ремонт компьютеров воронеж
 
ремонт компьютеров воронеж
ремонт компьютеров воронеж  
 
 
Боремся с вирусами в Windows XP
Совершим небольшое путешествие по излюбленным местам "гнездования" компьютерных вирусов и рассмотрим, что можно предпринять для борьбы с ними.

Настройка автоматического запуска программ

Подавляющее большинство компьютерных вирусов, проникнув на ваш компьютер, первым делом обеспечивают условия для последующего запуска своего программного кода. Без этого вирусу никак нельзя. Нравится подобное принуждение разработчику вируса или нет, он все равно обязан запрограммировать этот фрагмент кода. Если его вирус не впишется в те или иные списки автозапуска операционной системы, то гарантированно погибнет после перезагрузки Windows или выключения питания компьютера. Такая "обязательность" в поведении вирусов и позволит нам легко их отлавливать и пресекать последующую активацию в вашей системе.

Мест, из которых программы стартуют самостоятельно, в Windows не так уж и много. С некоторыми из них вы наверняка хорошо знакомы, а о других знаете только понаслышке. Я собираюсь совершить с вами небольшое путешествие по излюбленным местам "гнездования" компьютерных вирусов и рассмотреть, какие меры мы с вами можем предпринять, чтобы сделать условия их жизни на вашем компьютере не слишком вольготными.

Для того чтобы облегчить пользователю контроль списков автозапуска и при этом избавить его от копания в реестре, было написано довольно много программ. О лучшей из них на мой взгляд я и собираюсь вам сегодня рассказать. Называется эта программа Autoruns.


Программа Autoruns

Программа написана известным специалистом по внутренностям операционных систем Microsoft по имени Mark Russinovich в соавторстве с Bruce Cogswell. Программа имеет размер менее одного мегабайта, не требует инсталляции и совершенно бесплатна. Вы можете совершенно свободно скачать ее по адресу www.sysinternals.com. Это не законченный проект, авторы постоянно его развивают, дополняя свое детище новыми возможностями. Текущей версией на момент написания статьи является номер 4.32. Именно о ней и пойдет у нас речь дальше. От версии к версии программа меняется довольно сильно, поэтому не удивляйтесь, если, скачав из Интернет свежий релиз, вы обнаружите, что мое повествование мало похоже на описание имеющейся у вас программы. Тем не менее, основные возможности Autoruns наверняка останутся теми же, что и сейчас, поэтому мои рекомендации все равно наверняка вам пригодятся.

Итак, после того как вы скачаете и запустите программу, сразу сходите в раздел меню, называющийся View, и приведите его содержимое к тому виду, что показан на рисунке. Такие настройки облегчат вам на первых порах анализ выводимой этой программой информации.

Сняв галочку с пункта Show All Location, вы замаскируете большую часть разделов реестра, ответственных за экзотические способы загрузки различных сервисных приложений Windows. На данный момент времени крайне маловероятно, что какой-либо из вирусов впишется в эти списки. Установив галку напротив Only Show Non-Microsoft Entry, вы говорите программе не показывать вам приложения, созданные в корпорации Microsoft. Опять-таки, маловероятно, что эти приложения окажутся вирусами. Тем не менее, держите в голове тот факт, что в указанных режимах работы программы вы видите не все имеющиеся места запуска. В случае появления у вас подозрений о том, что в вашей системе таки орудует какой-то вирус, переставьте эти две галки в обратные положения и на этот раз тщательно изучите уже весь доступный вам список. Подделываться под приложения Microsoft авторы вирусов уже давно не пытаются. Фокус тут заключается в том, что большая часть этих приложений считается операционной системой критически важными для ее функционирования. Обнаружив модификацию подобных файлов, Windows 2000/XP восстанавливает их исходное содержимое из своего архива или дистрибутивного диска. Таким образом, Windows по простоте душевной самостоятельно уничтожает непрошеных "имитаторов". Если же авторы вирусов не перезаписывают оригинальные приложения Microsoft, а кладут вирусы в какую-либо другую, соседнюю папку, то это тоже сразу заметно для опытного взгляда в списке Autoruns или обычном Диспетчере Задач. Все программы из дистрибутива Windows располагаются в своих, строго определенных папках. Запуск стандартной программы из "чужой" папки выглядит довольно подозрительно и сразу бросается в глаза.

Для начала давайте подробно разберем информацию, выводимую на экран программой, и посмотрим, как она поможет нам оценить происхождение тех или иных автоматически стартующих файлов. Интерфейс программы довольно несложен и стандартен для такого рода утилит. В центре экрана расположено двухуровневое дерево. На первом уровне дерева перечислены все известные программе места, откуда теоретически возможен запуск программ в Windows. В том случае, если список расположен в реестре, в качестве иконки для папки дерева используется значок реестра, внешне похожий на взрывающийся кубик Рубика. В случае, если отображаемый список является обычной папкой на диске — например, привычной всем папкой автозагрузки, то в роли иконки и выступает не менее привычный значок папки. Вторым уровнем дерева, а именно элементами папки списка автозапуска, выступают сами программы, стартующие из этой папки. Перед каждой программой расположен квадратик поля выбора. Вы можете, щелкнув мышью по этому квадратику, снимать или ставить в нем отметку-галочку. Если вы поставите в квадратике галочку, программа, к которой он относится, будет автоматически стартовать вместе с операционной системой. Если снять галочку с этого поля, программа хоть и останется в этом списке, но автоматически запускаться уже не станет. Если вы не уверены в том, можно ли без ущерба для операционной системы отключить ту или иную программу, попробуйте для начала снять с нее галочку. Если после перезапуска Windows выяснится, что функциональность отключенной программы вам необходима, можете повторно запустить Autoruns и разрешить программе стартовать автоматически, вернув на место относящуюся к ней галочку.

Следующим элементом за полем временного отключения программы идет ее иконка. С ее помощью вы можете быстро оценить тип запускаемого приложения. За иконкой следует название программы. Обратите внимание: название программы и название файла программы — это совершенно разные вещи, хотя они могут и совпадать. Название программы заносится ее разработчиком в специальную структуру внутри исполняемого файла. В дальнейшем даже если вы переименуете сам файл название программы останется прежним. В том случае, если разработчик оставил это поле пустым в момент компиляции программы, она автоматически получает имя, совпадающее с именем ее исполняемого файла. Следующее поле таблицы Autoruns озаглавлено Description. Оно также заполняется (или не заполняется) разработчиком на этапе создания программы. В этом поле принято давать краткое описание назначения программы. Тем не менее, автор программы волен оставить это поле пустым или и вовсе написать все, что ему придет в голову. Очередное поле списка озаглавлено Company. Еще одно необязательное поле, подобное рассмотренному нами выше полю Description. Обычно в нем принято писать название компании, выпустившей этот программный продукт.

Последнее не рассмотренное еще нами поле в списке автоматически запускаемых программ называется IMAGE PATH. В нем указан полный путь до запускаемого файла программы, то есть место на диске, в котором операционная система ищет программу для того, чтобы ее запустить. Для нас как пользователей этот параметр особенно важен. Зная место на диске, где находится заинтересовавшая нас программа, мы можем проверить ее с помощью антивируса, да и просто "сходить" в ее папку и на месте "посмотреть" на подозрительную программу с помощью шестнадцатеричного редактора. Если эта программа окажется вирусом, мы знаем, какой именно файл следует стереть для того, чтобы он нас больше не беспокоил.

Как я уже говорил выше, название папки, из которой стартует программа, поможет нам выявить вирусы, маскирующиеся под стандартные системные утилиты, сервисы и библиотеки, входящие в комплект операционной системы. Например, WINDOWS EXPLORER, отвечающий за сам интерфейс пользователя Windows, всегда расположен в папке C:\WINDOWS. Файл с этой программой называется EXPLORER.EXE. Если вы вдруг обнаруживаете, что у вас на компьютере эта программа стартует из папки, скажем, C:\WINDOWS\ SYSTEM32, то это уже достаточно серьезный "звоночек" о том, что в вашей системе, возможно, действует компьютерный вирус. Я бы на вашем месте поближе познакомился с таким нововведением в моей операционной системе. О том, как это сделать, у нас пойдет речь чуть ниже.

Древообразный интерфейс экрана программы на самом деле обманчив. В том случае, если вы щелкнете мышкой по ветви этого "дерева", ожидая, что ветвь свернется, ничего подобного не произойдет. Вместо этого стартует редактор реестра и самостоятельно установится на ветвь, соответствующую выбранному вами списку автозапуска. Эта возможность предоставлена для того, чтобы вы в сложных случаях могли вручную проанализировать ее содержимое и принять нужное решение. Если вы щелкнете мышкой по строчке с названием программы, откроется конкретная запись в реестре, приводящая к запуску этой программы.

Помимо вышеуказанных возможностей, каждая строчка в окне запускаемых программ имеет контекстное меню, вызываемое правой кнопкой мыши. Давайте рассмотрим предназначение содержащихся в нем пунктов. Пункт, озаглавленный Delete, предназначен для удаления из реестра записи об автоматически стартующей программе. Сама программа при этом не удаляется, поэтому, прежде чем стирать из загрузки упоминание об очередном подхваченном в Интернет вирусе, предварительно сохраните где-либо информацию о том, в каком именно файле он находится. Вы, наверно, меня спросите, а почему бы вам просто сначала не стереть сам файл, а уж потом удалить запись о его загрузке. Тут не все так просто. В том случае, если вирус прописан в списке автозагрузки вашего компьютера, это автоматически означает, что он активен в тот момент, когда вы готовитесь его удалять. По принятому в Windows правилу файлы запущенных программ блокируются. Их нельзя удалить, так как система не даст вам доступа на эту операцию. Существуют два простых способа выкрутиться из данной ситуации. Во-первых, вы можете, нажав Ctrl-Alt-Del, вызвать Диспетчер Задач. Переходите на вкладку Процессы и ищете в списке процессов вирус по имени его файла (имя файла мы посмотрели с помощью Autoruns). Нажимаете Завершить процесс, этим самым выгружая из памяти активную сейчас копию вируса. После этого можете спокойно удалить файл на диске. Иногда этот способ не проходит, так как вирус может успеть восстановить себя в памяти, пока вы добираетесь до файла с его содержимым. Существуют вирусы, которые прописывают в списке автозагрузки несколько своих копий под разными именами. Каждая из этих копий следит за здоровьем своих "коллег", и, если с ними что-либо случается, перезапускает их исполняемые файлы. Дуэль с подобными вирусами довольно интересна для профессионала, но столь же трудна для новичка. В качестве попутного анекдота расскажу вам историю про попавшийся мне однажды забавный вирус. Он отслеживал запуск программы Regedit и никак себя не проявлял до тех пор, пока вы не подбирались с его помощью к веткам реестра, ответственным за автозапуск приложений. После этого вирус брал и закрывал приложения Regedit'a, таким образом не давая исправить список автозагрузки. Второй предлагаемый мной способ избавиться от активного в системе вируса куда более прост и нетороплив. Просто запоминаете, как называется файл вируса и папка на диске, в которой он расположен. Удаляете (или блокируете) его стартовую запись с помощью Autoruns и перезагружаетесь. После того как компьютер снова стартует, вирус уже не получает управления, и вы можете спокойно разбираться "по-свойски" с хладным трупом его файла.

Рассказывая о том, что вам делать с обнаруженным вирусом, я чуть было не забыл о самом главном — о том, а как, собственно говоря, вам отличить обычные добропорядочные программы, стартующие при каждом запуске Windows, от вирусов, которые затесались в их стройные ряды. Давайте прямо сейчас на живом примере установленной на моем компьютере операционной системы посмотрим: а нет ли чего лишнего в ее списках автозагрузки. На прилагаемой иллюстрации изображен экран программы Autoruns, запущенной на ноутбуке, работающем под управлением Windows XP. Серым цветом отмечены списки автозапуска Windows XP, в которые не занесены какие-либо программы. Белым цветом выделены программы, запускающиеся на этом компьютере в автоматическом режиме. Таких программ оказалось всего две. Первая стартует из ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Называется она TPTRAY. Как видим, написана эта программа в фирме IBM Corp. В ее свойства производителем занесен комментарий о том, что эта программа является некоей "IBM ThinkPad Tray Utility". Расположена она в папке C:\Program Files\ThinkPad\Utilities, а ее исполняемый файл называется TP98TRAY.EXE. По совокупности данной информации я легко могу догадаться, что речь идет о панели управления режимами работы ноутбука, иконка от которой висит в трее рядом с часами. Я действительно ставил эту программу и активно ее эксплуатирую, поэтому ее запуск вполне закономерен и легитимен. Другой вопрос, что под видом этой утилиты на мой компьютер могла бы вписаться какая-либо другая программа. Но в этом случае в списке автозагрузки присутствовали бы уже две копии программы — поддельная и настоящая — или я бы не увидел иконки рядом с часами. Дополнительно убедиться в том, что программа является именно той, за которую себя выдает, можно вызвав ее свойства из контекстного меню списка Autoruns.

Щелкаете правой кнопкой мыши по заинтересовавшей вас программе и выбираете в появившемся меню пункт Properties. Перед вами появится стандартное окно свойств файла Windows. Наиболее ценной для вас информацией в этом окне являются три имеющиеся здесь даты. У всех трех дат названия плохо отражают то, что они действительно означают. Поэтому я прокомментирую их названия для вас еще раз и более подробно.

Первая дата, называющаяся Создан, на самом деле означает дату инсталляции программы — ту самую, когда вы впервые установили приложение на диск. "Создан" с точки зрения Windows означает создание программы на подведомственной ей территории, а не создание самого файла программистом. Вторая дата под названием Изменен и означает реальную дату создания файла программистом. "Изменен" в данном контексте означает дату изменения внутреннего содержания файла. То есть программист откомпилировал приложение, файл изменился, дата изменилась вслед за ним. Если вирус изменит этот файл, вписываясь в его тело, он также изменит эту дату.

Впрочем, если автор вируса достаточно грамотный программист, то в момент заражения он сначала запоминает исходную дату программы, вписывает код своего вируса в ее тело, а затем восстанавливает исходную дату. Поэтому особо доверять этому признаку нельзя, хотя следует его учитывать при анализе. Я вам рассказываю об этом нюансе с датами модификации файла потому, что в своем подавляющем большинстве авторы вирусов грамотными программистами не являются. Они часто забывают (или вообще не думают) о том, что следует помнить о таких "мелочах", на чем и благополучно "горят". Как метко заметил кто-то из древних, внимание к мелочам — основа любой магии. Третья дата, называющаяся Открыт, означает время последнего запуска программы, т.е. время, когда эта программа стартовала на вашем компьютере в последний раз. Анализируя значение этой даты, следует учитывать, что эта функция слежения за доступом к файлам может быть отключена пользователем, т.к. постоянный контроль данного параметра замедляет дисковые операции Windows NT/2000/XP/2003. Помимо дат файла, внимательно проглядите на этой закладке описание программы, посмотрите, имеет ли эта программа свою иконку. Затем переключитесь на соседнюю закладку, называющуюся Версия. Там изучите имеющуюся информацию об авторских правах, реальном названии программы и ее версии. Мало кто из авторов вирусов затрудняет себя заполнением этих полей в своих творениях. Да и вообще подделка вируса под конкретное приложение встречается довольно редко. Как вы понимаете, утилита управления ноутбуками IBM, запущенная на вашем домашнем компьютере, смотрелась бы довольно странно и наверняка сразу привлекла бы ваше внимание. Поэтому программы-вирусы как правило "обезличены", и указанные поля у них не заполнены.

Давайте подведем мини-итог нашему частному расследованию происхождения программы в моем примере. Согласно собранной нами информации, программа TP98TRAY.EXE создана 25 июля 2001 г., установлена мной на компьютер четыре дня тому назад и запущена системой полчаса тому назад. Все три даты выглядят вполне реалистично и примерно соответствуют дате выпуска программы и времени ее установки на мой компьютер. Согласно полям свойств исполняемого файла, мы имеем дело с утилитой, управляющей режимами работы ноутбуков IBM. Все вместе похоже на правду, но в том случае, если вы все равно сомневаетесь в ее происхождении, побайтово сравните исполняемый файл, находящийся в папке, из которой стартовала исследуемая программа, с одноименным файлом, находящимся в дистрибутиве драйверов IBM. Для этого можно воспользоваться командой fc /b [имя первого файла] [имя второго файла]. Если оба файла одинаковы, вы получите стопроцентную гарантию того, что программа не поддельная.

Разобравшись с первой программой, стартующей на моем ноутбуке, давайте теперь посмотрим, что собой представляет вторая. Согласно информации Autoruns, мы имеем дело с командным файлом, лежащим в корне диска D (а именно D:\setupxppower.cmd). Запуск этого файла производится из обычной пользовательской папки автозагрузки C:\Documents and Settings\German\Start Menu\ Programs\Startup с помощью ярлыка setupxppower.lnk. В этом случае все намного проще. Командный файл (расширение .cmd) изнутри представляет собой обычный текстовый файл, который при желании можно просмотреть в Блокноте. У меня такого желания нет, так как я и так хорошо помню, как я его писал и ставил в папку автозагрузки. На моем ноутбуке IBM ThinkPad 760ED этот файл отключает режим Standby под Windows XP, так как под этой операционной системой он работает не очень хорошо.

Таким образом, я проверил автоматически загружаемые на моем компьютере программы и вирусов среди них не обнаружил. А на вашем компьютере как обстоят дела?


Редактор глобальных политик Windows XP/2000

Редактор политик Windows XP/2000 — это утилита для настройки различных параметров операционной системы. По своим возможностям редактор политик далеко превосходит все известные мне программы-"твикалки". Он позволяет изменять огромное количество параметров, отвечающих за внешний вид Windows и ее безопасность. Вы можете с его помощью разрешать или, напротив, запрещать запуск тех или иных программ, прятать от системы логические диски, более тонко настраивать параметры сети, да и вообще полностью изменять привычное поведение системы. Специально выкачивать эту программу из сети Интернет вам не нужно. Если вы работаете в Windows 2003, Windows XP Professional или Windows 2000 Pro, она уже имеется в вашей системе. Если же вы работаете на Windows XP Home, она вам ничем не поможет, так как в этой операционной системе ее работа блокируется. Давайте посмотрим, какие возможности эта утилита нам предложит для того, чтобы сделать нашу систему более безопасной. В подавляющем большинстве известных мне случаев вирусы вписывают вызов своего кода в следующие ветки реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows\Run

Давайте посмотрим, как мы можем им помешать. С помощью редактора политик можно указать операционной системе не запускать никаких файлов из указанных списков автозапуска. Для того чтобы включить такой режим работы Windows, нажмите кнопку Пуск и вызовите окно Выполнить. В нем набираете название исполнимого файла: GPEDIT.MSC. В стартовавшем редакторе политик идете в раздел Local Computer Po-licies->Computer Configuration->Administrative Templates->Sys-tem->Logon. В правом окне находите параметр Do not process the legacy run list. Устанавливаете его значение в Enabled, и в дальнейшем система будет тихо игнорировать все программы, которые будут вписываться в эти две ветки реестра.

Раз уж мы все равно сюда пришли, можете заодно заблокировать запуск программ из еще одной ветви реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Она обеспечивает однократный запуск программ. Если некая программа впишется в этот список, Windows запустит ее, а затем удалит запись о ней из списка Run Once. Сделана эта возможность в основном для программ-установщиков, которым необходимо однократно отработать после перезапуска Windows. Мне не попадались пока вирусы, которые вписывались бы в это место реестра, но кто знает, что готовит нам день грядущий. За срабатывание программ из этой ветви автозапуска отвечает параметр редактора политик, называющийся Do not process the run once list. Точно так же устанавливаете значение этой политики в Enabled, и программы из ветви Run Once запускаться системой не будут.

Если вы самостоятельно отправитесь исследовать настройки в редакторе политик, то наверняка обнаружите братьев-близнецов указанных мной политик, расположенных в разделе User Configuration->Admi-nistrative Templates->System->Logon. Оба комплекта политик срабатывают одновременно, причем политики, указанные вами в разделе Local Computer, имеют приоритет над политиками конкретного пользователя. То есть, если вы запретите запуск программ в пользовательских настройках, а затем разрешите их в настройках компьютера, то программы будут запускаться несмотря на запрет их запуска для текущего пользователя. О том, зачем нужны два комплекта, на первый взгляд, совершенно одинаковых настроек, мы с вами еще поговорим чуть ниже, когда будем обсуждать запуск программ от имени другого пользователя.


Настраиваем права на автозапуск через реестр

Способ с запретом запуска программ из стартовых списков надежно блокирует запуск вирусов, но его использование чревато для вас как пользователя компьютера некоторыми неудобствами. Помимо вирусов, теперь также не смогут запуститься и очень многие небольшие утилиты из разряда тех, что "висят" у нас всех на панели задач "рядом с часиками". Они, также как и вирусы, облюбовали для себя указанные списки автозапуска и вместе с ними будут выключены из процесса обычной загрузки операционной системы. Наиболее просто решить эту проблему создав ярлыки на эти программы в обычной папке Автозагрузка. Папка эта находится на глазах у пользователя, и не многие вирусы рискуют туда записываться: слишком уж заметным станет тогда их присутствие в системе. Поэтому вы можете просто посмотреть, какие программы перечислены в списках автозапуска вашей операционной системы, а затем создать на них ярлыки в папке автозагрузки. Затем периодически заглядывайте в эту папку, дабы убедиться в том, что в ней не появилось непрошеных "гостей". Один раз мне попался довольно любопытный вирус, который демонстративно вписался именно в эту лежащую у всех на глазах папку. Удивившись такой наглости, я попытался выбросить процесс вируса из памяти, и… мне это не удалось. Как выяснилось, автор вируса назвал файл SERVICES.EXE не случайно. При попытке уничтожить процесс с таким именем WINDOWS XP меня любезно проинформировал о том, что процесс с таким именем важен для работы операционной системы и удалению не подлежит. Вот тебе и раз! При этом в системе работало два процесса services: настоящий и этот — из папки автозагрузки. Неплохо придумано! — заметил я, переименовал папку автозагрузки и перезапустил компьютер. Во время загрузки Windows не нашел папки на своем положенном месте и поэтому не смог стартовать вирус. Тогда я и стер его файл с диска без каких-либо проблем.

На своем компьютере я использую другой метод защиты списков автозапусков от проникновения вирусов. Для него я использую предоставляемую Windows XP возможность устанавливать права доступа на ветви реестра. Если вы решите последовать моему примеру, запускайте редактор реестра и отыскивайте ветку реестра HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run. Как вы, надеюсь, помните, из этой ветки стартует большинство распространенных вирусов. Встаете на нее и вызываете контекстное меню правой кнопкой мыши. В этом меню нам нужен пункт, называющийся Разрешения. После того как вы его выберете, перед вами появится следующий экран, на котором перечислены пользователи вашего компьютера и их права на эту ветвь реестра.

На самом деле большая часть показанных на этом экране прав не принадлежит ветви реестра HKEY_LOCAL_MACHI-NE\...\Run, а наследуется ею от вышележащих по дереву реестра ветвей. Поэтому первым делом нам необходимо отключить режим наследования прав для этой конкретной ветви. Нажимаете на кнопку Дополнительно и переходите к более развернутому экрану.

Снимаете галочку с поля, озаглавленного Наследовать от родительского объекта применимые к дочерним объектам разрешения… Перед вами появится всплывающее окошко, в котором будет подробно рассказано о том, что именно вы собрались делать, с тремя кнопками: Копировать, Удалить и Отмена. Выбирайте Копировать, и окошко закроется. Следующим шагом нажимаем на кнопку Добавить. В появившемся окне Выбор пользователь или группа нажмите на кнопку Дополнительно, а затем во вновь появившемся окне — на кнопку Поиск. Из заполнившегося списка внизу экрана выбираете группу пользователей Все и нажимаете кнопку OK. В принципе, можете не лазить по окнам диалогов, а сразу набрать слово "Все" в самом первом окне Добавить. Перед вами появится экран расширенного задания прав для ветви реестра Run всем группам пользователей. Пока ставьте в качестве временной заглушки "Полный доступ", позже мы зададим настоящий набор прав. Я привел вас к этому окну таким сложным путем не напрасно. Обратите внимание на список прав, которое можно настроить с его помощью. Их количество существенно превышает тот набор, который доступен через обычное окошко. Если вам понадобится тонкая настройка прав на тот или иной объект, всегда заходите в это окно диалога: тут возможностей побольше. А сейчас нажимаете кнопку OK и возвращаетесь к нашему начальному окну дополнительных параметров безопасности для ветви Run. В списке пользователей, помимо тех, что были тут ранее, появился вновь созданный нами пользователь по имени "Все". Теперь можно смело удалять всех других пользователей, кроме того, которого мы только что создали. Участник безопасности Windows "Все" — универсальная группа, которая заменит собой любую другую, поэтому можете без опасений нажимать кнопку Удалить даже на столь грозно называющихся участниках, как SYSTEM или Администраторы.

Устанавливаете галочку Заменить разрешения для всех дочерних объектов заданными здесь разрешениями и нажимаете кнопку Применить. Появится грозное окно, которое предупредит вас о том, что сейчас будут удалены все явно заданные разрешения для вложенных объектов. Соглашаетесь с этим и нажимаете кнопку Да. Галочка, которую мы с вами устанавливали, снова окажется сброшенной — не обращайте на это внимания — так оно и должно быть. Теперь нажимаем кнопку OK, закрывая тем самым окно дополнительных настроек прав. Вы вернетесь к окну разрешений для ветви реестра Run. Список пользователей в нем теперь состоит из одного пункта Все, и для него задан набор прав Полный доступ. Щелкаете мышью по пункту Запретить полный доступ, а затем — по пункту Разрешить чтение. Ну вот, с веткой реестра HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Windows\ Run мы с вами разобрались, теперь проделайте все то же самое с веткой HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run. Что мы получили в результате? После наших настроек никто включая нас самих не сможет что-либо изменить в этой ветви реестра. Нельзя создавать новые пункты, удалять уже имеющиеся или модифицировать их значения. Таким образом, программа-вирус, попытавшаяся "заразить" нашу систему, не сможет сделать себя автоматически запускаемой, не получит управления при следующей загрузке и благополучно "скончается" естественным образом. Файл с телом вируса, конечно, останется лежать там, где он "упал" в вашей системе, но вреда он вам не принесет. Разумеется, если вы сами его впоследствии вручную не запустите. Но и в этом случае история повторится, и вирус будет активен лишь до тех пор, пока вы не выключите компьютер. Дорога в автозагрузку ему заказана.


Запуск приложений для работы в Интернет от имени непривилегированного пользователя

Когда я вам рассказывал про редактор политик, то обещал еще вернуться к теме двойного комплекта настроек в его меню. Этот двойной комплект необходим вам в том случае, если вы поддерживаете на своем компьютере модель безопасности, похожую на модель, используемую в операционной системе "Линукс". То есть у вас есть пользователь — системный администратор (root), в задачи которого входит настройка компьютера, и есть некоторое количество обычных пользователей. Эти обычные пользователи работают себе в Интернет, создают документы в MS Word и выполняют прочие повседневные задачи. В том случае, если ваш компьютер действительно персональный, и на нем работаете вы один, то вы один и выполняете роли всех других пользователей поочередно. Если вам нужно настроить что-либо в системе, заходите в нее как администратор. Если же вам просто нужно набить текст в Word, заходите в вашу систему как обычный пользователь. Если вы приверженец подобного разделения обязанностей, можете завести специального пользователя для того, чтобы ходить в Интернет. Заходите в систему под его именем и настраиваете указанные политики в разделе текущего пользователя, не трогая настройки в разделе локальной машины. При этом остальные пользователи будут работать со своим набором политик, и ваши изменения их не затронут. С точки зрения безопасности работы в Интернет подход, принятый в "Линукс" более предпочтителен. Широкого распространения он не получил в основном из-за того, что более сложен в исполнении для конечного пользователя. Многие из них включая меня самого привыкли заниматься привычным делом — игрой или программированием — параллельно с закачкой больших файлов из Интернет в качестве фоновой задачи. При подходе, принятом в "Линукс", вам придется дать пользователю, работающему в Интернет, достаточно прав для запуска обычных приложений. Но при такой системе теряется весь смысл создания подобного отдельного пользователя для работы в Интернет. Более умным способом решения этой проблемы является загрузка в качестве привычного для вас пользователя и запуск интернет-браузера от имени другого, специально созданного, или же текущего пользователя, но с усеченным набором прав. Подобную функциональность поддерживает и Windows XP. Щелкните по ярлыку IE правой кнопкой мыши, выберите пункт Запускать от имени... В появившемся окне мастера вы можете указать, от имени какого пользователя следует запускать данное приложение. Наиболее простым и вместе с тем достаточно надежным методом запуска приложений для работы в Интернет является запуск их с использованием усеченного набора прав текущего пользователя. Для этого режима на закладке мастера даже предусмотрена специальная галочка, включенная по умолчанию. Вам достаточно, ничего не исправляя, нажать кнопку OK, и приложение запустится с использованием усеченного набора прав. Интернет-браузер не сможет записывать файлы в системные папки вашего компьютера, а запущенные с его помощью программы не смогут получить доступ к реестру или совершать другие потенциально опасные действия. Но за большую защищенность вы платите усложнением работы с приложением. Недостаточно уже просто щелкнуть по ярлычку, чтобы запустить программу. Каждый раз перед ее запуском необходимо использовать указанный мастер, а это через некоторое время начинает раздражать.

Microsoft предлагает два способа сделать работу в этом режиме более простой. Во-первых, можно в свойствах ярлыка указать, что он должен запускаться с другим набором прав. В этом случае стоит вам щелкнуть по ярлыку обычным образом, и мастер выскочит на экран сам. После его появления щелкаете по кнопке OK, и готово: приложение запущено. Второй способ заключается в использовании консольной утилиты runas. Вы можете создать командный файл, в котором указываете, что нужное вам приложение должно запускаться от имени другого пользователя. Затем создаете ярлык на этот файл и запускаете этот ярлык вместо самого приложения. Создадим для примера командный файл, предназначенный для запуска браузера Internet Explorer от имени пользователя Internet User. Открываем Блокнот и записываем в нем следующую команду:

runas /user:InternetUser "C:\Program Files\Internet Explorer\iexplore.exe"

Сохраняете этот файл под именем IE.BAT, затем щелкаете мышкой по созданному файлу, запуская его на выполнение. После того как вы запустите этот файл вас попросят ввести пароль пользователя Internet User. Вводите пароль и нажимаете Enter. Вот и весь фокус: браузер запускается от имени указанного вами пользователя. Осталось лишь таким образом настроить права этого пользователя, чтобы его действия не могли нанести ущерб операционной системе.

К моему сожалению, обязательного ввода пароля мне избежать пока никак не удается. Утилита не содержит ключей, позволяющих задать пароль прямо в командной строке. Более того: вам не удастся просто так, без дополнительных настроек, использовать для запуска и пользователя с пустым паролем (а значит, просто нажимать Enter в ответ на подсказку). Для того чтобы система разрешила вам это сделать, придется воспользоваться редактором системных политик. Идете в Computer Configuration->Windows Settings->Security Settings->Security Options и отыскиваете там параметр Accounts: Limit local account use of blank passwords to console logon only. По умолчанию значение этого параметра в Windows XP SP1 установлено в Enabled. Переставьте его в Disabled, и вы получите возможность использовать для запуска приложений учетную запись с пустым паролем.

 
ПОПУЛЯРНЫЕ СТАТЬИ

Rambler's Top100
Яндекс цитирования
ремонт компьютеров воронеж