Как обеспечить безопасность Windows без дополнительных затрат (полное руководство). Часть 2

Политики ограниченного использования программ (SRP)
Следующим шагом в настройке системы является использование модуля политик ограниченного использования программ (SRP). Это компонент Windows, который отвечает за управление приложениями, которые пользователи запускают на компьютере. Благодаря ему можно блокировать определенные программы или действовать наоборот, то есть блокировать все, что не входит в правила запуска приложения. Этот метод впервые появился в Windows XP и чрезвычайно эффективен благодаря тому, как он работает, более того, он не нагружает компьютер. Благодаря этому мы можем ограничить запущенное программное обеспечение только доверенным и одобренным, а остальное автоматически отклонить. Если мы не будем менять часто используемые приложения, это предотвратит выполнение вредоносных программ.

К сожалению, проблема с SRP заключается в том, что, во-первых, настройка требует небольшой работы, а во-вторых, этот механизм доступен только в более обширных выпусках Windows (например, Pro). Домашние пользователи не могут воспользоваться этими программными ограничениями. Чтобы перейти к нужным настройкам, запустите редактор локальной групповой политики через меню «Пуск», затем перейдите по отдельным пунктам меню: «Конфигурация компьютера»- «Параметры Windows»-«Параметры безопасности» и, наконец, «Политики ограниченного использования программ». По умолчанию мы не находим никаких ограничений, система уведомит нас соответствующим сообщением. Просто щелкните этот элемент правой кнопкой мыши и выберите вариант добавления новой политики ограниченного программного обеспечения.

В окне появятся новые параметры. Дважды кликаем по пункту «Применение», здесь мы устанавливаем основные настройки. Первый вариант — наложить ограничения также на дополнительные используемые ими библиотеки. Принудительное применение правил ко всем программным файлам является более безопасным параметром, но это означает, что нам придется создать гораздо больше правил: если программа использует файлы DLL, нам нужно создать правила для всех из них. Для обычного использования лучше отказаться от этой опции и исключить библиотеки. Второй параметр — это то, к кому будут применяться правила. По умолчанию система хочет навязать их всем пользователям. Мы уже создали специальную учетную запись администратора на предыдущем шаге, поэтому теперь мы можем воспользоваться этим и обойти ограничения для этой учетной записи. Благодаря этому мы будем выполнять административную работу быстрее и без дополнительных изменений в SRP. Настройки сертификата оставляем без вмешательства.

Следующим шагом является редактирование обозначенных типов файлов. По умолчанию SRP работает со многими типами данных, но не со всеми. Мы можем добавить туда другие типы файлов, которые мы хотим заблокировать, например, файлы с расширениями JS (сценарии JavaScript) или PS (сценарии PowerShell). Затем мы переходим в каталог уровней безопасности. Здесь мы находим три уровня работы: блокирование приложений, разрешение запуску обычных пользователей, а также неограниченный запуск, который является правилом по умолчанию (подробнее об этом чуть позже). Если мы хотим заблокировать все приложения по умолчанию, мы можем использовать это пространство для изменения основного правила, влияющего на приложения и другие файлы. Однако помните, что в предыдущих настройках мы должны исключить администраторов из ограничений. Теперь мы можем перейти к правилам — это дополнительная папка правил.

Правила, созданные как часть механизма SRP, делятся на четыре категории. Первый основан на так называемом хэш файла, который представляет собой уникальное числовое значение, специально для него. Этот метод не зависит от имени файла и пути, поэтому, добавив его, мы можем быть уверены, что он будет работать, даже если мы изменим эти параметры. Второй метод основан на сертификатах, которые мы можем использовать для подписи файлов, но сначала мы должны выпустить их для каждого приложения. Третья категория — для путей: приложения в выбранных папках можно запускать или блокировать. К счастью, такие правила не ограничиваются одним файлом, пользователь может применять, среди прочего, символ «*», чтобы включить все данные внутри (например, путь «C: \ Test \ *» включает все данные в каталоге и подкаталогах Test). Последняя категория — правила, основанные на сетевых зонах, они касаются загрузки файлов * .MSI с помощью Internet Explorer. При необходимости мы можем отключить эту опцию — например, для всего Интернета.

При создании правил помните, что они реализуются в определенном порядке: сначала анализируются хэши, затем сертификаты, пути, интернет-зоны и, наконец, SRP использует правила по умолчанию, установленные на компьютере. Это означает, что мы можем, например, запретить использование программ, а затем использовать хэши или пути для настройки разрешенных каталогов. Если на предыдущем шаге мы изменили настройку правила по умолчанию на «Запрещено», теперь мы можем выбрать путь или хеш для разрешенных приложений. Таким образом, можно создать на диске специальную папку с именем «Для установки» и вручную переместить в нее файлы, которые мы хотим запустить. Тогда мы уверены, что приложения не будут установлены автоматически. Точно так же можно сначала создать правило пути «*» (то есть охватывающее все диски), которое разрешает операцию, а затем создание правила на основе хэша для блокировки выбранной программы. Таким образом мы заблокируем только одно приложение.

При создании правил SRP мы должны полагаться на способ использования компьютера. В большинстве случаев рекомендуется заблокировать запуск приложения из каталога загрузки, а также из временных папок (Temp). Вы также можете заблокировать данные в каталоге C: \ Users \ our-login \ AppData, хотя некоторые программы находятся в этом месте, и это приведет к проблемам с их работой — необходимо будет создать хеш-пути, которые являются конкретными правилами исключения из ограничений. В целом, это очень «сильный» механизм, если можно так назвать, и с очень высоким уровнем безопасности. Он исключает возможность запуска неавторизованных приложений и является отличным способом защитить ваш компьютер, когда программное обеспечение на нем не меняется слишком часто.

AppLocker — дополнительный контроль приложений
По мере развития своих систем Microsoft осознала, что SRP не всегда являются лучшим решением — сложность создания правил является довольно сложной задачей, кроме того, обновления программ (например, автоматическая установка без вывода сообщений новой версии Google Chrome ) изменяют свои хэши, что заставляет их требовать исправления правил и взаимодействия с пользователем. Новый механизм под названием AppLocker дебютировал еще в Windows 7, который является развитием концепции SRP и, что важно, может работать параллельно с ней. Это предложение еще удобнее, но, к сожалению, еще труднее: Microsoft предоставляет его в полной версии только в Windows в версиях Enterprise и Education или дополнительно Ultimate.

Читайте также:  Зарезервировано аппаратно память как убрать windows 10 64 bit озу

Чтобы использовать настройки AppLocker, перезапустите редактор локальной групповой политики через меню «Пуск», затем перейдите по отдельным пунктам меню: «Конфигурация компьютера»-«Параметры Windows»-«Параметры безопасности»-«Политики управления приложениями» и, наконец, выберите пункт «AppLocker». С первого взгляда можно заметить, что здесь нет панели правил, но есть простые в использовании мастера. Также мы увидим сообщение, которое проинформирует нас о необходимости запуска дополнительной услуги. Для этого в меню «Пуск» введите «Службы» и запустите предложенное приложение от имени администратора. В списке найдите службу «Идентификация приложения», дважды щелкните ее и запустите. Теперь можно приступить к настройке правил AppLocker.

В этом случае мы можем создавать правила, относящиеся к конкретным исполняемым файлам и папкам с ними, установщикам Windows (файлы * .msi и * .msp), сценариям PowerShell, bat, cmd, vbs и JavaScript, а также библиотекам DLL. Мы покажем пример этой функции в первом из этих вариантов. Разверните элемент AppLocker, щелкните правой кнопкой мыши «Правила для исполняемых файлов» и выберите вариант создания правил по умолчанию. По умолчанию механизм позволяет администраторам запускать все файлы, а обычным пользователям — только те, которые находятся в каталоге Windows и Program Files. Чтобы разблокировать доступ к другим данным, мы создаем новое правило, выбираем действие (в нашем случае — разрешить), а затем группу или конкретного пользователя. Далее мастер просит выбрать условие: мы можем использовать хеши, пути, а также подписи конкретных издателей (и, например, разрешают использование приложений определенных компаний). Последний вариант имеет свою область применения, т.е. мы можем разрешить только определенную версию программы от данного производителя, но также и все ее приложения.

AppLocker также позволяет создавать исключения из правил, например, разблокировать определенный каталог, но также блокировать некоторые файлы, содержащиеся в нем. Здесь мы также выбираем наши критерии и переходим к следующему — каждое из правил может иметь собственное имя и дополнительное описание, что значительно упростит нам контроль над ними. Интересным механизмом является также функция автоматического создания правил. Если мы только что установили систему и наши приложения, мы можем «сканировать» любые каталоги и автоматически создавать правила, которые позволят им работать. В главном окне также можно изменить поведение, т.е. включить так называемый аудит вместо блокировки. В этом случае AppLocker разрешит запуск приложения, но будет записывать информацию в журнал событий, информируя нас о том, что оно может заблокировать.

AppLocker намного проще в использовании, чем SRP, хотя совместное использование обоих механизмов никоим образом не исключено. К сожалению, Microsoft резервирует его только для высоких и дорогих выпусков Windows, в результате обычному домашнему пользователю будет непросто использовать его. Конфигурация отдельных правил аналогична SRP — мы решаем, что разрешить (или заблокировать) в соответствии с нашими предпочтениями. Если мы решим использовать этот механизм, стоит заблокировать выполнение приложения из временных каталогов, куда часто отправляется загруженное из Интернета вредоносное ПО.

BitLocker — шифрование диска
Шифрование данных не может защитить нас от угроз на веб-сайтах и портативных запоминающих устройствах, но это рецепт возможной потери или кражи устройства, которое мы используем. Windows оснащена механизмом шифрования под названием BitLocker — он проприетарный и закрытый, поэтому многие пользователи, вероятно, выберут открытые решения, такие как VeraCrypt. Пока что существование бэкдоров в BitLocker не доказано, но в то же время никто не может полностью исключить такой сценарий. Как автор я не одобряю и не препятствую использованию BitLocker. На мой взгляд, это интересное решение, которое превосходит конкурентов по нескольким параметрам, связанным с повседневным комфортом пользователя, отсюда и описание его функций и дополнительных возможностей.

Прежде чем использовать BitLocker, мы должны понять, что эта опция также доступна только в определенных выпусках Windows. Владельцы Windows 7 должны получить выпуски Enterprise или Ultimate. Это выглядит намного лучше в Windows 8 и новее, потому что в их случае BitLocker доступен из версии Pro — лично я считаю, что это очень положительное изменение, потому что теперь больше людей могут использовать этот механизм. По крайней мере теоретически, потому что BitLocker, в отличие от открытых альтернатив, также имеет требования к оборудованию. Компьютер, на котором мы хотим его использовать, должен быть оснащен аппаратным модулем TPM, который выполняет криптографические операции и может гарантировать безопасность ключей шифрования. Однако это может быть сложно, особенно на настольных компьютерах.

Что касается используемого метода шифрования, многое зависит от системы, которую мы используем. В Windows 7 алгоритм AES-128 используется по умолчанию вместе с проприетарным диффузором, созданным Microsoft, который должен его усилить, при желании мы также можем использовать вариант AES-256 и отключить диффузор.В Windows 8 и 8.1 компания отказалась от этого механизма и выбрала чистый AES в 128-битном и 256-битном вариантах. Это было продиктовано введением дополнительных возможностей. Эта версия поддерживает диски с самошифрованием (например, несколько SSD) как часть механизма eDrive. После активации система берет на себя управление аппаратным шифрованием, обеспечивая защиту данных практически без потери производительности. В Windows 10 все было так же до выпуска Threshold Wave 2 в ноябре 2015 года.

Теперь, когда мы знаем теорию, пора приступить к разблокировке BitLocker на компьютерах без TPM. Мы можем использовать другие методы авторизации, такие как USB-ключ запуска (флеш-накопитель), а также пароли. Мы запускаем наш любимый инструмент, редактор локальной групповой политики, и просматриваем категории: «Административные шаблоны» на вкладке «Конфигурация компьютера»-«Компоненты Windows»-«Шифрование диска Bitlocker». Наконец, открываем диски с операционной системой. Из доступных опций нажмите «Требовать дополнительную аутентификацию при запуске». По умолчанию опция не настроена. Выберите Включено и убедитесь, что ниже выбран параметр, разрешающий использование BitLocker без совместимого модуля TPM. Это все, после внесения этого изменения мастер шифрования диска BitLocker позволит нам использовать пароль, даже если на нашем компьютере нет TPM. Там же изменим используемый алгоритм — достаточно отредактировать настройку «Выбрать метод шифрования диска и силу шифрования».

Читайте также:  Broadcom card reader driver windows 10 x64

Дальнейшие операции — это действия согласно мастеру. В меню «Пуск» введите «BitLocker» и выберите параметр для управления этой функцией. Мы можем использовать механизм как на системном диске, так и на всех остальных разделах. Более того, BitLocker позволяет шифровать также переносную память (флеш-накопители, внешние диски) и автоматически разблокировать их на компьютере после подключения. К сожалению, здесь есть проблема. Если наша учетная запись связана с учетной записью Microsoft, и мы используем устройство, которое предлагает домашнее шифрование (например, планшеты), BitLocker автоматически отправляет копию ключа в OneDrive — официально для его защиты, компания не передает ключ никому за пределами и сама никогда к нему не обращается. Предположим, мы не верим таким обещаниям.

После удаления ключа стоит сгенерировать новый для нашего компьютера, который больше не будет автоматически отправляться в OneDrive. Для этого мы можем использовать встроенные в систему инструменты. Запускаем командную строку от имени администратора и выдаем команду:


manage-bde -protectors -disable %systemdrive%


Это временно отключит защиту BitLocker на системном диске. Следующим шагом будет удаление текущего ключа:


manage-bde -protectors -delete %systemdrive% -type RecoveryPassword


Теперь можно приступить к генерации нового ключа:


manage-bde -protectors -add %systemdrive% -RecoveryPassword


Система отобразит соответствующее сообщение и информацию о том, что мы должны защитить новый ключ — мы должны скопировать его, например, в портативное запоминающее устройство и защитить его. ВНИМАНИЕ: в случае утери этого ключа и, например, забытого пароля, наши данные станут полностью недоступными и бесполезными! Наконец, нам нужно только повторно активировать шифрование:


manage-bde -protectors -enable %systemdrive%


Стоит ли использовать BitLocker? На этот вопрос каждый должен ответить сам, потому что многое зависит от того, доверяем мы (или нет) Microsoft. С этим механизмом обязательно стоит познакомиться и опробовать. В случае eDrive и SSD с SED разница в производительности совершенно незначительна, но мы получаем защиту данных в случае кражи — в то время как соответствующие службы могут иметь доступ к нашим данным, ни какой вор не сможет их обработать.

EMET — Защита от эксплойтов
Хотя руководство касается механизмов, встроенных в систему, невозможно игнорировать пакет EMET, предоставленный Microsoft. Даже если мы не сможем отказаться от высших полномочий, мы все равно сможем значительно повысить безопасность системы. Это связано с небольшим набором инструментов Enhanced Mitigation Experience Toolkit, который на русском языке называется набором расширенных инструментов расширенной среды смягчения рисков. Название может показаться сложным, но оно идеально подходит для идеи этого приложения. Его работа значительно снижает риск атаки и получения контроля над приложениями. Он обеспечивает доступ к расширенным механизмам безопасности, встроенным в систему. Они существуют уже давно, но Windows как таковая не очень удобна в управлении.

EMET доступен на TechNet, его установка быстрая и простая, он заканчивается мастером, который позволяет нам изначально защитить некоторые программы. Защита разбита на два уровня: глобальные и системные настройки, а также конфигурация отдельных приложений. В первом случае мы можем контролировать не только DEP, но и SEHOP (блок перезаписи заголовка), ASLR (случайную адресацию данных), доверенные сертификаты, а также блокировку опасных внешних шрифтов. Последняя проблема может показаться тривиальной, но вот уже несколько месяцев Microsoft исправляет некорректные библиотеки GDI, которые позволяют взять под контроль правильно созданный веб-сайт. Достаточно посетить его, чтобы передать систему злоумышленнику.

Под основным окном настроек вы найдете список активных в данный момент процессов и их статус по отношению к работе EMET. Каждое приложение можно настроить, здесь настройки намного шире и в дополнение к ранее упомянутой безопасности также включают, среди прочего, EAF и представленный в 2016 году EAF+.Конечно, используемые нами приложения могут (и даже должны!) активировать эти типы механизмов самостоятельно. Однако многие программисты не очень амбициозны в отношении этой проблемы — дыры, например, в Adobe Reader или Flash, в свою очередь, позволяют использовать эксплойты и захватить наш компьютер. EMET используется для обеспечения соблюдения этих методов, независимо от решения автора приложения. Более того, это не требует модификации программы или доступа к исходному коду. Защита как намордник ставится сверху.

EMET автоматически обнаруживает нарушения состояния приложения или системы и по умолчанию блокирует их, при необходимости также может проводить только аудит и информировать нас о различных событиях. Пакет сохраняет данные в системном журнале, также отображает свой значок в панели задач и работает в фоновом режиме — однако с точки зрения загрузки он полностью невидим. Интересно, что хотя программа предназначена для людей, которые администрируют систему, создатели даже встроили поддержку графических тем. Однако гораздо более полезным вариантом будет механизм импорта и экспорта правил. Мы можем создать их на одном компьютере, а затем быстро перенести на другой. Каталог приложений также включает готовые списки популярных программ (например, Office, Java, Flash, Adobe Reader, популярные браузеры).

Установка EMET и настройка его для наиболее чувствительных приложений может защитить нас от большинства атак. На сегодняшний день исследования показали, что активация встроенных средств защиты отклоняет как минимум 95% попыток атак с использованием эксплойтов. Это не панацея, история знает о случаях обхода EMET, но каждый раз требовались очень продвинутые методы атаки и конкретные сценарии. Обычный домашний пользователь такому риску не подвергается. Другое дело совместимость — не каждое приложение будет корректно работать с этим типом защиты. К сожалению, уже сейчас мы можем встретить теоретически новые программы, написанные неправильно и вылетающие после активации — например ASLR. Интересно, что в эту группу входят и программы Microsoft.

Компания продолжает развивать этот пакет и периодически выпускает новые обновленные версии. Теперь мы получим все возможности 64-разрядной версии Windows 10, хотя она поддерживается только в бета-версии EMET 5.5 (стабильная версия — 5.2). Это связано не со злонамеренностью производителя, а с тем, что низкоуровневые механизмы защиты могут быть внедрены только на этапе разработки системы, а не после ее публикации и обновления. Многие функции безопасности также могут использоваться пользователями Vista, Windows 7, 8, 8.1 и серверных вариантов, где этот тип программного обеспечения настоятельно рекомендуется. Как это использовать? Изначально вам просто нужно установить его и активировать рекомендуемые настройки. После этого необходимо ежедневно проверять все используемые приложения.

Читайте также:  Где взять iso образ windows 7 для флешки

Настройки конфиденциальности
В случае Windows 10 конфиденциальность пользователей является важной проблемой. Стандартная экспресс-конфигурация, выбранная во время установки системы, к сожалению, не является хорошим выбором — однако Microsoft предполагает, что совместное использование большого количества информации с компанией вполне нормально, и мы часто получаем систему бесплатно как часть бесплатного обновления из Windows 7 и Windows 8.1. Лучше всего настроить все параметры самостоятельно и адаптировать их к нашим потребностям. Некоторые функции можно отключить на этапе установки, также можно отключить учетную запись Microsoft. Система не обязательна для работы, хотя она, очевидно, упрощает нам использование таких функций, как синхронизация настроек в облаке OneDrive или автоматический вход в некоторые службы в браузере Edge.

Хотя Microsoft не заботится о конфиденциальности в случае Windows 10, она сделала целый раздел, посвященный этому, доступным в новой панели управления. Определенно стоит перейти к этим настройкам и изменить их. В общих настройках мы можем отключить все, кроме сканирования страниц с помощью фильтра SmartScreen. Это удачное решение, обеспечивающее фильтрацию вредоносных адресов и попыток спуфинга. SmartScreen также используется в веб-браузерах Microsoft Edge и Internet Explorer. Он присутствует на уровне всей операционной системы: когда мы загружаем файл, SmartScreen автоматически сканирует его и сообщает вам, если он не распознается. Это дополнительный защитный слой, от которого не стоит отказываться. Однако стоит научиться читать его сообщения и не игнорировать их, так как они могут предотвратить заражение.

Когда дело доходит до поиска и обмена другими данными, это ваш личный выбор — мы можем разрешить системе и приложениям доступ к нашему местоположению, чтобы они работали автоматически (например, погода). С другой стороны, часто в этом нет необходимости и лучше всего отключить такие функции. Кроме того, Microsoft заслуживает возможности настраивать доступ к местоположению, микрофону, камере, контактам, календарю, сообщениям или истории вызовов для всех приложений отдельно. Это применимо только к универсальным программам, установленным из магазина, встроенного в систему, но все же дает большой контроль над информацией — отметим, что Android пришлось ждать этих типов опций до последней версии 6.0. Обязательно стоит выключить систему и познакомиться с помощником Кортаны.

По мере прохождения настроек остановимся на разделе «Обратная связь и диагностика». Мы не обязаны участвовать в какой-либо программе Microsoft, мы можем без каких-либо негативных последствий отказаться от запроса обратной связи и выбрать отправку только основных диагностических данных для исправления ошибок. Остальные настройки несколько разбросаны по панели настроек. В разделе «Обновление и безопасность» и в группе «Найти мое устройство» мы можем отключить функцию удаленного определения местоположения оборудования в случае его утери (на настольных компьютерах это вряд ли возможно). В «Персонализации» и в настройках меню «Пуск» стоит отключить предложения для новых приложений, чтобы система не отображала в нем нежелательную рекламу. Важная опция также находится в управлении настройками сети Wi-Fi в разделе «Сеть и Интернет». По умолчанию так называемые Датчик сети Wi-Fi делится нашими сетями с другими контактами и подключается к общим им точкам. Это означает, что система может автоматически отправлять их, например, ключи безопасности. Мы отключаем эту опцию как можно скорее.

Последние параметры, связанные с конфиденциальностью наших данных, можно найти в категории «Учетные записи» в группе «Настройки синхронизации». Если мы настроили учетную запись Microsoft, по умолчанию система отправляет в OneDrive выбранную нами тему, системные настройки или пароли, сохраненные в браузере. Они синхронизируются с другими устройствами — нам совсем не обязательно использовать эту опцию — решение остается за пользователем. Эти варианты удобны, как и синхронизация с Android или iOS, но подразумевают передачу данных на серверы компании. В руководстве не рассматриваются вопросы, связанные с «принудительным» отключением некоторых системных механизмов — возможный сетевой трафик можно заблокировать с помощью брандмауэра, в других случаях мы можем использовать внешние приложения, но здесь мы сосредоточены только на том, что предлагает Microsoft.

Резюме — давайте не будем забывать о мышлении
Вот вы подошли к концу руководства по защите Windows с помощью только основных инструментов, предлагаемых Microsoft. Надо признать, что их не так уж и мало и с годами у корпорации появляются дополнительные защитные функции. Соответствующая конфигурация компьютера, которая делает его похожим на среду Linux, позволяет нам пользоваться быстрой, относительно автоматизированной и безопасной системой. Для этого нам не нужны дорогостоящие обширные пакеты безопасности или множество внешних инструментов. Конечно, люди, которые хотят иметь еще больший контроль, например, для интерактивного управления брандмауэром, предпочтут установить дополнительное программное обеспечение, но для большинства пользователей в этом нет необходимости.

Трудно не заметить усилия Microsoft, и хотя Windows 10 оказалась серьезной катастрофой с точки зрения подхода к конфиденциальности пользователей, фактические решения по защите уже являются шагом вперед. Эта конкретная система, среди прочего, расширенный анализ работы программы, то, что использует Защитник Windows, и что также может использоваться сторонними антивирусными приложениями. Однако следует помнить об одном важном моменте. Главный компонент безопасности любой системы — это человек между креслом и монитором — если он совершит вопиющую ошибку, даже лучшая охрана не поможет. Написание паролей на стикерах или в текстовых файлах, создание учетных записей в Интернете с теми же данными авторизации или использование имени или дня рождения в пароле — действительно плохие идеи, и мы не должны их практиковать.

Ответы на самые частые вопросы пользователей рунета
Adblock
detector