Размещено на http://www.allbest.ru/

Лабораторная работа



Цель работы: ознакомление со структурой введения пароля на word, excel, access - документы и системного пароля.

Задачи работы:

Рассмотреть структуру введения пароля

Установить пароль

Теоретическое введение

Пароли применяются для контроля доступа к практически всем видам информации: сетевые ресурсы, интерактивные учетные записи, данные, на которые оформлена подписка, web-сайты. Причем этот перечень может быть еще продолжен. Применение паролей необходимо, ведь каждый из потенциальных пользователей компьютера может представлять угрозу безопасности. Члены вашей семьи, например, могут случайно удалить важные файлы или изменить настройки системы. В мире бизнеса несанкционированный доступ чреват большими неприятностями. Поэтому применение сложных паролей в этом случае жизненно необходимо.

Установление пароля на word-документы

На панели управления заходим в пункт меню «Сервис» > Появиться окошко. Выбираем пункт «Параметры» > Появиться окошко Выбираем пункт «Безопасность» > Устанавливаем пароль для открытия файла и разрешения записи. антивирусный пароль windows

Установление пароля на access -документы

На панели управления заходим в пункт меню «Сервис» > Появиться окошко, представленное на рис.3. Выбираем пункт «Защита» > Появиться окошко, представленное на рис.4. Выбираем пункт «Задать пароль базы данных» > Появиться окошко, > Задаем пароль.

Установление пароля на excel -документы

На панели управления заходим в пункт меню «Сервис» > Появиться окошко. Выбираем пункт «Параметры» > Появиться окошко «Безопасность» > устанавливаем пароль для открытия файла и разрешения записи.

Установление системного пароля

Установление системного пароля можно осуществить:

через ОС

через Bios

Заходим в «Пуск» > Появиться окошко, представленное на рис.8. Выбираем пункт «Настройки» > Появиться окошко, представленное на рис.9. Выбираем пункт «Панель управления» > «Учетные записи пользователей» > «Изменение учетной записи» > «Изменение пароля/ создание пароля».

Теперь при входе в систему пользователю необходимо будет ввести пароль.

2. Заходим в Bios > «Set user password» > вводим пароль.

Вывод: мы ознакомились со структурой введения пароля на word, excel, access - документы и системного пароля.

Знакомство с журналами просмотра событи ОС Windows 2000/Xp

Теоретическое введение

Цель работы: Знакомство с назначением, принципами работы журналов просмотра событий ОС Windows 2000/XP, а также приобретение необходимых навыков для решения проблем безопасности в ОС семейства Windows.

Задачи работы:

o ознакомится с назначением журналов просмотра событий;

o ознакомится с графическим интерфейсом;

o ознакомится с основными типами журналов;

o ознакомится с основными видами событий.

В журналах событий средства просмотра событий отображаются сведения о неполадках оборудования, приложений и системы. Можно также просматривать события безопасности Windows 2000/XP.

Если компьютер работает под управлением любой из версий Windows 2000/XP, запись событий выполняется с помощью трех типов журнала.

Журнал приложений

В журнале приложений содержатся данные, относящиеся к работе приложений и программ. Записи этого журнала создаются самими приложениями. События, вносимые в журнал приложений, определяются разработчиками соответствующих приложений.

Журнал безопасности

Журнал безопасности содержит записи о таких событиях, как успешные и безуспешные попытки доступа в систему, а также о событиях, относящихся к использованию ресурсов, например о создании, открытии и удалении файлов и других объектов. Решение о событиях, сведения о которых заносятся в журнал безопасности, принимает администратор. Например, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности.

По умолчанию сведения в журнал безопасности не заносятся. Для включения записи событий в журнал безопасности можно воспользоваться компонентом «Групповая политика». Для того чтобы включить журнал безопасности

1. Нажмите кнопку Пуск, выберите команду Выполнить, введите mmc /a и нажмите кнопку OK.

2. В меню Файл выберите команду Добавить/удалить оснастку и нажмите кнопку Добавить.

3. В поле Оснастка, выберите Групповая политика, затем нажмите кнопку Добавить.

Журнал системы

В журнале системы содержатся события системных компонентов Windows XP. Например, в журнале системы регистрируются сбои при загрузке драйвера или других системных компонентов при запуске системы. Типы событий, заносимых в журнал системными компонентами, предварительно определены в Windows XP.

В окне «Просмотр событий» отображаются события нескольких типов.

Ошибка

Серьезные трудности, такие как потеря данных или функциональности. Например, если происходит сбой загрузки службы при запуске, в журнал заносится сообщение об ошибке.

Предупреждение

События, которые в момент записи в журнал не были существенными, но могут привести к сложностям в будущем. Например, если на диске осталось мало свободного места, в журнал заносится предупреждение.

Уведомление

Событие, описывающее удачное завершение действия приложением, драйвером или службой. Например, после успешной загрузки драйвера в журнал заносится событие уведомления.

Аудит успехов

Событие, соответствующее успешно завершенному действию, связанному с поддержкой безопасности системы. Например, в случае успешного входа пользователя в систему, в журнал заносится событие с типом «Аудит успехов».

Аудит отказов

Событие, соответствующее неудачно завершенному действию, связанному с поддержкой безопасности системы. Например, в случае неудачной попытки доступа пользователя к сетевому диску в журнал заносятся событие типа «Аудит отказов».

Служба журнала событий запускается автоматически при запуске Windows. Все пользователи могут просматривать журналы приложений и системы. Журналы безопасности доступны только системному администратору. Администратор может настроить параметры реестра для политики аудита так, что работа системы будет прекращаться в случае невозможности дальнейшей записи сведений в журнал безопасности.

Вывод: мы ознакомились с журналами просмотра событий ОС Windows 2000/Xp.

Ознакомление со структурой назначения привилегий в Windows .

Цель работы: ознакомление со структурой назначения привилегий.

Задачи работы:

Рассмотреть наиболее часто используемые привилегии;

Рассмотреть структуру назначения привилегий ;

Теоретическое введение

Любой процесс в системе исполняется в контексте какого-либо пользователя или системы. Этот контекст также называют контекстом защиты (security context). В нем хранится вся необходимая информация для реализации контроля доступа к защищаемым объектам системы (securable objects). Все именованные объекты системы и некоторые неименованные (процессы, потоки) являются защищаемыми и имеют дескриптор безопасности (security descriptor). Дескриптор безопасности содержит информацию безопасности (security information) для данного объекта, что позволяет обеспечивать универсальный контроль доступа для любых типов объектов, в том числе и определенных пользователем.

Для реализации контроля доступа необходимо наличие информации о контексте защиты, в котором выполняется код, и дескриптора безопасности объекта, к которому этот код получает доступ. Дескриптор безопасности - довольно сложная тема, требующая отдельной статьи. Далее рассматривается контекст защиты и маркер доступа.

Каждый процесс в системе исполняется в определенном контексте защиты, который определяет маркер доступа. Маркер доступа содержит большое количество информации, которая требуется подсистеме безопасности для реализации контроля доступа к защищаемым объектам и ресурсам системы, а также для выполнения некоторых привилегированных операций.

Маркер доступа может быть связан не только с процессом, но и с отдельным потоком процесса. Способность потока исполнять код с другим контекстом защиты называется перевоплощением (impersonation). При этом маркер процесса называется первичным маркером (primary access token).

Право создавать маркер доступа имеет только локальный администратор безопасности.

Однако пользовательским процессам разрешено создавать ограниченные маркеры. Маркер такого типа создается из существующего путем удаления привилегий, добавления ограничительных Security ID (SID) и отключения SID доверенных объектов.

Учетные записи пользователей и групп являются доверенными объектами системы. Доверенные объекты - это сущности, которым может быть предоставлен или отклонен доступ к защищаемым объектам или ресурсам системы.

Привилегии - это права доверенного объекта на совершение каких-либо действий по отношению ко всей системе. Под системой понимается компьютер, на котором пользователь зарегистрировался (logon). Следовательно, привилегии пользователя на одном компьютере не распространяются на другой. При каждом интерактивном или не интерактивном входе в систему формируется новый маркер доступа, и он может содержать другой набор привилегий.

При выполнении каких-либо привилегированных операций система проверяет, обладает ли пользователь соответствующей привилегией. О привилегированных операциях речь пойдет ниже, а сейчас важно отметить, что даже наличие определенной привилегии в маркере доступа не означает успешного результата проверки. Дело в том, что привилегия может находиться либо во включенном состоянии, либо в выключенном. Некоторые системные функции сами включают привилегии, если они выключены, некоторые - нет. Их непосредственное включение рассматривается в разделе «Состояние привилегии». Привилегия может быть назначена любому доверенному объекту.

Выполнение работы

В даннои работе приводится список наиболее часто используемых привилегий. Каждая привилегия имеет имя, но в системе идентифицируется по LUID - locally unique identifier. Это уникальный 64-битный идентификатор, который, как правило, представляется в структуры из двух чисел типа long. Для преобразования из имени в LUID и обратно используются специальные функции, рассмотренные в разделе «Преобразование имен».

Кроме того, в файле winnt.h определены специальные константы для каждого имени привилегии. Как правило, в документации используются именно они. Ниже приведена таблица, где перечисляются все рассматриваемые в данной статье привилегии с именами и коротким описанием.

Константа	Имя привилегии	Описание	Дружественное имя	По умолчанию имеют
SE_TCB_NAME	SeTcbPrivilege	Объект является частью доверенной вычислительной системы.	Act as part of the operating system	LocalSystem
SE_BACKUP_NAME	SeBackupPrivilege	Привилегия необходима для выполнения операций архивирования	Back up files and directories	LocalSystem, Backup Operators, Administrators
SE_TAKE_OWNERSHIP_NAME	SeTakeOwnershipPrivilege	Позволяет доверенному объекту стать владельцем защищенного объекта без явных прав в списке разграничительного доступа (DACL)	Take ownership of files or other objects	LocalSystem, Administrators
SE_DEBUG_NAME	SeDebugPrivilege	Необходима для отладки приложений	Debug programs	LocalSystem, Administrators
SE_ASSIGNPRIMARYTOKEN_NAME	SeAssignPrimaryTokenPrivilege	Необходима для назначения первичного маркера процессу	Replace a process-level token	LocalSystem
SE_INCREASE_QUOTA_NAME	SeIncreaseQuotaPrivilege	Необходима для увеличения квот процесса	Increase quotas	LocalSystem, Administrators
SE_INC_BASE_PRIORITY_NAME	SeIncreaseBasePriorityPrivilege	Необходима для увеличения базового приоритета процесса	Increase scheduling priority	LocalSystem, Administrators, Power Users
SE_LOCK_MEMORY_NAME	SeLockMemoryPrivilege	Необходима для удержания страниц в физической памяти.	Lock pages in memory	LocalSystem
SE_SECURITY_NAME	SeSecurityPrivilege	Необходима для выполнения операций относящихся к безопасности (security-related)	Manage auditing and security log	LocalSystem, Administrators
SE_AUDIT_NAME	SeAuditPrivilege	Необходима для создания записей аудита.	Generate security audits	LocalSystem, NetworkService, LocalService
SE_SHUTDOWN_NAME	SeShutdownPrivilege	Необходима для выключения компьютера	Shut down the system	Everyone

SE_TCB_NAME

Это могущественная привилегия, наиболее актуальная при создании logon-а. С помощью привилегии SE_TCB_NAME можно получать маркер доступа по имени пользователя и паролю. Точнее, эта функция передает локальной подсистеме безопасности (Local Security Authority - LSA) запрос на создание новой сессии. Тип сессии определяется параметром dwLogonType. Сессия может быть интерактивной или сетевой. Более подробную информацию об этом можно получить в MSDN. При задании некоторых значений параметра dwLogonType нужны соответствующие права учетной записи (Account rights).

Эта привилегия необходима для вызова следующих функций:

§ LogonUser().

§ WTSQueryUserToken().

§ SetTokenInformation() с параметром TokenSessionId.

§ OpenProcessToken с параметром TOKEN_ADJUST_SESSIONID.

§ BroadcastSystemMessage[Ex] с параметром BSM_ALLDESKTOPS.

Наличие этой привилегии система всегда проверяет в первичном маркере процесса, игнорируя маркеры, используемые для имперсонации.

SE_BACKUP_NAME

Привилегия обычно назначается операторам, выполняющим работы по администрированию файл-сервера. Она позволяет даже при отсутствии явного разрешения в списке разграничительного доступа (DACL) просматривать информацию о владельце, группе и DACL файла или директории. Если у вас нет явного разрешения на просмотр такой информации для файла или директории, при включенной привилегии вы все-таки сможете открыть файл с доступом READ_CONTROL. Отмечу, что CreateFile() при этом должна быть вызвана с флагом FILE_FLAG_BACKUP_SEMANTICS. Более того, вы можете открыть его с правом доступа FILE_GENERIC_READ и, соответственно, прочитать все его содержимое. [1]

Эта привилегия часто используется в связке с SE_RESTORE_NAME. Здесь я ее не рассматриваю, однако ее действие аналогично SE_BACKUP_NAME с той лишь разницей, что вы можете писать в файл или директорию без разрешения явного доступа к ним. Это необходимо для работы программ резервного копирования.

Эта привилегия разрешает доступ к файлу или директории, даже если он явно запрещен.

Привилегия используется для:

§ Функции RegCreateKeyEx c флагом REG_OPTION_BACKUP_RESTORE.

§ Функции RegSaveKey[Ex].

§ Архивирования ActiveDirectory и репозитория CIM (Common Information Model).

SE_TAKE_OWNERSHIP_NAME

Данная привилегия предоставляет пользователю возможность становиться владельцем любого объекта. Владелец объекта всегда имеет стандартное право WRITE_DAC, которое позволяет изменять DACL объекта. Это очень мощная привилегия. Даже если пользователю явно запрещен доступ к какому-либо объекту, привилегия SE_TAKE_OWNERSHIP_NAME позволит ему стать владельцем объекта и изменить DACL таким образом, чтобы позволить себе любые операции над объектом (а другим запретить!). Последовательность операций при этом такова: открывается объект с правом доступа WRITE_OWNER, пользователь назначает себя владельцем, объект закрывается и открывается снова с правом доступа WRITE_DAC, изменяется DACL объекта. [1]

Интерфейс ISecurityInformation автоматически проверяет эту привилегию, делая доступной закладку OWNER в Advanced Control Settings.

Привилегия используется во всех функциях, изменяющих дескриптор безопасности с флагом OWNER_SECURITY_INFORMATION.

SE_DEBUG_NAME

Эта привилегией обычно пользуются отладчики для отладки системных процессов. Ее наличие позволяет получить хендл любого процесса с максимально широкими правами (PROCESS_ALL_ACCESS). Привилегия используется в связке с функцией OpenProcess().

SE_ASSIGNPRIMARYTOKEN_NAME

Данная привилегия, в основном, необходима для функции CreateProcessAsUser. Однако если передать этой функции ограниченный маркер, то привилегия не требуется.

SE_INCREASE_QUOTA_NAME

Используется совместно с предыдущей привилегией для вызова CreateProcessAsUser. Хочу сказать еще об одной особенности. Я всегда думал, что изменение рабочего набора процесса ограничено какими-либо квотами, тем более что для процессов имеется тип доступа PROCESS_SET_QUOTA, необходимый для вызова SetProcessWorkingSetSize. Каково же было мое удивление, когда я впервые обнаружил, что эта функция требует привилегии SE_INC_BASE_PRIORITY_NAME (о ней чуть позже). Я не поверил своим глазам и даже написал небольшую программку для проверки этого. Действительно, намного логичнее для увеличения рабочего набора (Working Set) процесса, запрашивать привилегию SE_INCREASE_QUOTA_NAME, однако в Microsoft рассудили иначе.

CreateProcessAsUser сама включает привилегии SE_INCREASE_QUOTA_NAME и SE_ASSIGNPRIMARYTOKEN_NAME, если они выключены.

SE_INC_BASE_PRIORITY_NAME

Привилегия используется для повышения базового приоритета процессов до уровня Realtime. Используется во всех функциях создания процесса и установки его базового приоритета, где приоритет устанавливается равным REALTIME_PRIORITY_CLASS. Если пользователь не имеет соответствующей привилегии, процесс всегда запускается с приоритетом не больше HIGH_PRIORITY_CLASS. [2]

Как уже говорилось выше, эта привилегия используется также для вызова SetProcessWorkingSetSize при увеличении минимального рабочего набора. Другими словами, если функция SetProcessWorkingSetSize будет использована для урезания рабочего набора, привилегия проверяться не будет.

SE_LOCK_MEMORY_NAME

Эта привилегия позволяет фиксировать страницы в физической памяти не только на время работы процесса (пока выполняется хотя бы один его поток), но и тогда, когда он реально не выполняется. Как видите, это очень мощная и, потенциально, одна из самых опасных привилегий. К счастью, интерфейс Win32 не представляет документированного способа для такой операции, следовательно, для большинства приложений пользовательского режима данная привилегия не нужна. Исключение составляет интерфейс AWE (Address Windowing Extensions). Пользователь должен обладать этой привилегией для вызова функции AllocateUserPhysicalPages. [2]

SE_SECURITY_NAME

Привилегия используется для проверки доступа к системному списку контроля доступа (SACL - System Access Control List) дескриптора безопасности (security descriptor). Любые функции изменяющие SACL, и, соответственно, вызванные с флагом SACL_SECURITY_INFORMATION, требуют наличия этой привилегии во включенном состоянии. В противном случае будет возвращена ошибка ERROR_PRIVILEGE_NOT_HELD.

Эта привилегия требуется также для открытия любого объекта с правом доступа ACCESS_SYSTEM_SECURITY.

SE_AUDIT_NAME

Данная привилегия используется для генерации событий аудита семейством функций AccessCheckXXXX за исключением самой AccessCheck().

Используется также с функциями:

§ ObjectOpenAuditAlarm

§ ObjectDeleteAuditAlarm

§ ObjectCloseAuditAlarm

§ ObjectPrivilegeAuditAlarm

§ PrivilegedServiceAuditAlarm

Привилегию необходимо включать явно.

SE_SHUTDOWN_NAME

Последняя из рассматриваемых привилегий наиболее популярна на различных форумах. Она необходима для выключения компьютера и обычно используется с функцией ExitWindows[Ex]. Суть привилегии состоит в том, чтобы не давать пользователю выключать компьютер, на котором функционируют (в виде системных служб) важные серверные компоненты. При простом завершении сеанса пользователя (флаг EWX_LOGOFF) привилегия не проверяется.

Она используется также с функциями:

§ AbortSystemShutdown

§ InitiateSystemShutdown[Ex]

§ SetSystemPowerState

Привилегию необходимо включать явно.

Преобразование имен привилегий

На самом деле имена привилегий - довольно тонкое место, как ни странно это звучит. Дело в том, что кроме программных имен (SeAuditPrivilege) и констант (SE_AUDIT_NAME), есть еще дружественное имя, которое повсеместно используется в пользовательском интерфейсе Windows (MMC - Microsoft Management Console). Иногда по одному имени можно определить другое, а иногда нет. Например, привилегия SeChangeNotifyPrivilege имеет дружественное имя «Bypass traverse checking». К счастью, сопоставление одних имен другим хорошо документировано в MSDN, и разобраться в этом не сложно. Кроме того, имеется функция LookupPrivilegeDisplayName(), которая преобразует программное имя в дружественное. Сейчас же мы поговорим о системном представлении привилегий и преобразовании программных имен во внутренние идентификаторы.

Ранее уже говорилось, что для работы с привилегиями необходимо знать их идентификатор, который представлен типом LUID. Для преобразования программных имен во внутренние идентификаторы и обратно используются функции:

§ LookupPrivilegeValue - преобразование программного имени в LUID.

§ LookupPrivilegeName - преобразование LUID в программное имя.

Ничего сложного в их описании и использовании нет. Если при этом использовать специальные классы автоматического выделения памяти (подробнее об этом см. http://www.rsdn.ru/files/?Classes/autobuf.xml), работа по преобразованию имен привилегий в идентификаторы станет тривиальной. Пример использования функции LookupPrivilegeValue приведен в следующем разделе.

В маркере доступа (access token) привилегии могут находиться в двух состояниях: включенном и выключенном. По большому счету, важен лишь сам факт наличия той или иной привилегии в маркере, так как многие системные функции сами, при необходимости, включают ее. Зачем нужна вообще вся эта возня с состоянием привилегий, если их включение - дело техники? Не знаю, скорее всего, это последняя возможность спросить программиста: «Ты действительно знаешь, что делаешь?». :)

Итак, c состоянием привилегий работают следующие функции:

§ PrivilegeCheck - проверка установленных привилегий в маркере доступа.

§ AdjustTokenPrivileges - изменение состояния одной или нескольких привилегий в маркере.

Для проверки наличия той или иной привилегии в маркере доступа используется функция GetTokenInformation с параметром TokenPrivileges.

PrivilegeCheck

Для вызова этой функции необходим маркер с правом доступа TOKEN_QUERY. Вот описание этой функции:

Массив Privilege должен быть заполнен нужными привилегиями и атрибутами. Значения атрибутов на входе равны нулю. После успешного завершения функции, значения включенных привилегий равны SE_PRIVILEGE_USED_FOR_ACCESS. Вот так выглядит структура LUID_AND_ATTRIBUTES:

Вот небольшой пример использования этой функции. На входе: маркер доступа, массив имен привилегий и размер этого массива. Функция CheckPrivs выводит на экран состояние указанных привилегий:

AdjustTokenPrivileges

Для вызова функции необходим маркер с правом доступа TOKEN_QUERY и TOKEN_ADJUST_PRIVILEGES. Вот описание этой функции.

Она может отключать все привилегии, если DisableAllPrivileges установлена в TRUE. При этом праметр NewState игнорируется. Если она установлена в FALSE, то переменная NewState содержит указатель на структуру TOKEN_PRIVILEGES. Ее описание идентично структуре PRIVILEGE_SET за исключением того, что в ней отсутствует поле Control. Параметр PreviousState должен указывать на структуру того же размера, что и NewState. В нем возвращаются предыдущие состояния измененных привилегий. Сама функция не выглядит сложной, сложно подготовить соответствующие данные для ее вызова. Существует множество версий функции EnablePrivilege [3], поэтому если мы приведем еще одну - хуже не будет. :)

Итак, ниже приводится моя собственная версия функции включения привилегий. Она хороша тем, что позволяет включить несколько привилегий за раз и использует существующий маркер доступа.

Функция очень простая, к тому же снабжена комментариями. :) На входе должны быть указатель на массив строк, содержащих программное имя привилегий, количество привилегий и маркер доступа. Если он равен нулю, маркер открывается с соответствующими правами доступа. На выходе, если параметр ppOldPrivs не равен нулю, возвращается указатель на структуру TOKEN_PRIVILEGES, содержащую старые привилегии. Память для нее выделяется с помощью malloc, так что сами понимаете, каким образом нужно освободить память после того, как отпадет нужда в старых привилегиях.

Информация о доверенных объектах хранится либо в SAM (Security Account Manager), который расположен локально на машине клиента, либо в AD (Active Directory). Доменные настройки переопределяют локальные: если некоторые привилегии запрещены на доменном уровне, локальные настройки игнорируются. В этом разделе мы рассмотрим методы назначения привилегий учетным записям на локальном уровне с помощью функций LSA (Local Security Authority).

Все функции LSA начинаются с префикса Lsa. Функций, относящихся к привилегиям - четыре. Замечу, что LSA не делает различия между правами учетной записи (Account Rights) и привилегиями. Однако функции LookupPrivilegeValue и LookupPrivilegeName работают только с привилегиями.

§ LsaEnumerateAccountRights - перечисляет привилегии доверенного объекта.

§ LsaEnumerateAccountsWithUserRight - перечисляет доверенные объекты, обладающие данной привилегией.

§ LsaAddAccountRights - добавляет одну и более привилегий доверенному объекту.

§ LsaRemoveAccountRights - отзывает одну и более привилегий у доверенного объекта.

Все эти функции в качестве первого параметра принимают описатель локальной политики безопасности. Открыть его можно с помощью функции LsaOpenPolicy. Функции LSA работают со строками специального формата, который используется внутренними системными и недокументированными функциями. В DDK эти строки называются UNICODE_STRING, в документации по LSA они называются LSA_UNICODE_STRING. Но название сущности не меняет.

Функции перечисления сами выделяют буфер, который затем необходимо освобождать с помощью LsaFreeMemory().

Для лучшего понимания рассмотрим использование функции LsaEnumerateAccountRights.

Вывод: В заключение хочется сказать, что, в общем и целом, понимание работы привилегий базируется на знании архитектуры подсистемы безопасности Windows ( не имеется в виду LSA). Вы должны представлять себе, что такое SID, SD, DACL, SACL и т.д. Вы должны понимать сущность маркера доступа (access token), кем, когда и как он формируется и для чего используется. Если вы чувствуете, что некоторые аспекты подсистемы безопасности вызывают у вас затруднение, обратитесь к источникам, перечисленным ниже. Большое количество достоверной информации можно получить также в MSDN и/или RSDN.

Ознакомление с наиболее популярными антивирусными пакетами.

Цель работы: ознакомление с наиболее популярными антивирусными пакетами.

Задачи работы:

Рассмотреть различные способы обнаружения вирусов и вредоносных программ

Рассмотреть различные способы удаления вирусов и вредоносных программ

Рассмотреть способы обновления антивирусных баз

Теоретическое введение

С каждым днем становится все труднее защищать свои данные от опасностей, которые несут компьютерные вирусы, развившиеся в многократные формы (трояны, черви, и.т. д.), и которые могут попасть на ваш компьютер разнообразными путями, включая приложения к электронной почте, через ошибки в программном обеспечении операционной системы, которые дают "лазейку" для проникновения на ваш компьютер вредоносному коду. С последним поколением антивирусного программного обеспечения вы можете дать вашему компьютеру никогда прежде не возможный уровень защиты. Большинство сегодняшних антивирусов снабжены так называемым "монитором", который дает возможность в режиме реального времени следить за попытками проникновения вирусов на ваш компьютер, прежде чем они смогут нанести вред вашему "железному коню". И так как новые вирусы создаются каждый день, антивирусы предлагают удобные обновления. В подавляющем большинстве современные антивирусы самостоятельно скачивают и устанавливают файлы обновления антивирусных баз, так называемые "сигнатуры", благодаря которым происходит "опознание" вирусов. Критериями при выборе вашего будущего антивируса должно быть следующее: - легкость в установке и использовании; - наличие антивирусного "монитора", который, ища вирусы в режиме реального времени во множестве источников, включая электронную почту, системы мгновенного обмена сообщениями, веб-сайты и т. д., смог бы оповестить пользователя о найденной угрозе и ликвидировать ее; - эффективное лечение и изоляция зараженных файлов: действительно ли антивирус полностью лечит, удаляет или изолирует зараженные файлы от их дальнейшего распространения на жестком диске или по Интернету; - наличие эвристического анализатора кода для обнаружения и устранения еще неизвестных вирусов; - наличие так называемого help"а с ответами на часто задаваемые вопросы (FAQ), хорошей технической поддержки для того, чтобы пользователь не имел затруднений в использовании выбранного антивируса. Итак, вашему вниманию предоставляется обзор популярных антивирусных пакетов по следующим критериям: - простота установки продукта; - внешний вид; - эффективность; - обновления; - FAQ/техническая поддержка; - достоинства; - недостатки.

Первым в обзоре будет самый популярный в России "Антивирус Касперского". Легкость установки Я не столкнулся ни с какими проблемами, устанавливая эту программу. В установке разберется любой. Интерфейс "Касперский" имеет очень удобный в работе интерфейс. Программа разделена на 3 раздела - "Защита", "Поиск вирусов", "Сервис". У данного антивируса существует 3 уровня защиты: - максимальная защита, при которой антивирус проверяет полностью все файлы, самоизвлекающиеся архивы, объекты автопуска, дисковые загрузочные сектора, память, а также почту; - рекомендуемый - сканируются все файлы, за исключением почты; - высокая скорость - сканируются все файлы, за исключением почты, архивов и объектов автопуска. Вы можете выбрать любой файл и простым щелчком мыши запустить сканирование на вирусы. Достаточно выбрать пункт "Проверить мой компьютер на вирусы", чтобы "Касперский" проверил на вирусы весь ваш компьютер, включая гибкие диски. В случае обнаружения вируса антивирус выведет на экран соответствующее сообщение.

Эффективность Антивирус получил множество наград за стопроцентное обнаружение и удаление так называемых "диких" вирусов ("in the wild"), а также за наличие минимума ложных срабатываний. Сканирование 80-гигабайтного диска занимает около 17-19 минут. Он отлично справился со своей работой. Скорость сканирования неплохая. Есть также возможность отложить проверку, либо вообще установить проверку по расписанию. Обновления По умолчанию, "Касперский" обновляет свою базу каждые 3 часа. Также есть возможность вручную обновить антивирус. Кроме того, следует отметить, что в случае обрыва связи с сервером обновлений загрузка возобновится с того момента, на котором она была прервана. FAQ/техническая поддержка Антивирус имеет прекрасную справочную систему, в которой даже неопытный пользователь найдет ответ на любой интересующий его вопрос. Также в случае, если пользователь столкнулся с какими-то проблемами, служба поддержки быстро и понятно ответит на вопрос. Достоинства Удобный интерфейс, отличные эвристика и эффективность работы, наличие хорошой справочной системы, 3-часовые обновления.

Недостатки На P-4 3 GHz, 512 Мb DDR2 и 80 Gb Seagate Barracuda 7200 Windows XP без запуска антивируса загружалась 23-27 секунд, а с "Касперским" версии 6.0 - 50-53 секунды (от включения компьютера до прекращения активности винчестера). При выполнении нескольких задач, при включенном антивирусе, загруженность центрального процессора достигает 90-100%. Итак, если у вас нет не меньше 512 Мб оперативной памяти - не желательно ставить этот антивирус. Заключение "Антивирус Касперского" - удобная, но в то же время требовательная к ресурсам в работе программа для среднего пользователя, с большим количеством настраиваемых параметров. Установите, настройте этот антивирус, и ваш компьютер будет надежно защищен от вирусов.

Антивирус Dr.Web", по результатам многочисленных опросов, является второй по популярности в России после "Касперского" программой подобного рода. Легкость установки Установка этого антивируса в общем прошла без проблем. Единственным минусом является то, что совершенно не на подходящем месте расположена кнопка выбора ключевого файла, я ее нашел с трудом. Ну, а в целом, думаю, что проблем с установкой возникнуть не должно. Интерфейс Этот антивирусный пакет состоит из 3 модулей: - антивируса - сторож SpIDer Guard, предназначенного для проверки системы в режиме реального времени. При выявлении подозрительных действий программ - потенциальных источников носителей вирусов; - почтового модуля-фильтра SpIDer Mail, предназначенного для контроля почтовых сообщений, входящих по протоколу POP3 и исходящих по протоколу SMTP в режиме реального времени; - утилиты автоматического обновления Dr.Web, предназначенной для загрузки обновлений вирусных баз и программных модулей. Эффективность В феврале 2006 года Dr.Web получил награду VB100% за стопроцентное обнаружение и дезинфицирование вирусов "in the wild". Сканирование 80-гигабайтного диска, в отличие от "Касперского", занимает всего-то каких-то 15-17 минут. Скорость сканирования отличная. Есть также возможность, используя планировщик заданий DrWeb, установить проверку по расписанию. Обновления Антивирусные базы обновляются примерно раз в неделю. В новой версии 4.33 есть возможность обновления через специальный модуль обновлений.

FAQ/техническая поддержка Антивирус имеет хорошую справочную систему, в которой легко найти ответ на любой вопрос. Также следует отметить, что служба поддержки очень быстро отвечает на вопросы (мне они ответили в течение 30 минут). Достоинства Хороший эвристический анализатор, высокая скорость работы, очень низкое потребление ресурсов, малый размер инсталляционного дистрибутива.

Недостатки Крайне разочаровал интерфейс программы. От версии к версии иконки на кнопках остаются такими же убогими. Так же не понравилось то, что различные модули программы реализованы в разном стиле (Dr.Web Scanner,SpIDer Guard, SpIDer Mail). Создается такое ощущение, что интерфейс модулей разрабатывался как придется, без оглядки друг на друга. Заключение Не знаю почему, но каждая новая версия этого антивируса получается "сырой", в смысле недоработанной. Скорость работы и нетребовательность к ресурсам - несомненный плюс для слабых машин.

Легкость установки Инсталляция проходит без проблем. Установить этот антивирус сможет даже неопытный пользователь. Интерфейс Сразу же после установки в трее появилась иконка McAfee Security Center, который будет информировать пользователя о текущем состоянии антивирусной защиты его компьютера. Интерфейс сканера до того прост, что даже человеку, слабо владеющему английским языком, не составит труда разобраться с работой этой программы. Перед тем как нажать кнопку "Scan", необходимо поставить "галочку" напротив интересующих пользователя пунктов: - Scan subfolders (сканирование подпапок); - Scan all files (сканирование всех файлов); - Scan within compressed file type (сканирование сжатых файлов); - Scan for new unknown viruses (сканирование файлов на наличие новых, неизвестных вирусов с использованием эвристического анализатора); - Scan for potentially unwanted applications (сканирование файлов на наличие шпионских, рекламных программ, так называемых программ автодозвона и т. д.). Эффективность Антивирус получил награду VB100% в феврале 2006 года. Сканирование 80-гигабайтного диска занимает всего 11 минут. Скорость сканирования прекрасная. Если хочется, чтобы McAfee VirusScan автоматически проверял жесткий диск пользователя, можно буквально в пару щелчков мыши настроить проверку по расписанию. Если антивирус найдет подозрительный файл, то предложит отправить его в AVERT (Anti-Virus Emergency Response Team), команду антивирусных экспертов. Следует отметить, что AVERT - это одна из самых уважаемых исследовательских организаций в мире, насчитывающая более 90 сотрудников, работающих на 5 континентах.

Обновления Обновления выходят каждый день. Необходимо отметить, что для автоматического обновления необходимо зарегистрироваться, так как аутентификация происходит по логину и паролю. FAQ/техническая поддержка Даже без прочтения FAQ можно быстро разобраться со всеми возможностями антивируса. Если даже у вас возникнут вопросы, то на официальном сайте McAfee в разделе "Support" можно будет задать вопрос службе поддержки и даже посмотреть видео с подробнейшими комментариями создателей. НИ ОДИН из рассматриваемых антивирусов не имеет такой отличной поддержки с видео. Если пользователь действительно очень плохо понимает по-английски, то, посмотрев видеоролик, он сможет с легкостью решить самостоятельно свою проблему. Достоинства Очень быстрое время сканирования, наличие наипростейшего интерфейса, отличного справочного материала, качественное детектирование вирусов, не раз отмеченное VB (в феврале 2006 года McAfee получил награду Virus Bulletin 100%, на результаты тестирования которого влияет выбор большинства пользователей по всему миру). Недостатки Из недостатков можно отметить достаточно большое использование ресурсов (~30 Mб оперативной памяти), а также довольно-таки большой перерыв между выпуском новых обновлений. Заключение McAfee - лидер в своей отрасли. Достаточно 1 раз установить этот антивирус, зарегистрироваться, настроить загрузку обновлений и забыть.

Легкость установки "Нортон Антивирус 2006" очень легок в установке, хотя инсталляционный процесс идет гораздо медленнее, чем у остальных рассматриваемых антивирусных пакетов. Интерфейс Интерфейс логичен и удобен. Достаточно запустить Norton Protection Center, чтобы настроить антивирусную защиту вашего компьютера. В принципе, можно оставить без изменений параметры настройки (то есть по умолчанию), которые обеспечат превосходную защиту против вирусов, распространяющихся с электронной почтой, от червей и троянских коней. Есть также возможность лечения зараженных файлов. Эффективность Антивирус получил награду VB100% в 2005 году. Сканирование 80-гигабайтного диска занимает около 20 минут. Скорость сканирования неплохая. Обновления Чтобы загрузить последние обновления, достаточно запустить специальную утилиту LiveUpdate, встроенную в антивирус. Новые обновления доступны на сервере производителя каждые 7 дней. Это самый большой перерыв между обновлениями из антивирусов в моем обзоре. FAQ/техническая поддержка Интерфейс прост, вопросов у меня не возникло. Впрочем, в случае возникновения вопросов, к вашим услугам полноценный FAQ. Англоязычная поддержка также всегда к вашим услугам. Достоинства Неплохая скорость сканирования, красивый интерфейс.

Недостатки Крайне редкие обновления. Этот самый главный недостаток сразу резко увеличивает шансы вирусам для проникновения на ваш компьютер. Также разочаровывает то, что он иногда так "загружает" операционную систему, что для открытия Word-а требуется целая минута. Заключение Norton AntiVirus 2006 - отличная антивирусная программа с неплохой скоростью сканирования. Однако ввиду огромного, по сравнению с другими антивирусами, перерыва в обновлениях, а также порой не оправданного чрезмерного потребления системных ресурсов, возможно не стоит инсталлировать этот антивирусный продукт.

Легкость установки Этот антивирус очень легок в установке. Интерфейс Интерфейс очень прост: главное окно программы состоит из 3 вкладок: - General (общие настройки программы, включая планировщик); - Antivirus (непосредственно настройки работы сканера); - Update (обновления). Программа создает регистр событий, который в деталях покажет количество проверенных файлов, найденных вирусов и т. д. Когда я инсталлировал этот антивирус, перезагрузил компьютер, BitDefender показал мне все (включая скрытые!) автоматически загружаемые процессы, таким образом, та или иная программа не могла запуститься без моего разрешения. В комплекте с антивирусом идет Adware и Spyware-датчики, дающие дополнительную защиту против всяческого рода заразы. Достаточно один раз настроить BitDefender, а потом просто забыть про его существование. Эффективность Virus Bulletin не раз удостаивал награды VB100% этот антивирус. Сканирование 80-гигабайтного диска занимает ~21 минуту. Настроить планировщик не составляет особого труда. Английский интерфейс в этом не помеха. Обновления Новые обновления доступны каждый час. Достаточно установить автоматическое обновление антивирусных баз, используя соответствующие настройки при инсталляции данного продукта. FAQ/техническая поддержка Без FAQ никто в настройках, а тем более в интерфейсе программы не запутается. Техническая поддержка 24 часа 7 дней в неделю постарается помочь пользователю. Достоинства Наличие привлекательного, удобного в работе интерфейса, маленький размер обновлений, высокое качество поиска и нейтрализации вирусов. Недостатки Достаточно высокое время сканирования. Почему-то во время прослушивания музыки и просмотра фильмов дефендер сильно замедляет работу системы. крайне разочаровывает то, что после полной проверки компьютера на вирусы он "ругается" на 3 абсолютно "чистых" вордовских файла. Что напоминает проблемы возникающие с Nod32. Заключение Этот антивирус удобен, прост в установке. Но очень настораживает его эвристический анализатор: антивирус почему-то постоянно выводит сообщение о найденном вирусе в word"овских документах... (другие антивирусные программы с последними обновлениями никаких вирусов не находили). Ввиду того, что этот антивирус относительно недавно попал на рынок и не успел достаточно на нем утвердиться, не стоит доверять конфиденциальность данных этому антивирусному пакету.

Вывод: Итак, каждый из антивирусов действует по своим принципам и, соответственно, в той или иной мере хорошо или плохо ловит различные категории вредоносного программного обеспечения. Всяческого рода тестирования - это весьма субъективные факторы, поскольку, как было сказано выше, разные антивирусные программы по-разному распознают вирусы, а следовательно, и результаты будут зависеть от вида вируса и соответственно от новизны вредоносного кода. Заметьте, что базы вирусов для тестирования собирали сами антивирусные компании... В реальных же, "боевых" условиях дело обстоит совершенно по-другому. Эвристика далеко не всегда способна противостоять новым, неизвестным вирусам... В заключение хочется сказать, что 100% защиты от вирусов не существует, и если кому-либо захочется заразить ваш компьютер, поверьте, он это сделает.



Список литературы

Keith Brown, Security Briefs, MSJ, August 1999

Давид Соломон, Марк Руссинович, Внутреннее устройство Microsoft Windows 2000, Издательства «Русская редакция», «Питер», 2001

Джеффри Рихтер, Джейсон Кларк, Программирование серверных приложений для Windows 2000 , Издательства «Русская редакция», «Питер», 2001

Размещено на Allbest.ru

...