Перейти к содержанию

Борьба с Bat-вирусами.

parkito

Автор parkito
в Помощь по персональным продуктам

 Поделиться

Рекомендуемые сообщения

Ta2i4

Ta2i4

Опубликовано
Опубликовано

А если на учетку админа поставить пароль, а пользователю урезать права, сделав его обычным (не power user или с правами админа, а обычным) пользователем? Станет безопаснее.

parkito

parkito

Опубликовано
  • Автор
Опубликовано

Как в Касперском 6,0 заблокировать запуск cmd ? Или такое невозможно ?

пользователь

пользователь

Опубликовано
Опубликовано (изменено)
Как в Касперском 6,0 заблокировать запуск cmd ?

Никак. Корпоративный "касперский 6,0" - это антивирус, а не блокировщик.

Блокируйте запуск cmd.exe через групповые политики.

 

PS. Над темой ржал так, что сотрудники оглядывались.

Изменено пользователем пользователь
  • Согласен 1
EAlekseev

EAlekseev

Опубликовано
Опубликовано (изменено)
Никак. Корпоративный "касперский 6,0" - это антивирус, а не блокировщик.

А кстати, идея встроить блокировщик интересная. Такой функционал явно не помешал бы.

Есть какое-то приложение (например, Skype), не требующее админских прав для работы и инсталляции, работу которого нужно заблокировать в сети предприятия. Штатные правила запрета по пути и хэшу легко обойти. "Запретить всё, кроме явно разрешенного" для крупной компании с большим количеством разнообразного ПО сделать проблематично.

Если бы можно было средствами антивируса сгенирировать сигнатуру (типа вирусной) для нежелательной программы и через АдминКит распространять её на все компьютеры с остальными базами, то думаю многие спасибо сказали бы.

 

Ну а блокирование исполнения всех скриптов и пакетных файлов - это, конечно, бред. На них строится вся автоматизация.

 

P.S: Можно сказать, Касперский - антивирус, а не файервол, и не антибанер, и не спам-фильтр. А глядишь, функционал-то присутствует.

Изменено пользователем EAlekseev
пользователь

пользователь

Опубликовано
Опубликовано (изменено)
А кстати, идея встроить блокировщик интересная. Такой функционал явно не помешал бы.

Дублировать функционал заложенный в винде (пусть и не совсем, по вашему мнению, удобный) - неразумная затея.

 

Есть какое-то приложение (например, Skype), не требующее админских прав для работы и инсталляции, работу которого нужно заблокировать в сети предприятия. Штатные правила запрета по пути и хэшу легко обойти. "Запретить всё, кроме явно разрешенного" для крупной компании с большим количеством разнообразного ПО сделать проблематично.

ИМХО: вполне решабельно - было бы желание.

Я бы такую гпо вводил бы по отделам. Сегодня один, через неделю - другой, еще через неделю третий, пока отделы не кончатся :rolleyes:

 

Если бы можно было средствами антивируса сгенирировать сигнатуру (типа вирусной) для нежелательной программы и через АдминКит распространять её на все компьютеры с остальными базами, то думаю многие спасибо сказали бы.

Самому генерировать? :) Пользовательские сигнатуры? :o

Что за затея? Изменят "ползователи" байтик или принесут новую версию и сигнатура накрылась. Да и вообще, чем ваша сигнатура будет отличаться от правил хэша? Неужели вы действительно расчитваете, что даже если это предложение примут, то сможете делать настоящие сигнатуры?

А делать такие сигнатуры силами ЛК - это означает что нужно плотно заниматься не только вредоносными программами, но и легальными и делать это, скорее всего, придется вручную, так как научить робота классифицировать программы это, на мой взгляд, нереальная задача, а без классификации "невредоносные сигнатуры" будут бессмысленны. Да и вообще - никто не даст гарантию, что особо продвинутый "ползователь" не соберет дома свою, персональную миранду и не обойдет этим самым дурацкий запрет.

 

Ну а блокирование исполнения всех скриптов и пакетных файлов - это, конечно, бред. На них строится вся автоматизация.

Тут я согласен.

 

P.S: Можно сказать, Касперский - антивирус, а не файервол, и не антибанер, и не спам-фильтр. А глядишь, функционал-то присутствует.

Да, согласен, присутствует, ну и что? Антивирус много еще чего не умеет. Я, вот, хочу чтобы он кофе умел варить :)

 

PS. Могу рассказать одну занимательную и поучительную историю про админа, который в крошечной организации боролся с Civilization.

Изменено пользователем пользователь
EAlekseev

EAlekseev

Опубликовано
Опубликовано (изменено)
Дублировать функционал заложенный в винде (пусть и не совсем, по вашему мнению, удобный) - неразумная затея.

Файервол дублируют. А теперь, когда Microsoft выпустил Security Essentials, по-вашему, ЛК и вообще уже закрывать пора? :o

 

Самому генерировать? :) Пользовательские сигнатуры? :)

Что за затея? Изменят "ползователи" байтик или принесут новую версию и сигнатура накрылась. Да и вообще, чем ваша сигнатура будет отличаться от правил хэша? Неужели вы действительно расчитваете, что даже если это предложение примут, то сможете делать настоящие сигнатуры?

Ни самому пользователю, а специальной утилите. Я думаю большинство сигнатур в ЛК генериться автоматически без участия человека. Так что утилиты такие есть.

Остается их чуть доработать и приложить, например, к АдминКит-у. От правил хэша это будет отличаться тем, что если изменить хоть один бит в файле, его хэш тоже изменится. А сигнатура - описатель неких характерных черт файлов. Т.е. администратор собрал несколько различных версий "нежелательной" программы, скормил такой утилите, а она выделила их общие характерные особенности (сигнатуру). Получается сигнатуру сложнее обойти.

 

Антивирус много еще чего не умеет. Я, вот, хочу чтобы он кофе умел варить :rolleyes:

Вот и давайте писать наши пожелания. Тот же АдминКит практически только вчера научился контролировать состав установленных на компьютерах предприятия программ. Какое это имеет отношение к его непосредственным обязанностям? Так же как и его возможность кроме пакетов программ ЛК выполнять сторонии приложения. Мелочи, а приятно.

Изменено пользователем EAlekseev
Kapral

Kapral

Опубликовано
Опубликовано
Так же как и его возможность кроме пакетов программ ЛК выполнять сторонии приложения.
Тихо.... Святое, не трогать :rolleyes:
пользователь

пользователь

Опубликовано
Опубликовано
Файервол дублируют.

Не нужно придуриваться.

В XP, например, фаервол предназначен только для того, чтобы в первые минуты после установки не нахвататься вирусов.

 

А теперь, когда Microsoft выпустил Security Essentials, по-вашему, ЛК и вообще уже закрывать пора?

Когда Microsoft Security Essentials догонит KIS, тогда и продолжим эту тему.

 

Ни самому пользователю, а специальной утилите. Я думаю большинство сигнатур в ЛК генериться автоматически без участия человека. Так что утилиты такие есть.

Не поверите, но по моим сведениям, как делаются сигнатуры - это секретная информация. К ней далеко не каждый сотрудник имеет доступ. То есть, даже если такая утилита есть - в паблик ее не выложат. Ни к чему хацкерам знать, по каким признакам их софт ловят.

 

Тот же АдминКит практически только вчера научился контролировать состав установленных на компьютерах предприятия программ. Какое это имеет отношение к его непосредственным обязанностям? Так же как и его возможность кроме пакетов программ ЛК выполнять сторонии приложения. Мелочи, а приятно.

Делая пожелания вы еще не забывайте про сложность их реализации. Одно дело тупо просканировать реестр и выдать список установленного софта, или просто разрешить устанавливать сторонние приложения, другое дело - ваше пожелание.

parkito

parkito

Опубликовано
  • Автор
Опубликовано
А если на учетку админа поставить пароль, а пользователю урезать права, сделав его обычным (не power user или с правами админа, а обычным) пользователем? Станет безопаснее.

 

Станет то безопаснее, но проблему полностью не решит.

EAlekseev

EAlekseev

Опубликовано
Опубликовано
Делая пожелания вы еще не забывайте про сложность их реализации. Одно дело тупо просканировать реестр и выдать список установленного софта, или просто разрешить устанавливать сторонние приложения, другое дело - ваше пожелание.

В настоящее время антивирус - это уже не просто антивирус в классическом понимании этого слова, а комплексное средство обеспечения безопасности. Какая компания это первой осознает, та и будет лидировать на корпоративном рынке.

При условии автоматизированной установки исправлений на ОС и сопутствующие приложения, а также при ограниченных в правах пользователях, для IT-персонала компании в принципе не так и важно, какой антивирус будет установлен на большинстве компьютеров. Большое значение имеет удобство централизованного управления и дополнительные возможности по обеспечению безопасности.

Т.е., предположим, есть 1000 компьютеров, на 900 из них пользователи работают под ограниченным аккаунтом, а на 100 с административными правами (программисты).

Соответственно на 900 компьютеров можно установить недорогой малофункциональный антивирус уровня Microsoft Security Essentials, а на 100 остальных монстра (в хорошем смысле слова) типа G-Data или Касперского. А во многих компаниях ограничить в правах можно поголовно всех и при наличии своевременной устновки патчей на ОС и ПО смысла переплачивать за мощные антивирусы нет. Поэтому лидерам антивирусной индустрии нужно привлекать клиентов дополнительным функционалом.

 

P.S: Жду веселую историю про борьбу админов и геймеров.

пользователь

пользователь

Опубликовано
Опубликовано
В настоящее время антивирус - это уже не просто антивирус в классическом понимании этого слова, а комплексное средство обеспечения безопасности. Какая компания это первой осознает, та и будет лидировать на корпоративном рынке.

По моему мнению, чем проще корпоративный антивирус (а, следовательно, чем меньше в нем багов) - тем лучше. Я бы, например, предпочел бы чтобы в антивирус не только не добавляли новый функционал, а что бы из него вообще вырезали часть уже существующего - антибаннер, а главное - проактивную защиту и самозащиту. Те, кому эти компоненты нужны - будут покупать Kaspersky Small Office Security, а у остальных - что-то не нужно вообще, а что-то делается на серверах.

 

При условии автоматизированной установки исправлений на ОС и сопутствующие приложения, а также при ограниченных в правах пользователях, для IT-персонала компании в принципе не так и важно, какой антивирус будет установлен на большинстве компьютеров.

Согласен, поэтому и считаю, что проактивка с самозащитой в корпоративном каспере не нужны.

 

Большое значение имеет удобство централизованного управления и дополнительные возможности по обеспечению безопасности.

Угу. И как это согласуется с утверждениями ниже? Как будет выглядеть " удобство централизованного управления" Microsoft Security Essentials и одновременно касперским? :lol:

 

Т.е., предположим, есть 1000 компьютеров, на 900 из них пользователи работают под ограниченным аккаунтом, а на 100 с административными правами (программисты).

Программисты тоже могут работать с двумя учетками. У меня оба программера великолепно себя чувствуют при повседневной работе под бесправной учеткой. Когда им нужно - они с легкостью могут повысить свои привилегии до админских.

 

Поэтому лидерам антивирусной индустрии нужно привлекать клиентов дополнительным функционалом.

А я считаю, что дополнительный функционал в антивирусе не нужен и даже вреден. Я предпочту простой, быстрый, не требовательный к ресурсам и относительно дешевый и безглючный антивирус, монстру который может даже кофе варить. А те, кому нужен дополнительный функционал - пусть его покупают за дополнительные деньги, я например, не люблю платить за то, что мне не нужно. Или, в крайнем случае, пусть будет дополнительный бесплатный функционал (то есть - включенный в стоимость лицензии), но пусть он поставляется отдельными блоками/модулями. Сейчас на ПК ставится агент и антивирус, а будет ставиться агент, антивирус и дополнительная хрень немеряной толщины. Если кому хочется - пусть помучается.

 

P.S: Жду веселую историю про борьбу админов и геймеров.

1. В одну организацию принесли цивилизацию.

2. Работа мгновенно встала.

3. Все играли - от директора, до рядового сотрудника.

4. Через месяц директор очнулся, вызвал к себе кампутерщика и сказал, что ему (кампутерщику и только ему) играть - можно, но только в том случае, если кроме него никто играть больше не будет. Иначе - секирбашка.

5. Компутерщик прошелся по компам, удалил цивилизацию и вырвал с мясом cd и дисководы.

6. На следующий день - контора опять играла. У кого-то сохранился архив с гамой.

7. Компьютерщик опять прошелся по компам - искал гаму по именам файлов/папок.

8. На следующий день - контора опять играла. У кого-то сохранился архив с гамой заранее заныканый в папке windows и переименованый под системный файл.

9 Компьютерщик опять прошелся по компам - искал гаму по размеру архива.

10. На следующий день - контора опять играла. У кого-то сохранился многотомный архив глубоко закопаный в данных.

11 Компьютерщик опять прошелся по компам...

Короче, я не знаю, чем точно дело закончилось, но, скорее всего, закончилось административными мерами... Так как переустанавливать операционку на всех ПК разом и с ситом просеивать данные - было просто нереально.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • cringemachine
      Распространение bat-файла на рабочие станции
      Автор cringemachine
      Коллеги, добрый день.
       
      Есть bat-файл, который создает на сетевом диске директорию и в нее копирует (должен копировать) журнал Безопасность – нужны админские права. 
      Также, в качестве теста в него добавлена строка для копирования текстового файла (txt) в созданную директорию – не нужны админские права.
       
        mkdir \\192.168.0.5\temp\KasperskyEventLog\%computername%   copy %SystemRoot%\System32\Winevt\Logs\"Kaspersky Event Log.evtx" \\192.168.0.5\temp\KasperskyEventLog\%computername%\"Kaspersky Event Log.evtx"   copy C:\Users\testuser\Desktop\1.txt \\192.168.0.5\temp\KasperskyEventLog\%computername%\1.txt  
      При запуске скрипта локально с указанием админской УЗ скрипт отрабатывает корректно и оба файла (Журнал Безопасность и текстовый файл) копируются на сетевой диск.
       
      При распространении скрипта посредством KSC через задачу Удаленная установка программы копируется только текстовый файл, т.е. прав не хватает.
      Попробовал разные сценарии – С помощью Агента администрирования (с указанием админской УЗ), Средствами операционной системы с помощью Сервера администрирования (с указанием админской УЗ).
      Результат один – копируется только текстовый файл.
       
      Может быть кто-то владеет опытом распространения bat-файла для исполнения которого требуются админские прав.
    • Melor
      Помощь в борьбе с шифровальщиками-вымогателями
      Автор Melor
      Прошу помощи в дешифровке файлов.
      Desktop.rar Addition.txt FRST.txt
    • Aliaksei
      Помогите в борьбе с вымогателями шифровальщиками
      Автор Aliaksei
      Утром файлы стали не доступны, появился текставый документ предлагающий связатся и заплатить деньги для расшифровки данных. 
      Addition.txt FRST.txt j8mzhi9uZ.README.txt №02249 Октябрьский завод сухого и обезжиренного молока. .pdf №02249 Октябрьский завод сухого и обезжиренного молока. .pdf.rar №02250 Снов.pdf №02250 Снов.pdf.rar
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
×
×
  • Создать...