В состав операционной системы Windows Vista вошло антишпионское приложение «Защитник Windows» (Windows Defender), предназначенное для защиты от вредоносного ПО и сбора информации о пользователях и их системах с целью оповещения о новых видах вредоносных программ и даже обнаружения злоумышленников. Защитник входит в состав инструментов Vista по обеспечению безопасности. Ниже перечислены 10 полезных функциональных возможностей этого приложения.
Защитник Windows — часть многоуровневой стратегии Vista по обеспечению безопасности
Защитник разработан для обнаружения, устранения и помещения на карантин уже известных и ожидающихся в будущем шпионских программ, которые устанавливаются на компьютер без ведома пользователя. Он не может предотвратить все атаки на систему. Защитник следует использовать совместно с другими механизмами безопасности: брандмауэром, антивирусом и технологиями шифрования.
Защитник включён системой Vista по умолчанию
Пользователи могут включать и отключать Защитника, а также настраивать его параметры и политику поведения посредством "Панели управления Защитника Windows" (Windows Defender Control Panel). Доступ к нему можно также получить через "Центр обеспечения безопасности" (Vista Security Center). Интерфейс программы достаточно простой. Чтобы начать сканирование системы, достаточного одного щелчка мыши на соответствующей кнопке. Предусмотрена возможность составления расписания автоматических проверок на ежедневной или еженедельной основе.
Доступны три вида сканирования
При "Быстром сканировании" (Quick Scan) проверка проходит только в тех местах, где чаще всего можно обнаружить программы-шпионы. Этот способ сканирования позволяет сэкономить время и найти большинство известных шпионских приложений. При "Полном сканировании" (Full Scan) проводится проверка всех дисков и директорий компьютера. Это наиболее рекомендуемая опция, но такой вид сканирования занимает некоторое время, в зависимости от размера жёсткого диска и количества записанных на нём файлов. Во время проверки часть ресурсов может быть заимствована у других запущенных пользователем процессов. Выбрав вариант «Ручное сканирование» (Custom Scan), пользователь сможет самостоятельно определить диски и папки для проверки. При обнаружении Защитником шпионского ПО в режиме "Ручное сканирование", дополнительно проводится "Быстрая проверка" (Quick Scan), в результате которой программа удаляется или перемещается в карантин.
Определение поведения Защитника
Защитник по желанию пользователя способен проверять заархивированные файлы и каталоги. При этом пользователь может выбрать эвристические методы распознавания шпионского ПО, основанные на моделях поведения, и применять специальные файлы определения шпионских программ. Вдобавок, можно выбрать опцию создания контрольной точки восстановления перед удалением обнаруженной вредоносной программы, и если в результате действий Защитника будет по ошибке уничтожен файл, необходимый для работы проверенного приложения, пользователь сможет вернуть его обратно. Помимо этого, есть возможность указать файлы и папки, которые должны быть пропущены в процессе сканирования.
Функция защиты в реальном времени вовремя оповестит о попытке инсталляции или запуска шпионской программы на компьютере пользователя
Опция защиты в реальном времени включена по умолчанию, пользователь может отключить её по желанию и определить, какие именно агенты безопасности должны отслеживать различные аспекты деятельности системы. Эти агенты безопасности способны проверять стартовые приложения, влияющие на безопасность настройки конфигурации системы, расширения браузера IE, настройки параметров браузера IE, скаченные файлы и программы, работу служб и драйверов, регистрационные файлы приложений, утилиты Windows и любые запущенные пользователем программы.
Администраторы могут управлять поведением Защитника на машинах конечных пользователей
Администраторы могут разрешить всем пользователям применять Защитника Windows для сканирования своих систем, настраивать политику поведения Защитника при обнаружении шпионских программ и получать отчёты о его деятельности. Помимо этого, они могут ограничить использование защитника на удалённых компьютерах. По умолчанию каждый клиент может использовать Защитника Windows.
Все действия Защитника Windows заносятся в "Журнал" (History)
На странице "Журнал" (History) можно увидеть список и описание программ, которые были обнаружены Защитником, советы по поведению в отношении каждого найденного объекта, а также путь к файлу или ключи реестра, связанные с данной шпионской программой. Там же можно узнать какой уровень опасности был присвоен обнаруженному объекту, что и когда было сделано в его отношении, и узнать его текущий статус. Помимо этого в журнале содержится список "Разрешённых пользователем объектов" (Allowed Items). "Список объектов, помещённых на карантин" (Quarantined Items) отображает программы, запуск которых был запрещён пользователем. Их можно удалить навсегда или, наоборот, восстановить.
4 уровня опасности, присваиваемые Защитником Windows возможным действиям шпионского ПО
Уровень "Максимальной опасности" (Severe) присваивается программам, способным нанести значительный вред компьютеру пользователя. "Высокий уровен"ь (High) присваивается программам, способным собирать персональные данные или изменять пользовательские настройки. Вредоносные приложения, функции которых попадают под два вышеописанных уровня, должны удаляться с компьютера незамедлительно. "Средний уровень" опасности (Medium) присваивается программам, которые могут собирать личную информацию, но в то же время могут являться частью доверенного пакета приложений. "Низкий уровень" опасности (Low) присваивается программам, способным собирать личную информацию или изменять пользовательские настройки, но установленным в соответствии с принятыми условиями лицензионного соглашения. Следует проанализировать деятельность программ, соответствующую среднему и низкому уровням опасности и решить, стоит ли заблокировать их или удалить их с компьютера. Некоторые виды программ на данный момент ещё не были классифицированы.
Необходимо проверять обновления для Защитника на регулярной основе
Для эффективной антишпионской деятельности Защитника его базу данных определений необходимо регулярно пополнять, так как новые виды вредоносных программ появляются чаще, чем методы борьбы с ними. Лучшим решением будет настройка автоматической загрузки последних обновлений посредством службы Windows Update перед выполнением каждого запланированного сканирования. Новые определения можно загружать и самостоятельно. В этом случае следует проверять сервер на их наличие минимум раз в неделю.
Для пополнения базы данных определений Microsoft пользуется услугами сообщества пользователей Защитника Windows «SpyNet»
Для использования Защитника не обязательно вступать в ряды SpyNet. Если всё же пользователь решит присоединиться к сообществу, программа будет отправлять информацию об обнаруженных ею шпионских программах и действиях, применённых по отношению к ним, в центр Microsoft. Для того, чтобы вступить в сообщество SpyNet нужно открыть меню Tools | Settings и выбрать тип членства (основной или продвинутый). Продвинутые участники будут получать оповещения Защитника при обнаружении ещё неизученных программ, а информация, отправляемая в Microsoft, будет более подробной.