Антивирусная правДА!TM

26 февраля 2024

В выпусках «Антивирусной правды» мы часто рассказываем о том, насколько многообразен мир вредоносных программ и других компьютерных угроз. На наш взгляд, цифровой мир все еще соответствует стадии «первобытного общества», где каждый может испытать на прочность ваши виртуальные окна и двери в целях кражи или уничтожения имущества или же попытаться обманом заполучить ваши ключи и секреты. Именно поэтому мы всегда рекомендуем придерживаться комплексного подхода к безопасности – соблюдать правила цифровой гигиены и использовать надежную антивирусную защиту всех устройств, которые в ней нуждаются.

В особенности такая защита необходима компьютерам под управлением ОС Windows, и это обусловлено множеством причин, о которых мы уже рассказывали на страницах нашего проекта. Среди них — распространенность ОС, огромное число написанных для нее вредоносных программ, относительная открытость системы (в особенности при работе в учетной записи администратора) и некоторые другие.

Антивирусная защита системы должна быть всесторонней, достаточной, многоуровневой и при этом гибкой, чтобы подстраиваться под конкретные условия работы. Обязательные компоненты, такие как сканер, файловый монитор и механизмы превентивной защиты в комплексном продукте сочетаются с дополнительными модулями, чтобы пользователи, во-первых, были уверены в безопасности компьютера, а во-вторых, настраивали работу нужных функций исходя из своих потребностей. Об одном из таких компонентов — Родительском контроле — мы рассказывали ранее.

А в сегодняшнем материале «Антивирусной правды» поговорим еще об одной функции продукта Dr.Web Security Space для Windows — Защите от потери данных. Этот компонент обеспечивает дополнительную защиту пользовательских данных от изменений вредоносными программами и злоумышленниками. Давайте разберемся, как он работает.

Защита от потери данных позволяет запретить изменение содержимого любых пользовательских папок на уровне драйвера антивирусного ядра. Вы можете добавить произвольную папку в список защищаемых, и все файлы в ней останутся доступны только для чтения и копирования, а их модификация и удаление программами, которые не входят в число доверенных, будут запрещены. По умолчанию Dr.Web оставляет доступ к файлам ряду доверенных программ, список которых можно посмотреть здесь. При этом системным процессам доступ к защищаемым файлам запрещен, поскольку такие процессы могут быть использованы вредоносным ПО для атак на систему. В качестве примера можно привести explorer.exe, который отвечает за работу Проводника Windows.

Также важно отметить, что добавлять в список защищаемых системные и корневые каталоги нельзя, так как это гарантированно привело бы к сбоям в работе самой ОС. Dr.Web автоматически определяет системные папки и не позволяет выбирать их, поэтому случайно навредить системе таким образом не получится.

Как уже наверняка догадались наши читатели, функция Защиты от потери данных дополнительно оберегает файлы от шифровальщиков и других вредоносных программ, даже если они запущены с правами администратора или используют легитимные или доверенные на уровне операционной системы процессы. Вредоносное ПО попросту не сможет получить доступ к файлам, поэтому ни зашифровать, ни удалить их у него не получится. Ниже мы рассмотрим несколько живых примеров использования компонента, а пока давайте вместе настроим эту функцию и попробуем взять под защиту две папки: одну — с полным запретом доступа, а вторую — с частичным доступом для доверенных программ.

Сценарий №1 — полный запрет доступа к файлам

Этот сценарий не является используемым по умолчанию, но мы начнем с него, чтобы вы могли лучше понять работу компонента. Сразу отметим, что Защита от потери данных работает только с теми файлами и каталогами, которые физически находятся на жестком диске компьютера.

Создайте в любом удобном месте (например, на рабочем столе) тестовую папку и скопируйте в нее несколько произвольных файлов. Откройте Центр безопасности Dr.Web и перейдите в раздел Устройства и личные данные, затем выберите компонент Защита от потери данных.

Откроется окно настройки компонента. Обратите внимание, что для внесения изменений Центр безопасности Dr.Web должен быть запущен в режиме администратора. Для этого нажмите на иконку замка и разрешите антивирусу вносить изменения в систему.

Нажмите на кнопку добавления нового элемента, чтобы открыть диалоговое окно настройки защищаемой папки. В появившемся окне нажмите Обзор и выберите ранее созданную папку, после чего снимите флажок Разрешать изменение содержимого папки доверенным приложения Dr.Web. Нажмите ОК для добавления указанной папки в список защищаемых.

В этом режиме файлы в папке будут защищены от любых изменений, включая удаление, переименование и изменение прав доступа средствами Windows. Однако такой способ накладывает ограничения на работу с файлами. Как системные, так и пользовательские приложения и процессы не будут иметь прав на редактирование данных. Так, например, если речь идет о текстовых документах, вы не сможете редактировать их с сохранением в этот же файл, пока они находятся под защитой. Ограничения будут действовать даже если вы работаете в режиме администратора. При этом вы сможете просматривать содержимое файлов и копировать их, а также сохранять изменения в новые файлы, равно как и свободно копировать новые файлы в защищенную папку — при этом они сразу окажутся под защитой.

Стоит упомянуть еще об одной особенности реализации компонента. В защищаемой папке возможно создание новых элементов, а также их модификация (и удаление) процессами, которые их создали, до тех пор, пока эти процессы не завершены. Например, в защищаемой папке вы создали текстовый файл. После этого вы можете переименовать или удалить его средствами Windows, потому что системный процесс, который создал именно этот файл и который отвечает за его удаление, все еще работает. А вот другим приложением удалить или переименовать его уже не получится.

Сценарий №2 — оставляем права доверенным приложениям

Этот сценарий используется по умолчанию. При добавлении папки в список защищенных запрет устанавливается на любые модификации и удаление содержимого папки всем программам, кроме программ из списка доверенных. Такой режим позволяет пользователю работать с файлами в доверенных приложениях. При этом, как уже говорилось выше, системные процессы не входят в число доверенных — эта мера предосторожности не позволяет троянам-шифровальщикам и другому вредоносному ПО получить доступ к файлам даже при использовании легитимных системных процессов.

Создайте в любом удобном месте вторую тестовую папку и скопируйте в нее несколько произвольных файлов. Выполните шаги, указанные в предыдущем разделе, при этом при добавлении защищаемой папки не снимайте флажок Разрешать изменение содержимого папки доверенным приложения Dr.Web.

Теперь попробуйте поработать с файлами в привычных программах. Если те входят в список доверенных, вы сможете редактировать содержимое защищенных файлов с их помощью. При этом удалять и переименовывать файлы штатными средствами Windows по-прежнему будет запрещено.

Еще одна полезная опция Защиты от потери данных — возможность настроить исключения для программ. Так вы можете добавить программу, которая будет иметь доступ к файлам в защищаемой папке. Следует помнить, что добавление исключений снижает уровень защиты, поэтому делать это следует с умом и только если это требуется для работы.

Назначать исключения можно как при добавлении новой папки, так и для уже защищаемых папок в окне редактирования. Для этого в разделе Исключения нажмите кнопку добавления приложения и укажите путь к исполняемому файлу программы, которой вы хотите предоставить доступ к защищаемым файлам.

Количество приложений, имеющих полный доступ к защищаемой папке, указано в главном окне Защиты от потери данных в столбце Пользовательские исключения.

Примеры использования компонента

Защита от потери данных может быть полезна для ограничения доступа к хранимой информации — например, резервным копиям или архивам готовых документов, которые находятся на жестком диске компьютера. Так, функция пригодится, если вы хотите сделать какую-либо информацию доступной только для чтения и копирования. В этом случае данные будут ограждены не только от вредоносных программ, но и от всякого случайного изменения. Гибкие параметры также позволят настроить работу компонента в соответствии с вашими потребностями. Например, можно запретить доступ к файлам в определенной папке всем программам, кроме какой-то одной. А в другой папке разрешить доступ всем доверенным приложениям.

В целом, если какие-либо данные не подразумевают частого к себе обращения для внесения изменений, стоит рассмотреть их защиту с помощью этой функции. В особенности если компьютер работает в опасной с точки зрения вирусной активности среде.

Если устройство используется как полноценное хранилище резервных копий, то каталоги с бэкапами также можно поместить под защиту. Правда, в этом случае придется либо добавлять утилиту для создания копий в исключения, чтобы она могла выполнять инкрементальный бэкап и замещать защищаемые файлы, либо выбирать такой режим копирования, при котором защищаемые файлы не будут модифицироваться. Грамотно настроенная связка возможностей антивируса и утилиты для создания резервных копий надежно обезопасят ваши данные.

Несмотря на то, что компонент Защита от потери данных в первую очередь призван обезопасить данные от деструктивных действий вредоносного ПО, он также может помочь в случае получения злоумышленником удаленного доступа к системе. Вы можете защитить настройки Dr.Web паролем, без знания которого отключить компонент будет невозможно. Таким образом злоумышленник не сможет удалить или изменить защищаемые данные, даже если будет действовать с правами администратора.

Отдельно стоит сказать о защите данных, которые находятся в облачном хранилище и синхронизируются с локальным компьютером. Вы можете защитить локальные копии файлов из облака, то есть те, что уже имеются на вашем устройстве. Однако файлы, которые находятся непосредственно в облаке, под защиту не попадут. Если программа-клиент облачного хранилища входит в число доверенных приложений Dr.Web, и при этом доступ таким приложениям разрешен, то изменение или удаление файлов через такую программу также будет разрешено.