Jak powstrzymać najpopularniejsze wirusy? (część 3)

Jak powstrzymać najpopularniejsze wirusy? (część 3)12.08.2022 14:32
Jak powstrzymać najpopularniejsze wirusy?
Źródło zdjęć: © Licencjodawca | Kamil Dudek

Windows jest dziś o wiele bezpieczniejszym systemem niż kilkanaście lat temu i stan ten poprawia się z roku na rok. W kilku miejscach wciąż jednak jego ustawienia domyślne są niezrozumiale groźne. Poza wyłączeniem makr i blokadą skryptów na Zaporze, możemy zrobić kilka innych rzeczy.

Przede wszystkim wysoce wskazane jest przesunąć suwak Kontroli Konta Użytkownika (UAC) na samą górę. Powody, dla których jest to korzystne z perspektywy bezpieczeństwa są subtelne i często budzą sprzeciw użytkowników pozorujących zaawansowanie. Niestety, pogląd "szlachta pracuje na administratorze" jest błędny - podobnie jak błędne są ustawienia domyślne UAC w Windows.

Microsoft ugiął się pod ciężarem protestów i złej sławy i 14 lat temu zmienił UAC znane z Visty, wprowadzając stopień pośredni: pytanie o potwierdzenie dla aplikacji spoza systemu. Niestety, błędna implementacja doprowadziła do stanu, w którym złośliwe oprogramowanie jest w stanie wykorzystać aplikacje Windows do podniesienia swoich uprawnień i całkowicie ominąć pytania UAC. Dlatego aby mieć kontrolę nad tym, co naprawdę pracuje jako administrator, suwak Kontroli Konta Użytkownika powinien być ustawiony na samą górę - na opcję "zawsze powiadamiaj".

Co to jest UAC? Wyjaśniamy, o co chodzi

Ustawienia UAC znajdują się w Panelu Sterowania, w sekcji "Zabezpieczenia i konserwacja". Microsoft wielokrotnie dał do zrozumienia, że UAC "nie jest mechanizmem zabezpieczeń" i nie planuje jego naprawy. A wystarczyło podejść do sprawy tak, jak robi to macOS: umieścić jednorazową "kłódkę" odblokowującą uprawnienia na czas przeglądania ustawień…

UAC, Źródło zdjęć: © Licencjodawca | Kamil Dudek
UAC
Źródło zdjęć: © Licencjodawca | Kamil Dudek

Uważny czytelnik zapyta być może po co przestawiać UAC, skoro dotyczy on ustawień administracyjnych i nie chroni np. przed złodziejami pamięci podręcznej/haseł Google Chrome albo Discorda. Jest to słuszna wątpliwość - na takie zagrożenia UAC nie zadziała. Ale już w przypadku ransomware'u i innych "unieszkodliwiaczy", wyświetlenie alarmu wołającego o uprawnienia znikąd pozwoli zablokować progres infekcji.

Prawa wykonania

Jest jeszcze jedna rzecz, która pomoże zredukować infekcje u źródła: odmówić prawa wykonywania programów z katalogu Pobrane (wykorzystując mechanizm Zasad ograniczeń oprogramowania, SRP). W ten sposób wszelkie pobrane złośliwe pliki EXE, gdy uruchomione, zostaną zablokowane przez system. Wirusy z ikoną dokumentu Worda nie będą mogły polegać na przeoczeniach wynikających z pośpiechu.

Koniecznie należy tu wspomnieć, że jest folder będący o wiele lepszym od Pobranych kandydatem na odebranie praw wykonywania. Jest nim katalog tymczasowy użytkownika (AppData\Local\Temp). To tam rozpakowywane są pliki ZIP otwierane w Eksploratorze i to tam zapisywane są pliki, na które klikniemy w przeglądarce internetowej "Otwórz" zamiast "Zapisz". Przydałoby się nie mieć praw do uruchamiania stamtąd programów - jeżeli coś, co pobieramy jest naprawdę wykonywalne, należałoby to zapisać w innym miejscu niż domyślne "Pobrane".

SRP, Źródło zdjęć: © Licencjodawca | Kamil Dudek
SRP
Źródło zdjęć: © Licencjodawca | Kamil Dudek

Niestety, nie jest tak łatwo. Katalog AppData\Local\Temp to katalog tymczasowy dla dosłownie wszystkiego. Choć nie powinno tak być, istnieją programy i ich aktualizatory, które odkładają tam pobierane przeze siebie nowe wersje. Zablokowanie praw wykonania programom w tym katalogu wiąże się z szeregiem potencjalnych skutków ubocznych. Zabezpieczając komputer nie da siebie, a dla kogoś "nietechnicznego", może się okazać że takie skutki uboczne będą poważnym i trudnym do zdiagnozowania problemem.

Liche zabezpieczenie

SRP działają w wersjach Pro systemu Windows i są ustawiane za pomocą Edytora Obiektów Zasad Grupy. W drzewie Konfiguracja Komputera, w sekcji Ustawienia systemu Windows → Ustawienia zabezpieczeń, znajduje się funkcja Zasady ograniczeń oprogramowania. Klikając na nią prawym klawiszem, należy wybrać Nowe zasady ograniczeń oprogramowania. Utworzy to kontener Reguły dodatkowe. Jego także należy kliknąć prawym klawiszem i wybrać "Nowa reguła ścieżki".

Ścieżką potrzebną do zablokowania praw wykonania dla folderu Pobrane jest %USERPROFILE%\Downloads\*.exe. Skorzy do eksperymentów i gotowi na nieprzewidziane rezultaty użytkownicy mogą rozważyć także dodanie ścieżki %USERPROFILE%\AppData\Local\Temp\*\*.exe. Ta druga, niestety, może być proszeniem się o kłopoty. Windows, z powodów historycznych, słabo dba o swoje katalogi tymczasowe. A "moda" na trzymanie plików wykonywalnych w AppData zaczęła się "dopiero" wraz z Google Chrome - najpopularniejszym programem instalującym się niedgyś wyłącznie w katalogu domowym użytkownika.

Rozbrajamy trojana. Część V: jak uniknąć infekcji

SRP w wyraźny sposób pokazuje stopień, w jakim zabezpieczenie Windowsów jest trudne z powodów historycznych. Jest ich w systemie mnóstwo, nie chodzi tylko o katalog tymczasowy. Dlatego przestępcy zawsze będą mieli przewagę: pozbawienie ich możliwości uruchamiania złośliwego kodu byłoby równoważne z pozbawieniem systemu większości funkcji. Dlatego nic nie zastąpi ostrożności. Ale możemy próbować jej trochę pomóc…

Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na