Защита от вредоносных программ средствами Windows

Антивирусы и другие программы, обеспечивающие защиту компьютеров от проникновения вредоносного содержимого (вирусы, трояны и т.п.).
Иные способы борьбы с "непрошеными гостями".
Меры борьбы со спамом и атаками на компьютеры и сайты.
Помощь в обнаружении вредоносов и очистке системы.

Модератор: McFlooder

Используете ли вы несколько учетных записей в Windows?

Да
4
22%
Нет
14
78%
 
Всего голосов: 18

Аватара пользователя
McFlooder
Учитель информатики
Сообщения: 1393
Зарегистрирован: Ср ноя 07, 2007 10:26 am

Защита от вредоносных программ средствами Windows

Сообщение McFlooder » Сб дек 01, 2007 12:42 pm

Видать фиговый из меня технический писатель, так как после всех услышаных предложений я впал в ступор. Я понял что мне не так уж и легко объяснить, то что мне понятно, наверное, на уровне подсознания. Потому решил выкладывать статью кусочками, чтобы вы оценив предыдущее могли задать вопрос по тому что уже прочитали и высказать пожелания о том что вы хотели бы узнать в cледующей серии.

FAQ

Кто такой пользователь?
Пользователь - лицо учавствующее в функцонировании компьютера и использующее результаты его функционирования.

Что такое учетная запись?
Учётная запись - запись, содержащая сведения, которые пользователь сообщает о себе некоторой компьютерной системе. Обычно эти сведения включают в себя логин(имя пользователя) и пароль. Как синонимы в обиходе могут использоваться сленговые термины аккаунт и эккаунт, от англ. account - учётная запись, личный счёт.

Что такое операционная система?
Операционная система, ОС (англ. operating system) - базовый комплекс компьютерных программ, обеспечивающий управление аппаратными средствами компьютера, работу с файлами, ввод и вывод данных, а также выполнение прикладных программ и утилит.

Что такое многопользовательская ОС?
Многопользовательская ОС - это операционная система позволяющая пользователям одновременный вход под разными учетными записями.

Что такое директория?
Директория - правильное название папки.

Статья

Часть 1. Общие сведения.

Использование многопользовательских ОС открывает перед нами большие возможности. Так например мы можем использовать большой парк доисторных компов для вполне современных приложений. В сети может быть один мощный комп, который будет сервером, на нем и будут выполняться все запускаемые пользователями программы. На компах пользователей будет запущена только программка для подключения к серверу которая, собственно, будет только отображать результаты этой самой работы.
А теперь новость которая наверное потрясет многих из вас. Windows XP не является многопользовательской ОС. При подключении другого пользователя по сети, экран пользователя работающего в данный момент блокируется, так что одномоментно ресурсами компьютера может пользоваться только один пользователь. Конечно это решаемо. Хацкеры заменяют termsrv.dll пропатченой версией и все работает на ура. Но этот способ не одобрен дядей Билли Гатесом и является незаконным :). Windows XP - это многоучетнозаписевая система (во как :) ).
Но даже такое положение дел в большинстве случаев устраивает домашних пользователей, которым, как правило, не требуется одновременная работа нескольких людей с компьютером. Тотальное же введение файловой системы NTFS дает большие преимущества для защиты компьютера средствами самой операционной системы. Одним из нововведений NTFS является список управления доступом (ACL - Access Control List), который позволяет запрещать тот или иной вид доступа к файлу или директории для разных учетных записей.
Теперь несколько слов о вирусах. Первоначальной задачей вируса является размножение. Оно построено на записи в файлы *.exe так, чтобы код записаного вируса получал управление первым, и только затем зараженная программа. Следовательно, заблокировав файлы *.exe на запись мы воспрепятствуем размножению вируса. Но таким образом мы запретим вирусу распостраняться только на нашем компьютере. Многие, наверное, пользуются флэшками, таская на них файлы с одного компьютера на другой. А ведь зараженная флэшка вполне способна привести к эпидемии. Дело в том, что в Windows есть такая фича, как автозапуск. То есть при обнаружении нового носителя информации, ОС ищет в его корне файл Autorun.inf, и если таковой найден обрабатывает его. Так что, если такой файлик создаст вирус, заныкав при этом свое тело жирное где нибудь на флэшке, вы простым подключением зараженного устройства пожете получить себе на компьютер нового питомца. В качестве защиты можно либы вырубить нафиг автозапуск, а можно просто зажимать левый Shift перед тем как вставить флэшку и отпустить секунды через три после того как вставишь. На время зажатия шифта автозапуск отключается.
Большинство пользователей при установке Windows создают только одну учетную запись, которой почему-то даются полные права, что с точки зрения безопасности не выдерживает никакой критики. Работать всегда с учетной записью с полным доступом - значит быть всегда под угрозой заражения. Лучше для повседневной работы использовать ограниченую учетную запись, и переключаться на полноправную только при необходиморсти.

Часть 2. Активные действия.

Итак, начинаем действовать. Переходим в "Панель управления"(Пуск -> Панель управления), щелкаем по значку "Администрирование", далее "Управление компьютером". В открывшемся окне ищем в списке слева категорию "Локальные пользователи и группы", открываем ее и выбираем подкатегорию "Пользователи". Справа появится список всех пользователей зарегистрированых в системе. Щелкаем правой кнопкой по пустому месту в правом поле и выбираем из меню пункт "Новый пользователь...". В открывшемся окне заполняем необходимые данные, обязательно заполнять только поле "Пользователь", это и будет имя пользователя в системе. Пароль задавать необязательно, если не установите, его у вас никто не спросит. Снимаем галочку "Потребовать смену пароля при следующем входе в систему" и ставим галочку "Срок действия пароля неограничен". Можно жать OK.

Нового пользователя мы создали, он по умолчанию добавлен в руппу "Пользователи", и изменять это я вам не рекомендую. Это значит что в системные папки ему запись запрещена, разрешенный каталог для записи только C:\Documents and Settings\{имя_пользователя}. Потому мы выкинем диск C из дальнейших махинаций.

Теперь защищаем наши файлы от несанкционированого вторжения :) Наверняка у вас есть программы не только на диске C, это могут быть инсталяхи ваших любимых прог, да и не все программы требуют установки. Те же игры требуют немереного дискового пространства, потому на системном диске их обычно не хранят. Для защиты нужно чтобы на всех дисках была файловая система NTFS, только она поддерживает списки управления доступом. Далее Открываем "Мой компьютер", правый клик по диску, из меню выбираем "Найти...". В качестве цели для поиска вводим "*.exe" (без кавычек). Тут сделаю небольшое отступление. Уважаемая runiel написала, что у нее возникли проблеммы на этом шаге, что сподвигло меня установить свежую винду на виртуальной машине и исследовать данную проблему. Дело в том, что Windows умеет искать не только по диску, но и в архивах, которые умеет открывать. Это файлы *.zip и *.cab. Естественно, файлы внутри архивов не поддерживают списки управления доступом, а потому вкладка "Доступ" не появится если наш список найденых файлов будет содержать файлы из архивов. Простейший способ устранить это, установить WinRAR, который перерегистрирует эти типы файлов на себя. Но если вам такой подход не нравится, то откройте "Мой компьютер", в меню "Cервис" выберите "Свойства папки" и на вкладке "Типы файлов" измените приложение для файлов zip и cab c explorer на пустую строку, просто пусть будет ни с чем не ассоциирован. Типа файла cab может и не быть, потому вам надо будет его создать самим, без назначения ему приложения. Но всеже, повторюсь, легче установить WinRAR. Итак, отступление кончилось, принимаемся снова за дело. Мы провели поиск по маске *.exe и нашли туеву хучу файлов, жмем CTRL+A, чтобы выделить их все и правой кнопой мыши на них, из меню выбираем "Свойства". Перходим ко вкладке "Безопасность". Если у вас не появилась вкладка безопасность, перечитайте эту часть заново, если и после этого не появится, срочно берите лопату и идите копать траншеи до наступления чувства просветления :) После перехода на вкладку безопасности Windows может ругнуться, типа права у всех файлов разные и хотите ли вы установить права для этих файлов кучей, но этого мы и добиваемся. Смотрим на список пользователей и групп вверху, находим группу "Пользователи", щелкаем по ней и внизу в колонке "Запретить" ставим галочку напротив "Запись". Жмем ОК. Радуемся.

Часть 3. А нафига оно надо?

Резонный вопрос. Чего мы добились такими нечеловеческими усилиями? Вопервых, если вы будете всегда работать под ограниченой учетной записью, ни один вирус не сможет получить управление быстрее антивируса, на чем основана технология Stealth-вирусов. Ни один вирус не сможет перейти на уровень ядра, где его тоже не достанет ни один антивирус, в конце концов, ни один вирус не сможет заразить ваши файлы, потому что мы закрыли доступ на запись.


Часть 4. Расстрел проблем (TroubleShooting)

Так как многопользовательность в винде сделана через задницу, мы на свою задницу получаем кучу проблем.

Первые проблеммы связаны с установкой программ, но тут решается все довольно быстро. Правый клик по инсталляхе и пункт меню "Запустить от имени..." выбираем внизу учетную запись привиллегированого пользователя, вводим пароль и вуаля. Если неохота вводить пароль, придется поколдовать с политиками безопасности. Перходим в Панель управления -> Админстрирование -> Локальная политика безопасности. В открывшемся окне в категории "Локальные политики" щелкаем на "Параметры безопасности". В списке справа ищем "Учетные записи: ограничить использование пустых паролей только для консольного входа". Двойной щелчок по этой записи и в открывшемся окне выбираем "Отключить". Жмем ОК.
Еще проблеммка возникает с работой Webmoney Keeper Classic. Запускаться он запускается, а вот все попытки перевести средства обречены на провал. Тут можно посоветовать создать файл с расширением cmd в папке с кипером со следующим содержанием: echo "пароль" | runas /user:имя_пользователя WMKeeper.exe
где имя пользователя - это имя администратора в системе. Тут надо еще сказать, что если в имени есть русские буквы, то они должны быть в кодировке DOS, то есть CP866. В случае если вы не устанавливали пароль для учетной записи администратора, поставьте вместо "пароль" "" - пустая строка, просто две кавычки подряд. Но для этого вам нужно разрешить пустые пароли как указано выше.
Если у вас возникнут еще проблеммы, с удовольствием помогу в их решении.
Последний раз редактировалось McFlooder Ср янв 23, 2008 12:19 pm, всего редактировалось 3 раза.

Seeeeeerrrj
Специалист
Сообщения: 116
Зарегистрирован: Вс апр 15, 2007 7:19 pm
Откуда: Sankt-Peterburg, Russia

Сообщение Seeeeeerrrj » Вт дек 04, 2007 12:36 am

Интересная информация. Спасибо. Не использую, хотя надо бы ((. Просто с паролями и так замучен. И будут сниться кошмарные сны, что я забыл пароль в учетную запись ))) Шучу ...

Аватара пользователя
MBell
Директор школы
Сообщения: 12991
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Сообщение MBell » Вт дек 04, 2007 2:14 am

McFlooder писал(а):Видать фиговый из меня технический писатель, так как после всех услышаных предложений я впал в ступор. Я понял что мне не так уж и легко объяснить, то что мне понятно, наверное, на уровне подсознания. Потому решил выкладывать статью кусочками, чтобы вы оценив предыдущее могли задать вопрос по тому что уже прочитали и высказать пожелания о том что вы хотели бы узнать в cледующей серии Smile
Можно и так.
В следующей серии?
Начнем с того, что уже и в этой я получила новую для себя инфу - насчет такой просто операции, как отмена автозапуска с внешнего носителя (это же не только у флешкам относится, верно?) простым нажатием одной клавиши!
А дальше я сперва хотела сказать, что надо бы подробнее рассказать, что именно мы получаем при таком способе установки системы, т.е. ее преимущества и это, конечно, надо. Но... Прежде, попробуй самого себя немножко процитировать, можно и в контесте с цитатами опонентов из того топика, откуда все и началось!
Во1-х - это создаст преемственность тем,
Во2-х даст понять читающим, что их ожидает в следующих главах
В3-х - даст затравку для ИХ вопросов, которые тебе и помогут продолжить тему.
Единственно важно тут, отвечая на них, трудно будет удержаться от перепрыгивания и последовательность изложения может быть нарушена. То есть тебе придется сортировать эти вопросы. Дело непростое, надо сказать.
В любом случае, мой первый вопрос вроде в план изложения вписывается?
И еще, спасибо, за то что начал. Не такой уж ты "фиговый тех. писатель".
Удачи!
P.S. А не добавить ли в опрос дополнительные вопросы, пока никто не отвечал?
Типа: Впервые слышу или пробовал - не получилось?

runiel
Специалист
Сообщения: 1071
Зарегистрирован: Вт окт 23, 2007 5:42 pm
Откуда: Украина

Сообщение runiel » Вт дек 04, 2007 11:14 am

выскажусь по этой теме немножко.
Почитав в соседнем топике про этот метод попробовала сделать так у себя на компе. Акк создала, но возникла проблема с установкой огрничения записи. Сдела так как автор советовал, поиском нашла все файлы *.ехе, выделила, зашла в свойства и не увидела там вкладочки отвечающей за доступ. т.е. в каждом отдельном файле эта вкладка есть, а во всех сразу выделенных она не отображается, а пересчелкивать все фалы по одному слишком уж гемморойно. Что я не так сделала?

Аватара пользователя
McFlooder
Учитель информатики
Сообщения: 1393
Зарегистрирован: Ср ноя 07, 2007 10:26 am

Сообщение McFlooder » Сб дек 08, 2007 6:04 pm

В общем я решил, что в следующей части будет пошаговое руководство с детальным описанием что, для чего, и зачем. Вот только соберусь немного с мыслями :)

runiel А
какая версия винды у тебя?
Менделеев, проснувшись от кошмара, подумал: "Всё, больше никакой химии! Перехожу на водку!"

Аватара пользователя
MBell
Директор школы
Сообщения: 12991
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Сообщение MBell » Сб дек 08, 2007 11:05 pm

McFlooder
Тогда с твоего позволения и чтобы не копировать все.
Советую начать чтение с обсуждения данного вопроса здесь
viewtopic.php?t=140&start=45 , а именно с
Добавлено: 17 Ноя 2007 08:57 am
McFlooder писал(а):Самый лучший антивирус - это грамотное разграничение прав доступа. Первое правило: Свести к минимуму работу с учетной записью с полным доступом (Администратор
Будет как пролог к теме.

Аватара пользователя
McFlooder
Учитель информатики
Сообщения: 1393
Зарегистрирован: Ср ноя 07, 2007 10:26 am

Сообщение McFlooder » Чт дек 27, 2007 12:43 pm

Добавил новые части к статье, смотрите самый первый пост. Что касается голосования, ничего не менял. Нет такого слова "не получилось" - есть "плохо старался" :)
Менделеев, проснувшись от кошмара, подумал: "Всё, больше никакой химии! Перехожу на водку!"

Аватара пользователя
McFlooder
Учитель информатики
Сообщения: 1393
Зарегистрирован: Ср ноя 07, 2007 10:26 am

Сообщение McFlooder » Ср янв 23, 2008 12:23 pm

Добавил исправление косяка при работе с WMKeeper из ограниченого аккаунта. Для тех кто в танке: я редактирую самый первый пост :) В новых только описываю, что было добавлено.
Менделеев, проснувшись от кошмара, подумал: "Всё, больше никакой химии! Перехожу на водку!"

Аватара пользователя
Старик
Специалист
Сообщения: 167
Зарегистрирован: Ср сен 12, 2007 2:54 pm
Откуда: Харьков

Сообщение Старик » Вт июл 01, 2008 9:11 am

McFlooder писал(а):Первые проблеммы связаны с установкой программ, но тут решается все довольно быстро. Правый клик по инсталляхе и пункт меню "Запустить от имени..." выбираем внизу учетную запись привиллегированого пользователя, вводим пароль и вуаля.
McFlooder, большинство известных мне сисадминов нередко исполняют роль внутреннего голоса из серии известных анекдотов.
Причем не важно о чем я обращаюсь к сисадмину и что он мне рекомендует, но частенько разговор заканчивается знаменитыми словами "Ну ты как хочешь, а я пошел!"
Конечно, я несколько педант, но если что-то делаешь, то надо понимать что и зачем. Вслепую ж неправильно.
Да и ты сисадмин-популяризатор, что бооольшая редкость.
В общем, у меня вопросы по теме "Жизнь в ограниченном аккаунте":

1) Под "установкой программ" ты понимаешь прикладные программы, необходимые пользователю ограниченного аккаунта, которые будут действовать в пределах ограниченного аккаунта (и в инете) - причем видны и доступны эти программы только в единственном ограниченном аккаунте плюс привелигированному пользователю (администратору) в его аккаунте админа?
То есть ты говорищь об инсталяции в ограниченном аккаунте программ для 2-х аккаунтов - конкретного ограниченного и админского?
Все правильно?

2) А что, вирусописатели не знают пункта меню "Запустить от имени...", не могут определить имени привелигированного пользователя (администратора) и не могут вызов этого пункта меню инициировать в своем продукте?
Ведь использование механизма "Запустить от имени..." позволяет не только ограниченному юзеру, но и "пойманному" этим юзером вирусу инсталировать любую программу, записать на диск любые коды даже из-под ограниченного аккаунта, правильно?
Или исполнение этого пункта меню так глубоко зашито в системе, что вирусописатель не может его использовать/активировать?

3) Слышал о вирусах, которые, не трогая никакие exe/dll файлы, создают в системных папках типа system32 свои личные подпапочки, где комфортно размещаются для дальнейшей работы.
Насколько предложенная тобой схема защиты препятствует проникновению или работе таких вирусов - если вообще препятствует?
Или вирусов такого типа все равно приходится ловить обычными антивирусами и фаерволлом - и этот класс вирусов вообще вне темы данного топика?

4) Минимальный набор программ обычного юзера для любого аккаунта, в том числе ограниченного, предполагает некий минимум - Word, Excel, Notepad, 3 браузера (Opera, Firefox, Maxthon), какие-то гляделки рисунков и pdf-файлов ну и что-то еще...
Можешь ли ты дать какие-то рекомендации по подготовке к использованию в ограниченном аккаунте этого минимального "джентельменского" набора прог из ограниченного аккаунта?
Насколько я понимаю, там не все происходит линейно.
Ну, про Opera я вообще-то не спрашиваю, поскольку ее можно переносить просто копированием: копируешь всю папку полностью настроенного браузера - сбрасываешь в ограниченном аккаунте и пользуешься дальше как будто и не перемещался никуда...
А по остальным программам, которые вроде бы инсталировать много раз на компе не положено, есть какие-то рекомендации?!
Я чего спрашиваю? У меня есть некие некритичные непонятки...
Например, лезу я из ограниченного аккаунта (ОА) в c\progamm.files и делаю ярлык для Макстона, который размещаю на рабочем стола ОА - и дважды кликаю по новому ярлыку.
Мне приходится дважды по 2 клика на "ОК" удушить сообщение "WriteSecurityFile Failed", после чего Макстон таки стартует - но предлагает мне просмотреть все вкладки с сайтами, которые админ сохранил при завершении последнего сеанса работы в Макстон.
Отвечаю ОК - и тут же получаю все просмативавшиеся админом сайты.
Повторяю - мне не это не в напряг. Тем более что на моих компах я же и админ, и все ОА сразу.
Но это ж явно нештатная работа, если юзер из ОА легко видит с чем работал админ в Макстоне - не говоря о непонятных сообщениях при старте!...
Или я что-то напутал?
В общем, McFlooder, есть ли у тебя есть какие-то готовые дополнительные рекомендации по настройке работы в ОА десятка наиболее популярных "ширпотребовских" программ, то ты их изложи...
Ну, а если нет готовых рекомендаций, то тогда каждому юзеру с работой в ОА придется разбираться самостоятельно.

Аватара пользователя
McFlooder
Учитель информатики
Сообщения: 1393
Зарегистрирован: Ср ноя 07, 2007 10:26 am

Сообщение McFlooder » Вт июл 01, 2008 6:24 pm

Старик писал(а):То есть ты говорищь об инсталяции в ограниченном аккаунте программ для 2-х аккаунтов - конкретного ограниченного и админского?
Все правильно?
Под установкой программ, я понимаю установку программ для всех пользователей в системе. Почти все новые программы поддерживают многопользовательский режим, то есть ярлыки в меню Пуск появляются для всех пользователей в системе, если при установке не выбрано установить только для текущего пользователя или не снята галочка "Установить для всех пользователей". Ярлыки в таком случае помещаются по пути: C:\Document and Settings\All Users\Главное меню
То что лежит по пути C:\Documents and Settings\All Users\Рабочий стол появляется на рабочем столе каждого пользователя в системе. Думаю тут все понятно? Программа установки просто копирует ярлыки в учетную запись All Users и они появляются у всех. Если этого не требуется, можно зайти в аккаунт администратора и попереносить ярлыки в нужную учетную запись.
Старик писал(а):А что, вирусописатели не знают пункта меню "Запустить от имени...", не могут определить имени привелигированного пользователя (администратора) и не могут вызов этого пункта меню инициировать в своем продукте?
Чтобы сменить пользователя, нужно знать его пароль. То есть незная пароля ничего не выйдет. Конечно возможно, что некоторые вирусы могут надеяться на пустой пароль администратора и пользоваться этой фишкой, но я о таких ничего слышал.
Старик писал(а):Слышал о вирусах, которые, не трогая никакие exe/dll файлы, создают в системных папках типа system32 свои личные подпапочки, где комфортно размещаются для дальнейшей работы.
Насколько предложенная тобой схема защиты препятствует проникновению или работе таких вирусов - если вообще препятствует?
У ограниченного аккаунта нет доступа на запись в системные папки, следовательно эта операция обречена на провал. У вируса просто не получится создать файл или подпапку в папке system32.
Старик писал(а):Можешь ли ты дать какие-то рекомендации по подготовке к использованию в ограниченном аккаунте этого минимального "джентельменского" набора прог из ограниченного аккаунта?
Все программы, которые поддерживают многопользовательский режим хранят свои данные в домашней папке пользователя. В частности Word, Excel, Opera, Firefox, Internet Explorer, Acrobat и многие другие именно так и делают, то есть это современные программы поддерживающие многопользовательский режим.Те которые не поддерживают, хранят настройки в папке установки, что не есть хорошо. В описаном тобой примере с Макстоном именно такая ситуевина. К сожалению сам я им не пользуюсь, но могу порекомендовать либо поставить версию поновее, либо установить программу отдельно для ограниченного аккаунта из этого же ограниченного аккаунта, например в папку C:\Document and Settings\Имя_Пользователя\Programs. Тогда все должно быть отлично, кроме того, что эта программа может быть заражена. Но ведь всегда можно запретить к ней доступ на запись описаными выше стредствами, именно к exeшнику и ни к чему больше.
Если будут еще вопросы или какие нибудь трудности, пишите, всегда буду рад помочь.
Менделеев, проснувшись от кошмара, подумал: "Всё, больше никакой химии! Перехожу на водку!"

Ответить