Windows Vista. Для профессионалов
Шрифт:
Microsoft SpyNet
Щелкнув кнопкой мыши на этой ссылке, вы можете зайти на специальный форум корпорации Microsoft, посвященный защите компьютеров от вирусов.
Объекты в карантине
С помощью данной ссылки можно просмотреть список программ, которые были занесены в карантин. Если какая-то программа попала в карантин случайно, то можно разрешить ее использование. После этого она добавится в список Разрешенные объекты.
Проводник программного обеспечения
Ссылка предоставляет доступ к четырем дополнительным возможностям программы Защитник Windows.
• Автоматически загружаемые программы – отображает список программ, автоматически
• Текущие выполняемые программы – выводит список процессов, запущенных в данный момент. Для каждого процесса также отображается путь к его исполняемому файлу, от чьей учетной записи процесс запущен, какой PID имеет, какой размер занимает, когда был установлен и т. д. Если же процесс содержит несколько запущенных служб (например, svchost.ехе), то также отображается список служб, которые работают под этим процессом.
• Программы с подключением к сети – отображает список процессов, которые пытаются получить доступ к сети. Как и в предыдущих возможностях, отображается путь к исполняемому файлу процесса, его размер, версия файла, кем был подписан, от чьего имени был запущен, какой PID имеет и т. д. Но, кроме того, отображаются IP-адреса компьютеров, к которым процесс пытается получить доступ.
• Поставщики службы Winsock – выводит службы и драйверы (провайдеры), взаимодействующие с библиотекой Winsock (библиотека, реализующая доступ к сети). Как и раньше, о провайдере отображается полная информация – от имени библиотеки, реализующей его, до GUID-идентификатора провайдера.
Разрешенные объекты
С помощью данной ссылки можно просмотреть список разрешенных программ, действия которых не считаются подозрительными.
Веб-узел Защитника Windows
Позволяет зайти на сайт программы Защитник Windows. На этом сайте вы можете как скачать новую базу вирусов, так и просто почитать об этой программе.
Настройка с помощью групповых политик
Настроить программу Защитник Windows можно и с помощью групповых политик. Для этого применяются политики, описанные в файле WindowsDefender. admx и расположенные в разделе Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Защитник Windows.
Политики изменяют значения следующих параметров REGDWORD-типа, расположенных в подразделах ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows Defender.
• CheckForSignaturesBeforeRunningScan – расположен в подразделе Scan указанной ветви. Если значение данного параметра равно 1, то перед началом сканирования всегда будет выполняться поиск и загрузка новых сигнатур нежелательного программного обеспечения.
• SpyNetReporting – параметр находится в подразделе SpyNet. Он позволяет определить режим отправки сведений о найденных вирусах на форум сообщества SpyNet. Например, если значение параметра равно 0, то взаимодействие с сообществом будет запрещено (по умолчанию). Если же значение равно 1, то будет применяться базовый режим взаимодействия – на сайт сообщества будет передаваться только общая информация об обнаруженных новых подозрительных программах. А если значение параметра равно 2, то будет применяться дополнительный режим взаимодействия – на сайт сообщества будет передаваться подробнейшая информация о найденных подозрительных программах (при
этом существует вероятность передачи личных данных пользователя).• ForceFullUpdate – расположен в подразделе Signature Updates. Если значение этого параметра равно 1, то из Интернета всегда будет выполняться загрузка всей базы сигнатур подозрительных программ, а не только той части, которая отсутствует на компьютере.
• DisableLoggingForKnownGood – параметр находится в подразделе Reporting. Если значение параметра равно 1, то в файл журнала Защитника Windows не будет заноситься информация о подозрительных программах, которые пользователь пометил как точно не выполняющие вредоносных действий.
• DisableLoggingForUnknown – расположен в подразделе Reporting. Если значение данного параметра равно 1, то в файл журнала Защитника Windows не будет заноситься информация о подозрительных программах.
• EnableUnknownPrompts – параметр находится в подразделе Real-Time Protection. Если значение равно 1, то при обнаружении подозрительной программы будет выводиться окно, позволяющее запретить ее работу или пометить ее в качестве программы-исключения (которая точно не выполняет вредоносных действий).
• DisableAntiSpyware – если значение этого параметра равно 1, то запуск программы Защитник Windows будет запрещен.
• CheckAlternateDownloadLocation – расположен в подразделе Signature Updates. Если значение этого параметра равно 1, то Защитник Windows будет выполнять обновление сигнатур подозрительных программ с помощью Windows Update, если сервер WSUS в данный момент недоступен. Такое поведение программы установлено по умолчанию.
Параметры реестра , влияющие на работу программы Защитник Windows
Все настройки программы Защитник Windows хранятся в ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender и ее подразделах. В контексте данной книги мы не будем рассматривать параметры, которые можно настроить из самой программы Защитник Windows, а ограничимся только теми, доступ к которым программным способом получить нельзя.
Единственным параметром данной ветви реестра является параметр REGDWORD-типа ProductUpdateAvailable. Если его значение равно 1, то при следующем запуске программы будет выведено сообщение о необходимости обновления версии программы и появится кнопка, с помощью которой программу можно обновить.
В данной ветви реестра также присутствуют следующие подразделы.
• Signature Updates – содержит сведения о настройках обновления базы вирусов программы Защитник Windows. Кроме стандартных настроек, он включает в себя параметр REG_DWORD-типа UpdateOnStartUp. Если его значение равно 1, то при каждом запуске будет выполняться поиск новых обновлений базы данных вирусов программы Защитник Windows.
• SpyNet – определяет параметры доступа к форуму SpyNet. Среди них присутствует параметр строкового типа SpyNetReportingLocation, который определяет адрес данного форума.
• UX Configuration – среди стандартных параметров данный подраздел хранит параметр REG_DWORD-типа ConsoleFunctionalityAvailable. Он определяет, будет ли разрешен запуск сканирования системы из командной строки.
Мастер Средство удаления вредоносных программ Microsoft Windows
Расположение: %systemroot%\system32\mrt.ехе.
Данный мастер не имеет никакого отношения к программе Защитник Windows. Тем не менее, он выполняет схожие с ней действия – ищет различные программы, которые выполняют вредоносные действия (различные шпионские программы).