Удалить вирус-шифровальщик Windows10 и восстановить зашифрованные файлы. Что такое шифрование

В этой статье представлен общий обзор BitLocker, включая список требований к системе, а также сведения об устаревших функциях и практическом применении.

Общие сведения о BitLocker

Шифрование диска BitLocker - это функция защиты данных, которая интегрируется в операционную систему и предотвращает угрозы хищения данных или раскрытия информации на потерянных, украденных или неправильно выведенных из эксплуатации компьютерах.

BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или выше. Доверенный платформенный модуль - это аппаратный компонент, который производители устанавливают на многих новых компьютерах. Совместно с BitLocker он обеспечивает защиту данных пользователей и предотвращает несанкционированный доступ к компьютеру, пока система находится вне сети.

На компьютерах без доверенного платформенного модуля версии 1.2 или более поздней все равно можно зашифровать диск операционной системы Windows с помощью BitLocker. Но при такой реализации пользователь должен вставить USB-накопитель с ключом запуска, чтобы запустить компьютер или вывести его из режима гибернации. В Windows 8 и более поздних версий вы можете с помощью пароля защитить том операционной системы на компьютере без доверенного платформенного модуля. Ни один из этих вариантов не обеспечивает проверку целостности системы перед запуском, которая возможна при использовании BitLocker вместе с доверенным платформенным модулем.

В дополнение к возможностям доверенного платформенного модуля компонент BitLocker позволяет блокировать обычный процесс запуска до тех пор, пока пользователь не введет ПИН-код или не вставит съемное устройство (например, USB-накопитель) с ключом запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и предотвращают запуск компьютера или его выведение из режима гибернации, если не указан правильный ПИН-код или не предоставлен ключ запуска.

Практическое применение

Данные на потерянном или украденном компьютере уязвимы к несанкционированному доступу в результате программной атаки или передачи жесткого диска на другой компьютер. BitLocker помогает предотвратить несанкционированный доступ к данным, усиливая защиту файлов и системы. Кроме того, BitLocker помогает сделать данные недоступными при выводе из эксплуатации защищенных при помощи этого компонента компьютеров или передаче таких компьютеров другим пользователям.

В средствах удаленного администрирования сервера есть еще два инструмента, с помощью которых можно управлять BitLocker.

Средство просмотра паролей восстановления BitLocker . Средство просмотра паролей восстановления BitLocker позволяет находить и просматривать пароли восстановления для шифрования дисков BitLocker, резервные копии которых созданы в доменных службах Active Directory (AD DS). С помощью этого средства можно восстанавливать данные на диске, зашифрованном с помощью BitLocker. Средство просмотра паролей восстановления BitLocker - дополнение к оснастке "Пользователи и компьютеры Active Directory" для консоли управления (MMC). С помощью этого средства можно изучить диалоговое окно Свойства объекта-компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker. Кроме того, вы можете щелкнуть контейнер домена правой кнопкой мыши, а затем искать пароль восстановления BitLocker на всех доменах в лесу Active Directory. Просматривать пароли восстановления может администратор домена или пользователь, которому этот администратор делегировал соответствующие разрешения.

Средства шифрования диска BitLocker . В средства шифрования диска BitLocker входят программы командной строки manage-bde и repair-bde, а также командлеты Windows PowerShell для BitLocker. Как manage-bde, так и командлеты для BitLocker позволяют решить любую задачу, выполнимую с помощью панели управления BitLocker. Кроме того, они подойдут для автоматического развертывания и других сценариев, в которых применяются сценарии. Программа командной строки repair-bde предназначена для аварийного восстановления в тех случаях, когда защищенный с помощью BitLocker диск не удается разблокировать обычным способом или с помощью агента восстановления.

Новые и измененные функции

Новые возможности в BitLocker для Windows10, такие как поддержка алгоритма шифрования XTS-AES, см. в разделе BitLocker в «Что нового в Windows 10.»

Системные требования

Требования BitLocker к аппаратному обеспечению

Компонент BitLocker мог использовать проверку целостности системы, предоставленные по доверенного платформенного модуля (TPM), на компьютере должен быть TPM1.2 или более поздней версии. Если на вашем компьютере не установлен доверенный платформенный модуль, то для включения BitLocker необходимо сохранить ключ запуска на съемном устройстве, например USB-устройстве флэш-памяти.

На компьютере с TPM также должно быть встроенное ПО BIOS или UEFI, отвечающее стандартам организации TCG. Встроенное ПО BIOS или UEFI устанавливает цепочку сертификатов перед запуском операционной системы и должно предусматривать поддержку метода SRTM (Static Root of Trust Measurement), описанного в спецификации TCG. Для компьютера без TPM не требуется встроенное ПО, отвечающее стандартам организации TCG.

Встроенное ПО BIOS или UEFI системы (для компьютеров с TPM и без него) должно поддерживать класс запоминающих устройств для USB, а также считывание небольших файлов с USB-устройства флэш-памяти в среде до запуска операционной системы.

Жесткий диск должен быть разбит как минимум на два диска.

• Диск операционной системы (или загрузочный диск), который содержит операционную систему и ее вспомогательные файлы. Он должен быть отформатирован с использованием файловой системы NTFS.
• Системный диск, который содержит файлы, необходимые для загрузки Windows после того, как встроенное ПО подготовит системное оборудование. На этом диске не включается BitLocker. Чтобы работал компонент BitLocker, системный диск не должен быть диском операционной системы. Кроме того, он должен быть отформатирован с использованием файловой системы FAT32 на компьютерах с UEFI (или с использованием файловой системы NTFS на компьютерах с BIOS). Рекомендуемый размер системного диска - около 350 МБ. После включения BitLocker должно остаться примерно 250 МБ свободного дискового пространства.

При установке Windows на новом компьютере автоматически создадутся разделы, необходимые для BitLocker.

При установке необязательного компонента BitLocker на сервере вам также потребуется установить компонент Enhanced Storage, который используется для поддержки аппаратно зашифрованных дисков.

В этом разделе

Статья	Описание
Общие сведения о функции шифровании устройств BitLocker в Windows 10	В этом разделе для ИТ-специалистов представлен обзор способов, которыми BitLocker и шифрование устройств помогают защитить данные на устройствах под управлением Windows 10.
Вопросы и ответы по BitLocker	В этой статье, предназначенной для ИТ-специалистов, даются ответы на часто задаваемые вопросы, касающиеся требований использования, обновления, развертывания и администрирования, а также политик управления ключами для BitLocker.
Подготовка организации к использованию BitLocker: планирование и политики	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как планировать развертывание BitLocker.
Базовое развертывание BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать функции шифрования диска BitLocker для защиты данных.
BitLocker: Как развертывание в Windows Server	В этом разделе для ИТ-специалистов описывается развертывание BitLocker в Windows Server.
BitLocker: включение сетевой разблокировки	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как работает сетевая разблокировка BitLocker и как ее настроить.
BitLocker: использование средств шифрования диска BitLocker для управления BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средства для управления BitLocker.
BitLocker: использование средства просмотра пароля восстановления BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как использовать средство просмотра пароля восстановления в BitLocker.
Параметры групповой политики BitLocker	В этой статье для ИТ-специалистов рассказывается о функциях, расположении и действии всех параметров групповой политики, используемых для управления BitLocker.
Параметры данных конфигурации загрузки и BitLocker	В этой статье, предназначенной для ИТ-специалистов, описаны параметры данных конфигурации загрузки, которые используются в BitLocker.
Руководство по восстановлению BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как восстановить ключи BitLocker из ADDS.
Защита BitLocker от атак с использованием предзагрузочной среды	Это подробное руководство поможет вам понять условиях, которые рекомендуется использовать проверку подлинности в предзагрузочной для устройств под управлением Windows10, Windows 8.1, Windows 8 или Windows 7; и при его можно безопасно исключить из конфигурации устройства.
Защита общих томов кластера и сетей хранения данных с помощью технологии BitLocker	В этой статье, предназначенной для ИТ-специалистов, рассказывается, как защитить общие тома кластеров и сети хранения данных с помощью BitLocker.
Включение безопасной загрузки и шифрования устройства BitLocker в Windows 10 IoT Базовая	В этом разделе описывается, как использовать BitLocker в Windows 10 IoT Базовая

Обратная связь

Мы бы хотели узнать ваше мнение. Укажите, о чем вы хотите рассказать нам.

Наша система обратной связи основана на принципах работы с вопросами на GitHub. Дополнительные сведения см. в .

Шифрование – не просто остановка NSA – это защита ваших конфиденциальных данных на случай, если вы когда-либо потеряете свой ПК. В отличие от всех других современных пользовательских операционных систем – macOS, Chrome OS, iOS и Android – Windows 10 по-прежнему не предлагают интегрированные инструменты шифрования для всех. Возможно, вам придётся заплатить за профессиональную версию Windows 10 или использовать стороннее решение для шифрования.

Если ваша Windows поддерживает шифрование

Многие новые ПК, поставляемые с Windows 10, автоматически активируют «Шифрование устройств». Эта функция была впервые представлена в Windows 8.1 и требует особых аппаратных возможностей. Не каждый компьютер будет иметь эту функцию.

Есть ещё одно ограничение: фактически она шифрует ваш диск, только если вы входите в Windows с учетной записью Microsoft . Затем ваш ключ восстановления загружается на серверы Microsoft. Это поможет вам восстановить ваши файлы, если вы не сможете войти на свой компьютер. (Именно поэтому ФБР, вероятно, не слишком беспокоится об этой функции , но мы все равно рекомендуем использовать шифрование как средство защиты ваших данных от воров.)

Шифрование устройства также будет включено, если вы войдете в домен организации . Например, вы можете войти в домен, принадлежащий вашему работодателю или школе. Затем ваш ключ восстановления будет загружен на серверы вашей организации. Тем не менее, это не относится к компьютерам обычного пользователя, подключенным к доменам.

Чтобы проверить, включено ли шифрование устройства , откройте приложение Параметры , перейдите в Система → О программе и найдите «Шифрование устройства» в нижней части панели «О компании». Если вы здесь ничего не видите о шифровании устройства, ваш компьютер не поддерживает шифрование устройств, или оно не включено.

Если шифрование устройства включено или Вы можете включить его, выполнив вход с учетной записью Microsoft, вы увидите сообщение об этом.

Для пользователей Windows Pro: BitLocker

Если шифрование устройства не включено или требуется более мощное решение для шифрования, которое может также шифровать съемные USB-диски, следует обратить внимание на BitLocker.

Средство шифрования Microsoft BitLocker от Microsoft теперь входит в состав Windows нескольких версий. Тем не менее, Microsoft по-прежнему ограничивает BitLocker профессиональными, корпоративными и образовательными версиями Windows 10.

BitLocker наиболее безопасен на компьютере, который имеет аппаратное обеспечение Trusted Platform Module (TPM), присутствующее на большинстве современных ПК. Если вы собрали свой собственный компьютер, вы можете добавить к нему чип TPM. Найдите чип TPM, который продается в качестве дополнительного модуля. Вам понадобится тот, который поддерживает материнскую плату внутри вашего ПК.

Обычно Windows говорит, что для BitLocker требуется TPM, но есть скрытая опция, которая позволяет включать BitLocker без TPM . Вам придется использовать USB-флешку в качестве «ключа запуска», который должен присутствовать при каждой загрузке, если вы включите эту опцию.

Если на вашем компьютере уже установлена профессиональная версия Windows 10, вы можете выполнить поиск «BitLocker» в меню «Пуск» и использовать панель управления BitLocker для её включения. Если вы бесплатно обновили Windows 7 Professional или Windows 8.1 Professional, у вас должен быть Windows 10 Professional.

Если у вас нет профессиональной версии Windows 10, вы можете заплатить, примерно, $99 за обновление Windows 10 Home до Windows 10 Professional. Просто откройте приложение «Параметры», перейдите в Обновление и безопасность → Активация и нажмите кнопку Перейти в магазин . Вы получите доступ к BitLocker и другим функциям, которые включает Windows 10 Professional .

Эксперту по безопасности Брюсу Шнайе нравится собственный инструмент полного шифрования диска для Windows под названием BestCrypt. Он полностью функционален на Windows 10 с современным оборудованием. Однако, стоимость этого инструмента сравнима с обновлением до Windows 10 Professional, поэтому лучше использовать BitLocker.

Для всех: VeraCrypt

Тратить ещё $99, чтобы зашифровать жесткий диск для некоторой дополнительной безопасности, может быть слишком расточительным, когда современные ПК с Windows часто стоят всего несколько сотен долларов. Между тем, Вам не нужно платить дополнительные деньги за шифрование, потому что BitLocker не единственный вариант. BitLocker – это наиболее интегрированный, хорошо поддерживаемый вариант, но есть и другие инструменты шифрования, которые вы можете использовать.

Почтенный TrueCrypt, инструмент полного шифрования с открытым исходным кодом, который больше не разрабатывается, и имеет некоторые проблемы на ПК с Windows 10. Он не может зашифровывать системные разделы GPT и загружать их с использованием UEFI, для большинства ПК с Windows 10. Тем не менее, VeraCrypt – инструмент с открытым исходным кодом для полного шифрования на основе исходного кода TrueCrypt поддерживает шифрование системного раздела EFI с версии 1.18a и 1.19.

Другими словами, VeraCrypt позволит Вам зашифровать системный раздел ПК Windows 10 бесплатно.

Разработчики TrueCrypt закрыли разработку и объявили TrueCrypt уязвимым и небезопасным, но исследователи всё ещё сомневаются в истинности этих утверждений. Большая часть обсуждений вокруг этого сосредотачивается на том, имеют ли NSA и другие агентства безопасности способ взломать это шифрование с открытым исходным кодом. Если вы просто шифруете свой жесткий диск, чтобы воры не могли получить доступ к вашим личным файлам, когда они украдут ваш ноутбук, вам не придется беспокоиться об этом. TrueCrypt достаточно безопасен.

Проект VeraCrypt улучшил безопасность и потенциально может быть более безопасным, чем TrueCrypt. Независимо от того, шифруете ли вы всего несколько файлов или весь системный раздел, это то, что мы рекомендуем.

Мы хотели бы, чтобы Microsoft предоставила пользователям Windows 10 больше доступа к BitLocker или, по крайней мере, расширила Device Encryption, чтобы его можно было включить на других ПК. Современные компьютеры Windows должны иметь встроенные средства шифрования, как и все другие современные операционные системы. Пользователям Windows 10 не нужно платить больше или искать стороннее программное обеспечение, чтобы защитить свои важные данные, если их ноутбуки когда-либо будут утеряны или украдены.

В последней версии Windows 10 Fall Creators Update (версия 1709) появилась новая функция защитника Windows. Функция «Контролируемый доступ к папкам » позволяет защитить файлы и папки от действия вирусов-шифровальщиков и других подобных угроз.

В этой статье попробуем разобраться, что из себя представляет функция «Контролируемый доступ к папкам». Я покажу как включить защиту от шифровальщиков и сделаю небольшой эксперимент с заражением Windows для того, чтобы узнать насколько эта самая защита от шифровальщиков может защитить пользователя.

Защита от шифровальщиков в Windows 10

Функция «Контролируемый доступ к папкам» позволяет пользователям контролировать доступ к определенным папкам. Работает она по принципу, все что не добавлено в белый лист — будет заблокировано. Теоретически это должно усложнить шифровальщикам получение доступа к папкам и заражения файлов.

Шифровальщики - основной подкласс троянов-вымогателей, а Windows - основная атакуемая платформа. Поэтому Microsoft старается предпринять дополнительные меры защиты.

Проблема в том, что шифровальщики - это не классические вирусы трояны, и эффективное противодействие им требует принципиально других подходов. Отловить известного шифровальщика по сигнатуре под силу практически любому антивирусу, а вот поймать новый экземпляр - совсем другая задача.

Шифровальщик зашифровал файл в Windows

Упреждающий удар со стороны антивируса затруднен хотя бы потому, что трояны-вымогатели используют легитимные средства , как и многие популярные программы шифрования. В их коде обычно нет каких-нибудь явных признаков злонамеренной активности, поэтому эвристика и другие меры несигнатурного анализа антивириусов часто не срабатывают.

Поиск отличительных маркеров Ransomware - головная боль всех антивирусных разработчиков. Все, что они пока могут предложить, - это подменить задачу. Вместо поиска рансомварей сосредоточиться на их основной цели и смотреть за ней.

То есть - контролировать доступ к файлам и каталогам пользователя, а также регулярно делать их бэкап на случай, если все же до них доберется.

На практике это далеко не идеальный подход. Контроль доступа - это снова баланс между безопасностью и удобством, сильно смещенный в сторону дискомфорта. Концептуально ситуация такая же, как и при использовании новой функции Exploit Guard: либо запрещающие правила применяются сполна, но работать за компьютером становится проблематично, либо ограничения заданы формально ради сохранения совместимости со старым софтом и удобства пользователя.

Контроль доступа к папкам в Windows Defender

Подобный контроль доступа давно появился в сторонних антивирусах, но немного в другом виде. Он был нацелен на сохранность системы, а не на обнаружение угроз. Предполагается, что, если антивирус проморгает зловреда, дополнительные средства контроля просто заблокируют нежелательные изменения в каталоге \Windows\ и загрузчике.

Если для системных файлов этот подход еще как-то годится, то для пользовательских - нет. В отличие от системного каталога, содержимое которого более-менее одинаково на разных компьютерах, в пользовательском может находиться что угодно.

К тому же запросы на изменение файлов в нем могут поступить от любой программы. Добавьте к этому OLE, возможность любого процесса вызывать другой и открывать файлы через него, и вы получите представление о том, как выглядит ад для антивирусного разработчика.

Поскольку модификация пользовательских файлов никак не влияет на работу ОС, в Windows не было встроенных средств их защиты. Все изменилось с выходом обновленной версии Windows 10, в которой встроенный «Защитник» начал контролировать документы, фотографии и прочий пользовательский контент.

Утверждается, что он не даст заменить файлы их зашифрованными версиями, лишая авторов шифровальщика повода требовать выкуп.

Как включить контролируемый доступ к папкам

Вот несколько шагов, с помощью которых вы сможете включить функцию «Контроль доступа».

С включение контроля доступа и добавлением защищенных папок разобрались. Теперь давайте проверим в действии.

Тестирование функции «Контроль доступа Windows»

Для проверки я решил создать тестовую папку C:\Docs\ с документами разного типа и добавить ее в список контроля доступа Windows Defender. Затем запустил несколько популярных троянов-вымогателей и посмотрел, сможет ли «Защитник Windows» им противостоять и защитить пользователя от шифровальщика.

Добавляем контролируемую папку

В этом тесте Windows Defender справился с подборкой троянов лучше многих сторонних антивирусов. Он просто не дал скопировать с сетевого диска ни один образец, включая разные модификации WannaCry, Petya, TeslaCrypt, Jigsaw, Locky и Satana.

Все они были автоматически удалены, несмотря на измененное расширение (.tst) и упаковку средствами UPX.

«Защитник Windows» обезвредил на лету модификацию трояна Petya

Новый компонент «Контролируемый доступ к папкам» - это часть защиты в реальном времени. Поэтому отключить в Windows Defender сканирование на лету и проверить новую функцию отдельно не удастся. Отключить постоянную защиту можно только полностью, но тогда результат будет предсказуемым.

Лог зашифрованных файлов

Я расширил тестовую подборку шифровальщиков, включив в нее свежие и малоизвестные виды. Однако Windows Defender моментально удалял их все, не оставляя выбора. Поэтому было решено провести модельный эксперимент, написав… нет, нет! Что вы, господин прокурор! Никакой не , а простейшую безвредную программу. Вот ее код, добро пожаловать в девяностые!

@ echo off echo Open ` Docs ` directory cd C : \ Docs \ echo The original content of ` lenses . txt ` file is listed below : more < lenses . txt echo Changing text in file "lenses.txt" . . . echo File data was replaced by this string > lenses . txt echo Done ! more < lenses . txt

Любой шифровальщик заменяет файлы пользователя их зашифрованными версиями. По сути, нам требуется проверить, как функция «Контролируемый доступ к папкам» блокирует операции перезаписи файлов в каталоге пользователя.

Эта программа как раз заменяет содержимое файла в указанном каталоге той строкой, которую вы сами укажешь. Знак > перенаправляет консольный вывод в файл, полностью перезаписывая его.

Преимущество у этого батника в том, что он выглядит подозрительно (исполняемый файл с низкой репутацией) и его код точно неизвестен антивирусу. Он был написан только что и не успел нигде засветиться.

В качестве цели был указан файл lenses.txt, поскольку его содержимое отформатировано знаками табуляции и наглядно отображается в консоли командой more в пределах одного экрана.

После запуска командный файл показывает содержимое каталога C:\Docs\, а затем - файла lenses.txt. Он пытается перезаписать его строкой File data was replaced by this string и снова показывает содержимое lenses.txt для проверки результата.

Сам командный файл запускается из другого каталога - «Загрузки», имитируя привычку неопытного пользователя (скачивать что ни попадя и кликать на все подряд).

Если мы просто запустим батник двойным кликом, то увидим, что файл lenses.txt остался в прежнем виде. Функция «Контролируемый доступ к папкам» справилась со своей задачей, предотвратив перезапись документа по команде от неизвестного исполняемого файла.

При этом текст можно спокойно открыть и отредактировать в «Блокноте», а потом сохранить поверх старого, и это не вызовет никаких вопросов. Notepad - доверенный процесс, и для пользователя защита работает прозрачно.

Защитник Windows заблокировал изменения документа

При желании можно добавить стороннее приложение в список доверенных. Да, вы совершенно верно восприняли это как потенциальный вектор атаки.

Добавляем приложение как доверенное

Если мы предварительно выполним и запустим наш батник с правами админа, то файл lenses.txt будет тихо перезаписан. Защитник Windows не шелохнется и даже не отразит это событие в логе. Ему все равно, админ отдал команду или какой-то левый файл от имени админа.

Документ удалось изменить

Таким образом, с использованием (само)доверенных процессов или с помощью предварительного повышения привилегий трояны-шифровальщики смогут обойти новую функцию «Контролируемый доступ к папкам», появившуюся в Windows 10 v. 1709. Причем сделать это можно даже методами времен MS-DOS. Да здравствует совместимость!

Контролируемый доступ к папкам: есть ли смысл?

Как мы смогли выяснить «Контроль доступа» - защита полумера. Она поможет снизить ущерб от простейших шифровальщиков, запускаемых с правами пользователя и не более.

Если же автор очередного шифровальщика будет использовать способы повышения привилегий или сможет отправить запрос на изменение файлов через доверенный процесс, то новые функции Windows 10 не спасут данные пользователя.

Этой осенью Windows 10 обновилась до версии 1709 с кодовым названием Fall Creators Update или Redstone 3. Среди множества изменений нас прежде всего заинтересовала улучшенная защита от неизвестных зловредов. В Microsoft приняли ряд мер для противодействия троянам-шифровальщикам и эксплоитам. Насколько же они оказались успешны?

Старый новый защитник

Все новое - это хорошо ребрендированное старое. В «осеннем обновлении для дизайнеров» встроенные компоненты защиты объединили в «Центре безопасности Защитника Windows». Даже программный файрвол стал называться «Брандмауэр Защитника Windows», но эти изменения - чисто косметические. Более существенные касаются новых функций, которые мы подробнее рассмотрим ниже.

Еще один старый-новый компонент, появившийся в Redstone 3, называется «Защита от эксплоитов». Windows Defender Exploit Guard, или просто EG, включается через «Центр безопасности Защитника Windows» в разделе «Управление приложениями и браузером».

Технически Exploit Guard - это бывшая служебная программа Enhanced Mitigation Experience Toolkit со слегка выросшим набором функций и новым интерфейсом. EMET появилась еще во времена Windows Vista, теперь же ее поддержка прекращена, а Exploit Guard занял ее место. Он относится к средствам продвинутой защиты от угроз (Advanced Threat Protection), наряду с менеджером подключаемых устройств Device Guard и защитником приложений Application Guard. Злые языки поговаривают, что в Microsoft изначально хотели представить общий компонент Advanced System Security Guard, но аббревиатура вышла совсем неблагозвучной.

Защита от эксплоитов

Exploit Guard - это всего лишь инструмент снижения риска, он не избавляет от необходимости закрывать уязвимости в софте, но затрудняет их использование. В целом принцип работы Exploit Guard состоит в том, чтобы запрещать те операции, которые чаще всего используются зловредами.

Проблема в том, что многие легитимные программы тоже их используют. Более того, есть старые программы (а точнее, динамические библиотеки), которые просто перестанут работать, если задействовать в Windows новые функции контроля памяти и прочие современные средства защиты.

Поэтому настройка Exploit Guard - это такие же вилы, какими ранее было использование EMET. На моей памяти многие администраторы месяцами вникали в тонкости настроек, а затем просто прекращали использовать ограничительные функции из-за многочисленных жалоб пользователей.

Если же безопасность превыше всего и требуется закрутить гайки потуже, то самыми востребованными функциями Exploit Guard были (со времен EMET) и остаются:

• DEP (Data Execution Prevention) - предотвращение выполнения данных. Не позволяет запустить на исполнение фрагмент кода, оказавшийся в не предназначенной для этого области памяти (например, в результате ошибки переполнения стека);
• случайное перераспределение памяти - предотвращает атаку по известным адресам;
• отключение точек расширения - препятствует внедрению DLL в запускаемые процессы (см. про обход UAC, где этот метод широко использовался);
• команда DisallowChildProcessCreation - запрещает указанному приложению создавать дочерние процессы;
• фильтрация таблиц адресов импорта (IAF) и экспорта (EAF) - не позволяет (вредоносному) процессу выполнять перебор таблиц адресов и обращаться к странице памяти системных библиотек;
• CallerCheck - проверяет наличие прав на вызов конфиденциальных API;
• SimExec - имитация выполнения. Проверяет перед реальным исполнением кода, кому вернутся вызовы конфиденциальных API.

Команды могут быть переданы через PowerShell. Например, запрет создавать дочерние процессы выглядит так:

Set-ProcessMitigation -Name исполняемый_файл.exe -Enable DisallowChildProcessCreation

Все x86-процессоры и чипсеты последних десяти лет выпуска поддерживают DEP на аппаратном уровне, а для совсем старых доступна программная реализация этой функции. Однако ради совместимости новых версий Windows со старым софтом Microsoft до сих пор рекомендует включать DEP в режиме «только для системных процессов». По той же причине была оставлена возможность отключать DEP для любого процесса. Все это успешно используется в техниках обхода системы предотвращения выполнения данных.

Поэтому смысл от использования Exploit Guard будет только в том случае, если есть возможность задействовать сразу несколько защитных функций, не вызывая сбой хотя бы в работе основных приложений. На практике это редко удается. Вот пример профиля EG, конвертированного из EMET, который вообще вызывает сваливание Windows 10 в BSoD. Когда-то в «Хакере» была рубрика «Западлостроение», и Exploit Guard бы в нее отлично вписался.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.