Защита информации в ОС MS Windows

Компоненты Windows 2000, обеспечивающие шифрование. Средства работы с открытым ключом не заменяют существующих механизмов доверительных отношений между доменами и аутентификации, реализованных с помощью контроллеров доменов и центров распространения ключей Kerberos (Key Distribution Center, KDC). Напротив, данные средства взаимодействуют с этими службами, что позволяет приложениям безопасно передавать конфиденциальную информацию через Интернет и корпоративным глобальным каналам.

Поддержка прикладных средств шифрования информации с открытым ключом включена в состав программного обеспечения операционных систем Windows 2000, Windows NT, а также Windows 95/98.

Основой архитектуры поддержки прикладных программ шифрования информации с открытым ключом является библиотека CryptoAPI. Она позволяет работать со всеми устанавливаемыми поставщиками услуг шифрования (Cryptographic Service Providers, CSP) через стандартный интерфейс. CSP могут быть реализованы на программном уровне или с помощью специального оборудования. Они поддерживают различные длины ключей и алгоритмы шифрования. Один из CSP поддерживает смарт-карты. Услугами служб шифрования пользуются службы управления сертификатами. Они соответствуют стандарту Х.509 v3 и позволяют организовывать принудительное хранение, службы подсчета и дешифрования. Кроме того, эти службы предназначены для работы с различными отраслевыми стандартами сообщений. В основном они поддерживают стандарты PKCS и разработанный в IETF (Internet Engineering Task Force) набор предварительных стандартов PKIX (Public Key Infrastructure, X.509).

Остальные службы используют CryptoAPI для придания дополнительной функциональности прикладным программам. Защищенный канал (Secure Channel) поддерживает сетевую аутентификацию и шифрование в соответствии со стандартными протоколами TLS и SSL, обращение к которым может быть выполнено с помощью интерфейсов Microsoft Winlnet и SSPI. Служба Authenticode предназначена для проверки и подписи объектов и в основном используется при получении информации через Интернет. В состав программного обеспечения служб поддержки прикладных средств шифрования входит поддержка интерфейса, предназначенного для работы со смарт-картами. Они используются для регистрации на компьютере и в сети Windows 2000.

Политики безопасности действуют в рамках сайта, домена или контейнера (подразделения, организационной единицы, OU) каталога Active Directory и распространяются на группы, компьютеры и пользователей - то есть на все объекты администрирования. Безопасность шифрования с открытым ключом является одним из аспектов общей политики безопасности Windows 2000 и интегрирована в ее структуру. Это механизм, с помощью которого можно посредством объектов политики безопасности централизованно осуществлять настройку и управление глобальной политикой работы с открытым ключом.

С помощью политики открытого ключа можно определять следующие аспекты безопасности Windows 2000:

· Доверенные корни ЦС;

· Регистрация и обновление сертификатов;

· Регистрация в системе с помощью смарт-карты.

Шифрующая файловая система EFS

На персональном компьютере операционную систему можно загрузить не с жесткого, а с гибкого диска. Это позволяет обойти проблемы, связанные с отказом жесткого диска и разрушением загрузочных разделов. Однако, поскольку с помощью гибкого диска можно загружать различные операционные системы, любой пользователь, получивший физический доступ к компьютеру, может обойти встроенную систему управления доступом файловой системы Windows 2000 (NTFS) и с помощью определенных инструментов прочесть информацию жесткого диска. Многие конфигурации оборудования позволяют применять пароли, регулирующие доступ при загрузке. Однако такие средства не имеют широкого распространения. Кроме того, если на компьютере работает несколько пользователей, подобный подход не дает хороших результатов, да и сама защита с помощью пароля недостаточно надежна. Вот типичные примеры несанкционированного доступа к данным:

Хищение переносного компьютера. Любой злоумышленник может похитить переносной компьютер, а затем получить доступ к конфиденциальной информации, находящейся на его жестком диске.

Неограниченный доступ. Компьютер оставлен в рабочем состоянии, и за ним никто не наблюдает. Любой пользователь может подойти к такому компьютеру и получить доступ к конфиденциальной информации.

Из приведенных выше соображений следует вывод: единственный надежный способ защиты информации -- это шифрующая файловая система. На рынке программного обеспечения существует целый набор продуктов, обеспечивающих шифрование данных с помощью образованного от пароля ключа на уровне приложений. Однако такой подход имеет ряд ограничений:

· Ручное шифрование и дешифрование. Службы шифрования большинства продуктов непрозрачны для пользователей. Пользователю приходится расшифровывать файл перед каждым его использованием, а затем опять зашифровывать. Если пользователь забывает зашифровать файл после окончания работы с ним, информация остается незащищенной. Поскольку каждый раз необходимо указывать, какой файл должен быть зашифрован (и расшифрован), применение такого метода защиты информации сильно затруднено.

· Утечка информации из временных файлов и файлов подкачки. Практически все приложения в процессе редактирования документов создают временные файлы. Они остаются на диске незашифрованными, несмотря на то, что оригинальный файл зашифрован. Кроме того, шифрование информации на уровне приложений выполняется в режиме пользователя Windows 2000. Это значит, что ключ, применяемый для такого типа шифрования, может храниться в файле подкачки. В результате, с помощью изучения данных файла подкачки можно получить ключ и расшифровать все документы пользователя;

· Слабая криптостойкостъ ключей. Ключи образуются от паролей или случайных фраз. Поэтому в случае, если пароль был легко запоминаемым, атаки с помощью словарей могут легко привести к взлому системы защиты;

· Невозможность восстановления данных. Большинство продуктов, позволяющих шифровать информацию, не предоставляют средств восстановления данных, что для пользователей является дополнительным поводом не применять средства шифрования. Это особенно касается тех работников, которые не хотят запоминать дополнительный пароль. С другой стороны, средство восстановления данных с помощью пароля -- еще одна брешь в системе защиты информации. Все, что необходимо злоумышленнику, -- это пароль, предназначенный для запуска механизма восстановления данных, который позволит получить доступ к зашифрованным файлам.

Все перечисленные выше проблемы позволяет решить шифрующая файловая система (Encrypting File System, EFS), реализованная в Windows 2000 и работающая только на NTFS 5.0. В следующих разделах подробно описаны технология шифрования, место шифрования в операционной системе, взаимодействие с пользователями и способ восстановления данных.

Архитектура EFS. EFS содержит следующие компоненты операционной системы Windows 2000:

Драйвер EFS. Драйвер EFS является надстройкой над файловой системой NTFS. Он обменивается данными со службой EFS -- запрашивает ключи шифрования, наборы DDF (Data Decryption Field) и DRF (Data Recovery Field), -- а также с другими службами управления ключами. Полученную информацию драйвер EFS передает библиотеке реального времени файловой системы EFS (File System Run-Time Library, FSRTL), которая прозрачно для операционной системы выполняет различные операции, характерные для файловой системы (чтение, запись, открытие файла, присоединение информации);

Библиотека реального времени файловой системы EFS. FSRTL - это модуль, находящийся внутри драйвера EFS, реализующий вызовы NTFS. выполняющие такие операции, как чтение, запись и открытие зашифрованных файлов и каталогов, а также операции, связанные с шифрованием, дешифрованием и восстановлением файлов при их чтении или записи на диск. Хотя драйверы EFS и FSRTL реализованы в виде одного компонента, они никогда не обмениваются данными напрямую. Для передачи сообщений друг другу они используют механизм вызовов (callouts) NTFS, предназначенный для управления файлами. Это гарантирует, что вся работа с файлами происходит при непосредственном участии NTFS. С помощью механизма управления файлами операции записи значений атрибутов EFS (DDF и DRF) реализованы как обычная модификация атрибутов файла. Кроме того, передача ключа

· шифрования файла FEK (см. ниже), полученного службой EFS, в FSRTL выполняется так, чтобы он мог быть установлен в контексте открытого файла. Затем контекст файла используется для автоматического выполнения операций шифрования и дешифрования при записи и чтении информации файла;

· Служба EFS. Служба EFS (EFS Service) является частью системы безопасности операционной системы. Для обмена данными с драйвером EFS она использует порт связи LPC, существующий между локальным администратором безопасности (Local Security Authority, LSA) и монитором безопасности, работающим в привилегированном режиме. В режиме пользователя для создания ключей шифрования файлов и генерирования данных для DDF и DRF служба EFS использует CryptoAPI. Она также поддерживает набор API для Win32;

· Набор API для Win32. Этот набор интерфейсов прикладного программирования позволяет выполнять шифрование файлов, дешифрование и восстановление зашифрованных файлов, а также их импорт и экспорт (без предварительного дешифрования). Эти API поддерживаются стандартным системным модулем DLL -- advapi32.dll.

Технологии шифрования EFS основана на шифровании с открытым ключом и использует все возможности архитектуры CryptoAPI в Windows 2000. Каждый файл шифруется с помощью случайно сгенерированного ключа, зависящего от пары открытого (public) и личного, закрытого (private) ключей пользователя. Подобный подход в значительной степени затрудняет осуществление большого набора атак, основанных на криптоанализе. При криптозащите файлов может быть применен любой алгоритм симметричного шифрования. Текущая версия EFS использует алгоритм DESX (расширенный DES) с длиной ключа 56 бит. EFS позволяет осуществлять шифрование и дешифрование файлов, находящихся на удаленных файловых серверах.

Принципы шифрования. В EFS для шифрования и дешифрования информации используются открытые ключи. Данные зашифровываются с помощью симметричного алгоритма с применением ключа шифрования файла (File Encryption Key, FEK). FEK -- это сгенерированный случайным образом ключ, имеющий определенную длину. В свою очередь, FEK шифруется с помощью одного или нескольких открытых ключей, предназначенных для криптозащиты ключа. В этом случае создается список зашифрованных ключей FEK, что позволяет организовать доступ к файлу со стороны нескольких пользователей. Для шифрования набора FEK применяется открытая часть пары ключей каждого пользователя. Список зашифрованных ключей FEK хранится вместе с зашифрованным файлом в специальном атрибуте EFS, называемом полем дешифрования данных (Data Decryption Field, DDF). Информация, требуемая для дешифрования, привязывается к самому файлу. Секретная часть ключа пользователя необходима при дешифровании FEK. Она хранится в безопасном месте, например на смарт-карте или другом устройстве, обладающем высокой степенью защищенности.

Операция шифрования. Шифрование данных производится в следующем порядке:

· Незашифрованный файл пользователя шифруется с помощью сгенерированного случайным образом ключа шифрования файла, FEK;

· FEK шифруется с помощью открытой части пары ключей пользователя и помещается в поле дешифрования данных, DDF;

· FEK шифруется с помощью открытой части ключа восстановления и помещается в поле восстановления данных, DRF.

Операция дешифрования. Дешифрование данных производится следующим образом:

· Из DDF извлекается зашифрованный FEK и дешифруется с помощью секретной части ключа пользователя;

· Зашифрованный файл пользователя дешифруется с помощью FEK, полученного на предыдущем этапе.

При работе с большими файлами дешифруются только отдельные блоки, что значительно ускоряет выполнение операций чтения.

Процесс восстановления файла после утраты секретной части ключа

Для восстановления данных выполняются следующие операции:

· Из DDF извлекается зашифрованный FEK и дешифруется с помощью секретной части ключа восстановления.

· Зашифрованный файл пользователя дешифруется с помощью FEK, полученного на предыдущем этапе.

Описанная выше общая система криптозащиты позволяет применять максимально надежную технологию шифрования и дает возможность многим пользователям и агентам восстановления получать общий доступ к зашифрованным файлам. Она полностью независима от применяемого алгоритма шифрования, что очень важно, поскольку позволит в будущем легко перейти на новые, более эффективные алгоритмы.

Место EFS в Windows 2000

EFS тесно взаимодействует с NTFS 5.0. Временные файлы, создаваемые приложениями, наследуют атрибуты оригинальных файлов (если файлы находятся в разделе NTFS). Вместе с файлом шифруются также и его временные копии. EFS находится в ядре Windows 2000 и использует для хранения ключей специальный пул, не выгружаемый на жесткий диск. Поэтому ключи никогда не попадают в файл подкачки.

Конфигурация EFS, устанавливаемая по умолчанию, позволяет пользователю шифровать свои файлы без всякого вмешательства со стороны администратора. В этом случае EFS автоматически генерирует для пользователя пару ключей (открытый и личный), применяемую для криптозащиты данных.

EFS исключает необходимость предварительного расшифровывания данных при доступе к ним. Операции шифрования и дешифрования выполняются автоматически при записи или считывании информации. EFS автоматически распознает зашифрованный файл и найдет соответствующий ключ пользователя в системном хранилище ключей. Поскольку механизм хранения ключей основан на применении CryptoAPI, пользователи получают возможность хранить ключи на защищенных устройствах, например, смарт-картах.

Если зашифрованные файлы хранятся на общих ресурсах, то для работы с ними пользователи должны иметь сертификат и личный ключ того, кто установил шифрование этих файлов. Впоследствии каждый пользователь может при необходимости независимо расшифровать файл при помощи своего личного ключа.

Предупреждение. Будьте внимательны: нельзя шифровать сжатые файлы и папки (и наоборот -- сжимать зашифрованные данные)! Каталоги и файлы можно шифровать только на томах NTFS.

Работа с EFS

Управление сертификатами пользователей. Пользователи могут запрашивать, экспортировать, импортировать сертификаты, служащие в EFS для идентификации пользователей, а также управлять ими. Эта возможность предназначена для опытных пользователей, которые хотят иметь средство управления собственными сертификатами. Обычно пользователям не приходится самостоятельно управлять сертификатами, поскольку EFS автоматически генерирует для них пару ключей при первом обращении к ней - т.е. при попытке зашифровать файл или каталог (при этом открытый ключ сертифицируется в центре сертификации, а если таковой недоступен, то EFS сама подписывает открытый ключ).

Утилита cipher. Эта утилита командной строки позволяет шифровать и дешифровать файлы. Параметр путь может быть маской, файлом или каталогом. Команда cipher без параметров выдает информацию о том, зашифрован ли данный каталог или файлы, находящиеся в нем. Если параметр путь присутствует, то имен файлов может быть несколько. Между собой параметры должны быть разделены пробелом.

Для того чтобы зашифровать каталог Мои документы, введите команду:

с:\cipher /Е "Мои документы"

Для того чтобы зашифровать все файлы с расширением doc, введите команду:

с:\cipher /Е /А *.doc

Шифрование файлов и каталогов

Поскольку шифрование и дешифрование выполняются автоматически, пользователь может работать с файлом так же, как и до установки его криптозащиты. Например, можно так же открыть текстовый процессор Word, загрузить документ и отредактировать его, как и прежде. Все остальные пользователи, которые попытаются получить доступ к зашифрованному файлу, получат сообщение об ошибке доступа, поскольку они не владеют необходимым личным ключом, позволяющим им расшифровать файл. Следует отметить, что пользователи (в данном случае администраторы) не должны шифровать файлы, находящиеся в системном каталоге, поскольку они необходимы для загрузки системы, в процессе которой ключи пользователя недоступны. Это сделает невозможным дешифрование загрузочных файлов, и система потеряет работоспособность. Проводник предотвращает возможность возникновения такой ситуации, не позволяя шифровать файлы с атрибутом системный.

Шифрование информации задается в окне свойств файла или папки:

· Укажите файл или папку, которую требуется зашифровать, нажмите правую кнопку мыши и выберите в контекстном меню команду Свойства (Properties);

· В появившемся окне свойств на вкладке Общие (General) нажмите кнопку Другие (Advanced). Появится окно диалога Дополнительные атрибуты (Advanced Attributes);

· В группе Атрибуты сжатия и шифрования (Compress or Encrypt attributes) установите флажок Шифровать содержимое для защиты данных (Encrypt contents to secure data) и нажмите кнопку ОК;

· Нажмите кнопку ОК в окне свойств зашифровываемого файла или папки. В появившемся окне диалога укажите режим шифрования.

При шифровании папки можно указать следующие режимы применения нового атрибута:

· Только к этой папке (Apply changes to this folder);

· К этой папке и всем вложенным папкам и файлам (Apply changes to this folder, subfolders and files);

Дешифрование файлов и каталогов

· Чтобы дешифровать файл или папку, на вкладке Общие окна свойств соответствующего объекта нажмите кнопку Другие.

· В открывшемся окне диалога в группе Атрибуты сжатия и шифрования сбросьте флажок Шифровать содержимое для защиты данных.

Задание к работе.

1. Войти в систему (Windows) как User с заданным именем. 2. Создать на диске С (каком-либо каталоге) папку с именем <Dir_Name>. 3. Поместить в папку 2 небольших файла - текстовый и любой не текстовый. 4. Зашифровать файлы и каталог программой cipher. 5. Войти снова в систему как User (но с другим именем). 6. Войти в каталог <Dir_Name> и просмотреть файлы. 7. Полученные результаты объяснить.

Вопросы для самоконтроля.

Аутентификация (проверка подлинности); Целостность (integrity); Конфиденциальность (privacy); Предотвращение повторного использования (anti-replay); Шифрование с открытым ключом; Цифровые (электронные) подписи; Распределенная аутентификация; Шифрование больших объемов данных; Обеспечение истинности открытых ключей; Что такое сертификат ? Центр сертификации; Доверие и проверка; Применение алгоритмов шифрования с открытым ключом в Windows 2000; Компоненты Windows 2000, обеспечивающие шифрование; Политики безопасности; Шифрующая файловая система EFS; Архитектура EFS; Технологии шифрования EFS; Принципы шифрования; Операция шифрования; Операция дешифрования; Процесс восстановления файла после утраты секретной части ключа; Место EFS в Windows 2000; Работа с EFS; Управление сертификатами пользователей; Утилита cipher; Шифрование файлов и каталогов; Дешифрование файлов и каталогов; Восстановление зашифрованных файлов на другом компьютере; Создание резервной копии сертификата; Восстановление сертификата из резервной копии; Восстановление данных, зашифрованных с помощью неизвестного личного ключа.

Лабораторная работа №4

Тема: «Обзор антивирусных программ для персональных пользователей»

Цель работы: Приобретение навыков работы с антивирусными программами.

Краткие теоретические сведения

Прежде чем приступать непосредственно к обзору антивирусных продуктов, необходимо ввести ряд определений и рассказать о ключевых технологиях, используемых в антивирусных программах.

Основные методы определения вирусов

Антивирусные программы развивались параллельно с эволюцией вирусов. По мере того как появлялись новые технологии создания вирусов, усложнялся и математический аппарат, который использовался в разработке антивирусов.

Первые антивирусные алгоритмы строились на основе сравнения с эталоном. Речь идет о программах, в которых вирус определяется классическим ядром по некоторой маске. Смысл алгоритма заключается в использовании статистических методов. Маска должна быть, с одной стороны, маленькой, чтобы объем файла был приемлемых размеров, а с другой -- достаточно большой, чтобы избежать ложных срабатываний (когда «свой» воспринимается как «чужой», и наоборот).

Первые антивирусные программы, построенные по этому принципу (так называемые сканеры-полифаги), знали некоторое количество вирусов и умели их лечить. Создавались эти программы следующим образом: разработчик, получив код вируса (код вируса поначалу был статичен), составлял по этому коду уникальную маску (последовательность 10-15 байт) и вносил ее в базу данных антивирусной программы. Антивирусная программа сканировала файлы и, если находила данную последовательность байтов, делала заключение о том, что файл инфицирован. Данная последовательность (сигнатура) выбиралась таким образом, чтобы она была уникальной и не встречалась в обычном наборе данных.

Описанные подходы использовались большинством антивирусных программ вплоть до середины 90-х годов, когда появились первые полиморфные вирусы, которые изменяли свое тело по непредсказуемым заранее алгоритмам. Тогда сигнатурный метод был дополнен так называемым эмулятором процессора, позволяющим находить шифрующиеся и полиморфные вирусы, не имеющие в явном виде постоянной сигнатуры.

Принцип эмуляции процессора демонстрируется на рис. 1. Если обычно условная цепочка состоит из трех основных элементов: ЦПУ®ОС® Программа, то при эмуляции процессора в такую цепочку добавляется эмулятор. Эмулятор как бы воспроизводит работу программы в некотором виртуальном пространстве и реконструирует ее оригинальное содержимое. Эмулятор всегда способен прервать выполнение программы, контролирует ее действия, не давая ничего испортить, и вызывает антивирусное сканирующее ядро.

Рис. 1. Схема работы эмулятора процессора.

Второй механизм, появившийся в середине 90-х годов и использующийся всеми антивирусами, -- это эвристический анализ. Дело в том, что аппарат эмуляции процессора, который позволяет получить выжимку действий, совершаемых анализируемой программой, не всегда дает возможность осуществлять поиск по этим действиям, но позволяет произвести некоторый анализ и выдвинуть гипотезу типа «вирус или не вирус?».

В данном случае принятие решения основывается на статистических подходах. А соответствующая программа называется эвристическим анализатором. Для того чтобы размножаться, вирус должен совершать какие-либо конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (он является частью антивирусного ядра) содержит список таких действий, просматривает выполняемый код программы, определяет, что она делает, и на основе этого принимает решение, является данная программа вирусом или нет.

При этом процент пропуска вируса, даже неизвестного антивирусной программе, очень мал. Данная технология сейчас широко используется во всех антивирусных программах.

Классификация антивирусных программ

Классифицируются антивирусные программы на чистые антивирусы и антивирусы двойного назначения (рис. 2). Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access-продукты называют мониторами, а on demand-продукты -- сканерами.

Оn demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт -- это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.



Рис. 2. Схема классификации антивирусных программ

Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Программы двойного назначения -- это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Например, CRC-checker -- ревизор изменений на основе контрольных сумм -- может использоваться не только для ловли вирусов. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их. От классического антивируса с антивирусным ядром, распознающего и лечащего от вирусов, которые анализировались в лаборатории и которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов они не умеют, поскольку ничего о них не знают.

Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это сегодня приобретает особую актуальность, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.

Обзор наиболее популярных антивирусных программ.

В обзор вошли наиболее популярные антивирусы для персонального использования от трех известных разработчиков. Следует отметить, что некоторые из рассмотренных ниже компаний предлагают несколько версий персональных программ, различающихся по функциональности и соответственно по цене. В нашем обзоре мы рассмотрели по одному продукту от каждой компании, выбрав наиболее функциональную версию, которая, как правило, носит название Personal Pro. Другие варианты персональных антивирусов можно найти на соответствующих сайтах.

Антивирус Касперского

Personal Pro v. 4.0

Разработчик: «Лаборатория Касперского». Web-сайт: http://www.kaspersky.ru/. Цена 69 долл. (лицензия на 1 год).

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Рис. 3. Антивирус Касперского Personal Pro

Антивирус Касперского Personal Pro (рис. 3) -- одно из наиболее популярных решений на российском рынке и содержит целый ряд уникальных технологий. Поведенческий блокиратор модуль Office Guard держит под контролем выполнение макросов, пресекая все подозрительные действия. Наличие модуля Office Guard дает стопроцентную защиту от макровирусов. Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.

Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.

Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.

Антивирусная фильтрация электронной почты предотвращает возможность проникновения вирусов на компьютер. Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Комплексная проверка почтовой корреспонденции не позволяет вирусу укрыться ни в одном из элементов электронного письма за счет проверки всех участков входящих и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные и упакованные) и другие сообщения любого уровня вложенности.

Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.

Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.

Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.

Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.

Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.

Doctor Web для Windows 95-XP

Разработчик: «Лаборатория Данилова» и «ДиалогНаука». Web-сайт: http://www.dialognauka.ru/, http://www.Dr.Web.ru/.

Цена 50 долл. (лицензия на 1 год).

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Известный антивирус (рис. 4) представляет собой комбинацию антивирусного сканера Doctor Web и резидентного сторожа SpIDer Guard, интегрированного в операционную систему компьютера. Один из самых совершенных в мире эвристических анализаторов Doctor Web в сочетании с ежедневно обновляющимися вирусными базами представляет собой надежную защиту от вирусов, троянских коней, почтовых червей и иных видов вредоносного программного кода.



Программа построена помодульному принципу, то есть разделена на оболочку, ориентированную на работу в конкретной среде, и ядро, не зависимое от среды.

Подобная организация позволяет использовать одни и те же файлы вирусной базы Dr.Web для разных платформ, подключать ядро к различным оболочкам и приложениям, реализовывать механизм автоматического пополнения вирусных баз и обновления версий оболочки и ядра через сеть Интернет.

Программа предлагает наглядные средства выбора объектов тестирования путем просмотра дерева подкаталогов. Обновление антивирусной базы производится автоматически через Интернет.

Сторож SpIDer осуществляет анализ всех опасных действий работающих программ и блокирует вирусную активность практически всех известных и еще неизвестных вирусов. Благодаря технологии SpIDer-Netting программа сводит к нулю процент ложных срабатываний и пресекает все виды вирусной активности. Данная технология позволяет не допустить заражения компьютера вирусом, даже если этот вирус не сможет быть определен сканером Doctor Web с включенным эвристическим анализатором. В отличие от ряда других существующих резидентных сторожей, реагирующих на каждое проявление вирусоподобной активности и тем самым быстро утомляющих пользователя своей назойливой подозрительностью, SpIDer проводит эвристический анализ по совокупности вирусоподобных действий, что позволяет избежать большинства случаев ложных реакций на вирус.

По сравнению с полнофункциональной коммерческой версией она имеет следующие ограничения:

· при старте выдается сообщение о том, что версия является ознакомительной;

· не проверяются архивы и почтовые файлы;

· невозможно лечение зараженных файлов.

Чтобы превратить ознакомительную версию в полнофункциональную рабочую, ее необходимо зарегистрировать и получить регистрационный ключ. Подробную информацию об условиях приобретения индивидуальных ключей для программы Dr.Web32 можно получить по адресу: http://www.dialognauka.ru/commerce/.

Norton AntiVirus 2003 Professional Edition

Разработчик: Компания Symantec. Web-сайт: http://www.symantec.ru/.

Цена 89,95 евро.

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Norton AntiVirus 2003 Professional Edition (рис. 5) компании Symantec's является одним из наиболее надежных и продаваемых решений в мире. Последняя версия программы имеет ряд новых возможностей: защиту от вирусов в приложениях Instant messenger; блокировку червей (Worm Blocking), которая позволяет защитить исходящую почту и предотвратить инфицирование компьютеров третьих лиц, а также парольную защиту настройки опций в Norton AntiVirus. Системы Worm Blocking (блокирование червей) и Script Blocking (блокирование скриптов) способны предотвращать угрозы от еще неизвестных вирусов, что позволяет проводить профилактику быстро распространяющихся вирусов-червей типа «I Love You» или «Anna Kournikova» даже в промежутке между обновлениями базы вирусных описаний. Norton AntiVirus 2003 сканирует входящие вложения сообщений Instant Message. Сканер сообщений Instant Messaging scanning поддерживает Yahoo! Instant Messenger, AOL Instant Messenger, MSN Messenger и Windows Messenger. Norton Antivirus обеспечивает надежную защиту входящей и исходящей почты, не требуя от пользователя дополнительных действий. Эксклюзивная эвристическая модель блокировки червей (Heuristics-based Worm Blocking technology) дает программе возможность детектировать почтовых червей, не допуская их попадания в рассылку. В дополнение к функциям автоматического удаления вирусов Norton AntiVirus 2003 позволяет также удалять троянских коней и червей в фоновом режиме, не прерывая работы.

Единственным недостатком данного продукта является его достаточно высокая цена.

Задание к работе.

1. Изучите основные возможности вышеперечисленных антивирусных программ.

2. Установите Doctor Web на ваш персональный компьютер.

3. Обновите антивирусные базы через Интерет.

4. Выполните полную проверку компьютера на наличие вирусов.

5. Изучите, какие действия можно выполнить с найденными вирусами.

Вопросы для самоконтроля.

1. Что с собой представляет антивирусная программа?

2. На какие категории делятся антивирусные программы?

3. Из каких компонентов состоит Антивирус Касперского?

4. Какие достоинства и недостатки имеет Антивируса Касперского?

5. Из каких компонентов состоит Doctor Web?

6. Какие достоинства и недостатки имеет Doctor Web?

7. Принцип работы Norton AntiVirus 2003 Professional Edition?

Структура отчета по лабораторной работе

1. Титульный лист (см. Приложение 1);

2. Название лабораторной работы;

3. Цель лабораторной работы;

4. Краткие теоретические сведения, необходимые для выполнения лабораторной работы;

5. Индивидуальное задание;

6. Описание хода выполнения лабораторной работы;

7. Выводы, обобщения, критический анализ и комментарии к результатам, полученным в процессе выполнения лабораторной работы;

8. Список литературы, использованной для выполнения лабораторной работы.

Оформление отчета по лабораторной работе

Текст отчета пишется с одной стороны стандартного машинописного листа формата А4. Межстрочное расстояние 1 интервал, размер шрифта - 12, шрифт - Times new Roman. Слева и справа на полях оставляются поля: слева 3 см., справа 1-1.5 см., сверху и снизу 2.0-2.5 см. Абзацный отступ - 1.25 см.

Список литературы должен оформляться согласно существующим правилам.

защита информация компьютер программа

Литература

1. Мельников В.В. Защита информации в компьютерных системах.- М.: Финансы и статистика; Электронинформ, 1997. - 368 с.

2. Анин Б.Ю. Защита компьютерной информации. СПб.: БХВ-Петербург, 2000.- 384 с.

3. Коул Эрик Руководство по защите от хакеров. : Пер. с англ.- М.: Издательский дом «Вильямс», 2002.- 640 с.

4. Крысин А.В. Информационная безопасность. Практическое руководство. М.: СПАРРК, К.: ВЕК+, 2003.- 320 с.

5. Евсеев Г.А., Симонович С.В Windows 98: Полный справочник в вопросах и ответах. М.: АСТ-ПРЕСС КНИГА: Инфорком-Пресс, 2003. - 496с.

6. Андреев А.Г. и др. Microsoft Windows 2000 Professional. СПб.: БХВ-Петербург, 2002.- 752 с.

7. Попов В.Б. Основы информационных и телекоммуникационных технологий. Основы информационной безопасности: Учеб. пособие. - М.: Финансы и статистика, 2005.-176 с.

Размещено на Allbest.ru