Jump to content

Recommended Posts

Posted

Добрый день,

Интересует вопрос, можно ли как-либо запретить с помощью политики запуск *.exe файлов с папки, к примеру %TEMP% ??
Ну простой пример. Прилетело Вам письмецо, с .exe, но замаскированное под pdf. Пользователь жмакает на файлик, он копипастится в папку %TEMP% и запускается. Вот хотелось бы просто запретить запуск файлов из папки. Нашел статейку, но проблема в том, что надо указывать название файла или хеш. А надо просто по маске запретить запуск
https://support.kaspersky.com/KESWin/11.7.0/ru-RU/214778.htm
 

Goddeimos13
Posted

Приветствую!
А как насчёт запуска легитимных исполняемых файлов из временной папки? Такой сценарий ведь возможен.

Так что запрещать запуск exe из определённого каталога, это всё равно что стрелять по воробьям - не эффективно.

Лучше применять превентивные меры и не допускать попадания замаскированных pdf файлов на рабочую станцию (шлюзы, антифишинги, антиспамы и тд).

Ну уж если попадёт, то думаю KES справится ?

Ну а если это целевая атака, то тут даже KES не спасёт. Тут желательно иметь в арсенале KATA/KEDR.

Posted (edited)

Приветствую,

Поясните тогда пожалуйста, либо kb приложите, как сделать запуск легитимных файлов.......... То, что лучше не допускать на шлюзы такие вещи - тоже хорошо, но если "что-то пошло не так"???. А вот иметь такое средство в базе антивируса - довольно приятно. Мне очень нравилось подобное в McAfee, где можно было описать поведение чего-то запуском, изменением ключей реестра итп.(к примеру, файлик с названием можно объявить вирусом и удалять его везде, где он найдется по мере работы или узнать, а от кого же он появляется). Очень хорошо иметь в арсенале много программ, но не все это могут себе позволить(замутить ради этого функционала новый продукт и брать деньги - это прямо то, чо доктор прописал в сложившейся ситуации)

Edited by vdof
Posted

я ведь правильно понимаю, что в Касперском догадались сделать подобный функционал, только файл конкретный(путь, название и хеш) - это частный случай маски .exe ????

Goddeimos13
Posted
9 минут назад, vdof сказал:

тоже хорошо, но если "что-то пошло не так"???

Если бы у бабушки..., она была бы дедушкой. Шутка)))

10 минут назад, vdof сказал:

к примеру, файлик с названием можно объявить вирусом и удалять его везде

Ага, а файлик с вирусом возьми и назовись "outlook.exe"... Вдарим по почте.

14 минут назад, vdof сказал:

(замутить ради этого функционала новый продукт и брать деньги - это прямо то, чо доктор прописал в сложившейся ситуации)

No comments. McAfee Вам в помощь.

  • Like 1
Posted
5 minutes ago, Goddeimos13 said:

Если бы у бабушки..., она была бы дедушкой. Шутка)))

Ага, а файлик с вирусом возьми и назовись "outlook.exe"... Вдарим по почте.

No comments. McAfee Вам в помощь.

"Конструктивный подход", чувствуется.. (Мы не стараемся улучшить свой продукт, в сложившейся ситуевине Вы  итак прожуете)

Goddeimos13
Posted
3 минуты назад, vdof сказал:

"Конструктивный подход", чувствуется.. (Мы не стараемся улучшить свой продукт, в сложившейся ситуевине Вы  итак прожуете)

Хотите улучшить продукт, пишите предложение на саппорт. Я так всегда делаю.

Пока что от Вас не было нормального предложения по улучшению (ну кроме как "хочу как у McAfee...").

Posted
4 minutes ago, Goddeimos13 said:

Хотите улучшить продукт, пишите предложение на саппорт. Я так всегда делаю.

Пока что от Вас не было нормального предложения по улучшению (ну кроме как "хочу как у McAfee...").

Ну так может быть тогда подскажите, как сделать подобное.

Задача - запретить появление файлов и запрет запуска их(по необходимости) в указанном каталоге(%temp% просто для примера). Про McAfee  написано, чтобы было понимание что кто-то это сделал в своем продукте.

Posted

А зачем перекладывать эту задачу на антивирус если это делается политиками OS?

Posted

В Kaspersky Endpoint Security включите режим белого списка в контроле программ для хостов. 

  • Solution
Posted

В разделе KSC "Управление программами" создаете категорию. Добавляете условие C:\Users\*\AppData\Local\Temp\*

В политике KES в разделе "Контроль безопасности - Контроль программ" создаете правило, указываете созданную выше категорию и запреты/разрешения.

  • Like 1

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...