В ноябре 2019 года вышла новая версия Dr.Web Enterprise Security Suite – флагманского корпоративного продукта для комплексной защиты любых устройств информационных сетей государственных организаций и предприятий, а также коммерческих компаний. 12-я версия ознаменовалась рядом нововведений и новинок, в частности новым компонентом – Контроль приложений, о котором и пойдет речь в статье.

Визитка
Вячеслав Медведев,
начальник сектора продукт-менеджмента компании «Доктор Веб»

Dr.Web: всё под контролем

В ноябре 2019 года вышла новая версия Dr.Web Enterprise Security Suite – флагманского корпоративного продукта для комплексной защиты любых устройств информационных сетей государственных организаций и предприятий, а также коммерческих компаний. 12-я версия ознаменовалась рядом нововведений и новинок, в частности новым компонентом – Контроль приложений, о котором и пойдет речь в статье.

Сегодня в экономике нет ни одной отрасли, которая могла бы бесперебойно функционировать без средств защиты информации от вирусозависимых компьютерных инцидентов (ВКИ). Dr.Web Enterprise Security Suite предназначен для организации и управления всеобъемлющей защитой локальной сети компании, включая мобильные устройства сотрудников.

Основные примечания по выходу новой версии мы собрали на отдельной странице.

А о новом компоненте в Dr.Web Enterprise Security Suite рассказывает Вячеслав Медведев – начальник сектора продукт-менеджмента компании «Доктор Веб».

Защита от новейших вредоносных программ и слишком самостоятельных пользователей средствами Dr.Web

«Получила по эл. почте запрос на отчет по бухгалтерии, загрузила файл, открыла архив…»

Это типичное обращение в нашу техническую поддержку. Причем подобное может прийти и от обычного пользователя (которому, в общем-то, простительно) и от крупной компании, название которой у всех на слуху. Антивирус может быть не установлен (или установлен такой, от одного только названия которого хочется плакать). Антивирус может быть не обновлен. Еще цитата по результатам анализа очередного заражения: «Судя по отчету, антивирусные базы обновляются реже, чем выпускаются, так, на момент сбора отчета 06-06-2019 базы от 2019-06-05 (13:33). Рекомендуется обновлять базы ежечасно». Бывает, что пользователи имеют право установки новых приложений в директории, исключенных из проверки антивирусом... Вариантов очень много. И это при том, что существуют средства предотвращения заражения, даже если установленный антивирус еще не получил обновления вирусных баз или правил превентивной защиты. И их тем более нужно использовать, так как современные злоумышленники могут создать уникальную сборку для каждой отдельной жертвы, использовать для маскировки уже известного кода обфускацию, шифрование, применять бесфайловые методы хранения и запуска созданных ими программ, автоматизированные сервисы создания и тестирования образцов вредоносных программ (причем время создания новых сборок короче времени обновления вирусных баз обычного антивируса) и передавать вредоносный код самыми разными методами, хоть в картинке.

И да – злоумышленники не отличаются честностью. По статистике, лишь менее трети жертв троянцев-шифровальщиков получают код для разблокировки, и этот код действительно позволяет расшифровать файлы.

Заблокировать запуск вредоносных программ, еще неизвестных антивирусу, можно различными способами – например, с помощью модулей Офисного контроля или Превентивной защиты. Можно сделать это и с использованием возможностей Контроля приложений Dr.Web – и этот же модуль позволяет заблокировать устаревшие программы, недоверенное ПО, создать белые и черные списки программ для локальной сети компании.

Чтобы настроить Контроль приложений, необходимо выполнить следующую последовательность действий.

1. Разрешите сбор и отправку информации со станций для раздела События Контроля приложений, установив флаг Отслеживать события Контроля приложений на вкладке Общие компонента Агент Dr.Web для станций или группы станций с установленным Контролем приложений, с которых вы хотите получать информацию о запуске приложений.
2. Разрешите сбор информации антивирусным сервером для раздела События Контроля приложений, установив флаги Статистика Контроля приложений по активности процессов и Статистика Контроля приложений по блокировке процессов в разделе Администрирование → Конфигурация Сервера Dr.Web на вкладке Статистика.
3. Перезапустите антивирусный сервер.
4. Создайте профиль. Настройки системы контроля приложений осуществляются с помощью профилей, в соответствии с настройками которых приложения на станциях (или для определенных пользователей) будут запускаться или блокироваться. До создания профилей и назначения их на станции антивирусной сети запуск всех приложений разрешается.
5. Назначьте станции, пользователей и/или их группы, на которые будут распространяться настройки созданного профиля.
6. Задайте настройки профиля.

Внимание! Настройку работы профилей рекомендуется производить в тестовом режиме. Он имитирует работу Контроля приложений с полным ведением журнала статистики  активности на защищаемых станциях, однако фактическая блокировка приложений не производится.

Чтобы создать профиль:

1. Выберите пункт Антивирусная сеть в главном меню Центра управления.
2. В открывшемся окне на панели инструментов выберите пункт Добавить объект сети → Создать профиль.

3. На открывшейся панели задайте Название профиля.
4. Нажмите кнопку Сохранить.

Созданный профиль нужно настроить (установить необходимые ограничения, правила работы), а также назначить его станциям и/или пользователям антивирусной сети.

Новый профиль будет создан и помещен в группу Profiles дерева Антивирусной сети. Кликаем по названию профиля.

Назначение флага Включить профиль очевидно, равно как и флага Перевести профиль в глобальный тестовый режим. В разделе Критерии функционального анализа устанавливаем флаги для событий, которые будут контролироваться. Для каждого из типов событий есть своя группа критериев, с помощью которых мы можем отметить правила, по которым будут выявляться подозрительные программы. Для задания расширенных настроек по каждому выбранному типу событий критерию нажимаем  (Редактировать). Окна  расширенных настроек весьма схожи, рассмотрим только несколько опций из них.

Большинство пунктов даже не нужно комментировать – вполне понятно, какого рода программы под них подпадают и нужен ли их запуск. Очевидно, что в большинстве систем не используются запускаемые в среде Windows программы Linux, поэтому мы также можем отметить пункт Запрещать запуск bash-оболочек и WSL-приложений (только для Windows 10 и выше). Запуск приложений со сменных носителей (Запрещать запуск приложений со сменных носителей) и по сети (Запрещать запуск приложений из сети и общих ресурсов), если у вас не используются данные возможности, тоже не помешает запретить. Весьма часто вредоносные программы используют для запуска каталоги для временных файлов. Если вы не планируете развертывать новое ПО, которое также может использовать данные папки, – отметьте опцию Запрещать запуск приложений из временных каталогов.

В разделе Запуск скриптовых интерпретаторов вы можете запретить те типы скриптов (а также модификацию реестра), которые точно не используются в вашей системе, а также их запуск со сменных носителей или из временных каталогов.

Опции раздела Загрузка драйверов подобны описанным ранее, однако помимо описанных выше запретов в данном разделе имеется один уникальный – Запрещать загрузку уязвимых версий драйверов популярного ПО. Думаем, его важность понятна.

Вредоносные пакеты часто используются вредоносными программами. Вы можете запретить запуск инсталляционных пакетов, используя опции раздела Установка MSI-пакетов.

Если вы включите использование какого-либо из типов событий, но не зададите его расширенные настройки, то контроль запуска будет производиться для всех объектов по этому критерию в соответствии с настройками разрешающего или запрещающего режимов. Если вы зададите расширенные настройки, но не включите использование самого типа события, то ни расширенные настройки, ни сам критерий выполняться не будут.

Для сохранения расширенных настроек нажмите Сохранить в окне со списком расширенных настроек.

Следующий этап настройки системы контроля запуска приложений – назначение созданного и настроенного профиля станциям или пользователям антивирусной сети. Выбираем профиль и назначаем его с помощью опции панели инструментов Экспортировать данные → Назначить профиль.

Если все настройки были проведены корректно, сведения о запускаемых программах будут отображаться в разделе Статистика → События Контроля приложений.

Обнаружив запуск некоей программы или модуля, кликните по соответствующей строке таблицы.

В открывшемся окне с информацией о выбранном событии нажмите кнопку Создать правило и создайте нужное вам разрешающее или запрещающее правило.

Кроме того, что правила Контроля приложений могут создаваться исходя из статистики запуска приложений, их можно создать и вручную.

Предположим, вы хотите запретить несанкционированный запуск утилиты drw_remover.exe, которой пользуются для удаления антивируса, мешающего запуску очередного троянца.

Вычислить хеш-сумму данного файла можно с помощью утилиты CertUtil, по умолчанию входящей в комплект OS Windows, или иной любой утилитой. Если мы используем CertUtil, в командной строке нужно выполнить команду certutil -hashfile file SHA256, где file – путь до файла.

Для добавления запрета используем Запрещающий режим ранее созданного правила.

1. Откроем ранее созданное правило и перейдем на закладку Запрещающий режим. По умолчанию режим выключен. Для его использования установите флаг Использовать запрещающий режим.
2. Для создания правила нажимаем кнопку  (Создать правило) и в окне Добавление правила задаем Название правила.
   

И нажимаем Сохранить.

3. В списке правил выбираем созданное правило и задаем его настройки на открывшейся панели свойств – в данном примере указываем контрольную сумму вредоносного файла.
   1. Устанавливаем флаг Включить правило.
   2. Если вы хотите проверить работу правила без применения его на станциях, установите флаг Перевести правило в тестовый режим. В противном случае оно будет работать в активном режиме с блокировкой приложений на станциях по заданным настройкам.
   3. В разделе Запрещать запуск приложений по следующим критериям указываем контрольную сумму вредоносного файла.
      
   4. Нажимаем Сохранить.

Если вы ранее создавали аналогичное правило, вы можете создать дубликат запрещающего правила и отредактировать его свойства.

1. Выберите правило, которое вы хотите продублировать для этого профиля.
2. Нажмите кнопку  (Дублировать правило).
3. В таблице правил появится новое правило, настройки которого будут полностью скопированы из правила, выбранного на шаге 1. В имени правила добавится цифра 1.