Вход | Регистрация


Информационные технологии :: Администрирование

Настройка Kaspersky Endpoint 10 и защита от шифрования

Настройка Kaspersky Endpoint 10 и защита от шифрования
Я
   Silence63
 
11.11.16 - 20:55
Доброго времени суток.
нашёл такие настройки на сайте каспера. Что скажете? кто пробовал? работает нет?
Пункт "локальная настройка"
https://support.kaspersky.ru/10905#block1
 
 
   DGorgoN
 
1 - 11.11.16 - 22:14
(0) Эх, была у меня в своё время подборка вирусов но пропала, удалил случайно.
   Lama12
 
2 - 11.11.16 - 22:33
(0) От шифрования антивирусами защититься невозможно. Поведенческий анализатор может остановить  шифровальщик после того, как он зашифрует 3-5 файлов. Это в лучшем случае. Лучше бэкапы делать.
   Сержант 1С
 
3 - 11.11.16 - 23:43
(0) "Перед установкой патчей для продуктов Лаборатории Касперского необходимо временно вернуть первоначальные настройки"

перед каждой обновой менять назад и потом заново? Они издеваются?
   Silence63
 
4 - 12.11.16 - 10:35
(2) Не антивирус, в антивирусе модуль-контроль активности программ. В настройках можно указать- не давать изменять заданные нами типы файлов, (например .doc, .docx и т.д.) недоверенным программам, а давать изменять только подписанным и доверенным.
Программа шифровальщик врятли попадёт в список доверенных и подписанных, хотя может и шифровальщики умнее стали.
   Silence63
 
5 - 12.11.16 - 10:37
От шифровальщиков защититься можно только отдельным компом под почту, который не жалко грохнуть если что.
Потому как, если  раньше шифровальщики присылали архивы или ссылки, то сейчас уже присылают обычные файлы office (якобы), было такое, открываем файл doc, он мутный, и сообщение, для открытия файла щёлкните 2 раза. Естественно юзер щёлкнет, файл то вордовский.
   mistеr
 
6 - 12.11.16 - 12:21
(2) 3-5 файлов это лучше, чем все.
   NorthWind
 
7 - 12.11.16 - 12:52
(5) да ладно, все можно сделать и довольно просто. Для пользователя обычно критична потеря файлов данных (doc, xls и т.д.) и баз данных (1сd, mdb, ace и т.д.). Значит, на самом деле для защиты от шифровальщиков достаточно жестко указать в системе, что определенные типы файлов обрабатываются на модификацию и удаление не всеми, а только определенными программами. Среди таких программ обязательно файл-менеджер (explorer, FAR, Total Commander по вкусу) и непосредственно программа которая с этими файлами работает (скажем MS Office для doc, xls). Все прочие при попытке модификации или удаления получают отлуп (или запрос на повышение прав). Вот и вся защита.
   NorthWind
 
8 - 12.11.16 - 12:55
в этом случае скрипт, пришедший на почту, и начавший шифровать файлы - в худшем случае насорит этими шифрованными файлами. А в лучшем - в нем начнут происходить массовые ошибки при попытках открытия файлов на запись.
   mistеr
 
9 - 12.11.16 - 13:23
(8) Или выйдет шифровальщик чуть поумнее и внедрится в процесс Explorer.
   NorthWind
 
10 - 12.11.16 - 13:45
(9) Внедрение в процессы, по-моему, уже довольно давно ограничивается касперским...
 
 Рекламное место пустует
   Jump
 
11 - 12.11.16 - 14:17
(0) Да будет работать в принципе.
Только это настраивать надо.
Проще системными средствами ограничить.
   Jump
 
12 - 12.11.16 - 14:18
(9) Такие фокусы отсекаются активным антивирусом.
   Jump
 
13 - 12.11.16 - 14:20
(5) Банальный запрет на исполнение макросов в офисных файлах.
   Lama12
 
14 - 12.11.16 - 14:23
(7) Шифровальщик будут не сами шифровать, а при помощи разрешенных программ. Вот и все.
   Jump
 
15 - 12.11.16 - 14:34
(14) Каким образом? Для этого разрешенные программы должны уметь шифровать. Много ли таких?
   NorthWind
 
16 - 12.11.16 - 14:34
(14) технически сделать существенно сложнее, да и (10) и (12) никто не отменял.
   NorthWind
 
17 - 12.11.16 - 14:35
(15) только инъекция DLL с нужным кодом в процесс. Но это тоже довольно давно отсекается антивирями
   NorthWind
 
18 - 12.11.16 - 14:38
(15) ... хм... теоретически, конечно, возможен вариант, что, например, шифровальщик с помощью ворда, скажем, запаролит файлы doc.
   NorthWind
 
19 - 12.11.16 - 14:39
или с помощью 1С сменит все пароли всех пользователей, в том числе и административные
   Jump
 
20 - 12.11.16 - 14:44
(19) А что злоумышленником даст смена паролей?
Каким образом она им денег принесет?
   NorthWind
 
21 - 12.11.16 - 14:45
(20) выкуп за набор паролей.
   NorthWind
 
22 - 12.11.16 - 14:46
другое дело, что подобные административные функции могут не автоматизироваться вовсе (только пользователь и только ручками) или автоматизироваться с серьезными ограничениями. Тогда вероятность подобного близка к нулю.
   NorthWind
 
23 - 12.11.16 - 14:52
хотя в случае с 1С я, конечно, погорячился, там для любых подобных действий понадобится войти под администратором. Пароля администратора "шифровальщик" не знает. А вот ситуацию с документами вполне представить себе можно. Вполне реально и может быть сделано из-под пользователя.
   Jump
 
24 - 12.11.16 - 15:05
(21)Пароли восстановит любой приходящий админ за пять минут.
   NorthWind
 
25 - 12.11.16 - 15:15
(24) хорошо, когда это возможно сделать за 5 минут. А если нет? Не у всех программ пароли взламываются за 5 минут. Например, разрешения могут быть у архиватора, заархивировали файлы с серьёзным паролем и удалением исходных файлов. Сделаем за 5 минут?
   Jump
 
26 - 12.11.16 - 17:09
(25)Хм, ты вроде говорил про системные пароли в ОС.
Если по приложениям - как ты сможешь поменять пароли у того же winrar? Откуда там вообще пароли?
   NorthWind
 
27 - 12.11.16 - 17:41
(26) нет, я не про системные. Здесь была высказана мысль - что в сущности даже если запретить "нестандартным" программам трогать пользовательские файлы, остается гипотетическая возможность вынудить пользователя платить выкуп, используя стандартные, доступные из-под пользователя средства стандартных программ: архивирование с паролем, установка паролей на файлы Office и т.п.
   Silence63
 
28 - 12.11.16 - 19:00
Вот как раз касперский якобы и делает запрет на изменение всем, кроме "белых" программ.
А как ещё запретить изменять файлы офиса всем, кроме офиса?
   Silence63
 
29 - 12.11.16 - 19:04
Кстати однажды попалась мне зашифрованная база 1с 8.
Сменил расширение, прогнал тестом со всеми галками и всё ожило на 90%
   Torquader
 
30 - 12.11.16 - 23:35
От шифровальщиков гарантированно спасает работа пользователя без прав администратора и отслеживание изменений всех пользовательских файлов с сохранением предыдущих версий - тогда даже если что-то будет зашифровано - можно будет взять предыдущую версию.
Что касается отслеживания перезаписи на уровне приложений, то если бы в приложениях нельзя было бы использовать макросы - можно было бы не бояться, что из самого приложения нельзя запортить файл.
Опять же - разворачивание архива в директорию с перезаписью файлов и работа шифровальщика на машинном уровне неотличима - и там и там просто перезаписываются файлы в большом количестве.
   Silence63
 
31 - 13.11.16 - 10:42
(30) без прав админа шифровальщик не запустится?
отслеживание изменений всех пользовательских файлов с сохранением предыдущих версий это что такое?
Бэкап системы на сетевую папку?
   Silence63
 
32 - 13.11.16 - 10:43
по отслеживанию перезаписи на уровне приложений и макросы.... так разве сам office шифрует? шифрует сторонняя программа
   Спорт
 
33 - 13.11.16 - 11:14
От шифровальщика нужна проактивная защита, на Пикабу недавно обсуждали Defendset, мне понравилась https://www.youtube.com/watch?v=q55p32ceK7E
 
 
   NorthWind
 
34 - 13.11.16 - 12:04
(32) да для того чтобы нагадить, шифровать необязательно. Если вам надо архивировать, вы дадите архиватору права на файлы. Соответственно технически появится возможность стороннему приложению запустить архиватор для архивации с паролем и удалением исходных файлов - это достаточно базовый функционал любого архиватора.
А макросы в оффисе могут помочь поставить пароли на офисовские файлы. Я не знаю насколько оно там шифрует и насколько легко этот пароль взломать, но факт в том что это можно сделать. Причем под пользователем!
   NorthWind
 
35 - 13.11.16 - 12:07
после того как все будет закончено, можно показать баннер - все ваши документы под паролями. Пароли длинные, из букв, цифр и знаков, не менее 10 символов. Хотите список паролей? Пришлите денежку туда-то.
   Silence63
 
36 - 13.11.16 - 13:38
а если админские права убрать на винду спасёт это от запуска шифровальщиков?
   Web00001
 
37 - 13.11.16 - 14:09
Очень удобная штука ограниченный запуск программ.
1. Устанавливаем все, что нужно.
2. Запрещаем запуск всего, что не в программ файлес.
3. Забираем админские права.
4. Записаться в программ файлес нельзя, все что скачалось из интернета банально не сможет запуститься.
5. Профит. Не?
И да, нестандартные расширения у бекапов и шифровальщик проходит мимо них.
   Torquader
 
38 - 13.11.16 - 14:47
(37) Ещё нужно запретить PowerShell, Microsoft Scripting Host, Html Application, ну и COMMAND.COM и CMD.EXE
Вопрос только в том, как пользователь сможет поставить обновления 1С или заполнить какую-то форму в Hta.
(31) Достаточно на компьютере сделать папку, к которой у пользователя нет доступа, а для специального пользователя только доступ на запись (без перезаписи) и периодически сканировать изменения в директории с пользовательскими файлами - если что-то поменялось - добавляем к имени номер версии и копируем в обозначенную папку.
Спасает не только от шифровальщиков, но и от "баранов" - типа - я тут файлы перемещал, у меня мышь дрогнула и они куда-то делись.
   Jump
 
39 - 13.11.16 - 15:31
(37) Это самый  легкий и действенный вариант.
И все бы хорошо - но далеко не всегда реально отобрать у пользователя права.
Поэтому приходится изгалятся.
   Jump
 
40 - 13.11.16 - 15:32
(38)С обновлениями проблем нет - базы при обновлении прав не просят, а платформу можно поставить хитрым методом.
   Jump
 
41 - 13.11.16 - 15:37
(38) То что вы описали это некая разновидность бэкапа.
Проблема в том что такой алгоритм очень требователен к ресурсам.
Слабый комп пользователя и так еле шевилится под нагрузкой, а вы заставляете его делать двойную работу на каждой операции.
В итоге такую фишку либо запускать раз в день - но зачем если есть бэкап?
Либо не городить огород и включить теневое копирование - делает то же самое, только практически не тратя ресурсы.
   Jump
 
42 - 13.11.16 - 15:40
(36) Нет. Никак не повлияет.
Шифровальщик шифрует файлы пользователя - ему нужны права пользователя.
Права админа ему не обязательны.

Вот если запуск программ ограничить, тогда поможет, а просто отобрать права - нет.
   Jump
 
43 - 13.11.16 - 15:44
(34) Это все слишком сложно никто не будет этим заниматься.
Шифровальщик должен при запуске быстро зашифровать все указанные файлы пользователя и самоуничтожится.

1)Никто не будет писать шифровальщик который шифрует только архивы или только офисные документы.
2)Нормальный шифровальщик работает быстро - он одинаково быстро зашифрует файл размером 50кб и 50Гб, при этом практически не тратя системных ресурсов, если он будет шифровать файлы долго - его заметят и прибъют до того как он успеет нанести ущерб.
   Torquader
 
44 - 13.11.16 - 16:58
(43) Как показала практика - шифровальщики шифруют только первые несколько десятков байт любого файла - поэтому - получается быстро - также, если переписывается только кусок файла, то на диске не остаётся старой его версии - запись идёт в те же сектора.
Как показывает практика - скрытые папки в корне диска даже если к ним у пользователя есть доступ, не затрагиваются вообще. Нестандартные расширения - также, так как шифровальщик не может гарантировать сохранность файла, если в процессе шифрования в него будет сделана запись - офисные файлы от этого "застрахованы". Базы 1С, если они открыты в 1С - также не затрагиваются.
(41) А чем стандартная система контроля версий от Windows не устраивает - она же это умеет - по крайней мере, запоротые пользователем файлы восстанавливались на ура.
   Silence63
 
45 - 13.11.16 - 20:05
Короче нужно собирать сотрудников, заводить каждому папочку на NASе и под роспись что оповещён не парить себе голову))
   Silence63
 
46 - 13.11.16 - 20:06
папочку для юэкапов. Кому важно- будет бэкапить,кому плевать- претензии не принимаются уже
   Silence63
 
47 - 13.11.16 - 20:10
(37) а как запретить запуск всегочто не в PF? чёт я туплю
   Jump
 
48 - 14.11.16 - 04:08
(44) Ну там не первые десяток байт шифруются, как правило шифруются три небольшие области в начале, середине и конце файла.
С одной стороны быстро - с другой стороны гарантированно повреждает файл - структуру уже без дешифровки не восстановишь.

Стандартная система контроля версий в виндовс это как раз теневое копирование.
   Jump
 
49 - 14.11.16 - 04:09
(47) Политики.
 
 Рекламное место пустует
   Silence63
 
50 - 14.11.16 - 09:22
(49) а поподробней
   Silence63
 
51 - 14.11.16 - 09:23
а вот эта тема от касперского это ерунда? если ерунда то почему? что именно тут не так? https://support.kaspersky.ru/10905#block1
   mistеr
 
52 - 14.11.16 - 09:45
(44) Таких поделок уже давно нет, все поумнели.
   mistеr
 
53 - 14.11.16 - 09:46
(50) "Политики ограниченного использования программ" aka SRP
   Jump
 
54 - 14.11.16 - 16:05
   Jump
 
55 - 14.11.16 - 16:09
(51) Не ерунда.
По сути это та же самая настройка ограничения использования программ, просто реализованная не средствами системы, а сторонним приложением.

С одной стороны для кого-то настройка в касперском может показаться удобней - тут дело вкуса, с другой стороны это лишняя нагрузка на систему, реализация штатных функций сторонним софтом, дополнительная плата.
Что вам удобней использовать - решать вам.


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует