Если кто знает, подскажите пожалуйста, есть ли бесплатные программные продукты, позволяющие исключить возможность использования usb flash накопителей в корпоративной сети. При этом чтобы принтеры, мышки, клавиатуры (USB) продолжали исправно работать?
Если таких бесплатных продуктов нет, то есть ли возможность отключить флешки с помощью групповых политик?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Такая фича есть в KAV 6 MP4 - это дополнительный "довесок" к антивирусу, управляется централизованно через политики антивируса, позволяет блокировать автозапуск со сменных носителей и запрещать подключение USB устройств заданных типов. Очень удобно - можно запретить например подключать USB модемы, не блокируя подключения принтеров и сканеров ... оно ничего не стоит для пользователей KAV6 - но отдельно от антивируса такая штука не существует. Есть коммерческие продукты, делающие подобные вещи - но все известные мне платныеСообщение от Kornev
Просьба обращаться на "вы".
Встречал административный шаблон: например на РуБоарде (подумать, посмотреть, подпилить. сам не проверял).
Внимание: отключение шаблона НЕ откатит состояние реестра в состояние, какое было до применения шаблона.
2Зайцев Олег
Обновление с mp3 до mp4 является бесплатным?
2Matias
Метод предложенный на support, не совсем подходит, т.к. в сети много компьютеров. Да, есть возможность запретить устанавливать новые переносные устройства хранения данных, но чтобы отключить уже установленные, придется обойти все компьютеры в сети и воспользоваться Microsoft Fix it 50061. Притом еще не известно корректно ли будет работать это все.
Обновление бесплатное, может выполняться удаленно и автоматически (правда, будет минимум одна автоматическая перезагрузка), плюс придется сделать в админките для MP4 свои политики (так как функционал у него шире, чем у MP3)
Спасибо Вам Олег за подсказку.
А себе самому можно попенять на невнимательность и на то чтобы лучше следить за обновлениями.
Так что - в сети, где нужно задушить флешки, применяется KAV6 WKS? Тогда собственно вот оно решение, плюс MP4 ловит малварей значительно лучше, чем MP3 - и переход на него даже и без защиты флешек очень полезен.
Да, именно KAV6 WKS.
Спасибо
но нужно быть предельно аккуратным... например в бухгалтерии используется "Клиент-банк" где ключи, как правило, находятся на флешке... также помимо могут быть еще eToken - Комбинированный ключ для использования в системах информационной безопасности, сочетающий возможности смарт-карты и защищённого хранилища данных, еще Alladin - система защиты фирмы 1С, и т.п.
В связи со всем известным новым 0day-багом в Windows и вирусами эксплуатирующими данную уязвимость хочу обновить данную тему новым вопросом.
Многие уже в курсе про вирус Stuxnet, но для тех кто хотел бы познакомиться с ним поближе милости прошу сюда.
Вопрос наверное в большей степени будет обращен к Зайцеву Олегу, так как он скорее всего владеет более полной информацией по продуктам Касперского.
Если в KAV 6 MP4 отключить возможность использования USB flash накопителей, то при подключении флешки зараженной вирусом Stuxnet к ПК с KAV (допустим, что это новая версия вируса и в базе сигнатур его еще нет), может ли произойти заражение ПК, т.к. в данном случае будет использоваться не стандартный автозапуск?
Автозапуск здесь не при чём.
CVE-2010-2568 – уязвимость находится в обработчике LNK-файлов, о точнее связана с процессом отображения Control Panel shortcuts, когда происходит их загрузка в память процессом Explorer.exe. Уязвимой являтся библиотека shell32.dll в которой происходит некорректная обработка.
Последовательность вызовов выглядит так:
SHELL32!CRunnableTask::Run
SHELL32!CGetIconTask::RunInitRT
SHELL32!SHGetIconFromPIDL
SHELL32!CFSFolder::GetIconOf
SHELL32!SHGetIconFromPIDL
SHELL32!_GetILIndexGivenPXIcon
SHELL32!CShellLink::GetIconLocation
SHELL32!CExtractIconBase::GetIconLocation
SHELL32!CCtrlExtIconBase::_GetIconLocationW
SHELL32!CPL_FindCPLInfo
SHELL32!CPL_LoadAndFindApplet
SHELL32!_LoadCPLModule
SHELL32!_imp__LoadLibraryW
Собственно именно ниже приведенный код и заставляет выполниться вредоносную DLL, этот код находиться в функции _LoadCPLModule, которая вызывается из CPL_LoadCPLModule.
В эксплойте в составе Metasploit для эксплуатации уязвимости генерируется URL следующего вида "{webdav}{exploit_base}\\{exploit_dll}", такой подход к эксплуатации этой уязвимости сильно расширяет границы ее использования за пределы USB-накопителей.
Left home for a few days and look what happens...
Возможно я неточно выразился. Да, автозапуск тут не при чём, я это и имел ввиду. Поэтому и возник вопрос.
Как понял из объяснения, заражение в описанной ситуации невозможно.
Спасибо.
Всем добрый день.
Подниму эту старую тему, но уже по иному вопросу.
Захотелось проверить, можно ли переписать информацию с компьютера на какой-либо носитель, при условии, что на ПК установлен KAV 6 MP4 с запретом на использование USB-устройств хранения данных.
При подключении USB flash накопителей, KAV заругался и не позволил работать с ними, что значит, все работает нормально.
Затем было решено попробовать подключить сотовый телефон, для того чтобы попытаться на него записать необходимую информацию. Как и следовало ожидать, в данном случае также ничего не удалось сделать. Возник вопрос, что же будет если подключать сотовый телефон, после того как на ПК будет установлен софт от производителя телефона (в нашем случае это телефон марки Nokia и Nokia PC Suite 7.1) позволяющий производить синхронизацию телефона с ПК, выполнять функции файлового менеджера, работать с телефонными контактами, использовать сотовый как точку выхода в интернет и много многое др.
После установки Nokia PC Suite, подключения телефон и выбора функции работы с PC Suite оказалось, что можно используя Nokia Phone Browser для доступа к памяти телефона и карты памяти. Обмен файлами между ПК и телефоном происходил удобно и безболезненно.
Отношение ко всему произошедшему было довольно спокойным, т.к. было известно, что в настройках была включена только функция контроля USB-устройств хранения данных. Затем были изменены настройки и включен контроль USB-устройств связи (модемы, телефоны итп). Перезагрузка, для того чтобы новые настройки точно вступили в силу.
Подключаем телефон. Работаем с удовольствием, т.е. переписываем файлы с ПК на телефон.
После этого в настройках ставим галки на против всего что возможно могло бы разрешить обмен информацией через USB.
Осталось без контроля следующее:
1. USB-принтеры.
2. Устройства IEEE 1394 (Firewire)
3. Модемы
4. Устройства PCMCIA
5. Устройства COM и LPT.
6. Стримеры
7. Устройства 1284 Dot4
8. Принтеры 1284 Dot4
9. Устройства вывода
Перезагрузка.
Подключаем телефон. Производим обмен информацией.
Вот такой эксперимент. Возможно, будет кому-то интересен.
Понятно, что без прав администратора, не поставишь что-либо на рабочий компьютер (пример: Nokia PC Suite), но остается волнующий вопрос. Есть ПК, где требуются права локального администратора (есть опред софт, и он не будет работать без прав), как быть с такими машинами? Опечатывать порты? Или все таки как-то можно настроить KAV 6 MP4 и запретить уже использование софта для мобильных телефонов?
Проблема в том, что раз у пользователя есть права администратора, то при желании он сможет отключить программную защиту.
В качестве незаметно устанавливаемого средства защиты можно попробовать Ariad. Плюсы - на компьютере можно оставить только драйвер без всяких значков на панели задач, сообщения об ошибках доступа к запрещённому файлу стандартные Windows-ные. Минусы - этот драйвер тоже можно отключить, а сам он в стадии бета-версии, что чревато последствиями.
Тут уже нужен софт типа Zlock
Left home for a few days and look what happens...
Или DeviceLock
Ваши права в разделе
Ответить с цитированием
