Огромное разнообразие существующего ПО для Windows — от небольших системных утилит, создаваемых независимыми разработчиками, до сложных пакетов ПО для бизнеса — сыграло ключевую роль в успехе ОС. Обратной стороной такой экосистемы является возможность использовать ее для маскировки нежелательного кода, приводящего к нарушению рабочей среды, демонстрации рекламных объявлений и т. д.
Теперь Microsoft готова помочь администраторам воспрепятствовать тому, чтобы на пользовательские Windows-устройства проникали обманные загрузки и другие потенциально нежелательные приложения (potential unwanted applications, PUA) со скрытыми подвохами. Как сообщили 26 ноября сотрудники Microsoft Malware Protection Center (MMPC) Джеф Макдональд, Дипак Манохар и Дулсе Монтемайор, для этого можно задействовать новую функцию Configuration Manager серверного пакета Microsoft System Center 2012.
«Если ИТ-персонал предприятия использует System Center Endpoint Protection (SCEP) или Forefront Endpoint Protection (FEP), ему неплохо знать про возможность защитить свою инфраструктуру от инсталляций PUA путем активации функции PUA Protection. Когда она включена, PUA будут блокироваться при загрузке из Интернета и в момент инсталляции».
Помимо замедления работы ПК и засорения меню Пуск, PUA может создавать риски для бизнес-данных и нагружать ИТ-персонал дополнительной работой.
Под PUA «понимаются упаковщики нежелательных приложений или сами упакованные приложения, — поясняют сотрудники MMPC. — Эти приложения могут увеличить риск инфицирования вашей сети вредоносным ПО, затруднять идентификацию вредоносных инфекций на фоне шума и отнимать время у служб поддержки, ИТ-персонала и пользователей на очистку ПК от занесенного ПО».
По их словам, существует целый спектр PUA. «Типичные примеры поведения, которое мы рассматриваем как PUA, включают внедренную рекламу, многие разновидности установки ПО „в нагрузку“ и постоянные домогательства платежей за некие мошеннические сервисы».
Принцип работы доступной только для корпоративных пользователей опциональной функции Potentially Unwanted Application Protection во многом напоминает антивирусное ПО.
Обновления защиты от PUA поставляются как часть существующих обновлений дефиниций и облачной защиты для корпоративных пользователей Microsoft. Никакого дополнительного конфигурирования кроме включения PUA Protection не требуется. Когда функция активирована, клиентские системы начнут обнаруживать и блокировать PUA после ближайшей перезагрузки системы или обновления сигнатур. Информацию о заблокированных PUA можно просматривать в SCEP на вкладке History.
Естественно, временами возможны ложные срабатывания. Microsoft рассчитывает, что пользователи будут предоставлять приложения, ошибочно помеченные как PUA, на сайт MMPC с ресурсами для разработчиков.
До развертывания нового средства защиты Microsoft советует предприятиям приложить усердие и позаботиться, чтобы использование функции соответствовало политике организации в отношении разрешенного ПО. Это также поможет держать конечных пользователей в курсе дела.
«При наличии корпоративной политики или действующих инструкций также рекомендуется в достаточной мере информировать конечных пользователей и службы ИТ-поддержки об обновлениях политики или инструкций, чтобы они знали, что потенциально нежелательные приложения в их корпоративной среде не разрешены, — пишут Макдональд, Манохар и Монтемайор. — Тогда всем будет заранее известно, почему SCEP или FEP блокирует их загрузки».
В блоге MMPC приводится краткое руководство по развертыванию защиты, включающее нужные значения параметров политики в ключах реестра.