Расположение: %programfiles%\Windows Defender\MSASCui.exe

Защитник Windows — это единственная программа, реализующая механизмы безопасности операционной системы Windows Vista, которую мы рассмотрим в этой главе. Также мы рассмотрим несколько мастеров, работа которых основана на программе Защитник Windows.

По умолчанию автоматически при каждом запуске операционной системы также запускается и программа Защитник Windows. Это происходит из-за того, что запуск этой программы прописан в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Программа Защитник Windows предназначена для поиска вредоносного программного обеспечения. После ее запуска перед вами отобразится окно, приведенное на рисунке 3.21.

Рис. 3.21. Окно программы Защитник Windows

При запуске программы отображается окно ДОМОЙ, в котором можно определить, когда в последний раз выполнялся поиск вредоносного программного обеспечения.

Проверка компьютера Если вы хотите немедленно перейти к сканированию компьютера, тогда необходимо нажать на кнопку ПРОВЕРИТЬ. После этого начнется полное сканирование компьютера. Также можно воспользоваться стрелочкой вниз данной кнопки, чтобы выбрать быстрое сканирование, полное или сканирование определенных разделов диска.

Программы-исключения Если же вы хотите просмотреть список разрешенных программ, действия которых никогда не будут считаться подозрительными, тогда следует воспользоваться кнопкой ЖУРНАЛ программы.

После этого в появившемся диалоге нужно нажать на ссылку РАЗРЕШЕННЫЕ ОБЪЕКТЫ. Если же вы нажмете на ссылку ОБЪЕКТЫ В КАРАНТИНЕ, тогда сможете просмотреть список найденных вирусов, которые были помещены в карантин.

Кроме того, на данной вкладке программы можно просмотреть сведения журнала программы. В него заносятся сведения обо всех подозрительных программах.

Рис. 3.22. Диалог настройки программы Защитник Windows

И, наконец-то, с помощью кнопки ПРОГРАММЫ можно перейти на окно настройки и дополнительных возможностей программы Защитник Windows (рис. 3.22). Это окно можно назвать самым интересным окном программы Защитник Windows. Оно содержит в себе следующие возможности.

Параметры

Предоставляет доступ к настройкам программы Защитник Windows. Например, можно изменить или указать следующие настройки.

• Время автоматического проведения сканирования файловой системы компьютера на вирусы. Для этого предназначено поле АВТОМАТИЧЕСКАЯ ПРОВЕРКА. Также с помощью этого поля можно определить, будут ли проверяться обновления для базы вирусов перед началом сканирования, а также будет ли применяться действие по умолчанию при обнаружении подозрительной программы (или будет задаваться вопрос пользователю о том, что нужно делать).
• С помощью следующего поля (ДЕЙСТВИЯ ПО УМОЛЧАНИЮ) можно определить действие по умолчанию, которое будет выполняться при обнаружении подозрительных программ. При этом можно указать различные действия для различных программ, в зависимости от степени их опасности.
• Поле ПАРАМЕТРЫ ЗАЩИТЫ В РЕЖИМЕ РЕАЛЬНОГО ВРЕМЕНИ позволяет настроить следующие параметры модуля постоянной фоновой защиты компьютера от вирусов: будет ли он включен, будет ли запускаться при входе пользователя в систему, за чем именно он будет следить (например, за запущенными службами или надстройками для Internet Explorer).
• С помощью поля ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ можно настроить такие параметры, как каталоги, содержимое которых сканироваться не будет, будут ли сканироваться заархивированные файлы, будет ли применяться эвристический метод поиска подозрительных программ и подозрительной деятельности.
• При помощи поля АДМИНИСТРАТИВНЫЕ ПАРАМЕТРЫ можно настроить глобальные параметры работы программы Защитник Windows. Например, будет ли он использоваться вообще, а также, разрешено ли пользователям без прав администратора проводить сканирование системы.

Microsoft SpyNet

Позволяет зайти на специальный форум корпорации Microsoft, посвященный защите компьютеров от вирусов.

Объекты в карантине

С помощью данной ссылки можно просмотреть список программ, которые были занесены в карантин. Если какая-то программа попала в карантин случайно, тогда можно разрешить ее использование. После этого она добавится в список Разрешенные объекты.

Проводник программного обеспечения

Данная ссылка предоставляет доступ к четырем дополнительным возможностям программы Защитник Windows.

Автоматически загружаемые программы Отображает список программ, автоматически запускаемых вместе с операционной системой. При этом отображается не только имя программы, но и ее описание, издатель, путь к программе, кем был выдан сертификат этой программы (если такой имеется), с помощью какой именно ветви реестра или каталога она запускается при входе в систему и т.д.

Текущие выполняемые программы Отображает список процессов, запущенных в данный момент. Для каждого процесса также отображается путь к его исполняемому файлу, от чьей учетной записи процесс запущен, какой PID имеет, какой размер занимает, когда был установлен и т.д. Если же процесс содержит в себе несколько запущенных служб (например, svchost.exe), тогда также отображается список служб, которые работают под этим процессом.

Программы с подключением к сети Отображает список процессов, которые пытаются получить доступ к сети. Как и в предыдущих возможностях, отображается путь к исполняемому файлу процесса, его размер, версия файла, кем был подписан, от чьего имени был запущен, какой PID имеет и т.д. Но кроме того, отображаются IP-адресы компьютеров, к которым процесс пытается получить доступ.

Поставщики службы Winsock Отображает службы и драйверы (провайдеры), взаимодействующие с библиотекой Winsock (библиотека, реализующая доступ к сети). Как и раньше, о провайдере отображается полная информация — от имени библиотеки, реализующей его, до GUID-идентификатора провайдера.

Разрешенные объекты

С помощью данной ссылки можно просмотреть список разрешенных программ, действия которых не считаются подозрительными.

Веб-узел Защитника Windows

Позволяет зайти на сайт программы Защитник Windows. На этом сайте вы можете как скачать новую базу вирусов, так и просто почитать о программе Защитник Windows.

Настройка при помощи групповых политик

Также настроить программу Защитник Windows можно при помощи групповых политик. Для этого применяются политики, описанные в файле WindowsDefender.admx, и расположенные в разделе КОНФИГУРАЦИЯ КОМПЬЮТЕРА/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ/КОМПОНЕНТЫ WINDOWS/WINDOWS DEFENDER.

Данные политики изменяют значения параметров REG_DWORD типа, расположенных в подразделах ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows Defender.

• CheckForSignaturesBeforeRunningScan. Данный параметр расположен в подразделе Scan. Если значение данного параметра равно 1, тогда перед началом сканирования всегда будет выполняться поиск и загрузка новых сигнатур нежелательного программного обеспечения.
• SpyNetReporting. Данный параметр расположен в подразделе SpyNet. Данный параметр позволяет определить режим отправки сведений о найденных вирусах на форум сообщества SpyNet. Например, если значение параметра равно 0, тогда взаимодействие с сообществом будет запрещено (по умолчанию). Если же значение данного параметра равно 1, тогда будет применяться базовый режим взаимодействия — на сайт сообщества будет передаваться только общая информация об обнаруженных новых подозрительных программах. А если значение параметра равно 2, тогда будет применяться дополнительный режим взаимодействия — на сайт сообщества будет передаваться подробнейшая информация о найденных подозрительных программах (при этом существует вероятность передачи личных данных пользователя).
• ForceFullUpdate. Данный параметр расположен в подразделе Signature Updates. Если значение данного параметра равно 1, тогда из Интернета всегда будет выполняться загрузка всей базы сигнатур подозрительных программ, а не только той части базы, которая отсутствует на компьютере.
• DisableLoggingForKnownGood. Данный параметр расположен в подразделе Reporting. Если значение данного параметра равно 1, тогда в лог-файл защитника Windows не будет заноситься информация о подозрительных программах, которые пользователь пометил как точно не выполняющие вредоносных действий.
• DisableLoggingForUnknown. Данный параметр расположен в подразделе Reporting. Если значение данного параметра равно 1, тогда в лог-файл защитника Windows не будет заноситься информация о подозрительных программах.
• EnableUnknownPrompts. Данный параметр расположен в подразделе Real-Time Protection. Если значение данного параметра равно 1, тогда при обнаружении подозрительной программы будет выводиться диалог, позволяющий запретить работу программу или пометить ее в качестве программы-исключения (которая точно не выполняет вредоносных действий).
• DisableAntiSpyware. Если значение данного параметра равно 1, тогда запуск программы Защитник Windows будет запрещен.
• CheckAlternateDownloadLocation. Данный параметр расположен в подразделе Signature Updates. Если значение данного параметра равно 1, тогда Защитник Windows будет выполнять обновление сигнатур подозрительных программ при помощи Windows Update, если сервер WSUS в данный момент недоступен. Такое поведение программы установлено по умолчанию.

Параметры реестра, влияющие на работу программы Защитник Windows

Все настройки программы Защитник Windows хранятся в ветви реестра HKLM\SOFTWARE\Microsoft\Windows Defender и ее подразделах. В контексте данной книги мы не будем рассматривать параметры, которые можно настроить и с помощью опций программы Защитник Windows, а ограничимся только параметрами, доступ к которым программным способом получить нельзя.

Единственным параметром данной ветви реестра является параметр REG_DWORD типа ProductUpdateAvailable. Если его значение равно 1, тогда при следующем запуске программы будет отображено сообщение о необходимости обновления версии программы и появится кнопка, с помощью которой программу можно обновить.

Также в данной ветви реестра присутствуют следующие подразделы.

• Signature Updates. Данный подраздел содержит в себе сведения о настройках обновления базы вирусов программы Защитник Windows. Кроме стандартных настроек он содержит параметр REG_DWORD UpdateOnStartUp. Если его значение равно 1, тогда при каждом запуске программы будет выполняться поиск новых обновлений базы данных вирусов программы Защитник Windows.
• SpyNet. Определяет параметры доступа к форуму SpyNet. Среди них присутствует параметр строкового типа SpyNetReportingLocation, который определяет адрес данного форума.
• UX Configuration. Среди стандартных параметров данный подраздел содержит в себе параметр REG_DWORD типа ConsoleFunctionalityAvailable. Он определяет, будет ли разрешен запуск сканирования системы из командной строки.

Мастер Средство удаления вредоносных программ Microsoft Windows

Расположение: %systemroot%\system32\mrt.exe.

Данный мастер не имеет никакого отношения к программе Защитник Windows. Тем не менее, он выполняет схожие с ней действия — ищет различные программы, которые выполняют вредоносные действия (различные шпионские программы).

Чтобы запустить мастер, достаточно воспользоваться командой mrt.exe. При первом запуске мастера необходимо согласиться с его лицензионным соглашением, после чего мастер предложит выбрать тип сканирования. Можно выполнить быстрое сканирование (переключатель БЫСТРАЯ ПРОВЕРКА), полное сканирование файловой системы компьютера (переключатель ПОЛНАЯ ПРОВЕРКА), либо выбрать папку, содержимое которой будет просканировано (переключатель ВЫБОРОЧНАЯ ПРОВЕРКА).

Также существует возможность запуска данного мастера, который не будет содержать страницу выбора типа сканирования. Если вы воспользуетесь командой mrt.exe /F, тогда мастер всегда будет выполнять полное сканирование системы.

Продолжение следует