Меню

Какие средства безопасности есть в нашей операционной системе

Средства обеспечения безопасности ОС семейства Windows.

Безопасность в каждой новой версии операционной системы семейства Windows всегда была и остается темой для жарких споров. На многих тематических интернет-форумах специалисты и обычные пользователи спорят о том, насколько защищена или наоборот уязвима Windows Vista. В этих спорах зачастую приводятся в качестве примеров технологии, используемые в новой операционной системе. В этой статье мы попробуем разобраться в новых средствах обеспечения безопасности, представленных в Windows Vista.

Прежде всего, приведу немного официальной информации, которая была представлена Microsoft перед выходом Windows Vista.

Итак, по заявлению разработчика, Windows Vista – это первая клиентская операционная система, в которой контроль за безопасностью осуществляется на всех этапах разработки (технология Microsoft’s Security Development Lifecycle – SDL).

Это означает, что безопасности в новой ОС уделено большое внимание. Согласно технологии SDL к разработчикам ПО с самого начала приставляется консультант по безопасности, который контролирует все этапы разработки на предмет отсутствия уязвимостей в программном коде.

Кроме того, Microsoft сертифицировала Windows Vista по стандарту ISO «Общие Критерии» с целью получения сертификатов EAL4 и Single Level OS Protection Profile.

Какими сертификатами на данный момент обладает Windows Vista и другие продукты Microsoft, можно узнать на сайте Common Criteria [4].

Защита операционной системы происходит на нескольких уровнях. Это аппаратная, программная и защита данных. Начну с описания аппаратной защиты.

Аппаратную защиту можно считать нововведением, ведь до выхода Windows Vista другие операционные системы из этого семейства не обладали средствами взаимодействия с механизмами аппаратной защиты.

Но сначала немного поговорим о том, от чего мы собственно защищаемся.

Как известно, исполняемый машинный код и данные, которые используются в приложениях, размещаются в оперативной памяти. Таким образом была возможна ситуация, когда блок данных большей, чем предполагалось длины, мог затереть часть машинного кода. Это могло привести как минимум к сбою в работе приложения, а если заменяющие данные были правильно составлены (то есть содержали определенный код), то и к выполнению произвольного кода и получению несанкционированного доступа к целевой системе. Такой тип атак получил название переполнение буфера (Buffer Overflow).

Так вот, для борьбы с переполнениями буфера на аппаратном уровне в Windows Vista была использована технология NX (No Execute). NX позволяет программному обеспечению, используя возможности оборудования, помечать сегменты памяти, в которых будут храниться только данные, так чтобы процессор не смог исполнять произвольный код в этих сегментах.

Множество современных процессоров поддерживают ту или иную форму NX, и Microsoft в свою очередь, начиная с Windows XP SP2, включила поддержку процессоров с NX‑технологией посредством инструмента Data Execution Prevention (DEP). Windows Vista обеспечивает дополнительную поддержку NX, позволяя производителям ПО встраивать защиту NX в свои программные продукты.

Подробнее о технологии DEP и NX, а также об их достоинствах и недостатках можно прочесть в [3].

Еще одно улучшение в защите Windows Vista связано с определением переполнения «кучи» (области памяти, выделяемой программе для динамически размещаемых структур данных). Такой вид атак аналогичен атакам на переполнение буфера и поэтому требует наличия средств предотвращения переполнения «кучи».

При вмешательстве в буфер «кучи» операционная система генерирует исключение. В случае если в приложении разработчиками не предусмотрена обработка данного исключения, ОС немедленно завершает скомпрометировавший себя код (многие антивирусные системы используют подобную технологию), тем самым предотвратив несанкционированное проникновение в систему.

Эта технология используется для защиты компонентов ОС, включая встроенные системные службы, хотя может использоваться и сторонними производителями ПО через специальные API-вызовы.

Особое внимание следует уделить 64-битным версиям Windows Vista. Для данной архитектуры наличие уже упоминавшейся защиты NX – стандарт. Также операционная система под 64-битную архитектуру поддерживает технологию защиты ядра (иногда используется термин PatchGuard), которая запрещает неавторизованному ПО изменять ядро Windows.

Для понимания сути данной технологии необходимо разобраться в том, что означает термин kernel patching (изменение ядра).

Эта техника использует внутренние системные вызовы, а также различные неподдерживаемые ОС механизмы с целью изменения или замены кода, а возможно, и критических структур данных ядра Windows на другой «неавторизованный» код или данные, которые могут быть и вредоносными. Под понятием «неавторизованный» имеется в виду код, не авторизованный Microsoft как часть ядра Windows, например различные закладки, позволяющие произвести несанкционированный доступ к системе.

Осуществить неавторизованный доступ можно, изменяя адрес функции-обработчика системного вызова (указатель функции) в таблице системных вызовов (system service table, SST), которая представляет собой массив из указателей функций, находящихся в памяти. Такая процедура изменения адреса называется хуком (hook).

Когда выполняется любой системный вызов (например, NtCreateProcess), диспетчер системных вызовов в соответствии с номером вызова передает адрес функции-обработчика данного системного вызова. Соответственно, если поменять адрес функции-обработчика на адрес начала «неавторизованного» кода, диспетчер системных вызовов перейдет по этому адресу, и «неавторизованный» код будет исполнен.

Для предотвращения подобных проникновений Microsoft решила запретить модификацию ядра в 64-битных версиях Windows Vista. Конкретнее – запрещена модификация следующих компонентов ядра [1]:

· таблицы системных вызовов (system service tables, SST);

· таблица прерываний (interrupt descriptor table (IDT));

· таблица глобальных дескрипторов (global descriptor table (GDT));

· изменение любой части ядра (работает только на AMD64-системах).

В случае если какое-либо приложение попытается произвести замену одной из перечисленных частей ядра, будет получено сообщение об ошибке, и система аварийно завершит работу.

По утверждению Microsoft, отключить эту защиту нельзя. Также ядро может изменяться только официальными обновлениями от разработчика.

Программная защита. Windows Service Hardening

На этом описание аппаратных средств защиты завершается, перейдем к рассмотрению программных средств Windows Vista. Здесь тоже появилось довольно много новых средств.

Одной из наиболее частых целей взломщиков являются системные службы ОС, так как они загружаются с самыми высокими привилегиями (Local System), и внедрение в них своего кода может позволить вредоносному приложению скрыться от антивирусных программ и средств обнаружения вторжения.

Читайте также:  Что поможет от боли в голове народными средствами

Системные службы – это фоновые процессы, которые загружаются для поддержки ключевых функций операционной системы, так что разработчики Vista постарались максимально защитить систему от последствий взлома таких служб.

Windows Vista предлагает концепцию «ограниченных служб» (restricted services), которые загружаются с минимальными привилегиями, и влияние их на компьютер и сеть ограничено. Этот подход позволяет существенно сократить число служб, способных нанести серьезный вред пользовательской машине. Данное средство получило название Windows Service Hardening.

Системные службы могут быть однозначно идентифицированы, что позволяет вести списки контроля доступа для каждой службы, разрешая, например, службам записывать только в определенные места файловой системы, реестра или других системных ресурсов.

Кроме того, применение данного подхода позволяет предотвратить изменение важных настроек файловой системы или реестра скомпрометированной службой.

Теперь встроенные службы ОС семейства Windows имеют собственные профили, которые определяют необходимые права для каждой службы, правила доступа к системным ресурсам и сетевые порты, которые службам разрешено использовать.

Если служба попытается отправить или получить данные с сетевого порта, который ей не разрешен для использования, межсетевой экран заблокирует эту попытку. Для этого в межсетевом экране Windows Vista уже имеется набор соответствующих шаблонов.

Например, службе удаленного вызова процедур (Remote Procedure Call service) запрещено перемещать системные файлы, модифицировать реестр, вмешиваться в конфигурации других служб в системе таких, как конфигурация и сигнатуры вирусов и антивирусного ПО.

Следует также отметить, что каждая служба, которая входит в состав ОС Windows Vista, имеет сконфигурированный заранее профиль, который применяется автоматически в процессе установки Windows. Данный процесс не требует каких бы то ни было усилий со стороны пользователей или администраторов.

Еще одним средством, затрудняющим вредоносному коду (эксплойтам) внедрение в систему, является технология случайного распределения адресного пространства (Address Space Layout Randomization (ASLR)). Каждый раз, когда компьютер перезагружается, ASLR в случайном порядке назначает 1 из 256 возможных вариантов адреса для размещения в памяти содержимого ключевых системных DLL- и EXE-файлов. Это осложняет эксплойту задачу поиска нужных данных, а следовательно, противодействует выполнению его функций.

ASLR лучше использовать в связке с Data Execution Prevention, потому что в некоторых случаях компонент Data Execution Prevention можно обойти путем построения эксплойта, который сам по себе не внедряется, но перехватывает системные функции для атаки.

Контроль установки драйверов

Еще одно дополнительное средство защиты для 64-битной архитектуры – это возможность использования только подписанных драйверов. Конечно, и в предыдущих версиях можно было запретить использование неподписанных драйверов устройств с помощью групповых политик, но обычно администраторы позволяли их устанавливать, так как слишком большое количество оборудования не подписывало свои драйверы. По заявлениям Мicrosoft, именно неподписанные драйверы являются причиной большинства сбоев ОС Windows. Хотя, я думаю, многие администраторы и пользователи не согласятся с данным утверждением.

User Account Control

Какие еще средства появились в системе безопасности Windows Vista? Довольно интересное новшество – появление контроля пользовательских учетных записей (User Account Control).

В предыдущих версиях Windows большинство пользовательских учетных записей являлись членами локальной группы «Администраторы», тем самым предоставляя пользователям все системные привилегии и возможности, требуемые для установки и конфигурирования приложений, загрузки некоторых фоновых системных процессов и драйверов устройств, изменения конфигурации системы и выполнения базовых повседневных задач.

Такой подход существенно облегчал жизнь как самим пользователям, так и специалистам техподдержки (хотя бы отчасти), ведь для установки каких-либо дополнительных приложений или внесения изменений в настройки не требовалось привлекать обладателей административных прав, все можно было сделать самостоятельно.

Но по этой же причине на рабочую станцию, на которой пользователь работал, под учетной записью с административными правами могло внедряться вредоносное ПО, которое могло использовать системные привилегии для повреждения файлов, изменения конфигурации (например, отключение межсетевого экрана), кражи или изменения конфиденциальной информации.

Конечно, работа из-под учетных записей простых пользователей тоже не является панацеей, так как вредоносный код может и там нанести ущерб, но сделать это, не обладая административными привилегиями, гораздо сложнее. Да и сам пользователь мог внести в систему изменения, приводящие к сбоям и системным ошибкам.

Конечно, когда рабочая станция находится в домене Active Directory, контролировать учетные записи и гибко назначать пользователям права можно с помощью групповых политик, но очень часто возникают ситуации, когда пользователю необходимы права локального администратора, например на ноутбуке, когда он отправляется в командировку (ведь без административных прав нельзя, к примеру, прописать IP-адрес или изменить настройки подключения к беспроводной сети).

В Windows Vista для решения проблемы ввели контроль пользовательских учетных записей. В соответствии с данным подходом все операции в системе разделены на две категории: те, которые может выполнять пользователь со своими стандартными правами, и те, которые требуют административных привилегий. Благодаря этому производить какие-либо несанкционированные действия вредоносному коду будет гораздо сложнее (например, троян не сможет прописать себя в реестр, а вирус – повредить системные файлы).

UAC переопределяет список стандартных возможностей пользователя путем включения в него множества базовых функций, которые не несут риска нарушения безопасности, хотя раньше требовали административных привилегий (например, изменение временной зоны, настройки системы управления питанием, добавления устройств при условии, что драйверы к ним уже установлены в системе, и другие действия).

UAC также помогает контролировать доступ к ценной информации, находящейся в папке «Мои документы». Теперь если пользователь не является создателем файла, он не сможет его ни прочесть, ни изменить, ни удалить, то есть, другими словами, доступ к файлам других пользователей закрыт. Такая политика используется по умолчанию и будет применяться, даже если пользователь не вносил никаких изменений в настройки доступа к своим файлам.

Читайте также:  Колики у новорожденных чем помочь народные средства

Если обычный пользователь, не обладающий административными правами, попытается выполнить задачу, требующую административных привилегий (например, установка нового приложения или изменение важных системных настроек), ему предлагается ввести пароль администратора. IT-администраторы имеют возможность отключить процедуру ввода пароля администратора для обычных пользователей, тем самым запретить работу с административными привилегиями для данной учетной записи. Это позволит сократить риск несанкционированных действий со стороны последних.

Если же пользователь с административными правами работает в системе, то при попытке произвести какое-либо действие, являющееся критичным с точки зрения UAC, на экран будет выведен запрос на подтверждение данного действия (см. рис. 1). А неожиданное появление предупреждения в процессе работы может свидетельствовать о попытке проникновения вредоносного кода в систему. При необходимости данные напоминания можно отключить с помощью политик безопасности.

Такое предупреждение не позволит вредоносному коду незаметно внести изменения в системе. Также UAC помогает существующим приложениям работать с правами стандартного пользователя без модификаций путем предоставления им специальной платформы, которая помогает последним обойтись без использования административных привилегий в обычных ситуациях.

Например, чтобы обеспечить нормальную работу приложений, требующих для своего выполнения административных привилегий, Windows Vista содержит механизм виртуализации файловой системы и реестра. Данный механизм перенаправляет запросы чтения и записи из защищенных областей в какое-либо место внутри профиля пользователя, таким образом, приложение работает корректно, не влияя на ресурсы других пользователей или систему в целом.

В случае если вы не уверены, будет ли то или иное приложение работать с правами определенного пользователя, Windows Vista предлагает ряд инструментов, технологий и ресурсов, чтобы помочь производителям составлять новые программы, корректно работающие под UAC.

Например, инструмент Standard User Analyzer [2] позволяет определить, будет ли корректно работать то или иное приложение с правами стандартного пользователя или же нет.

Еще одним источником проникновения в систему вредоносного кода являются различные USB-накопители. Бесконтрольное использование в организации флешек может привести к утечке конфиденциальной информации и другим малоприятным последствиям.

Также самовольное подключение пользователями USB-устройств, таких как принтеры или сканеры, могло привести к нестабильной работе системы при использовании некорректной версии драйверов.

При работе с предыдущими версиями Windows администраторам приходилось использовать программное обеспечение от сторонних производителей.

Однако в ОС Windows Vista реализован гибкий механизм контроля использования USB-устройств. Посредством «Групповой Политики Windows» Vista позволяет системным администраторам блокировать установку неавторизованных USB-устройств в компьютер.

Данная политика может применяться как к отдельному компьютеру, так и к множеству компьютеров по всей сети. У администраторов в руках находится весьма гибкий инструмент по настройке политики запрета USB-устройств.

Например, можно разрешить установку только определенного класса устройств, таких как принтеры, запретить установку любых типов USB-накопителей или установку любых неавторизованных устройств.

Данные политики можно перекрывать путем ввода пароля администратора для установки того или иного устройства.

И наконец, можно открывать доступ по чтению/записи к устройствам для определенных пользователей или компьютеров.

Улучшения в EFS (Encrypting File System)

Шифрующая файловая система уже присутствовала в предыдущих версиях операционных систем семейства Windows, однако теперь Windows Vista EFS поддерживает хранение пользовательских ключей и ключей восстановления на смарт-картах.

Кроме этого, EFS в Windows Vista может быть использована для шифрования файла подкачки (эта опция может быть активирована системным администратором через групповую политику), что тоже существенно усиливает общую защиту системы, так как теперь злоумышленники не смогут воспользоваться содержимым файла подкачки, в котором могут находиться конфиденциальные данные, используемые приложениями.

Кэш на стороне клиента, в котором сохраняются копии документов с файлового сервера, также может быть зашифрован с помощью EFS. В этом случае даже локальный администратор, не обладая пользовательским секретным ключом, не сможет расшифровать файлы пользователя.

Также в «Групповой Политике» появился ряд новых опций, по поддержке EFS. К ним относятся опции включения возможности шифрования файла подкачки, сохранения ключей на смарт-картах, ограничения минимальной длины ключа и т. д.

Кроме вышеперечисленного, существует возможность «прозрачного» шифрования пользовательских файлов при сохранении их на файловом сервере Windows Server 2008. При этом файл шифруется в процессе копирования незаметно для пользователя. Такая операция необходима в тех ситуациях, когда нет доверия к серверу. Но шифрующая файловая система доступна не во всех редакциях Windows Vista. EFS доступна в версиях Windows Vista Business, Enterprise и Ultimate.

Источник



Защита с помощью панели «Безопасность Windows»

В состав Windows 10 входит «Безопасность Windows», которая и предоставляет последние обновления для антивирусной защиты. Ваше устройство получит активную защиту с момента запуска Windows 10. «Безопасность Windows» регулярно проверяет устройство на наличие вредоносных программ, вирусов и угроз безопасности. В дополнение к этой защите в режиме реального времени обновления скачиваются автоматически, чтобы обеспечить безопасность устройства и защитить его от угроз.

Windows 10 в S-режиме

Если вы используете Windows 10 в S-режиме, некоторые функции панели «Безопасность Windows» будут немного отличаться. Так как этот режим оптимизирован для обеспечения более надежной защиты, область «Защита от вирусов и угроз» содержит меньше параметров. Однако волноваться не стоит. Встроенные средства защиты этого режима автоматически предотвращают запуск вирусов и других угроз на устройстве, и вы будете автоматически получать обновления для системы безопасности. Дополнительные сведения см. на странице Вопросы и ответы: Windows 10 в S-режиме.

Важные сведения о безопасности

Система «Безопасность Windows» встроена в Windows 10 и использует антивирусную программу под названием «Антивирусная программа в Microsoft Defender». (В предыдущих версиях Windows 10 приложение «Безопасность Windows» называлось «Центр безопасности Защитника Windows»).

Читайте также:  Чем восстановить хрящевую ткань позвоночника народными средствами

Антивирусная программа в Microsoft Defender автоматически отключается при установке и включении другого антивирусного приложения. При удалении другого приложения антивирусная программа в Microsoft Defender включится автоматически.

Если у вас возникли проблемы с получением обновлений для системы «Безопасность Windows», см. разделы Устранение ошибок Центра обновления Windows иВопросы и ответы по обновлению Windows.

Инструкции по изменению учетной записи пользователя на учетную запись администратора см. в разделе Создание локально учетной записи пользователя или администратора в Windows 10.

Знакомство с функциями «Безопасности Windows» и их настройка

Безопасность Windows — это место для управления инструментами, которые защищают ваше устройство и ваши данные:

Защита от вирусов и угроз. Позволяет отслеживать угрозы для вашего устройства, запускать проверку и устанавливать обновления для обнаружения новейших угроз. (Некоторые из этих параметров недоступны, если вы используете Windows 10 в S-режиме.)

Защита учетных записей. Доступ к параметрам входа в систему и параметрам учетной записи, включая Windows Hello и динамическую блокировку.

Брандмауэр и защита сети. Позволяет управлять параметрами брандмауэра и отслеживать события, происходящие с вашими сетями и подключениями к Интернету.

Управление приложениями и браузером. Обновление параметров фильтра SmartScreen в Microsoft Defender для защиты вашего устройства от потенциально опасных приложений, файлов, сайтов и загрузок, а также обеспечение защиты от эксплойтов, где вы можете настроить параметры защиты для ваших устройств.

Безопасность устройств. Просмотр встроенных параметров безопасности, которые помогают защитить устройство от атак вредоносного программного обеспечения.

Производительность и работоспособность устройства. Просмотр состояния работоспособности и производительности устройства и поддержание устройства в чистом и актуальном состоянии с помощью последней версии Windows 10.

Семья. Отслеживание действий ваших детей в Интернете и устройств вашей семьи.

Можно настроить, каким образом эти функции «Безопасности Windows» будут защищать ваше устройство. Чтобы получить к ним доступ, нажмите кнопку Пуск > Параметры > Обновление и безопасность > Безопасность Windows . Затем выберите функцию, которую вы хотите изучить.
Открыть параметры безопасности Windows

Значки состояния обозначают уровень безопасности:

Зеленый цвет означает, что устройство достаточно защищено и рекомендуемые действия отсутствуют.

Желтый цвет означает, что для вас есть рекомендации по безопасности.

Красный цвет предупреждает, что необходимо немедленно принять меры.

Запуск проверки наличия вредоносных программ вручную

Если вы хотите проверить безопасность определенного файла или папки, щелкните правой кнопкой мыши файл или папку в проводнике, а затем выберите Проверить с помощью Microsoft Defender.

Если вы подозреваете, что устройство может содержать вирусы или вредоносные программы, необходимо незамедлительно проверить ваше устройство, выполнив быструю проверку. Это намного быстрее выполнения полной проверки всех файлов и папок.

Запуск быстрой проверки в системе «Безопасность Windows»

Выберите Пуск > Параметры > Обновление и безопасность > Безопасность Windows и затем нажмите Защита от вирусов и угроз.
Открыть параметры безопасности Windows

В разделе Текущие угрозы выберите Быстрая проверка (или в предыдущих версиях Windows 10 в разделе Журнал угроз выберите Проверить сейчас).

Если проверка не обнаружила никаких проблем, но вы все еще обеспокоены, возможно проверить устройство более тщательно.

Запуск расширенной проверки в «Безопасности Windows»

Выберите Пуск > Параметры > Обновление и безопасность > Безопасность Windows и затем нажмите Защита от вирусов и угроз.

В разделе Текущие угрозы выберите Параметры проверки (или в предыдущих версиях Windows 10 в разделе Журнал угроз выберите Запустить новую расширенную проверку).

Выберите один из вариантов проверки.

Полная проверка (проверка файлов и программ, выполняемых на вашем устройстве)

Выборочная проверка (проверка определенных файлов или папок )

Проверка автономного Microsoft Defender (запустите эту проверку, если ваше устройство было заражено или может быть заражено вирусом или вредоносной программой). Подробнее об автономном Microsoft Defender

Выберите Проверить сейчас.

Примечание: Так как работа системы защиты оптимизирована, этот процесс недоступен при использовании Windows 10 в S-режиме.

Создание собственного расписания проверок

Несмотря на то что функция «Безопасность Windows» регулярно проверяет устройства для обеспечения их безопасности, можно также задать время и периодичность проведения проверок.

Планирование сканирования

Нажмите кнопку Пуск , введите планировщик заданий в строке Поиск и в списке результатов выберите Планировщик задач.

В области слева выберите стрелку (>) рядом с разделом Библиотека планировщика заданий, чтобы развернуть его. Затем сделайте то же самое с пунктами Microsoft > Windows, прокрутите список вниз и выберите папку Windows Defender.

На центральной панели выберите пункт Запланированная проверка в Защитнике Windows. (Наведите указатель мыши на соответствующие пункты, чтобы просмотреть их полные названия.)

В области Действия справа прокрутите список вниз, а затем выберите Свойства.

В открывшемся окне перейдите на вкладку Триггеры и нажмите кнопку Создать.

Задайте время и периодичность, а затем нажмите кнопку OK.

Просмотрите расписание и выберите OK.

Примечание: Так как работа системы защиты оптимизирована, этот процесс недоступен при использовании Windows 10 в S-режиме.

Включение и отключение защиты, обеспечиваемой антивирусной программой в Microsoft Defender в режиме реального времени

Иногда может потребоваться быстро остановить работу защиты в режиме реального времени. Когда защита в режиме реального времени отключена, открываемые или скачиваемые файлы не проверяются на наличие угроз. Однако скоро защита в режиме реального времени будет включена автоматически для возобновления защиты вашего устройства.

Временное отключение защиты в режиме реальном времени

Выберите Пуск > Параметры > Обновление и безопасность > Безопасность Windows и затем Защита от вирусов и угроз > Управление параметрами. (В предыдущих версиях Windows 10 выберите раздел Защита от вирусов и угроз > Параметры защиты от вирусов и угроз.)
Открыть параметры Безопасности Windows

Задайте параметру Защита в режиме реального времени значение Выкл. и нажмите Да для подтверждения.

Примечание: Так как работа системы защиты оптимизирована, этот процесс недоступен при использовании Windows 10 в S-режиме.

Источник