Показано с 1 по 9 из 9.

Защита от malware на Flash-накопителях

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Защита от malware на Flash-накопителях

    Проблема распространения вредоносных программ на Flash накопителях является головной болью как для пользователей, так и для системных администраторов. Некорые меры позволяют повысить защищенность (например, отключение автозапуска), однако остается нерешенной проблема файловых вирусов (которые могут заразить размещенные на флешке исполняемые файлы), и зловредов, которые имитируют папки своей иконкой, раскладывают свои копии под разными "привлекательными для пользователя" именами и т.п. Блокировка возможности использования Flash накопителей является крайней мерой и ее мы не рассматриваем.

    У данной проблемы существует эффективное и простое решение, применимое как в корпоративной среде, так и на домашнем ПК - оно состоит в использовании штатного для Windows механизма ограничения возможности запуска программ через политики безопасности.
    Для выполнения настройки необходимо зайти в "Панель управления", там "Администрирование", "Локальная политика безопасности" - откроется консоль "Локальная политика безопасности". Запустить данную консоль можно и из командной строки - %SystemRoot%\system32\secpol.msc /s

    В данной консоли есть группа "Политики ограниченного использования программ", содержащая две вложенные подгруппы - "Уровни безопасности" и "Дополнительные правила". При первой попытке входа в данную группу система может задать вопрос о том, что политики ограниченного запуска отсутствуют и предложить создать политики по умолчанию - в ответ на данный вопрос следует согласиться.

    Алгоритм настройки таков:
    1. Следует зайти в группу "Уровни безопасности" и убедиться в том, что там есть два уровня - "Не разрешено" и "Неограниченный". Причем на иконке уровня "Неограниченный" должна стоять птичка, показывающая, что данный уровень является уровнем по умолчнию и применяется всегда при условии, что не обнаружено правило, явно указывающее уровень безопасности

    2. Следует зайти в группу "Дополнительные правила". Эта группа содержит набор правил, причем по умолчанию создается ряд стандартных правил, которые те следует трогать. Для создания нового правила следует выполнить пункт меню "Действие\Создать правило для пути":
    Правило предполагает задание пути, выбор уровня безопасности и ввод текстового комментария (комментарий не обязателен и системой не обрабатывается). Показанное на картинке правило запрещает запуск исполняемых файлов с диска F:\. Для защиты от зловредов на флешках остается только создать такие правила для всех букв дисков, соответсвующих сменным дискам.

    Важно отметить,что:
    • правило может быть создано для любого пути, например "c:\uTorrent\Downloads";
    • создание запрещающего правила для системного диска в буквальном смысле убъет систему - поэтому для системных дисков и папок недопустимо создание запрещающих правил !!!
    3. После создания правил остается провести тестирование - подключить флешку, копировать на нее некий исполняемый файл для пробы и попробовать его запустить. Если все сделано правильно, то получим сообщение сообщение об ошибке и исполняемый файл не запустится.
    Информация о всех фактах блокировки вносится в системный журнал и может быть проанализирована:
    Важно отметить, что:
    • данная блокировка не мешает копированию файлов с флешки и на нее, и не блокирует открытие документов и картинов с флеш-накопителя (т.е. например при подключении флеш карточки от фотоаппарата пользователь сможет просматривать, копировать и удалять фотографии, но не сможет запустить ничего исполняемого - при этом не важно, ведется запуск вручную или является следствием автозапуска.
    • Так как подобная политика не мешает работе с документами и не требует установки дополнительного ПО, то она может применяться совместно с любым антивирусом, и не вызывает негатива у пользователей в корпоративной среде.
    • Для работы данной политики не требуются ресурсы - решение принимается на остнове анализа пути, поэтому замедление в работе ПК не возникнет
    Изображения Изображения
    Последний раз редактировалось Зайцев Олег; 16.03.2010 в 11:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    383
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Правило предполагает задание пути, выбор уровня безопасности и ввод текстового комментария (комментарий не обязателен и системой не обрабатывается). Показанное на картинке правило запрещает запуск исполняемых файлов с диска Z:\. Для защиты от зловредов на флешках остается только создать такие правила для всех букв, соовтетсвующих сменным дискам.
    правильно ли я поняла, это как бы частичная защита/ограничение - запрет запуска исполняемых файлов с флешки.
    но это не мешает скопировать этот же файл с флешки на компьютер и запустить уже с компьютера
    Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Юльча Посмотреть сообщение
    правильно ли я поняла, это как бы частичная защита/ограничение - запрет запуска исполняемых файлов с флешки.
    но это не мешает скопировать этот же файл с флешки на компьютер и запустить уже с компьютера
    Естественно, что если пользователь вручную скопирует файл куда-то к себе на диск, и вручную запустит - то файл будет запущен. Это и хорошо (так как позволяет принести на флешке исполняемый файл и запустить его), и плохо (файл может быть зловредом). Поэтому данная политика - это полезное дополнение к антивирусу, но никак не его замена.

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.07.2008
    Сообщений
    104
    Вес репутации
    150
    А есть такая возможность для хомяковых версий?

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.10.2008
    Сообщений
    79
    Вес репутации
    99
    политика прописана в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\(guid политики? или накопителя?)]

  7. #6
    Junior Member Репутация
    Регистрация
    08.11.2009
    Сообщений
    64
    Вес репутации
    53
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение

    данная блокировка не мешает копированию файлов с флешки и на нее, и не блокирует открытие документов и картинов с флеш-накопителя (т.е. например при подключении флеш карточки от фотоаппарата пользователь сможет просматривать, копировать и удалять фотографии, но не сможет запустить ничего исполняемого - при этом не важно, ведется запуск вручную или является следствием автозапуска.
    Можно добавить, что это при настройках по умолчанию.

    В политике существует возможность настраивать типы файлов, запрещенных для запуска/открытия.

  8. #7
    Junior Member Репутация
    Регистрация
    08.06.2008
    Адрес
    Камчатка
    Сообщений
    18
    Вес репутации
    58
    Просто замечательный совет!
    Но возник вопрос:
    Если у человека есть USB 3G модем (Билайн),то при вставке его в USB порт компьютера будет ли он запускаться и работать?
    (просто подумываю приобрести).

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от pps Посмотреть сообщение
    Просто замечательный совет!
    Но возник вопрос:
    Если у человека есть USB 3G модем (Билайн),то при вставке его в USB порт компьютера будет ли он запускаться и работать?
    (просто подумываю приобрести).
    На работе модема (равно как иной USB периферии) политика никак не скажется ... Но есть особенность - некоторые модемы содержат кроме собственно модема еще и втроенный USB накопитель небольшой емкости (аналог флешки или эмуляция USB CDROM) - при подключении модема система определяет такое дисковое устройство, на нем размещаются драйвера и управляющее ПО от модема. Вот на его запуск политика повлияет, выход из положения:
    1. Можно создать разрешающую политику конкретно для определенного исполняемого файла, необходимого модему (причем я показал простейший случай - политики можно создавать для хеша, т.е. проще говоря разрешить или запретить запуск вполне конкретного файла по его контрольной сумме)
    2. Скорее всего, спец. ПО от модема необходимо будет установить только один раз (для этого политику можно временно отключить)

  10. #9
    Junior Member Репутация
    Регистрация
    08.06.2008
    Адрес
    Камчатка
    Сообщений
    18
    Вес репутации
    58
    Олег,спасибо за ответ.
    У моего знакомого есть такой модем.
    При вставке его в USB порт запускается находящаяся на нем программа инициализации (такая надпись появляется на экране).Потом появляется окно для управления модемом (подключение,баланс и т.д.).
    На диске С создаются временные файлы,которые удаляются при извлечении модема.
    Никакое ПО на диск не устанавливается.

    Я думаю, что такому модему нужно просто присвоить постоянную букву диска (например Z) и не запрещать для этого диска автозапуск,а для других букв сменных дисков запретить.
    На мой взгляд это самый простой способ.

    Хотелось бы узнать Ваше мнение.

Похожие темы

  1. В твердотельных накопителях Intel найдена ошибка
    От Kuzz в разделе Новости аппаратного обеспечения
    Ответов: 1
    Последнее сообщение: 13.08.2009, 16:57
  2. Ответов: 10
    Последнее сообщение: 22.02.2009, 09:50
  3. Ответов: 4
    Последнее сообщение: 11.02.2009, 12:02

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01058 seconds with 18 queries