Недавно задумался над проблемой защиты от многочисленых вирусов, которые клиенты постоянно привносят на своих флешках. При этом производители антивирусов не всегда успевают за этим "народным творчеством", поэтому приходится сражаться с этим добром при помощи FAR.

Пару дней назад решил не ждать пока все новшества достигнут лабораторий Касперского и Нортона и начал создавать собственный черный список, благо в WinXP предусмотрено замечательное средство. (К сожалению на 2000 аналогичного не обнаружил)

Итак, открываем mmc, добавляем оснастку "редактор объекта групповой политики" и находим раздел:
       Политика "локальный компьютер"->Конфигурация компьютера->Конфигурация Windows
->Параметры безопасности->Политики ограниченного использования программ->Дополнительные правила.

Щелкаем правой и выбираем "Создать правило для пути"

Теперь следует определиться каким образом добавить вредоносную программу в список, т.к. можно выделить две группы:
1. Имя файла может напоминать системный файл и заставить задуматься, однако системных файлов с таким именем не существует. В таком случае лучше всего внести в список просто имя файла без указания пути. Таким образом гарантируется, что ни одна программа с таким именем не запустится.
2. Несколько сложнее, когда имя вируса повторяет имя одного из системных файлов. Запрещать все программы с таким именем опасно, т.к. можно ненароком зацепить и нужную службу.
Слава богам, места обитания вирусов winlogon.exe, ctfmon.exe и подобных отличаются от типичного расположения системных файлов. Поэтому перед именем вируса указываем путь к его типичному месторасположению.

За пару дней черный список пополнился следующими записями:

fun.xls.exe
locale.exe
usbcash.exe
%userprofile%\Главное меню\Программы\Автозагрузка\ctfmon.exe
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ctfmon.exe
C:\Temp\winlogon.exe
C:\TMP\winlogon.exe


Предлагаю совместными усилиями продолжить его составление.










Это сообщение отредактировал(а) Infector - 3.8.2008, 17:55

с системного диска (из корневого каталога) лучше вообще запретить запуск *.exe

Добавлено через 2 минуты и 48 секунд
а как можно запретить создание файлов autorun.inf, например в центральных каталогах дисков?

Где-то есть запрет автозапуска как явления. 
Хотя autorun.inf создаваться все равно будут, меньше вреда от них получается

обычно в реестре...

Он есть в групповых политиках mmc, но где именно так просто этого не вспомню. Нужно искать в куче бумаг, ту где конкретное местечко указано   

gpedit.msc -> Конфигурация компьютера -> Административные шаблоны -> Система
Пункт "Отключить автозапуск" 

да вот в том то всё и дело, что хотелосьбы отключить автозапуск только на нек. дисках

а ведь скорее всего реально ;)

Добавлено через 23 секунды
т.к. автозапуск для флешек можно отключить (для каждой по отдельности)

Автозапуск отключается в двух местах.
В одном - в принципе. На всё сразу.
В другом - вводится маска запрета по именам дисков.
Также есть отдельная точка, где можно запретить автозапуск сидюков и автозапуск съемных накопителей.

Самое имхо разумное - это принципиальное отключение автозапуска через локальные политики станции. Если потребуется - запустить вручную несложно. 

Вносим в список:

*\RECYCLER\*.*

Infector, а ты не ошибся папкой?

Это сообщение отредактировал(а) Akella - 5.8.2008, 20:15

Это же "корзина", чего с ней не так? Бывает она называется RECYCLER или RECYCLED, но что в ней не так? 

Скажи как!!!

nitr, а в список-то её зачем?

Добавлено через 30 секунд
Dobermann, в свойствах диска есть закладка Автозапуск

Akella, вы меня не поняли =) я тоже удивлен, зачем это в список "игнора"...

Dobermann, или когда вставляете флешку, выбираете "не выполнять никаких действий" =) и галочку "запомнить"...