Приложение к книге об антивирусах

Стандартный брандмауэр

В главе 3, при описании стандартного брандмауэра Windows Vista, мы лишь упомянули об оснастке БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ. Мол, она может быть интересная только домашнему пользователю с душой хакера. Поэтому в книге мы рассматривать ее не будем. Те же, кто заинтересовался возможностями данной оснастки, вкратце смогут прочитать о ней в дополнительных главах книги, которые можно найти на компакт-диске…

Вспомнили? Ну, тогда давайте немножко поговорим об оснастке БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ.

Оснастка Брандмауэр Windows в режиме повышенной безопасности

Диалог ПАРАМЕТРЫ БРАНДМАУЭРА WINDOWS, который мы рассмотрели в книге, позволяет лишь поверхностно настроить параметры работы стандартного брандмауэра. Для большинства домашних пользователей этого будет достаточно.

Если же вы отличаетесь умом, сообразительностью и повадками хакера, тогда вам может пригодиться более продвинутое средство для настройки стандартного брандмауэра — оснастка БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ.

Вкратце и только для вас мы рассмотрим данную оснастку. Но честное слово, если вы считаете, что возможности данной оснастки вам необходимы, тогда вам следует как можно скорее установить сторонний брандмауэр, который предоставляет больше возможностей и реальную защиту.

Проще всего открыть оснастку БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ с помощью команды wf.msc (рис. 8.1).

Рис. 8.1. Оснастка Брандмауэр Windows в режиме повышенной безопасности

Вас встретит обзор состояния основных настроек (включен ли брандмауэр, разрешены ли входящие и исходящие подключения) для всех профилей стандартного брандмауэра.

Профиль — это набор настроек брандмауэра, которые разработчики Microsoft считают наиболее оптимальными в том или ином случае. Существует три профиля работы стандартного брандмауэра.

• ПРОФИЛЬ ДОМЕНА — используется, если ваш компьютер подключен к домену Active Directory, и считается наименее защищенным профилем. Если ОС обнаруживает в сети контроллер домена Active Directory, тогда стандартный брандмауэр автоматически переключается на использование профиля домена.
• ОБЩИЙ ПРОФИЛЬ — наиболее защищенный профиль, который разработан для подключения к Интернету и локальным сетям, которым вы не доверяете (например, публичным сетям, доступным в гостиницах, аэропорту и др.). Когда вы впервые подключаете компьютер к неизвестной сети, операционная система отображает перед вами диалог с просьбой выбрать тип новой сети: общий или частный. Профиль брандмауэра настраивается в зависимости от вашего выбора конкретно для данной сети.
• ЧАСТНЫЙ ПРОФИЛЬ — если не считать профиля домена, тогда данный профиль наименее защищенный. Он был разработан для подключения к доверенным локальным сетям.

В любой момент времени может использоваться только один профиль брандмауэра. То есть, если к вашему компьютеру подключено две сети — одна сеть домена, а другая общедоступная — тогда брандмауэр будет применять для обоих сетей общий профиль. То есть, для всех сетей будет использоваться наиболее ограничивающий профиль.

Как правило, по умолчанию используется общий профиль. И именно его настройки мы изменяли с помощью диалога ПАРАМЕТРЫ БРАНДМАУЭРА WINDOWS. Впрочем, вы можете посмотреть, какой профиль используется по умолчанию. Для этого отобразите диалог БРАНДМАУЭР WINDOWS (команда firewall.cpl) и обратите внимание на поле СЕТЕВОЕ РАЗМЕЩЕНИЕ.

Помимо просмотра основных настроек, главное окно позволяет перейти к самым главным разделам оснастки БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ.

• СВОЙСТВА БРАНДМАУЭРА WINDOWS — отобразить диалог настройки параметров работы профилей стандартного брандмауэра (также вызывается с помощью пункта СВОЙСТВА контекстного меню раздела БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ данной оснастки).
• ПРАВИЛА БЕЗОПАСНОСТИ ПОДКЛЮЧЕНИЙ — переходит к одноименному разделу оснастки (позволяет указать, для каких подключений должна использоваться проверка подлинности и возможности по защите, предоставляемые IPSec).

  Одним из изменений стандартного брандмауэра Windows Vista является объединение в одной оболочке интерфейсов управления протокола IPsec и брандмауэра. Что позволяет упростить администрирование сети. В частности, упростить изоляцию систем в сети (при изоляции используются как возможности IPsec, так и возможности брандмауэра).

  В данном разделе как раз и выполняется настройка работы IPSec.

• ПРАВИЛА ДЛЯ ВХОДЯЩИХ ПОДКЛЮЧЕНИЙ — переходит к одноименному разделу оснастки (изменить или добавить правила, по которым брандмауэр определяет, разрешено ли программе получать входящие подключения).
• ПРАВИЛА ДЛЯ ИСХОДЯЩИХ ПОДКЛЮЧЕНИЙ — переходит к одноименному разделу оснастки (изменить или добавить правила, по которым брандмауэр определяет, разрешено ли программе устанавливать исходящие подключения).
• НАБЛЮДЕНИЕ — переходит к одноименному разделу оснастки (просмотреть настройки используемого профиля брандмауэра, а также список правил для входящих и исходящих подключений, которые применяются в данный момент).

Свойства брандмауэра Windows Для нас сейчас наиболее интересна ссылка СВОЙСТВА БРАНДМАУЭРА WINDOWS. После ее выбора перед вами отобразится диалог настройки, состоящий из четырех вкладок (рис. 8.2): ОБЩИЙ ПРОФИЛЬ, ПРОФИЛЬ ДОМЕНА, ЧАСТНЫЙ ПРОФИЛЬ и ПАРАМЕТРЫ IPSEC.

Рис. 8.2. Диалог настройки профилей стандартного брандмауэра

Первые три вкладки содержат одинаковые настройки, и позволяют изменить следующие параметры работы соответствующего профиля:

• включить/отключить брандмауэр для данного профиля;
• разрешить или заблокировать все входящие подключения, а также заблокировать все входящие подключения, кроме исключений (по умолчанию);
• разрешить (по умолчанию) или заблокировать все исходящие подключения;
• разрешить (по умолчанию) или запретить вывод сообщений о том, что программа пытается установить подключение к Интернету;
• настроить параметры ведения журнала.

Настройки по умолчанию являются оптимальными.

На вкладке ПАРАМЕТРЫ IPSEC можно настроить работу протокола IPSec, однако на домашних компьютерах он практически никогда не используется.

Настройка правил для входящих и исходящих подключений После того, как основные настройки брандмауэра изменены, следует приступить к настройке правил для входящих и исходящих подключений.

Как вы уже могли заметить, по умолчанию все входящие подключения блокируются, и только после того, как вы разрешите входящее подключение в отобразившемся диалоге, для него будет создано разрешающее правило.

Все исходящие подключения по умолчанию разрешены, и только с помощью правил вы можете заблокировать отдельные исходящие подключения.

Существует три вида правил: разрешающие правила, запрещающие правила и отключенные правила. После установки операционной системы стандартный брандмауэр уже содержит огромное количество правил, большая часть которых отключена. Отключенные правила созданы разработчиками операционной системы для того, чтобы различные возможности Windows, которые по умолчанию отключены, смогли работать. И только после того, как вы активируете соответствующую дополнительную функциональность операционной системы, правила для ее работы будут активированы.

Настройка с помощью групповых политик

Если вы являетесь полноправным администратором компьютера, тогда вместо оснастки БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ вам лучше воспользоваться групповыми политиками. С их помощью также можно настроить параметры работы стандартного брандмауэра, а также изменить правила для входящих и исходящих подключений.

Для того чтобы настроить работу брандмауэра с помощью групповых политик, достаточно открыть оснастку РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ (консоль gpedit.msc), после чего перейти к разделу КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ (рис. 8.3).

Рис. 8.3. Настройка брандмауэра Windows с помощью групповых политик

С помощью данного раздела можно переопределить большинство настроек, доступных из оснастки БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ. Поэтому у вас может возникнуть вопрос «Какая разница между настройкой с помощью групповых политик и настройкой с помощью оснастки?». А разница с точки зрения безопасности компьютера огромна.

Во-первых, групповые политики имеют больший приоритет, чем настройки рассмотренной ранее оснастки. То есть, они заменяют собой стандартные настройки.

Во-вторых, некоторые вредоносные программы могут изменять стандартные настройки брандмауэра Windows. А вот настройки групповых политик они пока что не трогают.

В-третьих, все групповые политики применяются не только во время включения компьютера, но и периодически во время его работы. То есть, даже если вредоносная программа изменит групповую политику, операционная система через некоторое время восстановит значение групповой политики, указанное вами.

Групповые политики для настройки брандмауэра

По иронии судьбы оснастка РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ (консоль gpedit.msc) помимо рассмотренного выше раздела КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ содержит набор дополнительных параметров для настройки стандартного брандмауэра. И иногда проще воспользоваться именно ими.

Все настройки стандартного брандмауэра находятся в разделе КОНФИГУРАЦИЯ КОМПЬЮТЕРА/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ/СЕТЬ/СЕТЕВЫЕ ПОДКЛЮЧЕНИЯ/БРАНДМАУЭР WINDOWS. В этом разделе находятся два подраздела: ПРОФИЛЬ ДОМЕНА и СТАНДАРТНЫЙ ПРОФИЛЬ. А уже в них находятся параметры для отдельной настройки каждого профиля.

Каждый параметр хорошо документирован, поэтому в книге их рассматривать нет никакого смысла. Вместо этого давайте посмотрим на пример настройки стандартного брандмауэра в корпоративной среде с помощью параметров групповой политики (табл. 8.1).

Таблица 8.1. Пример настройки стандартного брандмауэра в корпоративной среде с помощью групповых политик

• Защита всех сетевых подключений (Профиль домена: Включен; Стандартный профиль: Включен)
• Не разрешать исключения (Профиль домена: Не задан; Стандартный профиль: Включен)
• Определение входящих исключений программ (Профиль домена: Включен; Стандартный профиль: Включен)
• Разрешать локальные исключения для программ (Профиль домена: Отключен; Стандартный профиль: Отключен)
• Разрешить исключение для входящих сообщений удаленного администрирования (Профиль домена: Отключен; Стандартный профиль: Отключен)
• Разрешает исключение для входящего общего доступа к файлам и принтерам (Профиль домена: Отключен; Стандартный профиль: Отключен)
• Разрешить исключения ICMP (Профиль домена: Отключен; Стандартный профиль: Отключен)
• Разрешить исключения для входящих сообщений удаленного управления рабочим столом (Профиль домена: Включен; Стандартный профиль: Включен)
• Разрешить исключения входящего трафика для UPnP (Профиль домена: Отключен; Стандартный профиль: Отключен)
• Запретить уведомления (Профиль домена: Отключен; Стандартный профиль: Отключен)
• Разрешить ведение журнала (Профиль домена: Не задан; Стандартный профиль: Не задан)
• Запретить одноадресные ответы на многоадресные или широковещательные запросы (Профиль домена: Включен; Стандартный профиль: Включен)
• Определение входящих исключений портов (Профиль домена: Отключен; Стандартный профиль: Отключен)
• Разрешить локальные исключения для портов (Профиль домена: Отключен, Стандартный профиль: Отключен)

Если компьютер уже заражен

В главе 3 есть еще одно место, где мы ссылались на дополнительный материал, доступный в книге.

Помните, это было при описании способов автозапуска вредоносных программ? Большинство из них было описано в книге. Те же, которые неразрывно связаны с реестром Windows, вы сможете найти здесь.

Способы автозапуска вредоносных программ

Практически все черви и троянские программы используют тот или иной способ для того, чтобы автоматически запуститься после перезагрузки компьютера. Поэтому при поиске вредоносной программы следует проверить, какие именно программы запускаются при вашем входе в систему.

Для этого можно воспользоваться специальными программами. Однако не стоит на них полагаться во всем. Так что перед тем, как рассмотреть возможности специальных программ, давайте вручную перечислим основные места операционной системы, в которых вирусы прогрызают себе дыры.

Стандартные ветви реестра Также существует набор стандартных ветвей реестра, которые могут использоваться для автоматической загрузки программ. К ним относятся следующие ветви:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — автоматический запуск программы при каждом входе любого пользователя;
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx, HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce — автоматический запуск программ при следующем входе любого пользователя (после запуска программы, сведения о ней будут автоматически удалены из данной ветви реестра);
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices — автоматический запуск службы при каждом входе любого пользователя;
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce — автоматический запуск службы при следующем входе любого пользователя (после запуска службы, сведения о ней будут автоматически удалены из данной ветви реестра);
• А также те же ветви реестра, но находящие в корневом разделе HKEY_CURRENT_USER. Их назначение аналогично назначению рассмотренных выше ветвей, однако определенные в них программы будут запускаться только для текущего пользователя.

Во всех перечисленных ветвях можно указывать не одну, а сразу несколько программ для автозапуска. Достаточно просто создать параметр с любым именем, и в его значении указать путь к запускаемой программе.

Еще стандартные ветви реестра Выше мы с вами рассмотрели стандартные ветви реестра, используемые для автозагрузки программ, и унаследованные операционной системой Windows Vista от своего предка в лице Windows 9x. Помимо них в Windows Vista есть еще один набор стандартных ветвей реестра, используемых для автозагрузки программ. И этот набор унаследован от другого предка — от Windows NT.

• HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Параметр строкового типа load данной ветви реестра содержит в себе список программ, которые будут запускаться при каждом входе текущего пользователя в систему.
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Параметр строкового типа run данной ветви реестра содержит в себе список программ, которые будут запускаться при каждом входе любого пользователя в систему. При этом программы, указанные в данном параметре, будут запускаться в фоновом режиме. То есть, их процесс будет виден на вкладке ПРОЦЕССЫ, однако окна программы (если программа отображает окно) вы не увидите.

Чтобы указать в данных параметрах несколько программ для автозапуска, достаточно написать их через запятую.

Запуск вместе с оболочкой Часто вредоносные программы устанавливают свой автоматический запуск вместе с оболочкой Windows.

Оболочка Windows указана в параметре строкового типа shell ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. По умолчанию в этом параметре установлено значение explorer.exe.

Вся соль в том, что в параметре shell можно указывать сразу несколько программ — достаточно написать их через запятую. И все указанные программы будут запускаться при входе любого пользователя в систему.

Кроме того, если создать параметр shell в ветви реестра HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, то для текущего пользователя его значение будет переопределять значение общего параметра shell. То есть, будут запускаться программы, указанные именно в этом параметре shell.

Еще один способ переопределить значение стандартного параметра shell для всех пользователей — воспользоваться параметром shell, расположенным в ветви реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System.

Дополнительные ветви реестра Если вы думаете, что мы уже рассмотрели все ветви реестра, из которых может автоматически при входе в систему запуститься вредоносная программа, то вы глубоко ошибаетесь. Сейчас мы продолжим рассматривать такие ветви реестра.

• HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot. Если параметру REG_DWORD типа UseAlternateShell данной ветви реестра присвоить значение 1. После чего указать в строковом параметре этой же ветви AlternateShell путь к вредоносной программе. Тогда вместо стандартной оболочки (именно вместо, а не совместно), определенной в уже рассмотренном нами параметре shell, будет запущена программа, указанная в параметре AlternateShell.
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Помимо параметра shell в данной ветви реестра можно встретить множество других параметров строкового типа, позволяющих автоматически запустить программы при входе в систему. Например, следующие параметры: UIHost (запускаются при отображении диалога приветствия), Userinit (список начальных процессов оболочки, которые запускаются lsass.exe), VmApplet (программы, которые будут запускаться при входе в систему программой winlogon.exe с целью настройки параметров виртуальной памяти).

  Во всех этих параметрах через запятую можно указывать несколько программ.

• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run. Может содержать набор параметров строкового типа с именами вида 1, 2, 3… Значения этих параметров содержат названия программ, которые будут запускаться при входе пользователя в систему.
• HKLM\SYSTEM\CurrentControlSet\Control\Session Manager. В данной ветви реестра есть параметр типа REG_MULTI_SZ BootExecute. В нем указаны программы (каждая программа с новой строки), которые будут запускаться во время включения компьютера, еще до запуска операционной системы. Однако чтобы указанная в параметре программа смогла запуститься, она должна быть создано специальным образом, с использованием только API-функций Native API.
• HKLM\SYSTEM\CurrentControlSet\Control\Session Manager. Помимо параметра BootExecute в данной ветви реестра можно найти параметр строкового типа SetupExecute. Он содержит в себе программы, которые будут запущены в том случае, если вы устанавливаете какой-либо дополнительный компонент операционной системы (с помощью диалога КОМПОНЕНТЫ WINDOWS), и необходимо выполнить перезагрузку.
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Строковой параметр AppInit_DLLs данной ветви реестра позволяет указать библиотеки, которые будут загружаться в память при запуске любой программы. Таким образом часто загружаются библиотеки вредоносных программ. Скажу конкретнее — по статистике более 10% вредоносных программ используют данный параметр для автоматической загрузки.
• HKLM\Software\Microsoft\Active Setup\Installed Components. В данной ветви реестра находится набор подразделов, имена которых задаются в формате GUID-номера. Если создать в таком подразделе параметр расширенного строкового типа StubPath, тогда команда, которая в нем записана, будет выполняться для каждого нового профиля, созданного в системе. А именно, при первом входе нового пользователя в систему.

И другие способы Это далеко не полный список способов автоматического запуска программ.

Продолжение следует