Проблемы безопасности windows xp

Обновлено: 06.07.2024

Операционная система Microsoft Windows XP вышла на рынок 25-го ноября 2001-го года. Сотрудники компании возлагали на неё большие надежды и, как оказалось, не прогадали. По заявлению самих разработчиков, новоиспеченная на тот момент XP включала в себе опыт, накопленный за многие годы построения операционных систем. Как и ожидалось, перед выходом, пользователям было дано множество обещаний (к примеру, непробиваемую защиту от несанкционированного доступа, невиданную ранее стабильность и "багоустойчивость"), но не все оказалось настолько уж гладко. Но довольно лирических отступлений, сегодня на повестке дня - повышение безопасности операционной системы. Пошаговый формат выбран не с проста - так наиболее просто выполнять инструкции, описанные в статье.

Шаг 1. Отключение автоматического запуска CD

Купили вы диск, доверху набитый полезным программным обеспечением. Принесли домой, вставили в дисковод, автоматически запустился диск, а там - вирус. Чтобы этого не произошло, вам нужно пройти по следующему адресу в реестре - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom, и параметру AutoRun присвоить значение 0. Для редактирования реестра вам нужно запустить программу RegEdit, которая запускается так: Пуск - Выполнить - regedit.

Шаг 2. Автоматическое обновление системы

Дам несколько рекомендаций. Если вы владелец выделенного интернет-канала, и закачивать каждый день в фоновом режиме (а именно так происходит обновление системы через Windows Update) файла приличного размера не составляет большой проблемы, то однозначно ваш выбор - Автоматически.
Другим же пользователям, а в особенности модемным, советую выбрать "Уведомлять, но не загружать и не устанавливать их автоматически", где качать и устанавливать файлы вы будете, предварительно оценив их важность, дабы не захламлять итак слабый интернет-канал.

Шаг 3. Отключение ненужных сервисов

Шаг 4. Установка фаервола

Согласно статистике, большинство злоумышленников, существующих в сети, ломают не определенные системы, а путем сканирования выявляют слабые точки и делают свои "грязные" дела. Чтобы не стать их жертвой, вам обязательно нужно установить брандмауэр. В комплекте с XP идет встроенный фаервол, но он не отвечает тем требованиям, которые предъявляются хорошим программным продуктам.

К сожалению, тема и формат статьи не позволяет нам провести сравнительное тестирование n-го количества программ (что мы обязательно сделаем в будущем), но, основываясь на своем опыте, я могу посоветовать вам остановить свой выбор либо на Outpost Firewall Free от Agnitum Limited, либо на Zone Labs' ZoneAlarm. По своей функциональности - это схожие продукты, поэтому выбор за вами.

Шаг 5. Пароли и все о них

По мнению большинства IT-экспертов, именно халатность пользователей при составлении паролей во многом предопределяет ход событий при взломе. Пароли на пользовательские аккаунты хранятся в файле .sam в директории systemroot\system32\config\. Но доступ к файлу во время работы компьютера не имеет даже пользователь с правами администратора.
Локально получить доступ не составляет никакого труда. Мне видится два варианта. Первый - загрузить на дискету альтернативную ось (Trinux, PicoBSD), способную читать из раздела NTFS, и прочитать файл. Второй - достаточно распространенная связка Win9x + WinXP, где первая система ставится для игр, а вторая для работы. И, естественно, чтобы избежать лишних манипуляций, пользователи охотно ставит WinXP на файловую систему FAT32 для получения доступа к рабочим файлам. Что из этого выйдет - огромная дыра в безопасности.
Пароли в Windows XP шифруется сразу по двум алгоритмам. Первый - LM-Hash, существующий для аутентификации в сетях LanMan, второй - NT-Hash. Алгоритм LM-Hash работает довольно глупо, чем и пользуются программы расшифровки паролей, хранящихся в файле .sam. LM-Hash разделяет полученный пароль на части по 7 символов (например, если пароль из 10 символов, то пароль будет разделен на две части - 7 символов и 3), переводит все символы в верхний регистр, шифрует каждую часть отдельно, и два полученных хэша объединяет в LM-Hash.
Стоит ли говорить о том, что пароль из десяти символом расшифровать сложнее, чем два, состоящих из 7 и 3 символов? Этой огрехой и пользуются программы для взлома. Быстро расшифровав вторую часть, можно составить общее впечатление о пароле, что, согласитесь, плохо. Учитывая вышесказанное, пароль из 7 символом будет надежнее 8,9 или 10. Но бороться с этой проблемой можно. Для этого пройдем по пути Панель Управления - Администрирование - Локальные параметры Безопасности, далее Локальные политики - Параметры безопасности, и ищем в появившемся списке опцию "Сетевая безопасность: уровень проверки подлинности LAN Manager".
В выпадающем списке выбираем "Отправлять только NTLM ответ" и нажимаем на ok. Одной проблемой стало меньше.

Шаг 6. Теория составления паролей

Для начала ответьте на вопрос: вы когда-нибудь задумывались о том, насколько легко можно угадать ваш пароль? Если да, то хорошо. А если нет, то плохо. Своей халатностью вы только упростите работу взломщика, поставивший цель уложить на лопатки вашу систему. В сети Интернет существует огромное количество программ, подбирающих пароль методом bruteforce (или же "в лоб"). Подбор может вестись как по словарю, так и по определенным правилам, установленным взломщиком. Во-первых, никогда не используйте в качестве паролей ФИО, дату рождения, кличку любимой собаки и т.д.
Этой информацией очень легко завладеть, следуя обычной логике. Если человек без ума от собак, то почему бы ему не назначить паролем для доступа к e-mail имя своего любимого пса? Злоумышленник же, узнав это, легко представится в ICQ таким же собаководом, и начнет тщательный опрос. А вы, того не подозревая, в чистую выложите всю информацию о себе и своем питомце.

Пароль нужно придумать. И для этого есть свой алгоритм, которым я спешу поделиться с вами. Возьмите бумажку и напишите любое слово. Затем добавьте две цифры между букв. Приобщите к делу знак пунктуации, вставив его в самое неожиданное место. Из легко угадываемого пароля password мы получили pass2w!ord. Крепкий орешек, согласны? То-то.

Шаг 7. Аккаунт "Администратор"

По настоянию компании Microsoft, сменим логин администратора на что-нибудь более звучное и одновременно менее бросающее в глаза. Поэтому пройдем по Панель Управления - Администрирование - Локальная политика безопасности. В выпавшем списке выберем опцию "Локальная политика", далее Параметры безопасности, и после ищем в открывшемся списке "Учетные записи: Переименование учетной записи администратора". Придумываем логин, и соответственно, вписываем в открывшемся окне. И еще - никогда не используйте аккаунт Администратора при каждодневных делах. Для этого создайте другой пользовательский аккаунт, и именно с него путешествуйте в сети, работайте и развлекайтесь.

Шаг 8. Опасная заставка

Безобидный на первый взгляд файл заставки несет в себе большую опасность, так как внутри файла может быть все что угодно. Для исправления бага нужно пройти по следующему ключу в реестре - HKEY_USERS\.DEFAULT\Control Panel\Desktop и найдя параметр ScreenSaveActive, присвоить значение 0.

Шаг 9. Реестр, друг наш!

Реестр очень полезная вещь. Полазив, можно настроить систему так, что работа будет только в удовольствие. Чтобы не занимать много места, разбивая по шагам, я решил представить вашему вниманию подборку ключей в системном реестре, пройти мимо которых невозможно.
Очистка файла PageFile - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Session Manager\ Memory Management - присвоив значение 1 параметру ClearPageFileAtShutdown, тем самым вы активируете возможность удалять при завершении работы все данные, которые могли сохраниться в системном файле. Автоматические удаление трэшевых файлов после работы в сети Интернет - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Cache - присвоив 0 значению Persistent, вы больше не будете вынуждены собственноручно стирать остатки путешествий по сети Интернет. Internet Explorer будет делать это за вас. Удобно.
Установка минимального количества символов в паролях - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ Network - чтобы отбить у вас охоту каждый раз вписывать пароль меньше 6-ти символов, присвойте значение hex:6 параметру MinPwdLen. Отныне все пароли в вашей системе будут больше 6 символов.
Требовать пароли только из букв и цифр - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Network - предыдущий ключ отбил охоту придумывать пароль меньше 6-ти символов. Данная опция заставить вас комбинировать при составлении пароля как буквы, так и цифры. Активировать опцию можно присвоив значение 1 параметру AlphanumPwds.

Шаг 10. Проводник

И последнее, что мы сегодня исправим, будет касаться программы Проводник. Мало кто знает, что в реестре можно указать путь, где физически располагается Проводник, чтобы избежать несанкционированной замены. Для этого пройдем по _LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и укажем полный путь до Проводника.

Шаг 11. Shared-ресурсы

Shared-ресурсы, в народе называемые просто "шары", всегда были и будут одной из главных головных болей пользователей Windows XP. Изначально задуманный как неоценимая помощь для пользователей, находящихся в локальных сетях, проект содержал множество багов, которыми непременно и пользовались злоумышленники при захвате удаленной машины.
Но, не удержавшись, дам совет пользователям локальных сетей. Если при работе вам столь необходимо часто обмениваться файлами, для этого есть более безопасные методы.
Как пример - создание ftp-сервера. Скажу по секрету, что такого рода материал планируется для написания, так что ждите анонсов и чаще заходите на http://www.3dnews.ru/! Но вернемся к делу. Наша задача - отключить расшаренные ресурсы, к чему и приступим. Заглянем в свойства диска C, затем на вкладку "Sharing".

Взглянув на скриншот, мы видим, что у нас имеется расшаренный диск. И его немедленно нужно отключить. Это нужно сделать, отметив опцию "Do not share This Folder". Так нужно сделать со всеми логическими дисками, имеющими место у вас в системе.
Еще одна особенность Windows XP - появление папки Shared Documents (Общие документы). Перемещаем в папку любой файл, и вуаля - он доступен по сети. Чтобы прекратить данное безобразие, в который раз воспользуемся услугами редактора системного реестра. Пройдем сюда - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ MyComputer\ NameSpace\ DelegateFolders\ , удалим в пух и прах этот раздел реестра, после чего папка станет недоступна.

Все бы хорошо, но расслабляться еще рано. В системе присутствует протокол под названием NetBIOS, который также следует удалить от греха подальше. Суть протокола заключается в том, что он предоставляет удаленный доступ к файлам и папкам и может раскрыть нежелательную информацию о компьютере. Сомнений не осталось? Тогда в свойствах используемого соединения, во вкладке "свойства протокола TCP/IP" -> "дополнительно" выбираем пункт "отключить NetBIOS через TCP/IP". Там же убираем галочку напротив сервиса "Доступ к файлам и принтерам сети Microsoft".

Шаг 12. Автозагрузка

Часто пользователи персональных компьютеров не интересуются тем, какие программные продукты стартуют при загрузке системы. Этим фактом и пользуются злоумышленники, подсаживая трояны и прочую нечисть в автозагрузку.

Поэтому хотя бы раз в неделю запускайте программу msconfig (Пуск-Выполнить), чтобы проверить, какие утилиты загружаются при старте. Помимо автозагрузки, вирусописатели любят засовывать старт своих детищ в следующие ветки реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows\Run.
Выходов, как обычно, имеется множество. К примеру, можно проводить аудит данных ветвей на предмет новых записей самостоятельно. А можно для этого использовать программный продукт, такой как RegMon.

Шаг 13. Удаление неиспользуемых аккаунтов

А зачем вам нужны пользователи, учетными записями которых вы никогда и не воспользуетесь? Компания Microsoft, помимо стандартных записей, успела запихать "секретные" учетные записи по типу SUPPORT_586975a0, которая, кстати, предназначена для получения удаленной помощи от службы технической поддержки. Вы себе это представляете? Я - нет. И именно по этому берите в руки пилу, двигайтесь по направлению к Панель Управления - Администрирование - Управление компьютером - Локальные пользователи и группы - Пользователи и начинайте пилить всех, кто попадется под горячую руку.

Шаг 14. Популярная брешь в IE

Вообще, следуя советам различных IT-экспертов, использовать Internet Explorer в качестве основного браузера для путешествий по сети нецелесообразно. Виной тому огромное количество уязвимостей, каждодневно находимых в коде. К примеру, разберем одну достаточно серьезную уязвимость, позволяющую запускать любые приложения, имеющиеся на жестком диске. Для этого наберем в блокноте следующий html-код:

Сохранив код как exploit.html, запустите его в браузере.

Если у вас произошло такое же событие, как и показано на скриншоте, то используемый IE уязвим. Проявив чуточку фантазии, вы, несомненно, сможете придумать, как злоумышленник может использовать данную дырку в системе безопасности. И поверьте мне, таких дыр будет еще много. Но, а пока пройдите по данному пути - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\0 и присвойте значение dword:00000001 параметру "104".

Помните, что у нас вы можете не только купить готовый сайт или заказать его разработку, но и подобрать подходящий тариф поддержки сайта, заказать продвижение сайта в поисковых системах, а так же зарегистрировать домен в одной из двухсот доменных зон и выбрать недорогой тариф хостинга! Айтишник РУ

В этой статье мы предлагаем вам рассмотреть вопросы, касающиеся безопасности Windows XP. На сегодняшний день многие пользователи остаются крайне безграмотными в сфере обеспечения безопасности личной информации и данных. Многие жалуются на сбои в программном обеспечении и совершенно не задумываются над тем, что все это связано со шпионскими и рекламными модулями или с компьютерными вирусами. Именно поэтому мы решили просто и подробно рассказать о том, как обеспечить безопасность Windows XP. Эта статья посвящается начинающим пользователям.

Ну начнем мы пожалуй с того, что рассмотрим основные источники потенциальной угрозы для вашего ПК.

- Вирусы представляют собой компьютерную программу, находящуюся без ведома пользователя на компьютере и выполняющую какие-либо деструктивные действия. Действия вирусов могут привести к безвозвратной потере данных на вашем винчестере (фильмы, игры, музыка и т.п.).

- Adware представляет собой программу, которая не несет явных деструктивных действий. Вред такой программы состоит в следующем: снижение скорости подключения к сети Интернет, переадресация на другие web сайты, показ баннеров и всплывающих окон, нанесение значительного финансового вреда путем изменений номеров телефонов провайдеров.

- Spyware. Эта программа также находится на компьютерах пользователей без их ведома. Деструктивных действий она не выполняет, но наносит немалый вред. Такая программа выполняет против вас шпионские действия (крадет вашу личную информацию и пароли). Представьте себе следующую ситуацию: Spyware перехватывает и использует во вредительских целях ваши пароли к почтовым ящикам. Ваши друзья и коллеги могут получить от вас гневные или оскорбительные письма, которых вы не отправляли. Согласитесь, что подобная ситуация может привести к плачевным результатам. Еще один пример: допустим, что у вас есть шестизначный номер ICQ (элитный) и вы вдруг не можете при помощи своего пароля получить к нему доступ, а после этого в on-line магазине видите, что ваш номер выставлен на продажу (кстати за большие деньги). Это тоже результат работы Spyware.

- Удаленные атаки представляют собой сканирование вашей системы на наличие открытых портов с дальнейшим получением полного контроля над вашим ПК. Такие атаки могут повлечь за собой крупные финансовые потери (неработоспособность вашей операционной системы, оплата вами трафика за рассылку спама и т. п.).

Все вышеописанное — малая часть того, что может произойти с компьютером, который не защищен. Существуют и менее безобидные компьютерные «заразы». Последствиями их воздействия могут быть: беспричинная перезагрузка компьютера, медленное реагирование компьютера на команды пользователя, некорректная работа различного периферийного оборудования, медленное выключение и включение компьютера, невозможность удаления или установки программного обеспечения, пониженная скорость соединения с сетью Интернет, очень частое прерывание соединения и т.д..

Теперь мы рассмотрим вопросы, посвященные настройке операционной системы Windows XP.

Не секрет, что в Windows XP многие настройки устанавливаются «по умолчанию». Относительно безопасности это не самое наилучшее решение. Предлагаем прямо сейчас заняться этими настройками. Обратите внимание, что устанавливать операционную систему необходимо на отформатированный жесткий диск. Перед началом установки следует убедиться в том, что дистрибутив ОС с интегрированным Service Pack 2. Наличие SP2 обязательно, так как благодаря ему исправляется очень многие уязвимости операционной системы. После того, как операционная система будет установлена на ваш компьютер, можно приступить к ее настройке. Распишем этот процесс поэтапно.

1. Первым делом необходимо отключить «Удаленного помощника». Этой функцией вряд ли вы будете пользоваться, а она тем не менее может быть использована для получения несанкционированного доступа к вашему ПК. Для выполнения данной операции следует поснимать все галочки в закладке «Удаленные сеансы» (Пуск/Панель управления/Система).

2. Для сохранения анонимности и предотвращения отправления отчетов в Microsoft нужно поставить галочку везде «Отключить отчет об ошибках» (Пуск/Панель управления/Система/свойства системы/Дополнительно)

3. Во вкладке «Безопасность» (Панель управления/Свойства обозревателя) необходимо в каждой из зон установить все настройки «по умолчанию».

4. Для сохранения анонимности следует установить «Умеренно высокий» уровень конфиденциальности (Панель управления/Свойства обозревателя/Конфиденциальность).

5. Рекомендуем вам не доверять операционной системе хранение в не зашифрованном виде личных данных пользователя. Для предотвращения кражи паролей троянами следует снять все флажки в разделе Панель управления/Свойства обозревателя/Содержание/Автозаполнение.

6. Для предотвращения возможности получения доступа из сети Интернет или локальной сети к вашему компьютеру нужно во вкладке «Назначение прав пользователей» (Панель управления/Администрирование/Локальная политика безопасности) в свойствах строки «Отказ в доступе к компьютеру из сети» выбрать пункт «Добавить пользователя или группу» и прописать без кавычек «Администратор». После следует нажать «Проверить имена» и следом кнопку «ОК». Аналогично добавляем пользователя с именем «Гость» в случае отсутствия локальной сети.

7. Необходимо удалить все лишние записи пользователей, кроме своей учетной записи и записей «Гость», «Администратор» (Панель управления/Администрирование/Управление компьютером/Локальные пользователи и группы/Пользователи). В контекстном меню записи «Администратор» следует установить пароль.

9. На вкладке «Исключения» (Панель управления/Брандмауэр Windows) требуется снять флажок со строки «Удаленный помощник». Если у вас отсутствует локальная сеть , то обязательно снимите флажок с «Общий доступ к файлам и принтерам», а если у вас есть эта сеть, то наоборот следует отметить флажком эту строку.

10. Отключите учетную запись с названием «Гость» (Панель управления/Учетные записи пользователей) если у вас не подключена локальная сеть. Это предотвратит возможность получения из сети Интернет или локальной сети частичного доступа к вашему компьютеру.

Пришло время поговорить про различные антивирусные программы. Для того, чтобы предотвратить заражение вашего компьютера вирусами, необходимо обязательно использовать антивирусные программы (антивирусы). Принцип действия антивирусных программ до крайности прост: при запуске любых файлов, антивирусы перехватывая ваши действия, перед открытием этих файлов тщательно проверяют их на предмет зараженности вирусами. Если файлы «чистые», то они открываются, а если они заражены, то антивирус удалит или проведет «лечение» этих файлов. Как же антивирусные программы распознают зараженные файлы? У каждого антивируса имеется своя база данных по вирусам. Когда вы обновляете через Интернет ваш антивирус, происходит обновление его базы, после чего антивирусная программа может обнаруживать и обезвреживать новые вирусы. Исходя из этого становится очевидным факт того, что необходимо обновлять антивирусы не реже одного раза в месяц, а лучше еженедельно. Самыми популярными и надежными антивирусными программами на сегодняшний день являются Kaspersky Antivirus, DrWeb, Norton Antivirus и Avast. Каждая из этих программ имеет свои недостатки и достоинства.

Давно известный факт, что каждый компьютер, подключенный к сети имеет свои порты, позволяющие программам «общаться» между собой через сеть. Благодаря этому вы скачиваете файлы, общаетесь в чатах и ICQ, играете в on-line игры и т.п. Но если посторонние люди смогут подобрать коды доступа к этим портам, то это несомненно повлечет за собой множество проблем (повышение риска заражения вирусами, кражи паролей, рассылки с вашего Email спама и т. п.). Предотвратить подобное можно установив на ваш компьютер программу, под названием файервол или брандмауэр. Принцип работы такой программы заключается в следующем: все программы, желающие получить доступ в сеть отслеживаются файерволом, а когда они пытаются подключиться, файервол обычно задает пользователю вопрос о том, следует ли эту программу пускать в Интернет или запретить ей доступ. Файервол также осуществляет контроль за портами на компьютере. Любые подозрительные подключения извне блокируются. Самые известные файерволы — это Kaspersky AntiHaker, Outpost, ZoneAlram и Norton Firewall.

Отметим, что ни одна программа не защитит компьютер от глупого поведения пользователя. Рассмотрим несколько примеров:

1. Вы решили скопировать данные с чужого жесткого диска на свой и для того, чтобы ускорить процесс скачивания вы отключаете антивирусную программу. Последствия предугадать не стоит труда.

2. Вы на всей форумах и сайтах оставляете свой электронный адрес, а программы-роботы при сканировании интернет-просторов его находят. Готовьтесь к тому, что с вашего почтового ящика очень скоро злоумышленники начнут рассылать различный спам.

Продолжать этот список можно до бесконечности. Вывод прост: следите за вашими действиями в сети Интернет.

Подведем итог. Чтобы обеспечить безопасность вашего ПК нужно предпринять следующее:

- не посещайте сомнительные сайты;

- регулярно обновляйте антишпионы и антивирусы;

- правильно настраивайте браузер и операционную систему;

- устанавливайте все доступные обновления безопасности;

- устанавливайте ОС с Service Pack 3;

- устанавливайте последние версии файервола, антишпионских и антивирусных программ;

- не размещайте ваш электронный адрес на разных сайтах.

Соблюдая эти несложные правила вы сможете практически свести на нет риск заражения компьютера различными вредоносными программами.

Если вы технический специалист, не хотите читать ничего лишнего, а просто желаете получить готовое решение, переходите сразу к этому разделу.

Дисклеймер:

Статья сугубо техническая, несмотря на вольный и слегка художественный стиль повествования в самом начале. В ней приводятся несколько проверенных решений реально существующей проблемы, появившейся незадолго до написания статьи и затронувшей миллионы устройств по всему миру.

Эпиграф:

Инженер не должен все знать. Он должен знать, где найти решение.

Итак, свершилось! В очередной раз где-то на неизвестной горе засвистел герой народных присказок, известный как Рак, в то время как другой герой этих же присказок, даже пребывая в жаренном состоянии, начал клевать ягодицы расслабленных пользователей интернета под обеспокоенным взором крестящихся мужиков, напуганных очередным раскатом грома.

Конец света (по мнению многих обывателей) начался буднично. В красивый и приятный осенний день 1 октября 2021 года, который пришелся на всегда ожидаемую из-за предстоящих выходных и слегка сумбурную из-за начала нового месяца пятницу, многочисленные пользователи довольно-таки старых, но все еще бережно хранимых и даже, пусть со скрипом, но вполне себе работающих устройств, вдруг не смогли зайти на свои любимые сайты.

На самом деле причина таких ошибок проста и очевидна: вы используете устаревшую технику и такие же устаревшие технологии. Неважно, почему — у каждого есть свои причины и никто здесь не собирается их оспаривать. Важно, что из-за этого становится недоступной значительная часть информации и невозможной определенная деятельность в сети интернет. Давайте для начала установим причину такого положения дел.

Почему перестали открываться сайты на старых компьютерах и смартфонах?

Начиная с 30 сентября 2021 года миллионы пользователей по всему земному шару больше не могут пользоваться многими интернет-сайтами. В этот день истек срок действия корневого сертификата IdenTrust DST Root CA X3, и это ломает работу интернета на миллионах устройств по всему миру, которые давно не получали обновления своего программного обеспечения. Наиболее часто ошибка отображается как NET::ERR_CERT_DATE_INVALID .

Сертификат IdenTrust DST Root CA X3 используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows. Одних только устройств со старыми и не обновляемыми версиями Android (в основном, это смартфоны и планшеты) сегодня насчитывается более 213 млн. Подробно об этом писали многие издания, например, C-News.

Что делать, если сайт не открывается на старом компьютере или телефоне?

Решить проблему можно или установкой свежего программного обеспечения (ПО), или покупкой современного устройства. Установить свежее ПО на старую технику не всегда возможно, но зато современные устройства под управлением актуальных операционных систем Windows, iOS, Linux, Android не подвержены описываемой проблеме, так как централизованно обновляются и всегда работают с актуальным списком сертификатов безопасности. Так что обновление техники и программного обеспечения — это наилучший способ даже не знать о существовании такой беды, как невозможность открыть некоторый сайт в браузере из-за проблем с сертификатом безопасности. К тому же, обновление всегда дает значительные преимущества в плане скорости и комфорта работы. Но, к сожалению, обновление техники по совершенно разным причинам доступно далеко не каждому.

Конечно, надо понимать, что переход на новую технику и на новые версии ПО — это неизбежность. Ничто не стоит на месте, все в мире развивается, и рано или поздно мы будем использовать все более новые поколения устройств и новые версии программного обеспечения. При этом старое ПО и старая аппаратура с определенного момента перестают быть интересными производителям, и их поддержка прекращается. Как только это случается, все сторонние производители техники и разработчики программ также перестают задумываться о совместимости своих продуктов со старыми моделями и версиями. Более того, многие из них намеренно отключают возможность использования устаревшей техники со своими новыми продуктами, как в целях улучшения безопасности пользователей, так и в своих сугубо коммерческих целях.

К примеру, компания Microsoft прекратила поддержку Windows XP еще в 2005 году (в 2009 году для 64-битной версии, в 2014 — расширенную поддержку, в 2019 — поддержку версии для банкоматов). Поддержка все еще популярной Windows 7 прекращена в 2015 году, расширенная поддержка — в 2020 году.

Это значит, что все эти версии операционной системы уже давно не получают обновления сертификатов. Как следствие всего перечисленного, разработчики ПО отказываются от поддержки старых платформ в целях обеспечения должного уровня защищенности пользователя. Например, практически все банки уже давно не позволяют своим клиентам получать доступ к собственным денежным средствам с устаревших устройств. При этом Windows 7, и даже Windows XP все еще довольно широко распространены на компьютерах как в частном, так и в корпоративном секторе.

Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?

К счастью, есть несколько вариантов, как можно продлить жизнь старым устройствам и заставить их работать в современных реалиях. Сразу скажу, что все эти решения временные и ненадежные. Самым правильным и надежным решением остается обновление техники и используемого ПО.

Как временное решение проблемы с невозможностью открыть сайт из-за проблем с сертификатами можно попробовать обновить списки актуальных и отозванных сертификатов безопасности. На старых устройствах придется делать это вручную. На данный момент существует несколько вариантов обновления сертификатов, все эти варианты мне удалось найти в сети интернет. Конечно, на практике все их опробовать не удалось, но упомянуть даже не опробованные варианты все же стоит.

Ручное обновление корневых сертификатов

SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.

Android 7.1.1 и старше;
Mozilla Firefox до 50.0;
MacOS 10.12.0 и старше;
Windows XP (включая Service Pack 3);
iOS-устройств до версии iOS 10;
OpenSSL 1.0.2 и ниже;
Ubuntu до версии 16.04;
Debian 8 и старше.

Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.

Установка корневого сертификата в ОС Windows, iOS, Linux, Android

Итак, вариант первый. Сразу скажу, что этот вариант я пробовал только на виртуальной машине с Windows XP, и он сработал только частично. Описание варианта взято здесь.

Чтобы установить новый корневой сертификат, надо скачать на устройство файл сертификата и импортировать его в список доверенных. В ОС Windows достаточно дважды щелкнуть на файле сертификата, чтобы просмотреть сведения о нем и получить возможность установить сертификат нажатием на соответствую кнопку.

Более сложный способ установки корневого сертификата для Windows XP описан здесь, хотя и не понятно, зачем такие сложности.

В iOS до 10 версии надо перейти в «Настройки» -> «Основные» -> «Профили и управление устройством», выбрать сертификат ISRG Root X1 и нажать «Установить». Затем в разделе «Настройки» -> «Основные» -> «Доверие сертификатов» включить «Доверять корневым сертификатам полностью».

В Linux необходимо сначала удалить старый корневой сертификат DST Root CA X3 из списка доверенных, для чего надо переместить его в директорию /etc/pki/ca-trust/source/blacklist , а затем установить доверие к корневому сертификату ISRG Root X1, для чего перенести его в директорию /etc/pki/ca-trust/source/anchors directory . После этих манипуляций надо обновить списки сертификатов командой update-ca-trust . Это один из способов. Подробности здесь.

Что касается ОС Android до 7.1.1, то Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.

Дополнение: способ обновления сертификатов на телевизорах LG поду управлением WebOS описан в отдельной статье.

Обновление всех сертификатов безопасности на старых версиях Windows

Закончившийся сертификат Let’s Encrypt — далеко не единственный из тех, которые контролируют доступ пользователей к сайтам. Списки актуальных и отозванных сертификатов постоянно изменяются, и современные операционные системы получают эти списки вместе с собственными автоматическими обновлениями. Поэтому лучшим решением (если не считать обновления устройства) будет приведение всего списка сертификатов на устройстве в соответствие с реальным положением вещей.

В случае с Windows это можно сделать несколькими способами. Первый из них заключается в создании списка актуальных сертификатов на любом компьютере, где установлена современная обновляемая система Windows, и последующем импортировании этих сертификатов на компьютер со старой системой.

Сделать это не очень сложно, если почитать описание данного метода на любом подходящем сайте. Например, здесь есть короткое описание, а здесь — более детальное. Это второй вариант устранения ситуации, когда не работает интернет на старом компьютере. Но на самом деле есть еще более удобный и простой способ.

Быстрый и простой способ обновления сертификатов Windows

Третий вариант исправления проблемы с неработающим интернетом самый простой, если воспользоваться готовым инструментом с этого сайта. Данный способ заключается в использовании списков актуальных и отозванных сертификатов с официального сайта Microsoft и последующей установке этих списков в систему при помощи инструментов, также разработанных Microsoft. Правда, эти инструменты уже официально признаны устаревшими и не поддерживаемыми, но по-прежнему успешно справляются с задачей обновления сертификатов.

Описание метода взято с этого ресурса, за что выражаю автору огромную благодарность.

Итак, чтобы обновить сертификаты безопасности на старом устройстве с Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 и др., надо скачать и запустить последовательно на выполнение два файла:

— самораспаковывающийся архив со списком устаревших небезопасных сертификатов, автоматически удаляет эти сертификаты из списка доверенных при запуске файла; — самораспаковывающийся архив со списком актуальных сертификатов, автоматически добавляет эти сертификаты в соответствующие хранилища сертификатов при запуске файла.

Списки сертификатов получены с официального сайта Microsoft 1.10.2021 г. (при желании можно распаковать архив без установки и посмотреть содержимое). Для корректного обновления списка сертификатов необходимо запускать файлы от имени пользователя, обладающего правами администратора системы.

Обновление сертификатов проверено на нескольких компьютерах под управлением операционных систем Windos XP SP 3 и Windows 7.

Как еще можно открывать сайты на старых компьютерах и смартфонах?

Поскольку проблема новая и затрагивает очень большое количество устройств, я буду рад, если описываемые здесь методы решения помогут вам в исправлении проблемы, еще более буду рад распространению ссылок на данный материал. И конечно, можно выразить благодарность даже в материальной форме. Спасибо!

Комментарии к записи “ Перестали открываться сайты на старом компьютере с Windows XP, что делать? ” (4)

Огромное спасибо. Ваши рекомендации помогли. Сайты в Яндексе снова открываются.

Без проблем устанавливается описанными в статье методами.

спасибо красавчик. Реально рабочий метод + простой

Установить браузер FireFox, скачать и установить сертификат, затем FireFox можно удалить.

Сначало отключим нежелательные службы:
Нажмём на клавиатуре (WIN+R) и введём " msconfig " перейдём на закладку Службы. Здесь мы будем отключать ненужные сервисы и службы:
(Отключайте службы только в том случае если вы не пользуетесь их функциями)

Сервер папки обмена — дает возможность удаленным пользователям просматривать вашу папку обмена. Отключаем.

Сервер — обычно компьютер, предоставляющий общие ресурсы пользователям сети. Отключено.

Модуль поддержки NetBIOS через TCP/IP — обеспечивает работу SMB-протокола. Отключаем.

Защищенное хранилище — служба, сохраняющая локальные и интернет-пароли. ОТКЛЮЧАЕМ.

Диспетчер автоподключений удаленного доступа — представьте себе такую ситуацию: вы открываете свежесохраненную страницу, а на ней присутствует баннер, который ссылается на другую страницу, и ваш explorer рьяно хочет подключиться к нету. Представили? Вам оно надо? Отключаем.

Диспетчер сеанса справки для удаленного рабочего стола — а если возьмут, да и помогут . Отключаем.

Удаленный реестр — позволяет удаленно управлять вашим реестром. Отключаем.

Вторичный вход в систему — позволяет запускать специфические процессы с правами другой учетной записи. Отключаем.

Служба терминалов — дает возможность работать на вашем компьютере удаленному пользователю при помощи утилиты Remote Desktop. Отключено.

Telnet — Сервер удаленного управления через командную строку. Отключаем.

Теперь начнём редактировать реестр. Нажмём на клавиатуре (WIN+R) и введём " regedit "

2 В прошлых версиях Windows 9x сохранение паролей было большой проблемой. Теперь это не так, Windows 2000 и XP защищают эту информацию значительно лучше. Но, опять же, вам решать, позволить операционной системе хранить пароли на диске или нет. Это касается паролей пользователей и сетевых паролей.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network] "DisablePwdCaching"='1'

3 Запрашивать пароль при возвращении к работе из режима ожидания
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Power] "PromptPasswordOnResume"='1'

4 Отмена сохранения паролей в Internet Explorer
Если вы доверяете компании Микрософт в хранении паролей и другой конфиденциальной информации, то можете разрешить Windows хранить пароль доступа в Интернет на диске своего компьютера, но это не очень хорошая идея.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "DisablePasswordCaching"='1'

5 Запрет доступа для анонимных пользователей
Анонимный пользователь может получить доступ к списку пользователей и открытых ресурсов, чтобы это запретить, можно воспользоваться этим ключом.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] "RestrictAnonymous"='1'

6 Данными действиями мы запретим просмотр пользователям с правами Гостя журналов системы

Остальные настройки:

1 Отключение «Удаленной помощи» (Remote Assistance and Desktop Sharing).
Для этого жмём Win (слева от левого ALt) + Break или Мой компьютер -> Свойства -> Удалённые сеансы и на одноимённой вкладке снимаем галочки.

2 Если вы не используете Windows Messenger (большинство людей даже не задумывается об его использовании ), то почему бы ни удалить его вовсе? Каждый раз при загрузке системы Messenger тоже стартует, замедляет при этом процесс загрузки, пожирает системные ресурсы и открывает соответствующий порт (при наличие эксплойта к нему можно взломать Windows). А для того, чтобы его удалить, надо всего лишь один раз в командной строке (Пуск -> Выполнить) напечатать следующее: «RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove» и нажать «OK». После этой операции вам будет предложено перезагрузиться. После перезагрузки Messenger у себя на компьютере вы больше не найдете.

3 Зайди в папку "Администрирование -> Управление компьютером -> Локальные пользователи и группы -> Пользователи" в этом каталоге удаляем все учётные записи кроме Администратора, Гостя, и Твоей. После этого блокируем и запароливаем учётную запись Гостя, и лучше поменять именами Администратора и Гостя.

4 Зайди в папку Администрирование и открывай иконку с одноименным названием, далее найди там раздел Локальные политик->Политика аудита. Настраивай следующие параметры: Аудит входа в систему (Успех, Отказ) и Аудит изменения политики (Успех, Отказ). Настройка аудит позволит тебе вычислить попытки входа в систему по учетной записи Администратор (она же Гость), что в дальнейшем тебе позволит заранее узнать о наглых посягательств на твою ОСь.

5 Дальше опять зайди в папку "Администрирование -> Локальная политика безопасности" будем назначать права пользователей. Смело открывай там же "Назначение прав пользователя" и установи следующие параметры: "Восстановление файлов и каталогов" и "Архивирование файлов и каталогов" (там должна присутствовать, только группа Администраторы.), "Доступ к компьютеру из сети" (удаляй всех на фиг, у тебя же машина не сервер какой нибудь =)), "Отказ в доступе к компьютеру из сети" (смело добавляй группу Администраторы и Гостей, это тебе позволит избежать потом многих проблем, да же если у тебя все-таки взломают учтенную запись с правами Администратора, никто не сможет получить доступ к твоему компьютеру удалено.

6 "Администрирование -> Локальная политика безопасности -> Параметры безопасности" и настраивай следующие параметры:
"Автоматически отключать сеансы пользователей по истечении разрешенного времени" (ставь Включить),
"Длительность простоя перед отключением сеанса" (скажем так я у себя на компьютере ставлю 10 минут),
"Дополнительные ограничения для анонимных подключений" (установи в значение "Нет доступа, без явного разрешения анонимного доступа"),
"Использовать цифровую подпись со стороны клиента (Всегда)" (Включить), "Использовать цифровую подпись со стороны клиента (по возможности)" (Включить),
"Использовать цифровую подпись со стороны сервера (Всегда)" (Включить), "Использовать цифровую подпись со стороны сервера (по возможности)" (Включить),
"Не отображать последнего имени пользователя в диалоге входа" (Включить), "Отключить CTRL+ALT+DEL запрос на вход в систему" (Отключено),
"Разрешить доступ к дисководам компакт-дисков только локальным пользователям" (включить),
"Разрешить доступ к НГМД только локальным пользователям" (Включить), "Уровень проверки подлинности LAN Manager" (Посылать ответ только NTLMv2, отказывать LM и NTLM).

Читайте также: