ウイルス対策なしのWindows XP Home
最近、「 ウイルス対策なしのWindowsベースのコンピューター 」および「 Windows 7でプログラムの使用を制限するためのグループポリシーの設定 」というトピックを読みました。ウイルス対策を使用しないように、または感染の可能性を最小限に抑えるために、Windows XP Home Editionの設定方法を共有したいと思います。
それはすべて、私が最近まで勤めていた1つのオフィスで、ウイルスに常に問題があったという事実から始まりました。 政権はアンチウイルスにお金を与えたくありませんでした。どこにでもホームゲームがあり、ディスクやフラッシュドライブからの自動実行もブロックされました。 結局、私はこのすべてにうんざりし、「極端なステップ」に行きました...
Windowsでは、ホワイトリストまたはブラックリストを作成できます。 「ブラックリスト」は、そこにリストされているプログラムが起動されないことを意味しますが、それにリストされているプログラムのみがシステムの動作に必要な「ホワイトリスト」が起動されます。
「ホワイトリスト」に基づいて、malvariに対する優れた防御を行うことができます。 作成するには、少なくとも2つの手順を実行する必要があります。
将来、プログラムを
にステップ2と同様に追加できます。この場合、再起動は不要になり、変更はすぐに有効になります。
毎回レジストリエディターに入らないようにするために、プログラムのリストを入力し、必要に応じて修正し、編集後に起動するreg-fileを作成しました。
以下は、このファイルの一部です。
この「トリック」ウイルスを使用して2年間は気づかれませんでした。 すべてのコンピューターには、夜にディスクをスキャンするClamWinがありました。 また、月に一度、ウイルス対策ソフトウェアを使用してシステムをオフラインでチェックしました。 唯一の問題はユーザーの不満であり、これは当局に「何、なぜ、どのように」説明することですぐに抑えられました。
最初に「ブラックリスト」についてほのめかしたので、彼について少しお話しします。 複数のプログラムの起動を禁止する必要がある場合に役立ちます。 「ホワイトリスト」と同じ方法で、2つのステップで作成されます。
1パラメータ名は数字で構成する必要があります。 カウントダウンはゼロから始まります。 番号は順番になっている必要があります。
2 Windowsは、CreateProcessの「ラッパー」である
および
関数が
キーをチェックするため、progの起動を制御します。 したがって、提案された方法は、ユーザー自身によるプログラムの不正な起動、およびShellExecute(そのほとんど)を通じて何かを実行しようとするウイルスからのみ保護します。 ShellExecuteとRestrictRunの詳細については、 こちらをご覧ください (LockWinについてはここで説明していますが、
のメカニズムについては詳しく説明しています)。
shiko_1stに感謝します 。
3研究のために、 Mark RussinovichのプログラムProcess ExplorerとProcess Monitorを使用しました。
UPD1: Program Filesからのみプログラムの起動を制限するには、MicrosoftのSteadyStateユーティリティを使用できます。 ありがとうkondorkm
UPD2:ホームWindowsのアクセス権を管理するために、コンソールユーティリティcacls.exeが含まれています。
xcacls.vbs-MSサイトからダウンロード
xcacls.exe-Windowsサポートツールパッケージの一部
subinacl.exe-Windowsリソースキットツールに付属
おかげでxn__p2a
それはすべて、私が最近まで勤めていた1つのオフィスで、ウイルスに常に問題があったという事実から始まりました。 政権はアンチウイルスにお金を与えたくありませんでした。どこにでもホームゲームがあり、ディスクやフラッシュドライブからの自動実行もブロックされました。 結局、私はこのすべてにうんざりし、「極端なステップ」に行きました...
Windowsでは、ホワイトリストまたはブラックリストを作成できます。 「ブラックリスト」は、そこにリストされているプログラムが起動されないことを意味しますが、それにリストされているプログラムのみがシステムの動作に必要な「ホワイトリスト」が起動されます。
ホワイトリスト
「ホワイトリスト」に基づいて、malvariに対する優れた防御を行うことができます。 作成するには、少なくとも2つの手順を実行する必要があります。
- レジストリブランチ
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer
で、値が1
のタイプDWORD(REG_DWORD)のRestrictRun
パラメーターを作成する必要があります。 -
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
ブランチで、RestrictRun
キーを作成します0
パラメータ0
値regedit.exe
のタイプSTRING(REG_SZ)です。
重要! 手順1を実行し、手順2を実行しない場合、再起動後にプログラムを実行できなくなります。 これを修正するには、管理者権限を持つ別のユーザーとしてログインし、レジストリエディターを開き、HKEY_USERS
ブランチを見つけ、それを選択し、(ファイル)メニュー->(ロードブッシュ...)を選択し、ファイルを開くダイアログでユーザーディレクトリにあるNTUSER.DAT
ファイルを見つけます、この横棒が作成された名前の下にある[開く]ボタンをクリックします。 次に、RestrictRun
パラメーターを見つけて削除するか、0
に設定してから再起動します。
おかげでxn__p2a
将来、プログラムを
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun
にステップ2と同様に追加できます。この場合、再起動は不要になり、変更はすぐに有効になります。
毎回レジストリエディターに入らないようにするために、プログラムのリストを入力し、必要に応じて修正し、編集後に起動するreg-fileを作成しました。
以下は、このファイルの一部です。
また、ファイル全体はこちらからダウンロードできます 。 ただし、私のオプションがあなたに合う可能性は低いことに留意してください。 私のファイルはコンピューターごとに異なりましたが、通常は最初の24個のプログラムが常にそこにありました。Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"0"="regedit.exe"
"1"="notepad.exe"
"2"="wupdmgr.exe"
"3"="cleanmgr.exe"
"4"="wordpad.exe"
"5"="calc.exe"
"6"="mstsc.exe"
"7"="taskmgr.exe"
"8"="7zFM.exe"
"9"="7zG.exe"
"10"="7z.exe"
"11"="firefox.exe"
"12"="java.exe"
"13"="FlashUtil10d.exe"
"14"="NPSWF32_FlashUtil.exe"
"15"="thunderbird.exe"
"16"="soffice.exe"
"17"="soffice.bin"
"18"="python.exe"
"19"="sbase.exe"
"20"="scalc.exe"
"21"="sdraw.exe"
"22"="simpress.exe"
"23"="smath.exe"
"24"="swriter.exe"
短所
- この方法では 、ディスク上にファイルを作成しないウイルス(ms-blastなど)、および動的ライブラリ2の 「起動」(conficerなど)による侵入からコンピュータを保護しません 。
- 実装の複雑さ。 3つのプログラムを調査し、起動時とプロセスで実行されるファイルを見つけて、「ホワイトリスト」にも含まれるようにします。
- 変更することの不便。
HKEY_CURRENT_USER
ブランチで変更が行われているにもかかわらず、ユーザーはRestrictRun
キーに書き込むことができません。 したがって、ユーザーのアカウントからログアウトし、管理者としてログインし、ユーザーに管理者権限を与え、ユーザーとしてログインし、レジストリに変更を加え、再度ログアウトし、管理者として再度ログインし、ユーザーから管理者権限を削除する必要があります%)または管理パネルからHKEY_USERS
ブランチを介して、上記のように。 - フルパスを指定することはできません。 ウイルスファイルに「ホワイトリスト」のプログラムと同じ名前が付けられている場合、そのウイルス(ウイルス)が起動されます。 また、ユーザー自身がファイルの名前を許可された名前に変更し、この方法で(ほぼ)任意のプログラムを実行できます。
練習する
この「トリック」ウイルスを使用して2年間は気づかれませんでした。 すべてのコンピューターには、夜にディスクをスキャンするClamWinがありました。 また、月に一度、ウイルス対策ソフトウェアを使用してシステムをオフラインでチェックしました。 唯一の問題はユーザーの不満であり、これは当局に「何、なぜ、どのように」説明することですぐに抑えられました。
ブラックリスト
最初に「ブラックリスト」についてほのめかしたので、彼について少しお話しします。 複数のプログラムの起動を禁止する必要がある場合に役立ちます。 「ホワイトリスト」と同じ方法で、2つのステップで作成されます。
- レジストリブランチ
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer
で、値が1
のタイプDWORD(REG_DWORD)のDisallowRun
パラメーターを作成する必要があります。 -
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
ブランチで、DisallowRun
キーを作成し、その中に、たとえば電卓が起動しないようにするための値を持つSTRING(REG_SZ)型のパラメーター0
1calc.exe
。
1パラメータ名は数字で構成する必要があります。 カウントダウンはゼロから始まります。 番号は順番になっている必要があります。
2 Windowsは、CreateProcessの「ラッパー」である
ShellExecute
および
ShellExecuteEx
関数が
RestrictRun
キーをチェックするため、progの起動を制御します。 したがって、提案された方法は、ユーザー自身によるプログラムの不正な起動、およびShellExecute(そのほとんど)を通じて何かを実行しようとするウイルスからのみ保護します。 ShellExecuteとRestrictRunの詳細については、 こちらをご覧ください (LockWinについてはここで説明していますが、
RestrictRun
のメカニズムについては詳しく説明しています)。
shiko_1stに感謝します 。
3研究のために、 Mark RussinovichのプログラムProcess ExplorerとProcess Monitorを使用しました。
UPD1: Program Filesからのみプログラムの起動を制限するには、MicrosoftのSteadyStateユーティリティを使用できます。 ありがとうkondorkm
UPD2:ホームWindowsのアクセス権を管理するために、コンソールユーティリティcacls.exeが含まれています。
xcacls.vbs-MSサイトからダウンロード
xcacls.exe-Windowsサポートツールパッケージの一部
subinacl.exe-Windowsリソースキットツールに付属
おかげでxn__p2a
All Articles