БОРЬБА СО ЗЛОВРЕДАМИ ШТАТНЫМИ СРЕДСТВАМИ WINDOWS: БЫСТРО, НЕДОРОГО, ЭФФЕКТИВНО

Анатомия зловреда
Зловреды (или malware, т.е. malicious software, что переводится как раз как «Зловредное ПО») – широкий класс программ, цель которых – сделать что-то нехорошее на вашем компьютере или с применением его. К этому классу относятся вирусы, трояны, шпионские программы – все то, чего любой пользователь (особенно тот, который хранит на компьютере результаты своей работы или конфиденциальную информацию) боится как огня. Зловреды могут зашифровать ваши файлы и требовать оплаты для их расшифровки, может отправлять кому-то файлы с вашего рабочего стола, скриншоты, может осуществлять с вашего компьютера пересылку запрещенной информации или атаки на другие сети – все эти варианты в конечном итоге ничего хорошего пользователю не принесут.
Если в доинтернетовскую эпоху зловреды распространялись преимущественно на физических носителях, и имели в себе сразу весь необходимый код для осуществления своей «черной миссии», то современное malware, как правило, заражает компьютер в 2 этапа. На первом этапе пользователь, введенный в заблуждение, устанавливает себе (например, перейдя по фальшивой ссылке из почты) небольшую и неопасную по сути программу-загрузчик. А уже этот загрузчик закачивает из Интернета один, или два, или сто «настоящих» зловредов, от которых и происходит весь реальный вред.
Соответственно, этот метод работы зловредов и является их слабым местом – и для начала, и продолжения работы им нужен доступ в Интернет, и одним из самых действенных способов борьбы с такими программами является администрирование доступа в Интернет. Если запретить по умолчанию доступ в сеть всем программам, установленным на компьютере, а разрешить только тем, которые вызывают доверие и нужны вам для работы, то это значительно повысит безопасность вашей работы. Именно про этот метод борьбы мы в нашей статье и поговорим.
Инструменты борьбы – что выбрать?
Сразу оговоримся - если вы пользуетесь компьютером крупной компании, где весь интернет-траффик проверяется корпоративными антивирусами с использованием вирусных баз разных поставщиков антивирусных решений и строгим списком клиентских приложений, имеющих права на доступ в Интернет, то все нижеописанные меры предосторожности излишни – все уже сделано за вас. В случае же, когда ваша компания не позаботилась должным образом о безопасности сети (или же никакой компании нет, а о безопасности заботитесь вы сами), самым простым и действенным способом защиты является настройка локального файрвола (firewall) – системной программы, чьей основной задачей является контроль за трафиком и его ограничение.
На рынке представлено достаточно много платных и бесплатных firewall-решений с большим или меньшим функционалом и более или менее удобным интерфейсом. Но здесь есть несколько «но». Во-первых, платные программы стоят денег, что уже для кого-то является ограничивающим фактором. Во вторых, существует ненулевая вероятность, что эти программы (особенно бесплатные, хотя и с платными никто ни от чего не застрахован, читайте, например, информацию Bloomberg про продукты Kaspersky) сами выполняют шпионские функции. Что в принципе логично: т.к. работа антивируса и файрвола никакими другими программами не контролируется, они постоянно передают на сервера производителей информацию с компьютера на котором установлены, скачивают новые обновления и имеют доступ к чтению файлов пользователя, интернет-траффика, оперативной и видеопамяти, то разновидность шпионажа – их нормальное поведение, и доказать то, что эта активность служит каким-либо зловредным целям, практически невозможно.
Что же делать в этой непростой ситуации? Для пользователей операционных систем Microsoft ответ лежит на поверхности – во все экземпляры MS Windows уже встроен локальный файрволл, он бесплатный и вполне поддается настройке. Конечно, вопрос о том, что этот файрволл тоже может шпионить за пользователями, остается в силе. Но, выбрав эту операционную систему, пользователь уже на 100% доверился корпорации Microsoft, так что если Корпорация шпионит за пользователем, то использование еще одной программы от Microsoft вряд ли драматически повлияет на этот факт. Так что основная часть нашей статьи будет посвящена настройке встроенного в Windows файрволла с целью решить обозначенные выше задачи безопасности.
Запрещаем и разрешаем
По умолчанию в настройках встроенного файрволла Windows разрешен доступ в Интернет всему исходящему трафику, соответственно любая программа, установленная на вашем компьютере, может отправлять в Интернет любые сведения и получать их. Наша же задача – разрешить выход в Интернет только тем приложениям, которым мы доверяем, а всем остальным этот доступ запретить.
Для настройки файрволла можно использовать его GUI настройки, а можно пользоваться командной строкой. Второй способ особенно хорош для тех случаев, когда вы хотите создать распространяемый командный файл, который сможет разом применить все эти настройки на другом компьютере (в сетях, где компьютеры объединены в домен, есть более эффективные способы распространять политики, но это уже за рамками нашей статьи). Мы будем рассматривать оба способа.
Итак, первое, что нам нужно сделать – это создать правило, которое просто запретит всем программам доступ в Интернет. В интерфейсе настройки файрволла это делается так:
Открываем оснастку Windows Firewall with Advanced Security и на главной странице смотрим активный профиль.