Можно ли как-либо запретить запуск exe файлов в папке %TEMP%

[vdof]

Добрый день,

Интересует вопрос, можно ли как-либо запретить с помощью политики запуск *.exe файлов с папки, к примеру %TEMP% ??
Ну простой пример. Прилетело Вам письмецо, с .exe, но замаскированное под pdf. Пользователь жмакает на файлик, он копипастится в папку %TEMP% и запускается. Вот хотелось бы просто запретить запуск файлов из папки. Нашел статейку, но проблема в том, что надо указывать название файла или хеш. А надо просто по маске запретить запуск
https://support.kaspersky.com/KESWin/11.7.0/ru-RU/214778.htm
 

[Goddeimos13]

Приветствую!
А как насчёт запуска легитимных исполняемых файлов из временной папки? Такой сценарий ведь возможен.

Так что запрещать запуск exe из определённого каталога, это всё равно что стрелять по воробьям - не эффективно.

Лучше применять превентивные меры и не допускать попадания замаскированных pdf файлов на рабочую станцию (шлюзы, антифишинги, антиспамы и тд).

Ну уж если попадёт, то думаю KES справится ?

Ну а если это целевая атака, то тут даже KES не спасёт. Тут желательно иметь в арсенале KATA/KEDR.

[vdof]

Приветствую,

Поясните тогда пожалуйста, либо kb приложите, как сделать запуск легитимных файлов.......... То, что лучше не допускать на шлюзы такие вещи - тоже хорошо, но если "что-то пошло не так"???. А вот иметь такое средство в базе антивируса - довольно приятно. Мне очень нравилось подобное в McAfee, где можно было описать поведение чего-то запуском, изменением ключей реестра итп.(к примеру, файлик с названием можно объявить вирусом и удалять его везде, где он найдется по мере работы или узнать, а от кого же он появляется). Очень хорошо иметь в арсенале много программ, но не все это могут себе позволить(замутить ради этого функционала новый продукт и брать деньги - это прямо то, чо доктор прописал в сложившейся ситуации)

Edited July 12, 2022 by vdof

[vdof]

я ведь правильно понимаю, что в Касперском догадались сделать подобный функционал, только файл конкретный(путь, название и хеш) - это частный случай маски .exe ????

[Goddeimos13]

9 минут назад, vdof сказал:

тоже хорошо, но если "что-то пошло не так"???

Если бы у бабушки..., она была бы дедушкой. Шутка)))

10 минут назад, vdof сказал:

к примеру, файлик с названием можно объявить вирусом и удалять его везде

Ага, а файлик с вирусом возьми и назовись "outlook.exe"... Вдарим по почте.

14 минут назад, vdof сказал:

(замутить ради этого функционала новый продукт и брать деньги - это прямо то, чо доктор прописал в сложившейся ситуации)

No comments. McAfee Вам в помощь.

[vdof]

5 minutes ago, Goddeimos13 said:

Если бы у бабушки..., она была бы дедушкой. Шутка)))

Ага, а файлик с вирусом возьми и назовись "outlook.exe"... Вдарим по почте.

No comments. McAfee Вам в помощь.

"Конструктивный подход", чувствуется.. (Мы не стараемся улучшить свой продукт, в сложившейся ситуевине Вы  итак прожуете)

[Goddeimos13]

3 минуты назад, vdof сказал:

"Конструктивный подход", чувствуется.. (Мы не стараемся улучшить свой продукт, в сложившейся ситуевине Вы  итак прожуете)

Хотите улучшить продукт, пишите предложение на саппорт. Я так всегда делаю.

Пока что от Вас не было нормального предложения по улучшению (ну кроме как "хочу как у McAfee...").

[vdof]

4 minutes ago, Goddeimos13 said:

Хотите улучшить продукт, пишите предложение на саппорт. Я так всегда делаю.

Пока что от Вас не было нормального предложения по улучшению (ну кроме как "хочу как у McAfee...").

Ну так может быть тогда подскажите, как сделать подобное.

Задача - запретить появление файлов и запрет запуска их(по необходимости) в указанном каталоге(%temp% просто для примера). Про McAfee  написано, чтобы было понимание что кто-то это сделал в своем продукте.

[andrew75]

А зачем перекладывать эту задачу на антивирус если это делается политиками OS?

[mike 1]

В Kaspersky Endpoint Security включите режим белого списка в контроле программ для хостов. 

[SirEng]

В разделе KSC "Управление программами" создаете категорию. Добавляете условие C:\Users\*\AppData\Local\Temp\*

В политике KES в разделе "Контроль безопасности - Контроль программ" создаете правило, указываете созданную выше категорию и запреты/разрешения.