Безопасность хранения информации
© Олег Васильев, BVG Group, 25.12.2012
Данная статья написана под впечатлением. Просто я решил переставить операционную систему на одном из своих ноутбуков, а он возьми, да и отключись от перегрева (при том, что вентиляторы не были закрыты). Не будь этого, я бы даже и забыл про то, что современные Windows тратят процессорные такты на всякую ерунду, а так - полез отключать, попутно решив, что некоторые отключалки будут полезны читателям в плане безопасности (а кому-то, наоборот, резервирования) информации.
Начнём с простого. Во многих статьях про вирусы, сказано, что одним из признаков наличия вируса, является дисковая активность. Особенно подозрительна она во время простоя машины. Несколько лет назад, когда я только перешёл с Windows XP на Windows Vista (к тому ноутбуку прилагались обе ОС, но хотелось испытать, что такое 64 битность), я столкнулся с подобным поведением. Пока работаешь - всё в порядке. Отошёл - минут через 10 начинает мигать лампочкой и упорно хрустеть, хрустеть, хрустеть винчестером. Вирус? Всё бы ничего, но к сети ноутбук не был подключен, да и на флэшке почти ничего на него не заносилось. Тогда что же?
Поиск по Интернету, дал небольшую зацепочку. Во-первых, это проявлялось у многих. Но вылечить не мог на тот момент (давно дело было) никто. В конце концов, на одном форуме был найден ключик реестра, который устраняет эту проблему. Проверил - правда, устраняет. Но что это за шаманство, помнить ключики реестра? Поэтому, зная его имя, удалось разобраться, как это сделать через GUI. И тогда всё встало на места.
Поиск по Интернету, дал небольшую зацепочку. Во-первых, это проявлялось у многих. Но вылечить не мог на тот момент (давно дело было) никто. В конце концов, на одном форуме был найден ключик реестра, который устраняет эту проблему. Проверил - правда, устраняет. Но что это за шаманство, помнить ключики реестра? Поэтому, зная его имя, удалось разобраться, как это сделать через GUI. И тогда всё встало на места.
Всё просто. У Windows Vista и последующей за ней Windows 7, есть полезная штука - SuperFetch. Она как-то там очень здорово индексирует файлы, чтобы осуществлять поиск было проще (проще нам - проще и лицам, желающим подглядеть, что мы делаем!!!). А я как раз тогда работал с образами флэшек. Размеры образов - гигабайты и даже десятки гигабайт. Вот их индексация и длилась часами.
Чтобы отключить эту странную функцию, надо зайти в панель управления, выбрать "Администрирование", затем - "Службы". Дальше - находим эту самую SuperFetch
Дважды щёлкаем по ней и выбираем "Отключена"
Ну вот. Теперь с вирусоподобным поведением разобрались. Переходим к более тонкой вещи. В любой книжке и любой статье про данные, всегда пишут, что если вы удалили файл с диска, он совсем даже не удалился. Он как был, так и остался, просто отмечен, как удалённый. Хорошо, а что будет, если вы модифицировали файл и записали его поверх старого? Ну, допустим, там были конфиденциальные строки, вы их удалили и записали, чтобы затереть старые. Они затёрлись? Как бы не так! Вернее, начиная с Windows Vista как бы не так. Нажимаем на файле правую кнопку
Вот обычный текстовый файлик
Я его отредактировал и сохранил (дата изменения совпадает с датой в заголовке статьи). Нажимаем на нём правую кнопку "Мыши" и выбираем "свойства"
И входим на вкладку "Предыдущие версии"
Вот так. Можно посмотреть, можно сохранить... И всё, что мы затёрли - выйдет на поверхность. Так что любой желающий вполне сможет поглядеть наши прошлые мысли.
Хотя, вообще-то, задумано это было совсем для другой цели. Это если мы вдруг решили откатиться на одну из предыдущих версий, фирма Microsoft даёт нам такую возможность. Но тут уж кому чего надо. Если нам важнее конфиденциальность, от греха подальше отключаем службу "Теневое копирование"
Вот так:
Правда, ранее сделанные теневые копии файлов никуда не денутся. Чтобы убрать их, выбираем свойства диска
Дальше - "Очистка диска"
В WIN7 дальше нажимаем "Очистить системные файлы", после чего появится вкладка "Дополнительно" (в Windows Vista она есть изначально)
И на этой вкладке "Дополнительно" нажимаем "Очистить" для группы "Восстановление системы и теневое копирование".
Теперь конфиденциальность на нашей машине будет защищена чуть более надёжно. Врагу будет сложнее что-то найти (так как SuperFetch отключена) и не порыться в грязном белье (так как отключено теневое копирование). В принципе, если вы редко вообще что-то ищете средствами windows (ну, например, используете для этого Far или ещё какой Windows Commander), то можно напрочь отключить индексирование, сняв соответствующий флажок всё в тех же свойствах диска
Ну, и напоследок, интересная информация уже для пользователей Windows XP, чтобы никто не подумал, что Windows с точки зрения файлов только деградирует. Нет! Есть и приятные изменения. Windows Vista и последующие версии, гораздо лучше работают с SSD. Дело в том, что у этого типа накопителей, ограничено число перезаписей. Исходно было 100 тысяч, затем стало 10 тысяч, теперь - вовсе 5 тысяч. А файловая система Windows XP имела привычку часто перезаписывать метаданные, тратя этот драгоценный ресурс. Для быстрых SSD это незаметно, но вот есть у меня один мелкий компьютер с медленным SSD. Там Windows грузилась ужасно долго.
Можно, конечно, поставить кэширующий драйвер (прямо как много лет назад ставили SmartDrive на ДОС), но через 3 месяца его использования, у меня появились первые BADы (протёртости) на этом самом SSD. Душераздирающее зрелище. А компик замечательный, выкидывать жалко. Пришлось разбираться, в чём дело. А дело в том, что оказывается, по умолчанию, файловая система обновляет время последнего доступа к файлу даже тогда, когда доступа-то и не было. Запускаем консоль, набираем dir. Чем больше файлов, тем медленнее выводится каталог. Почему? А потому что операция просмотра одного только имени - это обращение к файлу. И ему надо поменять атрибуты. Операция записи - медленная штука. Чем больше записей, тем больше обновлений.
В Интернете был найден секретный ключик, который отключает это безобразие. Но запоминать ключики - не наш метод. Поэтому я не успокоился, пока не нашёл метод, реализованный самой фирмой Microsoft. Оказывается, в состав Windows входит утилита для файловой системы. По-английски, это звучит как File System Utility. Добрые инженеры Microsoft так и назвали её - fsutil.
Входим в консоль
и там набираем fsutil. В результате, нам выдаётся текст помощи, благодаря которому мы не обязаны помнить ни ключ реестра, ни синтаксис аргументов. Просто будем смотреть на помощь, и добавлять аргументы шаг за шагом. Итак, первый экран помощи выглядит так:
Нас интересует параметр behavior - поведение. Прекрасно, пишем fsutil behavior (если точнее, нажимаем кнопку "Вверх" и дописываем к появившемуся тексту "behavior")
Хотим посмотреть - пишем query, хотим установить - пишем set. Ну давайте нажмём кнопку "Вверх" и к появившемуся тексту добавим set
А вот и появился параметр, который нам надо взвести (именно так зовут и ключ реестра, но вряд ли кто-то его запомнит, а здесь мы помним только File System Utility, остальное нам подскажут стараниями программистов Microsoft). Параметр называется DisableLastAccess и его надо установить в значение 1. То есть, полная строка будет
fsutil behavior set DisableLastAccess 1
Если посмотреть этот параметр через команду query (fsutil behavior query DisableLastAccess), то мы увидим, что в windows Vista и Windows 7 он и так равен 1. А вот в Windows XP он равен 0. Когда я на своём маленьком компьютерчике поставил его в 1, загрузка ОС стала мгновенной, да и команда Dir перестала тормозить.
Если уж зашла речь о безопасности и утилитах от Microsoft, то обязательно надо упомянуть старинную утилиту msconfig. Она также запускается через меню "Пуск", но не требует прав администратора (вернее, она сама их запросит, так что достаточно набрать msconfig и нажать enter)
У этой утилиты есть замечательная вкладка "Автозагрузка"
В ней можно снимать галки у тех программ, которые зачем-то запрыгнули в автозагрузку, но делать им там нечего. Если же галка снята ошибочно - её всегда можно вернуть. Само собой, есть программы и помощнее, но их надо искать и скачивать (а вдруг к ним вирус присосался?). Msconfig хороша тем, что идёт в комплекте поставки Windows.
Заключение
Мы выяснили, что поведение "а-ля вирус", когда компьютер начинает "дрыгать диском" во время простоев, может быть вызвано индексацией, производимой службой superFetch. Кому это не нравится - может отключить данную службу. Далее, мы выяснили, что также может быть, стоит отключить службу теневого копирования, которая делает очень "несекьюрную" вещь - собирает старые версии файлов (а кому-то это наоборот, во благо, так что отключать или нет - решайте сами). Мы разобрались, как удалить результаты этого коллекционирования старых версий.
Далее, факультативно были рассмотрены утилиты fsutil (на примере ускорения работы файловой системы Windows XP) и MSConfig. Главное достоинство этих утилит в том, что они входят в комплект поставки ОС Windows.
|