友人から「どのウイルス対策が優れているのか」と尋ねられるたびに、「ウイルス対策は裁判所のシャーマンのようなものです。 良くも悪くもありますが、誰がより良いかを判断することはできません。」 アンチウイルスは、ウイルスに対する保護を保証するものではありません;さらに、新しい感染をスキップして「インシデント」の2〜3日後に検出を開始するすべての道徳的権利があります。 つまり 保護の主な手段として、それはあまり適していません。
以下は、アンチウイルスを使用せずに実際の(つまり、自然に発生する)ウイルスから保護するWindows設定について説明しています。 この構成は、3年半の間ターミナルサーバーで機能しており、ユーザー(最高で70人まで)がフラッシュドライブの嫌がらせをドラッグしたり、ネットワークをどこにでも登ったりすることに恥ずかしさを感じることはありません。
理論
一度ウイルスが起動されると、それ自体を尊重するウイルスは、システムに足がかりを得ようとします。 実行時に何らかの方法で書き込まれる実行可能ファイルまたはライブラリを作成します。 他の実行可能ファイル(デバッガー、ハンドラー、プラグインなど)への「自動」起動または「追加」の形式は重要ではありません。 重要:コード実行と呼ばれる障壁があります。 実行可能ファイルに自分自身を追加する古き良きウイルスでも、実行する予定のファイルに書き込むことができるはずです。
もちろん、ファイルを作成せずに増殖するウイルスもあります(ms-blastなど)。 ただし、このウイルスの出現条件は、ウイルスキャリアにアクセスするためのサーバーの可用性、またはブラウザ\ネットワークコンポーネントのエクスプロイトを介したコードの起動です。 ブラウザに穴がある場合、他のマシンのブラウザにアクセスする必要があり、これには他のユーザーが移動するサーバーと、この特定のノードに移動するユーザーのモチベーションが必要になるため、それ以上の伝播はできません。 ネットワークコンポーネントに穴があり、ディスクに保存せずに伝播する場合、高い確率で説明した手法は機能せず、流行が起こります。 しかし、アンチウイルスがそのような0dayエクスプロイトをキャッチするかどうかはわかりませんが、それら(ホール)は非常に活発に修正されるので、このシナリオは考えられないように延期します。 ファイアウォールの存在は、危険をさらに軽減します。 更新のタイムリーな(自動化された)インストールは、0日以外から完全に救います。
そのため、主な国内の危険は、「ファイルから」実行されるウイルスに代表されます(コンピューターの再起動後も存続するという理由だけで)。 「間違った」ファイルの起動をなんらかの方法で禁止すると、問題は解決されます(ファイルに保存されていないウイルスは再起動後も存続できず、ユーザー権限で起動した場合は、通常の再ログインでも)。
Windowsにはテクノロジーがあります-アプリケーションの起動を制限するポリシーです。 「許可されていないものをすべて禁止する」モードで有効にできます。 禁止が完了している場合-管理者を含むすべてのユーザー、ライブラリを含むすべてのファイルについて、無関係な(許可リストに含まれていない)ファイルが起動されないことを正確に保証します。 少なくとも、私はこの技術に穴があることをまだ聞いていません。 rundll32をだましてライブラリを起動すると、悪名高いconfikerがフラッシュドライブから起動されるため、ライブラリも禁止する必要があることに注意してください。
ただし、「ストレンジャー」の立ち上げを禁止するルールを策定しないと、禁止と許可は意味をなしません。
セキュリティモデル
構成を詳細に説明する前に、その構成の理論上の原理を定式化します。
1.ユーザーが書き込みできる場所は、実行のために閉じられています。
2.ユーザーが開始できるものは、記録のために閉じられます。
これらの2つの単純なルールにより、ユーザーによるウイルスの起動からシステムを保護できます-ユーザーが書き込みできない場所でウイルスを形成することはできず、ウイルスが書き込み可能な場所では目的の効果が得られません-そこからの起動は禁止されます。 同時に、(ターミナルサーバー上で)未知のリソースの大食いで無関係なアプリケーションを実行することから保護します。
問題
しかし、この虹のシンプルさの背後には、大量の落とし穴があります。
ストーンナンバーワン:ワイルドソフトウェア。 ユーザープロファイルに実行可能ファイルを保存するソフトウェア、「ディレクトリに」書き込みたいソフトウェア。 提案モデルでは、ルールが厳密に適用されます。ディレクトリ内のソフトウェア(実行可能ファイル)、ユーザーデータと独自の設定、およびこれらのディレクトリは交差しません。 (実際には、これは/ usr / binと〜を使用した従来のUnix veiを再現したもので、+ xの禁止とともにマウントされています)。 サーバーはタスク用に構成されている(サーバーのタスクを選択しない)ため、このようなプログラムが存在すると、説明されたシステムを実装できないことが自動的に示される場合があります。 ワイルドなソフトウェアがたくさんありますが、時々驚きます(たとえば、Adobe IllustratorはWindowsディレクトリにたくさん書きたいと思っています)。
ストーンナンバー2:スクリプト言語。 これは、悪意のあるユーザーから私たちを保護するものではありませんが、スクリプト拡張機能の起動の禁止は、ウイルスから完全に保護します。 (ロジックは次のとおりです:ウイルスが許可されたインタープリターを実行してスクリプトを開始した場合でも、ショートカットを含む実行可能なファイルを読み込んで作成した後にスクリプトを使用してインタープリターを実行する必要があるため、再起動後も生き残れません)
ストーンナンバー3:ショートカットはユーザーには機能しません。 これは、すべてのユーザーに必要なショートカットを配置することで部分的に解決できますが、ユーザーはショートカットの作成が禁止されている場合、それを本当に嫌います。 これは、ユーザーが書き込み権限を持っていない(つまり、ユーザーの要求に応じて更新される)個人用クイック起動パネルを作成することで部分的に解決されます。
ストーンナンバー4:多くのアップデートはインストールされません(起動が禁止されているため)。 この問題を解決するには、グループポリシーを解除し、更新プログラムを適用してスピンバックする必要があります。
ストーンナンバー5:IIS / Exchangeのようなネットワークコンポーネント。 彼らはまだどこでも書く習慣を破ることはできません(IISの場合はどこからでもコードを実行します)が、ターミナルサーバーでExchangeを行わないことを望みます。
言い換えれば、少量の血液では保護されません。
設定
禁止は、サーバーのグループポリシー(通常、ループバック処理でポリシーを使用してすべてのターミナルサーバーに割り当てる)、またはローカルポリシー(gpedit.msc)に登録できます。
ポリシーへのパスは、コンピューターの構成、Windowsの設定、セキュリティ設定、ソフトウェア制限ポリシーです。 最初に使用するときは、それらを作成する必要があります-ソフトウェア制限ポリシー、「新しいソフトウェアポリシー」を右クリックします。
最初に、許可されるパス(追加ルール)が構成されます。
c:\ windows、c:\ windows \ system32 c:\ program filesにあるすべてのものの実行が許可されます。 c:\ドキュメントと設定\すべてのユーザー\デスクトップ、c:\ドキュメントと設定\ [スタート]メニュー。 他のすべては禁止されています。 特に、ディスクのルートからの起動を絶対に禁止する必要があります。 ユーザーはデフォルトでディスクのルートに書き込むことができます(はい、これは古い愚かなソフトウェアとの互換性のためのMicrosoftの貪食です)。 c:\ documens and settings \ All users \ *(wholesale_もするべきではありません-すべてのユーザーに書き込むために開いている一般的なドキュメントのディレクトリがあります。
上記以外はすべて禁止されています。 より正確には、作業中に個別のディレクトリ(ネットワークボールなど)を許可したい場合がありますが、説明されているルールを厳守する必要があります。実行できます-書くことはできません。 あなたが書くことができます-あなたは実行できません。
禁止は2段階に分けられます-最初はセキュリティレベル(禁止)、次に施行のソフトウェア制限ポリシーのルート-「すべてのソフトウェアファイル」と「すべてのユーザー」です。
ドメイングループポリシーを使用すると、政治に混乱して何も(gpeditでも)起動できない場合、サードパーティのサーバーから修正できるため、良い方法です。
実用的な操作
この構成は何年も何の変更もなく使用されており、この間、ターミナルサーバーに感染したケースは1つもありませんでした(IE6 / 7で最大70人、フラッシュドライブを何回も使用した場合)。 。 ログには、特定のファイル(ほとんどの場合、一時的なインターネットファイルから)の開始の禁止に関するメッセージが定期的に表示されます。 この間に、設定と互換性のない多くのソフトウェアが見つかりました-Autodeskビュー(DWGビューアー、何らかの方法で動作しますが、matugs)からThunderbird(ユーザーのプロファイルにプラグインを保存しようとします)まで。
自動モードでのこの構成の操作は失敗する可能性があります(機能せず、機能しません)が、少し注意を払えば、ウイルス対策の問題を忘れることができます(ターミナルサーバーの条件では、サーバーの負荷のためにハードウェアを大幅に節約できます)大幅に削減)。
さらに、管理者の下の1台のコンピューターでさえ、このモード(使用するソフトウェアの詳細)で動作します-この間、単一の成功した感染はありませんでした(理論的にはそのような条件下では可能です)。
Windows 2008/7 / Vista
ここではあまり自信を持って話すことはできませんが、少し見ただけで、ディレクトリ名が変更されました(特に、アプリケーションとすべてのユーザー)。ポリシーの大幅な処理が必要です(上記の半分のウィンドウ7から)ユーザーがプログラムを実行することを許可されなかった方法)。