Все больше и больше производителей ПО стремятся выпускать продукты в области безопасности. Не обошла этот сегмент рынка и корпорация Microsoft, предложившая недавно сразу два примечательных решения — Windows One Care Live и Windows Defender.
Продукт Windows One Care Live основан на антишпионском и антивирусном ПО, которое в конце 2004 г. фирма Microsoft приобрела вместе с Giant Company Software и GECAD Group. На сайте http://www.windowsonecare.com выложена его 90-дневная («триал») версия. Но не спешите радоваться. Установка продукта производится непосредственно из Интернета, т.е. переписать инсталляционный пакет, а затем распорядиться им по своему усмотрению не удастся. Процесс инсталляции при скорости соединения 56 кбит занимает около 1,5—2 ч. Причем задать региональные настройки, отличающиеся от принятых в США, мне не удалось.
В состав продукта входят модули:
- антивирусный;
- антишпионский Windows Defender (может устанавливаться как вместе с Windows One Care Live, так и отдельно);
- модуль настройки производительности Performance Plus;
- Backup and Restore.
При отказе от Windows Defender при первом запуске Windows One Care Live вам будет предложено добавить его позднее.
Установка программного комплекса начинается с проверки настроек вашей системы (рис. 1).
Рис. 1. Проверка системы |
Для этого вам понадобится ActiveX-элемент System check for Windows One Care Live, затем появится предложение начать процесс проверки Если по каким-либо причинам вы не захотите связываться с ActiveX, установка будет прервана. После проверки системы, проходящей довольно быстро, появится окно с лицензионным соглашением Windows One Care Live, а затем вы увидите лицензионное соглашение для Windows Defender. И вот тут-то вас ожидает небольшой сюрприз. Несмотря на то что в состав комплекса Windows One Care Live входит релиз Windows Defender, в тексте соглашения указано, что вы устанавливаете бета-версию. Думаю, этот ляп объясняется тем, что умельцы из Редмонда просто еще не успели поменять картинку, ведь релиз Windows Defender вышел совсем недавно (рис. 2).
Рис. 2. Лицензионное соглашение Windows Defender |
И вот только теперь начинается собственно процесс установки Windows One Care Live (рис. 3).
Рис. 3. Процесс пошел |
Но рано или поздно все преамбулы заканчиваются (рис. 4) и наступает момент истины.
Рис. 4. Процесс завершен |
Процесс настройки комплекса продуман настолько, что не вызовет никаких сложностей даже у начинающего пользователя (разумеется, настолько, насколько это принято в приложениях Microsoft). Собственно, в антивирусе вам практически нечего настраивать (рис. 5).
Рис. 5. Главное окно программы Windows One Care Live |
Как видите, оба модуля — антивирусный и антишпионский — объединены в одном пункте меню Protection Plus. Здесь же находится кнопка для загрузки сигнатур вредоносного ПО. Делается это с сайта Windows Update. Основной недостаток заключается в том, что сигнатуры вирусов и шпионских модулей обновляются дважды в неделю, по вторникам и четвергам (видимо, в Редмонде именно эти дни недели считаются критическими), чего с учетом нынешней обстановки на фронте явно недостаточно, ведь вирусы и шпионы размножаются как кролики. Все приличные разработчики антивирусного ПО за этим жестко следят, и сигнатуры основных таких программ обновляются, как минимум, ежедневно, а у некоторых производителей, например у «Лаборатории Касперского», даже ежечасно.
При запуске антивирусного сканера вы можете выбрать то, что хотите проверить из папок или устройств, просмотреть список файлов, находящихся в карантине, а также настроить список исключений — файлов (папок), не подлежащих проверке.
Windows One Care Live полностью проинспектирует ваш компьютер. Программа не только поищет вирусы, но и проверит, не пора ли произвести дефрагментацию, создать резервную копию и загрузить обновления операционной системы, а также удалит неиспользуемые файлы (рис. 6).
Рис. 6. Проверка ПК |
Пакет Windows Defender, основанный на технологиях компании Giant, позволяет проверить уже установленное ПО на наличие потенциально опасных компонентов, а также защитить компьютер от попадания новых потенциально вредоносных программ.
Он может входить в Windows One Care Live или являться самостоятельным продуктом.
С точки зрения функциональности Windows Defender выполнен достаточно добротно. Утилиты умеют работать с модулями ActiveX, отображать таблицу запущенных процессов, управлять программами, запускаемыми на старте ОС, а также многое другое.
Интерфейс продукта интуитивно понятен. Каждому компоненту и каждой записи в Реестре соответствует отметка о степени безопасности (Safe, Unknown, Hazardous или — в некоторых случаях — Broken). Таким образом, для использования продукта вовсе не обязательно обладать профессиональными знаниями.
Отмечу, что данное ПО позволяет устанавливать агенты постоянного наблюдения за системой, которые защитят ПК от появления новых потенциально опасных программ и проследят за приложениями, имеющими доступ к статистике сетевых соединений, к настройкам системы и браузера, а также к Интернету.
Прежде чем начать освоение сферы разработки продуктов, предназначенных для защиты от шпионских программ, компания Giant создала весьма успешную технологию борьбы со спамом под названием Spam Inspector. Когда в 2003 г. угроза несанкционированного доступа к информации стала очевидной, то разработчики Giant переключились на эту проблему. Выяснилось, что, хотя программы-шпионы и обладают некоторыми характеристиками, схожими с имеющимися у спама, сражение с этой напастью должно вестись скорее в режиме упреждения и не следует полагаться на базу данных описаний, лежащую в основе продуктов, предназначенных для борьбы со спамом. Шпионские программы, атакующие браузер или всю систему и донимающие пользователя рекламой, незаметно изменяют системные настройки и получают доступ к конфиденциальной информации. Они относятся к самым неприятным видам электронных атак (отчасти из-за плохой защиты браузера Microsoft Internet Explorer).
Специалисты компании Giant создали приложения, борющиеся с программами-шпионами на нескольких уровнях. Во-первых, подобно другим продуктам такой направленности, данная технология включает сканер с ручным запуском, выявляющий и удаляющий шпионские программы, проникшие в систему. Во-вторых, в ней реализован монитор, в режиме реального времени предотвращающий установку разрушительных модулей в систему. В случае обнаружения изменений в Реестре при загрузке или в других параметрах конфигурации этот инструмент предупреждает пользователя и позволяет подтвердить или блокировать выявленное изменение, так как оно может сигнализировать об электронной атаке. И наконец, что важнее всего, продукт Giant (теперь продукт Microsoft) в деле выявления шпионских программ полагается на опыт, накопленный интернет-сообществом. Когда пользователь разрешает или закрывает доступ к конкретным приложениям, то происходит обновление базы данных, размещенной в глобальной Сети (Spynet.com) и содержащей информацию, получаемую от людей, сообщивших сведения об опасных программах. Это помогает более эффективно распознавать атаки шпионского характера.
Итак, Windows Defender доступен в виде открытой версии. Он выполняет сканирование и удаление шпионских программ. Реализовано несколько вариантов проверки, проводимой либо в углубленном режиме (все файлы и каталоги), либо в более распространенном интеллектуальном (только общие точки входа шпионских программ). Кроме того, непрерывно отслеживаются изменения конфигурации системы, способные сигнализировать об электронной атаке.
В настоящий момент поддерживаются три функции: System Explorers, позволяющая просматривать и изменять системные параметры, настройка которых в других обстоятельствах зачастую трудна или невозможна; Browser Hijack Restore, возвращающая в исходное состояние настройки браузера, подвергшегося электронной атаке; Tracks Eraser, обеспечивающая защиту конфиденциальности путем удаления следов деятельности пользователя в приложениях и системных службах, таких как Adobe Acrobat Reader, Microsoft Windows Common Dialog и Google Toolbar.
Рис. 7. Установка Windows Defender |
Для установки Windows Defender (рис. 7) вы должны иметь права администратора и ваш компьютер должен удовлетворять определенным требованиям (см. врезку).
Переписать Windows Defender можно с сайта: http://www.microsoft.com/athome/security/spyware/software/default.mspx.
Необходимое условие для загрузки продукта — проверка лицензионности вашей ОС. В ходе установки нужно выбрать один из трех вариантов (рис. 8):
- "Использовать рекомендованные установки";
- "Устанавливать только обновления";
- "Решить эти вопросы позднее".
Рис. 8. Выбор вариантов установки |
По завершении установки мы попадаем в главное меню Windows Defender (рис. 9).
Рис. 9. Главное меню |
После установки следует произвести настройку программного обеспечения, открыв вкладку Options (рис. 10).
Рис. 10. Вкладка меню Options |
Данное меню поможет настроить сканирование системы по времени, проверку обновлений до сканирования, а также рекомендуемые типы реакции Windows Defender в зависимости от степени угрозы (High, Medium, Low). Кроме того, допускается задавать возможность работы монитора (проверки в реальном времени) тогда, когда spyware или другое нежелательное ПО пытается изменить важные параметры настройки Windows. Компания Microsoft рекомендует использовать все варианты защиты в реальном времени. В табл. 1 описаны все применяемые агенты, а приведенное в табл. 2 описание уровней опасности Windows Defender поможет выбрать адекватное противодействие в ответ на действия подозрительного ПО.
Что такое Software Explorer?
Утилита Software Explorer предназначена для просмотра детальной информации о программном обеспечении, запущенном в текущий момент времени, с точки зрения безопасности вашего ПК. Вы можете, например, увидеть, какие программы автоматически запускаются на вашем ПК при старте Windows, изучить перечень активных служб и т.д. (рис. 11).
Рис. 11. Рабочее окно Software Explorer |
Software Explorer поможет вести мониторинг следующих разделов:
- программ, запускаемых при старте Windows, об активности которых вы знаете или не знаете;
- программ, запущенных в данный момент, включая те, что работают на переднем плане и в фоновом режиме;
- программ, работающих с сетевыми соединениями, в том числе с Интернетом;
- системных служб Winsock, являющихся приложениями, исполняющими работу с протоколами нижнего уровня, причем эти программы часто имеют доступ к важным областям ОС.
Внимание! Если вы работаете под управлением Windows 2000 Service Pack 4, то не сможете использовать Software Explorer для мониторинга сетевых соединений программ.
Для соединения с Microsoft SpyNet community и загрузки обновлений ваш компьютер должен быть соединен с Интернетом. А если вы используете брандмауэр, то должны разрешить TCP применять порт 80.
* * *
В целом программное обеспечение Windows One Care Live производит положительное впечатление, хотя некоторые огрехи, в первую очередь неэффективный цикл обновления программы, она унаследовала от компании Giant.
Таким образом, если Microsoft хочет предоставлять действительно эффективную защиту от riskware, ей придется обновлять Windows One Care Live не дважды в неделю, а хотя бы ежедневно.
Об авторе
Владимир Федорович Безмалый — руководитель программы подготовки администраторов информационной безопасности Академии БМС Консалтинг (http://www.itacademy.com.ua). В настоящий момент первый и единственный MVP in Windows Security на Украине, e-mail: Vladimir_Bezmaly@ec.bms-consulting.com.
Windows One Care Live
Пакет утилит для проверки установленного ПО на наличие потенциально опасных компонентов и для защиты ПК от попадания новых riskware-программ.
Оценка: 4 из 5
Системные требования: Pentium-233 или выше, рекомендуется Pentium III; минимум 64-Mбайт ОЗУ, рекомендуется 128 Mбайт; 20 Mбайт дискового пространства.
Операционная система: Microsoft Windows 2000 SP4, Windows XP SP2 или Windows Server 2003 SP1.
Внимание! Продукт не работает под управлением Windows Me/98/NT.
Браузер: Internet Explorer 6.0 или выше.
Цена: 37 долл.
Разработчик: Microsoft, http://www.windowsonecare.com
Windows Defender
Пакет может входить в Windows One Care Live или являться самостоятельным продуктом.
Оценка:
Системные требования: Pentium-233 или выше, рекомендуется Pentium III; минимум 64-Mбайт ОЗУ, рекомендуется 128-Mбайт; 20 Mбайт дискового пространства.
Операционная система: Microsoft Windows 2000 SP4, Windows XP SP2 или Windows Server 2003 SP1.
Внимание! Windows Defender не работает под управлением Windows Me/98/NT.
Браузер: Internet Explorer 6.0 или выше.
Цена: на момент подготовки статьи бесплатно.
Разработчик: Microsoft, http://www.windowsonecare.com
Таблица 1. Агенты Windows Defender
Real-time protection agent | Описание |
Auto Start | Проверка списка программ, автоматически загружающихся при включении компьютера. Spyware и другое потенциально опасное ПО может быть запущено автоматически при старте Windows без вашего ведома |
System Configuration (settings) | Проверка установок безопасности в Windows. Spyware и другое потенциально опасное ПО может изменить программные установки безопасности и собирать информацию, чтобы затем использовать ее для снижения безопасности вашего ПК (пароли и т.д.) |
Internet Explorer Add-ons | Проверка программ, автоматически запускаемых вместе с Internet Explorer. Spyware и другое потенциально опасное ПО может маскироваться под дополнительные модули IE и запускаться без вашего ведома |
Internet Explorer Configurations (settings) | Проверка установок безопасности Internet Explorer, которые фактически являются первой линией обороны против нежелательного ПО. Spyware и другое потенциально опасное ПО может изменить эти настройки без вашего ведома |
Internet Explorer Downloads | Проверка программ, созданных для работы с Internet Explorer (например, управляющие элементы ActiveX и установка другого ПО). Эти файлы могут быть загружены или выполнены браузером. Spyware и другое потенциально опасное ПО может включать в себя такие файлы и устанавливать их без вашего ведома |
Services and Drivers | Проверка служб и драйверов во время их взаимодействия с Windows и установленными программами. Spyware и другое потенциально опасное ПО может действовать под видом данных программ и мешать нормальной работе вашей ОС |
Application Execution | Проверка исполняемых программ. Spyware и другое потенциально опасное программное обеспечение может использовать уязвимости в ПО и работать в фоновом режиме без вашего ведома. Например, spyware может быть запущено одновременно с той программой, которой вы безусловно доверяете |
Application Registration | Проверка инструментов и файлов в вашей ОС тогда, когда программа регистрируется для старта в любое время, не только когда вы загружаете Windows или какую-либо программу. Spyware и другое потенциально опасное ПО может запускаться в определенное время, не ставя вас об этом в известность (например, каждый день в 15.00) |
Windows Add-ons | Проверка дополнительных программ для Windows. Данные программы могут помогать вам в решении некоторых дополнительных задач, однако при этом собирать информацию о вас или ваших привычках |
Таблица 2. Уровни опасности Windows Defender
Уровни оповещения | Что это означает? | Что делать? |
High | Программа тайно собирает ваши персональные сведения | Немедленно удалить данное ПО |
Medium | Программа собирает ваши персональные сведения, однако вы доверяете ее издателю | Проверьте, на самом ли деле данное ПО выполняет негативные функции. Если вы доверяете авторам, выберите сами, блокировать или удалить программу |
Low | Потенциально нежелательное ПО, собирающее информацию о вас, однако имеющее лицензионное соглашение | Это ПО не устанавливается без вашего ведома. Если вы не уверены в нем, просмотрите детальнее сообщение Windows Defender и примите решение либо о дальнейшей эксплуатации данного ПО, либо о его удалении |
Not yet classified | Программы, устанавливаемые на ваш компьютер без вашего ведома | Если вы доверяете данному ПО, то разрешите ему работать, если нет - просмотрите детальнее сообщение Windows Defender и примите решение о дальнейшей эксплуатации данного ПО или о его удалении |