Strefa bezpieczeństwa Windows

''Włącz zaporę sieciową.'' - ''Instaluj poprawki systemu operacyjnego.'' - ''Aktualizuj program antywirusowy.'' Te i podobne rady słyszysz codziennie do znudzenia - i zapewne zawsze ich przestrzegałeś. Ale za pomocą poniższych wskazówek na pewno zwiększysz bezpieczeństwo swojego komputera.

''Włącz zaporę sieciową.'' - ''Instaluj poprawki systemu operacyjnego.'' - ''Aktualizuj program antywirusowy.'' Te i podobne rady słyszysz codziennie do znudzenia - i zapewne zawsze ich przestrzegałeś. Ale za pomocą poniższych wskazówek na pewno zwiększysz bezpieczeństwo swojego komputera.

Każdy użytkownik musi stosować się do pewnych środków zaradczych i prewencyjnych. Mimo to epidemie określonego wirusa zbierają żniwo wśród pecetów. A tymczasem można temu zapobiec. Zdradzamy kilka sztuczek ułatwiających życie. Za pomocą czterech bezpłatnych narzędzi możesz znacznie ograniczyć obszary podatne na ataki wirusów, a ponadto usunąć intruzy, które wdarły się do systemu.

W pierwszej części materiału przedstawiamy specjalny menedżer zadań. Można go skonfigurować w taki sposób, aby jednym kliknięciem usuwać z pamięci operacyjnej wszystkie procesy, które nie znajdują się na liście dozwolonych sporządzonej przez użytkownika.

Wirusy i robaki, które zainfekowały twój system, należy wyeliminować - najlepiej za pomocą oprogramowania antywirusowego i/lub do pozbywania się spyware'u. W odróżnieniu od wyspecjalizowanych programów prezentowane przez nas narzędzia realizują dwa podstawowe zadania dotyczące bezpieczeństwa komputera. Pierwsze z nich pozwoli kontrolować aplikacje uruchamiane automatycznie wraz z systemem. Dzięki temu wykryjesz niechciane programy i zablokujesz ich wczytywanie. Równie skuteczne jest zamykanie drzwi przed niechcianymi gośćmi przez zabranie im praw dostępu. Wprawdzie niepożądane aplikacje nie przestaną atakować systemu, lecz ich wysiłki spełzną na niczym, bo nie będą miały stosownych uprawnień. Również to zadanie możesz wykonać bardzo prosto za pomocą jednego z naszych narzędzi.

Sęk w tym, aby system nie dawał niechcianym gościom punktów zaczepienia. Wielu niebezpieczeństw unikniesz za pomocą najprostszych środków - np. wyłączając wyświetlanie wiadomości pocztowych w formacie HTML czy rezygnując z przeglądarki Internet Explorer. Bardzo skuteczną metodą jest pozamykanie portów. Również temu sprostasz z łatwością za pomocą aplikacji zaprezentowanej w dalszej części artykułu.

Razem z powszechnie stosowanym oprogramowaniem (takim jak aktualizacje, zapora sieciowa, skaner i strażnik antywirusowy) nasze narzędzia pozwolą ci stworzyć bardzo bezpieczny system. Porady zawarte w poniższym materiale dotyczą środowisk Windows 2000 i XP (te z drugiej części działają również w Windows 98 i Me).

Zadania pod kontrolą

Menedżer zadań zarządza wszystkimi procesami. Za jego pomocą możesz tymczasowo rozbroić intruza.

Menedżer zadań zarządza wszystkimi procesami. Za jego pomocą możesz tymczasowo rozbroić intruza.

Wirusy, robaki i programy szpiegujące nie wyrządzą systemowi krzywdy, leżąc bezczynnie na twardym dysku. Niebezpieczeństwo rodzi się wraz z uaktywnieniem intruza. To zaś następuje przez wczytanie go do pamięci roboczej komputera. W wyniku tego program (szkodliwy lub nie) staje się procesem. Bez takich procesów nic by się nie działo na żadnym komputerze. Stanowią podstawę funkcjonowania systemów operacyjnych i uruchamiania aplikacji. Zadania to procesy niższego szczebla, które wymagają działającego jądra systemu jako interpretera. Jądro to jest udostępniane przez system operacyjny.

Praktycznie wszystkie aplikacje działające w Windows i przygotowane z myślą o tym środowisku są zadaniami (niezależnie od tego, czy są przydatne, czy szkodliwe). Aby uzyskać bezpieczny system, należałoby odróżnić "dobre" zadania od "złych", a następnie zablokować "złe" i "usunąć" je z systemu.

System operacyjny nie ma do dyspozycji mechanizmów, którymi mógłby wykrywać, czy dana aplikacja jest szkodliwa, czy pożyteczna. Na przykład robak może nadpisać plik systemowy BOOT. INI, uniemożliwiając uruchamianie środowiska Windows. Z drugiej strony podczas instalowania innej wersji Windows program instalacyjny zmodyfikuje ten sam plik BOOT.INI, aby nanieść nowy system na listę już zainstalowanych i dopuścić późniejsze wczytywanie. Ta sama operacja ma w pierwszej sytuacji negatywne skutki, w drugiej zaś jest wręcz nieodzowna do poprawnego działania zainstalowanych systemów. Tymczasem z punktu widzenia systemu operacyjnego w obu wypadkach jest wykonywana ta sama czynność - ponowny zapis do pliku BOOT.INI.

Nawet możliwości specjalistów - producentów oprogramowania antywirusowego - są ograniczone. Po pierwsze, reagują tylko na zidentyfikowanych bez cienia wątpliwości, znanych intruzów, a po drugie, udoskonalają metody heurystyczne wykrywania szkodliwego kodu, działające na podstawie danych statystycznych. Na przykład zadanie Wscript dokonujące zapisu w rejestrze mogłoby być wirusem skryptowym, dlatego zostaje profilaktycznie zablokowane. To, co prawda, dobre intencje, lecz nie zawsze skutecznie przekładają się na praktykę.

Menedżer zadań Windows

Narzędzie Svc2kxp wykrywa zmiany w konfiguracji usług i pozwala dokonać ich analizy.

Narzędzie Svc2kxp wykrywa zmiany w konfiguracji usług i pozwala dokonać ich analizy.

Menedżer zadań systemu Windows ma za zadanie wyświetlać bieżące zadania i zarządzać nimi. Najszybciej przywołasz go, naciskając klawisze [Ctrl Alt Delete] (w Windows XP trzeba jeszcze kliknąć przycisk Menedżer zadań). Na karcie Procesy figurują wszystkie zadania - obok pożytecznych mogą znaleźć się szkodliwe. Są wyszczególnione zgodnie z nazwami plików. Aby zamknąć niepożądane zadanie, wystarczy zaznaczyć je i kliknąć przycisk Zakończ proces w dole okna. Wprawdzie intruz będzie nadal zalegać na twardym dysku, lecz przynajmniej unieszkodliwisz go tymczasowo. Jeśli jest uruchamiany automatycznie wraz z systemem Windows (w ten sposób przywoływana jest zdecydowana większość szkodliwych programów), zakończenie jego procesu rozbroi go do momentu ponownego zrestartowania systemu.

Niektóre procesy są konieczne do poprawnego działania Windows XP. Należą do nich Csrss, Lsass, Services, Smss, Svchost (kilka egzemplarzy) i Winlogon. Dzięki wewnętrznemu zabezpieczeniu Menedżer zadań odmawia zamykania tych procesów.

Dodatkowy filtr pomocny w odnajdowaniu niepożądanych zadań to kolumna Nazwa użytkownika, którą możesz przywoływać i usuwać za pomocą menu Widok | Wybierz kolumny. Większość szkodników uruchamia się pod przykrywką bieżącego użytkownika, czyli dysponuje takimi samymi uprawnieniami, jak wczytywane przez niego aplikacje. Wpisy SYSTEM, USŁUGA LOKALNA i USŁUGA SIECIOWA sygnalizują procesy systemu Windows. Jednak klasyfikacja ta nie daje absolutnej pewności, bo niektórzy twórcy wirusów przemycają do systemu usługi, te zaś działają jako procesy systemowe, a nie jako procesy użytkownika.

Menedżer zadań nadaje się doskonale do zamykania poszczególnych procesów w sytuacjach awaryjnych. Za to ma bardzo ograniczone możliwości w kwestii identyfikowania zadań i nie potrafi automatycznie zamykać określonych grup procesów. Poza tym wewnętrzny mechanizm, który zabezpiecza przed zamykaniem procesów nieodzownych do funkcjonowania systemu, niezbyt skutecznie wykrywa szkodliwe zadania. Na przykład, gdy dowolna aplikacja zmieni nazwę na WINLOGON.EXE, nie uda ci się jej zamknąć, bo proces o tej samej nazwie znajduje się na liście plików chronionych przed zamknięciem.

Nieomylny bramkarz

Robak Alcop-B umieszcza swoją kopię w folderze Windows, podszywając się pod plik Lsass.EXE, ale Menedżer zadań odmawia usunięcia fałszywego procesu.

Robak Alcop-B umieszcza swoją kopię w folderze Windows, podszywając się pod plik Lsass.EXE, ale Menedżer zadań odmawia usunięcia fałszywego procesu.

Z uwagi na to, że system nie ma możliwości dzielenia zadań na złe i dobre, opracowaliśmy dość praktyczne rozwiązanie. Korzystając z naszego narzędzia pcwListKill.EXE (znajduje się na płycie DVD), możesz szybko i wygodnie utworzyć w Windows 2000 lub XP listę dozwolonych procesów. Wszystkie pozostałe zadania, których nie ma w spisie, będziesz mógł usuwać jednym kliknięciem z pamięci operacyjnej komputera. Po raz pierwszy zalecamy zastosować go w czystym systemie, w którym zainstalowane są tylko nieodzowne aplikacje. Aby skorzystać z narzędzia, wystarczy przywołać plik dwukrotnym kliknięciem. W górnej części okna są wyszczególnione zadania aktywne w chwili uruchomienia programu. Obok ich nazw są podane ścieżki do plików wykonywalnych, a także sumy kontrolne CRC32. Połączenie tych trzech atrybutów pozwala pewnie zidentyfikować zadanie. Sumy kontrolne CRC32 wszystkich zadań są obliczane na nowo podczas przywoływania pliku pcwListKill.EXE. Dolna część okna pokazuje listę dozwolonych procesów.

Procesy

Aby program zapisany na dysku stał się procesem, jego kod musi być wczytany do pamięci komputera. Wskaźnik w kodzie programu zdradza procesorowi, który obszar pamięci ma przetwarzać. Do przetwarzania kodu procesor udostępnia swoje rejestry (stacks).

Proces bezczynności

Na liście procesów w Menedżerze zadań jest proces bezczynności (idle), który zdaje się pochłaniać dużą część zasobów. W rzeczywistości jest to jednak tylko bieżąca suma wolnych zasobów. Dodając ją do pozostałych procesów, otrzymasz 100-procentowe użycie procesora.

Fałszywe procesy

Z narzędziem pcwListKill procesy podające się za zadania systemowe nie mają szans przetrwania. Nasz program identyfikuje procesy na podstawie ich ścieżki i jednoznacznej sumy kontrolnej.

Groźne sterowniki?

Teoretycznie można stworzyć intruza w postaci sterownika. Miałby nieograniczony dostęp do systemu. W praktyce nie odniósłby wielkiego sukcesu. Użytkownik musiałby potwierdzić ostrzeżenie, że instaluje sterownik bez podpisu cyfrowego, choć wcale nie wstawiał nowego sprzętu. Poza tym w razie zawieszenia rzuciłby się szybko w oczy niebieskim ekranem.

SubInACL

Plik SubInACL pozwala ustawiać prawa dostępu do plików, folderów i kluczy rejestru z poziomu wiersza poleceń. Jest wymagany przez skrypt pcwAutostart. Pobierz go ( http://ww.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&DisplayLang=en ) i zainstaluj. Następnie skopiuj plik SubInACL.EXE do folderu WINDOWS.

Uruchamiać za wszelką cenę

Prawie każdy intruz próbuje uruchamiać się wraz z systemem operacyjnym. Na czołowych miejscach statystyk wirusowych znalazł się robak mailowy W32/Netsky-P, który kopiuje się jako plik FVPROTECT.EXE do folderu Windows i wpisuje się do klucza "HKLM\Software\ Microsoft\Windows\CurrentVersion\Run\Norton Antivirus AV", aby zapewnić automatyczne wczytywanie z systemem. Podejrzane są też nazwy plików procesów systemowych widniejące w kluczach "Run". Więcej informacji znajdziesz w leksykonach wirusów w internetowych witrynach producentów oprogramowania antywirusowego.

Szybkie przełączanie

Zamiast RunAs i pcwRunAs możesz używać w Windows XP szybkiego przełączania między użytkownikami, aby uruchamiać programy bez pełnych praw dostępu. Utwórz konto z ograniczonymi uprawnieniami (Panel sterowania | Konta użytkowników). Kliknij menu Start | Wyloguj i opcję zmiany użytkownika. Teraz możesz uruchamiać aplikacje. W podobny sposób wrócisz do konta administratora.


Zobacz również