Защита ПК системными средствами

Рассказывается как обезопасить Windows без применения антивирусных средств.

 Затраты на защиту Windows от вирусов с помощью анализа сигнатур и эвристических методов, таких как спам- и фишинг-фильтры, непре­рывно растут.

Разве вам не хотелось бы избежать всех подобных забот, при этом оставаясь в безопасности? Системные администраторы нашли выход, ориентируясь на принцип максимального ограничения пользовате­лей в правах. В его основе лежит идея предоставления пользователям толь­ко тех возможностей, которые дей­ствительно нужны им в повседневной работе. При этом ограничения затра­гивают все программы, работающие под обычной учетной записью, в том числе и вредоносные. Девиз такого подхода гласит: «Что не может поль­зователь, не сможет и вирус».

Эксперты фирмы BeyondTrust, спе­циализирующейся на безопасности, проверили справедливость этой концепции. Для этого они изучили все уязвимости, обнаруженные в прошлом году в различных версиях Windows, пакете Office и браузере Internet Explorer. Их оказалось более 200. В результате в среднем около 60% всех брешей были устранены благодаря использованию ограниченной учетной записи. Когда речь идет о критических уязвимостях, кото­рые могут нанести системе серьезный вред, это значение составляет уже 90% для Windows 7 и 81% для всех продуктов компании Microsoft в целом. Кроме того, по сведениям BeyondTrust, в случае с пакетом Office и Internet Explorer данные методы ликвидируют все без исключения опасности.

Интересен тот факт, что между раз­личными версиями Windows прак­тически нет существенных отличий, несмотря на то, что в Vista и «семер­ке» появилась такая важная функция защиты, как контроль учетных записей — UAC. Уязвимости легко преодолевают этот барьер — не в последнюю очередь благодаря принципу передачи прав, который практически не изменился со времен Windows NT.

Управление правами в ОС от Microsoft применяется к каждому объек­ту, к которому пользователю разре­шен доступ, — это может быть файл, компонент аппаратных средств или запись в реестре. Проблема заключа­ется в том, что Windows при установке автоматически предоставляет права администратора, несмотря на то, что в 90% случаев этого не требуется.

В результате в версии XP разрешено все, а в Vista и «семерке» — еще боль­ше. При запуске браузер также работает с правами администратора и передает их следующей программе, которая открывается им самим. Вредоносное ПО в Windows XP действует просто: как только оно вынуждает веб-обозреватель запустить заражен­ный EXE-файл, тот сразу начинает хозяйничать на компьютере. Если антивирус не распознает опасное приложение, последствия могут быть плачевными. В худшем случае защит­ная программа сама становится жерт­вой атаки, и тогда на помощь может прийти только ограниченная в правах учетная запись пользователя.

Обманчивая защита: контроль учетных записей

Предусмотренные по умолчанию средства безопасности Windows Vista и 7 также ограничивают права пользователя. Это должно препятствовать атакам вредоносного ПО, однако в системе защиты остаются бреши.

Контроль учетных записей (UAC) позволяет выбрать один из четырех уровней. Чем он выше, тем чаще будут появляться сообщения от UAC
Контроль учетных записей (UAC) позволяет выбрать один из четырех уровней. Чем он выше, тем чаще будут появляться сообщения от UAC С помощью контроля учетных записей Microsoft пытается решить основную проблему Windows XP: в ней пользо­ватель автоматически получает права администратора и все возможности изменения системы по своему усмо­трению. Это делает ОС уязвимой для атак, поскольку вредоносное ПО мо­жет действовать со всеми этими при­вилегиями. В Windows Vista и 7 предусмотрен барьер, который, однако, не спасает от всех угроз.

Защита с помощью уровня целостности. User Account Control (UAC) позволяет даже при использовании учетной записи администратора выполнять все приложения с ограниченными правами. За UAC скрывается система уровней целостности. Она назначает каждой службе, программе и даже за­писям реестра свой уровень. Всего их шесть, но для пользователя в его повседневной работе имеют значение четыре из них: «Low», «Medium», «High» и «System».

Соблюдение уров­ня контролируется монитором безо­пасности (Security Reference Monitor) в ядре Windows. Если пользователь заходит в систему как администратор, ему присваивается уровень «High», но приложениям — всего лишь «Medium».

Поэтому в Vista контроль учетных записей напоминает о себе всякий раз, когда возникает необхо­димость в установке для программы уровня «High» — только в этом слу­чае оно сможет быть записано в пап­ку C:Program Files, которая маркиро­вана более высоким уровнем и таким образом защищена.

Четыре уровня контроля в Windows 7. В последней версии ОС от Microsoft предусмотрена UAC с четырьмя раз­ными вариантами настроек (см.

выше), которые, однако, не имеют ничего общего с уровнями целостности.

Они влияют только на частоту появле­ния запросов. После установки Windows ползунок установлен на значении «3». На втором и третьем уровнях пользователь не видит сообщений при изменении настроек Windows: система автоматически повышает его права. На первом уровне UAC отключен, а четвертый соответствует настройкам Vista, где оповещения появляются при любом изменении ОС.

Безопасность системных данных. С помощью уровня целостности «System» Windows защищает службы и ядро. Он препятствует даже манипуляциям с ним самим, если учетная запись администратора скомпрометировала себя. Уровень «TrustedInstaller» полу­чает установщик Windows. Только он имеет право вносить изменения в системные файлы, чтобы, например, запу­стить обновление Windows. Перед этим он анализирует сигнатуры и проверяет, действительно ли они от Microsoft и не были ли изменены. Помимо этого Windows создает дополнительную за­щиту для Internet Explorer: браузер выполняет веб-код в безопасном ре­жиме («Protected Mode») с уровнем целостности «Low». При таких настрой­ках код лишен права влиять на другие приложения, которые запускаются с уровнем «Medium». Но имейте в виду, что при отключении UAC защитный режим Internet Explorer также деактивируется.

Универсальной защиты не существует. Задачей UAC является обеспечение безопасности Windows, а не личных файлов пользователей. Хотя вредо­носное программное обеспечение не в состоянии переписать системные файлы, оно может «подсматривать» пароли с помощью кейлоггера, по­скольку даже процессы нижнего уровня обладают достаточными пра­вами для чтения. При этом програм­мы с различными уровнями могут обрабатывать общие объекты и для этого распределяют область опера­тивной памяти. Запросы UAC позво­ляют так изменять себя, что пользо­ватель может принимать их без критической проверки. Эффективность защищенного режима Internet Explorer тоже невысока, если в брау­зере и его плагинах есть свои уязви­мости. Это касается прежде всего Flash-плеера и автоматического запу­ска сторонних программ для просмо­тра графических и видеофайлов.

Создание ограниченной учетной записи

При создании учетной записи в Windows XP достаточно задать для нее «Ограниченный доступ»
При создании учетной записи в Windows XP достаточно задать для нее «Ограниченный доступ» Зайдите в Панель управления и откройте «Учетные записи пользователей». В XP нажмите на «Создать новую учетную запись», задайте имя, установите в качестве типа «Ограниченный доступ» и кликните по кноп­ке «Готово».

Создание пароля учетной записи позволит оградить систему от постороннего вмешательства и несанкционированных действий сомнительных программ
Создание пароля учетной записи позволит оградить систему от постороннего вмешательства и несанкционированных действий сомнительных программ В следующем окне выбе­рите «Создать пароль» и введите его.

В версиях Vista и 7 перейдите в «Управление другой учетной запи­сью» и найдите опцию «Создать новую учетную запись». Затем в соответствующем поле введите имя аккаунта, задайте вариант «Обычный доступ» и нажмите на кнопку «Создать учетную запись». В следующем окне кликните по новой учетной записи, перейдите к «Создать пароль» и задайте свое ключевое слово.

Если вы уже привыкли к исполь­зуемому аккаунту с правами адми­нистратора, прибегните к другой стратегии. Сначала создайте, как описано выше, вторую учетную запись, но выберите тип «Администратор». Зайдите в систему под ней и откройте «Учетные записи пользователей». Для своей старой выберите «Изменение типа учетной записи» и понизьте его до «Обычного доступа» (в XP — «Ограниченный доступ»), что позволит вам работать как прежде, но уже без прав администратора.

1
2
ПОДЕЛИТЬСЯ


Предыдущая статьяЧто умеют современные автомобили
Следующая статьяКак снимать и просматривать HD-видео
КОММЕНТАРИИ