ВведениеВ последние годы мошенничество в Интернете начало стремительно развиваться. Чаще всего, мошенники рассылают огромное количество сообщений, которые отправлены якобы надежными веб-узлами и содержат запрос личных сведений, такие как помощь в отмывании денег, обман со стороны платёжных систем, открытие электронных проектов и многое другое. Злоумышленники каждый день пытаются украсть любые данные, которыми они могут воспользоваться для открытия новых счетов кредитных карт или выполнения через Интернет иных действий от вашего имени. Фишинг – это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей, банков, а также прочих сервисов. Шпионское программное обеспечение, или другими словами Spyware – это общий термин, используемый для описания программного обеспечения, который выполняет определенные действия, такие как реклама, сбор личной информации или изменение конфигурации вашего компьютера, как правило, без надлежащего получения вашего согласия. Для борьбы со шпионским программным обеспечением разработано множество программных продуктов. В этом руководстве будет рассмотрена одна из программ, предназначенных для борьбы с Интернет мошенничеством. Защитник Windows – это продукт компании Microsoft, созданный для отслеживания шпионского программного обеспечения, который помогает защитить ваш компьютер от всплывающих окон, снижения производительности и угроз безопасности, вызванных программами-шпионами и другими нежелательными программами. Поставляется в составе операционной системы Windows, начиная с Windows Vista. Также защитник Windows бесплатно доступен для скачивания при использовании Windows XP и Windows Server 2003 по следующей ссылке: Защитник Windows. Этот программный продукт предупреждает пользователей, когда шпионское или потенциально опасное программное обеспечение попытается установиться или запуститься самостоятельно на вашем компьютере. Защитник Windows также предупреждает в том случае, когда программы пытаются изменить важные параметры операционной системы.
В связи с тем, что Защитник Windows является компонентом системы, обновления для этого программного обеспечения можно загрузить с сайта Windows Update или при помощи Windows Server Update Services (WSUS). Обновления являются важной составляющей частью программы, поскольку они помогает Защитнику Windows реагировать на последние изменения в среде шпионского и потенциально опасного программного обеспечения. Работа с Защитником WindowsОткрытие программы Защитник WindowsВ отличие от операционной системы Windows Vista, в Windows 7 Защитник Windows не входит в состав всех программ меню «Пуск». Открыть Защитник Windows вы можете следующими способами: - Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Защитник и откройте приложение в найденных результатах
- Нажмите на кнопку «Пуск» для открытия меню, откройте «Панель управления», из списка компонентов панели управления выберите «Защитник Windows»;
- Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите %windir%\system32\control.exe /name Microsoft.WindowsDefender и нажмите на кнопку «ОК».
Основное окно Защитника Windows отображено на следующем скриншоте:
Увеличить рисунок
Обновление и проверка компьютераПрограмма Защитник Windows позволяет защищать ваш компьютер от шпионского и опасного программного обеспечения двумя способами: - При помощи проверки операционной системы на наличие шпионских программ, которые могли установиться на компьютере;
- Путем защиты системы в режиме реального времени для оповещения пользователя о том, что шпионская программа пытается установиться или запуститься на компьютере.
В том случае, если обновления Защитника Windows не были загружены через «Центр обновления Windows» или вручную, как рассказывалось в статье Центр обновления Windows 7 - подробное руководство (Часть 2), при открытии программы Защитник Windows вы увидите, что для дальнейшей работы вам нужно обновить программу. Для этого нажмите на кнопку «Проверить наличие обновлений», как показано на следующем скриншоте:
Увеличить рисунок
Также вы можете проверить на наличие обновлений вручную, нажав на стрелку рядом с кнопкой справки и выбрав опцию «Проверить наличие обновлений». После того как вы выберите эту команду, Защитник Windows соединится с сервером обновлений Windows или WSUS сервером вашей организации. В зависимости от скорости вашего Интернет соединения этот процесс может занять от нескольких секунд до нескольких минут. Далее программа загрузит обновление с сервера. Для того чтобы отменить загрузку обновлений, вы можете нажать на кнопку «Отмена».
Увеличить рисунок
Загрузив последние обновления, Защитник Windows начинает их устанавливать на ваш компьютер. Операцию установки обновлений отменить невозможно. Процесс установки обновлений вы можете увидеть на следующем скриншоте:
Увеличить рисунок
После того как программа установит последние обновления, в главном окне Защитника Windows вы увидите: - Оповещение об обнаружении шпионского или потенциально опасного программного обеспечения;
- Краткую информацию о состоянии обновления, где отображается время окончания установки обновления, а также время, за которое обновление было загружено и установлено;
- Подробную информацию о состоянии Защитника Windows. Здесь отображена информация о последней проверке компьютера – дата, время и тип проверки, информацию о расписании проверки, версию обновлений баз шпионских программ, а также вы узнаете, включена ли у вас функция защиты компьютера в реальном времени.
Увеличить рисунок
В том случае, если программа была открыта в первый раз, сразу после установи обновлений, вам нужно будет провести проверку компьютера. Для этого нажмите на кнопку «Проверить сейчас», как показано на следующем скриншоте:
Увеличить рисунок
В программе Защитник Windows предусмотрены три типа проверки, о которых рассказывается ниже: Быстрая проверка. Во время быстрой проверки сканируются только те участки системы, где наиболее высока вероятность появления шпионского или потенциально опасного программного обеспечения. Эта проверка по времени занимает всего несколько минут. По умолчанию в программе Защитник Windows выбран именно этот тип проверки, и он может быть запущен в любое время пожатию на ссылку «Проверить». Полная проверка. Во время полной проверки на наличие шпионского и потенциально опасного программного обеспечения сканируются все файлы на жестком диске, системная память, а также все запущенные в данный момент приложения. Помимо этого, во время полной проверки выполняется полное сканирование всех папок на компьютере, что может значительно повлиять на быстродействие системы. В зависимости от характеристик компьютера и объема записанной на него информации, полная проверка может занимать от одного часа и более. Для запуска полной проверки компьютера, разверните меню «Проверить» и из списка выберите пункт «Полная проверка». Выборочная проверка. Во время выборочной проверки сканируются лишь те диски и папки, которые вы укажете. Продолжительность сканирования напрямую зависит указанного количества дисков и папок. Для запуска выборочной проверки разверните меню «Проверить» и выберите пункт «Выборочная проверка». Окно выборочной проверки отображено на следующем скриншоте:
Увеличить рисунок
В этом окне вы можете выбрать два предыдущих типа проверки или, установив переключатель «Проверка выбранных дисков и папок», и нажав на кнопку «Выбрать», отметить флажками только те диски папки, которые вам нужны для проверки. После того как нужные диски и папки будут выбраны, нажмите на кнопку «ОК». Диалог выбора проверяемых дисков и папок отображен на следующем скриншоте: Нажмите на кнопку «Проверить сейчас» для запуска сканирования. Во время проверки компьютера на наличие шпионского и потенциально опасного программного обеспечения ваша система, возможно, будет работать медленнее, чем обычно, в связи с тем, что сканер программы проверяет каждый файл на объект заражения. Для того чтобы отменить сканирование компьютера, что делать не рекомендуется, можете нажать на кнопку «Отмена». Ход выполнения проверки отображается на всем протяжении процесса вплоть до завершения. Процесс сканирования отображен на следующем скриншоте:
Увеличить рисунок
После проверки компьютера, в основном окне Защитника Windows вы сможете увидеть информационные сообщения, похожие на те, которые вы видели после обновления программы. В области «Нежелательные или потенциально опасные программы не обнаружены» отображается состояние компьютера. В области статистики проверки вы можете увидеть тип последней проверки, время старта сканирования, время, за которое компьютер был просканирован, а также количество проверенных объектов. Область состояния идентична той, которая отображается в окне Защитника Windows после обновления баз.
Увеличить рисунок
В том случае, если при проверке или после нее в программе произойдет какая-либо ошибка, связанная с остановкой службы Защитника Windows, в окне программы вы увидите уведомление об остановке службы, после чего вам нужно будет нажать на кнопку «Запустить» для обеспечения безопасности.
Увеличить рисунок
Журнал Защитника Windows и объекты, помещенные на карантинВ журнале Защитника Windows вы можете увидеть все действия, которые проводились над шпионскими и потенциально опасными программами, обнаруженными на вашем компьютере. В поле «Действия над программами» отображается список всех вредоносных программ и действий, которые Защитник Windows с ними выполнял. Для того чтобы просмотреть подробную информацию о каком-либо действии, выделите его и нажмите на кнопку «Просмотр». При появлении запроса контроля учетных записей пользователей предоставьте подтверждение. Чтобы удалить все элементы списка, нажмите на кнопку «Очистить журнал». Для того чтобы просмотреть все объекты, запуск которым вы разрешали, перейдите по ссылке «Разрешенные объекты». Для просмотра, удаления или восстановления всех объектов, запуск которых был запрещен Защитником Windows, перейдите по ссылке «Объекты в карантине». К сожалению, в связи с тем, что на моем компьютере нет ни шпионского, ни потенциально опасного программного обеспечения, на следующем скриншоте вы сможете увидеть только внешний вид журнала Защитника Windows с пустым списком действий над программами.
Увеличить рисунок
На странице «Объекты в карантине» вы можете просмотреть все приложения, запуск которых был запрещен Защитником Windows. В списке «Выберите применяемое действие» отображаются все объекты, которые программа пожелала опасными. Для просмотра определенной программы, нажмите на ней два раза левой кнопкой мыши. Для отображения всех элементов списка нажмите на кнопку «Просмотр». При появлении запроса контроля учетных записей пользователей предоставьте подтверждение. Помещая программу в карантин, Защитник Windows перемещает ее в особое место на компьютере. Для каждого из объектов вы можете нажать на кнопку «Удалить» или «Восстановить». Также для удаления всех зараженных объектов, вы можете нажать на кнопку «Удалить все». Для каждой программы вы можете увидеть разные уровни оповещения. В программе Защитник Windows существует три вида оповещений: - Критический или высокий – это программы, которые могут выполнять сбор личных данных и отрицательно влиять на конфиденциальность либо могут повредить компьютер.
- Средний уровень – это программы, которые могут повлиять на конфиденциальность и внести изменения, которые могут отрицательно сказаться на производительности системы.
- Низкий уровень – это нежелательные программы, которые могут выполнять сбор сведений о пользователе или компьютере либо изменять характер работы системы, но работающие в соответствии с лицензионным соглашением.
На следующем скриншоте вы можете увидеть окно «Объекты в карантине»:
Увеличить рисунок
Сообщество Microsoft SpyNetСообщество Microsoft SpyNet представляет собой интернет-сообщество, помогающее выбрать способы защиты от шпионских и потенциально опасных программ. Это сообщество также способствует предотвращению распространения новых шпионских программ. При помощи программы Защитник Windows у вас есть возможность присоединиться к этому сообществу и передавать на сервера Microsoft сведения об обнаруженном на вашем компьютере нового опасного программного обеспечения. Некоторые сведения будут отправляться автоматически. Присоединиться к этому сообществу вы можете следующими способами: - Перейдите в окно «Присоединиться к сообществу Microsoft SpyNet». Это можно сделать следующими способами:
- В меню Защитника Windows перейдите в «Журнал». В области «Хотите помочь предотвратить распространение потенциально опасных и нежелательных программ?» перейдите по ссылке «Присоединяйтесь к Microsoft SpyNet».
- В меню Защитника Windows перейдите в «Программы» и нажмите на ссылку «Объекты в карантине». В области «Хотите помочь предотвратить распространение потенциально опасных и нежелательных программ?» перейдите по ссылке «Присоединяйтесь к Microsoft SpyNet».
- В меню Защитника Windows перейдите в «Программы» и нажмите на ссылку «Разрешенные объекты». В области «Хотите помочь предотвратить распространение потенциально опасных и нежелательных программ?» перейдите по ссылке «Присоединяйтесь к Microsoft SpyNet».
- В меню Защитника Windows перейдите в «Программы» и нажмите на ссылку «Microsoft SpyNet».
- В окне «Присоединиться к сообществу Microsoft SpyNet» укажите уровень своего участия и нажмите на кнопку «Сохранить».
Окно присоединения к сообществу отображено на следующем скриншоте:
Увеличить рисунок
Настройки присоединения к сообществу Microsoft SpyNet вы можете также указать при помощи системного реестра:
;Присоединиться к сообществу SpyNet
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\SpyNet]
"SpyNetReporting"=dword:00000001
;Присоединиться в роли обычного участника
;"SpyNetReporting"=dword:00000001
;Присоединиться в роли опытного участника
;"SpyNetReporting"=dword:00000002
;Не присоединяться
"SpyNetReporting"=dword:00000000
Программы и параметры Защитника WindowsВ окне программ и параметров Защитника Windows, которое открывается по нажатию на кнопку «Программы» в меню, вы можете: - Перейти к диалогу изменения параметров Защитника Windows;
- Присоединиться к сообществу Microsoft SpyNet;
- Просмотреть объекты, находящиеся в карантине и разрешенные объекты;
- Перейти на веб-сайт программы Защитник Windows и в «Центр компании Microsoft по защите от вредоносных программ».
Окно «Программы и параметры» отображено на следующем скриншоте:
Увеличить рисунок
По умолчанию программа Защитник Windows выполняет быструю проверку каждый день в восемь часов вечера. Вы можете изменить периодичность, время и еще множество настроек, перейдя в окно параметров программы. Рассмотрим подробно все вкладки параметров Защитника Windows. На вкладке «Автоматическая проверка» вы можете задать тип и частоту выполнения проверки на компьютере. Все параметры вкладки «Автоматическая проверка» отображены на следующем скриншоте:
Увеличить рисунок
Сняв флажок «Автоматически проверять компьютер», вы полностью отключаете защиту компьютера. В раскрывающихся списках «Частота», «Примерное время» и «Тип» вы можете изменять значения, которые указаны по умолчанию. Такого же результата вы можете добиться, изменив следующие параметры в системном реестре:
;Автоматически проверять компьютер - частота
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan]
"ScheduleDay"=dword:00000000
;Еженедельно
;"ScheduleDay"=dword:00000000
;Понедельник
;"ScheduleDay"=dword:00000002
;Вторник
;"ScheduleDay"=dword:00000003
;Среда
;"ScheduleDay"=dword:00000004
;Четверг
;"ScheduleDay"=dword:00000005
;Пятница
;"ScheduleDay"=dword:00000006
;Суббота
;"ScheduleDay"=dword:00000007
;Воскресенье
;"ScheduleDay"=dword:00000001
;Примерное время (Пример - 09-00)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan]
"ScheduleTime"=dword:0000021c
;Тип
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan]
"ScanParameters"=dword:00000001
;Быстрая проверка
;"ScanParameters"=dword:00000001
;Полная проверка
;"ScanParameters"=dword:00000002
Если установить флажок «Проверить на наличие установленных обновлений перед проверкой», то перед автоматической проверкой компьютера будет запускаться обновление. Также эту опцию можно установить с помощью реестра:
;Проверить на наличие установленных обновлений перед проверкой
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan]
"CheckForSignaturesBeforeRunningScan"=dword:00000001
Установив флажок на опции «Запускать проверку только в состоянии простоя», проверка будет выполняться только в том случае, если на момент автоматической проверки не будет выполняться никаких активных действий. Это также можно выполнить средствами системного реестра:
;Запускать проверку только в состоянии простоя
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan]
"ScanOnlyIfIdle"=dword:00000001
На вкладке действия по умолчанию, вы можете установить действия, которые будут выполняться при обнаружении шпионских или потенциально опасных программ для всех предусмотренных в Защитнике Windows уровней опасности. Для каждого из уровней доступны следующие действия: «Рекомендуемое действие на основе определений», «Удалить» или «Карантин» Также доступна установка действий средствами реестра:
;Высокий уровень опасности
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
"5"=dword:00000003
;Рекомендуемое действие на основе определений
;"5"=-
;Удалить
;"5"=dword:00000003
;Карантин
;"5"=dword:00000002
;Высокий уровень опасности
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
"4"=dword:00000003
;Рекомендуемое действие на основе определений
;"4"=-
;Удалить
;"4"=dword:00000003
;Карантин
;"4"=dword:00000002
;Средний уровень опасности
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
"2"=dword:00000003
;Рекомендуемое действие на основе определений
;"2"=-
;Удалить
;"2"=dword:00000003
;Карантин
;"2"=dword:00000002
;Разрешить
;"2"=dword:00000006
;Низкий уровень опасности
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
"1"=dword:00000003
;Рекомендуемое действие на основе определений
;"1"=-
;Удалить
;"1"=dword:00000003
;Карантин
;"1"=dword:00000002
;Разрешить
;"1"=dword:00000006
Установив флажок «Применить рекомендуемые действия», программа Защитник Windows не будет вам выдавать запрос, а начнет сразу выполнять те действия, которые вы выставили в этом диалоге. Также вы можете это сделать средствами реестра:
;Применить рекомендуемые действия
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableRoutinelyTakingAction"=dword:00000001
Увеличить рисунок
На вкладке «Защита в реальном времени», для того чтобы предотвратить запуск шпионских и потенциально опасных программ на компьютере, установите флажок «Использовать защиту в реальном времени». Средствами реестра это реализовывается следующим образом:
;Использовать защиту в реальном времени
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection]
"DisableRealtimeMonitoring"=dword:00000000
Помимо этого вы можете установить флажки «Проверка загруженных файлов и вложений» и «Проверять выполняемые на компьютере программы» для выполнения соответствующих действий. Также это можно сделать при помощи системного реестра:
;Проверка загруженных файлов и вложений
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection]
"DisableIOAVProtection"=dword:00000000
;Проверять выполняемые на компьютере программы
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection]
"DisableOnAccessProtection"=dword:00000000
Увеличить рисунок
На вкладке «Исключенные файлы и папки» нажав на кнопку «Добавить» и выбрав из диалога «Обзор файлов и папок» определенные файлы или папки, вы можете исключить их из объектов для сканирования. Это также можно сделать при помощи системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths]
"ИМЯ_ПАПКИ"=dword:00000000
Где в названии параметра «ИМЯ_ПАПКИ» нужно ввести полный путь к папке или файлу, который будет исключен из сканирования.
Увеличить рисунок
Во вкладке «Исключенные типы файлов» вы можете добавлять расширения, которые не будут сканироваться. Добавляя только расширение файлов, в формате «*.jpg», операционная система автоматически определит тип файлов и добавит их в список. При помощи реестра исключать типы файлов можно следующим образом:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions]
"JPG"=dword:00000000
"PNG"=dword:00000000
"PS1"=dword:00000000
Увеличить рисунок
На вкладке «Подробно» вы можете выбрать пять дополнительных вариантов для проверки вашего компьютера: - «Проверять архивные файлы» - сканирование архивных файлов и папок, однако это может занять больше времени.
- «Проверять электронную почту» - проверка содержимого сообщений электронной почты и вложенных файлов.
- «Проверять съемные носители» - проверка содержимого съемных носителей.
- «Использовать эвристику» - использование эвристического поиска шпионского и потенциально опасного программного обеспечения. Так что в журнал программы могут попасть даже те программы, сведения о которых отсутствуют в обновлениях.
- «Создание точки восстановления» - создание точки восстановления перед каждым удалением программ из карантина.
Увеличить рисунок
Все эти параметры можно настроить при помощи системного реестра следующим образом:
;Проверять архивные файлы
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan]
"DisableArchiveScanning"=dword:00000000
;Проверять сообщения электронной почты
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan]
"DisableEmailScanning"=dword:00000000
;Проверять съемные носители
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan]
"DisableRemovableDriveScanning"=dword:00000000
;Использовать эвристику
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan]
"DisableHeuristics"=dword:00000000
;Создать точку восстановления
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan]
"DisableRestorePoint"=dword:00000000
На последней вкладке параметров Защитника Windows «Администратор» вы можете полностью отключить программу, сняв флажок на опции «Использовать эту программу», а также в журнале административной учетной записи отображать все шпионские и потенциально опасные программы для всех пользователей текущего компьютера при помощи опции «Показать элементы всех пользователей компьютера». Эти действия вы можете выполнить при помощи реестра:
;Использовать эту программу
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000
;Показать элементы всех пользователей компьютера
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\UX Configuration]
"DisablePrivacyMode"=dword:00000001
Увеличить рисунок
ЗаключениеВ этом руководстве рассказывается о компоненте операционной системы Windows 7 Защитнике Windows. Подробно описаны принципы обновления и проверки компьютера, о журнале и карантине программы, а также обо всех настройках программы при помощи графического интерфейса и системного реестра. Но невзирая на все преимущества компонента Защитник Windows, желательно на своем компьютере использовать брандмауэр Windows и антивирусное программное обеспечение.
Автор: Dmitry Bulanov
|