Автозапуск

AutoRun и функция компаньоной AutoPlay являются компонентами Microsoft Windows операционной системы , которые диктуют , какие действия системы берет , когда диск установлен .

Автозапуск был введен в Windows 95, чтобы упростить установку приложений для нетехнических пользователей и снизить стоимость звонков в службу поддержки программного обеспечения. Когда правильно сконфигурированный CD-ROM вставляется в привод CD-ROM, Windows обнаруживает прибытие и проверяет содержимое на наличие специального файла, содержащего набор инструкций. Для компакт-диска, содержащего программное обеспечение, эти инструкции обычно инициируют установку программного обеспечения с компакт-диска на жесткий диск. Чтобы максимизировать вероятность успешной установки, AutoRun также действует при обращении к диску (« двойном щелчке ») в проводнике Windows (или «Моем компьютере»).

До появления Windows XP термины AutoRun и AutoPlay использовались как синонимы, разработчики часто использовали первый термин, а конечные пользователи - второй. Эта тенденция отражена в параметрах политики Windows с именем AutoPlay, которые изменяют записи реестра Windows с именем AutoRun, и в autorun.infфайле, который вызывает добавление «AutoPlay» в контекстные меню дисков . Терминология не имела большого значения до появления Windows XP и добавления в нее новой функции, помогающей пользователям выбирать соответствующие действия при обнаружении новых носителей и устройств. Эта новая функция была названа AutoPlay, и было проведено различие между этими двумя терминами. ^[1]

Автозапуск, функция проводника Windows (фактически DLL shell32 ), представленная в Windows 95, позволяет носителям и устройствам запускать программы с помощью команды, указанной в файле с именем autorun.inf, хранящемся в корневом каталоге носителя.

В основном используемые на установочных компакт-дисках, вызываемые приложения обычно являются установщиками приложений. В файле autorun.inf также можно указать значок, который будет визуально представлять устройство в проводнике вместе с другими расширенными функциями. ^[1]

Термины AutoRun и AutoPlay, как правило, взаимозаменяемы, когда они относятся к инициирующему действию, действию, которое обнаруживает и начинает чтение из обнаруженных томов . На блок -схеме в статье об автозапуске показано, как автозапуск позиционируется как слой между автозапуском и службой обнаружения оборудования оболочки, и это может помочь в понимании терминологии. Однако, чтобы избежать путаницы, в этой статье используется термин AutoRun, когда речь идет о инициирующем действии.

Автозапуск [ править ]

Автозапуск в Windows Vista

Автозапуск - это функция, представленная в Windows XP, которая проверяет съемные носители и устройства и на основе такого содержимого, как изображения, музыкальные или видеофайлы, запускает соответствующее приложение для воспроизведения или отображения содержимого. ^[1] Если возможно, настройки в файле autorun.inf могут быть добавлены к параметрам, представленным пользователю.

Автозапуск основан на наборе приложений-обработчиков, зарегистрированных в системе автозапуска. Каждый тип мультимедиа (изображения, музыка, видео) может иметь набор зарегистрированных обработчиков, которые могут иметь дело с воспроизведением или отображением этого типа мультимедиа.

Каждое аппаратное устройство может иметь действие по умолчанию, происходящее при обнаружении определенного типа мультимедиа, или диалоговое окно AutoPlay может предлагать пользователю, какое действие следует предпринять.

Активация автозапуска [ править ]

Последовательность автозапуска начинается с первоначального обнаружения нового устройства или нового носителя. После этого происходит уведомление заинтересованных сторон, из которых оболочка Windows Explorer представляет наибольший интерес. После проверки определенных параметров реестра , чтобы увидеть, может ли AutoRun продолжиться, может произойти синтаксический анализ необязательного autorun.inf и будут предприняты все необходимые действия.

Начальная последовательность обрабатывается практически одинаково во всех версиях Windows, начиная с Windows 95. Однако способ чтения и обработки файла autorun.inf, а также уровень интеграции AutoRun с AutoPlay значительно изменились с момента появления AutoPlay в Windows XP до настоящего момента обработка в Windows 7 . В Windows 10 Microsoft добавила возможность включить автозапуск в свои настройки. Не только пользователи могут включить его, но также могут выбрать определенные внешние устройства для автовоспроизведения.

Инициирование и уведомление [ править ]

Когда устройство с драйверами, совместимыми с AutoRun, получает новый носитель, возникает событие «Уведомление об изменении носителя». Затем ОС Windows уведомляет заинтересованные приложения о том, что произошла смена устройства. Используемый метод уведомления может меняться в зависимости от типа устройства.

Если измененное устройство - это том (например, компакт-диск) или порт (например, последовательный порт), Windows передает WM_DEVICECHANGEуведомление всем окнам верхнего уровня. ^[2]^[3] Windows называет это «базовым» уведомлением. Окно верхнего уровня является потомком рабочего стола.

Однако, если измененное устройство не относится к одному из этих типов, приложение может использовать функцию RegisterDeviceNotification^[4] для регистрации для получения уведомлений устройства.

Особый технический интерес здесь представляет статья на веб-сайте CodeProject «Обнаружение вставки и / или удаления оборудования» с пояснениями из блога Дорана Холана.

Устройства без тома - это те устройства, которые не отображаются как буквы дисков в «Моем компьютере». Они не обрабатываются какой-либо частью автозапуска - любые действия, предпринимаемые для этих устройств, выполняются либо программным обеспечением конкретного устройства, либо автозапуском. См. AutoPlay # Устройства, не являющиеся дисками .

Когда Explorer получает уведомление об изменении громкости , он выполняет ряд действий: ^[5]^[6]

Проверяет, отключен ли автозапуск через реестр. Если автозапуск отключен для этого диска или типа диска, Explorer не будет продолжать работу. В этой области были ошибки .
Проверяет, что корневой каталог вставленного носителя содержит файл autorun.inf, который можно прочитать. См. Ниже .
Отправляет QueryCancelAutoPlayсообщение в окно переднего плана. Приложение, которое зарегистрировало свою заинтересованность в получении этого сообщения, RegisterWindowMessageможет ответить на это сообщение, чтобы остановить автозапуск (и, следовательно, автозапуск) на этом этапе. Любое приложение, переднее или нет, также может быть уведомлено с помощью IQueryCancelAutoPlay COM- интерфейса ^[7], доступного в Windows XP и более поздних версиях.
Изменяет поведение двойного щелчка и контекстного меню. Когда пользователь дважды щелкает значок диска в проводнике или щелкает правой кнопкой мыши, чтобы открыть контекстное меню, то, что происходит, полностью программируется настройками в файле autorun.inf.
Добавляет управляемый значок autorun.inf и текст описания к значку диска.
Проверяет, удерживается ли клавиша. Если это так, то Windows Vista (и более поздние версии Windows) вызовет диалоговое окно AutoPlay независимо от настроек, заданных наоборот. ^[8] Предыдущие версии Windows не продолжат этот процесс. ^[6]⇧ Shift
Наконец, если эта точка была достигнута, либо:
- не предпринимает никаких дальнейших действий.
- выполняет «Задачу автозапуска », приложение, которое может быть указано в ключах openили shellexecuteв разделе [autorun] файла autorun.inf .
- вызывает автозапуск.
Какой выбор будет сделан, зависит от используемой версии Windows, инструкций из autorun.inf, если они есть, и типа обнаруженного носителя.

Изменение поведения [ править ]

Перед автозапуском [ править ]

В версиях Windows до Windows XP будет читаться файл autorun.inf на любом типе диска и следовать его инструкциям. Задача AutoRun, если она указана, выполняется немедленно без вмешательства пользователя. ^[9] Это включает в себя DRIVE_REMOVABLE, DRIVE_FIXED и DRIVE_REMOTE типы дисков .

Автозапуск будет работать с сетевыми дисками (тип диска DRIVE_REMOTE), которые сопоставлены с буквой диска. AutoRun также будет работать с дисководами гибких дисков, которые снабжены драйверами, совместимыми с автозапуском. ^[6]

Параметры реестра по умолчанию в версиях Windows до Windows XP (см. NoDriveTypeAutoRun ), отключают удаленные и съемные диски от запуска автозапуска, оставляя фиксированные типы дисководов и дисководов CDROM активными по умолчанию.

Представляем AutoPlay [ править ]

С появлением AutoPlay в Windows XP действие последнего этапа (этап 7 выше) для некоторых типов дисков изменилось с выполнения приложения на вызов AutoPlay. Начиная с Windows Vista, система AutoPlay интегрирована во все аспекты обработки мультимедиа, и автоматическое выполнение задачи AutoRun отсутствует.

Параметры реестра по умолчанию добавляют съемные диски к тем, которые запускали автозапуск. В Windows XP и более поздних версиях , за исключением Windows Server 2003, для автозапуска неактивны только типы дисков Неизвестный и Удаленный.

Обработка файла autorun.inf очень сильно меняется в зависимости от версии Windows. Подробности можно найти в статье autorun.inf . Текущая обработка в Windows 7 такова, что только диски типа DRIVE_CDROM могут указывать задачу автозапуска, изменять поведение двойного щелчка или изменять контекстные меню.

Настройки реестра [ править ]

AutoRun обращается к значениям реестра Windows, чтобы решить, следует ли инициировать действия для какого-либо конкретного диска или типа диска. Эти значения можно изменить несколькими способами, один из которых использует групповую политику .

Основными соответствующими именами записей реестра являются NoDriveTypeAutoRunи NoDriveAutoRun. Они существуют как для компьютеров, так и для пользователей, их расположение и приоритет в реестре более подробно описаны ниже.

Типы дисков [ править ]

Типы дисков различаются по имени типа следующим образом: ^[10]

Введите имя	ценить	Описание
DRIVE_UNKNOWN	0x00000000	Тип привода не может быть определен (общий привод)
DRIVE_NO_ROOT_DIR	0x00000001	Диск в настоящее время недействителен (нет подключенных томов)
DRIVE_REMOVABLE	0x00000002	В приводе есть съемный носитель (флоппи-дисковод, USB-флешка )
ПРИВОД_ФИКСИРОВАННЫЙ	0x00000003	Диск не может быть удален из привода (жесткий диск / твердотельный накопитель)
DRIVE_REMOTE	0x00000004	Привод является удаленным (сетевым) диском
DRIVE_CDROM	0x00000005	Привод - это привод CD-ROM, DVD-ROM или BD-ROM.
DRIVE_RAMDISK	0x00000006	Привод представляет собой RAM-диск
DRIVE_NOT_DETERMINED	0x00000007	Привод еще не определен
DRIVE_NOT_FOUND	0x00000008	В настоящее время к диску нет доступа (отключенные диски)
[ЗАРЕЗЕРВИРОВАННЫЙ]	0x00000009	Это значение зарезервировано для технологий будущего.

Терминология реестра [ править ]

Реестр Windows - это иерархическая база данных, в которой хранятся параметры конфигурации и параметры операционной системы. Терминология несколько вводит в заблуждение, поэтому она кратко изложена здесь.

Ключ реестра похож на папку, в которой, помимо значений, каждый ключ может содержать подключи, которые, в свою очередь, могут содержать подключи, и так далее.

Реестра значение состоит из пары имя-данных. В документации Microsoft термин «запись» обычно используется как эквивалентный термин. Он также использует «значение» для «данных», когда очевидно, что имеется в виду. Чтобы избежать путаницы, в этой статье всегда используется термин «запись», когда речь идет о паре имя-данные.

Часто упоминаются два ключа реестра HKEY_LOCAL_MACHINE, HKEY_CURRENT_USERкоторые содержат настройки для каждой машины и настройки для текущего пользователя, вошедшего в систему. Они почти всегда обозначаются сокращениями HKLMи HKCUсоответственно. У машины может быть много пользователей; их настройки хранятся в HKEY_USERS, HKCUна самом деле это просто ссылка на соответствующее место в HKEY_USERS.

Изменение настроек реестра [ править ]

Параметры реестра можно изменить напрямую с помощью regeditинструмента с графическим интерфейсом или reg.exeутилиты командной строки . Настройки также могут быть помещены в текстовый файл , ^[11] по имени с REG - типа расширения. Например, " mychanges.reg". При двойном щелчке по файлу настройки файла вводятся в реестр, если позволяют разрешения.

Их можно изменить косвенно с помощью групповой политики, применяемой локально к одному компьютеру с GPEdit.mscдоменом или к домену с gpmc.msc.

Может потребоваться либо выйти из системы, либо перезагрузить компьютер, чтобы изменения в реестре вступили в силу.

Порядок оценки [ править ]

В NoDriveAutoRunи NoDriveTypeAutoRunзаписи в реестре могут существовать в двух местах, установка для каждого пользователя (в HKEY_CURRENT_USER) и настройки для каждой машины (под HKEY_LOCAL_MACHINE). Если запись отображается под HKEY_LOCAL_MACHINE, то любая соответствующая запись под HKEY_CURRENT_USER полностью игнорируется. Значения данных никоим образом не объединяются.

При принятии решения об активации автозапуска учитываются NoDriveAutoRunи NoDriveTypeAutoRunзаписи , и записи реестра. Если любое значение указывает на то, что диск должен быть отключен, автозапуск для этого диска отключен.

Таким образом, в следующем примере:

HKEY_LOCAL_MACHINE		HKEY_CURRENT_USER
NoDriveAutoRun	NoDriveTypeAutoRun	NoDriveAutoRun	NoDriveTypeAutoRun
0x08	(Нет)	0x03FFFFFF	0x95

значение данных, взятых для NoDriveAutoRun0x08, отключение диска D, и значение данных, взятых для NoDriveTypeAutoRun0x95, отключение съемных и сетевых дисков. Запись для каждого пользователя NoDriveAutoRunникогда не используется.

NoDriveTypeAutoRun [ редактировать ]

Имя записи	Тип данных	Классифицировать	Дефолт
`HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer` `HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer`
`NoDriveTypeAutoRun`	REG_DWORD	От 0x00 до 0xFF	0x95 или 0x91

Эта запись реестра отключает или включает функцию автозапуска на всех дисках указанного типа. ^[12] Он отражает настройку соответствующей групповой политики автозапуска. Допустимые данные варьируются от 0x00 до 0xFF в шестнадцатеричной системе счисления. Если запись отсутствует, значение данных по умолчанию - 0x95 или 0x91 в зависимости от используемой версии Windows. Запись в HKLM имеет приоритет над любой записью в HKCU.

Входные данные представляют собой растровое значение, где бит, установленный в 1, отключает автозапуск на определенном типе диска. Битовые настройки для каждого типа привода показаны ниже:

Обратите внимание, что бит номер 1 не используется и что тип «Неизвестный» представлен дважды. Установка всех битов в 1 даст шестнадцатеричное значение 0xFF, десятичное 255 и отключит автозапуск на всех типах дисков.

Значение по умолчанию для этой записи зависит от используемой версии Windows: ^[9]^[13]

Операционная система	Настройки по умолчанию
Windows 7	0x91
Windows Server 2008	0x91
Виндоус виста	0x91
Windows Server 2003	0x95
Windows XP	0x91
Windows 2000	0x95
Windows 95/98	0x95

NoDriveAutoRun [ править ]

Имя записи	Тип данных	Классифицировать	Дефолт
`HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer` `HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer`
`NoDriveAutoRun`	REG_DWORD	От 0x0 до 0x03FFFFFF	0x0

Эта запись реестра отключает или включает функцию автозапуска на отдельных дисках. ^[14] Он не связан с групповой политикой и не существует по умолчанию. Значение данных принимается равным 0, если запись отсутствует. Запись в HKLM имеет приоритет над любой записью в HKCU.

Данные представляют собой 32-битное (DWORD) битовое значение, младшие 26 бит которого используются для представления каждой из 26 букв дисков от A до Z. Таким образом, допустимый диапазон данных составляет от 0x0 до 0x03FFFFFF. Младший значащий бит (самый правый бит) представляет диск A, а 26-й бит справа представляет диск Z.

Бит, установленный в 1, отключает автозапуск на определенном диске. Например, если значение данных установлено на 0x8 (1000 двоичных), AutoRun отключен на диске D.

Групповая политика [ править ]

В диалоговом окне параметров групповой политики в Windows XP отображается параметр отключения автозапуска.

Единственные параметры групповой политики, доступные для автозапуска, влияют на NoDriveTypeAutoRunзаписи реестра. Политика доступна для каждой машины или для каждого пользователя, отражая расположение записи в реестре в HKLM или HKCU. ^[12]^[14] Как описано выше , настройка политики для каждой машины приведет к игнорированию настройки политики для каждого пользователя.

Когда политика включена , групповая политика добавит NoDriveTypeAutoRunзапись в реестр. Если для политики установлено значение « Отключено» или « Не настроено» , групповая политика удаляет эту запись из реестра для политики компьютера (в HKLM) и устанавливает для нее значение по умолчанию для политики пользователя (в HKCU). Системные настройки по умолчанию могут тогда вступить в силу, как описано в разделе NoDriveTypeAutoRun .

Имена политик, их расположение и возможные настройки незначительно различаются в зависимости от версии Windows. Список настроек относительно короткий и всегда дополняет системные настройки по умолчанию. Таким образом, в Windows 2000 включение политики «Отключить автозапуск» и установка для нее «Приводы компакт-дисков» отключает автозапуск (в отличие от автозапуска) для приводов CD-ROM и DVD, съемных приводов, сетевых дисков и дисководов неизвестного происхождения. тип.

Этот параметр нельзя использовать для включения автозапуска на дисках, на которых он отключен по умолчанию, или для отключения автозапуска для дисков, не указанных в списке. Чтобы отключить или включить какие-либо конкретные диски или типы дисков, реестр необходимо отредактировать вручную.

Windows Server 2003, Windows XP и Windows 2000 [ править ]

Расположение политик для каждой машины:

Групповая политика \ Конфигурация компьютера \ Административные шаблоны \ Система

Расположение политики для каждого пользователя:

Групповая политика \ Конфигурация пользователя \ Административные шаблоны \ Система

Соответствующая политика - «Отключить автозапуск». Вместо этого в Windows 2000 политика называется «Отключить автозапуск».

После того, как политика включена, она может быть установлена на «Все приводы» или «Приводы компакт-дисков». Последний параметр добавляет приводы CD-ROM к существующему списку отключенных типов приводов, как описано выше.

Windows Vista, Windows Server 2008 [ править ]

Расположение политик для каждой машины: ^[15]

Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Политики автозапуска

Расположение политики для каждого пользователя:

Конфигурация пользователя \ Административные шаблоны \ Компоненты Windows \ Политики автозапуска

Соответствующая политика - «Отключить автовоспроизведение», и ее можно установить для CD-ROM, DVD-ROM и съемных дисков или всех дисков.

В Vista и Server 2008 были добавлены две связанные политики: ^[16]

Поведение по умолчанию для автозапуска

Имя записи	Тип данных	Классифицировать	Дефолт
`HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer` `HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer`
`NoAutoRun`	REG_DWORD

Устанавливает поведение по умолчанию для команд автозапуска в файлах autorun.inf.

До Windows Vista, когда носитель, содержащий autorun.inf, определяющий задачу AutoRun, был вставлен, действием по умолчанию было автоматическое выполнение программы без вмешательства пользователя. : В Windows Vista по умолчанию запускается автозапуск и задача автозапуска представлена как: одна из опций диалогового окна. Это также поведение, когда эта политика не настроена или: отключена.

Если эта политика включена, поведение можно изменить на:

Полностью отключить команды autorun.inf или
Автоматически выполнить команду autorun.inf, как в предыдущих версиях Windows.

Не устанавливайте флажок всегда делать это

Имя записи	Тип данных	Классифицировать	Дефолт
`HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer` `HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer`
`DontSetAutoplayCheckbox`	REG_DWORD

Если эта политика включена, флажок «Всегда делать это ...» в диалоговом окне «Автозапуск» не будет установлен: по умолчанию, когда отображается диалоговое окно.

Windows 7, Windows Server 2008 R2 [ править ]

В этих версиях Windows возможность файла autorun.inf устанавливать задачу автозапуска, изменять поведение двойного щелчка или изменять контекстные меню ограничена дисками типа DRIVE_CDROM. Нет параметров политики, которые отменяли бы это поведение. Расположение и настройки политики соответствуют Windows Vista, Windows Server 2008 выше с добавлением: ^[16]

Отключите автовоспроизведение для устройств без громкости

Имя записи	Тип данных	Классифицировать	Дефолт
`HKLM\Software\Policies\Microsoft\Windows\Explorer` `HKCU\Software\Policies\Microsoft\Windows\Explorer`
`NoAutoplayfornonVolume`

Если эта политика включена, автозапуск будет отключен для устройств без объема .

Изменение поведения автозапуска [ править ]

Нажатие клавиши Shift [ править ]

Если ⇧ Shiftклавиша удерживается в определенном месте в последовательности выполнения, Windows Vista вызывает диалоговое окно AutoPlay независимо от настроек AutoPlay, которые противоречат этому. ^[8] Предыдущие версии Windows не выполняли задачу автозапуска. Важно, чтобы для этой цели использовалась левая клавиша Shift, так как удерживание правой клавиши Shift в течение восьми секунд вызывает FilterKeys. ^[6]

Учитывая, что Shift необходимо удерживать, пока Windows не проверит его, может пройти значительное время, прежде чем он вступит в силу. Время, необходимое в первую очередь, зависит от времени, необходимого для распознавания нового оборудования, и времени, необходимого для раскрутки CD-ROM. Полагаться на этот метод небезопасно.

Уведомление об автоматической вставке [ править ]

Определенные события уведомления об изменении носителя могут быть подавлены путем изменения определенных записей реестра. «Уведомление об изменении носителя» - это общий термин; для приводов CD-ROM конкретным термином является «Уведомление об автоматической вставке».

Имя записи	Тип данных	Классифицировать	Дефолт
`HKLM\SYSTEM\CurrentControlSet\Services\Cdrom`
`AutoRun`	REG_DWORD	0 или 1	1

Для приводов CD-ROM изменение значения этой записи реестра на 0 отключит автоматическое уведомление о вставке только для приводов CD-ROM. ^[17] Потребуется перезагрузка Windows.

Значение данных	Смысл
0	Не отправляет сообщение MCN
1	Отправляет сообщение MCN

В Windows 95/98 / ME этот параметр можно изменить в диспетчере устройств, доступном с помощью значка «Система» на панели управления.

Параметры автозапуска для привода компакт-дисков в Windows 98 .

Хотя запись в реестре называется «Автозапуск», она подавляет только сообщение MCN. Сообщение MCN действительно запускает автозапуск, но также дает указание оболочке Explorer обновить свои представления и содержимое.

Таким образом, только в качестве побочного эффекта это отключает автозапуск для приводов CD-ROM. Однако теперь Explorer не будет обновлять свой вид при вставке нового компакт-диска; он будет показывать содержимое предыдущего компакт-диска, пока не F5будет нажата кнопка или пока не будет выбран пункт «Просмотр / обновление» в меню проводника. Это может привести к серьезной путанице для пользователей.

По этой причине сообщение с уведомлением об изменении носителя не следует отключать, если нет абсолютно никакой альтернативы; Автозапуск можно отключить для отдельных дисков с помощью групповой политики или реестра.

Имя записи	Тип данных
`HKLM\SYSTEM\CurrentControlSet\Services\Cdrom`
`AutoRunAlwaysDisable`	REG_MULTI_SZ

Эта запись используется для подавления сообщения MCN для конкретно перечисленных типов дисководов CD-ROM, ^{[18] в} первую очередь устройств смены компакт-дисков. Данные представляют собой набор идентификаторов устройств, которые соответствуют идентификаторам, сообщаемым системе самими устройствами.

Значение по умолчанию для этой записи состоит из продуктов, определенных тестированием Microsoft как не поддерживающие автозапуск. Эту запись не следует изменять по умолчанию.

Редактирование групповой политики [ править ]

Автозапуск может быть подавлен на определенных дисках и типах дисков с помощью методов, описанных в разделе групповой политики . Однако редактор групповой политики недоступен в домашних версиях Windows XP ^[19] и не предоставляет каких-либо детальных средств выбора дисков.

Однако групповая политика будет приемлемым методом отключения автозапуска для всего домена Windows.

Файлы реестра [ править ]

Можно создать файл настроек реестра, который при выполнении вносит в реестр желаемые изменения.

Редактор реестра Windows версии 5.00[ HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ policy \ Explorer] «NoDriveTypeAutoRun» = двойное слово : 000000ff

Обратите внимание, что фактический файл всегда должен заканчиваться пустой строкой. Это не обязательно. ^[11]

В приведенном выше примере автозапуск будет отключен для всех дисков и для всех пользователей. Этот пример необходимо запустить от имени администратора, и для того, чтобы настройки вступили в силу, потребуется перезагрузка.

Сопоставление файла инициализации [ править ]

В Windows Vista и более поздних версиях Windows есть параметр политики «Поведение по умолчанию для автозапуска», который можно настроить так, чтобы запретить чтение файла autorun.inf на любом томе. Это позволяет избежать определенных сценариев, в которых вредоносное ПО использует функции autorun.inf для заражения компьютера. Предыдущие версии Windows не имели этого параметра политики, но использование сопоставления файлов инициализации является эффективным решением. ^[20]^[21]

Поскольку файл autorun.inf является стандартным INI-файлом Windows , соответствующие вызовы API используются Windows при получении его настроек. Эти вызовы API могут быть перенаправлены с помощью метода сопоставления файлов INI. Следующий файл реестра иллюстрирует обходной путь, при котором все настройки autorun.inf берутся исключительно из HKEY_LOCAL_MACHINE\Software\DoesNotExistключа реестра:

Редактор реестра Windows версии 5.00[ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ IniFileMapping \ Autorun.inf] @ = "@SYS: DoesNotExist"

Поскольку этот ключ не существует, создается впечатление, что файл autorun.inf не содержит информации о настройках. Важно отметить, что это относится к любому autorun.inf в любом месте и на любом диске.

Поскольку либо параметр политики, либо этот обходной путь отключают автозапуск, установка программного обеспечения с автозапуска установочного компакт-диска или DVD, очевидно, больше не будет автоматической. Потребуется просмотреть файл autorun.inf на компакт-диске, а затем вручную запустить соответствующую программу установки.

Проблемы и безопасность [ править ]

Microsoft признала, что «поскольку код может выполняться без ведома или согласия пользователя, пользователи могут захотеть отключить эту функцию из соображений безопасности». и выпустили «Fixit» для отключения автозапуска для пользователей, которым неудобно редактировать реестр. ^[13]

Ошибка отключения автозапуска [ править ]

Начиная с Windows 2000 и заканчивая Windows Server 2008, записи реестра, относящиеся к автозапуску, не обрабатывались должным образом, что приводило к уязвимости системы безопасности. ^[22] Windows 95 и Windows 98 не пострадали.

Когда автозапуск отключен, Windows не должна продолжать последовательность активации , кроме проверки реестра. Однако он анализирует любой найденный файл autorun.inf и делает все, кроме последнего действия, чтобы вызвать автозапуск или запустить приложение.

Это оставляет пользователя уязвимым для атак со стороны вредоносного ПО, которое использует autorun.inf для изменения поведения двойного щелчка и контекстного меню. Двойной щелчок по значку диска заразит машину. Щелчок правой кнопкой мыши и выбор параметров «Исследовать» или «Открыть» из контекстного меню не является обходным решением, поскольку эти элементы меню могут быть задействованы соответствующими записями autorun.inf.

Эта ошибка была исправлена в ряде обновлений безопасности, подробно описанных в статье 967715 базы знаний Майкрософт ^[13].

Другие проблемы [ править ]

Если добавить компьютер в домен Active Directory, NoDriveTypeAutoRunзначение может быть сброшено до значения по умолчанию. ^[23] Это связано с тем, что настройки групповой политики в домене вступают в силу. Это не ошибка.
Некоторые программы могут намеренно изменять настройки AutoRun Registry. Известно, что ранние версии программного обеспечения для записи компакт-дисков, такие как Roxio, изменяли настройки таким образом. ^[24]
Если групповая политика «Ограничить доступ к компакт-диску только локально вошедшим в систему пользователям» параметр безопасности в:
Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности
включен (Enabled), то автозапуск может не работать. ^[24]
Установщики Windows также будут работать со сбоями, потому что доступ к компакт-диску для «локальной системы» будет запрещен. ^[25]
Этот параметр групповой политики отражает значение записи реестра:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Имя записи Тип данных Классифицировать Дефолт

allocatecdroms

REG_SZ

0 или 1

0
и должен быть установлен на 0.
RealPlayer 10 мешает работе автозапуска до такой степени, что может выглядеть так, как будто автозапуск или автозапуск вообще не работают. ^[26]^[27]^[28]

Векторы атак [ править ]

Функциональность AutoRun некоторое время использовалась как вектор вредоносного ПО. До Windows Vista действие по умолчанию с типом привода CD-ROM заключалось в выполнении всех инструкций файла autorun.inf без подсказок или предупреждений. Это делает несанкционированные компакт-диски одним из возможных векторов заражения.

К этой же категории относятся компакт-диски со смешанным содержанием. Аудио компакт-диск, который, по мнению пользователя, вообще не будет содержать программного обеспечения, может содержать раздел данных с autorun.inf. Некоторые компании, такие как Sony BMG , использовали этот вектор для установки вредоносного ПО, которое пытается защитить от копирования звуковых дорожек.

Флэш-накопители с поддержкой U3 , эмулируя устройство CD-ROM, также могут заставить Windows выполнять команды из autorun.inf, находящегося на эмулированном CD-ROM.

Такие устройства, как модем Huawei E220 HSDPA, действительно используют этот метод для автоматической установки драйверов для самого модема. Однако воткнуть флешку из неизвестного источника - неразумный ход. USB Switchblade и аналогичные инструменты сделали атаки на флэш-накопители U3 тривиальными. Учитывая простоту написания атак на основе сценариев , антивирусное программное обеспечение может оказаться неэффективным в предотвращении кражи данных и паролей.

Conficker червь в действии скриншоте на Windows 7 .

Со стандартным флэш-накопителем можно использовать атаки социальной инженерии, чтобы побудить пользователя щелкнуть соответствующий элемент в диалоговом окне автозапуска. Соблазнительные действия струна перспективных бесплатных игр или порнографии бы заманить многих пользователей в ловушку. В любой момент двойной щелчок по значку диска приведет к автоматическому использованию autorun.inf, в ловушку которой могут попасть более опытные пользователи.

Любой пользователь может настроить автозапуск, чтобы принимать за него различные решения; при установке соответствующего флажка в диалоговом окне «Автозапуск» запуск вредоносного ПО на флэш-накопителе происходит автоматически и автоматически.

Вредоносная программа AutoRun была расширена для использования жестких дисков, ^[29] фоторамок и других цифровых устройств. ^[30] Осторожность при обращении с внешними устройствами является приоритетом безопасности. Распространенность заражения вредоносным ПО с помощью автозапуска и USB-накопителя была задокументирована в исследовании Microsoft 2011 года ^{[31], в котором} анализировались данные из более чем 600 миллионов систем по всему миру в первой половине 2011 года. Система Windows была связана с USB-накопителями, использующими функцию автозапуска в Microsoft Windows.. Этот вывод согласуется с другими статистическими данными, такими как ежемесячный отчет антивирусной компании ESET о наиболее часто обнаруживаемых вредоносных программах, в котором злоупотребление autorun.inf занесено в первую десятку угроз в 2011 году ^[32].

Снижение атаки [ править ]

В дополнение к основным мерам безопасности, которые включают ^[33]

следуя принципу наименьших привилегий , не работая обычно с привилегиями администратора и
применение всех соответствующих исправлений и обновлений безопасности,

подверженность этим атакам можно минимизировать за счет соответствующего использования параметров групповой политики и реестра. Следующие политики безопасности представляют собой краткое изложение политик, описанных в этой статье:

Отключить автозапуск (но увидеть ошибку отключения автозапуска )
Используйте групповую политику «По умолчанию для автозапуска» в Vista (см. Выше ), чтобы отключить команды autorun.inf.
Используйте сопоставление файлов инициализации, чтобы обнулить разделы autorun.inf
В Windows 7 только приводы CD и DVD могут указывать такие приложения, как задача AutoRun, в файле autorun.inf. Windows XP и более поздние версии могут быть исправлены, чтобы они работали так же, как и при обновлении KB971029. ^[34] В феврале 2011 года этот патч был добавлен в официальный канал Центра обновления Windows . ^[35] Поведение задачи автозапуска Windows 7 теперь становится по умолчанию для всех текущих версий ОС Windows.

Кроме того, Microsoft рекомендовала следующие действия, в первую очередь во время атак червя Conficker :

Предотвратить вызов autorun.inf из общих сетевых ресурсов: ^[13]
1. Удаление любого существующего файла autorun.inf из корня подключенного сетевого диска
2. Отказ в правах на создание корневого каталога подключенного сетевого диска
Предотвратите использование запоминающих устройств USB с помощью:
- Настройки USB в системном BIOS
- Соответствующие параметры реестра, как описано в статье базы знаний 823732^[36]
- Настройка USB-устройств только для чтения для предотвращения распространения неизвестных червей (и кражи конфиденциальных данных) ^[37]

См. Также [ править ]

Автовоспроизведение
autorun.inf

Ссылки [ править ]

^ a b c В чем разница между автозапуском и автозапуском? , Microsoft, Справка Windows Vista
^ Как получить уведомление о вставке или извлечении компакт-диска , Microsoft, База знаний
^ Обнаружение вставки или удаления носителя , Microsoft, библиотека MSDN
^ Функция RegisterDeviceNotification , Microsoft, библиотека MSDN
^ Создание приложения с поддержкой автозапуска , Microsoft, библиотека MSDN
^ a b c d Включение и отключение автозапуска , Microsoft, библиотека MSDN
^ Интерфейс IQueryCancelAutoPlay , Microsoft, библиотека MSDN
^ a b Автозапуск: часто задаваемые вопросы , Microsoft, справка Windows Vista
^ a b Как проверить файлы autorun.inf , Microsoft, База знаний
^ Функция GetDriveType , Microsoft, Библиотека MSDN
^ a b Как использовать файл регистрационных записей , Microsoft, База знаний
^ a b Реестр Windows 2000: NoDriveTypeAutoRun , Microsoft, TechNet
^ a b c d Как отключить функцию автозапуска в Windows , Microsoft, База знаний
^ a b Реестр Windows 2000: NoDriveAutoRun , Microsoft, TechNet
^ Руководство по безопасности Windows Vista, глава 3 , Microsoft, TechNet
^ a b Справочник по параметрам групповой политики для Windows и Windows Server , Microsoft, Downloads , Excel Spreadsheets.
^ Реестр Windows 2000: AutoRun , Microsoft, TechNet
^ Реестр Windows 2000: AutoRunAlwaysDisable , Microsoft, TechNet
^ Пакет ресурсов Windows XP Pro, различия с Windows XP Home Edition , Microsoft, TechNet
^ Рукоять памяти черви Архивированы 2011-10-31 в Wayback Machine , блог Ника Брауна
^ Лучший способ отключить автозапуск для защиты от зараженных USB-накопителей. Архивировано 06.06.2013 на Wayback Machine , Майкл Горовиц - Defensive Computing.
^ Windows Vista не может правильно обработать значение реестра NoDriveTypeAutoRun , US-CERT
^ Значение подраздела NoDriveTypeAutoRun сброшено ... , Microsoft, База знаний
^ a b Функция автозапуска или функция автозапуска не работает ... , Microsoft, База знаний
^ Вы получаете сообщение «Установка завершена преждевременно, потому что ...» , Microsoft, База знаний
^ Мастер камеры и сканера, перестал работать , чат-форум Gladiator Security
^ Автовоспроизведение не работает с цифровой камерой , чат-форум vista-xp
^ Как восстановить автозапуск камеры скачать , чат форум tech-archive.net
↑ Китайский троян на жестких дисках Maxtor пугает Тайвань , The Register , 12 ноября 2007 г.
^ Malware заминок ездить на цифровых устройствах , Реестр , 11 января 2008
^ Отчет Microsoft Security Intelligence Report Volume 11, январь-июнь 2011 г.
^ Отчет о глобальных угрозах, декабрь 2011 г.
^ Вирусное предупреждение о черве Win32 / Conficker , Microsoft, База знаний
^ Обновление до функции автозапуска в Windows , Microsoft, База знаний
^ Более подробное описание обновления Security Advisory 967940 , Microsoft, блоги Центра реагирования на безопасность
^ Как я могу запретить пользователям подключаться к USB-накопителю? , Microsoft, База знаний
^ Съемные запоминающие устройства не распознаются после установки Windows XP SP2 , Microsoft, База знаний

Внешние ссылки [ править ]

Справочник по автозапуску и автозапуску , Microsoft, библиотека MSDN
Черви с карты памяти , блог Ника Брауна
Autorun Protector , автономное программное обеспечение, которое предотвращает автозапуск компьютерных червей и защищает съемное устройство от заражения из других источников.
Справочное руководство Дэна МакКлоя по автозапуску
Путешествие по островам на страже безопасности: заразительное очарование поставщиков товаров , журнал TechNet
Рисунок 4: пример кода querycancelautoplay , Microsoft Systems Journal , сентябрь 1998 г.
Мастер восстановления автозапуска , Центр загрузки Майкрософт
Проверьте свою защиту от вредоносных USB-накопителей , блог Computerworld, 24 января 2009 г.
Лучший способ отключить автозапуск для защиты от зараженных USB-накопителей , блог Computerworld, 30 января 2009 г.
Как удалить AutoRun Virus
Microsoft PowerToys , Microsoft, Настройка пользовательского интерфейса
Интернет-информационный ресурс по автозапуску / автозапуску Microsoft Windows
AutoRunConf - простой инструмент для настройки параметров автозапуска.
Как включить / отключить автозапуск для диска (с помощью реестра)
Отключить автозапуск включить / выключить функцию автозапуска / автозапуска Windows
Создайте меню автозапуска Создайте собственное меню автозапуска

[autoplaydiff-1] В чем разница между автозапуском и автозапуском? , Microsoft, Справка Windows Vista

[2] Как получить уведомление о вставке или извлечении компакт-диска , Microsoft, База знаний

[3] Обнаружение вставки или удаления носителя , Microsoft, библиотека MSDN

[4] Функция RegisterDeviceNotification , Microsoft, библиотека MSDN

[appcreate-5] Создание приложения с поддержкой автозапуска , Microsoft, библиотека MSDN

[enadis-6] Включение и отключение автозапуска , Microsoft, библиотека MSDN

[7] Интерфейс IQueryCancelAutoPlay , Microsoft, библиотека MSDN

[vista_ap_faq-8] Автозапуск: часто задаваемые вопросы , Microsoft, справка Windows Vista

[inftest-9] Как проверить файлы autorun.inf , Microsoft, База знаний

[10] Функция GetDriveType , Microsoft, Библиотека MSDN

[kb310516-11] Как использовать файл регистрационных записей , Microsoft, База знаний

[reg_nodtar-12] Реестр Windows 2000: NoDriveTypeAutoRun , Microsoft, TechNet

[kb967715-13] Как отключить функцию автозапуска в Windows , Microsoft, База знаний

[reg_nodar-14] Реестр Windows 2000: NoDriveAutoRun , Microsoft, TechNet

[15] Руководство по безопасности Windows Vista, глава 3 , Microsoft, TechNet

[vistagpo-16] Справочник по параметрам групповой политики для Windows и Windows Server , Microsoft, Downloads , Excel Spreadsheets.

[17] Реестр Windows 2000: AutoRun , Microsoft, TechNet

[18] Реестр Windows 2000: AutoRunAlwaysDisable , Microsoft, TechNet

[19] Пакет ресурсов Windows XP Pro, различия с Windows XP Home Edition , Microsoft, TechNet

[20] Рукоять памяти черви Архивированы 2011-10-31 в Wayback Machine , блог Ника Брауна

[21] Лучший способ отключить автозапуск для защиты от зараженных USB-накопителей. Архивировано 06.06.2013 на Wayback Machine , Майкл Горовиц - Defensive Computing.

[22] Windows Vista не может правильно обработать значение реестра NoDriveTypeAutoRun , US-CERT

[23] Значение подраздела NoDriveTypeAutoRun сброшено ... , Microsoft, База знаний

[kb330135-24] Функция автозапуска или функция автозапуска не работает ... , Microsoft, База знаний

[25] Вы получаете сообщение «Установка завершена преждевременно, потому что ...» , Microsoft, База знаний

[26] Мастер камеры и сканера, перестал работать , чат-форум Gladiator Security

[27] Автовоспроизведение не работает с цифровой камерой , чат-форум vista-xp

[28] Как восстановить автозапуск камеры скачать , чат форум tech-archive.net

[29] Китайский троян на жестких дисках Maxtor пугает Тайвань , The Register , 12 ноября 2007 г.

[30] Malware заминок ездить на цифровых устройствах , Реестр , 11 января 2008

[31] Отчет Microsoft Security Intelligence Report Volume 11, январь-июнь 2011 г.

[32] Отчет о глобальных угрозах, декабрь 2011 г.

[33] Вирусное предупреждение о черве Win32 / Conficker , Microsoft, База знаний

[34] Обновление до функции автозапуска в Windows , Microsoft, База знаний

[35] Более подробное описание обновления Security Advisory 967940 , Microsoft, блоги Центра реагирования на безопасность

[36] Как я могу запретить пользователям подключаться к USB-накопителю? , Microsoft, База знаний

[37] Съемные запоминающие устройства не распознаются после установки Windows XP SP2 , Microsoft, База знаний

[1]