Windows – что это за файлы типа zone.identifier: $ data и как их предотвратить?
У меня есть диск ext4, который доступен для моей Windows XP VirtualBox как общая папка. При работе с файлами в Ubuntu и Windows я иногда вижу эти автоматически сгенерированные файлы с добавлением Zone.Identifier:$DATA
к имени. Например, если у меня есть файл
scite-2.29.msi
Тогда я получу небольшой раздражающий файл, такой как
scite-2.29.msi:Zone.Identifier:$DATA
Содержимое файл:
[ZoneTransfer]
ZoneId=3
Они, кажется, создаются каждый раз, когда я записываю файл на диск ext4 из моей виртуальной машины Windows. Кажется, я могу безопасно удалить их без каких-либо очевидных последствий.
Для чего нужны эти файлы, и если они бесполезны, как я могу предотвратить их создание?
Как windows определяет, что файл скачан из интернета | windows для системных администраторов
В одной из предыдущих статей мы упоминали, что Windows при попытке открыть скачанный из Интернета исполняемый файл выдает предупреждение системы безопасности о попытке запуска потенциально опасного содержимого (подробности в статье Как отключить предупреждение системы безопасности в Windows). Каким же образом система определяет, что файл был скачан из Интернета? Попробуем разобраться.
Все исполняемые файлы, загруженные из Интернета с помощью браузера получают особую отметку. Это правило поддерживается не только браузером Internet Explorer, но и большинством популярных браузеров, например Mozilla Firefox и Google Chrome. При копировании, переименовании или перемещении файла на другой раздел с файловой системной NTFS, предупреждение все равно остается.
Данная отметка представляет собой альтернативный поток NTFS, принадлежащий файлу.
Примечание. Суть альтернативных потоков данных NTFS (ADS — Alternate Data Streams). – возможность для каждого NTFS файла создать несколько дополнительных потоков данных (метаданных). По умолчанию все данные файла хранятся в основном потоке, однако есть возможность создать для файла один или несколько дополнительных потов данных, причем их размер даже может превышать размер основного файла. Подавляющее большинство приложений (в том числе проводник) работают только со стандартным потоком и не могут читать данные из альтернативных потоков NTFS.
Чтобы убедится, что скачанному из Интернета файлу назначена особая метка (альтернативный поток NTFS), в окне командной строке выведем список файлов в каталоге с дистрибутивами командой:
dir /r
Как мы видим, исполняемым файлам в этом каталоге назначен альтернативный поток Zone.Identifier, к примеру: install_flash_player_16_active_x.exe:Zone.Identifier
Откроем содержимое альтернативного потока в блокноте:
Notepad.exe install_flash_player_16_active_x.exe:Zone.Identifier
Мы видим, что данный поток представляет собой файл с секцией [ZoneTransfer], в которой указан идентификатор зоны передачи ZoneId (те самые зоны безопасности, которые присутствуют в настройках IE). ID зоны передачи может содержать одно из 5 значений от 0 до 4.
- ZoneId=0: Local machine (Локальный компьютер)
- ZoneId=1: Local intranet (Местная сеть)
- ZoneId=2: Trusted sites (Надежные сайты)
- ZoneId=3: Internet (Интернет)
- ZoneId=4: Restricted sites (Опасные сайты)
При загрузке файла из определенной зоны безопасности, браузер ставит им метку этой зоны. При запуске файлов, у которых в альтернативном NTFS потоке атрибут ZoneId равен 3 или 4, система на основании метки зоны распознает, что файл получен из Интернета или недоверенного источника. Windows проверяет наличие данной метки у исполняемых файлов начиная с Windows XP SP2.
Чтобы вручную удалить данную метку (альтернативный поток) у файла, достаточно нажать кнопку Разблокировать в свойствах файла.
Убедимся, что альтернативной поток у данного файла теперь отсутствует:
Вообще говоря, в Windows отсутствуют вменяемые средства работы с альтернативными потоками данных. И, если, к примеру, возникнет задача убрать этот признак сразу у множества файлов, лучше всего будет воспользоваться сторонней консольной утилитой Марка Русиновича — streams.
К примеру, чтобы рекурсивно удалить альтернативные потоки у всех exe-файлов в каталоге c:Download, выполните команду:
c:TOOLSstreams.exe -s -d c:Download*.exe
В консоли видно, что альтернативный поток у файла удален: Deleted :Zone.Identifier:$DATA
Важно. Утилита streams удаляет все альтернативные потоки у заданных файлов и не позволяет таргетировать конкретный поток. Поэтому не выполняйте команду streams в формате streams.exe -s -d c:*.exe, т.к. это может привезти к нарушению работы системы вследствие удаления у системных файлов важной информации, содержащейся в альтернативных NTFS потоках.
При наличии PowerShell 3.0, вывести список файлов в каталоге (рекурсивно) с потоком Zone.Identifier можно такой командой:
Get-ChildItem -Recurse | Get-Item -Stream Zone.Identifier -ErrorAction SilentlyContinue | Select-Object FileName
Сам атрибут снимается так:
Remove-Item .installfile.exe -Stream Zone.Identifier
В Windows PowerShell 4.0 снять метку Zone.Identifier можно с помощью отдельного командлета:
Unblock-File installfile.exe
Данную метку можно для произвольного файла установить вручную, для этого выполним команду
notepad.exe install_flash_player_16_active_x.exe:Zone.Identifier
Т.к. поток отсутствует, система предложит создать новый файл. Соглашаемся и в окно блокнота копируем текст:
[ZoneTransfer]
ZoneId=3
Сохраняем изменения. Убеждаемся, что файлу назначен альтернативный поток.
Добавление устройства в список доверенных из kaspersky security center
Kaspersky Security Center получает информацию об устройствах, если на компьютерах установлена программа Kaspersky Endpoint Security и включен Контроль устройств. Добавить устройство в список доверенных, информации о котором в Kaspersky Security Center нет, невозможно.
Вы можете добавить устройство в список доверенных по следующим данным:
Чтобы добавить устройства в список доверенных, выполните следующие действия:
Доверенная зона
Доверенная зона – это сформированный администратором системы список объектов и программ, которые Kaspersky Endpoint Security не контролирует в процессе работы.
Доверенную зону администратор системы формирует самостоятельно в зависимости от особенностей объектов, с которыми требуется работать, а также от программ, установленных на компьютере. Включение объектов и программ в доверенную зону может потребоваться, например, если Kaspersky Endpoint Security блокирует доступ к какому-либо объекту или программе, в то время как вы уверены, что этот объект или программа безвредны. Также администратор может разрешить пользователю формировать собственную локальную доверенную зону для отдельного компьютера. Таким образом, кроме общей доверенной зоны, сформированной в политике, пользователь может создавать собственные локальные списки исключений и доверенных программ.
Исключения из проверки
Исключение из проверки – это совокупность условий, при выполнении которых Kaspersky Endpoint Security не проверяет объект на вирусы и другие программы, представляющие угрозу.
Исключения из проверки позволяют работать с легальными программами, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя. Такие программы сами по себе не имеют вредоносных функций, но эти программы могут быть использованы злоумышленниками. Подробную информацию о легальных программах, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя, вы можете получить на сайте Вирусной энциклопедии “Лаборатории Касперского”.
В результате работы Kaspersky Endpoint Security такие программы могут быть заблокированы. Чтобы избежать блокирования, для используемых программ вы можете настроить исключения из проверки. Для этого нужно добавить в доверенную зону название или маску названия по классификации Вирусной энциклопедии “Лаборатории Касперского”. Например, вы часто используете в своей работе программу Radmin, предназначенную для удаленного управления компьютерами. Такая активность программы рассматривается Kaspersky Endpoint Security как подозрительная и может быть заблокирована. Чтобы исключить блокировку программы, нужно сформировать исключение из проверки, где указать название или маску названия по классификации Вирусной энциклопедии “Лаборатории Касперского”.
Если у вас на компьютере установлена программа, выполняющая сбор и отправку информации на обработку, Kaspersky Endpoint Security может классифицировать такую программу как вредоносную. Чтобы избежать этого, вы можете исключить программу из проверки, настроив Kaspersky Endpoint Security способом, описанным в этом документе.
Исключения из проверки могут использоваться в ходе работы следующих компонентов и задач программы, заданных администратором системы:
Список доверенных программ
Список доверенных программ – это список программ, у которых Kaspersky Endpoint Security не контролирует файловую и сетевую активность (в том числе и вредоносную), а также обращения этих программ к системному реестру. По умолчанию Kaspersky Endpoint Security проверяет объекты, открываемые, запускаемые или сохраняемые любым программным процессом, а также контролирует активность всех программ и создаваемый ими сетевой трафик. Kaspersky Endpoint Security исключает из проверки программу, добавленную в список доверенных программ.
Например, если вы считаете объекты, используемые программой Microsoft Windows Блокнот, безопасными и не требующими проверки, то есть доверяете этой программе, вам следует добавить программу Microsoft Windows Блокнот в список доверенных программ, чтобы не проверять объекты, используемые этой программой.
Кроме того, некоторые действия, которые Kaspersky Endpoint Security классифицирует как подозрительные, могут быть безопасны в рамках функциональности ряда программ. Например, перехват текста, который вы вводите с клавиатуры, является штатным действием программ автоматического переключения раскладок клавиатуры (например, Punto Switcher). Чтобы учесть специфику таких программ и отключить контроль их активности, рекомендуется добавить их в список доверенных программ.
Исключение доверенных программ из проверки позволяет избежать проблемы совместимости Kaspersky Endpoint Security с другими программами (например, проблемы двойной проверки сетевого трафика стороннего компьютера Kaspersky Endpoint Security и другой антивирусной программой), а также увеличить производительность компьютера, что особенно важно при использовании серверных программ.
В то же время исполняемый файл и процесс доверенной программы по-прежнему проверяются на наличие в них вирусов и других программ, представляющих угрозу. Для полного исключения программы из проверки Kaspersky Endpoint Security следует пользоваться исключениями из проверки.
В начало