|
Модераторы: bartram, Akella |
|
Infector |
|
|||
Опытный Профиль Группа: Участник Сообщений: 298 Регистрация: 13.1.2008 Репутация: 2 Всего: 2 |
Недавно задумался над проблемой защиты от многочисленых вирусов, которые клиенты постоянно привносят на своих флешках. При этом производители антивирусов не всегда успевают за этим "народным творчеством", поэтому приходится сражаться с этим добром при помощи FAR.
Пару дней назад решил не ждать пока все новшества достигнут лабораторий Касперского и Нортона и начал создавать собственный черный список, благо в WinXP предусмотрено замечательное средство. (К сожалению на 2000 аналогичного не обнаружил) Итак, открываем mmc, добавляем оснастку "редактор объекта групповой политики" и находим раздел: Политика "локальный компьютер"->Конфигурация компьютера->Конфигурация Windows ->Параметры безопасности->Политики ограниченного использования программ->Дополнительные правила. Щелкаем правой и выбираем "Создать правило для пути" Теперь следует определиться каким образом добавить вредоносную программу в список, т.к. можно выделить две группы: 1. Имя файла может напоминать системный файл и заставить задуматься, однако системных файлов с таким именем не существует. В таком случае лучше всего внести в список просто имя файла без указания пути. Таким образом гарантируется, что ни одна программа с таким именем не запустится. 2. Несколько сложнее, когда имя вируса повторяет имя одного из системных файлов. Запрещать все программы с таким именем опасно, т.к. можно ненароком зацепить и нужную службу. Слава богам, места обитания вирусов winlogon.exe, ctfmon.exe и подобных отличаются от типичного расположения системных файлов. Поэтому перед именем вируса указываем путь к его типичному месторасположению. За пару дней черный список пополнился следующими записями: fun.xls.exe locale.exe usbcash.exe %userprofile%\Главное меню\Программы\Автозагрузка\ctfmon.exe C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ctfmon.exe C:\Temp\winlogon.exe C:\TMP\winlogon.exe Предлагаю совместными усилиями продолжить его составление. Это сообщение отредактировал(а) Infector - 3.8.2008, 17:55 |
|||
|
||||
Akella |
|
|||
Творец Профиль Группа: Модератор Сообщений: 18485 Регистрация: 14.5.2003 Где: Корусант Репутация: 73 Всего: 329 |
с системного диска (из корневого каталога) лучше вообще запретить запуск *.exe
Добавлено через 2 минуты и 48 секунд а как можно запретить создание файлов autorun.inf, например в центральных каталогах дисков? |
|||
|
||||
Infector |
|
|||
Опытный Профиль Группа: Участник Сообщений: 298 Регистрация: 13.1.2008 Репутация: 2 Всего: 2 |
Где-то есть запрет автозапуска как явления.
Хотя autorun.inf создаваться все равно будут, меньше вреда от них получается |
|||
|
||||
nitr |
|
|||
Эксперт Профиль Группа: Участник Клуба Сообщений: 2543 Регистрация: 10.2.2006 Где: Россия :) Репутация: 6 Всего: 84 |
||||
|
||||
Infector |
|
|||
Опытный Профиль Группа: Участник Сообщений: 298 Регистрация: 13.1.2008 Репутация: 2 Всего: 2 |
Он есть в групповых политиках mmc, но где именно так просто этого не вспомню. Нужно искать в куче бумаг, ту где конкретное местечко указано
|
|||
|
||||
nitr |
|
|||
Эксперт Профиль Группа: Участник Клуба Сообщений: 2543 Регистрация: 10.2.2006 Где: Россия :) Репутация: 6 Всего: 84 |
gpedit.msc -> Конфигурация компьютера -> Административные шаблоны -> Система
Пункт "Отключить автозапуск" |
|||
|
||||
Akella |
|
|||
Творец Профиль Группа: Модератор Сообщений: 18485 Регистрация: 14.5.2003 Где: Корусант Репутация: 73 Всего: 329 |
да вот в том то всё и дело, что хотелосьбы отключить автозапуск только на нек. дисках
|
|||
|
||||
nitr |
|
|||
Эксперт Профиль Группа: Участник Клуба Сообщений: 2543 Регистрация: 10.2.2006 Где: Россия :) Репутация: 6 Всего: 84 |
а ведь скорее всего реально ;)
Добавлено через 23 секунды т.к. автозапуск для флешек можно отключить (для каждой по отдельности) |
|||
|
||||
Akina |
|
|||
Советчик Профиль Группа: Модератор Сообщений: 20570 Регистрация: 8.4.2004 Где: Зеленоград Репутация: 42 Всего: 453 |
Автозапуск отключается в двух местах.
В одном - в принципе. На всё сразу. В другом - вводится маска запрета по именам дисков. Также есть отдельная точка, где можно запретить автозапуск сидюков и автозапуск съемных накопителей. Самое имхо разумное - это принципиальное отключение автозапуска через локальные политики станции. Если потребуется - запустить вручную несложно. -------------------- О(б)суждение моих действий - в соответствующей теме, пожалуйста. Или в РМ. И высшая инстанция - Администрация форума. |
|||
|
||||
Infector |
|
|||
Опытный Профиль Группа: Участник Сообщений: 298 Регистрация: 13.1.2008 Репутация: 2 Всего: 2 |
Вносим в список:
*\RECYCLER\*.* |
|||
|
||||
Akella |
|
|||
Творец Профиль Группа: Модератор Сообщений: 18485 Регистрация: 14.5.2003 Где: Корусант Репутация: 73 Всего: 329 |
Infector, а ты не ошибся папкой?
Это сообщение отредактировал(а) Akella - 5.8.2008, 20:15 |
|||
|
||||
nitr |
|
|||
Эксперт Профиль Группа: Участник Клуба Сообщений: 2543 Регистрация: 10.2.2006 Где: Россия :) Репутация: 6 Всего: 84 |
Это же "корзина", чего с ней не так? Бывает она называется RECYCLER или RECYCLED, но что в ней не так?
|
|||
|
||||
Dobermann |
|
|||
Опытный Профиль Группа: Участник Сообщений: 992 Регистрация: 7.1.2008 Репутация: нет Всего: 0 |
||||
|
||||
Akella |
|
|||
Творец Профиль Группа: Модератор Сообщений: 18485 Регистрация: 14.5.2003 Где: Корусант Репутация: 73 Всего: 329 |
nitr, а в список-то её зачем?
Добавлено через 30 секунд Dobermann, в свойствах диска есть закладка Автозапуск |
|||
|
||||
nitr |
|
|||
Эксперт Профиль Группа: Участник Клуба Сообщений: 2543 Регистрация: 10.2.2006 Где: Россия :) Репутация: 6 Всего: 84 |
Akella, вы меня не поняли =) я тоже удивлен, зачем это в список "игнора"...
Dobermann, или когда вставляете флешку, выбираете "не выполнять никаких действий" =) и галочку "запомнить"... |
|||
|
||||
Правила форума "Windows" | |
|
Запрещается! 1. Обсуждать взлом и делиться кряками 2. Способствовать созданию и распространению вирусов
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, December, bartram, Akella. |
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) | |
0 Пользователей: | |
« Предыдущая тема | MS Windows | Следующая тема » |
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |