Боремся с вирусами в Windows XP

Подавляющее большинство компьютерных вирусов, проникнув на ваш компьютер, первым делом обеспечивают условия для последующего запуска своего программного кода. Без этого вирусу никак нельзя. Нравится подобное принуждение разработчику вируса или нет, он все равно обязан запрограммировать этот фрагмент кода.

11.10.2004 00:00
Боремся с вирусами в Windows XP
Страницы: Пред. 1 2 3

А сейчас нажимаете кнопку OK и возвращаетесь к нашему начальному окну дополнительных параметров безопасности для ветви Run. В списке пользователей, помимо тех, что были тут ранее, появился вновь созданный нами пользователь по имени "Все". Теперь можно смело удалять всех других пользователей, кроме того, которого мы только что создали. Участник безопасности Windows "Все" — универсальная группа, которая заменит собой любую другую, поэтому можете без опасений нажимать кнопку Удалить даже на столь грозно называющихся участниках, как SYSTEM или Администраторы. После того как вы удалите всех лишних пользователей, окошко расширенных прав примет у вас примерно вот такой вид:


автозапуск

Устанавливаете галочку Заменить разрешения для всех дочерних объектов заданными здесь разрешениями и нажимаете кнопку Применить. Появится грозное окно, которое предупредит вас о том, что сейчас будут удалены все явно заданные разрешения для вложенных объектов. Соглашаетесь с этим и нажимаете кнопку Да. Галочка, которую мы с вами устанавливали, снова окажется сброшенной — не обращайте на это внимания — так оно и должно быть. Теперь нажимаем кнопку OK, закрывая тем самым окно дополнительных настроек прав. Вы вернетесь к окну разрешений для ветви реестра Run. Список пользователей в нем теперь состоит из одного пункта Все, и для него задан набор прав Полный доступ. Щелкаете мышью по пункту Запретить полный доступ, а затем — по пункту Разрешить чтение. Окно разрешений для ветви реестра Run после всех наших действий должно принять следующий вид:


автозапуск

Ну вот, с веткой реестра HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Windows\ Run мы с вами разобрались, теперь проделайте все то же самое с веткой HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run. Что мы получили в результате? После наших настроек никто включая нас самих не сможет что-либо изменить в этой ветви реестра. Нельзя создавать новые пункты, удалять уже имеющиеся или модифицировать их значения. Таким образом, программа-вирус, попытавшаяся "заразить" нашу систему, не сможет сделать себя автоматически запускаемой, не получит управления при следующей загрузке и благополучно "скончается" естественным образом. Файл с телом вируса, конечно, останется лежать там, где он "упал" в вашей системе, но вреда он вам не принесет. Разумеется, если вы сами его впоследствии вручную не запустите. Но и в этом случае история повторится, и вирус будет активен лишь до тех пор, пока вы не выключите компьютер. Дорога в автозагрузку ему заказана.

Запуск приложений для работы в Интернет от имени непривилегированного пользователя

Когда я вам рассказывал про редактор политик, то обещал еще вернуться к теме двойного комплекта настроек в его меню. Этот двойной комплект необходим вам в том случае, если вы поддерживаете на своем компьютере модель безопасности, похожую на модель, используемую в операционной системе "Линукс". То есть у вас есть пользователь — системный администратор (root), в задачи которого входит настройка компьютера, и есть некоторое количество обычных пользователей. Эти обычные пользователи работают себе в Интернет, создают документы в MS Word и выполняют прочие повседневные задачи. В том случае, если ваш компьютер действительно персональный, и на нем работаете вы один, то вы один и выполняете роли всех других пользователей поочередно. Если вам нужно настроить что-либо в системе, заходите в нее как администратор. Если же вам просто нужно набить текст в Word, заходите в вашу систему как обычный пользователь. Если вы приверженец подобного разделения обязанностей, можете завести специального пользователя для того, чтобы ходить в Интернет. Заходите в систему под его именем и настраиваете указанные политики в разделе текущего пользователя, не трогая настройки в разделе локальной машины. При этом остальные пользователи будут работать со своим набором политик, и ваши изменения их не затронут. С точки зрения безопасности работы в Интернет подход, принятый в "Линукс" более предпочтителен. Широкого распространения он не получил в основном из-за того, что более сложен в исполнении для конечного пользователя. Многие из них включая меня самого привыкли заниматься привычным делом — игрой или программированием — параллельно с закачкой больших файлов из Интернет в качестве фоновой задачи. При подходе, принятом в "Линукс", вам придется дать пользователю, работающему в Интернет, достаточно прав для запуска обычных приложений. Но при такой системе теряется весь смысл создания подобного отдельного пользователя для работы в Интернет. Более умным способом решения этой проблемы является загрузка в качестве привычного для вас пользователя и запуск интернет-браузера от имени другого, специально созданного, или же текущего пользователя, но с усеченным набором прав. Подобную функциональность поддерживает и Windows XP. Щелкните по ярлыку IE правой кнопкой мыши, выберите пункт Запускать от имени... В появившемся окне мастера вы можете указать, от имени какого пользователя следует запускать данное приложение. Наиболее простым и вместе с тем достаточно надежным методом запуска приложений для работы в Интернет является запуск их с использованием усеченного набора прав текущего пользователя. Для этого режима на закладке мастера даже предусмотрена специальная галочка, включенная по умолчанию. Вам достаточно, ничего не исправляя, нажать кнопку OK, и приложение запустится с использованием усеченного набора прав. Интернет-браузер не сможет записывать файлы в системные папки вашего компьютера, а запущенные с его помощью программы не смогут получить доступ к реестру или совершать другие потенциально опасные действия. Но за большую защищенность вы платите усложнением работы с приложением. Недостаточно уже просто щелкнуть по ярлычку, чтобы запустить программу. Каждый раз перед ее запуском необходимо использовать указанный мастер, а это через некоторое время начинает раздражать.


групповые политики

Microsoft предлагает два способа сделать работу в этом режиме более простой. Во-первых, можно в свойствах ярлыка указать, что он должен запускаться с другим набором прав. В этом случае стоит вам щелкнуть по ярлыку обычным образом, и мастер выскочит на экран сам. После его появления щелкаете по кнопке OK, и готово: приложение запущено. Второй способ заключается в использовании консольной утилиты runas. Вы можете создать командный файл, в котором указываете, что нужное вам приложение должно запускаться от имени другого пользователя. Затем создаете ярлык на этот файл и запускаете этот ярлык вместо самого приложения. Создадим для примера командный файл, предназначенный для запуска браузера Internet Explorer от имени пользователя Internet User. Открываем Блокнот и записываем в нем следующую команду:

runas /user:InternetUser "C:\Program Files\Internet Explorer\iexplore.exe"

Сохраняете этот файл под именем IE.BAT, затем щелкаете мышкой по созданному файлу, запуская его на выполнение. После того как вы запустите этот файл вас попросят ввести пароль пользователя Internet User. Вводите пароль и нажимаете Enter. Вот и весь фокус: браузер запускается от имени указанного вами пользователя. Осталось лишь таким образом настроить права этого пользователя, чтобы его действия не могли нанести ущерб операционной системе.

К моему сожалению, обязательного ввода пароля мне избежать пока никак не удается. Утилита не содержит ключей, позволяющих задать пароль прямо в командной строке. Более того: вам не удастся просто так, без дополнительных настроек, использовать для запуска и пользователя с пустым паролем (а значит, просто нажимать Enter в ответ на подсказку). Для того чтобы система разрешила вам это сделать, придется воспользоваться редактором системных политик. Идете в Computer Configuration->Windows Settings->Security Settings->Security Options и отыскиваете там параметр Accounts: Limit local account use of blank passwords to console logon only. По умолчанию значение этого параметра в Windows XP SP1 установлено в Enabled. Переставьте его в Disabled, и вы получите возможность использовать для запуска приложений учетную запись с пустым паролем.

Страницы: Пред. 1 2 3
Оцените материал:  
(Голосов: 4, Рейтинг: 3.16)

Каждый вечер мы будем присылать вам одно письмо со всеми опубликованными за день материалами. Нет материалов - нет писем, просто и удобно (другие варианты).

Материалы по теме


Комментарии (0)