Файл: Лабораторная работа 2. Установка windows server 2008. Начальная настройка windows server 2008. Средства администрирования ос windows.pdf

9 что она престанет загружаться. И опять же, обратите внимание, что отключение или удаление службы не остановит ее, если она уже запущена.
Распространенным явлением является маскировка вредоносной программы под легитимную, запущенную процессом svchost.exe, находящимся в каталоге Windows, а не каталоге Windows\System32.
6) Drivers
Драйверы также настроены в подразделах ветки системного реестра
HKLM\System\CurrentControlSet\Services, но они работают в режиме ядра и таким образом, становятся частью ядра операционной системы. Большинство из них установлены в
System32\Drivers и имеют расширение файла «.sys». Драйверы для Windows позволяют взаимодействовать с различными типами аппаратных средств, в том числе дисплеями, устройствами хранение данных, считывателями смарт-карт, и устройствами пользовательского ввода. Они также используются для мониторинга сетевого трафика и файлового ввода/вывода антивирусным программным обеспечением. И, конечно, они также используемые вредоносными программами, в частности, руткитов.
Как и «Services», вкладка «Drivers» отображает драйверы, которые не помечены как отключенные, за исключением тех, что были деактивированы посредством Autoruns. Значение поля «Description» исходит из версии ресурсных файлов драйвера и image path указывает на расположение файла драйвера.
Большинство случаев появления «синего экрана», является следствием вызова незаконных операций выполняющихся в режиме ядра, и большинство из них вызваны ошибкой в сторонних драйверах.
Есть возможость отключить или удалить проблематичный драйвер при помощи
Autoruns. Обычно эффект от этого будет заметен после перезагрузки. Как и в случае служб, надо быть уверенным в том, что делаете, когда отключаете или удаляете конфигурацию драйверов. Большинство из них являются критическими для ОС и любые ошибки в конфигурации могут привести ее к неработоспособному состоянию.
7) Codecs
Категория «Кодеки» отображает исполняемый код, который может быть загружен приложением, воспроизводящим медиа-файлы. Баги или неправильно настроенные кодеки, как известно, вызывают замедление системы и другие проблемы, и эти ASEPs также эксплуатируются вредоносными программами.
8) Boot execute
Вкладка «Boot Execute» показывает исполняемые файлы, которые запускаются Session
Manager (Smss.exe) во время загрузки системы. Boot Execute обычно включает в себя задачи, такие как проверку и восстановление жесткого диска (Autochk.exe), которые не могут быть выполнены во время работы компьютера.
9) Image Hijacks
Image Hijacks – это термин, который используется создателями Autoruns для обозначения ASEPs, которые запускают различные приложения из указанных вами.
10) AppInt
Запрещено и не используется начиная с Windows Vista.
11) Known DLLs
KnownDLLs помогает повысить производительность системы, гарантируя, что все
Windows-процессы используют ту же версию некоторых DLL, а не выбирают их самостоятельно из различных мест расположений файлов.

10
Во время запуска диспетчер сеанса помещает библиотеки DLL, перечисленные в
HKLM\System\CurrentControlSet\Control\SessionManager\KnownDlls в память в виде объектов именованных разделов. Когда новый процесс загружается и нуждается в отображении этих
DLL, он пользуется существующими разделами вместо поиска по файловой системе другой версии DLL.
Вкладка Autoruns KnownDLLs должна содержать только проверенные библиотеки DLL.
В 64-разрядных версиях ОС Windows, на вкладке KnownDLLs записи ASEP дублируются как для 32-битных и 64-битных версий DLL, в папках, указанных в значениях параметров реестра
DllDirectory и DllDirectory32.
Чтобы убедиться, что вредоносная программа не удалила записи из этой секции таким образом, что она может загрузить свою собственную версию библиотеки DLL, сохраните результаты Autoruns с подозреваемой системы и сравните их с результатами заведомо исправного экземпляра той же операционной системы.
12) Winlogon
Вкладка Winlogon отображает записи, которые помещены в Winlogon.exe, управляющий входом пользователей в Windows. В Windows XP и Windows Server 2003, они могут включать в себя интерфейс GINA DLL и Winlogon пакеты уведомления. Эти интерфейсы были удалены в Windows Vista и заменены интерфейсом Credential Provider. Во вкладке Winlogon также содержатся настройки заставки экрана, которая запускается Winlogon.exe во время бездействия компьютера.
13) Winsock Providers
Во вкладке Winsock перечислены поставщики услуг (провайдеры), зарегистрированные в системе, в том числе те, которые встроены в ОС Windows. Можно скрыть последних в группе, выбрав «Hide Windows Entries» и «Verify Code Signature», чтобы сосредоточиться на записях, которые, скорее всего, могут быть причиной проблем.
14) Print Monitors
Записи на этой вкладке отображают сведения о библиотеках DLL, настроенных в разделе системного реестра HKLM\System\CurrentControlSet\Control\Print\Monitors. Эти DLL загружаются диспетчером очереди печати (Spooler), который работает в Local System.
15) LSA Providers
Эта категория автозапуска включает в себя пакеты, которые определяют или расширяют процесс аутентификации пользователя в Windows посредством Local Security Authority (LSA).
Если вы не устанавливали сторонние средства аутентификации, то этот список должен содержать только проверенные Windows записи. Библиотеки DLL, представленные в этом списке, запускаются процессом Lsass.exe или Winlogon.exe и работают как Local System (так отображаются).
16) Network Providers
На вкладке отображаются установленные поставщики сетевых услуг, которые настраиваются в ветке системного реестра
HKLM\System\CurrentControlSet\Control\NetworkProvider\Order.
В
ОС
Windows для настольных компьютеров эта вкладка включает провайдеров по умолчанию для доступа к
SMB-серверам (файлы и печать), серверам RDP (службы терминального сервера и удаленных рабочих столов) и серверам WebDAV. Дополнительные провайдеры часто видны в этом списке, если у вас гетерогенная сеть или присутствуют дополнительные типы серверов, к которым Windows нужно подключиться. Все записи в этом списке должны быть проверяемыми.

11
17) Sidebar Gadgets
В ОС Windows Vista и более новых версиях, на этой вкладке перечислены виджеты рабочего стола.
Задание:
1) Запустить программу Autoruns и проанализировать список автозапуска. Сравнить функциональные возможности программы Autoruns, msconfig и Диспетчера задач.
2) Проведите проверку сертификатов всех записей. Посмотрите свойства нескольких
ASEPs. Найдите месторасположение файла.
3) Создайте дополнительного пользователя test_user. Зайдите под профилем этого пользователя, а также используя просмотр ASEPs из Offline системы этого же пользователя.
Сравните списки ASEPs.
4) Попробуйте отключить автозапуск ненужных приложений. Проанализируйте результаты.
5) Предложить другие утилиты для администрирования Windows.
Вопросы:
1) Для чего нужен автозапуск приложений?
2) Как автозапуск влияет на производительность компьютера и приложений? Ответ аргументируйте.
3) Для чего нужно приложение Autoruns и в каких режимах оно может работать?
4) Когда изменения (отключение автозапуска и удаление приложения из списка автозагрузок), сделанные при помощи Autoruns вступают в силу?
5) Что следует знать перед отключением/удалением автозапуска?
6) Как при помощи Autoruns можно выявить нежелательное (в том числе вирусное) ПО на компьютере.