Dr.Web: всё под контролем
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

Принципы проектирования  

Dependency Inversion Principle. Принцип инверсии зависимостей в разработке

Мы подошли к последнему принципу проектирования приложений из серии SOLID – Dependency

 Читать далее...

Рынок труда  

Вакансия: Администратор 1С

Администратор 1С – это специалист, который необходим любой организации, где установлены программы

 Читать далее...

Книжная полка  

Книги для профессионалов, студентов и пользователей

Книги издательства «БХВ» вышли книги для тех, кто хочет овладеть самыми востребованными

 Читать далее...

Принципы проектирования  

Interface Segregation Principle. Принцип разделения интерфейсов в проектировании приложений

Эта статья из серии «SOLID» посвящена четвертому принципу проектирования приложений – Interface

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 10696
Комментарии: 0
Потоковая обработка данных

 Читать далее...

19.03.2018г.
Просмотров: 8944
Комментарии: 0
Релевантный поиск с использованием Elasticsearch и Solr

 Читать далее...

19.03.2018г.
Просмотров: 8979
Комментарии: 0
Конкурентное программирование на SCALA

 Читать далее...

19.03.2018г.
Просмотров: 5666
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6358
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 3663
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2655
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3465
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3458
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 5949
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

Друзья сайта  

 Dr.Web: всё под контролем

Статьи / Dr.Web: всё под контролем

Автор: SA

В ноябре 2019 года вышла новая версия Dr.Web Enterprise Security Suite – флагманского корпоративного продукта для комплексной защиты любых устройств информационных сетей государственных организаций и предприятий, а также коммерческих компаний. 12-я версия ознаменовалась рядом нововведений и новинок, в частности новым компонентом – Контроль приложений, о котором и пойдет речь в статье.

Визитка
Вячеслав Медведев,
начальник сектора продукт-менеджмента компании «Доктор Веб»


Dr.Web: всё под контролем

В ноябре 2019 года вышла новая версия Dr.Web Enterprise Security Suite – флагманского корпоративного продукта для комплексной защиты любых устройств информационных сетей государственных организаций и предприятий, а также коммерческих компаний. 12-я версия ознаменовалась рядом нововведений и новинок, в частности новым компонентом – Контроль приложений, о котором и пойдет речь в статье.

Сегодня в экономике нет ни одной отрасли, которая могла бы бесперебойно функционировать без средств защиты информации от вирусозависимых компьютерных инцидентов (ВКИ). Dr.Web Enterprise Security Suite предназначен для организации и управления всеобъемлющей защитой локальной сети компании, включая мобильные устройства сотрудников.

Основные примечания по выходу новой версии мы собрали на отдельной странице.

А о новом компоненте в Dr.Web Enterprise Security Suite рассказывает Вячеслав Медведев – начальник сектора продукт-менеджмента компании «Доктор Веб».

Защита от новейших вредоносных программ и слишком самостоятельных пользователей средствами Dr.Web

«Получила по эл. почте запрос на отчет по бухгалтерии, загрузила файл, открыла архив…»


Это типичное обращение в нашу техническую поддержку. Причем подобное может прийти и от обычного пользователя (которому, в общем-то, простительно) и от крупной компании, название которой у всех на слуху. Антивирус может быть не установлен (или установлен такой, от одного только названия которого хочется плакать). Антивирус может быть не обновлен. Еще цитата по результатам анализа очередного заражения: «Судя по отчету, антивирусные базы обновляются реже, чем выпускаются, так, на момент сбора отчета 06-06-2019 базы от 2019-06-05 (13:33). Рекомендуется обновлять базы ежечасно». Бывает, что пользователи имеют право установки новых приложений в директории, исключенных из проверки антивирусом... Вариантов очень много. И это при том, что существуют средства предотвращения заражения, даже если установленный антивирус еще не получил обновления вирусных баз или правил превентивной защиты. И их тем более нужно использовать, так как современные злоумышленники могут создать уникальную сборку для каждой отдельной жертвы, использовать для маскировки уже известного кода обфускацию, шифрование, применять бесфайловые методы хранения и запуска созданных ими программ, автоматизированные сервисы создания и тестирования образцов вредоносных программ (причем время создания новых сборок короче времени обновления вирусных баз обычного антивируса) и передавать вредоносный код самыми разными методами, хоть в картинке.

И да – злоумышленники не отличаются честностью. По статистике, лишь менее трети жертв троянцев-шифровальщиков получают код для разблокировки, и этот код действительно позволяет расшифровать файлы.

Заблокировать запуск вредоносных программ, еще неизвестных антивирусу, можно различными способами – например, с помощью модулей Офисного контроля или Превентивной защиты. Можно сделать это и с использованием возможностей Контроля приложений Dr.Web – и этот же модуль позволяет заблокировать устаревшие программы, недоверенное ПО, создать белые и черные списки программ для локальной сети компании.

Чтобы настроить Контроль приложений, необходимо выполнить следующую последовательность действий.

  1. Разрешите сбор и отправку информации со станций для раздела События Контроля приложений, установив флаг Отслеживать события Контроля приложений на вкладке Общие компонента Агент Dr.Web для станций или группы станций с установленным Контролем приложений, с которых вы хотите получать информацию о запуске приложений.
  2. Разрешите сбор информации антивирусным сервером для раздела События Контроля приложений, установив флаги Статистика Контроля приложений по активности процессов и Статистика Контроля приложений по блокировке процессов в разделе Администрирование Конфигурация Сервера Dr.Web на вкладке Статистика.
  3. Перезапустите антивирусный сервер.
  4. Создайте профиль. Настройки системы контроля приложений осуществляются с помощью профилей, в соответствии с настройками которых приложения на станциях (или для определенных пользователей) будут запускаться или блокироваться. До создания профилей и назначения их на станции антивирусной сети запуск всех приложений разрешается.
  5. Назначьте станции, пользователей и/или их группы, на которые будут распространяться настройки созданного профиля.
  6. Задайте настройки профиля.

Внимание! Настройку работы профилей рекомендуется производить в тестовом режиме. Он имитирует работу Контроля приложений с полным ведением журнала статистики  активности на защищаемых станциях, однако фактическая блокировка приложений не производится.

Чтобы создать профиль:

  1. Выберите пункт Антивирусная сеть в главном меню Центра управления.
  2. В открывшемся окне на панели инструментов выберите пункт Добавить объект сети Создать профиль.

 

  1. На открывшейся панели задайте Название профиля.
  2. Нажмите кнопку Сохранить.

Созданный профиль нужно настроить (установить необходимые ограничения, правила работы), а также назначить его станциям и/или пользователям антивирусной сети.

Новый профиль будет создан и помещен в группу Profiles дерева Антивирусной сети. Кликаем по названию профиля.

 

Назначение флага Включить профиль очевидно, равно как и флага Перевести профиль в глобальный тестовый режим. В разделе Критерии функционального анализа устанавливаем флаги для событий, которые будут контролироваться. Для каждого из типов событий есть своя группа критериев, с помощью которых мы можем отметить правила, по которым будут выявляться подозрительные программы. Для задания расширенных настроек по каждому выбранному типу событий критерию нажимаем  (Редактировать). Окна  расширенных настроек весьма схожи, рассмотрим только несколько опций из них.

 

Большинство пунктов даже не нужно комментировать – вполне понятно, какого рода программы под них подпадают и нужен ли их запуск. Очевидно, что в большинстве систем не используются запускаемые в среде Windows программы Linux, поэтому мы также можем отметить пункт Запрещать запуск bash-оболочек и WSL-приложений (только для Windows 10 и выше). Запуск приложений со сменных носителей (Запрещать запуск приложений со сменных носителей) и по сети (Запрещать запуск приложений из сети и общих ресурсов), если у вас не используются данные возможности, тоже не помешает запретить. Весьма часто вредоносные программы используют для запуска каталоги для временных файлов. Если вы не планируете развертывать новое ПО, которое также может использовать данные папки, – отметьте опцию Запрещать запуск приложений из временных каталогов.

В разделе Запуск скриптовых интерпретаторов вы можете запретить те типы скриптов (а также модификацию реестра), которые точно не используются в вашей системе, а также их запуск со сменных носителей или из временных каталогов.

Опции раздела Загрузка драйверов подобны описанным ранее, однако помимо описанных выше запретов в данном разделе имеется один уникальный – Запрещать загрузку уязвимых версий драйверов популярного ПО. Думаем, его важность понятна.

Вредоносные пакеты часто используются вредоносными программами. Вы можете запретить запуск инсталляционных пакетов, используя опции раздела Установка MSI-пакетов.

Если вы включите использование какого-либо из типов событий, но не зададите его расширенные настройки, то контроль запуска будет производиться для всех объектов по этому критерию в соответствии с настройками разрешающего или запрещающего режимов. Если вы зададите расширенные настройки, но не включите использование самого типа события, то ни расширенные настройки, ни сам критерий выполняться не будут.

Для сохранения расширенных настроек нажмите Сохранить в окне со списком расширенных настроек.

Следующий этап настройки системы контроля запуска приложений – назначение созданного и настроенного профиля станциям или пользователям антивирусной сети. Выбираем профиль и назначаем его с помощью опции панели инструментов Экспортировать данные  Назначить профиль.

 

Если все настройки были проведены корректно, сведения о запускаемых программах будут отображаться в разделе Статистика События Контроля приложений.

Обнаружив запуск некоей программы или модуля, кликните по соответствующей строке таблицы.

 

В открывшемся окне с информацией о выбранном событии нажмите кнопку Создать правило и создайте нужное вам разрешающее или запрещающее правило.

 

Кроме того, что правила Контроля приложений могут создаваться исходя из статистики запуска приложений, их можно создать и вручную.

Предположим, вы хотите запретить несанкционированный запуск утилиты drw_remover.exe, которой пользуются для удаления антивируса, мешающего запуску очередного троянца.

Вычислить хеш-сумму данного файла можно с помощью утилиты CertUtil, по умолчанию входящей в комплект OS Windows, или иной любой утилитой. Если мы используем CertUtil, в командной строке нужно выполнить команду certutil -hashfile file SHA256, где file – путь до файла.

 

Для добавления запрета используем Запрещающий режим ранее созданного правила.

  1. Откроем ранее созданное правило и перейдем на закладку Запрещающий режим. По умолчанию режим выключен. Для его использования установите флаг Использовать запрещающий режим.
  2. Для создания правила нажимаем кнопку  (Создать правило) и в окне Добавление правила задаем Название правила.

 

И нажимаем Сохранить.

  1. В списке правил выбираем созданное правило и задаем его настройки на открывшейся панели свойств – в данном примере указываем контрольную сумму вредоносного файла.
    1. Устанавливаем флаг Включить правило.
    2. Если вы хотите проверить работу правила без применения его на станциях, установите флаг Перевести правило в тестовый режим. В противном случае оно будет работать в активном режиме с блокировкой приложений на станциях по заданным настройкам.
    3. В разделе Запрещать запуск приложений по следующим критериям указываем контрольную сумму вредоносного файла.
    4. Нажимаем Сохранить.

Если вы ранее создавали аналогичное правило, вы можете создать дубликат запрещающего правила и отредактировать его свойства.

  1. Выберите правило, которое вы хотите продублировать для этого профиля.
  2. Нажмите кнопку  (Дублировать правило).
  3. В таблице правил появится новое правило, настройки которого будут полностью скопированы из правила, выбранного на шаге 1. В имени правила добавится цифра 1. 

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru