Поэтому удаляю пункт с инструкцией по занесению группы «ReadProtected» в список «Папок с защищенными данными».
По идее, опасна не сама группа, а входящий в нее шаблон «*\ReadProtected\*». Однако без него и смысла в группе мало остается.
Строки наподобие «\Device\TrueCryptVolume*\*» пока не вызвали у меня синего экрана, но ситуация слишком мутная.
Для желающих поэкспериментировать привожу текст удаленного пункта. Я предупредил.
В предыдущих статьях уже объяснялось назначение вкладки «HIPS» > «Защищенные объекты» > «Папки с защищенными данными». Добавленные на эту вкладку каталоги в определенной мере защищаются от чтения:
- программы, запущенные виртуально, воспринимают эти каталоги пустыми;
- программам, запущенным в реальной среде с ограничениями Auto-Sandbox, запрещается обзор содержимого этих каталогов;
- программам, которым посредством HIPS заблокирован ресурс «Диск», запрещается обзор содержимого этих каталогов (но остается возможным открытие содержащихся в них файлов).
Через интерфейс CIS можно добавлять в список «Папок с защищенными данными» только отдельные каталоги, имеющиеся на локальном диске, но не шаблоны путей и не группы файлов. Формально можно добавить в этот список съемные устройства или виртуальные диски, но для них защита работать не будет.
Чтобы сделать защиту данных более удобной и функциональной, предложу метод добавления в список «Папок с защищенными данными» группы файлов.
Внимание! Данная операция не является официально разрешенной и осуществляется на страх и риск пользователя.
Последовательность действий следующая:
- создать каталог с уникальным именем, например, «
C:\zyx495»; - добавить этот каталог в список на вкладке «HIPS» > «Защищенные объекты» > «Папки с защищенными данными»;
- на вкладке «Рейтинг файлов» > «Группы файлов» создать группу «ReadProtected»;
- нажать «Ok» для применения конфигурации, затем снова открыть окно настройки CIS;
- на вкладке «Конфигурация» выбрать активную конфигурацию и экспортировать в файл;
- открыть этот файл в текстовом редакторе и найти в нем строку, содержащую «
zyx495»; - в этой строке код «
Flags="0" Filename="C:\zyx495\*" DeviceName="C:\zyx495\"» заменить кодом «Flags="1" DeviceName="ReadProtected"»; - сохранить изменения в файле конфигурации;
- на вкладке «Конфигурация» импортировать этот файл как новую конфигурацию с новым именем и сделать эту конфигурацию активной;
- каталог «
C:\zyx495» и файл конфигурации можно удалить.
Теперь вместо добавления каталогов непосредственно в список «Папок с защищенными данными» будем добавлять их в группу «ReadProtected». Такой способ позволит заносить в этот список любые пути и шаблоны, а не только те, которые доступны через интерфейс выбора каталога.
Например, можно добавить в группу «ReadProtected» шаблон «*\ReadProtected\*». В результате данные в любой папке с именем «ReadProtected», будут защищены от чтения виртуализированными программами (проверялось на Windows 7 x64). Однако это касается только папок на локальном диске.
Данные на сменных носителях не защищаются от чтения из виртуальной среды (хотя все же защищаются от программ, которым заблокирован ресурс «Диск»). Аналогично не защищаются данные на виртуальных шифрованных дисках, которые подключаются как сменные носители.
Таким образом, чтобы данные на виртуальном шифрованном диске были защищены от чтения из виртуальной среды, следует подключать этот диск как локальный, а не как сменный носитель. (В программах TrueCrypt и VeraCrypt тома по умолчанию и монтируются как локальные диски, но существует возможность монтировать их как сменные.) На виртуальном диске можно создать каталог, наподобие предложенного «ReadProtected», — и программы, выполняющиеся в виртуальной среде, будут воспринимать этот каталог пустым. Внимание! Невозможно заранее гарантировать работу этого метода; рекомендую перепроверить защиту после очистки виртуальной среды, повторного подключения виртуальных дисков и перезагрузки компьютера.
Еще один способ защиты данных на виртуальных шифрованных дисках TrueCrypt или VeraCrypt — добавить в группу «ReadProtected» строку «\Device\TrueCryptVolume*\*» или «\Device\VeraCryptVolume*\*» соответственно; диски также подключать как локальные. В этом случае шифрованный диск будет защищаться целиком. Опять же, рекомендую тщательно проверить этот способ защиты перед использованием.
