Как отключить защитник windows 10, если он вам мешает

Оглавление

Включение Защитника

Встроенный в систему антивирусник запускается одновременно с операционной системой – эта функция включена в режиме «по умолчанию», согласно условиям разработчиков компании Microsoft. В некоторых случаях не запускается консоль управления Защитником – зависит от текущих характеристик активированной операционки.

Через меню Пуск

Если подсистема Защитника недоступна, Виндовс постоянно будет показывать соответствующие уведомления на дисплее во время работы операционной системы персонального устройства.

Внимание! Помимо уведомлений, будет работать еще один тип оповещения – в системном трее ПК (группа значков на панели инструментов, работающих в реальном времени) начнет отображаться отдельный значок красного цвета. Чтобы заново перезапустить антивирусное приложение ПК, можно воспользоваться кнопкой Пуск

Этапы действий, если Защитник не активен:

Чтобы заново перезапустить антивирусное приложение ПК, можно воспользоваться кнопкой Пуск. Этапы действий, если Защитник не активен:

кликнуть по символу консоли на панели инструментов или нажать клавишу «Win»;

перейти на раздел «Безопасность Windows».

Внимание! Более быстрый способ найти нужную вкладку Защитника, если он все-таки отключен – использование панели Поиска. Инструмент находится на Панели управления

В нужном разделе необходимо кликнуть по строке «Краткий обзор безопасности». Рядом с пунктом «Защита от вирусов и угроз» нажать клавишу «Включить». На значке появится галочка зеленого цвета – это значит, что встроенная антивирусная защита активирована.

Редактор реестра

Установить защитник можно также через Редактор реестра. Процесс запуска приложения с внутреннего сервера:

запустить программу «Выполнить» с помощью горячих клавиш;

в поле ввести команду regedit.exe, кликнуть «ОК» (если «Enter» не работает);

в левой части окна перейти по ветке HKEY_LOCAL_MACHINESOFTWARE, потом на строку Policies Microsoft Windows Defender»;

если служба работы с внутренними угрозами остановлена, на пункте Disable AntiSpyware открывают контекстное меню, для раздела системы DWORD устанавливают символ 0.

Внимание! Стоит обратить внимание на пункт «Real Time Protection». Если в меню присутствует значение «disable realtime monitoring», его символ также меняют на «0»

Чтобы Защитник операционной системы не пропал после внесения изменений через Редактор, ПК следует перезапустить.

Редактор локальной групповой политики

Если Защитник операционной системы Виндовс компании Microsoft не запускается, требуется дополнительная настройка. Иногда стандартный способ через клавишу Пуск не подходит, поэтому нужно переустановить настройки через специальный инструмент – Редактор групповой политики:

активировать поле «Выполнить» через панель списка приложений Пуск или с помощью сочетания горячих кнопок «Win» и «R»;

в новой строке вписать команду gpedit.msc, кликнуть «ОК»;

  • подключить блок настроек «Конфигурация компьютера», затем – в пункт «Административные шаблоны»;
  • в списке нажать «Компоненты Windows», после – «EndpointProtection»;

для дальнейшего запуска открыть пункт «Выключить»;

если служба работы с потенциальными угрозами остановлена, по нужной строке следует кликнуть два раза.

Потом для поставщика внутренней антивирусной программы поставить значение системы «Не задано». После подтвердить намерение, нажав кнопку «ОК», чтобы элемент не был удален из основного меню.

Использование утилиты Win Update Disabler

Восстановить работу Защитника можно через дополнительное приложение Win Update Disabler. Стандартную утилиту можно скачать с официального ресурса. Программа не встраивается в Центр внутренней безопасности, поэтому можно внести изменения параметров без обращения к Редактору. Инструкция:

  • скачать утилиту, активировать файл;
  • в новом окне поставить галочки напротив подходящих пунктов (чтобы Защитник не включался, отметки проставляют в каждой строке);
  • на вкладке «Включить» также проставить необходимые настройки.

После внесения изменений ПК требуется перезагрузить. После удаления приложения Защитник запустится заново.

FixWin 10

Настроить Защитник через стороннее приложение можно с помощью дополнительной утилиты. Файл потребуется скачать и запустить. Программа бесплатная, позволяет выявить внутренние неполадки компьютера и устранить их. Для настройки вручную потребуется зайти в «System Tool», затем – подраздел «Repair», применить выбранный пункт.

Как включить защитник Windows 10: расположение программы, методы запуска и настройки встроенного антивируса

В процессе эксплуатации компьютера пользователь может намерено или по неосторожности удалить или отключить защитное программное обеспечение. Это повышает риск заражения компьютера вредоносными приложениями, которые не попадут в «карантин»

Чтобы включить антивирус на Windows 10, необходимо изменить соответствующие параметры в системе.

Способы восстановления «Защитника Windows»

Стандартная защита компьютера может отключаться через реестр, групповую политику или в рамках работы операционной системы. Чтобы активировать антивирус, необходимо выполнить включение тем же методом, которым было осуществлено отключение.

Параметры системы

Стандартный способ включить защитник Windows 10 — активировать нужную опцию в параметрах ОС:

  1. Развернуть «Пуск».
  2. В списке приложений нажать «Безопасность Windows».
  1. В блоке «Защита от вирусов и угроз» кликнуть Включить.

Антивирусная программа станет активной, о чем будет свидетельствовать зеленая галочка.

Если ранее были отключены все параметры «Защитника», включать нужно по следующей инструкции:

  1. Запустить меню безопасности и открыть «Защита от вирусов и угроз».
  1. Перейти по гиперссылке «Управление настройками».
  1. Сделать активными все переключатели на странице, каждый раз подтверждая действие от лица администратора.

Встроенный антивирус Windows 10 начнет работать. Не выходя из меню, можно настроить проверку системы, нажав по одноименной кнопке.

Настройка службы

За функционирование «Защитника» отвечает соответствующая служба в системе, которая способна отключиться под влиянием стороннего софта или пользователем. Чтобы восстановить компонент, нужно:

  1. Открыть поисковое меню системы и ввести запрос «Службы».
  2. В результатах поиска нажать по одноименному пункту.
  1. Найти строку «Антивирусная программа» и развернуть свойства двойным кликом.
  2. Выбрать тип запуска «Автоматически», нажать Запустить.
  3. Кликнуть Применить, ОК.

Обратите внимание! Если в свойствах компонента кнопки изменения параметров неактивные, значит служба работает исправно и не нуждается в настройке

Изменение реестра

В системном реестре есть отдельный параметр для запуска штатного антивирусного ПО. Для выполнения операций понадобятся права администратора:

  1. Нажать Win + R и выполнить оператор regedit.
  1. Вставить в адресную строку сверху Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender и нажать Enter, чтобы открыть требуемую папку.
  1. В правой части интерфейса два раза кликнуть по файлу DisableAntiSpyware и вписать цифру 0 в строку «Значение».
  2. Нажать ОК.

Если файла нет, потребуется создать параметр вручную:

  1. Вызвать контекстное меню на пустом месте.
  2. Навести курсор на пункт «Создать», в подменю выбрать «Параметр DWORD (32 bite)» или «QWORD (64 bite)», в зависимости от разрядности системы.
  1. Ввести имя DisableAntiSpyware, нажать Enter.

После следует перезапустить компьютер, чтобы внесенные изменения сохранились.

Редактор групповой политики

Если опция защиты деактивирована через редактор групповой политики, то вышеперечисленные методы не дадут результата.

Обратите внимание! Этот метод запуска антивируса возможен лишь на версии Windows 10 Pro. В остальных случаях «Защитник Windows» активен изначально

Для изменения параметров необходимо:

  1. Открыть поисковое меню и ввести gpedit.msc.
  2. В результатах кликнуть по одноименному значку.
  1. Используя древовидную структуру каталогов в левой стороне интерфейса, проследовать: «Конфигурация программ» → «Административные шаблоны» → «Компоненты Windows» → «Антивирусная программа».
  2. Двойным кликом мыши открыть свойства файла «Выключить антивирусную программу».
  1. Установить отметку на пункте «Отключено», нажать Применить, ОК.

Обратите внимание! Для применения параметров рекомендуется перезапустить компьютер

Использование стороннего приложения Win Updates Disabler

Win Updates Disabler — маловесная утилита, позволяющая менять конфигурацию системных компонентов. Для использования необходимо скачать приложение с официального ресурса и следовать руководству:

  1. Запустить и перейти в раздел «Включить».
  2. Установить галочку рядом с «Включить Защитник Windows».
  3. Нажать кнопку Применить сейчас.

Встроенный антивирус начнет функционировать после перезагрузки ПК.

«Защитник Windows» — необходимый компонент системы, который снижает вероятность проникновения зловредного программного кода. Для включения рекомендуется поочередно воспользоваться приведенными способами, каждый раз перезагружая компьютер и проверяя работу антивируса. В крайнем случае следует переустановить Windows 10.

Как включить защиту с помощью PowerShell

Есть простой инструмент PowerShell, с помощью которого можно включить функцию защиты системы для диска.

Правым щелчком мыши на кнопку Пуск разверните контекстное меню и выберите пункт PowerShell (администратор).

Если в меню вместо PowerShell отображается командная строка, откройте системный поиск, наберите имя этой утилиты и под найденным результатом нажмите «запуск от имени администратора».

В консоли наберите по очереди команды, подтверждая выполнение каждой на Enter:

enable-computerrestore -drive «c:»

vssadmin resize shadowstorage /on=c: /for=c: /maxsize=5%

checkpoint-computer -description «Done»

Чтобы узнать, включена ли функция, нажмите комбинацию клавиш Win + R и выполните команду control, чтобы открыть Панель управления.

Перейдите в раздел Система, на левой панели выберите пункт «Защита системы».

Проверьте, включена ли функция для диска, который нужно восстановить.

Если установлено значение «Отключено», выберите диск, для которого нужно активировать функцию, и кликните на кнопку «Настроить». Установите флажок «Включите защиту» и кликните на «ОК».

После проверьте, появляется ли сообщение об ошибке.

Автоматизация включения защиты, ее настройки и создания точек

Вы можете создать точку восстановления вручную в любой момент. В этом разделе рассматриваются различные аспекты автоматического создания точек.

Включение защиты и создание точки из PowerShell

Это может пригодиться для автоматизации в Windows 10 на дисках объемом менее 120GB. Выполните команды ниже в PowerShell от имени администратора. Первая включает защиту системы, вторая выделяет 5% диска, а третья создает точку.

Enable-Computerrestore -drive "C:\"
VSSAdmin --% Resize ShadowStorage /For=C: /On=C: /MaxSize=5%
Checkpoint-Computer -Description 'Моя точка'

См. также .

Автоматическое создание точек системой

Автоматически точки восстановления создаются при:

  • установке приложений и драйверов (если их установщик совместим с защитой системы)
  • установке обновлений Windows Update
  • восстановлении системы к одной из предыдущих точек (это дает возможность отменить изменения, если, например, случайно была выбрана не та точка)

В Windows 8 появился дополнительный нюанс — система не создает новую точку, если старая была создана в пределах 24 часов (исключение — ручное создание в панели управления). Чуть ниже я покажу, как обойти это ограничение.

Тонкости запланированного задания

Точки восстановления также создаются по расписанию. За регулярностью их создания следит Планировщик заданий, являющийся оснасткой консоли управления Microsoft (MMC). Задание по проверке и созданию точек восстановления расположено в папке Библиотека планировщика заданий — Microsoft — Windows — SystemRestore. Запуск задания осуществляется ежедневно в 00:00 и при включении компьютера.

Несмотря на внешнюю схожесть этого задания с тем, что было в Windows Vista, в Windows 7 имеется существенное отличие. В Windows Vista задание проверяло, создавались ли точки в течение последних 24 часов, и если таковых не оказывалось, создавало новую точку. В Windows 7 этот интервал расширен до 7 дней.

Создание своего запланированного задания

Некоторые люди предпочитают создавать точки чаще, чем предусмотрено системой, с целью сохранения рабочих файлов в теневых копиях, пользуясь этим в качестве краткосрочного резервного копирования. Автоматизировать создание точек можно с помощью PowerShell. Достаточно одной команды:

powershell -ExecutionPolicy Bypass -noprofile  -WindowStyle Hidden -command Checkpoint-Computer -Description 'Ваше описание точки тут'

Есть также скрипт VBS.

'Фоновое создание точки восстановления
'Для интерактивного создания раскомментируйте выделенные строки
'------------------------------------------------------
If WScript.Arguments.Count = 0 Then
  Set oShell = CreateObject("Shell.Application")
  oShell.ShellExecute "wscript.exe", """" & WScript.ScriptFullName & """ Run", , "runas", 1
Else
  Set oWshShell = WScript.CreateObject("WScript.Shell")
  'oWshShell.Popup "Creating a SystemRestore point. Please wait.", 2, "System Restore", 0
  swinmgmts = "winmgmts:\\.\root\default:Systemrestore"
  GetObject(swinmgmts).CreateRestorePoint "Scheduled Restore Point", 0, 100
  'MsgBox "System Restore Point created", 0, "System Restore"
End If

В планировщике для этого проще всего запускать команду wscript, указав в качестве аргумента полный путь к VBS-файлу.

Примечание. В Windows 8 и новее, чтобы обойти 24-часовое ограничение, создайте параметр DWORD с именем SystemRestorePointCreationFrequency и значением в разделе

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

Добавить исключения в Защитник Windows

1.Зайдите в меню «Пуск» и откройте «Параметры».

2.В открывшемся окне выберите «Обновление и безопасность».

3.В левой колонке выберите «Защитник Windows», в правой откройте «Добавить исключение».

4.В данном окне выберите то, что нужно добавить в исключения. К примеру, если вам нужно добавить в исключения файл, нажмите левой клавишей мыши на + перед «Исключить файл».

Если вы выбрали «Исключить файл», то вам нужно найти файл в открывшемся окне, выбрать его и нажать на «Исключить этот файл».

Если вы выбрали «Исключить папку», найдите и выберите папку, которую хотите исключить и нажмите на «Исключить эту папку».

Если вы выбрали «Исключить расширение файла», впишите нужное расширение и нажмите «ОК». К примеру, чтобы исключить все файлы с расширением jpg, нам нужно ввести .jpg и нажать «ОК».

Если вы выбрали «Исключить процесс Exe, Com или SCR», впишите имя процесса вместе с его расширением (можно глянуть в диспетчере задач, нажав на нужный процесс правой клавишей мыши — свойства, или прописать путь к программе и название программы) и нажмите «ОК».

Когда введете все нужные исключения закройте окно настроек.

Запуск службы

Если служба теневого копирования тома не работает или повреждена, то может возникнуть сообщение, что она отключена. Нужно перезапустить ее и проверить, исправлена ли ошибка.

Откройте службы командой services.msc из окна «Выполнить» (Win + R).

Найдите «Теневое копирование тома», щелкните правой кнопкой мыши на ней и выберите Свойства из контекстного меню.

Если служба запущена (можно посмотреть в столбце состояния), то нужно ее остановить.

После ее остановки проверьте, что в поле типа запуска установлено значение «Автоматически». Щелкните на кнопку «Запустить».

При запуске может возникнуть сообщение об ошибке с кодом 1079: учетная запись, указанная для этой службы, отличается от учетной записи, указанной для других служб, запущенных в этом процессе.

При ее возникновении выполните такие шаги:

В свойствах перейдите в пункт меню «Вход в систему» и нажмите на «Обзор».

В поле «Введите имена выбираемых объектов» введите имя пользователя, кликните на «Проверить имена» и дождитесь, пока оно станет доступным.

Нажмите «ОК», затем введите пароль.

Если не можете загрузить Windows тем самым получить доступ к службам, воспользуйтесь командной строкой из дополнительных параметров.

Войдите в консоль, как указано в первом способе, и введите команды:

В момент создания точки восстановления системы вручную, некоторые пользователи сталкиваются с проблемой неактивных кнопок восстановить, настроить и создать, надписи напротив которых гласят: восстановление системы отключено системным администратором, конфигурация отключена администратором и создание точек восстановления отключено. Почему так получается и как в итоге решить данную проблему, разберемся в данной статье.

На самом деле, восстановление системы отключено ни потому что, якобы какой то системный администратор взял и отключил его, а связанно это с тем, что при установке некоторых программ, направленных на автоматическую настройку вашего компьютера, для более лучшей его работы, блокируется и функция создания точек восстановления. Но благо этот вопрос решается в несколько кликов. В статье описывается решение данного вопроса в windows 10, но данный метод подходит и для предыдущих версий операционных систем.

Восстановление системы отключено системным администратором

Итак, для решения проблемы нам понадобится перейти в редактор локальной групповой политики. Для перехода вызываем консоль выполнить, нажатием клавиш +R, где вводим команду gpedit,msc и жмем ОК.

В открывшемся окне, в левой колонке переходим во вкладку административные шаблоны -> система, теперь в правой колонке находим вкладку восстановление системы и открываем ее.

Здесь видим параметр под названием отключить восстановление системы, его то нам и требуется отключить, для этого открываем его двойным нажатием мыши.

В открывшемся окне, ставим маркер на пункт отключено и нажимаем кнопочку ОК. Теперь можно закрыть данный редактор и проверить заработала ли функция восстановления системы.

Переходим в дополнительные параметры системы в свойствах компьютера.

И как видим кнопка настроить теперь активна, в ней мы включаем функцию защиты системы, после чего можно приступить к созданию точки восстановления windows.

Включаем функцию восстановления системы и создания точек восстановления через редактор реестра

Проблема невозможности создания точек восстановления для восстановления системы, решается и другим способом, более быстрым, но придется воспользоваться редактором реестра windows. Для перехода в реестр, опять же переходим в консоль выполнить, нажатием клавиш +R и вводим команду regedit. В окне редактора реестра, переходим по пути HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestore. Теперь в правой колонке находим параметр DisableSR, открываем его и меняем значение с 1 на 0, нажимаем ОК. Закрываем редактор и радуемся.

Помимо содания точки восстанволения вручную, вы можете настроить автоматическое создание, прочитав статью Автоматическое создание точек восстановления windows при входе в систему.

О ставляйте своё мнение о данной статье, ну и конечно же задавайте свои вопросы, если у вас что-то вдруг пошло не так.

Защита данных от утечки

В рамках определенного сценария есть предположение, что пользователь случайно (или нет) может передавать информацию третьим лицам. Эти данные могут быть очень ценными, и от них может зависеть репутация или работа компании.

Также не исключены ситуации, когда носитель информации был утерян, или к устройству был получен несанкционированный доступ. В таких случаях получение данных с устройств — это лишь вопрос времени, причем очень короткого.

К примеру, можно взять ситуацию, когда злоумышленник получает доступ к рабочей станции. Достаточно загрузиться с загрузочного носителя, и через командную строку (вызывается сочетанием клавиш Shift+F10) мы получаем полный доступ к данным на жестком диске: можем их копировать и удалять.

Чтобы избежать такой ситуации и оградить хакера от информации на диске, в Windows 10 было разработано шифрование данных функцией BitLocker, правда, работает она только на Windows 10 версий Pro, Enterprise и Education.

Чтобы включить шифрование диска, необходимо в групповых политиках пройти по цепочке Конфигурация Компьютера > Административные шаблоны > Компонент Windows и выбрать «Диски операционной системы». Далее выбираем «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске».

В новом окне выберите пункт «Включено», поставьте галочку напротив «Разрешить использование BitLocker без совместимого доверенного платформенного модуля» и нажмите OK.

Рисунок 7. Изменение групповых политик для включения BitLocker

Теперь открываем «Панель управления» и заходим в раздел «Шифрование диска BitLocker», нажимаем «Включить BitLocker» и следуем инструкциям, появившимся на экране.

После шифрования диска при загрузке придется вводить пароль, который был указан при включении самой функции.

Рисунок 8. BitLocker просит ввести пароль для загрузки ОС

Если не ввести пароль в течение минуты, компьютер автоматически выключится.

Есть пара важных моментов, которые необходимо учесть при шифровании диска:

  1. Необходимо обзавестись ключами восстановления — на случай, если не удается получить доступ к шифрованному диску. И в рамках компании хранить такие ключи удобнее в Active Directory.
  2. Необходимо иметь копию данных, которые находятся на зашифрованном диске. Если, к примеру, диск был поврежден физически и из него надо извлечь данные, то нет гарантии, что будет возможность их расшифровать.  

Защита от бесфайловой атаки

Хакеры часто применяют для начала атаки спам-кампании. Основаны они на рассылке писем с вредоносными файлами, запуск которых сулит открыть двери в сеть для злоумышленников.  

Файлы бывают разных типов и эксплуатируют они разные уязвимости операционных систем. Однако если система под защитой антивируса, скорее всего, вредоносные действия будут заблокированы, а файл удален. Но существуют атаки, которые антивирус не в состоянии блокировать. Например, документы MS Office с вредоносными макросами. Сам документ по своей сути может быть безвреден и подозрительной сигнатуры, и странного поведения в себе не несет. Но макрос может быть написан таким способом, что боевую нагрузку он скачает с удаленного сервера и исполнит на системе. Ни встроенный в Windows 10, ни сторонний антивирус не сможет отреагировать на такую атаку, так как файл был проверен перед запуском, и он лишь исполняет макрос. А вот какие конкретно действия производит код, уже никто не смотрит. Да и бороться антивирусу особо не с чем — остается лишь код в памяти. Такие типы атак называются бесфайловыми или бестелесными (самого исполняемого файла нет), и они являются наиболее опасными при спаме.

Для тех, кто не использует макросы, защититься легче — просто отключить их. Но какие меры предпринять, когда это необходимо использовать? Ведь встает задача различать макросы, которые необходимы, от тех, которые используют атакующие. Для этой цели в Windows 10 разработали Windows Defender Exploit Guard. Это набор функций, который включает в себя:

  • защиту от эксплойтов;
  • уменьшение поверхности атаки;
  • защиту сети;
  • контролируемый доступ к папкам.

В документации Microsoft можно найти описание всех функций более подробно.

Важный момент: практически все компоненты зависят от встроенного в Windows 10 антивируса. То есть если установлен сторонний антивирус — то в Windows Defender Exploit Guard возможно будет пользоваться только защитой от эксплойтов. Остальные перечисленные функции будут работать только при включенном Windows Defender!

Для защиты от бесфайловой атаки необходима функция уменьшения поверхности атаки. Она содержит в себе порядка 14 правил. На странице представлены описания правил и их GUID. В данном случае необходимо включить правило «Блокировка создания исполняемого содержимого приложениями Office» с GUID «3B576869-A4EC-4529-8536-B80A7769E899». Это правило блокирует запуск сторонних приложений непосредственно макросом.

Чтобы включить данное правило, необходимо перейти в редактор локальных групповых политик и во вкладке «Конфигурация компьютера» идти по цепочке: Административные шаблоны → Компоненты Windows → Антивирусная программа «Защитник Windows» → Exploit Guard в Защитнике Windows → Сокращение возможных направлений атак. Далее необходимо открыть «Настроить правила сокращения возможных направлений атак».

Включаем функцию, выбрав переключатель «Включено», и нажимаем кнопку «Показать». В открывшемся окне вводим GUID правила и значение. Значения принимают вид:

0 — не работает

1 — блокирует

2 — не блокирует, но записывает логи.

Рисунок 2. Добавление правила в Windows Defender Exploit Guard

Включаем функцию, добавляем правило и пытаемся запустить файл с вредоносным макросом.

Рисунок 3. Оповещение о блокировке вредоносных действий

В этот момент появится уведомление о том, что действия макроса заблокированы. Но если запустить макрос, который, к примеру, посчитает стоимость скидки на товар внутри таблицы, его блокировать Защитник не будет.

Новые возможности защиты и восстановления системы

В Windows 7 защиту системы усовершенствовали. Самые значимые улучшения перечислены в таблице ниже.

Новая возможность Описание
Настройка дискового пространства В Windows 7 в графическом интерфейсе снова появилась возможность задать процент дискового пространства, которое отводится для защиты системы. Эта возможность существовала в Windows XP, но в Windows Vista исчезла, хотя это можно было сделать из командной строки.
Тонка настройка защиты Вы можете настроить защиту предыдущих версий файлов вместе с системными параметрами или отдельно.
Поиск затрагиваемых программ Для каждой точки восстановления имеется возможность просмотреть список программ и драйверов, которые затронет откат. Очевидно, такие программы могут неправильно работать после восстановления системы. Таким образом, вы сможете заранее узнать, каким программам может потребоваться переустановка после восстановления системы.
Использование резервного образа системы Возможности резервного копирования Windows 7 позволяют вам создать полный образ операционной системы. Если такой образ имеется, его можно использовать для восстановления в качестве одной из точек.

Об этих и других возможностях защиты и восстановления системы и пойдет речь далее в статье

Однако сначала я хотел бы уделить внимание одному важному вопросу. Защиту системы некоторые пользователи незаслуженно отключают чуть ли не первым делом.  О том, почему это не имеет смысла делать в Windows, я и хочу поговорить в первую очередь

Отключение восстановления системы в Windows 10

Отключать восстановление имеет смысл, если у Вас действительно малый объем накопителя, из-за чего нет возможности выделять драгоценное «место» под восстановление системы. В иных случаях, данный поступок можно считать мало оправданным, поскольку значительно снижается шанс восстановить систему в случае какого-либо сбоя или установки некорректно работающего программного обеспечения (в том числе драйверов).

  1. Сперва нужно открыть настройки восстановления системы, так же, как это описано в пункте выше (Включение восстановления системы) — нужно открыть «Панель управления», в ней пункт «Восстановление», а в нем — «Настройка восстановления системы».
  2. Теперь нужно пройтись по всем жестким дискам, у которых стоит в столбике «Защита» статус «Включено». Выбираем такой жесткий диск, и нажимаем на кнопку «Настроить».
  3. В настройках отмечаем пункт «Отключить защиту системы», и нажимаем «ОК».
  4. Появится диалоговое окно для подтверждения действия отключения восстановления системы на данном диске. Нажимаем «Да».
  5. После этого, все точки восстановления будут удалены с данного диска, а по отключению данных настроек на всех дисках — восстановление системы будет отключено.

Виртуализация Windows 10

В идеале политика защиты информационной безопасности в организации строится так, что ни на одной рабочей станции у пользователей не должно быть прав локального администратора, но на практике это тяжело выполнить. В любом случае на одной-двух станциях обычно бывают такие права. И в примере с Mimikatz было показано, как из дампа процесса lsass.exe можно достать NTLM-хеш пароля пользователя. Им все еще можно воспользоваться. Сложнее, но всё же.

На этом этапе выявляется проблема архитектуры операционной системы Windows. Если у пользователя есть права локального администратора — он может делать все на данной машине. И эту парадигму сломать нельзя, так как на ней строится большинство приложений Windows. Возник вопрос: как защитить какие-то данные, чтобы к ним не мог получить доступ никто, независимо от того, какие у него привилегии, и в то же время оставить локального администратора? В Windows 10 на этот вопрос ответ нашелся в функции Windows 10 Virtualization-Based Security.

Эта функция позволяет запустить виртуальную среду за пределами операционной системы, и внутри этой виртуализации запустить контейнеры с данными. А так как гипервизор к аппаратной части компьютера ближе, чем сама операционная система, то виртуальная среда сама определяет уровень доверия к виртуальным контейнерам. 

Рисунок 4. Архитектура Windows 10 Virtualization-Based Security

В итоге ситуация выглядит таким образом: даже если в системе работает локальный администратор, он не может получить доступ к данным в виртуальном контейнере. И лишь только некоторые системные запросы могут отправляться в этот контейнер.

Но в виртуальных контейнерах нельзя хранить все что угодно. В них хранятся специально разрабатываемые так называемые Trustlet. Один из них — это Credential Guard. То есть уже нельзя сделать дамп процесса lsass.exe со всеми учетными данными, которые там есть. Если быть совсем точным: дамп сделать можно, но процесс lsass раздваивается, и та часть, которая хранит в себе «учетки», находится в виртуальном контейнере.

Из минусов данной технологии:

  • Пока так защитить можно только доменные учетные данные (если были введены другие учетные данные, то они так и останутся в памяти).
  • Необходимо современное оборудование, желательно с крипточипами ТМ 1.2 или 2.0.
  • Данную технологию можно запустить только на Windows Enterprise, что требует отдельного лицензирования и довольно дорого.

Переводить всю инфраструктуру на эту технологию нецелесообразно, но на двух-трех рабочих станциях, где используются учетные данные локального администратора, она была бы не лишней.

Чтобы проверить готовность рабочей станции к включению данного программного обеспечения, а также для самого включения можно скачать Device Guard and Credential Guard hardware readiness tool с официального сайта Microsoft. Это программное обеспечение представляет собой скрипт PowerShell. Обычный его запуск проверит на пригодность машины, а ключи «-Eneble  -CG» запустят Windows  Credential Guard с Windows 10 Virtualization-Based Security.

Рисунок 5. Проверка готовности системы к запуску виртуализации

После запуска и перезагрузки в диспетчере задач появится еще один процесс (если компьютер находится в домене): lsalso.exe — это и есть вторая часть lsass.exe, которая хранится в контейнере вместе с учетными данными. Сделать дамп этого процесса невозможно, а в lsass содержится зашифрованный NTLM-хеш, использовать который на практике нереально.

Чтобы убедиться, что виртуализация запустилась, необходимо зайти в «Сведения о системе», и напротив пункта «Безопасность на основе виртуализации: настроенные службы» должно быть значение Credential Guard.

Рисунок 6. Запущенная служба виртуализации