Сам себе антивирус

Во Времени тихушников мы поговорили о том, как появились вирусы и о том, как за время своего существования они эволюционировали из небольших авторских программ в сложные технические продукты. Они стали очень хитрыми, незаметными и коварными, а ваш антивирус (даже если он профессиональный и платный) имеет полное моральное право пропустить удар в «день 0».

И, тем не менее, нет повода расстраиваться. Пусть антивирус занимается своим делом, а мы дополнительно обезопасим себя, освоим пару несложных приемов самообороны против вирусов.

Наше обучение начинается с разграничения учетных записей на «Администратора» и «Пользователя с ограниченными правами». Администратор у нас будет заниматься инсталляцией новых и удалением старых программ, а «ограниченный пользователь» предастся своим главным и любимым занятиям – играм, просмотрам фильмов и просиживанию жизни в социальных сетях.

Если вы никогда умышленно не создавали учетных записей, то можете не сомневаться, что зашли сейчас к нам на сайт, как Администратор своего компьютера. Бродить по просторам интернета с правами администратора – это примерно так же осмотрительно, как гулять по неблагополучным районам, держа в руках документы, кредитки, деньги, ключи и телефон.

Можно, конечно, рассчитывать на то, что вокруг вас благонадежные граждане, а полиция внимательно бдит за вашей безопасностью, но, случись что, именно такой «администратор» и станет первой жертвой.

Запомните – ни одна программа, в том числе и вирус, не сможет заразить ваш компьютер или попасть в автозагрузку или реестр, если у нее нет для этого прав. Это слабое место всех вирусов. Даже Скайнет можно было бы остановить, правильно настроив учетные записи и политику безопасности.

учетные записи

Давайте уберем эту брешь из вашей защиты. Для этого зайдите в Панель управления и пройдите по этому пути:

  • Панель управления
    • Все элементы панели управления
      • Учетные записи пользователей
        • Управление учетными записями
          • Создание новой учетной записи.

Этот путь работает в Windows 7, если у вас другая версия Windows – возможны варианты. Если что – задавайте вопросы в комментариях, разберемся, как там у вас. Здесь мы создадим себе запись Пользователя с ограниченными правами.

Создание учетной записи

Придумайте этому пользователю имя, поставьте флажок на Обычный доступ и нажмите Создание учетной записи. В разных операционных системах возможно вариации того, как создается новая учетная запись, но я думаю, что вы справитесь. И, вот, появился персонаж, который и будет у нас шататься по интернету в поисках приключений.

Зачем мы его создали?

Вирус не обладает магическими свойствами, это обычная запускаемая программа. Вирус может прописать себя таким образом, что будет запускаться всякий раз, когда пользователь входит в систему. Однако, если пользователь поражен в правах, например, не имеет права вносить изменения в реестр, запускать программы (кроме разрешенных), устанавливать драйвера, менять загрузочный сектор и так далее, то и вирус не сможет ничего этого делать.

Поэтому всякие рисковые операции и, прежде всего, посещение Интернета, мы доверим пользователю с ограниченными правами, а администратора прибережем для эксклюзивных операций. Ну, в самом деле, вы не каждый день устанавливаете на компьютере новые программы? Можно, ради такого и переключиться между пользователями.

Обратите, однако, внимание то, что после того, как вы создадите второго пользователя, вам нужно будет настроить у него рабочий стол так, как вы привыкли работать. Потратьте на это немного времени, и тогда сможете легко переключаться между двумя пользователями, не раздражаясь и не теряя времени.

Уже даже этот способ защитит вас от многих возможных атак. Однако, у счастливых обладателей Windows 7, 8 или 10 в версии Professional есть еще масса полезных инструментов.

Второй уровень защиты для версии Professional

Если Windows прилагалась к компьютеру, то, скорее всего, это версия Home. Увы, если у вас такая, то, что написано дальше – не для вас. Однако, если задумаете прикупить новую операционную систему, то обратите внимание на то, что в официальных магазинах Windows 10 Home стоит примерно 7200 рублей, а Professional – 10200. Плюс три тысячи – и у вас дополнительный механизм защиты.

Зачем же он нужен?

«Ограниченный пользователь» все равно нахватается вирусов в сети, и они будут пытаться делать свое черное дело в рамках его учетной записи. Поэтому нужно еще кое-что сделать, чтобы пообрубать их возможности.

Для этого мы используем Локальные групповые политики, а точнее Политики ограниченного использования программ (Software Restriction Policies). С их помощью можно создавать «черные» и «белые» списки запускаемых на компьютере программ.

Например, мы хотим лишь играть и ходить по интернету. Тогда нам нужно разрешить запуск программ лишь их трех папок:

  • c:\windows
  • c:\program files и
  • с:\games (или где они у вас лежат),

а все остальное мы запретим.

Когда вирусы полезут к «ограниченному пользователю» с веб-сайта их ждет сюрприз: первым местом приземления на компьютере служит папка temporary internet files, а оттуда запуск программ мы не разрешим.

Вирус приехал на флэшке от друзей? И тут облом –запуск с диска F:\ закрыт. Эта политика не предотвратит сохранения тела вируса на диске, но она не позволит вредоносной программе запуститься и начать действовать. А дальше ваш антивирус, рано или поздно, ее там найдет и грохнет.

Как же включить этот волшебный инструмент?

Прежде всего, вам нужно зайти в учетную запись администратора (для этих задач он подходит лучше, чем для разглядывания котов в социальных сетях). Итак, нажимаем «Win+R» и в появившейся строке вводим gpedit.msc (это исполнительный файл редактора групповых политик).

Раскройте папку:

  • Конфигурация windows →
    • Параметры безопасности →
      • Политики ограниченного использования программ.

Политика еще не создана. Нажмите правой кнопкой на Политики ограниченного использования программ»и выберите Создать политику ограниченного использования программ.

Политики ограниченного использования

Что ж, политика создана, но необходимы настройки. Кликните два раза по Применение.

В открывшемся диалоговом окне выберите:

  • Ко всем файлам программ
  • Всех пользователей
  • Игнорировать правила сертификатов

групповые политики

При такой настройке проверяться будут все программы и динамические библиотеки, а политика будет работать для всех пользователей включая самых опасных – Администраторов. Если вы используете много программ, хранящих свои модули в профилях пользователей, то можно отменить проверку DLL библиотек, однако стоит помнить, что существует множество вирусов маскирующихся под DLL.

Теперь настроим типы файлов, которые фильтруются политикой. В редакторе локальной групповой политики жмите на Назначенные типы файлов –

назначенные типы файлов

Чтобы не иметь проблем с использованием ярлыков удалите расширение «.lnk» из списка обрабатываемых. Ярлык и целевая программа обрабатываются отдельно, так что обойти защиту таким способом будет невозможно, а вы обойдетесь без досадных помех.

назначенные типы файлов 2

Дальше в редакторе локальной групповой политики заходим в Уровни безопасности

Уровни безопасности 2

Вы увидите три уровня:

  • «Запрещено». Программное обеспечение запускаться не будет вне зависимости от прав доступа пользователя. Запускаться будут только программы из «белого списка».
  • «Обычный пользователь». Разрешает выполнение программ без прав Администратора, но позволяет обращаться к ресурсам, доступным обычным пользователям.
  • «Неограниченный». Доступ программ к ресурсам определяется правами пользователя. Запускаться будут все программы, кроме тех, которые вы указали в «черной списке».

Уровни безопасности

Назначьте Запрещено в качестве режима По умолчанию. Для этого наведите курсор на «Запрещено», щелкните правой кнопкой мышки и выберете «по умолчанию». В папке «Дополнительные правила» находятся исключения из политики ограничения –

Дополнительные правила

Заходим внутрь и смотрим. По умолчанию там уже должны быть прописаны папки Windows и Program files. Но чтобы избежать недоразумений рекомендую удалить начальные настройки (с ними у меня нередко возникали проблемы) и создать их самому. Для этого правой кнопкой мышки вызываем контекстное меню в правой части окна.

Выбираем Создать правило для пути

Правило для пути

В появившимся окне вводим путь для папки которой хотим сделать исключение. Нам необходимо исключить С:\Windows, C:\Program Files и C:\Program Files (x86), поэтому вам нужно будет повторить эту процедуру трижды. Каждому пути присваиваем уровень безопасности Неограниченный.

Неограниченный уровень безопасности

Таким образом мы обозначили папки, которым мы безгранично доверяем. Сюда можно добавлять и другие папки, но будьте осторожны – не вносите сюда прямые пути в корневой каталог локального диска или путь к сменному носителю, с уровнем безопасности «неограниченный». Если вы сделаете это – наши хитрости не сработают.

После первой настройки правил компьютер нужно будет перезагрузить. В дальнейшем, когда вы будете вносить в правила какие-то изменения, они начнут действовать без перезагрузки.

Если в результате изменений вдруг перестала работать какая-нибудь очень нужная программа зайдите в «Журнал событий». Для этого нажимаем «Win+R» и в уже знакомом окне вводим eventvwr.msc. Появится окно «Просмотр событий». В этом окне выберете «Журналы Windows» → «Приложения».

Журналы Windows

Вы увидите предупреждение от SoftwareRestrictionPolicies с кодом события 865. Внутри этого сообщения указывается путь к заблокированному приложению.

Свойства событий

Необходимо добавить этот путь в Дополнительные правила, то есть туда, куда вы внесли пути C:\Windows, C:\Program Files и C:\Program Files (x86).

Что же у нас получилось?

У вас на компьютере появилось два пользователя. Один для настроек системы и инсталляции и удаления программ (Администратор), а второй – для Интернета и игр (Пользователь с ограниченными правами). Это ограничит распространение вирусов по системе.

Кроме того, теперь лично Вы контролируете – какие программы будут запущены на компьютере, а какие нет. Это может показаться слишком мудреным и неудобном, но в реальности-то вы используете всего лишь несколько путей запуска программ на компьютере: windows, program files и, скажем, games, если они у вас отдельно хранятся. Не так сложно один раз прописать разрешенные пути.

Обратите внимание на то, что все эти ограничения не помешают вам запускать фильмы и смотреть фотографии в любой папке на компьютере. Ограничения касаются только запускаемых программ и динамических библиотек. Эти меры очень серьезно ограничат возможности вирусов на вашем компьютере, а штатный антивирус добьет те вирусы, которые приземлились во временных файлах интернета или на локальных дисках (если прибыли с флешек или других носителей).

Попробуйте – безопасность ваших данных, без преувеличения, будет в ваших руках.

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

1 комментарий

по хронологии
по рейтингу сначала новые по хронологии
1

Это что же получается? Когда в 2010 году Stuxnet поломал иранские центрифуги - это иранцы поленились групповые политики прописать?