Понеділок, 30 - Травень - 2011

1. З чого починається захист від вірусів і інших шкідливих програм?

Захист від комп'ютерних вірусів, «троянських коней» та іншої гидоти в першу чергу залежить від того, з якими привілеями ти заходиш в комп'ютер. Зазвичай все облікові записи (логіни) діляться на дві категорії - адміністративні, призначені для установки програм і налаштування системи; і стандартні (з обмеженими правами), призначені для щоденної роботи. Хочеш щось налаштувати, проинсталлировать? Заходь Адміністратором. Хочеш дивитися фільми, писати курсову, спілкуватися в Skype? Заходь стандартним користувачем.

Справа в тому, що у стандартних користувачів немає прав на інсталяцію програм і налаштування системи, за рахунок чого вона працює досить стабільно і безпечно. Щось напортачить або зламати не вийде, на це у користувача просто немає прав. Компьтерний вірус - це не чорна магія, а програма, просто комп'ютерна програма, тому заразити систему вірусом пересічний користувач теж не може. Причому, комп'ютера все одно, новий це вірус чи старий, особливо хитрий або примітивний - якщо наявних привілеїв недостатньо, занести вірус в системну папку або прописати його автозапуск в системному реєстрі не вийде ніяк.

Мал. 1. Рівень привілеїв облікового запису користувача в Windows 7

Незалежно від того, працюємо ми вдома або в офісі, в систему завжди слід входити тільки з обмеженими привілеями. Системні адміністратори повинні володіти двома обліковими записами - і рядовий, і адміністративної, але використовувати останню тільки при доведеній необхідності. Тип використовуваної вами облікового запису можна уточнити в Control Panel (Панелі Управління).

Однак, існують шкідливі програми, які здатні зберігатися не тільки в системних папках, але і в User Profile - так званому профілі, робоче середовище користувача. Ці програми запускаються кожен раз при вході користувача в систему. Зазвичай віруси такого типу «приїжджають» на flash-дисках, розсилаються через програми обміну повідомленнями та електронною поштою, потрапляють в комп'ютер зі спеціальним чином створених веб-сторінок. Для боротьби з подібного типу погрозами в Windows-системах існує досить проста і надійна настройка безпеки - Software Restriction Policies (Політики обмеження програм).

2. Що ж таке Software Restriction Policies?

За допомогою SRP можна створити «білий список» програм, які свідомо дозволені для запуску; всі інші програми будуть заблоковані. Наприклад, ми говоримо системі «запускай все з папок C: \ Windows, C: \ Program Files, D: \ Games, а решта не дозволяється». В результаті, приїжджає на флешці вірус тихо «обламується», не зумівши запуститися з недозволених шляху E: \ або Z: \. Щось спробувало пролізти з ненадійного веб-сайту? Воно теж не запуститься, так як було збережено в папці профілю користувача Temporary Internet Files або% Temp%. А ми звідти нічого запускати не дозволяли! Надісланий за допомогою Skype «новий супер-пупер скрінсейвер», насправді представляє собою троянську програму, теж не запуститься.

Політика Software Restriction Policies сильно виграє в порівнянні з будь-якими тормозяще-навороченими, але в той же час дуже ненадійними антивірусними програмами, будь то Kaspersky, NOD або Avast (назва і виробник не мають значення). Ловля бліх антивірусним монітором - комп'ютерний аналог «російської рулетки». Причому, далеко не факт, що ви в ній виграєте. У той же час, SRP відразу ж відкине все недозволених, не вникаючи, що це там було, добре чи погане.

Насправді, політика не запобіжить збереження тіла вірусу на жорсткому диску. SRP - НЕ антивірусна програма, вона не аналізує вміст файлів. Але і запуститися зберігається на диску або flash-носії потенційно деструктивної програмі вона не дозволить.

SRP не потрібно звідкись завантажувати, вона вже вбудована в наступні системи Microsoft:

• Windows XP Professional, Windows XP Media Center 2005;

• Windows Vista Business, Windows Vista Enterprise & Ultimate;

• Windows 7 Professional, Windows 7 Enterprise & Ultimate;

• Windows Server 2003 і 2008 (всі редакції);

На жаль, ніякі системи з серії Windows Home не підтримуються.

3. Як включити і налаштувати політику SRP?

Для включення SRP зайдіть в систему з правами адміністратора і виконайте команду Start → Run → gpedit.msc. У розділі Computer Configuration (Конфігурація комп'ютера) розкрийте папку Windows Settings → Security Settings → Software Restriction Policies .

Мал. 2. Включення політики SRP.

На всіх згаданих раніше версіях Windows це вікно виглядає приблизно однаково. Однак, в політиках домену Active Directory ви можете знайти SRP і в розділі User Configuration (Конфігурація користувача). Я рекомендую виконувати базову конфігурацію SRP на рівні Computer Configuration, а User Configuration використовувати тільки для розширення області дії політики для деяких груп користувачів.

Клацніть правою кнопкою по папці Software Restriction Policies і виберіть команду Create New Policies. Політика створена, тепер потрібно зробити додаткові налаштування. Виконайте подвійне клацання по значенню Enforcement і вкажіть Apply to: All software files і Apply to: All Users. Тим самим, перевірці підлягатимуть всі програми і динамічні бібліотеки, і захищені будуть всі користувачі, включаючи найнебезпечніших - адміністраторів.

Параметр Apply to: All software files може виявитися непридатним для вашої системи, якщо використовуються додатки, що викликають dll-модулі некоректними методами або зберігають безліч своїх модулів в профілях користувачів. Щоб полегшити управління такими додатками, можна послабити рівень захисту, переключивши настройку в положення Apply to: All software except libraries. Однак, врахуйте, що кількість шкідливих програм, виконаних у вигляді динамічних бібліотек і викликаються рядком виду rundll32.exe C: \ Recycler \ virus.dll, неухильно зростає. І тільки більш сувора, повна фільтрація дозволяє захистити систему від вкрай небезпечною проблеми, що носить назву DLL Hijacking.

Мал. 3. Налаштування області дії політики SRP.

Один параметр може виявитися прикрою і ніяк не поліпшує безпеку перешкодою - за замовчуванням, SRP обробляє не тільки виконувані файли, а й деякі інші типи файлів - наприклад, ярлики (Shortcuts). Виконайте подвійне клацання по значенню Designated File Types і вилучили розширення LNK зі списку. Зауважу, самі ярлики і їх цільові файли обробляються політикою окремо. Таким чином, видаляючи LNK зі списку оброблюваних розширень, ви не знижуєте рівень безпеки системи - створити ярлик на недозволений файл і таким чином запустити його в обхід політики все одно буде неможливим.

Мал. 4. Налаштування оброблюваних політикою SRP типів файлів.

Існують кілька режимів роботи SRP:

• Disallowed: режим «білого списку». За замовчуванням, заборонений запуск будь-яких програм, крім описаних в правилах політики;

• Basic User: режим примусового обмеження привілеїв. Всі програми запускаються з привілеями рядового користувача, крім винятків, описаних політикою;

• Unrestricted: режим «чорного списку». За замовчуванням, дозволяється запускати будь-які програми, крім окремо заблокованих в правилах політики.

Розкрийте папку Security Levels і призначте режим Disallowed в якості основного.

Мал. 5. Включення режиму «білого списку» політики SRP.

У контейнері Additional Rules перераховуються програми, які ми дозволяємо запускати. Зазвичай на особливу увагу це від нас не вимагає, так як політика автоматично вказує, що всі програми, що знаходяться в Program Files і Windows, дозволені для запуску. Таким чином, більшість програм буде працювати нормально, а стандартні користувачі не мають прав на зміну вмісту цих папок. Однак, якщо ваші програми встановлені в інші каталоги, додайте в список додаткові дозволені шляху або хеш-суми виконуваних модулів в режимі Unrestricted.

По можливості, не додавайте в Additional Rules шляху, які відкриті рядовим користувачам для Записи. «Білий список» Software Restriction Policies дозволяє захистити систему не тільки від випадково принесених вірусів, але також від інших небажаних програм - наприклад, чат-клієнтів, ігор, альтернативних браузерів. Ні в якому разі не додавайте в Additional Rules шляху виду C: \,% Temp% або F: \ (шлях до змінного носія) з типом доступу Unrestricted, так як це анулює весь ефект політики.

Мал. 6. Налаштування списку дозволених для запуску програм.

Отже, політика налаштована. Для того, щоб вона вступила в силу, перезавантажте систему. Подальші налаштування і перемикання режимів роботи SRP перезавантаження вимагати не будуть.

4. Що робити, якщо щось перестало працювати?

Існує ймовірність, що найважливіша для вас програма перестане працювати через блокувань, що накладаються політикою SRP. В цьому випадку, вам на допомогу приходить системний журнал, з вмістом якого можна ознайомитися, виконавши команду Start → Run → eventvwr.msc.

Мал. 7. Перегляд журналу подій Application.

Якщо дійсно SRP є причиною непрацездатності програми, ви побачите в журналі одне або кілька попереджень від джерела SoftwareRestrictionPolicies з кодом 865. Усередині повідомлення вказується ім'я та шлях заблокованого модуля. Додайте цей шлях або цифровий відбиток (hash) програми в Additional Rules і запустіть програму ще раз.

5. Тепер все працює, але що буде далі?

Іноді вам доведеться встановлювати нові програми, а також оновлювати їх і саму систему. Для цього політику SRP потрібно тимчасово відключати. Створіть два файли, які допоможуть вам полегшити відключення / включення SRP, і збережіть їх в папці Windows:

SRP_Disable.reg

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Safer \ CodeIdentifiers] "DefaultLevel" = dword: 00040000

SRP_Enable.reg

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Safer \ CodeIdentifiers] "DefaultLevel" = dword: 00000000

Насправді, значення DefaultLevel не відключати політику, а переводить її з режиму «білого списку» Default: Disallowed в режим «чорного списку» Default: Unrestricted, дозволяючи запуск будь-яких програм, крім тих, що описані в контейнері Additional Rules в режимі Disallowed. По можливості, не створюйте записи з типом доступу Disallowed, так як це ускладнює роботу з політикою.

Створіть ярлики на reg-файли на робочому столі адміністратора. Процедура установки нових програм ускладнюється лише ненабагато порівняно з тим, як ви звикли це робити:

• відключаємо захист SRP ярликом SRP Disable;

• інсталюємо програму або виконуємо оновлення системи;

• знову включаємо SRP ярликом SRP Enable.

Мал. 8. Ярлики управління режимами SRP.

Можливо, спочатку ви будете забувати включати політику після установки програм. Можна налаштувати систему таким чином, щоб вручну відключена захист включалася знову через регулярні інтервали часу. Запустивши програму gpedit.msc, в секції Computer Configuration відкрийте папку Administrative Templates -> System -> Group Policy і в параметрі Registry Policy Processing виберіть Enabled і включіть галочку Process even if the GPO have not changed. У будь-якому випадку, після перезавантаження комп'ютера Software Restriction Policies включиться автоматично.

Software Restriction Policies не гарантує стовідсотковий захист від шкідливих програм, але її ефективність може бути принаймні на кілька порядків вище ефективності звичайних антивірусних програм. Успіхів у підвищенні рівня безпеки вашого комп'ютера!

Last Content Update: 16-Jan-2011