sia_kiev Опубликовано 22 февраля, 2013 Поделиться Опубликовано 22 февраля, 2013 Представим, что клиент совсем ничего не понимает, что делает за ПК. И привык нажимать "Да" на все запросы. Необходимо создать файл настройки для быстрого применения после установки на большое количество ПК. И так, чтоб пользователь как можно меньше жаловался на "вооброжаемые" проблемы. Все ПК из "коробки". 1. "Мониторинг активности" выставить на запрет, автооткат и завершение вредоноса. 2 "Файловый антивирус" на "лечение"=>"удаление если невозможно лечить" 3. Откл "проверка во время простоя", "поиск руткитов". 4. Вкл "антибаннер" 5. Вкл "Игровой профиль" 6. "Безопасный ввод данных" на всех ресурсах. 7. "Безопасные платежи" вкл. Что можно сделать с "Контроль программ" так, чтоб лишнего не "рубить" и пользователь не участвовал? Необходимо ваше мнение насчетвыше написанного. Спасибо. Сообщение от модератора Mark D. Pearlstone Заголовок темы отредактирован. Ссылка на комментарий Поделиться на другие сайты Поделиться
mike 1 Опубликовано 22 февраля, 2013 Поделиться Опубликовано 22 февраля, 2013 Пункт 2 может убить систему в случае если у пользователя будет файловый вирус. Ведь если антивирус не сможет пролечить системные файлы он их тупо начнет удалять. Как следствие после перезагрузки компьютера система не запуститься. Ссылка на комментарий Поделиться на другие сайты Поделиться
Денис-НН Опубликовано 22 февраля, 2013 Поделиться Опубликовано 22 февраля, 2013 (изменено) Настойка KIS 2013,- вещь полезная. Принимать ежедневно! 1 и 2 - оставить по умолчанию. 3 проверку во время простоя можно и отключить - а вот поиск руткитов - нет. Это важная вещь. 4 - дело вкуса. Я вот трафик не экономлю, антибаннер выключен. 5 да 6, 7 возможно. Пользователь пират - тогда ничего. Если весь софт лицензионный то можно просто запретить запуск всего кроме доверенных. Можно запретить доступ для всех ограниченных к папкам с документами. Изменено 22 февраля, 2013 пользователем Денис-НН Ссылка на комментарий Поделиться на другие сайты Поделиться
sia_kiev Опубликовано 22 февраля, 2013 Автор Поделиться Опубликовано 22 февраля, 2013 (изменено) Пункт 2 может убить систему в случае если у пользователя будет файловый вирус. Ведь если антивирус не сможет пролечить системные файлы он их тупо начнет удалять. Как следствие после перезагрузки компьютера система не запуститься. Сделал. Денис-НН Насчет Мониторинга активности: ведь хотелось бы все-таки уменьшить количество вопросов пользователю. Пользователи начали приходить с винлоком на машинах с КИС 2013, который лежал в папке "appdata/temp/1jfuweif.exe" и судя по всему при вопросе к пользователю нажималось "разрешить". Сотрудники, которые чистили компьютеры говорили, что достаточно его удалить и все работает. И сам файл почему-то не детектился касперским, вебом и есетом. Прям мистический винлок.. попросил, чтоб в следующий раз файлик приберегли для вирлаба. Еще пару пунктов: 1. Уступать ресурсы другим программам 2. Уступать ресурсы операционной системе при загрузке компьютера. И смогу ли я использовать файл-конфиг КИС 2013 для КАВ2013? Изменено 22 февраля, 2013 пользователем sia_kiev Ссылка на комментарий Поделиться на другие сайты Поделиться
mike 1 Опубликовано 22 февраля, 2013 Поделиться Опубликовано 22 февраля, 2013 Еще пару пунктов:1. Уступать ресурсы другим программам 2. Уступать ресурсы операционной системе при загрузке компьютера. И смогу ли я использовать файл-конфиг КИС 2013 для КАВ2013? По идее эти галочки снижают нагрузку на компьютер, но в тоже время из-за этих галочек долго грузиться сервисная часть KIS 2013 т.е. загружается антивирус с задержкой небольшой и в это время мне удавалось скачать тестовый вирус Eicar тем самым я заражал систему им. Если эти галочки снять сервисная часть продукта стартует немного быстрей, но при этом увеличивается немного нагрузка на сам компьютер. По поводу Winlock можно добавить безсигнатурную защиту, но это увеличит количество запросов к пользователю в интерактивном режиме и может блокировать некоторые программы в автоматическом режиме. Не сможете так как это разные продукты. Ссылка на комментарий Поделиться на другие сайты Поделиться
sia_kiev Опубликовано 22 февраля, 2013 Автор Поделиться Опубликовано 22 февраля, 2013 В общем получилось вот что: 1. "Файловый антивирус" - по умолчанию 2. "Веб-антивирус" - запрещать загрузку 3. "Контроль программ" - по умолчанию 4. "Мониторинг активности" - Эксплойты (запрещать действие), BSS (завершать работу программы), Выполнять откат. 5. "Антибаннер" - вкл (чтоб меньше дряни лезло) 6. "Безопасные платежи" -вкл 7. "Безопасный ввод данных" - вкл, кроме почты и соц сети. 8. Проверка во время простоя и руткиты - вкл 9. Уступать ресурсы при запуске - выкл, другим программам - вкл. 10. Игровой профиль - вкл Ссылка на комментарий Поделиться на другие сайты Поделиться
mike 1 Опубликовано 22 февраля, 2013 Поделиться Опубликовано 22 февраля, 2013 Веб антивирусе я бы выбрал "Запрос действия" потому что иногда бывают ложные срабатывания антивируса на сайты. Как результат пользователь не сможет зайти на нужный ему сайт. Также можно включить опцию "Блокировать опасные веб сайты" в веб антивирусе. По умолчанию она отключена. Ссылка на комментарий Поделиться на другие сайты Поделиться
CatalystX Опубликовано 22 февраля, 2013 Поделиться Опубликовано 22 февраля, 2013 Cам файл почему-то не детектился касперским, вебом и есетом. Прям мистический винлок.. попросил, чтоб в следующий раз файлик приберегли для вирлаба. Никакой мистики. Файлик блокера был закриптован, вот его из-за этого и не видел его каспер, док и нод. Ссылка на комментарий Поделиться на другие сайты Поделиться
sia_kiev Опубликовано 22 февраля, 2013 Автор Поделиться Опубликовано 22 февраля, 2013 Веб антивирусе я бы выбрал "Запрос действия" потому что иногда бывают ложные срабатывания антивируса на сайты. Как результат пользователь не сможет зайти на нужный ему сайт. Тут я понадеюсь на низкий фолс-детект продуктов ЛК. Никакой мистики. Файлик блокера был закриптован, вот его из-за этого и не видел его каспер, док и нод. То есть даже мониторинг активности здесь не помог бы? Или все-таки последний шаг сделал пользователь разрешив выполнить вредоносный код? Ссылка на комментарий Поделиться на другие сайты Поделиться
CatalystX Опубликовано 22 февраля, 2013 Поделиться Опубликовано 22 февраля, 2013 То есть даже мониторинг активности здесь не помог бы? Или все-таки последний шаг сделал пользователь разрешив выполнить вредоносный код? Если в кис был включен авто.режим, то мониторинг активности сам завершает вредоносные процессы. Мониторинг работает по поведенческим сигнатурам, но такую сигнатуру на каждое семейство не напишешь. Ссылка на комментарий Поделиться на другие сайты Поделиться
sia_kiev Опубликовано 22 февраля, 2013 Автор Поделиться Опубликовано 22 февраля, 2013 (изменено) Нашел вот такую ссылку: http://support.kaspersky.ru/viruses/solutions?qid=208641449 Есть смысл такое с КИС 2013 делать? И еще вопрос: винлок с которым столкнулись пользователи прописывался в HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run, в контроле программ КИС 2013 видно, что эта строчка защищена. Так каким же образом? Изменено 22 февраля, 2013 пользователем sia_kiev Ссылка на комментарий Поделиться на другие сайты Поделиться
CatalystX Опубликовано 22 февраля, 2013 Поделиться Опубликовано 22 февраля, 2013 И еще вопрос: винлок с которым столкнулись пользователи прописывался в HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run, в контроле программ КИС 2013 видно, что эта строчка защищена. Так каким же образом? Защищена - значит кис контролирует попытки записи в эту ветку. Для минимизации вопросов к юзеру можно сделать как на скрине: Группе сильные ограничения запрещено изменять, создавать и удалять критические ключи реестра и системные файлы, также запрещен доступ к MBR/VBR и внедрение в ядро системы(на х32 системах). Практически полная защита от блокеров. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maratka Опубликовано 22 февраля, 2013 Поделиться Опубликовано 22 февраля, 2013 CatalystX, окошко настроек сверните плиз По теме: Глючить все и всех будет жуть. Ссылка на комментарий Поделиться на другие сайты Поделиться
Денис-НН Опубликовано 23 февраля, 2013 Поделиться Опубликовано 23 февраля, 2013 Группе сильные ограничения запрещено изменять, создавать и удалять критические ключи реестра и системные файлы, также запрещен доступ к MBR/VBR и внедрение в ядро системы(на х32 системах). Практически полная защита от блокеров. Проще запретить запуск. Ссылка на комментарий Поделиться на другие сайты Поделиться
sia_kiev Опубликовано 23 февраля, 2013 Автор Поделиться Опубликовано 23 февраля, 2013 (изменено) Вот еще вопрос цикличности действий: выставлено пользователем в мон.активности завершать работу вредоноса и попадается то, чего нет в сигнатурах, но из-за поведения детектится и блокируется. Не получится ли так, что зловред будет себя запускать после каждой блокировки КИСом? Или он помещается после первой блокировки в группу сильные ограничения и лежит пока не появится сигнатура, чтоб умереть? Maratka, От шаманства с контролем программ я решил отказаться почитав на оф форуме ЛК. Изменено 23 февраля, 2013 пользователем sia_kiev Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти