Защита ПК системными средствами

Рассказывается как обезопасить Windows без применения антивирусных средств.

Затраты на защиту Windows от вирусов с помощью анализа сигнатур и эвристических методов, таких как спам- и фишинг-фильтры, непре­рывно растут.

Разве вам не хотелось бы избежать всех подобных забот, при этом оставаясь в безопасности? Системные администраторы нашли выход, ориентируясь на принцип максимального ограничения пользовате­лей в правах. В его основе лежит идея предоставления пользователям толь­ко тех возможностей, которые дей­ствительно нужны им в повседневной работе. При этом ограничения затра­гивают все программы, работающие под обычной учетной записью, в том числе и вредоносные. Девиз такого подхода гласит: «Что не может поль­зователь, не сможет и вирус».

Эксперты фирмы BeyondTrust, спе­циализирующейся на безопасности, проверили справедливость этой концепции. Для этого они изучили все уязвимости, обнаруженные в прошлом году в различных версиях Windows, пакете Office и браузере Internet Explorer. Их оказалось более 200. В результате в среднем около 60% всех брешей были устранены благодаря использованию ограниченной учетной записи. Когда речь идет о критических уязвимостях, кото­рые могут нанести системе серьезный вред, это значение составляет уже 90% для Windows 7 и 81% для всех продуктов компании Microsoft в целом. Кроме того, по сведениям BeyondTrust, в случае с пакетом Office и Internet Explorer данные методы ликвидируют все без исключения опасности.

Интересен тот факт, что между раз­личными версиями Windows прак­тически нет существенных отличий, несмотря на то, что в Vista и «семер­ке» появилась такая важная функция защиты, как контроль учетных записей — UAC. Уязвимости легко преодолевают этот барьер — не в последнюю очередь благодаря принципу передачи прав, который практически не изменился со времен Windows NT.

Управление правами в ОС от Microsoft применяется к каждому объек­ту, к которому пользователю разре­шен доступ, — это может быть файл, компонент аппаратных средств или запись в реестре. Проблема заключа­ется в том, что Windows при установке автоматически предоставляет права администратора, несмотря на то, что в 90% случаев этого не требуется.

В результате в версии XP разрешено все, а в Vista и «семерке» — еще боль­ше. При запуске браузер также работает с правами администратора и передает их следующей программе, которая открывается им самим. Вредоносное ПО в Windows XP действует просто: как только оно вынуждает веб-обозреватель запустить заражен­ный EXE-файл, тот сразу начинает хозяйничать на компьютере. Если антивирус не распознает опасное приложение, последствия могут быть плачевными. В худшем случае защит­ная программа сама становится жерт­вой атаки, и тогда на помощь может прийти только ограниченная в правах учетная запись пользователя.

Обманчивая защита: контроль учетных записей

Предусмотренные по умолчанию средства безопасности Windows Vista и 7 также ограничивают права пользователя. Это должно препятствовать атакам вредоносного ПО, однако в системе защиты остаются бреши.

Контроль учетных записей (UAC) позволяет выбрать один из четырех уровней. Чем он выше, тем чаще будут появляться сообщения от UAC С помощью контроля учетных записей Microsoft пытается решить основную проблему Windows XP: в ней пользо­ватель автоматически получает права администратора и все возможности изменения системы по своему усмо­трению. Это делает ОС уязвимой для атак, поскольку вредоносное ПО мо­жет действовать со всеми этими при­вилегиями. В Windows Vista и 7 предусмотрен барьер, который, однако, не спасает от всех угроз.

Защита с помощью уровня целостности. User Account Control (UAC) позволяет даже при использовании учетной записи администратора выполнять все приложения с ограниченными правами. За UAC скрывается система уровней целостности. Она назначает каждой службе, программе и даже за­писям реестра свой уровень. Всего их шесть, но для пользователя в его повседневной работе имеют значение четыре из них: «Low», «Medium», «High» и «System».

Соблюдение уров­ня контролируется монитором безо­пасности (Security Reference Monitor) в ядре Windows. Если пользователь заходит в систему как администратор, ему присваивается уровень «High», но приложениям — всего лишь «Medium».

Поэтому в Vista контроль учетных записей напоминает о себе всякий раз, когда возникает необхо­димость в установке для программы уровня «High» — только в этом слу­чае оно сможет быть записано в пап­ку C:Program Files, которая маркиро­вана более высоким уровнем и таким образом защищена.

Четыре уровня контроля в Windows 7. В последней версии ОС от Microsoft предусмотрена UAC с четырьмя раз­ными вариантами настроек (см.

выше), которые, однако, не имеют ничего общего с уровнями целостности.

Они влияют только на частоту появле­ния запросов. После установки Windows ползунок установлен на значении «3». На втором и третьем уровнях пользователь не видит сообщений при изменении настроек Windows: система автоматически повышает его права. На первом уровне UAC отключен, а четвертый соответствует настройкам Vista, где оповещения появляются при любом изменении ОС.

Безопасность системных данных. С помощью уровня целостности «System» Windows защищает службы и ядро. Он препятствует даже манипуляциям с ним самим, если учетная запись администратора скомпрометировала себя. Уровень «TrustedInstaller» полу­чает установщик Windows. Только он имеет право вносить изменения в системные файлы, чтобы, например, запу­стить обновление Windows. Перед этим он анализирует сигнатуры и проверяет, действительно ли они от Microsoft и не были ли изменены. Помимо этого Windows создает дополнительную за­щиту для Internet Explorer: браузер выполняет веб-код в безопасном ре­жиме («Protected Mode») с уровнем целостности «Low». При таких настрой­ках код лишен права влиять на другие приложения, которые запускаются с уровнем «Medium». Но имейте в виду, что при отключении UAC защитный режим Internet Explorer также деактивируется.

Универсальной защиты не существует. Задачей UAC является обеспечение безопасности Windows, а не личных файлов пользователей. Хотя вредо­носное программное обеспечение не в состоянии переписать системные файлы, оно может «подсматривать» пароли с помощью кейлоггера, по­скольку даже процессы нижнего уровня обладают достаточными пра­вами для чтения. При этом програм­мы с различными уровнями могут обрабатывать общие объекты и для этого распределяют область опера­тивной памяти. Запросы UAC позво­ляют так изменять себя, что пользо­ватель может принимать их без критической проверки. Эффективность защищенного режима Internet Explorer тоже невысока, если в брау­зере и его плагинах есть свои уязви­мости. Это касается прежде всего Flash-плеера и автоматического запу­ска сторонних программ для просмо­тра графических и видеофайлов.

Создание ограниченной учетной записи

При создании учетной записи в Windows XP достаточно задать для нее «Ограниченный доступ» Зайдите в Панель управления и откройте «Учетные записи пользователей». В XP нажмите на «Создать новую учетную запись», задайте имя, установите в качестве типа «Ограниченный доступ» и кликните по кноп­ке «Готово».

Создание пароля учетной записи позволит оградить систему от постороннего вмешательства и несанкционированных действий сомнительных программ В следующем окне выбе­рите «Создать пароль» и введите его.

В версиях Vista и 7 перейдите в «Управление другой учетной запи­сью» и найдите опцию «Создать новую учетную запись». Затем в соответствующем поле введите имя аккаунта, задайте вариант «Обычный доступ» и нажмите на кнопку «Создать учетную запись». В следующем окне кликните по новой учетной записи, перейдите к «Создать пароль» и задайте свое ключевое слово.

Если вы уже привыкли к исполь­зуемому аккаунту с правами адми­нистратора, прибегните к другой стратегии. Сначала создайте, как описано выше, вторую учетную запись, но выберите тип «Администратор». Зайдите в систему под ней и откройте «Учетные записи пользователей». Для своей старой выберите «Изменение типа учетной записи» и понизьте его до «Обычного доступа» (в XP — «Ограниченный доступ»), что позволит вам работать как прежде, но уже без прав администратора.

Переключение на другую учетную запись одним нажатием кнопки

Чтобы иметь возможность работать с ограниченной учетной записью привычным образом, время от вре­мени вам понадобится становиться администратором. Это необходимо при установке новых программ, а также когда для их выполнения нужны доступ к аппаратным сред­ствам и создание записи в реестре (это требуется утилитам для записи дисков, оптимизации и работы с винчестером).

Для этих целей в Windows преду­смотрена возможность быстрого переключения между учетными записями.

Чтобы запустить програм­му с помощью ярлыка на Рабочем столе, в Xp выберите в контекстном меню пункт «Запуск от имени…». При этом потребуется ввести пароль администратора. Если вы не устано­вили его, быстрое переключение между учетными записями будет невозможно. В версиях Vista и 7 эта опция называется «Запуск от имени администратора».

В Windows XP программы всегда можно запустить с правами админи­стратора, воспользовавшись утили­той Runas.exe. Для этого кликните по Рабочему столу правой кнопкой мыши и создайте ярлык. В поле «Укажите размещение объекта» вве­дите «%windir%system32runas.exe user:admin» (где «admin» — это имя вашей учетной записи администрато­ра). Затем запустите программу, клик­нув по ярлыку двойным щелчком. Откроется окно с командной строкой, и будет запрошен пароль админи­стратора.

Впоследствии запуск вашей рабочей программы будет осущест­вляться автоматически.

В Vista и «семерке» выделите ярлык и правой кнопкой мыши вызовите «Свойства». На вкладке «Совместимость» поставьте галочку напротив пункта «Выполнять эту программу от имени администратора». В прин­ципе, сначала всегда следует прове­рить, работает ли программа и без привилегированных прав. Чем реже вы будете прибегать к этой мере, тем надежнее будет защищена система.

Права администратора — только при необходимости

Быстрого переключения между учет­ными записями бывает достаточно, если вам не нужно вносить в систему серьезные изменения, а большую часть времени вы проводите в Интернете: браузер без проблем работает с огра­ниченными правами. Проблемы воз­никают при необходимости устано­вить плагин для веб-обозревателя или внести в систему изменения. В этих случаях быстрое переключение может подвергнуть систему риску, посколь­ку потребуется ввести пароль адми­нистратора, который может быть считан клавиатурным шпионом (кейлоггером). В Vista и «семерке» компания Microsoft позаботилась о внедрении этой функции без запроса пароля.

Другим дополнительным барьером является установка программного обеспечения: так как вы выполняете ее от имени администратора, некото­рые приложения принимают этот аккаунт за единственного правомоч­ного пользователя и создают новую запись в реестре в разделе HKEY_CURRENT_USER. При этом в луч­шем случае у вашей ограниченной записи не будет доступа к такой про­грамме, а в худшем она вообще пере­станет запускаться. То же самое про­исходит и с папками и файлами, которые утилита создает в директо­рии «Мои документы», — это доку­менты администратора.

Обе проблемы можно решить, если использовать функцию Windows «Запуск от имени», которая имитирует команду sudo («Super user do») из мира UNIX. Утилита SuDo (есть на нашем DVD) временно дает текуще­му пользователю права администра­тора. С помощью нее вы получите удобный доступ к конфигурации Windows, осуществляемый прежде всего через Панель управления.

Бесплатная программа SuRun работает во всех Windows, начиная с XP и заканчивая «Максимальной» версией «семерки».

В Windows Vista и 7 используйте пункт контекстного меню ярлыка, позволяющий в гостевом режиме запускать программу с правами администратора При необходимости расширения прав для запуска той или иной утили­ты потребуется быстрое переключе­ние учетных записей.

Для этого щел­кните правой кнопкой мыши по ярлыку рабочей программы.

Выберите пункт «Start as Administrator» («Запуск от имени администратора»), и SuRun откроет программу. Если она требует расширенных прав при каждом запуске, отметьте галочкой пункты «Don`t ask this question for this program» («Больше не спрашивать для этой программы») и «Automatically run this program with elevated right» («Всегда запускать эту программу от имени администратора»).

Суперпользователь со всеми привилегиями

Проводник Windows — это особый случай: для его использования вам понадобятся расширенные права при доступе к защищенной папке, напри­мер C:Program Files. Кликните пра­вой кнопкой мыши по каталогу и активируйте опцию «SuRun Explorer this» («Проводник SuRun»). После этого SuRun будет запускать окно Проводника с правами администрато­ра. Так же легко вы получите доступ к «Панели управления» — например, для подключения к сети или установ­ки нового аппаратного обеспечения. На Рабочем столе откройте контекст­ное меню и запустите «System Panel on Administrator» («Запуск панели управ­ления от имени администратора»).

Однако эти возможности действуют в Windows 7 только при изменении значения реестра. Для этого в учетной записи администратора введите в командной строке «regedit», перейдите к папке HK_CLASSES_ROOT/AppID/{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2} и откройте правой кнопкой мыши «Разрешения | Дополнительно». На вкладке «Владелец» вы увидите, что эта директория принад­лежит «Trusted Installer». Выберите в пункте «Изменить владельца на…» учетную запись администратора и подтвердите свои действия, нажав на «ОК».

Закройте окно, чтобы вернуться к «Разрешениям». Здесь в пункте «Группы или пользователи» выделите свою учетную запись и поставьте галочку напротив «Разрешить» в строке «Полный доступ». Кликнув по «ОК», вы вернетесь в папку реестра. Нажмите правой кнопкой мыши на «Запуск от имени» и переименуйте функцию в «_RunAs». Теперь SuRun позволит запускать Проводник и Панель управ­ления с расширенными правами.

Некоторые системные настройки, например конфигурирование учет­ных записей пользователей, требуют полноценной загрузки системы от имени администратора. В этом случае необходимо запустить SuRun из командной строки, которая связывает утилиту с упомянутой выше функци­ей «_RunAs». Для этого на Рабочем столе создайте текстовый документ, откройте его в Блокноте и введите «surun /runas nusrmgr.cpl» (без кавы­чек). Теперь просто сохраните файл с расширением BAT.

Если в программе SuRun отметить галочкой пункт «Convenience» («Расширенные возможности»), можно будет изменять конфигурацию системы в разделах «Filter Program» («Программный фильтр») и «Advanced» («Дополнительно») Тем, кто использует программу SuRun на ноутбуке, может понадобиться открыть прямой доступ к настройкам энергосбережения. Для этого зайдите в Панель управления и в разделе «Система и безопасность» откройте «SuRun Setting». На вкладке «General» клик­ните по «See settings for advanced users» («Показать настройки для опытных пользователей»).

Теперь программа активирует вкладку «Advanced». В пункте «Facilitated Operation» («Простое обслуживание») поставьте флажок перед «Allow to change SuRunners Power Options» («Разрешить пользователям изменять настройки энергосбережения»).

Кроме того, вы можете включить «Windows Update notifications for all users» («Сообщения об обновлениях Windows для всех пользователей»), чтобы они были доступны и при рабо­те с ограниченными правами. Можно использовать функцию «No autorestart after installing Windows Updates» («Не перезагружать компьютер после установки обновлений»). Теперь вас не будут подстерегать неприятные сюрпризы при использовании учет­ной записи с урезанными возможно­стями, а антивирусы и другие сред­ства защиты, осложняющие жизнь, больше не потребуются.