Jak powstrzymać najpopularniejsze wirusy? (część 3)

Jak powstrzymać najpopularniejsze wirusy? (część 3)12.08.2022 14:32
Jak powstrzymać najpopularniejsze wirusy?
Jak powstrzymać najpopularniejsze wirusy?
Źródło zdjęć: © Licencjodawca | Kamil Dudek

Windows jest dziś o wiele bezpieczniejszym systemem niż kilkanaście lat temu i stan ten poprawia się z roku na rok. W kilku miejscach wciąż jednak jego ustawienia domyślne są niezrozumiale groźne. Poza wyłączeniem makr i blokadą skryptów na Zaporze, możemy zrobić kilka innych rzeczy.

Przede wszystkim wysoce wskazane jest przesunąć suwak Kontroli Konta Użytkownika (UAC) na samą górę. Powody, dla których jest to korzystne z perspektywy bezpieczeństwa są subtelne i często budzą sprzeciw użytkowników pozorujących zaawansowanie. Niestety, pogląd "szlachta pracuje na administratorze" jest błędny - podobnie jak błędne są ustawienia domyślne UAC w Windows.

Microsoft ugiął się pod ciężarem protestów i złej sławy i 14 lat temu zmienił UAC znane z Visty, wprowadzając stopień pośredni: pytanie o potwierdzenie dla aplikacji spoza systemu. Niestety, błędna implementacja doprowadziła do stanu, w którym złośliwe oprogramowanie jest w stanie wykorzystać aplikacje Windows do podniesienia swoich uprawnień i całkowicie ominąć pytania UAC. Dlatego aby mieć kontrolę nad tym, co naprawdę pracuje jako administrator, suwak Kontroli Konta Użytkownika powinien być ustawiony na samą górę - na opcję "zawsze powiadamiaj".

Ustawienia UAC znajdują się w Panelu Sterowania, w sekcji "Zabezpieczenia i konserwacja". Microsoft wielokrotnie dał do zrozumienia, że UAC "nie jest mechanizmem zabezpieczeń" i nie planuje jego naprawy. A wystarczyło podejść do sprawy tak, jak robi to macOS: umieścić jednorazową "kłódkę" odblokowującą uprawnienia na czas przeglądania ustawień…

UAC
Źródło zdjęć: © Licencjodawca | Kamil Dudek
UAC

Uważny czytelnik zapyta być może po co przestawiać UAC, skoro dotyczy on ustawień administracyjnych i nie chroni np. przed złodziejami pamięci podręcznej/haseł Google Chrome albo Discorda. Jest to słuszna wątpliwość - na takie zagrożenia UAC nie zadziała. Ale już w przypadku ransomware'u i innych "unieszkodliwiaczy", wyświetlenie alarmu wołającego o uprawnienia znikąd pozwoli zablokować progres infekcji.

Prawa wykonania

Jest jeszcze jedna rzecz, która pomoże zredukować infekcje u źródła: odmówić prawa wykonywania programów z katalogu Pobrane (wykorzystując mechanizm Zasad ograniczeń oprogramowania, SRP). W ten sposób wszelkie pobrane złośliwe pliki EXE, gdy uruchomione, zostaną zablokowane przez system. Wirusy z ikoną dokumentu Worda nie będą mogły polegać na przeoczeniach wynikających z pośpiechu.

Koniecznie należy tu wspomnieć, że jest folder będący o wiele lepszym od Pobranych kandydatem na odebranie praw wykonywania. Jest nim katalog tymczasowy użytkownika (AppData\Local\Temp). To tam rozpakowywane są pliki ZIP otwierane w Eksploratorze i to tam zapisywane są pliki, na które klikniemy w przeglądarce internetowej "Otwórz" zamiast "Zapisz". Przydałoby się nie mieć praw do uruchamiania stamtąd programów - jeżeli coś, co pobieramy jest naprawdę wykonywalne, należałoby to zapisać w innym miejscu niż domyślne "Pobrane".

SRP
Źródło zdjęć: © Licencjodawca | Kamil Dudek
SRP

Niestety, nie jest tak łatwo. Katalog AppData\Local\Temp to katalog tymczasowy dla dosłownie wszystkiego. Choć nie powinno tak być, istnieją programy i ich aktualizatory, które odkładają tam pobierane przeze siebie nowe wersje. Zablokowanie praw wykonania programom w tym katalogu wiąże się z szeregiem potencjalnych skutków ubocznych. Zabezpieczając komputer nie da siebie, a dla kogoś "nietechnicznego", może się okazać że takie skutki uboczne będą poważnym i trudnym do zdiagnozowania problemem.

Liche zabezpieczenie

SRP działają w wersjach Pro systemu Windows i są ustawiane za pomocą Edytora Obiektów Zasad Grupy. W drzewie Konfiguracja Komputera, w sekcji Ustawienia systemu Windows → Ustawienia zabezpieczeń, znajduje się funkcja Zasady ograniczeń oprogramowania. Klikając na nią prawym klawiszem, należy wybrać Nowe zasady ograniczeń oprogramowania. Utworzy to kontener Reguły dodatkowe. Jego także należy kliknąć prawym klawiszem i wybrać "Nowa reguła ścieżki".

Ścieżką potrzebną do zablokowania praw wykonania dla folderu Pobrane jest %USERPROFILE%\Downloads\*.exe. Skorzy do eksperymentów i gotowi na nieprzewidziane rezultaty użytkownicy mogą rozważyć także dodanie ścieżki %USERPROFILE%\AppData\Local\Temp\*\*.exe. Ta druga, niestety, może być proszeniem się o kłopoty. Windows, z powodów historycznych, słabo dba o swoje katalogi tymczasowe. A "moda" na trzymanie plików wykonywalnych w AppData zaczęła się "dopiero" wraz z Google Chrome - najpopularniejszym programem instalującym się niedgyś wyłącznie w katalogu domowym użytkownika.

SRP w wyraźny sposób pokazuje stopień, w jakim zabezpieczenie Windowsów jest trudne z powodów historycznych. Jest ich w systemie mnóstwo, nie chodzi tylko o katalog tymczasowy. Dlatego przestępcy zawsze będą mieli przewagę: pozbawienie ich możliwości uruchamiania złośliwego kodu byłoby równoważne z pozbawieniem systemu większości funkcji. Dlatego nic nie zastąpi ostrożności. Ale możemy próbować jej trochę pomóc…

Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (20)