Dr.Web: всё под контролем::
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6445
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7140
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4421
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3095
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3892
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3909
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6396
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3242
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3539
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7378
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10734
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12454
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14121
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9204
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7150
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5456
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4689
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3504
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3218
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3457
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3100
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Dr.Web: всё под контролем

Архив номеров / 2019 / Выпуск №12 (205) / Dr.Web: всё под контролем

Рубрика: Безопасность /  Продукты и решения

Визитка
Вячеслав Медведев,
начальник сектора продукт-менеджмента компании «Доктор Веб»


Dr.Web: всё под контролем

В ноябре 2019 года вышла новая версия Dr.Web Enterprise Security Suite – флагманского корпоративного продукта для комплексной защиты любых устройств информационных сетей государственных организаций и предприятий, а также коммерческих компаний. 12-я версия ознаменовалась рядом нововведений и новинок, в частности новым компонентом – Контроль приложений, о котором и пойдет речь в статье.

Сегодня в экономике нет ни одной отрасли, которая могла бы бесперебойно функционировать без средств защиты информации от вирусозависимых компьютерных инцидентов (ВКИ). Dr.Web Enterprise Security Suite предназначен для организации и управления всеобъемлющей защитой локальной сети компании, включая мобильные устройства сотрудников.

Основные примечания по выходу новой версии мы собрали на отдельной странице.

А о новом компоненте в Dr.Web Enterprise Security Suite рассказывает Вячеслав Медведев – начальник сектора продукт-менеджмента компании «Доктор Веб».

Защита от новейших вредоносных программ и слишком самостоятельных пользователей средствами Dr.Web

«Получила по эл. почте запрос на отчет по бухгалтерии, загрузила файл, открыла архив…»


Это типичное обращение в нашу техническую поддержку. Причем подобное может прийти и от обычного пользователя (которому, в общем-то, простительно) и от крупной компании, название которой у всех на слуху. Антивирус может быть не установлен (или установлен такой, от одного только названия которого хочется плакать). Антивирус может быть не обновлен. Еще цитата по результатам анализа очередного заражения: «Судя по отчету, антивирусные базы обновляются реже, чем выпускаются, так, на момент сбора отчета 06-06-2019 базы от 2019-06-05 (13:33). Рекомендуется обновлять базы ежечасно». Бывает, что пользователи имеют право установки новых приложений в директории, исключенных из проверки антивирусом... Вариантов очень много. И это при том, что существуют средства предотвращения заражения, даже если установленный антивирус еще не получил обновления вирусных баз или правил превентивной защиты. И их тем более нужно использовать, так как современные злоумышленники могут создать уникальную сборку для каждой отдельной жертвы, использовать для маскировки уже известного кода обфускацию, шифрование, применять бесфайловые методы хранения и запуска созданных ими программ, автоматизированные сервисы создания и тестирования образцов вредоносных программ (причем время создания новых сборок короче времени обновления вирусных баз обычного антивируса) и передавать вредоносный код самыми разными методами, хоть в картинке.

И да – злоумышленники не отличаются честностью. По статистике, лишь менее трети жертв троянцев-шифровальщиков получают код для разблокировки, и этот код действительно позволяет расшифровать файлы.

Заблокировать запуск вредоносных программ, еще неизвестных антивирусу, можно различными способами – например, с помощью модулей Офисного контроля или Превентивной защиты. Можно сделать это и с использованием возможностей Контроля приложений Dr.Web – и этот же модуль позволяет заблокировать устаревшие программы, недоверенное ПО, создать белые и черные списки программ для локальной сети компании.

Чтобы настроить Контроль приложений, необходимо выполнить следующую последовательность действий.

  1. Разрешите сбор и отправку информации со станций для раздела События Контроля приложений, установив флаг Отслеживать события Контроля приложений на вкладке Общие компонента Агент Dr.Web для станций или группы станций с установленным Контролем приложений, с которых вы хотите получать информацию о запуске приложений.
  2. Разрешите сбор информации антивирусным сервером для раздела События Контроля приложений, установив флаги Статистика Контроля приложений по активности процессов и Статистика Контроля приложений по блокировке процессов в разделе Администрирование Конфигурация Сервера Dr.Web на вкладке Статистика.
  3. Перезапустите антивирусный сервер.
  4. Создайте профиль. Настройки системы контроля приложений осуществляются с помощью профилей, в соответствии с настройками которых приложения на станциях (или для определенных пользователей) будут запускаться или блокироваться. До создания профилей и назначения их на станции антивирусной сети запуск всех приложений разрешается.
  5. Назначьте станции, пользователей и/или их группы, на которые будут распространяться настройки созданного профиля.
  6. Задайте настройки профиля.

Внимание! Настройку работы профилей рекомендуется производить в тестовом режиме. Он имитирует работу Контроля приложений с полным ведением журнала статистики  активности на защищаемых станциях, однако фактическая блокировка приложений не производится.

Чтобы создать профиль:

  1. Выберите пункт Антивирусная сеть в главном меню Центра управления.
  2. В открывшемся окне на панели инструментов выберите пункт Добавить объект сети Создать профиль.

 

  1. На открывшейся панели задайте Название профиля.
  2. Нажмите кнопку Сохранить.

Созданный профиль нужно настроить (установить необходимые ограничения, правила работы), а также назначить его станциям и/или пользователям антивирусной сети.

Новый профиль будет создан и помещен в группу Profiles дерева Антивирусной сети. Кликаем по названию профиля.

 

Назначение флага Включить профиль очевидно, равно как и флага Перевести профиль в глобальный тестовый режим. В разделе Критерии функционального анализа устанавливаем флаги для событий, которые будут контролироваться. Для каждого из типов событий есть своя группа критериев, с помощью которых мы можем отметить правила, по которым будут выявляться подозрительные программы. Для задания расширенных настроек по каждому выбранному типу событий критерию нажимаем  (Редактировать). Окна  расширенных настроек весьма схожи, рассмотрим только несколько опций из них.

 

Большинство пунктов даже не нужно комментировать – вполне понятно, какого рода программы под них подпадают и нужен ли их запуск. Очевидно, что в большинстве систем не используются запускаемые в среде Windows программы Linux, поэтому мы также можем отметить пункт Запрещать запуск bash-оболочек и WSL-приложений (только для Windows 10 и выше). Запуск приложений со сменных носителей (Запрещать запуск приложений со сменных носителей) и по сети (Запрещать запуск приложений из сети и общих ресурсов), если у вас не используются данные возможности, тоже не помешает запретить. Весьма часто вредоносные программы используют для запуска каталоги для временных файлов. Если вы не планируете развертывать новое ПО, которое также может использовать данные папки, – отметьте опцию Запрещать запуск приложений из временных каталогов.

В разделе Запуск скриптовых интерпретаторов вы можете запретить те типы скриптов (а также модификацию реестра), которые точно не используются в вашей системе, а также их запуск со сменных носителей или из временных каталогов.

Опции раздела Загрузка драйверов подобны описанным ранее, однако помимо описанных выше запретов в данном разделе имеется один уникальный – Запрещать загрузку уязвимых версий драйверов популярного ПО. Думаем, его важность понятна.

Вредоносные пакеты часто используются вредоносными программами. Вы можете запретить запуск инсталляционных пакетов, используя опции раздела Установка MSI-пакетов.

Если вы включите использование какого-либо из типов событий, но не зададите его расширенные настройки, то контроль запуска будет производиться для всех объектов по этому критерию в соответствии с настройками разрешающего или запрещающего режимов. Если вы зададите расширенные настройки, но не включите использование самого типа события, то ни расширенные настройки, ни сам критерий выполняться не будут.

Для сохранения расширенных настроек нажмите Сохранить в окне со списком расширенных настроек.

Следующий этап настройки системы контроля запуска приложений – назначение созданного и настроенного профиля станциям или пользователям антивирусной сети. Выбираем профиль и назначаем его с помощью опции панели инструментов Экспортировать данные  Назначить профиль.

 

Если все настройки были проведены корректно, сведения о запускаемых программах будут отображаться в разделе Статистика События Контроля приложений.

Обнаружив запуск некоей программы или модуля, кликните по соответствующей строке таблицы.

 

В открывшемся окне с информацией о выбранном событии нажмите кнопку Создать правило и создайте нужное вам разрешающее или запрещающее правило.

 

Кроме того, что правила Контроля приложений могут создаваться исходя из статистики запуска приложений, их можно создать и вручную.

Предположим, вы хотите запретить несанкционированный запуск утилиты drw_remover.exe, которой пользуются для удаления антивируса, мешающего запуску очередного троянца.

Вычислить хеш-сумму данного файла можно с помощью утилиты CertUtil, по умолчанию входящей в комплект OS Windows, или иной любой утилитой. Если мы используем CertUtil, в командной строке нужно выполнить команду certutil -hashfile file SHA256, где file – путь до файла.

 

Для добавления запрета используем Запрещающий режим ранее созданного правила.

  1. Откроем ранее созданное правило и перейдем на закладку Запрещающий режим. По умолчанию режим выключен. Для его использования установите флаг Использовать запрещающий режим.
  2. Для создания правила нажимаем кнопку  (Создать правило) и в окне Добавление правила задаем Название правила.

 

И нажимаем Сохранить.

  1. В списке правил выбираем созданное правило и задаем его настройки на открывшейся панели свойств – в данном примере указываем контрольную сумму вредоносного файла.
    1. Устанавливаем флаг Включить правило.
    2. Если вы хотите проверить работу правила без применения его на станциях, установите флаг Перевести правило в тестовый режим. В противном случае оно будет работать в активном режиме с блокировкой приложений на станциях по заданным настройкам.
    3. В разделе Запрещать запуск приложений по следующим критериям указываем контрольную сумму вредоносного файла.
    4. Нажимаем Сохранить.

Если вы ранее создавали аналогичное правило, вы можете создать дубликат запрещающего правила и отредактировать его свойства.

  1. Выберите правило, которое вы хотите продублировать для этого профиля.
  2. Нажмите кнопку  (Дублировать правило).
  3. В таблице правил появится новое правило, настройки которого будут полностью скопированы из правила, выбранного на шаге 1. В имени правила добавится цифра 1. 

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru