Jak powstrzymać najpopularniejsze wirusy? (część 3)

Windows jest dziś o wiele bezpieczniejszym systemem niż kilkanaście lat temu i stan ten poprawia się z roku na rok. W kilku miejscach wciąż jednak jego ustawienia domyślne są niezrozumiale groźne. Poza wyłączeniem makr i blokadą skryptów na Zaporze, możemy zrobić kilka innych rzeczy.

Przede wszystkim wysoce wskazane jest przesunąć suwak Kontroli Konta Użytkownika (UAC) na samą górę. Powody, dla których jest to korzystne z perspektywy bezpieczeństwa są subtelne i często budzą sprzeciw użytkowników pozorujących zaawansowanie. Niestety, pogląd "szlachta pracuje na administratorze" jest błędny - podobnie jak błędne są ustawienia domyślne UAC w Windows.

Microsoft ugiął się pod ciężarem protestów i złej sławy i 14 lat temu zmienił UAC znane z Visty, wprowadzając stopień pośredni: pytanie o potwierdzenie dla aplikacji spoza systemu. Niestety, błędna implementacja doprowadziła do stanu, w którym złośliwe oprogramowanie jest w stanie wykorzystać aplikacje Windows do podniesienia swoich uprawnień i całkowicie ominąć pytania UAC. Dlatego aby mieć kontrolę nad tym, co naprawdę pracuje jako administrator, suwak Kontroli Konta Użytkownika powinien być ustawiony na samą górę - na opcję "zawsze powiadamiaj".

Ustawienia UAC znajdują się w Panelu Sterowania, w sekcji "Zabezpieczenia i konserwacja". Microsoft wielokrotnie dał do zrozumienia, że UAC "nie jest mechanizmem zabezpieczeń" i nie planuje jego naprawy. A wystarczyło podejść do sprawy tak, jak robi to macOS: umieścić jednorazową "kłódkę" odblokowującą uprawnienia na czas przeglądania ustawień…

Uważny czytelnik zapyta być może po co przestawiać UAC, skoro dotyczy on ustawień administracyjnych i nie chroni np. przed złodziejami pamięci podręcznej/haseł Google Chrome albo Discorda. Jest to słuszna wątpliwość - na takie zagrożenia UAC nie zadziała. Ale już w przypadku ransomware'u i innych "unieszkodliwiaczy", wyświetlenie alarmu wołającego o uprawnienia znikąd pozwoli zablokować progres infekcji.

Jest jeszcze jedna rzecz, która pomoże zredukować infekcje u źródła: odmówić prawa wykonywania programów z katalogu Pobrane (wykorzystując mechanizm Zasad ograniczeń oprogramowania, SRP). W ten sposób wszelkie pobrane złośliwe pliki EXE, gdy uruchomione, zostaną zablokowane przez system. Wirusy z ikoną dokumentu Worda nie będą mogły polegać na przeoczeniach wynikających z pośpiechu.

Koniecznie należy tu wspomnieć, że jest folder będący o wiele lepszym od Pobranych kandydatem na odebranie praw wykonywania. Jest nim katalog tymczasowy użytkownika (AppData\Local\Temp). To tam rozpakowywane są pliki ZIP otwierane w Eksploratorze i to tam zapisywane są pliki, na które klikniemy w przeglądarce internetowej "Otwórz" zamiast "Zapisz". Przydałoby się nie mieć praw do uruchamiania stamtąd programów - jeżeli coś, co pobieramy jest naprawdę wykonywalne, należałoby to zapisać w innym miejscu niż domyślne "Pobrane".

Niestety, nie jest tak łatwo. Katalog AppData\Local\Temp to katalog tymczasowy dla dosłownie wszystkiego. Choć nie powinno tak być, istnieją programy i ich aktualizatory, które odkładają tam pobierane przeze siebie nowe wersje. Zablokowanie praw wykonania programom w tym katalogu wiąże się z szeregiem potencjalnych skutków ubocznych. Zabezpieczając komputer nie da siebie, a dla kogoś "nietechnicznego", może się okazać że takie skutki uboczne będą poważnym i trudnym do zdiagnozowania problemem.

SRP działają w wersjach Pro systemu Windows i są ustawiane za pomocą Edytora Obiektów Zasad Grupy. W drzewie Konfiguracja Komputera, w sekcji Ustawienia systemu Windows → Ustawienia zabezpieczeń, znajduje się funkcja Zasady ograniczeń oprogramowania. Klikając na nią prawym klawiszem, należy wybrać Nowe zasady ograniczeń oprogramowania. Utworzy to kontener Reguły dodatkowe. Jego także należy kliknąć prawym klawiszem i wybrać "Nowa reguła ścieżki".

Ścieżką potrzebną do zablokowania praw wykonania dla folderu Pobrane jest %USERPROFILE%\Downloads\*.exe. Skorzy do eksperymentów i gotowi na nieprzewidziane rezultaty użytkownicy mogą rozważyć także dodanie ścieżki %USERPROFILE%\AppData\Local\Temp\*\*.exe. Ta druga, niestety, może być proszeniem się o kłopoty. Windows, z powodów historycznych, słabo dba o swoje katalogi tymczasowe. A "moda" na trzymanie plików wykonywalnych w AppData zaczęła się "dopiero" wraz z Google Chrome - najpopularniejszym programem instalującym się niedgyś wyłącznie w katalogu domowym użytkownika.

SRP w wyraźny sposób pokazuje stopień, w jakim zabezpieczenie Windowsów jest trudne z powodów historycznych. Jest ich w systemie mnóstwo, nie chodzi tylko o katalog tymczasowy. Dlatego przestępcy zawsze będą mieli przewagę: pozbawienie ich możliwości uruchamiania złośliwego kodu byłoby równoważne z pozbawieniem systemu większości funkcji. Dlatego nic nie zastąpi ostrożności. Ale możemy próbować jej trochę pomóc…