SRP - лучшая бесплатная защита от вирусов

Несколько шагов надежно защитит компьютер от массовых вирусов
Admin    20-12-2013

SRP бесплатная защита от вирусов Немного отступления или вступление.

Если вы читаете данную заметку, скорее всего уже имеете печальный опыт в ситуации, когда любимый антивирус пропустил какую-то заразу.

Наверняка я не открою новую галактику, сообщив, что в большинстве случаев антивирусы устраняют последствия, а не предотвращают заражение. Антивирусные базы этих компаний пополняются за счет несчастных пострадавших от неизвестных ранее вирусов.

Часто слышишь от друзей и знакомых такие просьбы о помощи:

 

 

  • Вирус зашифровал мои файлы, что делать?
  • Как убрать порно-баннер?
  • У меня тормозит компьютер, куча установленных программ, но я ничего не устанавливал(а);
  • Не открываются сайты, помоги;
  • и так далее.. продолжай помогать нам дорогой друг.
Спасение утопающих - дело рук самих утопающих. ("Двенадцать стульев", И. Ильф, E. Петров)

 

Потратив сейчас 15 минут на пошаговую настройку компьютера, вы получите хорошую первоначальную защиту от троянов, баннеров, шифровщиков и прочей массовой нечисти.

Основная часть заметки касается настройки политики SRP - Software restriction policy (англ.: Политика ограниченного использования программ). Данная настройка (политика) работает по следующим принципам:

  • Все программы на компьютере могут свободно запускаться и работать только из тех мест (папок), из которых мы это разрешим явно;
  • Все остальные программы запускаться  и работать не смогут. А следовательно и навредить вам они не смогут. 

Единственный маленький минус этого способа предотвращения заражения компьютерными вирусами заключается в том, что после настройки компьютера по данной заметке, установка любой новой программы на ваш компьютер будет занимать на пару минут больше времени. Вас это не останавливает? Тогда перейдем к делу.

Большинство шагов относится к операционной системе Windows 7 (32/64). До Windows 8 пока не дошли ноги, а Windows XP доживает свой век. (Если кому нужно, добавлю описание шагов для XP)

Статья применима к следующим редакциям Windows:

Windows 7 Профессиональная, Windows 7 Корпоративная и Windows 7 Максимальная;
Windows Vista Бизнес, Windows Vista Корпоративная и Windows Vista Максимальная;
Windows XP Professional, Windows XP Media Center 2005.

Windows 7 Домашняя (Базовая и Расширенная) к сожалению не поддерживается. В этих версиях можно использовать "Родительский контроль". Чуть позже опишу и этот способ защиты.

1. Включите обновления вашей операционной системы

Для чего это нужно? Странный вопрос на самом деле. Дело в том, что производители ПО часто выпускают исправления ошибок в работе своих программ. Образно говоря, заколачивают дыры в заборе, через которые на ваш компьютер проникают вирусы.

Как включить обновления?

Пуск -> Все программы -> Центр обновления Windows -> Настройка параметров -> Важные обновления -> Устанавливать обновления автоматически

2. Не работайте  под пользователем с правами администратора системы

Работая в системе с правами администратора вы фактически позволяете злоумышленникам (читай вирусам) распоряжаться как у себя дома. Вирусы с большой легкостью и вероятностью могут повредить ваши системные файлы. А если вы работаете под пользователем с ограниченными правами - безопасность системы значительно повышается.

Возьмите себе за правила:

  1. Ежедневные дела за компьютером (работа с текстом, графикой, интернет, игрушки) выполняйте в системе под пользователем с ограниченными правами;
  2. Если нужно установить какую либо программу - заходите под пользователем с правами администратора и устанавливайте.

Проверьте под каким пользователем сейчас работаете и, если окажется, что у текущего пользователя права администратора (как в примере ниже), добавьте в систему простого пользователя с ограниченными правами и работайте под ним.

Пуск -> Панель управления -> Учетные записи пользователей

Нажмите "Создание учетной записи"

В будущем ежедневную работу выполняйте от имени этого пользователя, как уже упоминалось выше.

3. Создание политики ограниченного использования программ (SRP)

Все дальнейшие настройки выполняются от имени администратора.

3.1. Откройте редактор групповой политики

Пуск -> Выполнить -> gpedit.msc (или, если нет пункта Выполнить: Пуск -> Найти программы и файлы -> gpedit.msc)

3.2. Создайте политику ограниченного использования программ

В редакторе групповой политики следующий путь:
Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики ограниченного использования программ - Создать политику ограниченного использования программ

3.3. Политика ограниченного использования программ - Применение

Применять ко всем файлам программ; Применять для всех пользователей.

3.4. Политика ограниченного использования программ - Назначенные типы файлов

Удалить LNK - Ярлык

Добавить тип SCF

3.5. Политики открытого ключа - Параметры подтверждения пути сертификата

убрать галочку "Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов"

3.6. Политики ограниченного использования программ - Уровни безопасности

Установить Запрещено по умолчанию

3.7. Политики ограниченного использования программ - Дополнительные правила

Здесь уже есть несколько правил по умолчанию.
Добавим сюда еще пару правил.
В контекстном меню в правой части окна: Создать правило для пути...

Добавляем следующие правила:

Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp - Уровень безопасности: Запрещено

Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32/spool/PRINTERS - Уровень безопасности: Запрещено

В итоге у нас получился такой список правил:

Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% - Уровень безопасности: Неограниченный
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% - Уровень безопасности: Неограниченный
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp - Уровень безопасности: Запрещено
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32/spool/PRINTERS - Уровень безопасности: Запрещено

Для Windows 7 x64 здесь будет еще 2 пути по умолчанию:

Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)% - Уровень безопасности: Неограниченный
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir% - Уровень безопасности: Неограниченный

Если у вас есть другие места откуда вы обычно запускаете программы (точнее куда вы их устанавливаете), например, игры вы устанавливаете в папку на диске D:
D:\Games

В этом случае добавьте эти пути аналогично тому, как было указано выше, и установите для этих путей уровень безопасности Неограниченный

Очень важное замечание!

Не добавляйте сюда временные папки (c:\temp и т. д.) или папки вашего профиля (c:\users\masha\ и т. д.) с уровнем безопасности Неограниченный! Иначе все наши настройки политики потеряют смысл. Почему? Потому, что вирусы как правило загружаются на ваш компьютер через дыру в браузере или какую-либо другую дыру и записываются в указанные выше места (а точнее они записываются туда, куда имеют доступ на запись). Если вы разрешите запуск программ из этих папок, то сами понимаете что произойдет.

Добавили все необходимые вам пути?

3.8. Настроим автоматическое применение политики, даже если мы забудем ее включить

Здесь же, в редакторе групповой политики откройте следующий путь:
Конфигурация компьютера - Административные шаблоны - Система - Групповая политика - Обработка политики реестра

поставьте там следующие галочки:

На этом окно Редактора групповой политики можно закрыть.

4. Перенос системной папки Temp и папки spool\PRINTERS

Создайте папку Temp на диске C (C:\Temp).

Далее откройте свойства системы:
Правой кнопкой мыши на значке Мой компьютер -> Свойства -> Дополнительные параметры системы
или просто нажмите на клавиатуре клавиши: Win+Pause/Break
Далее, вкладка Дополнительно -> Переменные среды

измените системные переменные TEMP и TMP на C:\Temp

Теперь перенесем папку spool\PRINTERS

Создайте на диске C папку spool. Внутри созданной папки spool создайте папку PRINTERS.

Откройте Пуск -> Устройства и принтеры

Выделите мышью любой принтер или факс, чтобы в верхней части окна появилось меню Свойства сервера печати.

Откройте последовательно Свойства сервера печати -> Дополнительные параметры -> Изменить дополнительные параметры

В строку Папка очереди печати впишите путь к ранее созданной папке C:\spool\PRINTERS

Нажмите Применить и ОК.

5. Быстрое включение и отключение политики ограниченного использования программ

Чтобы у вас была возможность при необходимости устанавливать программы из любой папки (скачали программу, например, в D:\Downloads\, а запуск оттуда естественно запрещен) создадим 2 ярлыка. Один временно выключает политику (srp_disable.reg), другой (srp_enable.reg) включает ее обратно.

1-й файл

Откройте блокнот (Пуск -> Все программы -> Стандартные -> Блокнот)

Вставьте туда следующий текст:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000

Сохраните файл под названием  srp_disable.reg
Меню Файл -> Сохранить как...
Выберите: Тип файла -> Все файлы (*.*)
Имя файла: SRP_Disable.reg

2-й файл

Откройте блокнот, вставьте следующий текст:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000

Сохраните по аналогии с предыдущим, только назовите файл srp_enable.reg

Переместите созданные файлы в системную папку C:\Windows

Создайте для каждого файла ярлык и поместите его на рабочий стол:
Правой кнопкой мыши на файле -> Отправить ярлык на рабочий стол

В итоге должно быть 2 ярлыка на рабочем столе:

srp_disable.reg и srp_enable.reg

Теперь если вам нужно установить какую либо программу, запускаете ярлык srp_disable.reg устанавливаете программу, после чего запускаете srp_enable.reg

На этом настройка закончена. Перезагрузите компьютер, чтобы изменения вступили в силу.

Теперь если вы попробуете запустить какую-либо программу из не разрешенного для запуска места, увидите такое предупреждение:

Еще раз порядок действий для безопасной от вирусов работы за компьютером

  1. Ежедневную работу, игры, и т. д. выполняйте под пользователем с ограниченными правами.
  2. Для установки необходимых программ делайте следующее:

а) Пуск - Сменить пользователя (или клавиши Win+L)
б) Выбираем пользователя с правами администратора
в) Зашли под администратором
г) Запустили ярлык srp_disable.reg
д) Установили необходимую программу (предварительно проверив ее антивирусом)
е) Запустили ярлык srp_enable.reg
ж) Пуск - Сменить пользователя (или клавиши Win+L)
з) Выбираем своего обычного пользователя с ограниченными правами
и) Свободно работаем в системе без вирусов, баннеров, шифровщиков.

Хотелось бы отметить, что данная технология не отменяет использование антивирусов, их можно использовать хотя бы для проверки скачанных из сети файлов. Ну и две двери лучше чем одна)

При подготовке статьи были использованы материалы с сайта Vadims Podans

Комментарии: