Защита реестра от изменений. Программы защиты системы(от кривых и шаловливых ручек).Мечта сисадмина. О Избегайте создания новых оболочек

За всю свою историю Windows очень сильно пострадала от вредоносных программ. И уровень заражения на более старых операционных системах, где пользователи, обычно, не используют UAC (особенно на домашних ПК) и позволяют вредоносным программам, таким как вирусы, шпионские и троянские программы, создавать свои записи в реестре, которые затем дают им доступ к сердцу ПК, значительно выше.

Защита реестра от шпионских программ и вирусов

И по-прежнему домашние компьютеры страдают больше чем ПК на предприятиях. Как правило, на предприятии пользователь получает предварительно сконфигурированную, уже настроенную систему, которая в значительной степени «заблокирована», и оператор ПК не имеет необходимых прав для установки дополнительного программного обеспечения. Устанавливают или добавляют программное обеспечение только ИТ-специалисты и члены службы поддержки, и обычно это делается централизованно с помощью групповой политики. По умолчанию, пользователи регистрируются членами группы стандартных пользователей, что позволяет им вносить изменения только в своём профиле ПК. В некоторых ситуациях этот профиль фиксируется или ограничивает взаимодействие человека с системным реестром.

Члены рабочей или домашней группы в популярных у малых предприятий сетях с десятком ПК, часто настроены на совместное использование нескольких ресурсов, например, файлы, папки и принтеры. Эта небольшая общая сеть обеспечивает идеальную среду для совместного использования программного обеспечения, но в свою очередь, часто приводит к заражению вредоносным ПО всех входящих в неё компьютеров.

Риск заражения вредоносными программами и повреждение реестра у пользователей домашних ПК намного выше, и они менее осведомлены о своей уязвимости. Пользователи этой группы устанавливают программное обеспечение гораздо чаще и из различных источников, обычно с торрент-сайтов или файловых обменников. Как правило, домашний пользователь в качестве обычной учётной записи использует учётную запись администратора, игнорирует предупреждения системы безопасности и предназначенные для предотвращения несанкционированной установки программного обеспечения подсказки UAC, а ведь вредоносные программы довольно часто идут в комплекте с бесплатным или условно-бесплатным программным обеспечением.

Защита с помощью Windows Defender

В Windows 8 и 8.1 встроена своя защита от вредоносного ПО под названием Windows Defender, которая для Windows 7 доступна в качестве дополнительной загрузки и называется Security Essentials. Этот пакет составляет главную внутреннюю защиту Windows от вирусов, вредоносных программ и шпионских атак, хотя безопасность системы в немалой степени зависит и от дополнительных компонентов Windows, например, SmartScreen. До тех пор, пока это программное обеспечение работает и у вас включена функция обновления Windows, ваш компьютер защищён, а Windows Defender следит за вашей системы в режиме реального времени.

Для того, чтобы убедиться, что ваша защита от вредоносных сигнатур актуальна, Windows Defender настроен для работы в фоновом режиме и выполняет сканирование в режиме реального времени, выполните следующие действия:

Введите на стартовом экране Defender и нажмите Enter.
Откроется Windows Defender.
Проверьте состояние защиты в режиме реального времени (вкл/выкл).
Проверьте состояние определений для вирусов и шпионского ПО.
При необходимости нажмите кнопку «Обновить».
Закройте Windows Defender.

Поскольку Microsoft, используя данные от миллионов компьютеров по всему миру, обновляет сигнатуры вредоносных программ через Windows Update, ваш ПК с Windows защищён от постоянной угрозы вредоносных программ.

Корпоративные клиенты, для защиты от вредоносных программ, настраивают свои ПК на обновление антишпионского программного обеспечения корпоративного уровня, что даёт больше возможностей для управления, такого как развёртывание и изоляция на основе карантина.

Введение контроля учётных записей UAC значительно снизило уровень заражения ПК, хотя вредоносные программы также продолжают развиваться и находят новые инновационные способы заражения компьютера.

Защита пользователя UAC

Контроль учётных записей UAC в этой статье мы уже упоминали, и хотим ещё раз подчеркнуть важность сохранения этой функции по умолчанию. UAC защищает не только реестр, но и всю систему Windows.

Большинство вредоносных заражений и повреждений реестра связано с выполняемыми на правах администратора задачами, самым доверенным статусом. С другой стороны, стандартные учётные записи пользователей, ограничены в своей способности вносить изменения в систему, даже предотвратить запуск подозрительных инструментов, которые могут быть использованы для нежелательных изменений, например, установке приложения, что тоже плохо.

Некоторые источники упоминают контроль учётных записей в качестве инструмента защиты системы от самого пользователя, но, к сожалению, владельцами домашних компьютеров он часто игнорируется. Как уже упоминалось, это в первую очередь происходит из-за отсутствия понимания того, что на самом деле UAC делает и как это влияет на общую стратегию защиты ПК, абсолютно необходимую в современном мире вычислительной техники. Грубо говоря, контроль учётных записей - это основное оружие против постоянно меняющейся угрозы со стороны вредоносных программ.

В рамках предприятия, простые пользователи UAC обычно не видят, так как не устанавливают программное обеспечение и не вносят изменения в систему. Эти задачи выполняют специалисты службы поддержки ИТ. ИТ специалисты имеют необходимые административные привилегии, инструменты и знания, чтобы правильно реагировать на запросы UAC.

Как уже упоминалось, большинство пользователей домашних ПК являются администраторами компьютера. Домашних энтузиастов UAC часто раздражает. Исследования показали, что в течение определённого времени, постоянные подсказки UAC дают обратный результат, пользователи не обращают внимание на предупреждения и вместо того, чтобы учесть эту просьбу, считают контроль учётных записей простым препятствием для пользовательских изменений.

Однако, основная цель контроля учётных записей не раздражать пользователей. К счастью в Windows 8, в взаимодействие контроля учётных записей и пользователя были внесены некоторые изменения. Эта тонкая настройка, безусловно, приветствуется, но в основном может быть признана новыми пользователями Windows, которые не были разочарованы UAC с его появления в Windows Vista.

Для изменения параметров контроля учётных записей, введите на стартовом экране UAC и нажмите «Enter».

Стандартные учётные записи пользователей могут быть использованы для выполнения следующих задач:

Запись на CD/DVD носители
Изменение фонового рисунка рабочего стола
Изменение часового пояса
Изменение своего пароля учётной записи пользователя
Настройка параметров доступа
Настройка параметров питания
Подключение к Wi-Fi или локальной сети
Установка драйверов с Windows Update или те, которые поставляются с ОС Windows
Установка обновлений из Центра обновления Windows
Изменение параметров дисплея
Соединение и настройка Bluetooth устройств и ПК
Устранение неисправностей и диагностика сети
Воспроизведение с CD/DVD носителей
Восстановление собственных файлов из истории файлов
Подключения к другому компьютеру с помощью удалённого рабочего стола
Просмотр большинства настроек, хотя при попытке их изменить потребуется повышение прав.

Администраторы имеют больше возможностей — они могут читать, писать, выполнять, изменять все ресурсы и права доступа на ПК.

Одним из наиболее заметных аспектов контроля учётных записей является то, что даже администратор должен работать с рутинными стандартными разрешениями на уровне пользователя. Только тогда, когда он пытается выполнить административное задание появится всплывающее окно UAC, которое даёт понять, что задача требует административных прав на завершение операции (или отмены её). Этот принцип известен как режим одобрения администратором.

Повышение прав UAC — Типы

Тип прав доступа - Описание

Consent (разрешение) — только администраторам в режиме одобрения основного администратора, когда они пытаются выполнить административную задачу
Credential (временное разрешение)- для обычных пользователей, когда они пытаются выполнить административные задачи.

Типичные сценарии, при которых обычному пользователю для выполнения задачи потребуется повышение прав до административных включают в себя следующее:

Добавление или удаление учётной записи пользователя
Переход в папку другого пользователя
Изменение типов учётных записей пользователей
Изменение настроек брандмауэра Windows
Настройка автоматического обновления
Настройка родительского контроля
Установка драйверов для устройства
Установка элементов управления ActiveX
Установка и деинсталляция приложений
Изменение параметров контроля учётных записей
Перемещение или копирование файлов в директории Program Files или Windows
Восстановление файлов резервных копий системы
Расписание автоматизированных задач.

Для пользователей ОС Windows 8.1 и более поздних версий, отключение контроля учётных записей не возможно, оно фактически является неотъемлемой частью современной модели безопасности операционной системы. Но можно заставить его замолчать, переместив ползунок в самый низ (никогда не оповещать).

Защита Windows с помощью программы Shadow Defender

Стопроцентная защита Windows возможна с помощью программы Shadow Defender. Она избавит Вас от проникновения в ваш компьютер всякого рода вируса и вредоносных программ. В последнее время все чаще пользователи жалуются, что после путешествия по просторам интернета в работе компьютера замечаются изменения в худшую сторону. Например, непроизвольно стали изменяться настройки компьютера, постоянно выскакивает какой-нибудь порнобаннер, произвольно открываются различные окна браузера, перестают запускаться программы или компьютер вообще заблокирован интернет-мошенниками, которые требуют с вас деньги по SMS.

Кстати, о том как удалить баннер вымогатель я писал здесь. Безусловно бывают случаи, когда мы сами неосознанно нарушаем правильную работу системы, установив какие-нибудь сторонние программы или драйвера. Программа будет чрезвычайно полезна если за вашим компьютером работают не опытные пользователи, после которых все нужно приводить в порядок или просто Вам нужно протестировать программу не засоряя бесполезными записями реестр Windows.

Безопасно войти на сайт или форум с вирусами, протестировать работу и внести изменения в локальную разработку сайта, поэкспериментировать над файлами системы и внести некие изменения в ее работу. Все это возможно с замечательной программой Shadow Defender, которая создаст виртуальный снимок указанной области жесткого диска с которым вы и будете дальше работать. После такого перевоплощения вам не будут страшны не вирусные атаки, не удаление с защищенной области любой информации. Потому, что после перезагрузки компьютера все вернется на круги своя. Конечно, есть и другие способы защиты компьютера, но это превзойдет все ваши ожидания.

Программа Shadow Defender поставит систему Windows в режим тени с выборочным сохранением данных, что поможет предотвратить потерю важной информации и защитить операционную систему от проникновения разного рода вируса. На сегодняшний день программа совместима только со всеми версиями операционной системой Windows (XP/7/8). Следует сказать, что программа эта платная, но в триальном режиме Shadow Defender прослужит 30-дней.

Скачать свежую версию программы Shadow Defender можно на официальном сайте.

Чтобы русифицировать Shadow Defender, нужно скачать под свою версию программы на официальном сайте русский пакет (файл res.ini). Осталось только переместить файл res.ini с заменой в папку, где установлен Shadow Defender. Теперь программа понимает русский язык. Я уже давно пользуюсь данной программой и никаких нареканий по ее работе у меня нет, поэтому рекомендую вам взять ее на вооружение в свой арсенал полезных программ. Итак, ближе к делу. Вот вам от меня подробная инструкция по Shadow Defender.

Как пользоваться программой Shadow Defender.

— Конфигурация. Я думаю здесь все понятно, скажу только что обязательно отметьте пункт «Оповещать о нехватке свободного места» иначе если зарезервированного места не хватит Shadow Defender будет работать неправильно, а значит есть риск потерять важную информацию. Кликнув на кнопочку «Больше информации» вы можете увеличить или уменьшить зарезервированную область для каждого раздела жесткого диска. Очень важно, чтобы свободного места программе хватало.

— Сохранить. Очень полезная опция, которая призвана сохранить файл или папку, когда вы находитесь в защищенном режиме. Например, Вы включили защищенный режим на все разделы винчестера и пошли гулять по просторам интернета. Гуляли, гуляли и вдруг вы находите то, что искали.

Скачиваете файл к себе на жесткий диск, но для того чтобы файл остался после выхода из защищенного режима, вам необходимо его добавить через опцию «Сохранить», выбираете файл и нажимаете кнопку «Принять». Теперь скачанный или измененный файл (Если изменяли какой-нибудь файл, то он сохранится в измененном виде) после выхода из защищенного режима останется на винчестере.

— Исключения. В программе очень хорошо реализована функция сохранения измененного содержимого в папках и файлах, которые находятся в списке исключений. Добавив папку или файл в список исключений, все изменения в этой папке по завершению работы Shadow Defender будут сохранены. Иными словами: вы заренее вносите в программу те папки и файлы в которые будете вносить изменения.

— Настройки. Самая важная опция в этой программе. В настройках можно выбрать, какой раздел будет в защищенном режиме и какие действия следует выполнить по выходу из защиты. Возможна так же полная защита компьютера, если отметите все области жесткого диска. Программа предлагает несколько действий по выходу из режима:

— Отключить защищенный режим и перезагрузить ПК сейчас.

— Отключить защищенный режим и выключить ПК сейчас.

— Оставаться в защищенном режиме после перезагрузки.

— Статус системы. Информационная опция, в которой можно посмотреть: какие разделы работают в защищенном режиме, емкость, сколько места занято на разделе и сколько свободно, сколько места занял Shadow Defender, список исключений.

Как видите программа не заменима в ведении онлайн бизнеса и может сохранить Вам приличную сумму денег. А вообще она будет полезна не только интернет бизнесмену, но и любому любопытному и не очень пользователю. На мой взгляд это просто отличная программа для защиты вашего компьютера в интернете, всевозможных тестов и безопасных прогулок в сети. Это надежная защита компьютера в интернете.

На этом буду заканчивать данный пост. Надеюсь статья была для вас полезной и легкой к восприятию. До встречи на страницах блога. Пока!

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .

Программа для очистки реестра

Каждая программа, которую вы устанавливаете на компьютер, вносит изменения в реестр — базу данных, содержащую информацию обо всех настройках, необходимых для нормальной работы операционной системы. Даже если приложения уже давно нет, его следы все еще хранятся, накапливая ненужные мегабайты и понижая эффективность работы. Чтобы этого не происходило, скачайте программу для очистки реестра — самый простой и быстрый способ поддерживать работоспособность компьютера на максимуме.

Что такое реестр и зачем его чистить?

Компьютерный словарь Microsoft определяет реестр как иерархическую централизованную базу данных для хранения сведений, необходимых для настройки операционной системы, работы с пользователями, программными продуктами и устройствами.

Если проще — это набор данных для нормальной работы Windows любой серии. Он выглядит как дерево из стандартных папок, в которых по иерархии содержатся другие каталоги с файлами. Каждое изменение в системе — установка программы, удаление, изменение настроек — вносит правки в целостность реестра. В результате дерево растет и занимает приличное пространство. Очистка реестра помогает предотвратить ряд проблем и сбоев в работе Windows.

3 признака, что вам пора скачать программу для очистки реестра:

Программа, которая еще вчера запускалась с полуклика, теперь сильно тормозит во время работы и медленно загружается.
Операционная система периодически дает сбой — выпадает в BSOD или выдает системные ошибки.
Настройки одной или нескольких программ слетели к «заводским» параметрам без вашего ведома.

Какую программу выбрать?

Выбор в Сети обширный. Минусов всего два — бесплатные программы распространяются без какой-либо защиты на агрегаторах софта, а потому могут стать источником проблем куда более серьезных, чем легкие «тормоза» системы. При этом будьте аккуратны — наскоро сделанный софт часто может навредить реестру, удалив тонкую настройку или системные файлы, приняв их за «хлам».

Второй момент — за платные придётся платить и регулярно обновлять версии. Но к счастью, существует третий путь, которым пошли почти полмиллиарда людей — скачать и установить бесплатную программу для очистки реестра — антивирус 360 Total Security от Qihoo 360.

Что еще вам даёт 360 Total Security

Понимая потребности пользователей, антивирус и программа для очистки компьютера от Qihoo 360 даёт больше, чем ожидаете:

Ускорение операционной системы. Кроме очистки реестра, антивирус проверяет жесткие диски, после чего предлагает удалить мусорные файлы и давно неиспользовавшиеся программы.
Уменьшенная нагрузка на операционные ресурсы. Чтобы Windows не замечал присутствия антивируса, в нем реализована технология Cloud 360, которая использует виртуальные ресурсы для обработки данных.
Одновременная работа сразу 5 движков. Это действие на опережение — даже те вирусы, которые пока не попали в базу, будут мгновенно выявлены и обезврежены. Для максимальной эффективности можно подключить алгоритмы Avira и Bitdefender.

Полная безопасность работы онлайн — проверка Wi-Fi подключения, защита от фишинговых сайтов и кейлоггеров, полная безопасность личных контактов, web-камеры.

Чтобы скачать программу для очистки реестра и при этом надежно защитить данные вашего компьютера от вирусов, загрузите 360 Total Security с главной страницы сайта. Уже через пару минут вы сможете быстро проверить файловую систему на наличие ошибок или посторонних ключей. Выбирайте программу, которую оценили более полумиллиарда людей по всему миру!

www.360totalsecurity.com

Программа защиты реестра

Каждый день появляются новые вирусы, шпионские программы, модули, показывающие рекламу. Работа без антивируса сродни самоубийству: если раньше вопрос звучал как «Заразишься или нет?», то теперь он звучит «Как быстро заразишься?». Чем активнее пользователь проводит время в Интернете, скачивает файлы, посещает сомнительные сайты, тем выше вероятность заражения компьютера. Особую опасность представляют файлы, полученные из обменных сетей. Именно эти сети, наряду со спамом, используются для распространения новых вирусов. И антивирусы в этом случае пасуют: в их базах ещё нет сигнатур, они пропускают скачанные файлы как «чистые». Лишь после запуска такого файла пользователь может по косвенным признакам (вдруг появившийся большой исходящий трафик, странные сообщения на экране, снижение производительности компьютера, запущенная программа не выполняет тех функций, для которых она была якобы создана и так далее) догадаться о заражении компьютера. Большинство пользователей ничего не заметят, а работающий антивирусный мониторинг создаст ложное чувство безопасности. Лишь через несколько часов, а иногда и дней, после того, как описание нового вируса будет добавлено в антивирусные базы, после того, как антивирус скачает и установит обновления, новый вирус, возможно, будет обнаружен. И только после этого начнётся лечение компьютера. А за эти дни или часы компьютер распространял новый вирус со скоростью подключения к Интернету, рассылал спам, использовался для исполнения атак на серверы, иначе говоря, был зомби, который пополнил армию таких же зомби, внеся ещё одну каплю хаоса в Сеть.

На данном этапе развития компьютерной техники мы подходим к пониманию того, что существующие сейчас технологии обнаружения вирусов, использование антивирусных баз с сигнатурами, не эффективно. При нынешних скоростях распространения файлов в Сети (обменные сети, спам) антивирусы всегда будут в роли догоняющих.

Совсем недавно автор этой статьи вручную вычищал компьютер от нового вируса, который не обнаруживался антивирусом, установленным на компьютере пользователя. Производителя антивируса, весьма известную во всём мире и успешную компанию, по понятным причинам называть не стану. После обнаружения библиотеки вируса она была проверена всеми доступными антивирусами со свежими базами описаний. Ни один, за исключением Dr.Web, не обнаружил в библиотеке ничего опасного. Тем не менее, вирус успешно собирал информацию об адресах посещаемых пользователем сайтов, его логины и пароли, вводимые на этих сайтах, а затем отправлял собранную информацию автору вируса. Судя по механизму заражения, компьютер был инфицирован при посещении какого-то сайта и, очень вероятно, что источником вируса был баннер, показанный на одной из страниц (изучение истории посещений в браузере не выявило в списке какого-либо криминала).

Ещё более удручающим выглядит заражение компьютера вирусом, который спамил на почтовые адреса домена Microsoft.com, открывал на прослушивание порт и сообщал своему автору IP и порт готового к использованию прокси-сервера. Перед открытием порта вирус в буквальном смысле сносил встроенный в Windows XP SP2 файрвол, удаляя в реестре всю информацию о его службе. После обнаружения библиотеки вируса она была проверена несколькими наиболее популярными антивирусами. Только Dr.Web и Антивирус Касперского опознали её как вирус. Два известных и популярных западных антивируса до сих пор не обнаруживают этот файл, не смотря на то, что, судя по информации из поисковых систем, первые сообщения об этом вирусе появились в Сети 4 месяца назад.

Таких примеров можно привести огромное количество. Уже сегодня есть понимание того, что у антивирусов в их нынешнем виде нет будущего. Это тупик. Разрыв по времени между появлением новых вирусов и добавлением их сигнатур в базы антивирусов будет только увеличиваться, что неизбежно приведёт к новым волнам вирусных эпидемий. Халатное отношение западных антивирусных компаний к поиску новых вирусов и добавлению их описаний в базы приводит к появлению у пользователя ложного чувства защищённости. В итоге, вред от такого «расслабления» пользователя может быть бо льшим, чем работа вообще без антивируса, когда пользователь сотню раз подумает, работать ли ему под учётной записью с правами администратора и открывать ли вложения из письма от неизвестного отправителя, предлагающего запустить приложенный файл.

Помимо самих вирусов активно распространяется несколько других типов зловредного программного обеспечения: шпионское – собирает и отправляет информацию о пользователе, рекламное – самостоятельно открывает окна браузера с рекламой и так далее. Это ПО не классифицируется как вирусы, поскольку оно не наносит прямого вреда ни компьютеру, ни данным. Тем не менее, при заражении пользователь испытывает дискомфорт и вынужден устанавливать в дополнение к антивирусу ещё один тип ПО для борьбы со spyware и adware. Этот тип ПО так же, как и антивирус, имеет свои базы описаний зловредных объектов, которые он ищет и уничтожает в системе.

Ровно такая же ситуация наблюдается и в борьбе со спамом. Если раньше, фактически, единственным средством борьбы были «черные списки» серверов или даже целых подсетей, из которых рассылался спам, то на сегодняшний день всё большее количество администраторов убеждается в том, что технология «черных списков» отживает своё. Она слишком медлительная, не гибкая, требует больших усилий от администратора списка на поддержание актуальности. Очень часто из-за двух-трёх спамеров, купивших диал-ап доступ для рассылок, в черный список попадают целые подсети провайдеров, после чего почта от пользователей из этих подсетей начинает помечаться как спам и фильтроваться получателями. В результате мы видим всё большее распространение интеллектуальных систем оценки содержимого писем. Систем, которые могут «прочитать» письмо, включая служебные заголовки, выполнить ряд проверок и вынести заключение: спам это или нет. Можно с уверенностью сказать о том, что через несколько лет данная технология борьбы со спамом полностью вытеснит использование чёрных списков.

Мы незаметно проигрываем в войне: появляются новые и новые угрозы, а вместо совершенствования и создания новых технологий борьбы с ними штампуется метод описания и распространения баз описаний.

К счастью, первые шаги для исправления ситуации предпринимаются, и появляется новый класс программ для комплексной защиты компьютера и от вирусов и от разного рода adware-spyware, который не использует в работе баз описаний. По аналогии с антиспамом, это некий интеллектуальный алгоритм, который отслеживает действия запущенных приложений. Если какие-то действия алгоритму кажутся опасными, то он блокирует их. Можно долго спорить по поводу слишком большой самостоятельности таких программ, но альтернативы нет. Пусть лучше будет несколько ложных срабатываний, чем десятки мегабайт трафика на обновление антивирусных баз и 2-3 приложения, постоянно находящихся в памяти, снижающих производительность файловых операций и требующих значительных системных ресурсов.

В этом обзоре мы познакомимся с одним из представителей нового класса программ проактивной защиты компьютера: Defense Wall HIPS. Нестандартность подхода к борьбе со зловредным ПО, простота настройки и незаметность работы отличают этот продукт от массы других. Он не скачивает никаких баз описаний, вместо этого, пользователь самостоятельно определяет приложения, через которые на компьютер может быть получен зараженный файл. По умолчанию, в недоверенные приложения включены популярные почтовые клиенты, браузеры, некоторые системные утилиты (ftp.exe). Таким образом, создаётся список всех «дверей», через которые может проникнуть заражённый файл.

Любой файл, который был получен из Сети через недоверенное приложение, Defense Wall HIPS пометит как недоверенный. После запуска такого файла, все действия, которые предпримет в системе запущенное приложение, будут журнализированы, то есть, у пользователя всегда будет возможность просмотреть, например, список разделов реестра, которые созданы запущенным приложением и нажатием одной кнопки удалить их.

Сайт программы http://www.softsphere.com/rus/
Размер дистрибутива 1,2 мегабайта.
Цена Defense Wall HIPS 500 рублей.

Установка Defense Wall HIPS выполняется мастером. В ходе его работы необходимо согласиться с условиями лицензионного соглашения, выбрать папку для установки программы, выбрать режим работы между экспертным и обычным. Для окончания установки компьютер должен быть перезагружен.

Различия между экспертным режимом работы и обычным существенны: в обычном режиме работы все файлы, которые создаются недоверенным приложением, автоматически заносятся в список недоверенных. В экспертном режиме никакие файлы автоматически в список недоверенных не заносятся – это должен сделать пользователь вручную. Рекомендуется работать в обычном режиме.

После перезагрузки на экран будет выведено окно регистрации продукта.

Если программа была приобретена, то для её регистрации можно ввести полученный от разработчика ключ. В демонстрационном режиме программа проработает 30 дней без ограничения функциональных возможностей.

Программа добавляет в трей значок, при помощи которого можно изменить режимы работы и открыть главное окно.

Центр очистки

Центр очистки предоставляет быстрый доступ к просмотру следов работы недоверенных приложений.

При помощи кнопки Следы на диске и в реестре можно просмотреть список всех изменений, которые были сделаны недоверенными приложениями.

На этом скриншоте перечислены разделы реестра, которые создал FAR и файл text.txt, который был создан из командной строки. Справа от списка размещены кнопки, при помощи которых можно управлять изменениями. К сожалению, из названий совершенно не очевидно то, какое действие выполнит программа после нажатия кнопки. Назначение кнопок более-менее становится понятно после прочтения всплывающих подсказок, которые появляются над кнопками, если над ними задержать указатель мыши. Справочную систему для элементов этого окна вызвать невозможно: нет ни кнопки Справка на форме, ни кнопки в заголовке окна.

Первая кнопка — Убрать — удаляет строку из списка. Изменения, сделанные процессом (разделы реестра, файлы), не удаляются.

Кнопка Удалить позволяет отменить зафиксированное изменение: удалить созданный приложением раздел реестра, папку или файл.

Кнопка Откатить позволяет отменить сразу несколько зафиксированных изменений. Для этого необходимо выделить какую-либо запись и нажать кнопку. Все изменения, с первого по выделенное, будут отменены (удалены разделы реестра, файлы и папки).

Убрать все позволяет очистить список.

При выполнении отката Defense Wall HIPS просит подтвердить выполняемое действие.

В этом запросе нет кнопок Удалить всё и Отменить откат . Если была предпринята попытка откатить 50, например, изменений, то на подобный запрос придётся ответить 50 раз.

На записях списка нет контекстного меню, вызываемого по щелчку правой кнопки мыши. Вместо двойного щелчка для открытия редактора реестра и просмотра созданного раздела или запуска Проводника, приходится запускать их вручную и искать файл или раздел.

Список изменений не обновляется автоматически. Если недоверенное приложение создаст раздел в реестре в то время, когда список был открыт, то новая запись в списке будет показана лишь после закрытия-открытия списка.

Для удаления объектов, созданных недоверенным приложением, необходимо закрыть все недоверенные приложения. Например, если открыты браузер, клиент обменной сети и FAR (и все они внесены в список недоверенных приложений), то чтобы удалить раздел реестра, созданный FAR, придётся закрыть и клиент и браузер.

Вторая кнопка на вкладке Центр очистки позволяет просмотреть списки доверенных и недоверенных процессов, работающих в системе.

В этом окне нет возможности переместить процесс из списка доверенных в недоверенные. Помимо этого, можно завершить любой процесс из работающих в системе.

Вряд ли неподготовленный пользователь будет рад такому экрану. Не говоря уже о том, что в момент завершения winlogon.exe у пользователя могут быть открыты какие-то файлы, над которыми он работал продолжительное время, но не успел сохранить изменения.

Третья кнопка в Центре очистки большого размера и красного цвета. Результат её нажатия соответствует окраске – сколько бы и каких недоверенных процессов (браузер, почтовый клиент) не было запущено – все они будут завершены без каких-либо предупреждений и без сохранения данных.

Добавить или удалить недоверенные

В этом списке перечислены все недоверенные приложения, которые были обнаружены на компьютере во время установки Defense Wall HIPS. Список приложений, которые по умолчанию считаются программой недоверенными, достаточно широк: в него входят наиболее популярные браузеры, почтовые клиенты, клиенты для обмена мгновенными сообщениями и так далее. В список могут быть добавлены любые процессы, папки или приложения, за исключением системных. Например, explorer.exe добавить не получится.

При нажатии кнопки Убрать открывается меню, при помощи пунктов которого приложение можно удалить из списка, а можно временно исключить, сделав его доверенным. Кнопка Как довер. позволяет запустить экземпляр приложения из списка как доверенное. При помощи кнопки Сдвинуть вверх записи в списке можно перемещать. Зачем это делать и почему нет кнопки Сдвинуть вниз понять не удалось (нет ни всплывающих подсказок, ни упоминаний в справке).

Список событий

События, вызываемые недоверенными процессами, фиксируются в журнале. На этой вкладке можно просмотреть их и при необходимости, при помощи фильтра, оставить в списке события, вызванные работой определённого процесса. Как и в предыдущем случае, события, происходящие в тот момент, когда список открыт, в него не попадают. Чтобы их увидеть, необходимо закрыть-открыть окно.

Закрытые файлы

Любое недоверенное приложение не сможет получить доступ ко всем файлам и папкам, перечисленным в этом списке.

Интеграция

Defense Wall HIPS создаёт группу ярлыков в контекстном меню Проводника. Щёлкнув правой кнопкой мыши по любому файлу или папке можно быстро выполнить над ними основные действия.

При запуске недоверенных приложений в их заголовок добавляется статус.

Тестирование

Первым делом была предпринята попытка обойти запрет на добавление в список недоверенных приложений системных процессов. После добавления в Недоверенные приложения папки Windows, все стандартные приложения стали запускаться как недоверенные.

Как и следовало того ожидать, Проводник, который невозможно добавить в список недоверенных через пункт меню Добавить приложение в недоверенные , утратил доверие Defense Wall HIPS. В меню Пуск перестали работать пункты Выполнить, Поиск, Справка и поддержка. Блокнот начал создавать недоверенные файлы, а после отката изменений и согласия с требованием закрыть перед этим все недоверенные приложения, оболочка была перезагружена.

После того, как оболочка перезагрузилась, Windows попросила вставить компакт-диск для восстановления файлов. Дабы не усугублять ситуацию, было принято решение отказаться от восстановления файлов. Список недоверенных процессов после перезагрузки Проводника показан на рисунке ниже.

Естественно, что нажатие большой красной кнопки Завершить все недоверенные процессы привело к BSOD, так как в список недоверенных попал winlogon.exe. Во время перезагрузки Windows сообщила, что:

После нажатия OK Windows ушла в циклическую перезагрузку с таким же сообщением на каждом витке. Для восстановления пришлось загрузиться в безопасном режиме, найти в реестре настройки Defense Wall HIPS (сама программа в этом режиме не работает, поскольку не загружается её служба) и удалить из списка недоверенных папку Windows. После этого ОС нормально загрузилась в обычном режиме.

Было решено проверить, что произойдёт, если добавить в список недоверенных папку, куда установлен Defense Wall HIPS.

Рецепт лечения тот же: удаление из списка недоверенных папки Defense Wall HIPS через правку реестра.

По сути, это небольшие замечания к интерфейсу программы, которые без особых проблем могут быть устранены автором. На следующем этапе тестировалась основная функция программы: отслеживание активности процессов и отметка создаваемых ими файлов как недоверенных.

Для проведения теста был написан vbs-скрипт. Он имитировал поведение вируса и выполнял следующие действия:

Удалял в реестре раздел, где хранятся настройки Defense Wall, список недоверенных приложений и журнал их действий.
Скачивал с сайта небольшой исполняемый файл dwkill.exe.
Завершал процесс defensewall.exe (консоль управления).
Создавал задание Планировщика Windows, которое запускало утилиту dwkill.exe под учётной записью SYSTEM после входа в систему пользователя.

Такая последовательность действий была определена после длительного и разностороннего изучения механизмов работы Defense Wall. Понятно, что данный скрипт ориентирован на работу с Defense Wall и вряд ли будет использоваться вирусами до массового распространения продукта на рынке. Тем не менее, этот скрипт выявил в работе Defense Wall несколько существенных недоработок:

Список недоверенных приложений может быть легко очищен. После первой перезагрузки все ранее скачанные и полученные по почте файлы начнут запускаться как доверенные.
Список действий недоверенных приложений так же может быть удалён, что делает невозможным откат изменений.
После запуска скрипта и первой перезагрузки существует возможность запуска любого приложения как доверенного.

Помимо этого, была обнаружена очень неприятная проблема: при перемещении недоверенного файла из одной папки в другую он удалялся из списка недоверенных и, соответственно, из новой папки запускался как доверенный.

Файл справки Defense Wall содержит множество опечаток и ошибок.

Несмотря на все серьёзные недочёты, программа заслуживает внимания. Хочется верить в то, что автор исправит ошибки и расширит функционал. В идеале видится создание модуля, который будет перехватывать весь сетевой трафик, определять приложение его создающее и, если оно новое, то после запроса к пользователю добавлять в список доверенных или недоверенных. По результатам тестирования очевидно, что все настройки программы должны храниться не в реестре, а в собственной базе данных Defense Wall. Служба должна иметь защиту своей загрузки, проверяя при остановке наличие в реестре соответствующих ключей.

Как полностью удалять программы в Windows Все мы иногда удаляем программы. Это просто: идем в список программ в Панели управления, находим там нужную жертву, жмем на нее правой кнопкой и выбираем «Удалить», не так ли? Да, все верно, но это не вся правда. Если вы не удалите программу с компьютера корректно, […]

Программа для исправления ошибок реестра Ускоритель компьютера – профессиональная, но простая в использовании программа для исправления ошибок реестра. В данном приложении достаточно запустить сканирование реестра, дождаться обработки данных и наглядно увидеть информацию по возникшим проблемам, которые […]
Компьютерный портал. Решение проблем в Windows. Не работает steam - что делать? Одна из самых известных и продвинутых игровых площадок называется Steam. Данная служба предоставляет пользователю большое количество функций, например, услугу активации видеоигр, покупка программ или игр, регулярный сбор, […]
Изменение ассоциаций файлов У многих пользователей персональных компьютеров часто возникают вопросы, связанные с ассоциацией файлов с какой-либо специфической программой. Вопросы такого характера могут возникнуть, например, в тех случаях, когда на компьютере установлено […]
Как запустить старую игру на windows 10 Как запустить старые игры на Windows 10 различными способами: алгоритм действий Игры и программы для Windows XP без проблем запускаются в новой версии ОС. Но не все старые программы могут заработать с первого раза. В этом случае рекомендации, описанные ниже, помогут […]
Что такое реестр Windows Великий и ужасный реестр операционной системы Windows, которым так любят пугать начинающих пользователей компьютера. Хотя в нем действительно не стоит копаться от нечего делать, особенно новичкам, но знать о его существовании и основных выполняемых функциях в ОС Windows должен […]
Блог системного администратора Сайт посвящен тому с чем может столкнуться среднестатистический "эникейщик" Пара интересных ключей реестра Windows Приведенные ключи отвечают за сортировку списка программ, общие папки и заголовок Internet Explorer. Ключи должны быть актуальны в Windows XP\Vista\7 Как […]

Защита с помощью Windows Defender

В Windows 8 и 8.1 встроена своя защита от вредоносного ПО под названием Windows Defender, которая для Windows 7 доступна в качестве дополнительной загрузки и называется Security Essentials. Этот пакет составляет главную внутреннюю защиту Windows от вирусов, вредоносных программ и шпионских атак, хотя безопасность системы в немалой степени зависит и от дополнительных компонентов Windows, например, SmartScreen. До тех пор, пока это программное обеспечение работает и у вас включена функция обновления Windows, ваш компьютер защищён, а следит за вашей системы в режиме реального времени.

Введите на стартовом экране Defender и нажмите Enter.
Откроется Windows Defender.
Проверьте состояние защиты в режиме реального времени (вкл/выкл).
Проверьте состояние определений для вирусов и шпионского ПО.
При необходимости нажмите кнопку «Обновить».
Закройте Windows Defender.

Защита пользователя UAC

Для изменения параметров контроля учётных записей, введите на стартовом экране UAC и нажмите «Enter».

Стандартные учётные записи пользователей могут быть использованы для выполнения следующих задач:

Запись на CD/DVD носители
Изменение фонового рисунка рабочего стола
Изменение часового пояса
Изменение своего пароля учётной записи пользователя
Настройка параметров доступа
Настройка параметров питания
Подключение к Wi-Fi или локальной сети
Установка драйверов с Windows Update или те, которые поставляются с ОС Windows
Установка обновлений из Центра обновления Windows
Изменение параметров дисплея
Соединение и настройка Bluetooth устройств и ПК
Устранение неисправностей и диагностика сети
Воспроизведение с CD/DVD носителей
Восстановление собственных файлов из истории файлов
Подключения к другому компьютеру с помощью удалённого рабочего стола
Просмотр большинства настроек, хотя при попытке их изменить потребуется повышение прав.

Администраторы имеют больше возможностей - они могут читать, писать, выполнять, изменять все ресурсы и права доступа на ПК.

Повышение прав UAC - Типы

Тип прав доступа - Описание

Consent (разрешение) - только администраторам в режиме одобрения основного администратора, когда они пытаются выполнить административную задачу
Credential (временное разрешение)- для обычных пользователей, когда они пытаются выполнить административные задачи.

Добавление или удаление учётной записи пользователя
Переход в папку другого пользователя
Изменение типов учётных записей пользователей
Изменение настроек брандмауэра Windows
Настройка автоматического обновления
Настройка родительского контроля
Установка драйверов для устройства
Установка элементов управления ActiveX
Установка и деинсталляция приложений
Изменение параметров контроля учётных записей
Перемещение или копирование файлов в директории Program Files или Windows
Восстановление файлов резервных копий системы
Расписание автоматизированных задач.

Слово «безопасность» всегда было излюбленным термином компании Microsoft, и это не изменилось с появлением Windows 7. Настройки безопасности Windows оказываются более полезными при защите компьютера от самого себя, чем от любых подозрительных «злоумышленников».

Система прав доступа не просто защищает файлы и папки, она устанавливает ограничения на то, кто может читать и видоизменять элементы реестра. Это свойство очень полезно, но большинство людей даже не знают о его существовании. Можно заблокировать раздел реестра для того, чтобы служащие не устанавливали программное обеспечение на офисном компьютере, или для того, чтобы дети не смогли обойти функцию «родительский контроль». Права доступа позволяют блокировать сопоставления типов файлов, чтобы другие приложения не смогли их изменить. А блокируя разделы, содержащие список программ автозагрузки, можно защитить компьютер от вредоносных программ.

Вот как это делается:

1. Откройте редактор реестра и перейдите к разделу, который вы хотели бы защитить.

Вы можете защищать только разделы, а не отдельные значения. Если вы заблокируете раздел для защиты одного из его значений, все значения в этом разделе

j lb будут заблокированы.

2. Щелкните правой кнопкой мышки на имени раздела и выберите пункт меню Разрешения.

3. Нажмите Дополнительно, а затем Добавить.

Если кнопка Добавить неактивна, вам необходимо взять этот раздел «в собствен* Л , I ность», закрыть окно Разрешения и повторно открыть его для внесения изменений ^ lb в права доступа для этого объекта.

4. В поле Введите имена объектов напечатайте Все, а затем нажмите ОК. (Значение Все охватывает учетные записи всех пользователей.)

5. В следующем окне Ввод права доступа для... укажите действия, которые вы хотите запретить (рис. 3.11).

6. Когда все готово, нажмите ОК в каждом из трех открытых диалоговых окон.

Изменения вступят в силу сразу же.

Возможно, вам понадобится ограничить права доступа определенного пользователя (или всех пользователей), но не добавлять элемент Запретить, как показано на рисунке. Проблема заключается в том, что таким способом не защитить приложение от изменений прав доступа другим пользователем и взлома. К тому же вам будет сложнее восстанавливать старые права доступа.

Windows дает приоритет столбцу Запретить над столбцом Разрешить, что означает возможность заблокировать раздел при помощи одного элемента столбца Запретить, даже если другое значение в столбце Разрешить дает пользователю разрешение на видоизменение элемента.

Итак, какие же разделы нужно блокировать и какие действия запрещать? Вот несколько примеров:

О Разрешите только чтение

После блокировки значений все же можно позволить приложениям и Windows их считывать, поставив флажок в столбце Запретить напротив строк Задание значения, Удаление и Смена владельца, как показано на рис. 3.11.

О Создайте полную блокировку

Чтобы ни одно приложение не могло считывать, видоизменять или удалять значение, поставьте флажок в столбце Запретить напротив строки Полный доступ.

О Избегайте создания новых оболочек

Чтобы приложения не создавали новые разделы внутри указанных, поставьте флажок в столбце Запретить напротив строки Создание подраздела. Так можно поступить с разделами типа файла, чтобы Проводник не добавлял эти приложения в список Создать.

О Укрепите безопасность на многопользовательских компьютерах

Чтобы другой пользователь не смог изменить политику безопасности, используйте процедуру, описанную в разделе «Расположение раздела настроек реестра», чтобы найти соответствующий раздел в реестре. Затем, вместо того чтобы поставить флажок в столбце Запретить, как это описано ранее, отмените все права доступа, которые позволяют кому-либо, кроме администратора, удалять, изменять или добавлять подразделы в раздел. Убедитесь, что существует по крайней мере одно правило для группы Администраторы (или для собственного аккаунта), которое разрешает Полный доступ.

О Блокировка типов файла

Утилита File Type Doctor позволяет блокировать типы файлов, чтобы избежать «кражу» их приложениями.

О Защита типов файлов от свойства UserChoice

Как описано во врезке «Зло переопределения UserChoice» на с. 169, Windows проигнорирует настройки пользовательского типа файла, если определенный раздел находится в HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\FileExts разделе. Чтобы такое не случилось снова, поставьте флажок в столбце Запретить напротив строки Создание подраздела. Это сразу же защитит все ваши типы файла, но еще необходимо будет удалить один или более из существующих элементов в разделе FileExts для восстановления индивидуальных типов файла. Подробнее об этом в разделе «Сопоставление типов файлов».

Опция доступа к реестру удаленного компьютера представляет собой очень удобный метод, позволяющий администратору эффективно выполнять свои задачи по поддержке пользователей непосредственно с собственного рабочего места. Однако в ряде случаев эта возможность может быть источником проблем, поскольку удаленный доступ к реестру локального компьютера должен быть санкционированным.

Когда пользователь пытается установить соединение с реестром удаленного компьютера, работающего под управлением Windows NT/2000, действующий на этом компьютере сервис Server в первую очередь выполняет проверку существования ключа HKEY _ LOCAL _ MACHINE \ System \ CurrentControlSet \ Control \ SecurePipeServers \ Winreg (рис. 9.3). Возможность получения удаленным пользователем доступа к реестру защищаемого компьютера определяется следующими факторами:

□ Если ключ \Winreg не существует, то доступ к реестру сможет пол О Если ключ \Winreg существует в реестре, то список контроля доступа, установленный для этого подключа, и будет определять, какие пользователи могут получать доступ к реестру с удаленного компьютера.

Это означает, что для обеспечения безопасности удаленного доступа к реестру локального компьютера Windows требуется сконфигурировать список контроля доступа для ключа HKLM \ System \ CurrentControlSet \ Control \ SecurePipeServers \ Winreg .

Если список контроля доступа (ACL) ключа Winreg предоставляет удаленному пользователю доступ с правом чтения или записи (явно или как члену одной из групп), этот пользователь может подключиться к реестру Windows . После установления такого соединения действия пользователя, манипулирующего реестром, будут ограничены только правами доступа к отдельным его ключам. Таким образом, даже если пользователь имеет только право на чтение ключа Winreg, он сможет модифицировать другие ключи реестра, если их ACL это позволяют.

Создавать подключ \Winreg требуется только на компьютерах Windows NT 4.0 Workstation. На компьютерах Windows NT 4.0 Server, а также Windows Server Proffetional этот ключ создается по умолчанию

Защита ульев SAM и Security

Информация безопасности Windows/Windows Serverхранится в ульях реестра SAM (Security Accounts Manager) и Security. Улей SAM содержит пользовательские пароли в виде таблицы хэш-кодов, а улей Security - информацию о безопасности локального компьютера, в том числе - права пользователей, политику в отношении паролей, членство пользователей в локальных группах.

Примечание

Существует целый набор утилит, с помощью которых можно осуществить взлом улья SAM. Наиболее известными из них являются PWDUMP, NT Crack и LOphtCrack.

Как защитить улей SAM

Microsoft официально утверждает, что лучший способ защиты Windows/Windows Server- это защита административных паролей, но этого явно недостаточно. Доступ к ульям SAM и Security получают многие пользователи - например, пользователи из группы Backup Operators, в обязанности которых входит резервное копирование реестра.

По умолчанию ни один пользователь (даже администратор) не имеет необходимых прав доступа, которые позволили бы ему получить доступ или хотя бы просмотреть базу данных SAM Windows/Windows Serverс помощью редактора реестра. Но, тем не менее, ульи SAM и Security хранятся на диске точно так же, как и другие файлы, и единственное, что требуется для взлома - это раздобыть копии этих ульев. Обычным копированием этого не сделать - при попытке копирования реестра работающей системы Windows/Windows Serverвы получите сообщение об ошибке

Однако в составе программных продуктов имеются утилиты (Regback в Windows NT 4.0 Resource Kit и REG - в Windows Server Resource Kit), при помощи которых пользователи, принадлежащие к группам администраторов или операторов резервного копирования, могут получать копии реестра работающей системы

Если Windows / Windows Server установлена на томе NTFS , то пользователь, желающий незаконно скопировать ульи SAM и Security , может воспользоваться утилитой NTFSDOS (http :// www . sysinternals . com / ntfs 30. htm ), поторая позволяет монтировать тома NTFS в DOS. Эта утилита и другие ее модификации (имеется также утилита NTFS for Windows 98) вызывают у многих противоречивую реакцию (именно из-за потенциального риска для системы безопасности). После появления первых версий NTFSDOS корпорация Microsoft официально заявила, что истинная безопасность - это физическая безопасность. Тем не менее, эта утилита весьма полезна и может оказаться просто незаменимой при выполнении процедур аварийного восстановления (особенно если надо сделать эту работу быстро). Лично меня она не раз выручала.

Подводя итоги, скажем, что для обеспечения должной защиты файлов SAM и Security от незаконного копирования следует установить защищаемые компьютеры в охраняемом помещении, а также!!!

ЛИШИТЬ ПОЛЬЗОВАТЕЛЕЙ ПРАВА НА ПЕРЕЗАГРУЗКУ КОМПЬЮТЕРА .

Чтобы отредактировать права пользователей в Windows , зарегистрируйтесь в системе от имени пользователя с правами администратора, раскройте окно Control Panel , выполните двойной щелчок мышью на значке Administrative Tools , и выберите опцию Local Security Policy . Разверните дерево консоли ММС, и выберите опцию User Rights Assignment . В правой части окна появится список пользовательских прав, доступных для редактирования списка пользовательских групп, имеющих право на перезагрузку компьютера.

Можно ли теперь сказать, что реестр Windows теперь защищен? Нет, нельзя, потому что еще остаются резервные копии реестра. В системах Windows сразу же после успешной установки операционной системы или в любое время при запуске утилиты Rdisk с ключом /s создаются резервные копии ульев реестра, которые сохраняются в каталоге % SystemRoot % \Repair. Резервные копии реестра Windows Server создаются при каждом резервном копировании системных конфигурационных данных (System State Data), и эта информация сохраняется в каталоге % SystemRoot %\ Repmv \ Regba . ck Данные файлы не открыты системой, и поэтому, если пользователь зарегистрировался локально (или если каталог с резервной копией является разделяемым), эти файлы могут быть беспрепятственно скопированы В системах Windows права доступа к объектам файловой системы NTFS никак не защищают каталог % SystemRoot %\ Repair , все пользователи имеют к этому каталогу доступ с правом чтения, и этого достаточно для копирования файлов. В Windows Server группа Users по умолчанию имеет только право просмотра (List) этого каталога, что не дает возможности копирования файлов. Тем не менее, как уже говорилось в этой главе, если вы выполняли обновление предыдущей версии Windows NT до Windows Server, то права доступа к объектам реестра и файловой системы наследуются от предыдущей версии Windows NT.

Подводя итоги, скажем, что для предотвращения доступа рядовых пользователей домена к файлам SAM и Security следует:

- лишить конечных пользователей права локальной регистрации на серверах; - использовать файловую систему NTFS ;

- обеспечить надлежащую физическую защиту для серверов;

- в системах Windows NT 4.0 и тех системах Windows Server , где операционная система устанавливалась как обновление предыдущей версии Windows NT , следует ужесточить права доступа к каталогу % SystemRoot %\ repair ,

- обеспечить безопасные условия хранения резервных копий и дисков аварийного восстановления (Windows NT 4.0), а также копий данных из набора System State Data (Windows Server ).

Для взлома похищенных ульев SAM и Security больших усилий не требуется. Имея эти файлы в своем распоряжении, пользователь может в свободное время провести на них такое количество словарных атак, какое требуется для взлома паролей. Если в его распоряжении имеются такие утилиты, как PWDUMP, PWDUMP2, NT Locksmith (http :// www . wintemals . com ), LOphtCrack (http :// www .10 pht . com /10 phtcrack ) и т. п, то успех проведенной атаки зависит, в основном, от качества используемого для взлома словаря -- чем большее количество слов, дат, чисел, словосочетаний, используемых чаще всего в качестве пароля, содержится в этом файле, тем выше шансы успешного взлома (рис. 9.6).

Таким образом, чтобы защитить систему, следует запретить пользователям использовать пустые пароли и задать системную политику в отношении паролей. Минимальная длина паролей в любом случае не должна быть меньше 8 символов. Помимо этого, в качестве пароля рекомендуется использовать произвольные комбинации букв и цифр, а также задать политику в отношении минимально допустимой сложности паролей.

Попробуйте представить себя на месте злоумышленника, и взломайте свой собственный улей SAM (при этом учтите, что ваши задачи существенно проще, чем задачи, стоящие перед этим человеком - вам ведь не надо проводить удаленную атаку с целью похищения ульев SAM и Security). С пользователями, пароли которых будут вскрыты автоматически, следует провести разъяснительную работу. Помимо этого, рекомендуется установить правила периодической смены паролей.

Ограничение анонимного доступа к компьютеру

Компьютер Windows Server можно сконфигурировать таким образом, чтобы предотвратить доступ анонимно регистрирующихся пользователей ко всем ресурсам, за исключением тех, доступ к которым был предоставлен таким пользователям явным образом. Это можно сделать как с помощью оснастки ММС Local Security Policy, так и с помощью редактирования реестра.

Использование оснастки ММС Local Security Policy

Выполните команды Programs | Administrative Tools | Local Security Policy меню Start.

Выберите опции Security Settings \ Local Policies \ Security Options.

В правой части окна выполните двойной щелчок мышью на опции Additional restrictions for anonymous connections и в раскрывшемся окне установите опцию No access without explicit anonymous permissions under Local policy setting (рис. 9.7)

Редактирование реестра

Вызовите редактор реестра Regedt32.exe, найдите ключ HKEY_LOCAL_ MACHlNE\SYSTEM\CurrentControlSet\Control\LSA, и создайте параметр RestrictAnonymous с типом данных REG_DWORD. Установите для этого параметра значение 0x2 (Hex).

Если параметр RestrictAnonymous имеет такое значение, то маркер доступа (access token) для неаутентифицированных пользователей не включает в свой состав группу Everyone, и доступ к ресурсам, по умолчанию предоставляемым группе Everyone, будет отклонен.

(Примечание ^

Microsoft официально рекомендует тщательно проанализировать преимущества, предоставляемые этой настройкой с точки зрения безопасности по сравнению с возможными проблемами, которые могут быть вызваны такт ограничением прав анонимного пользователя. Причина заключается в том что некоторые сервисы Windows Server и прикладные программы зависят с возможностей анонимного пользователя. В частности, не рекомендуете устанавливать это значение в смешанных сетевых средах, включающих только компьютеры Windows Server, Устанавливать значек 0x2 для параметра RestrictAnonymous рекомендуется только в сетях Windows Server и только после тщательного тестирования, которое не выявит нарушений в работе сервисов и прикладных программ.

Стандартный шаблон безопасности High Secure включает это ограничение, поэтому его применение может также вызвать нежелательные проблемы

Системный планировщик как еще одна потенциальная угроза безопасности

Системный планировщик (Task Scheduler), который имеется на каж компьютере Windows NT/2000, можно использовать для запуска некото] средств ММС или других программ на компьютере пользователя в кони сте учетной записи SYSTEM. Эта учетная запись имеется во всех систе Windows NT/2000, но ее наличие не афишируется (по крайней мере, вь увидите ее ни в утилитах User Manager и User Manager for Domains, yn ляюших созданием учетных записей пользователей Windows NT, ни в оси ках ММС, выполняющих ту же задачу в Windows Server). Это позволяет ai нистратору дать обычному пользователю однократную возможность вы нить некоторые задачи по администрированию его клиентского компьк без предоставления ему прав выполнения других административных зад:

Например, чтобы дать пользователю возможность запустить оснастку Disk Management, можно дать следующую команду at <\\machine_name> 1:00pm /interactive %SystemRoot%\system32\diskmgmt .msc где <\\machine_name> - ИМЯ компьютера.

Тем не менее, эта возможность представляет потенциальную угрозу для безопасности системы, поскольку системный планировщик по умолчанию использует права учетной записи SYSTEM, и поэтому любая программа, запущенная таким образом, будет иметь полный набор системных привилегий, включая доступ к базе данных SAM.

Чтобы защититься от данной опасности, можно или заблокировать сервис Task Scheduler (но это не всегда возможно, поскольку этот сервис может быть нужен для запуска других заданий), или сконфигурировать его таким образом, чтобы сервис работал от имени учетной записи пользователя.