Редактор глобальных политик Windows XP/2000
Редактор политик Windows XP/2000 — это утилита для настройки различных параметров операционной системы. По своим возможностям редактор политик далеко превосходит все известные мне программы-"твикалки". Он позволяет изменять огромное количество параметров, отвечающих за внешний вид Windows и ее безопасность. Вы можете с его помощью разрешать или, напротив, запрещать запуск тех или иных программ, прятать от системы логические диски, более тонко настраивать параметры сети, да и вообще полностью изменять привычное поведение системы. Специально выкачивать эту программу из сети Интернет вам не нужно. Если вы работаете в Windows 2003, Windows XP Professional или Windows 2000 Pro, она уже имеется в вашей системе. Если же вы работаете на Windows XP Home, она вам ничем не поможет, так как в этой операционной системе ее работа блокируется. Давайте посмотрим, какие возможности эта утилита нам предложит для того, чтобы сделать нашу систему более безопасной. В подавляющем большинстве известных мне случаев вирусы вписывают вызов своего кода в следующие ветки реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows\Run
Давайте посмотрим, как мы можем им помешать. С помощью редактора политик можно указать операционной системе не запускать никаких файлов из указанных списков автозапуска. Для того чтобы включить такой режим работы Windows, нажмите кнопку Пуск и вызовите окно Выполнить. В нем набираете название исполнимого файла: GPEDIT.MSC. В стартовавшем редакторе политик идете в раздел Local Computer Po-licies->Computer Configuration->Administrative Templates->Sys-tem->Logon. В правом окне находите параметр Do not process the legacy run list. Устанавливаете его значение в Enabled, и в дальнейшем система будет тихо игнорировать все программы, которые будут вписываться в эти две ветки реестра.
Раз уж мы все равно сюда пришли, можете заодно заблокировать запуск программ из еще одной ветви реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Она обеспечивает однократный запуск программ. Если некая программа впишется в этот список, Windows запустит ее, а затем удалит запись о ней из списка Run Once. Сделана эта возможность в основном для программ-установщиков, которым необходимо однократно отработать после перезапуска Windows. Мне не попадались пока вирусы, которые вписывались бы в это место реестра, но кто знает, что готовит нам день грядущий. За срабатывание программ из этой ветви автозапуска отвечает параметр редактора политик, называющийся Do not process the run once list. Точно так же устанавливаете значение этой политики в Enabled, и программы из ветви Run Once запускаться системой не будут.
Если вы самостоятельно отправитесь исследовать настройки в редакторе политик, то наверняка обнаружите братьев-близнецов указанных мной политик, расположенных в разделе User Configuration->Admi-nistrative Templates->System->Logon. Оба комплекта политик срабатывают одновременно, причем политики, указанные вами в разделе Local Computer, имеют приоритет над политиками конкретного пользователя. То есть, если вы запретите запуск программ в пользовательских настройках, а затем разрешите их в настройках компьютера, то программы будут запускаться несмотря на запрет их запуска для текущего пользователя. О том, зачем нужны два комплекта, на первый взгляд, совершенно одинаковых настроек, мы с вами еще поговорим чуть ниже, когда будем обсуждать запуск программ от имени другого пользователя.
Настраиваем права на автозапуск через реестр
Способ с запретом запуска программ из стартовых списков надежно блокирует запуск вирусов, но его использование чревато для вас как пользователя компьютера некоторыми неудобствами. Помимо вирусов, теперь также не смогут запуститься и очень многие небольшие утилиты из разряда тех, что "висят" у нас всех на панели задач "рядом с часиками". Они, также как и вирусы, облюбовали для себя указанные списки автозапуска и вместе с ними будут выключены из процесса обычной загрузки операционной системы. Наиболее просто решить эту проблему создав ярлыки на эти программы в обычной папке Автозагрузка. Папка эта находится на глазах у пользователя, и не многие вирусы рискуют туда записываться: слишком уж заметным станет тогда их присутствие в системе. Поэтому вы можете просто посмотреть, какие программы перечислены в списках автозапуска вашей операционной системы, а затем создать на них ярлыки в папке автозагрузки. Затем периодически заглядывайте в эту папку, дабы убедиться в том, что в ней не появилось непрошеных "гостей". Один раз мне попался довольно любопытный вирус, который демонстративно вписался именно в эту лежащую у всех на глазах папку. Удивившись такой наглости, я попытался выбросить процесс вируса из памяти, и… мне это не удалось. Как выяснилось, автор вируса назвал файл SERVICES.EXE не случайно. При попытке уничтожить процесс с таким именем WINDOWS XP меня любезно проинформировал о том, что процесс с таким именем важен для работы операционной системы и удалению не подлежит. Вот тебе и раз! При этом в системе работало два процесса services: настоящий и этот — из папки автозагрузки. Неплохо придумано! — заметил я, переименовал папку автозагрузки и перезапустил компьютер. Во время загрузки Windows не нашел папки на своем положенном месте и поэтому не смог стартовать вирус. Тогда я и стер его файл с диска без каких-либо проблем.
На своем компьютере я использую другой метод защиты списков автозапусков от проникновения вирусов. Для него я использую предоставляемую Windows XP возможность устанавливать права доступа на ветви реестра. Если вы решите последовать моему примеру, запускайте редактор реестра и отыскивайте ветку реестра HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run. Как вы, надеюсь, помните, из этой ветки стартует большинство распространенных вирусов. Встаете на нее и вызываете контекстное меню правой кнопкой мыши. В этом меню нам нужен пункт, называющийся Разрешения. После того как вы его выберете, перед вами появится следующий экран, на котором перечислены пользователи вашего компьютера и их права на эту ветвь реестра.
На самом деле большая часть показанных на этом экране прав не принадлежит ветви реестра HKEY_LOCAL_MACHI-NE\...\Run, а наследуется ею от вышележащих по дереву реестра ветвей. Поэтому первым делом нам необходимо отключить режим наследования прав для этой конкретной ветви. Нажимаете на кнопку Дополнительно и переходите к более развернутому экрану.
Снимаете галочку с поля, озаглавленного Наследовать от родительского объекта применимые к дочерним объектам разрешения… Перед вами появится всплывающее окошко, в котором будет подробно рассказано о том, что именно вы собрались делать, с тремя кнопками: Копировать, Удалить и Отмена. Выбирайте Копировать, и окошко закроется. Следующим шагом нажимаем на кнопку Добавить. В появившемся окне Выбор пользователь или группа нажмите на кнопку Дополнительно, а затем во вновь появившемся окне — на кнопку Поиск. Из заполнившегося списка внизу экрана выбираете группу пользователей Все и нажимаете кнопку OK. В принципе, можете не лазить по окнам диалогов, а сразу набрать слово "Все" в самом первом окне Добавить. Перед вами появится экран расширенного задания прав для ветви реестра Run всем группам пользователей. Пока ставьте в качестве временной заглушки "Полный доступ", позже мы зададим настоящий набор прав. Я привел вас к этому окну таким сложным путем не напрасно. Обратите внимание на список прав, которое можно настроить с его помощью. Их количество существенно превышает тот набор, который доступен через обычное окошко. Если вам понадобится тонкая настройка прав на тот или иной объект, всегда заходите в это окно диалога: тут возможностей побольше.
Комментарии (0)