Как организована безопасность вашей операционной системы Windows? -6



А вы уверены, что знаете, какие действия выполняют программы на ваших компьютерах и прочих девайсах? К примеру, могут ли игры копаться в ваших документах?

На что способно приложение, которому одобрили запуск с правами администратора, и почему оно не может запускаться без выдачи этих прав?

Попробуем разобраться вместе.

Многие знают, что не стоит скачивать и запускать программы из неофициальных источников, т.к. можно поймать вирус. Но есть и те, кто иногда пренебрегает этим.

В статье я делюсь своим личным мнением и опытом. Цель статьи — разобраться, как обеспечить безопасную работу в Windows

UPD. Я рад за подкованных обитателей Хабра, которые забыли, что есть обычные пользователи ОС, которым не очевидны многие вещи!
Моя вина, что я слишком плавно подвожу к теме того, почему приложениям на компьютере доступны почти любые действия. Представьте, если бы такое было на телефоне.

Я не задумывался о том, что любая программа, может выполнить почти любое действие, даже под присмотром антивирусов, пока сам не воспроизвел это.
Еще более неочевидный момент для типичного пользователя:
"как ограничить допустимые действия программы, если хочется иметь более надежную защиту, чем банальное доверие к разработчику?"

Обо всем по порядку.

# Немного лирики. Без небольшой предыстории не обойтись

Совсем недавно я решил освоить python. Подучив основы, я решил написать приложение для автоматизации своих рутинных задач. Я не программист, но знания PL/pgSQL помогли быстро освоиться.

1. Завязка


Я удивился, когда скомпилированная в .exe и .bin программа без каких-либо вопросов запустилась с флешки на другом компьютере, выполнив все, что в ней прописано:

— удалить файлы из папки «Мои документы»
— прочесть и заменить буфер обмена
— вывести информацию о файлах в других каталогах
— обратиться к интернету
— выключить компьютер и прочие «шалости»

Справедливости ради, попробовал на Linux — результат тот же.

P.S.
На Linux редко кто ставит антивирус и прочие средства защиты, т.к. пользователи Linux обычно не качают что-либо из сомнительных источников. Обычно все устанавливается из доверенных репозиториев. Наверное, поэтому он не усыпан вирусами.

Но в Windows(8/10) я наивно ожидал какого-либо диалога о подтверждении запуска, визга антивируса и прочих прелестей. Я привык думать, что я надежно защищен, т.к. с моим компьютером ничего особо опасного не случалось.

Я пробовал запускать программу на разных компьютерах друзей, используя запись гостя и нового простого пользователя, ставил разные средства защиты — эффект тот же.

Исповедь ламера:
Я почему-то наивно полагал, что буфер обмена — это нечто «святое», т.к. в нем часто мелькает важная информация, и мне казалось, что я сам регулирую вставку данных.

Однако, как я понял, для ОС это просто программа, как PuntoSwitcher, Teamviewer и прочие, которые спокойно выполняют разного рода действия.

Мне стало интересно, как можно пресечь нежелательные действия собственной же программы.

2. Немного о программе


Консольная версия программы была бы скучной для запуска, поэтому я решил добавить интерфейс.

Пока баловался с ним — вышла незамысловатая игра. Хотел написать сапера, но это было сложно решил придумать что-то свое.

Меню игры при первом запуске


Программа может показаться безобидной игрой, однако через несколько минут после скачивания файла (или другого обозначенного события) активируются новые функции

ограничился следующим списком:
Программа:

  • собирает некоторые данные о компьютере и показывает их в блокноте
  • читает и подменяет буфер обмена
  • обращается к интернету (просто получает главную страницу известного поисковика)
  • открывает браузер с указанными ссылками
  • дружит с антивирусами (пока что, проверил на virustotal.com). При скачивании этой программы из интернета, единственный барьер, который я встретил — это SmartScreen, который не любит приложения от неизвестных производителей
  • может выключить компьютер даже быстрее, чем это делает кнопка из меню «Пуск»
  • удаляет файлы в конкретной папке

Из украшательств: окно находится всегда по центру, не дает свернуть/переместить/закрыть себя, т.к. не имеет заголовка, перекрывает все окна. Не реагирует на ALT+F4 (добавил кнопку для выхода).

Бонус: случайно вышла оптическая иллюзия мерцающих кругов между квадратами.

Программа весит около 7 Мб, хотя код на строк 300 (включая множество пустых), потому что используемый мною компилятор (pyinstaller) даже «Hello world» компилирует в 5-Мб exe.

Меню игры, которое мы заслужили


Снял видео, для тех, кому интересна работа программы.

P.S.
Если захотите скачать этот файл для эксперимента, то сможете догадаться, где скачать «более безобидную» версию программы (без удаления и выключения).

Но делать этого я не советую, мало ли что там :)



Думаю нет смысла кидать исходник, т.к. суть не в этой программе, она лишь в качестве примера.

3. Что меня смущает?


"Я знаю, что я ничего не знаю".

Я простой пользователь, убежденный в том, что меня защитят антивирусы и сама система от большинства сомнительных (на мой взгляд) действий программ. Вряд ли мое приложение считается вирусом, но навредить оно может.

Никаких претензий к антивирусам не имею, они спасают от популярных угроз, фишинговых сайтов и прочих проблем.

Главная причина проблем — действия самого пользователя.

Наверняка есть пользователи, которые не подозревают насколько может быть опасно скачивать незнакомые/cracked приложения с торрентов, файлообменников, и прочих сайтов.

Особенно те, что требуют прав администратора для запуска. Сериал «Черное зеркало» намекает. Про Root прошивки/приложения телефона — промолчу.

Далеко не все люди хорошо ладят с компьютером, скачивают что предлагают, и доверчиво нажимают «Далее/Продолжить» при всех установках.Поэтому, когда знакомые просят меня посмотреть компьютер, который еле шевелится, я всегда вижу кучу хлама полезных сервисов.

Типичный режим эксперта


Меня немного раздражает 'вседозволенность' программ, когда они прописывают себя не только в автозагрузке, но и пускают корни в службах, реестре и планировщике задач, замедляя компьютер своими непонятными процессами.

Пока я пробовал разные антивирусы, один из них при удалении испортил драйвер для сетевой карты, и я остался без интернета. Помогла точка восстановления системы.

У меня нет паранойи, но мне не нравится, что при установке программы всплывает лишь 2 варианта:
-Установить (*Установить с правами администратора)
-Отменить

А что, если я хочу (на всякий случай), чтобы приложение видело только свою папку, не имело доступ к интернету, буферу обмена и т.д.? Куда мне нажать?

Благо ограничения камеры/микрофона имеются в настройках конфиденциальности.

4. Что ты хочешь? Всегда же так было


Видимо, я уже привык, что на телефоне приложения назойливо запрашивают доступ к данным и функциям системы («разрешить доступ к Фото/Камере/Микрофону/Геопозиции»).

Однако!
Теперь я задумался, это постоянный доступ в любой момент работы приложения? Или только когда я нажимаю «Записать/Сфотографировать/Отправить файл»?
Надеюсь там все в порядке, но это уже другая тема..

Но, мне не совсем очевидно, как можно на личном компьютере удобным способом запустить/установить приложение, выставив ему рамки дозволенного.

5. Поиск решения


Самый важный и очевидный шаг прозвучит наивно, т.к. многие о нем знают, но часто пренебрегают этим.

Большинство бед (вирусы, майнеры, сбои и т.п.) Windows из-за того, что многие пользуются учетной с правами администратора, созданной при установке, тем самым запускают все программы с избыточными правами. Каюсь, я долгое время было одним из них.
UPD. Достаточно посмотреть результат опроса в конце статьи.

Не знаю, почему до сих пор в Windows это не такой очевидный момент,
как в Linux


Краткая инструкция для тех, кто понимает, о чем речь, но не решается на такой шаг:
Создайте отдельного пользователя, дайте ему права администратора, а с себя снимите.
Только с паролями не запутайтесь.

При запуске/установке некоторых программ и прочих изменениях в системе будет запрашиваться пароль администратора (а не просто: Да/Нет), появится повод задуматься, для чего программа требует такие права.

От прижившихся приложений не поможет

Заметил, что некоторые программы при запуске хотят получить права администратора, однако при неудачной попытке могут предложить альтернативу:



Теперь системные файлы оказались в большей безопасности, но моя программа продолжала делать коварные делишки.

Я вышел в интернет с подобным вопросом (+ IT чаты в мессенджерах): «Как безопасно/изолированно запустить программу EXE?»

Еще опросил знакомых близких к IT.

Нашел следующие варианты:

1) Использовать виртуальную машину

Отличный вариант, но не для всех случаев.

Думаю, что часть пользователей могут представлять виртуальную машину как-то так


2) Системные настройки

- Настроить политику безопасности, права на важные папки и т.д.
- Понять, почему программа просит дополнительные права, и подавить UAC запрос

Конечно, Windows достаточно гибкий в настройке. Я считаю считал себя достаточно «продвинутым» пользователем, но даже я не хочу возиться с настройками политики, дополнительным софтом и прочими хитростями.

P.S. Пока искал информацию, чаще всего находил статьи о том как отключить UAС, чтобы он не мешал своими предупреждениями.

3) Не скачивать подозрительные приложения. Лучший вариант!.
У меня теперь сомнения, откуда мне знать, что любое известное приложение не делает/сделает того, что я не хочу?

Фрагменты типичного лицензионного соглашения
Пользователь уведомлен и соглашается с автоматическим обновлением Программы без каких-либо дополнительных уведомлений.

Лицензионное соглашение может изменяться Правообладателем в одностороннем порядке. Изменения в условия настоящей Лицензии публикуется на странице: страница_на_которую вы_вряд_ли_зайдете. Указанные изменения в условиях лицензионного соглашения вступают в силу с даты их публикации, или тогда когда нам будет удобно..

Не нравится — не используй, все честно.

Не буду писать, что за обновление мне прилетело таким образом, т.к. я никого не хочу задеть в данной публикации.

4) Использовать программы "песочницы"

Наиболее удобный вариант, на мой взгляд. Я смог подавить некоторые опасные операции своей программы, что весьма не плохо. Однако, это сторонний и не всегда бесплатный софт, который требует настройки.

Хочется чего-нибудь похожего встроенного в ОС, с понятным интерфейсом.

Итог


Я никого не обвиняю, не призываю к панике: просто захотелось поделиться с вами своими мыслями на счет безопасности наших ОС.

Меня удивляет, что любое приложение может быть «ящиком Пандоры», от которого мало кто знает как защититься (по моему наблюдению).

Мне кажется это очень странным, во времена, когда все стараются защитить свою информацию, используют двухфакторную авторизацию/SMS, шифрование в мессенджерах и прочие вещи.

Если есть простая штатная возможность организовать более безопасную среду, буду рад, если подскажете как это сделать!

Спасибо за внимание!

Как организована безопасность Вашей операционной системы Windows? Что можете посоветовать?

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (96):

  1. keydon2
    /#19264221

    И как же организована "безопасность" (к счастью не моей) операционной системы Windows?
    Статья капитанская. Если вас не разморозили, то где вы были последние 10+ лет?

    • postgres
      /#19265093

      Возможно, много очевидных вещей, которые люди не соблюдают.
      Буду рад, если кого-нибудь данная публикация сможет «разморозить».

      Кажется я нашел, что искал, но не известно когда это выйдет

      InPrivate Desktop
      В операционной системе Windows 10 появится «песочница» — изолированный контейнер, внутри которого будут запускаться подозрительные приложения. Каждый раз, когда программа завершит работу, виртуальное окружение будет уничтожаться, чтобы потенциально «плохой» код не нанес вреда системе.

      Новая функция — InPrivate Desktop — находится на самом начальном этапе разработки и проходит внутреннее тестирование в Microsoft. Исходя из этого, она вряд ли станет частью очередного крупного релиза Windows 10, намеченного на осень.

      • Fedcomp
        /#19266997

        sandboxie уже давно существует. Можно даже посмотреть что оно там насоздавало.

        • Mari_Look
          /#19267577

          Приобрести Windows, чтобы потом пробрести Sandboxie, чтобы в нем запускать весь софт? Гениально!

          • Fedcomp
            /#19268667 / +1

            Вы сейчас весь microsoft office оскорбили.

    • AndeyZ
      /#19265739

      А мне понравилось повествование автора

      Вижу тут минусов много но не понимаю почему

      Столько умных людей но никто так и не ответил, автору на вопрос что делать то?

      Как то я смотрел смотрел компьютер родителей, это просто нечто
      Они даже новый хотели взять, ибо подумали что он за год просто устарел

      • tartarelin
        /#19269331

        " — Настроить политику безопасности, права на важные папки и т.д."

    • MrRust
      /#19277211 / +1

      Капитанская говорите? Для кого?
      Я работаю сисадмином в крупной фирме.
      Я как никто другой могу описать портрет типичного пользователя.
      Работы всегда много из-за таких.

      Готовы?

      Даже люди которым лет по 30, не понимают как открыть файл с помощью другой программы.
      Я вообще не понимаю за что деньги получают, видя как они в экселе нумеруют строки вручную.
      Не помнят куда сохранили свои документы.
      Не помнят свой пароль, и все пароли у нас в стиле ОСЕНЬ2018, т.к. менять надо каждый квартал.
      Но даже их умудряются забывать и просят сбросить.
      Просят установить пиратский софт.
      И все в таком духе.

      Приносят личные компьютеры посмотреть, которые запускать страшно.
      Даже через лет 5-10 все так и останется.

  2. saboteur_kiev
    /#19264241 / +2

    То, что программа может выполнять все действия от админской учетки как бы само собой разумеется, поэтому открытие вы тут не совершили.
    Начиная с 7-й версии, некоторые административные действия даже от аккаунта администратора запрашивают подтверждения.

    В домашних условиях и не стоит запускать скачанное неизвестно откуда. Для Windows уже существует свой маркет, для любителей поиграть существует Steam — там есть хотя бы некой вариант модерирования приложений.

    Удаление моих документов — совершенно пользовательская задача, административных прав для этого не требуется, удалить вы можете любой программой, и это нормально. Для этого и существуют бэкапы. Другие ваши действия — также никак не показывают, что программа делает что-то, что не имеет права делать пользователь.

    Вопрос по поводу антивирусов — у вас эвристика точно включена?

    • Alex023
      /#19264497

      Некоторые ключи реестра имеют аттрибут безопасности Trusted Installer. И фиг вы его измените из под оси вообще. Только оффлайн редактированием реестра. Windows уже очень сильно стал отличаться от WinXP SP 0.
      Добро пожаловать в 2018 год товарищ автор!
      Дыры есть. Но использовать их весьма не лёгкое занятие теперь. А некоторые, приписываемые, недостатки, вообще таковыми не являются. Странно если пользователь с любыми, под плинтусными, правами не сможет распоряжаться своими документами.
      Возможно конечно назрела необходимость в внедрении Time Machine в работе компьютера. Это было бы приятно. Но backup в винде предлагается уже очень давно, и кроме загаживания накопителей другая польза не очевидна.

      • Jabberwocky
        /#19267385

        Time Machine реализуется аппаратно. Ставите два диска зеркалом и обновляете вручную, когда все работает и ничего не качали давно (или перед тем, как скачать). Оптимально — SSD в постоянной работе и страховочный диск обычный.

      • fredtec
        /#19268885

        для того чтобы получить доступ к этим ключам реестра достаточно сменить владельца параметра/куста с трастинсталлер, на любого другого пользователя (свойства параметрах куста, безопасность, дополнительно...). делается это из под админа.

    • Analitic1983
      /#19264605 / +1

      Удаление моих документов — совершенно пользовательская задача, административных прав для этого не требуется, удалить вы можете любой программой, и это нормально.


      Не согласен с вами. Пасьянс косынка, не должен иметь доступа к документам. Подобное разделение уже есть в Android. Каждая программа запускается в своем окружении, и получить доступ к общему диску можно только явно. Если программа сохраняет данные только в своем окружении, другая программа вообще не может получить доступа к ним.

      • TonyLorencio
        /#19264739

        Добро пожаловать в UWP, там разделение есть

      • zeronice
        /#19265835 / +1

        это разделение не остановить пользователя при запросе программы на доступ к документам. Если функциональность программы хоть сколько-то интересна пользователю, он не читая предоставит программе все права.

    • DrZlodberg
      /#19264635 / +1

      Угу. С одной стороны хорошо, а с другой — как мне в 10-ке запустить программу с прописанными правами админа без того, чтобы у меня каждый раз не спрашивали? И желательно не из ProgFiles…

    • Ogra
      /#19264683

      удалить вы можете любой программой, и это нормально

      Во-первых, это не нормально, как выше уже сказали.
      Во-вторых, административные права это что-то вообще запредельное: «То, что сделал предъявитель сего, сделано для блага государства и по моему приказу. Ришелье».

    • Belov_O
      /#19268249

      В домашних условиях и не стоит запускать скачанное неизвестно откуда.

      тут все пишут, что программы делают что угодно и это не для кого не секрет

      Однажды при включении компьютера я заметил у себя рядом с пуск строку голосового помощника (Алису). Но я ее точно не ставил. Спросил у супругу, но она этого вроде как не делала.
      Могло ли это произойти само собой, если да то это нормально?

      • DMGarikk
        /#19268715 / +2

        вот так всегда, ктото просит «починить компьютер»… приходишь, а там спутник, ябраузер, ещё пара тройка подобной чертовщины… но да НИКТО ничего не устанавливал
        ==
        зато я однажды посмотрел как такой человек (коих процентов 90) «ничего не устанавливает»… помню подходим к ноуту, чел такой «давай тебе музыку скачаю»… отточенным движением открывает ВК… скачать музыку нельзя… заходит в яндекс пишет чето типа vkdownloader… с первого попавшегося сайта качает нечто (я всегда так делаю, тут норм)… запускает инсталлер… тыкает быстро быстро далее-далее-далее...(на рабочем столе вырастает штук 5 ярлыков в т.ч. от ябраузера и т.п… скачивает из вконтакта музыку… и да он НИЧЕГО ЛИШНЕГО не устанавливал!!! это все ваши вирусы в винде!

        • postgres
          /#19268757

          Вот она, целевая аудитория данной статьи!
          Думаете таких людей 90%?
          Судя по тому как меня минусуют и критикуют, можно сделать вывод, что таких не осталось

          • Diversant616
            /#19269063

            Конечно остались. Просто целевая аудитория явно не здесь. Хотя вот лично я не без интереса почитал. Но здесь скорее конкретно мой интерес к тематике.

    • postgres
      /#19272953

      То, что программа может выполнять все действия от админской учетки как бы само собой разумеется, поэтому открытие вы тут не совершили.

      Я и не собирался делать открытие. Даже мой опрос показывает, что многие обитатели данного портала использую эту учетку для обычной работы, не говоря о тех, кто далек от IT.

      В домашних условиях и не стоит запускать скачанное неизвестно откуда.

      Логично, а многие ли отказывают себе в таком соблазне?
      А официальные программы ставить под «честное слово»? Откуда мне знать, что популярный браузер/антивирус/пасьянс не грохнет мои файлы из-за бага/умысла разработчика?

      Другие ваши действия — также никак не показывают, что программа делает что-то, что не имеет права делать пользователь.

      Я это не опровергаю, а максимально подробным способом подчеркиваю для тех, кому это невдомек.

      Вопрос по поводу антивирусов — у вас эвристика точно включена?

      На какое действие она должна была отработать?

  3. DMGarikk
    /#19264259 / +2

    эмм… раздражает вседозволенность говорите…
    я помню когда вышла Vista в которой появился UAC… и какой поднялся страшный вой и визг на форумах в поисках разных решений «как эту гадость ненужную выключить»

  4. Ogra
    /#19264295 / +1

    В линуксе по умолчанию все то же самое — программа может делать все, что угодно с папкой пользователя, ходить в сеть, и т.д., а будучи запущенной от админа, может делать вообще все.
    Но можно поставить AppArmor, и назначать приложениям отдельные профили, в которых прописано, что можно, а что нельзя.
    Приложения под Android запрашивают полный набор разрешений не то при установке, не то при первом запуске, и вполне могут не запуститься, если им их не дать. Например, приложение, показывающее погоду, просит дать ей доступ к фотографиям, и не запускается, если отказать.
    На iOS программы запрашивают доступ к функциям по необходимости, но если им разрешить, то повторного запроса уже не будет. Можно отключить потом.

    • Analitic1983
      /#19264531 / +2

      Жаль что Андройд в случае отказа в правах не предоставляет фейковый профиль. Программа не должна понимать что ей отказали в правах, иначе ситуация как сейчаc, шантаж — хочешь запустить — разреши.
      Пример: Мой МТС — практически полный доступ ко всему! И ведь количество установок: 10 000 000+

      • vesper-bot
        /#19264633 / +1

        Хотя бы пустой профиль — не столько фейковый, сколько не равный текущему. Пусть там себе флудит, метрики собирает и прочее, данные свои складывает и ведет остальную активность, но не имеет доступа куда не надо. Вот только запилив такое в андроиде, гугл себе в ногу выстрелит — его же первым так будут окорачивать.

      • Teomit
        /#19264643

        Вообще-то кое-что можно:
        XPrivacyLua
        Позволяет убирать права у приложений так, что они сами не понимают об этом. Или подменять некоторые данные (например, контакты и Geo координаты).

        • Analitic1983
          /#19265407

          Да, народ пытается. Подобные вещи уже давно в какой-то мере реализуют. Еще когда на официальном андройде не было запроса отдельных прав доступа. Я пытался ими пользоваться, но к сожалению работало достаточно не стабильно, в итоге отказался. Плюс еще нужен рут, либо перепрошивка, что не всем подходит.

    • Hanabishi
      /#19268705

      Вы каким андроидом последний раз пользовались? Начиная с 6 андроида приложения запрашивают каждое конкретное разрешение только по необходимости. То есть только в момент использования соответствующей функции, для которой это конкретное разрешение нужно.

      • Ogra
        /#19268795 / +1

        В этом месяце зашел в магазин, пощупал на тестовом стенде какой-то телефон на Андроиде. Было именно так, как я описал — приложение «Погода» попросила кучу разрешений и не запустилось после отказа.

  5. aapazhe
    /#19264345

    Ещё один всё понял.

  6. leR12
    /#19264515

    антивирусники это для параноиков! вирусов нет! А вот поотключать многие службы ( и некоторые «драйвера» ) можно и должно )))) я этим лет так пять назад озадачился… реестр облазил и теперь на шести машинах никаких антивирусников нет и не будет. особо радует то что снизились температуры в ноутах без всяких там подставок (впрочем они придуманы для лохов ) Итого — знай реестр. ищи и обрящешь. А при удалении некоторых пустых системных папок вообще чудеса начинаются с производительностью машин… летает всё.

    • dollar
      /#19264567 / +1

      Там столько служб, что сразу и не сообразишь, что нужно. Есть универсальный гайд?

      • vesper-bot
        /#19264645 / +1

        Под семерку попадались, под ХР тоже, по десятку пока что не видел — а вот там я бы очень хотел поотключать всякой чуши, которая мне даром не нужна, начиная от DiagTrack и всех задач, связанных с ней. А с апдейтерами я обычно делаю так — открываю консоль mmc со списком служб, что-нибудь устанавливаю, обновляю список и смотрю, что появилось после установки. Чаще всего хватает потом отключить службу из неё, чтобы обновляльщик обломался насовсем.

      • DrZlodberg
        /#19264681 / +1

        Ага, а некоторые 10-ка отключить просто не позволяет.

        Например кортана отключена, поиск отключён, но сервис поиска висит. Антивирь\фаерфол отключён, но всё равно запускается. Ещё какую-то хрень вообще не смог отключить, просто не позволяет.
        Как отключить всякое кэширование — тоже вопрос. Нахрена у меня в запущенных процессах постоянно висит мс-фото и ещё какая-то хрень (которой я никогда не пользовался и не буду), при том, что у меня кастомный рабочий стол и половина этих программ под ним работать просто не может (собственно все модерновые масдайные программы).

        • profesor08
          /#19265875

          Запусти secpol.msc и приведи к следующему виду:
          image

          Тогда перестанут запускаться все UWP приложения, и много чего еще будет работать с двойного клика.

          • DrZlodberg
            /#19265941

            Это был любопытный опыт, который позволил узнать 2 вещи:
            1. У меня в системе он почему-то отсутствует (заблокирован админом домена? я — локальный админ)
            2. Если в батнике запускать через start команду, которой нет (на сколько я понял, повторять не стал) он начинает очень быстро плодить консольные окна и остановить это невозможно. :( Перезагрузился когда счёт их пошел на сотни…

            • profesor08
              /#19265977

              Это локальная политика безопасности. Доступная и на win 8, и на 8.1, и на win 10.

              • DrZlodberg
                /#19266027

                Так это не отменяет возможности отключить её настройку. По крайней мере у меня такой файл отсутствует по указанному в мс-хелпе пути. С чем-то подобным я уже сталкивался на этой системе. Тогда поиском я нужный файл таки нашел где-то в недрах WinSxS, но толку от этого было ноль.

                • profesor08
                  /#19266067

                  Моя винда установлена с официального образа скачанного с сайта microsoft.
                  C:\Windows\System32\mmc.exe
                  C:\Windows\System32\secpol.exe

                  • DrZlodberg
                    /#19266147

                    О, а через ммс запустился, благодарю.
                    Правда не все пункты нашел. У меня англ. версия (так привычнее), сложно угадать по первым словам. Но не важно, запрос я отключил.

                    Ещё разобраться бы ещё, как нормально подменить десктоп. У меня пока работает через… стандартный интерфейс. Старые настройки они сломали, а в новых всё несколько сложнее.

          • perlestius
            /#19273777 / +1

            Совет из серии "вырвите коту зубы, удалите когти, купируйте хвост — и он не будет доставлять вам неудобств"

  7. vesper-bot
    /#19264607

    TL;DR все подозрительные ехешники нужно запускать из-под пользователя «Гость».

    Вообще, любая программа, запущенная из-под пользователя, может делать всё, что может делать пользователь. И если вы хотите, чтобы программа чего-то не могла, запретите пользователю.

    PS: да здравствует VSS shadow copy для немедленной защиты данных и оффлайн-бэкап для всей остальной!

    • vilgeforce
      /#19264855 / +1

      Подозрительные экзешники нужно удалять, а не запускать. Shadow Copies удаляются в три строчки при наличии прав.

      • vesper-bot
        /#19264897

        Ну дык, разве у гостя есть права на vssadmin delete shadows? А запросит админа, когда не должна — слать лесом. Ну или в виртуалке запускать при наличии снапшотов в гипервизоре, если уж очень хочется.

        • vilgeforce
          /#19264931

          Вам ограничения прав не помогут, потому что о повышении прав вы явно не знаете

  8. Ocelot
    /#19264613 / +1

  9. Leljka
    /#19264723 / +1

    Я такое видела. Код я не пишу, читаю немного… И тем не менее.
    Ваша статья, да нашим бы сисадминам! Вот кто лентяй! Даже я ограничивают тонкой настройкой вин средствами вин! Локальные политики, администрирование в помощь. Но, как правило, в провинции в небольших компаниях сисадмину лениво. Он хочет получать денежку, максимально облегчит себе труд. Что он делает? Вместо того, чтоб настроить виндовс, он использует… Сторонние костыли! Левое ПО. Не всегда безопасное. Я видела считку и отправку логов, смешно сказать, без никакого вируса! Удалив просто маааахонькую программулинку, от которых я избавилась. Начальство ли организовало «слежку» или это дыра для всей корпоративной сети (что скорее всего) — я не знаю. Я привыкла к безопасности. Ну и повезло. Учётка админа закрыта паролем не была! (тоже смешно, просто отключена по умолчанию).

  10. dmr0
    /#19264891 / +1

    Малварь давно уже работает не требуя от пользователя админ-прав. Существует вагон и маленькая тележка методов обхода UAC на всех версиях винды.

    • DMGarikk
      /#19265051

      Существует вагон и маленькая тележка методов обхода UAC на всех версиях винды.

      И как вы обойдете UAC например на компьютере входящем в AD с отключенным локальным администратором?.. это когда UAC не «да»/«нет» спрашивает, а пароль админа

  11. saipr
    /#19265159 / -2

    безопасность… операционной системы Windows

    Безопасность Windows — абсолютный нонсенс!!!


    Второе.


    Я удивился, когда скомпилированная в .exe и .bin программа без каких-либо вопросов запустилась с флешки на другом компьютере, выполнив все, что в ней прописано:
    — удалить файлы из папки «Мои документы»
    — прочесть и заменить буфер обмена
    — вывести информацию о файлах в других каталогах
    — обратиться к интернету
    — выключить компьютер и прочие «шалости»
    Справедливости ради, попробовал на Linux — результат тот же.

    А чему удивились-то?
    Удивляться надо тому, что вы запустили программу, заранее зная что она выполнит выше перечисленные действия. Разве вам не говорили, что не надо запускать неизвестные программы, либо будьте готовы к любым неожиданностям. А Linux не Линукс здесь ни прри чем.

    • Ogra
      /#19265219

      Мне вот удивительно, что товарищ пошел на Хабр жаловаться, не попытавшись покопать дальше. Ни про SELinux/AppArmor в Линуксе, ни про групповые политики/домен в Винде, ни про разрешения на мобильниках — ничего не раскопано.

      • postgres
        /#19267847

        Зачем мне в этом копаться? Представь себя на месте пользователя далекого от IT

    • DMGarikk
      /#19265245 / +1

      Нонсенс, а вы вообще вникали в настройку винды для безопасности? или впечатления остались от Win9x где «нажал отмену в окне запроса пароля, он меня в систему пустил… гыыы»

      А я вот настраивал, гайки можно закрутить так что даже, извините, пернуть нельзя будет без разрешения администратора и отметок в логировании
      или вам надо именно изкоробки чтобы «никто не прошел»? даже сам пользователь… пока не прочитает RTFM на 10 томов?

  12. OnelaW
    /#19265673 / +1

    Не, я конечно понимаю, что читатели хабра достаточно подкованные пользователи и хорошо разбираются в политиках безопасности, но на автора зря бочки катите. Да статья от КО, буквально от пользователя который только вчера узнал что вообще творится. Но к сожалению картина еще хуже чем представляется. Большинство, слава богу это не 80-90 процентов пользователей о разграничению прав доступа ничего не знают и знать не хотят.
    Пользователи не знают какой файл ассоциируется с той или иной программой.
    Для чего нужно переносить данные пользователя на другой раздел диска.
    Почему нельзя плодить копии папок и файлов на рабочем столе. Хотя логика пользования подсказывает удобно хранить документы на рабочем столе.
    И многие простые и казалось бы очевидные вещи.

    • zeronice
      /#19265861

      Для чего нужно переносить данные пользователя на другой раздел диска.

      А для чего?


      Почему нельзя плодить копии папок и файлов на рабочем столе. Хотя логика пользования подсказывает удобно хранить документы на рабочем столе.

      Почему нельзя?

      • OnelaW
        /#19265899

        1 В случае отказа работоспособности ОС, если потребуется чистая перестановка, то в винде это приводит к тотальному удалению пользовательских данных. По умолчанию пользовательский профиль и все данные располагаются на системном разделе. Диск Ц.
        2 В случае организации хранения документов на рабочем столе это приводит к раздуванию размеров пользовательского профиля, что чревато огромными тормозами при запуске ОС. При запуске данные с пользовательским профилем загружаются в оперативную память))

        Это всё относится к работе в Windows.

        • zeronice
          /#19265921

          1. а) бэкапы помогают. б) не уровень непродвинутого пользователя винду накатывать
            2) O`RLY?

          • OnelaW
            /#19265937 / +1

            1. Где вы на каждое домохозяйство в стране найдете подкованного пользователя? Пользователи на одних компаниях где есть офицеры по безопасности и прочие эникеи не заканчиваются. Мир огромный и многоцветный.
            2.50 папок на рабочем столе с картинками и табличками, и попробуйте с месяц так поработать на Windows.

            • zeronice
              /#19265999

              1. так я и предполагаю, что пользователь не подкован и его дело лишь в том, чтобы свои файлы на флешку копировать (продвинутые смогут акронис какой нибудь осилить).
              2. по вашим словам, если закинуть на стол пару фильмов в HD, оперативка должна кончиться, а винда в своп уйти...

              • OnelaW
                /#19266015

                разбейте 2 бд образа на куски по 1.4 мб, и всё это добро разместите на рабочем столе. Посмотрите что получится.

            • DMGarikk
              /#19266713

              50 папок на рабочем столе с картинками и табличками, и попробуйте с месяц так поработать на Windows.

              У меня куча папок на рабочем столе, всегда было так… ещё со времен 95 винды… никогда не замечал чегото особенного (а вот про тормоза макоса я слышал с таким подходом кстати)

              технически рабочий стол винды это же тупо окно эксплорера без заголовков и меню… ему побарабану что отображать, тормозить может всякая генерация эскизов и предпросмотров… но оно один раз потупит и потом уже все закэшировано и работает быстро
              а размер профиля пользователя вообще не влияет… я видел профили весом и под 800гигабайт… и ниче

              • OnelaW
                /#19266917

                увы не во всех случаях тормознутость воспроизводима со 100% повторением.

                • quwy
                  /#19278219

                  Конечно, потому что тормозит это только в случае перемещаемого профиля в домене. На типичном юзерском писюке такая ситуация имеет место примерно никогда.

          • zartarn
            /#19266171

            Бэкапы надо еще и проверять, что из них всё восстанавливается должным образом.

            • OnelaW
              /#19266951 / +1

              Какие проверки, какие бекапы, вы чего, часть пользователей вообще не в курсе про резервное копирование, про встроенный механизм восстановления в windows и прочих полезных действиях. Это на хабре пользователи умеют обращаться, но всех пользователей хабра не приставишь к каждому пользователю.

              • zartarn
                /#19267383

                Да я вкурсе что многие даже не знают про Ctrl+C, просто замечание к словам про бэкапы. А то так же многие считают что само наличие бэкапа уже панацея).
                Сам на С ничего не храню в т.ч. и в документах. Еще со времен ХР все всегда на другом разделе. А важное — в нескольких носителях/устройствах.
                А так больше проблем от того, что у большинства учетки на виндовс с админскими правами.

          • Gritsuk
            /#19266789

            Внезапно, одна pdf'ка на 10 мб на рабочем столе заставляла ноут кушать 100 процентов процессора. i7 предпоследнего поколения, вин 10. Ноут так крутил кулером, что чуть на взлет не шел. Пришел админ, спрятал файл в папочку на том же рабочем столе, и все стало нормально — процессор в покое на 1 процент, кулер молчит.


            Через пару месяцев простой джипег на 150кб вызвал ту же ситуацию. Не понимаю, что за хрень

            • springimport
              /#19266961

              Проблема явно локальная. i7 так просто не загрузить на 100% если ноут не перегрет.

            • OnelaW
              /#19268775

              такое бывает, воспроизвести глюк скорее всего мало у кого получится, от типа и размера файла это не зависит. Может и экселька в несколько кило загрузить проц, а бывали случаи когда битый доковский документ убивал эксплорер на корню.

            • DMGarikk
              /#19268819

              а какой именно процесс грузит процессор на 100%?

        • aulandsdalen
          /#19266409

          О, а вы из породы тех самых бородатых админов, которым простые пользователи мешают работать?
          Если у вас вдруг система замучена так, что уже не грузится (а так вообще бывает? ни разу не видел), то пользовательские данные все равно можно извлечь перед переустановкой системы, если вы этого не знали.
          А где хранить свои тысячи фотографий внуков, котиков и бухгалтерские документы за 2008 год, решать не вам и не виндоусу, а пользователю того компьютера, ваша задача состоит в том, чтобы обеспечить их сохранность.

          • OnelaW
            /#19266443

            Увы я тот самый пользователь у которого 50+ папочек и ярлычков к программам раскиданы на рабочем столе. 100+ копий и версионность одной и той же екселевской таблички. И это все на ноуте с 8 гигами. Все 8 гигов при таком подходе убиваются за месяц.

        • Fedcomp
          /#19267057

          windows можно переустановить без потери данных на диске C:

        • NoOne
          /#19270977

          1. Не приводит. Винда аккуратно всё переместит в windows.old.
          А теперь еще и в OneDrive документы по умолчанию хранятся, если сильно не сопротивляться.

          • Ogra
            /#19271113

            Это если на диске места хватает. Если же кто-то засрал своими документами все место — ничего не поставить ;)

      • jrthwk
        /#19266019

        Ну, начнем с того что недавно микрософт выпустил (а после отозвал) очень интересное обновление…

        • OnelaW
          /#19266099

          Microsoft, Oracle, IBM, Cisco и прочие ежегодно выпускают обновления к своим решениям с теми или иными ошибками. Можно их ругать, можно с ними судиться, можно отказываться использовать их решения, но пока не перестроится подход в целом в отрасли по производству и поддержке решений.

  13. fmj
    /#19266181 / +1

    Как организована безопасность Вашей операционной системы Windows? Что можете посоветовать?

    Белый список ПО — в pro есть SRP, в enterprise — AppLocker, во всех версиях есть ACL.
    Недоверенное ПО можно запускать с низким уровнем целостности(хомяк с документами останется невредимым).
    Еще стандартный firewall — тоже белый список на входящие и исходящие.

    Еще свои пользователи для некоторых программ(еще конечно надо запускать на отдельных рабочих столах(как это делает uac), но с этим еще не разбирался).

    Но все это настраивать устанешь.

  14. kuftachev
    /#19266205

    В принципе, уже давно есть отличное решение — называется браузер. Единственное место, где совсем критично его использовать — это тяжёлые компьютерные игры, и то, ходят легенды, что WebAssembly может это исправить.


    Тем более, что с современными фреймворками для SPA, можно реализовать почти любую задачу для повседневного использования.


    Конечно могут понадобиться некоторые служебные программы, включая сами браузеры, но доверять хоть каким-то продуктами от основных поставщиков всё-таки придется, начиная от самих ОС.


    P.S. Представляю обратную ситуацию, мы пишем утилиту, чтобы она выполнила какую-то работу, а она имеет доступ только к своему файлу. Так что-ли?

    • nuclight
      /#19273497

      Да, так. И переклдывать на браузеры — это костыль.

  15. springimport
    /#19266729 / +2

    Добро пожаловать, автор! В этом мире ОС написаны так что после переустановки системы нужно бегать по сайтам и скачивать десяток программ. А потом в этих программах скачивать еще пару десятков других (Стим, например). Каждая программа ставится по-разному и хранит данные тоже по-своему. При этом данные пользователя сохраняются только локально и нельзя просто начать работу на одном устройстве и продолжить на другом.
    Но неплохо продвинулись мобильные ОС и со сменой телефона можно даже перенести часть данных. Успех.

    • dartraiden
      /#19266795

      В этом мире ОС написаны так что после переустановки системы нужно бегать по сайтам и скачивать десяток программ.
      Например, NixOS написана совсем не так:

      В отличие от других дистрибутивов NixOS не требует от пользователя выполнять длинную цепочку действий, чтобы получить систему, которая ему нужна: устанавливать систему, загрузчик и пакеты, добавлять пользователей, править конфиги и так далее.

      Вместо этого NixOS предлагает описать необходимое состояние системы в специальном конфигурационном файле, где будет перечислено все, начиная от пакетов и заканчивая возможностью логина по SSH с помощью пароля. Далее достаточно выполнить одну команду, и, в каком бы состоянии система ни находилась в данный момент, пакетный менеджер приведет ее к требуемому.

      Другими словами, если тебе нужна система с установленным Apache, PHP, MySQL, SSH и с некоторыми дополнительными настройками, ты просто описываешь все это в одном конфиге, а затем отдаешь команду на развертывание системы. Независимо от того, свежеустановленная это ОС или уже используемая, ты получишь абсолютно идентичную систему с идентичным набором пакетов и конфигов.

      • springimport
        /#19266879

        Это круто. Но многие концепты красиво выглядят, а работает каждый день старая добрая windows/linux/m os.
        Мне видится повальная контейнерезация всего но не как отдельные ОС. Причем с выносом данных отдельно и возможностью запускать разные версии одновременно.

  16. dartraiden
    /#19266757

    Я удивился, когда скомпилированная в .exe и .bin программа без каких-либо вопросов запустилась с флешки на другом компьютере, выполнив все, что в ней прописано:

    — удалить файлы из папки «Мои документы»
    — прочесть и заменить буфер обмена
    — вывести информацию о файлах в других каталогах
    — обратиться к интернету
    — выключить компьютер и прочие «шалости»

    Это всё совершенно легальные и обычные действия. Вы предлагаете запретить пользователю удалять свои документы? Читать буфер обмена? Завершать работу? Это действия, которые пользователь делает ежедневно, программа, запущенная из-под учётки пользователя обладает теми же правами.

    Что касается доступа в Интернет, то брандмауэр Windows по умолчанию никогда и не запрашивал разрешения на установку исходящего подключения. Только на входящие.

    Вспоминается:
    После запуска трояна поведенческий анализатор антивируса молчит, поскольку, с его точки зрения, не выполняется никаких потенциально опасных действий. Какая-то программа ищет файлы по маске? Да пожалуйста! Создаёт копии файлов? Без проблем! Шифрует копии? Тоже не повод для паники. Функции шифрования поддерживаются большинством современных программ, а троян использует те же стандартные криптографические библиотеки. Он удаляет пользовательские файлы? Это тоже не запрещено — они ведь не системные. Затирает свободное место? Безопасное удаление также востребованная и легальная функция. Он добавляется в автозапуск? И это тоже разрешённое поведение. В отличие от классических вирусов, троян-шифровальщик не пытается модифицировать файлы, не внедряется в активные процессы и вообще ведёт себя скучно.

    Впрочем, в Windows 10 есть контролируемый доступ к папкам, который предназначен как раз для защиты выбранных пользователем папок от массового изменения файлов в них.

  17. mrakgi
    /#19267255 / +1

    В целом автор поднял интересную тему. Ответа что делать нет, ибо никому это не надо. Я имею ввиду делать.
    Все мы очень часто говорим о личных данных, личном пространстве и прочем. Однако 99% людей носят с собой желязяку с двумя камерами, парой микрофонов, двумя дачиками местоположения. Хранят свои отпечатки пальцев, карточки банковские и все пароли на ней. При этом вообше никак не контралируют данные на этой самой железяке. Например «вы точно уверены что в вашем телефоне нет чипа китайцев которые с помошю него все могут стянуть :?»

  18. oteuqpegop
    /#19268185 / +1

    Меня немного раздражает 'вседозволенность' программ, когда они прописывают себя не только в автозагрузке, но и пускают корни в службах, реестре и планировщике задач, замедляя компьютер своими непонятными процессами.

    Видимо, я уже привык, что на телефоне приложения назойливо запрашивают доступ к данным и функциям системы («разрешить доступ к Фото/Камере/Микрофону/Геопозиции»).

    Так сложилось исторически. Под Windows написано огромное количество софта во времена, когда о таких аспектах безопасности попросту не думали и писали кто как захочет. Этот софт никогда не будет переписан по современным канонам, так что остается всего два варианта: либо поломать совместимость в угоду безопасности, либо худо-бедно поддерживать все написанное. В Windows выбран путь, близкий ко второму варианту (поддерживать все, кроме совсем вопиющих и древних вещей, очень медленно закручивая гайки по мере отказа пользователей от старых приложений). Понятно, что граница нечеткая, можно было бы закрутить гайки сразу и посильнее, но тогда получится что-то типа www.sandboxie.com/KnownConflicts (и тут только относительно популярные приложения), а вы же сами упомянули, что, как простой юзер, хотите не регулярно ковыряться в настройках, заставляя работать старую программу, а чтобы просто все работало с минимальными телодвижениями. Для большинства конечных пользователей Windows безопасность — это если не пустой звук, то что-то явно менее важное, чем возможность запуска конкретного софта, с которым они привыкли работать. И они такие изменения посчитают не благом, а посягательством (как в упомянутом выше случае с UAC).

    А на телефонах софт в любом случае почти целиком писался гораздо позже и заново, даже если по существу портировался, и можно было просто изначально ввести более жесткие правила, встроенные песочницы, что угодно, и новый софт после этого писался в новых рамках или не писался вообще.

    Если есть простая штатная возможность организовать более безопасную среду, буду рад, если подскажете как это сделать!

    Если у вас достаточно современное железо, то наименее проблемным способом будут виртуальные машины (Hyper-V есть в последних версиях Windows, так что возможность практически штатная, а если использовать на хосте, например, QubesOS, то это будет по удобству работы почти как песочницы). Если нет, и у вас немного Windows-only софта, то проще всего, наверное, найти аналоги и перейти на другую ОС, ибо в Windows с песочницами время от времени в любом случае придется ковыряться. Если Windows-only софта много, то можно отделить доверенный софт (браузер с важными аккаунтами, офис и всякое такое) на отдельный физический компьютер, на котором не запускать ничего кроме них, а на другом компьютере с маловажными данными просто расслабиться и получать удовольствие.

  19. third112
    /#19269657

    Если есть простая штатная возможность организовать более безопасную среду, буду рад, если подскажете как это сделать!
    Универсальных рецептов нет, но для «обычных пользователей»:
    Я рад за подкованных обитателей Хабра, которые забыли, что есть обычные пользователи ОС, которым не очевидны многие вещи!

    могу посоветовать:
    1) разделить конфигурацию ПК для он-лайн и офф-лайн:
    в он-лайн использовать линукс на read only флешке;
    2)
    «Как безопасно/изолированно запустить программу EXE?»
    Ваш ответ:
    Использовать виртуальную машину
    ИМХО ВМ -лучшее, что сейчас есть: клонировали ВМ, запустили сомнительный EXE, посмотрели и удалили клон ВМ.
    3) EXE, в которых нет сомнений (нпр., фотошоп от производителя) запускаем офф-лайн на отдельном сменном «винте».
    4) ИМХО новые ОС не всегда бывают стабильны, поэтому лично я предпочитаю «винды ХР», но когда нужно: под ВМ запускаю новую «десятку».
    Данный совет не дает 100% гарантии (такого быть не может), но мне помогает.

    • third112
      /#19270151

      PPS Позвольте еще один совет для «обычных пользователей». И дома и на работе мы на ПК работаем (или играем) в свободное от обеда время. А во время обеда советую копировать всю инфу с ПК. Я сам предпочитаю болванки.

      • leR12
        /#19272217

        у меня правило называется ТРИ! имею возможность на трёх разных внешних дисках иметь копии и резервы.

        • MrRust
          /#19277279

          А почему не правило 10?
          Простите, что вы там такое храните?

  20. third112
    /#19269689

    PS Лично я на антивирусы не надеюсь, т.к. простое соображение: сначала появляется и распространяется вирус, а только некоторое время спустя антивирус.

    • leR12
      /#19269855

      прекрасное наблюдение!!!

      • third112
        /#19270105

        Спасибо. Я прочитал Ваши недавние комментарии про антивирусы к другим темам и в целом разделяю Вашу позицию. ИМХО могут быть разные политики безопасности. В некотрых применение антивирусов м.б. оправдано. Но ламер, поставивший антивирус, и считающий, что полностью обезопасился, вызывает сожаление.

  21. dollar
    /#19273823

    Знаю, что некоторые до сих пор пользуются Windows XP. И не жалуются!

    Лично я использую Windows 7. Насколько знаю, новые фичи для неё не выпускаются с 2015 года, меня это вполне устраивает, а обновления безопасности будут выпускаться лишь до 2020. Но уверен, что жить она будет гораздо дольше! Именно потому, что большинство работает из под админа, и вся безопасность по сути сводится к тому, чтобы не ставить ничего лишнего. А «хорошие» программы соблюдают джентльменское соглашение о неразрушении системы.

    На Windows 10 тоже есть жизнь (хотя это лишь 35% против 40% на Win7). Но всё же приятнее пользоваться системой, в которой всё устаканилось и изменений не предвидится. Никаких. Как говорится, не надо мне, как лучше, оставьте, как хорошо.

    • MrRust
      /#19277301

      А на нетбуки в стиле 2 ядра / 2 гига хочется старую добрую ХП поставить для комфортного использования