SRP - лучшая бесплатная защита от вирусов

Несколько шагов надежно защитит компьютер от массовых вирусов
Admin    20-12-2013

SRP бесплатная защита от вирусов Немного отступления или вступление.

Если вы читаете данную заметку, скорее всего уже имеете печальный опыт в ситуации, когда любимый антивирус пропустил какую-то заразу.

Наверняка я не открою новую галактику, сообщив, что в большинстве случаев антивирусы устраняют последствия, а не предотвращают заражение. Антивирусные базы этих компаний пополняются за счет несчастных пострадавших от неизвестных ранее вирусов.

Часто слышишь от друзей и знакомых такие просьбы о помощи:

 

 

  • Вирус зашифровал мои файлы, что делать?
  • Как убрать порно-баннер?
  • У меня тормозит компьютер, куча установленных программ, но я ничего не устанавливал(а);
  • Не открываются сайты, помоги;
  • и так далее.. продолжай помогать нам дорогой друг.
Спасение утопающих - дело рук самих утопающих. ("Двенадцать стульев", И. Ильф, E. Петров)

 

Потратив сейчас 15 минут на пошаговую настройку компьютера, вы получите хорошую первоначальную защиту от троянов, баннеров, шифровщиков и прочей массовой нечисти.

Основная часть заметки касается настройки политики SRP - Software restriction policy (англ.: Политика ограниченного использования программ). Данная настройка (политика) работает по следующим принципам:

  • Все программы на компьютере могут свободно запускаться и работать только из тех мест (папок), из которых мы это разрешим явно;
  • Все остальные программы запускаться  и работать не смогут. А следовательно и навредить вам они не смогут. 

Единственный маленький минус этого способа предотвращения заражения компьютерными вирусами заключается в том, что после настройки компьютера по данной заметке, установка любой новой программы на ваш компьютер будет занимать на пару минут больше времени. Вас это не останавливает? Тогда перейдем к делу.

Большинство шагов относится к операционной системе Windows 7 (32/64). До Windows 8 пока не дошли ноги, а Windows XP доживает свой век. (Если кому нужно, добавлю описание шагов для XP)

Статья применима к следующим редакциям Windows:

Windows 7 Профессиональная, Windows 7 Корпоративная и Windows 7 Максимальная;
Windows Vista Бизнес, Windows Vista Корпоративная и Windows Vista Максимальная;
Windows XP Professional, Windows XP Media Center 2005.

Windows 7 Домашняя (Базовая и Расширенная) к сожалению не поддерживается. В этих версиях можно использовать "Родительский контроль". Чуть позже опишу и этот способ защиты.

1. Включите обновления вашей операционной системы

Для чего это нужно? Странный вопрос на самом деле. Дело в том, что производители ПО часто выпускают исправления ошибок в работе своих программ. Образно говоря, заколачивают дыры в заборе, через которые на ваш компьютер проникают вирусы.

Как включить обновления?

Пуск -> Все программы -> Центр обновления Windows -> Настройка параметров -> Важные обновления -> Устанавливать обновления автоматически

2. Не работайте  под пользователем с правами администратора системы

Работая в системе с правами администратора вы фактически позволяете злоумышленникам (читай вирусам) распоряжаться как у себя дома. Вирусы с большой легкостью и вероятностью могут повредить ваши системные файлы. А если вы работаете под пользователем с ограниченными правами - безопасность системы значительно повышается.

Возьмите себе за правила:

  1. Ежедневные дела за компьютером (работа с текстом, графикой, интернет, игрушки) выполняйте в системе под пользователем с ограниченными правами;
  2. Если нужно установить какую либо программу - заходите под пользователем с правами администратора и устанавливайте.

Проверьте под каким пользователем сейчас работаете и, если окажется, что у текущего пользователя права администратора (как в примере ниже), добавьте в систему простого пользователя с ограниченными правами и работайте под ним.

Пуск -> Панель управления -> Учетные записи пользователей

Нажмите "Создание учетной записи"

В будущем ежедневную работу выполняйте от имени этого пользователя, как уже упоминалось выше.

3. Создание политики ограниченного использования программ (SRP)

Все дальнейшие настройки выполняются от имени администратора.

3.1. Откройте редактор групповой политики

Пуск -> Выполнить -> gpedit.msc (или, если нет пункта Выполнить: Пуск -> Найти программы и файлы -> gpedit.msc)

3.2. Создайте политику ограниченного использования программ

В редакторе групповой политики следующий путь:
Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики ограниченного использования программ - Создать политику ограниченного использования программ

3.3. Политика ограниченного использования программ - Применение

Применять ко всем файлам программ; Применять для всех пользователей.

3.4. Политика ограниченного использования программ - Назначенные типы файлов

Удалить LNK - Ярлык

Добавить тип SCF

3.5. Политики открытого ключа - Параметры подтверждения пути сертификата

убрать галочку "Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов"

3.6. Политики ограниченного использования программ - Уровни безопасности

Установить Запрещено по умолчанию

3.7. Политики ограниченного использования программ - Дополнительные правила

Здесь уже есть несколько правил по умолчанию.
Добавим сюда еще пару правил.
В контекстном меню в правой части окна: Создать правило для пути...

Добавляем следующие правила:

Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp - Уровень безопасности: Запрещено

Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32/spool/PRINTERS - Уровень безопасности: Запрещено

В итоге у нас получился такой список правил:

Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% - Уровень безопасности: Неограниченный
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% - Уровень безопасности: Неограниченный
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp - Уровень безопасности: Запрещено
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32/spool/PRINTERS - Уровень безопасности: Запрещено

Для Windows 7 x64 здесь будет еще 2 пути по умолчанию:

Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)% - Уровень безопасности: Неограниченный
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir% - Уровень безопасности: Неограниченный

Если у вас есть другие места откуда вы обычно запускаете программы (точнее куда вы их устанавливаете), например, игры вы устанавливаете в папку на диске D:
D:\Games

В этом случае добавьте эти пути аналогично тому, как было указано выше, и установите для этих путей уровень безопасности Неограниченный

Очень важное замечание!

Не добавляйте сюда временные папки (c:\temp и т. д.) или папки вашего профиля (c:\users\masha\ и т. д.) с уровнем безопасности Неограниченный! Иначе все наши настройки политики потеряют смысл. Почему? Потому, что вирусы как правило загружаются на ваш компьютер через дыру в браузере или какую-либо другую дыру и записываются в указанные выше места (а точнее они записываются туда, куда имеют доступ на запись). Если вы разрешите запуск программ из этих папок, то сами понимаете что произойдет.

Добавили все необходимые вам пути?

3.8. Настроим автоматическое применение политики, даже если мы забудем ее включить

Здесь же, в редакторе групповой политики откройте следующий путь:
Конфигурация компьютера - Административные шаблоны - Система - Групповая политика - Обработка политики реестра

поставьте там следующие галочки:

На этом окно Редактора групповой политики можно закрыть.

4. Перенос системной папки Temp и папки spool\PRINTERS

Создайте папку Temp на диске C (C:\Temp).

Далее откройте свойства системы:
Правой кнопкой мыши на значке Мой компьютер -> Свойства -> Дополнительные параметры системы
или просто нажмите на клавиатуре клавиши: Win+Pause/Break
Далее, вкладка Дополнительно -> Переменные среды

измените системные переменные TEMP и TMP на C:\Temp

Теперь перенесем папку spool\PRINTERS

Создайте на диске C папку spool. Внутри созданной папки spool создайте папку PRINTERS.

Откройте Пуск -> Устройства и принтеры

Выделите мышью любой принтер или факс, чтобы в верхней части окна появилось меню Свойства сервера печати.

Откройте последовательно Свойства сервера печати -> Дополнительные параметры -> Изменить дополнительные параметры

В строку Папка очереди печати впишите путь к ранее созданной папке C:\spool\PRINTERS

Нажмите Применить и ОК.

5. Быстрое включение и отключение политики ограниченного использования программ

Чтобы у вас была возможность при необходимости устанавливать программы из любой папки (скачали программу, например, в D:\Downloads\, а запуск оттуда естественно запрещен) создадим 2 ярлыка. Один временно выключает политику (srp_disable.reg), другой (srp_enable.reg) включает ее обратно.

1-й файл

Откройте блокнот (Пуск -> Все программы -> Стандартные -> Блокнот)

Вставьте туда следующий текст:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000

Сохраните файл под названием  srp_disable.reg
Меню Файл -> Сохранить как...
Выберите: Тип файла -> Все файлы (*.*)
Имя файла: SRP_Disable.reg

2-й файл

Откройте блокнот, вставьте следующий текст:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000

Сохраните по аналогии с предыдущим, только назовите файл srp_enable.reg

Переместите созданные файлы в системную папку C:\Windows

Создайте для каждого файла ярлык и поместите его на рабочий стол:
Правой кнопкой мыши на файле -> Отправить ярлык на рабочий стол

В итоге должно быть 2 ярлыка на рабочем столе:

srp_disable.reg и srp_enable.reg

Теперь если вам нужно установить какую либо программу, запускаете ярлык srp_disable.reg устанавливаете программу, после чего запускаете srp_enable.reg

На этом настройка закончена. Перезагрузите компьютер, чтобы изменения вступили в силу.

Теперь если вы попробуете запустить какую-либо программу из не разрешенного для запуска места, увидите такое предупреждение:

Еще раз порядок действий для безопасной от вирусов работы за компьютером

  1. Ежедневную работу, игры, и т. д. выполняйте под пользователем с ограниченными правами.
  2. Для установки необходимых программ делайте следующее:

а) Пуск - Сменить пользователя (или клавиши Win+L)
б) Выбираем пользователя с правами администратора
в) Зашли под администратором
г) Запустили ярлык srp_disable.reg
д) Установили необходимую программу (предварительно проверив ее антивирусом)
е) Запустили ярлык srp_enable.reg
ж) Пуск - Сменить пользователя (или клавиши Win+L)
з) Выбираем своего обычного пользователя с ограниченными правами
и) Свободно работаем в системе без вирусов, баннеров, шифровщиков.

Хотелось бы отметить, что данная технология не отменяет использование антивирусов, их можно использовать хотя бы для проверки скачанных из сети файлов. Ну и две двери лучше чем одна)

При подготовке статьи были использованы материалы с сайта Vadims Podans

Комментарии: 48
 
  • Dao
    Dao · 10-04-2015 09:34 · 1

    А как быть с обновлениями системы?

  • Dao
    Dao · 10-04-2015 09:36 · 2

    Есть ли способ без домена переносить, один раз настроенные политики, на другой компьютер?

  • Olya
    Olya · 13-04-2015 19:49 · 3

    %systemroot%\system32\grouppolicy\
    Вы можете копировать политику по этому пути. С учетом разрядности системы.
    Также в статье не описано о необходимости выставить права на созданные папки Temp и spool.

  • Роман
    Роман · 13-04-2015 20:57 · 4

    столкнулся с проблемой. настроил SRP через GPO. но, в этом случае не работает reg для отмены. единственное пока не очень удобное решение это переопределить политику локально. создав разрешающие правила. может можно проще?

  • Edw
    Edw · 14-04-2015 03:06 · 5

    Роман, зачем отключать не спрашиваю. Думаю можно добавить в исключения сетевой путь, куда имеет доступ учетка с правами на инсталляцию. Такой вариант не подойдет?

  • Роман
    Роман · 14-04-2015 20:35 · 6

    Edw,
    как частный случай да, возможно подойдет. я например создал правило %temp%\*\*.exe, из-за которого не могут самообновиться некоторые программы. и тут уже вопрос.

  • Юрий
    Юрий · 25-04-2015 17:43 · 7

    Не проще ли пользоваться программами типа
    Toolwiz или RebootRestoreRx где происходит замораживаие сисстемы и после работы в инете или установки программы можно оставить систему в дальнейшем пользовании или сделать отмену, тогда после перезагрузки системы всё остается в исходном состоянии!!!Рекомендую Toolwiz там есть пункт Защита системы, включаем и устанавливаем что хотим пусть и с вирусами, далее перезагрузка или отключить защиту и выбираем пункт удалить изменения и всё система нормальном состоянии!!!

  • Olya
    Olya · 27-04-2015 15:04 · 8

    Юрий,
    в случае шифровальщиков, это не спасет вас от порчи файлов на сетевом диске.

  • Николай
    Николай · 29-04-2015 13:44 · 9

    Напишите, пожалуйста, для Windows xp. Работаю по ней и никуда переходить не собираюсь.

  • Влад
    Влад · 07-05-2015 14:29 · 10

    добрый день!
    сделал как все и было предложено, только SRP_Disable.reg не может внести данные в реестр пишет об ошибке доступа к реестру.
    Я имею права админа.
    из-за этого программы в автозагрузке не запускаются нормально и/или просят подтвердить запуск вручную. Настройка выдачи таких уведомлений отключаю каждый раз но отключение не срабатывает...
    теперь я самый большой вирус :(

  • Edw
    Edw · 07-05-2015 17:08 · 11

    Влад, у Вас какие то проблемы с правами, не смотря на то, что запускаете из под админа. Если бы работала SRP, то при запуске программ Вы получили бы сообщение как на последнем скриншоте. Дело точно не в SRP_Disable.reg. Какая у Вас система?

  • Влад
    Влад · 07-05-2015 20:59 · 12

    Спасибо, что отвечаете
    Виндовс 7 x64/
    Поигрался немного согласно пункту 3,8 и поставил обработку реестра как не задано - теперь окошки про подтверждение запуска пропали.
    но внести данные в реестр через srp_enable.reg и и SRP_Disable.reg - не получается....

  • Vital
    Vital · 10-05-2015 00:53 · 13

    Ребят, подскажите. Система ХР (под админом). После применения политик некоторые портативные проги работают криво, например Рево Унинсталлер Портабле запускается только после отключения политик через ярлык, причём запускается она каждый раз с настройками по умолчанию. Не могу вручную обновить базы антивирусных сканеров (AVZ, Avira PC Cleaner Portable, EmsisoftEmergencyKit) - пишут, якобы нет соединения с интернетом, хотя инет работает. Папка D:\Program Files с этими портативками добавлена в исключения (разрешённые пути), естественно. Что я делаю не так?

  • Влад
    Влад · 11-05-2015 18:24 · 14

    Пишу может у кого будет подобное.
    внести данные в реестр через srp_enable.reg и и SRP_Disable.reg - не получается.... (пишет ошибка доступа к реестру)
    Пропадали значки из системного трея возле часов. хотя сами программы были запущены - видно в диспетчере задач.
    Было много попыток их вернуть в том числе после перезапуска эксплорера и прочих танцев с бубном.
    Вернул все настройки SPR в положение как они были до того - то есть в первоначальное состояние. Пока иконки не пропадают... Дальше будет видно.

  • Влад
    Влад · 13-05-2015 14:51 · 15

    Данные не вносились в реестр поскольку у меня dr. web, в котором уже стоит использование политики SPR и запрет на внесение изменений (во вкладке превентивная защита.

1234 >>> Всего : 48, на странице: 15
Обновить

Регистр не имеет значения
Отправить
Очистить