Защита от malware на Flash-накопителях

Проблема распространения вредоносных программ на Flash накопителях является головной болью как для пользователей, так и для системных администраторов. Некорые меры позволяют повысить защищенность (например, отключение автозапуска), однако остается нерешенной проблема файловых вирусов (которые могут заразить размещенные на флешке исполняемые файлы), и зловредов, которые имитируют папки своей иконкой, раскладывают свои копии под разными "привлекательными для пользователя" именами и т.п. Блокировка возможности использования Flash накопителей является крайней мерой и ее мы не рассматриваем.

У данной проблемы существует эффективное и простое решение, применимое как в корпоративной среде, так и на домашнем ПК - оно состоит в использовании штатного для Windows механизма ограничения возможности запуска программ через политики безопасности.
Для выполнения настройки необходимо зайти в "Панель управления", там "Администрирование", "Локальная политика безопасности" - откроется консоль "Локальная политика безопасности". Запустить данную консоль можно и из командной строки - [I]%SystemRoot%\system32\secpol.msc /s[/I]

В данной консоли есть группа "Политики ограниченного использования программ", содержащая две вложенные подгруппы - "Уровни безопасности" и "Дополнительные правила". При первой попытке входа в данную группу система может задать вопрос о том, что политики ограниченного запуска отсутствуют и предложить создать политики по умолчанию - в ответ на данный вопрос следует согласиться.

[B]Алгоритм настройки таков:[/B]
1. Следует зайти в группу "Уровни безопасности" и убедиться в том, что там есть два уровня - "Не разрешено" и "Неограниченный". Причем на иконке уровня "Неограниченный" должна стоять птичка, показывающая, что данный уровень является уровнем по умолчнию и применяется всегда при условии, что не обнаружено правило, явно указывающее уровень безопасности

2. Следует зайти в группу "Дополнительные правила". Эта группа содержит набор правил, причем по умолчанию создается ряд стандартных правил, которые те следует трогать. Для создания нового правила следует выполнить пункт меню "Действие\Создать правило для пути":
[CENTER][IMG]http://virusinfo.info/attachment.php?attachmentid=224042[/IMG][/CENTER]
Правило предполагает задание пути, выбор уровня безопасности и ввод текстового комментария (комментарий не обязателен и системой не обрабатывается). Показанное на картинке правило запрещает запуск исполняемых файлов с диска F:\. Для защиты от зловредов на флешках остается только создать такие правила для всех букв дисков, соответсвующих сменным дискам.

Важно отметить,что:
[LIST][*]правило может быть создано для любого пути, например "c:\uTorrent\Downloads";[*]создание [B][COLOR=red]запрещающего правила для системного диска в буквальном смысле убъет систему - поэтому для системных дисков и папок недопустимо создание запрещающих правил !!![/COLOR][/B][/LIST][COLOR=black]3. После создания правил остается провести тестирование - подключить флешку, копировать на нее некий исполняемый файл для пробы и попробовать его запустить. Если все сделано правильно, то получим сообщение сообщение об ошибке и исполняемый файл не запустится. [/COLOR]
[CENTER] [IMG]http://virusinfo.info/attachment.php?attachmentid=224043[/IMG][/CENTER]
Информация о всех фактах блокировки вносится в системный журнал и может быть проанализирована:
[CENTER][IMG]http://virusinfo.info/attachment.php?attachmentid=224044[/IMG][/CENTER]
Важно отметить, что:
[LIST][*]данная блокировка не мешает копированию файлов с флешки и на нее, и не блокирует открытие документов и картинов с флеш-накопителя (т.е. например при подключении флеш карточки от фотоаппарата пользователь сможет просматривать, копировать и удалять фотографии, но не сможет запустить ничего исполняемого - при этом не важно, ведется запуск вручную или является следствием автозапуска.[*]Так как подобная политика не мешает работе с документами и не требует установки дополнительного ПО, то она может применяться совместно с любым антивирусом, и не вызывает негатива у пользователей в корпоративной среде.[*]Для работы данной политики не требуются ресурсы - решение принимается на остнове анализа пути, поэтому замедление в работе ПК не возникнет[/LIST]

[QUOTE='Зайцев Олег;604592']Правило предполагает задание пути, выбор уровня безопасности и ввод текстового комментария (комментарий не обязателен и системой не обрабатывается). Показанное на картинке правило запрещает запуск исполняемых файлов с диска Z:\. Для защиты от зловредов на флешках остается только создать такие правила для всех букв, соовтетсвующих сменным дискам. [/QUOTE]
правильно ли я поняла, это как бы частичная защита/ограничение - запрет запуска исполняемых файлов с флешки.
но это не мешает скопировать этот же файл с флешки на компьютер и запустить уже с компьютера

[QUOTE=Юльча;604607]правильно ли я поняла, это как бы частичная защита/ограничение - запрет запуска исполняемых файлов с флешки.
но это не мешает скопировать этот же файл с флешки на компьютер и запустить уже с компьютера[/QUOTE]
Естественно, что если пользователь вручную скопирует файл куда-то к себе на диск, и вручную запустит - то файл будет запущен. Это и хорошо (так как позволяет принести на флешке исполняемый файл и запустить его), и плохо (файл может быть зловредом). Поэтому данная политика - это полезное дополнение к антивирусу, но никак не его замена.

А есть такая возможность для хомяковых версий?

политика прописана в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\(guid политики? или накопителя?)]

[QUOTE=Зайцев Олег;604592]

данная блокировка не мешает копированию файлов с флешки и на нее, [B][I][COLOR=blue]и не блокирует открытие документов и картинов с флеш-накопителя[/COLOR][/I][/B] (т.е. например при подключении флеш карточки от фотоаппарата пользователь сможет просматривать, копировать и удалять фотографии, но не сможет запустить ничего исполняемого - при этом не важно, ведется запуск вручную или является следствием автозапуска.

[/QUOTE]

Можно добавить, что это при настройках по умолчанию.

В политике существует возможность настраивать типы файлов, запрещенных для запуска/открытия.

Просто замечательный совет!
Но возник вопрос:
Если у человека есть USB 3G модем (Билайн),то при вставке его в USB порт компьютера будет ли он запускаться и работать?
(просто подумываю приобрести).

[QUOTE=pps;607209]Просто замечательный совет!
Но возник вопрос:
Если у человека есть USB 3G модем (Билайн),то при вставке его в USB порт компьютера будет ли он запускаться и работать?
(просто подумываю приобрести).[/QUOTE]
На работе модема (равно как иной USB периферии) политика никак не скажется ... Но есть особенность - некоторые модемы содержат кроме собственно модема еще и втроенный USB накопитель небольшой емкости (аналог флешки или эмуляция USB CDROM) - при подключении модема система определяет такое дисковое устройство, на нем размещаются драйвера и управляющее ПО от модема. Вот на его запуск политика повлияет, выход из положения:
1. Можно создать разрешающую политику конкретно для определенного исполняемого файла, необходимого модему (причем я показал простейший случай - политики можно создавать для хеша, т.е. проще говоря разрешить или запретить запуск вполне конкретного файла по его контрольной сумме)
2. Скорее всего, спец. ПО от модема необходимо будет установить только один раз (для этого политику можно временно отключить)

Олег,спасибо за ответ.
У моего знакомого есть такой модем.
При вставке его в USB порт запускается находящаяся на нем программа инициализации (такая надпись появляется на экране).Потом появляется окно для управления модемом (подключение,баланс и т.д.).
На диске С создаются временные файлы,которые удаляются при извлечении модема.
Никакое ПО на диск не устанавливается.

Я думаю, что такому модему нужно просто присвоить постоянную букву диска (например Z) и не запрещать для этого диска автозапуск,а для других букв сменных дисков запретить.
На мой взгляд это самый простой способ.

Хотелось бы узнать Ваше мнение.