten asennukseen" ja edelleen "asenna".

E) Joskus asennettava on useita eri päivityksiä, eikä niitä kaikkia voida asentaa samanaikaisesti. Tällöin asenne ne mitä voit, käynnistä tietokone uudelleen ja palaa tänne Windows Updateen yhä uudestaan ja uudestaan kunnes olet saanut kaikki päivitykset asennettua. Käyntikertoja voi olla monia, mutta ole sitkeä! :)

F) Palaa silloin tällöin tänne Windows Update sivustoon kirjautuneena tietokoneen ylläpitoon tarkoitettuna tilillä (ks. kohta 8) ja hae ja asenna päivityksiä joita katsot tarpeelliseksi (esimerkiksi ajuripäivityksiä jne.). Jos jaksat käydä muutaman kerran vuodessa, niin se on yleensä riittävää, koska automaattipäivitys huolehtii muusta. Paranoidi käy tietysti joka kuukausi katsomassa uudet päivitykset. :)

Takaisin alkuun

13) Säädä käyttäjien oikeudet turvallisiksi
Windows XP mahdollistaa sen, että useat eri ja erilaiset käyttäjät voivat käyttää tietokonetta toisistaan riippumatta ja toisiaan häiritsemättä. Jos yksi käyttäjistä haluaa tietynlaisen työpöydän ja kuvakkeet ja toinen toisenlaisen, se onnistuu helposti, koska jokaisella on oma tilinsä. Tietoturvan kannalta tämä on myös merkittävä parannus, koska se, tietyllä tapaa säädettynä (kuten seuraavaksi kerron) takaa, että jos yksi käyttäjä hölmöilee, hän ei pysty sekoittamaan tietokonetta muiden käyttäjien osalta, eikä pysty useinkaan sekoittamaan sitä niin pahasti, että tietokone olisi käyttökelvoton. Tämä johtuu siitä, että tietokoneen käyttäjillä ei ole tietokoneen tärkeisiin asetuksiin ja tiedostoihin sellaisia oikeuksia, että he pystyisivät aiheuttamaan merkittäviä vahinkoja. Sellaiset oikeudet on jätetty vain järjestelmänvalvojat -oikeudet omaaville tileille tietokoneen