Купить книгу на OZON.ru

В стандартной поставке операционной системы Windows Vista появились две новые программы, предназначенные для очистки вашего компьютера от вредоносных программ.

Расположение: %programfiles%\Windows Defender\MSASCui.exe

Основной программой, призванной защитить компьютер от работы нежелательных программ (различных шпионских модулей) является программа Защитник Windows.

Модуль данной программы запускается при входе любого пользователя операционной системы — для этого используется ветвь реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Интерфейс программы

Основное окно программы Защитник Windows представлено на рисунке 8.18.

Рис. 8.18. Основное окно программы

Окно программы Защитник Windows состоит всего из двух полей — панели вкладок в верхней части программы и основного окна. Пользователю доступны следующие вкладки программы.

Домой

Данная вкладка отображается по умолчанию и ее можно увидеть на рисунке 9.21. На данной вкладке отображаются основные сведения о состоянии вашего компьютера (были ли обнаружены потенциально опасные программы), а также отображаются сведения о том, когда в последний раз выполнялась проверка компьютера.

Проверить

Как только вы нажмете на данную кнопку, начнется процесс быстрой проверки содержимого файловой системы и реестра.

Также обратите внимание на стрелку справа от кнопки ПРОВЕРИТЬ. С ее помощью можно отобразить выпадающий список, содержащий все возможные режимы проверки: полная проверка, быстрая проверка или выборочная проверка (проверка только определенного диска или каталога).

Журнал

Вкладка ЖУРНАЛ содержит в себе две ссылки, позволяющие просмотреть список программ-исключений (программ, работа которых была признана потенциально опасной, но на запрос о карантине программы, пользователь ответил, что доверяет ей), а также просмотреть программы, находящиеся в карантине: ссылки РАЗРЕШЕННЫЕ ОБЪЕКТЫ и ОБЪЕКТЫ В КАРАНТИНЕ.

Кроме того, на данной вкладке отображается содержимое журнала программы: сведения о найденных в процессе проверки потенциально опасных программах.

Программы

Содержимое данной вкладки предназначено для выполнения настройки программы, для получения доступа к дополнительным возможностям программы, а также для работы с сообществом SpyNet.

Для выполнения каждого из этих действий на вкладке ПРОГРАММЫ присутствует отдельная ссылка.

Параметры С помощью данной ссылки выполняется настройка основных возможностей программы. Эти возможности настройки будут описаны ниже.

Microsoft SpyNet Позволяет получить доступ к форуму сообщества SpyNet, созданного для пользователей программы Защитник Windows, желающих своевременно получать информацию о новых нежелательных программах и ложных срабатываниях Защитника Windows.

Объекты в карантине Отображает список программ, которые были признаны вредоносными и помещены в карантин.

Проводник программного обеспечения За этой ссылкой скрываются четыре уникальные и полезные возможности программы Защитник Windows, названия категорий которых приведены ниже.

• АВТОМАТИЧЕСКИ ЗАГРУЖАЕМЫЕ ПРОГРАММЫ. Отображает список всех программ, которые загружаются автоматически при входе пользователя в операционную системы.

  Для каждой программы отображаются такие сведения, как имя и путь к файлу, его описание, издатель, цифровая подпись, размер, версия, дата установки, входит ли программа в поставку операционной системы, и т.д.

  Данная возможность программы существенно опережает возможности вкладки АВТОЗАГРУЗКА стандартной программы msconfig.exe.

• ТЕКУЩИЕ ВЫПОЛНЯЕМЫЕ ПРОГРАММЫ. Отображает список всех программ, которые выполняются в данный момент.

  Для каждой программы отображаются все стандартные сведения (те же сведения, которые были описаны для первой рассмотренной нами категории), а также информация о PID процесса, учетной записи, службах, которые работают в данном процессе, а также запускается ли данная программа автоматически при входе в систему.

  Данная возможность программы не может сравниться со стандартным диспетчером программ Windows, хотя и предоставляет некоторые дополнительные сведения о программах.

• ПРОГРАММЫ С ПОДКЛЮЧЕНИЕМ К СЕТИ. Отображает список всех программ, которые прослушивают сеть.

  Для каждой программы отображаются все те сведения, которые отображались для программ второй рассмотренной нами выше категории. Кроме того, отображается таблица адресов, с которыми взаимодействует программа: протокол, локальный и внешний IP-адрес и порт, состояние подключения.

  Раньше подобную информацию можно было получить только при помощи программ командной строки.

• ПОСТАВЩИКИ СЛУЖБЫ WINSOCK. Отображает список поставщиков службы.

  Для каждого поставщика отображается такая информация, как его CLSID-номер, библиотека, в которой он описан, тип лицензии, специальный путь операционной системы. Также отображается вся стандартная информация: путь к файлу поставщика, его версия, выводимое имя, описание, цифровая подпись и т.д.

  Данная возможность программы предоставляет некоторые дополнительные возможности, однако не отображает многие из сведений, которые можно получить о поставщиках Winsock при помощи стандартной программы msinfo32.exe.

Разрешенные объекты Отображает список программ, которые были признаны вредоносными, но пользователь запретил их помещение в карантин, и пометил их как заслуживающих доверие.

Веб-узел Защитника Windows Позволяет получить доступ к официальному сайту программы Защитник Windows.

Настройка работы программы

Основным способом настройки работы программы является ссылка ПАРАМЕТРЫ, расположенная на одноименной вкладке. В данном разделе мы опишем те возможности, которые предоставляет данная ссылка.

Автоматическая и ручная проверка компьютера

По умолчанию программа настроена на ежедневную проверку компьютера (в два часа ночи). Однако вы можете изменить настройки автоматической проверки компьютера.

Настройки автоматической проверки компьютера (также некоторые из описанных параметров используются и при обычной проверке) содержатся в параметрах REG_DWORD типа ветви реестра HKLM\SOFTWARE\Microsoft\Windows Defender\Scan.

• ScheduleDay. Значение данного параметра определяет день, на который будет назначаться автоматическая проверка компьютера. Если значение данного параметра равно 0, тогда проверка выполняется ежедневно. Остальные значения определяют один из дней недели, начиная с воскресенья. Если же значение данного параметра равно 8, тогда автоматическая проверка компьютера будет отключена.
• ScheduleTime. Значение данного параметра определяет час, на который назначена проверка (в минутах). Например, если проверка назначена на три часа, значение данного параметра равно 180 в десятичной системе счисления.
• ScanParameters. Если значение данного параметра равно 2, тогда будет выполняться полная проверка компьютера. Если же значение данного параметра равно 1, тогда быстрая.
• CheckForSignaturesBeforeRunningScan. Установка флажка ПРОВЕРЯТЬ НАЛИЧИЕ ОБНОВЛЕНИЙ ОПРЕДЕЛЕНИЙ ПЕРЕД ПРОВЕРКОЙ присваивает данному параметру значение 1. В этом случае перед началом сканирования всегда будет выполняться поиск и загрузка новых сигнатур нежелательного программного обеспечения.

  Также значение параметра CheckForSignaturesBeforeRunningScan можно настроить при помощи ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan.

• AutomaticallyCleanAfterScan. Установка флажка ПРИМЕНИТЬ ДЕЙСТВИЯ ПО УМОЛЧАНИЮ К ОБНАРУЖЕННЫМ ПРИ ПРОВЕРКЕ ПРОГРАММАМ присваивает данному параметру значение 1.
• DisableArchiveScanning. Снятие флажка ПРОВЕРЯТЬ СОДЕРЖИМОЕ АРХИВНЫХ ПАПОК И ФАЙЛОВ присваивает данному параметру значение 1.
• DisableHeuristics. Снятие флажка ИСПОЛЬЗОВАТЬ ЭВРИСТИЧЕСКИЕ МЕТОДЫ ДЛЯ ОБНАРУЖЕНИЯ ПОТЕНЦИАЛЬНО ОПАСНЫХ ИЛИ НЕЖЕЛАТЕЛЬНЫХ ПРОГРАММ присваивает данному параметру значение 1.
• DisableRestorePoint. Снятие флажка СОЗДАТЬ ТОЧКУ ВОССТАНОВЛЕНИЯ ПЕРЕД ВЫПОЛНЕНИЕМ ДЕЙСТВИЙ ДЛЯ ОБНАРУЖЕННЫХ ОБЪЕКТОВ присваивает данному параметру значение 1.
• ExcludePaths. Данный параметр имеет тип REG_MULTI_SZ. Он содержит в себе список каталогов, содержимое которых не будет проверяться программой Защитник Windows.

Защита в реальном времени

Также по умолчанию активирован модуль программы Защитник Windows, призванный защитить пользователя от запускаемых вредоносных программ в реальном времени.

Настройки защиты в реальном времени содержатся в параметрах REG_DWORD типа ветви реестра HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection.

• EnableUnknownPrompts. Установка флажка ПРОГРАММЫ, НЕ КЛАССИФИЦИРОВАННЫЕ НА ПРЕДМЕТ ВОЗМОЖНОГО РИСКА (в поле настройки параметров оповещения об обнаруженных программах) присваивает данному параметру значение 1. В этом случае при обнаружении подозрительной программы будет выводиться диалог, позволяющий запретить работу программы или пометить ее в качестве программы-исключения (которая точно не выполняет вредоносных действий).

  Также значение параметра EnableUnknownPrompts можно настроить при помощи ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection.

• EnableKnownGoodPrompts. Установка флажка ИЗМЕНЕНИЯ, ВНЕСЕННЫЕ ПРОГРАММАМИ, ВЫПОЛНЕНИЕ КОТОРЫХ РАЗРЕШЕНО (в поле настройки параметров оповещения об обнаруженных программах) присваивает данному параметру значение 1.
• DisableAntiSpywareRealtimeProtection. Установка флажка ИСПОЛЬЗОВАТЬ ЗАЩИТУ В РЕЖИМЕ РЕАЛЬНОГО ВРЕМЕНИ присваивает данному параметру значение 0.
• Агенты безопасности, которые запускаются в режиме защиты реального времени.
  • AutoStartAgent. Определяет запуск агента слежения за автоматически запускаемыми программами.
  • SystemConfigurationAgent. Определяет запуск агента, проверяющего параметры настройки компьютера.
  • IEAddInsAgent. Определяет запуск агента слежения за надстройками браузера Internet Explorer.
  • IEConfigurationAgent. Определяет запуск агента, проверяющего параметры работы надстроек браузера Internet Explorer.
  • IEDownloadsAndOutlookAttachmentsAgent. Определяет запуск агента, проверяющего загружаемые из Интернета файлы и вложения.
  • ServicesAndDriversAgent. Определяет запуск агента слежения за работой служб и драйверов.
  • ApplicationExecutionAgent. Определяет запуск агента слежения за работой запущенных в данный момент программ.
  • ApplicationRegistrationAgent. Определяет запуск агента регистрации запускаемых приложений.
  • ThirdPartyExtensibilityPointsAgent. Определяет запуск агента слежения за надстройками операционной системы.

Также некоторые настройки защиты в реальном времени содержатся в параметрах REG_DWORD типа ветви реестра HKLM\SOFTWARE\Microsoft\Windows Defender\UX Configuration.

• AlwaysShowTaskTrayIcon. Если значение данного параметра равно 1, тогда значок работающей в реальном времени программы Защитник Windows всегда будет отображаться в панели уведомлений. По умолчанию он отображается только при обнаружении подозрительной программы.

Другие настройки

А теперь давайте рассмотрим другие настройки программы, которые влияют на ход процесса проверки компьютера и на его результаты.

Все эти настройки изменяют значения параметров REG_DWORD типа.

Возможности работы программы Windows Defender можно настроить при помощи параметров REG_DWORD типа, расположенных в подразделах ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Reporting.

DisableLoggingForKnownGood. Если значение данного параметра равно 1, тогда в лог-файл защитника Windows не будет заноситься информация о подозрительных программах, которые пользователь пометил как точно не выполняющие вредоносных действий.

DisableLoggingForUnknown. Если значение данного параметра равно 1, тогда в лог-файл защитника Windows не будет заноситься информация о подозрительных программах.

HKLM\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction Содержимое данной ветви реестра определяет действия, которые программа по умолчанию будет выполнять (если запущена автоматическая проверка) или предлагать пользователю на выполнение.

Параметры данной ветви реестра могут принимать следующие значения: 3 (удалить подозрительную программу) и 6 (игнорировать). Если параметра не существует, тогда применяется действие по умолчанию.

• 1. Определяет действие для низкого уровня безопасности.
• 2. Определяет действие для среднего уровня безопасности.
• 4. Определяет действие для высокого уровня безопасности.

HKLM\SOFTWARE\Microsoft\Windows Defender\UX Configuration

• AllowNonAdminFunctionality. Установка флажка РАЗРЕШИТЬ ВСЕМ ИСПОЛЬЗОВАТЬ ЗАЩИТНИК WINDOWS присваивает данному параметру значение 1.
• ConsoleFunctionalityAvailable. Он определяет, будет ли разрешен запуск сканирования системы из командной строки.

HKLM\SOFTWARE\Microsoft\Windows Defender\SpyNet

• SpyNetReportingLocation. Данный параметр строкового типа содержит в себе адрес, на который будут передаваться отчеты сообществу SpyNet.
• SpyNetReporting. Данный параметр позволяет определить режим отправки сведений о найденных вирусах на форум сообщества SpyNet.

  Например, если значение параметра равно 0, тогда взаимодействие с сообществом будет запрещено (по умолчанию).

  Если же значение данного параметра равно 1, тогда будет применяться базовый режим взаимодействия — на сайт сообщества будет передаваться только общая информация об обнаруженных новых подозрительных программах.

  А если значение параметра равно 2, тогда будет применяться дополнительный режим взаимодействия — на сайт сообщества будет передаваться подробнейшая информация о найденных подозрительных программах (при этом существует вероятность передачи личных данных пользователя).

  Также значение параметра SpyNetReporting можно настроить при помощи ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet.

HKLM\SOFTWARE\Microsoft\Windows Defender\Signature Updates

• UpdateOnStartUp. Если значение данного параметра равно 1, тогда при каждом запуске программы будет выполняться поиск новых обновлений базы данных вирусов программы Защитник Windows.

  Возможности работы программы Windows Defender можно настроить при помощи параметров REG_DWORD типа, расположенных в подразделах ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates.

  CheckAlternateDownloadLocation. Если значение данного параметра равно 1, тогда Windows Defender будет выполнять обновление сигнатур подозрительных программ при помощи Windows Update, если сервер WSUS в данный момент недоступен. Такое поведение программы установлено по умолчанию.

  ForceFullUpdate. Если значение данного параметра равно 1, тогда из Интернета всегда будет выполняться загрузка всей базы сигнатур подозрительных программ, а не только той части базы, которая отсутствует на компьютере.

HKLM\SOFTWARE\Microsoft\Windows Defender

• DisableAntiSpyware. Установка флажка ИСПОЛЬЗОВАТЬ «ЗАЩИТНИКА WINDOWS» присваивает данному параметру значение 0.
• ProductUpdateAvailable. Если значение данного параметра равно 1, тогда при следующем запуске программы будет отображено сообщение о необходимости обновления версии программы и появится кнопка, с помощью которой программу можно обновить.

  Также значение параметра DisableAntiSpyware можно настроить при помощи ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows Defender.

Служба Защитник Windows

Тип запуска: автоматически.
Учетная запись: система.
Дополнительные привилегии: SEIMPERSONATEPRIVILEGE, SEBACKUPPRIVILEGE, SERESTOREPRIVILEGE,
 SEDEBUGPRIVILEGE, SECHANGENOTIFYPRIVILEGE, SESECURITYPRIVILEGE.
Файлы службы: %ProgramFiles%\Windows Defender\mpsvc.dll.
Исполняемый файл: svchost.exe -k secsvcs.
Подраздел реестра: WinDefend.
Службы, необходимые для работы данной: УДАЛЕННЫЙ ВЫЗОВ ПРОЦЕДУР (RPC) (RpcSs).

Работа программы Защитник Windows основана на данной службе. Если вы отключите данную службу, тогда все возможности программы Защитник Windows будут отключены.

Продолжение следует