Инфобезопасность, как известно, считается по самому слабому звену. И если вы вваливаете и вваливаете (лишние) деньги в ИБ, считая, что на безопасности нельзя экономить - это совершенно не спасает вас от того самого слабого звена: возможность запустить любой(!) исполняемый файл в произвольном, не положенном для исполняемых файлов месте: папка "загрузки", temp, съемные носители, etc. А ведь технологии уже 25 лет - всего лишь настройка в Active directory - политика ограниченного использования программ. Отсутствие которой и привело к 99%, если не 100%, случаев заражений вирусами-шифровальщиками в мире и всем тем экономическим ущербам от них! Я еще понимаю личный комп физлица, который заразился вирусом - о таких вещах как групповые политики неспециалист знать не обязан. Но представим себе: компания с целым ИТ-отделом, возможно даже с раздутым штатом (я, к слову, могу вдвоем обслуживать офис на 200 юзеров - именно потому что есть понимание ИБ), эти люди получают достойную зарплату, но вот они просто - постеснялись/поленились/не додумались за всё свое время хождения на работу включить эту самую политику, просто включить, это бесплатно - и поймали шифровальщика. Удавшееся заражение объяснили тем, что антивирус не обнаружил вирус. А технологии было 20 лет! Занавес. Так выглядит практически каждый инцидент с вредоносным ПО в любой компании!

В чем суть и в чем абсолютность такой защиты от вирусов: мы можем запускать только те исполняемые файлы, которые находятся в специально предназначенных для них местах, куда без админских прав записать ничего нельзя. Для вредоносного ПО получается замкнутый круг. Даже изощренная атака через эксплуатацию уязвимостей в PDF и тому подобных файлах документов стандартно реализуется через загрузку вредоноса куда-то на диск и далее его запуск.

Итак, рассмотрим все особенности применения политики - "расслабленный" вариант в плане ограничений:

  • Обязательно внести в белый список папку C:\Program Files (x86) - по умолчанию ее там нет. Для запуска Autocad потребуется добавить ещё и C:\ProgramData

  • Внести пути для запуска приложений, размещенных у вас в локальной сети.

  • Изменить перечень "назначенных типов файлов" - удалить LNK и добавить JS, VBS

  • Выбрать применение политики "кроме локальных администраторов"

  • Поставить по умолчанию тип политики "запрещено".

Софт теперь ставим только в Program Files или в сетевую папку на сервере (из белого списка)

Такие настройки позволят в случае необходимости обойти политику, сделав запуск "от имени администратора"

Теперь о том, как воспользоваться защитой на ПК не в домене и даже с домашней версией Windows. Политики хранятся в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies. Проверено на Windows 7-10, возможно сработает и на XP. Представим себе: рабочий ноутбук, система уже стоит из магазина, надо его защитить:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers]
"authenticodeenabled"=dword:00000000
"DefaultLevel"=dword:00000000
"TransparentEnabled"=dword:00000002
"PolicyScope"=dword:00000001
"ExecutableTypes"=hex(7):57,00,53,00,43,00,00,00,56,00,42,00,53,00,00,00,56,00,
42,00,00,00,55,00,52,00,4c,00,00,00,53,00,48,00,53,00,00,00,53,00,43,00,52,
00,00,00,50,00,49,00,46,00,00,00,50,00,43,00,44,00,00,00,4f,00,43,00,58,00,
00,00,4d,00,53,00,54,00,00,00,4d,00,53,00,50,00,00,00,4d,00,53,00,49,00,00,
00,4d,00,53,00,43,00,00,00,4d,00,44,00,45,00,00,00,4d,00,44,00,42,00,00,00,
4a,00,53,00,00,00,49,00,53,00,50,00,00,00,49,00,4e,00,53,00,00,00,49,00,4e,
00,46,00,00,00,48,00,54,00,41,00,00,00,45,00,58,00,45,00,00,00,43,00,52,00,
54,00,00,00,43,00,50,00,4c,00,00,00,43,00,4f,00,4d,00,00,00,43,00,4d,00,44,
00,00,00,42,00,41,00,54,00,00,00,42,00,41,00,53,00,00,00,41,00,44,00,50,00,
00,00,41,00,44,00,45,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths{191cd7fa-f240-4a17-8986-94d480a6c8ca}]
"LastModified"=hex(b):c9,ae,97,63,18,84,d9,01
"Description"=""
"SaferFlags"=dword:00000000
"ItemData"="C:\\Windows"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths{cea59734-a2f8-487b-ab8a-6267ccd87c31}]
"LastModified"=hex(b):a7,84,29,77,18,84,d9,01
"Description"=""
"SaferFlags"=dword:00000000
"ItemData"="C:\\Program Files"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths{d2c34ab2-529a-46b2-b293-fc853fce72ea}]
"LastModified"=hex(b):c9,ae,97,63,18,84,d9,01
"Description"=""
"SaferFlags"=dword:00000000
"ItemData"="C:\\Program Files (x86)"

Идём дальше. А что же у нас на Linux? А там просто совершенно не пуганная из-за отсутствия вирусов публика. Съемные носители и вообще любые новые ФС не-nix формата - монтируются прямо с включенным исполняемым атрибутом! И детская болезнь винды с предложением что-то автозапустить при вставлении флэшки. А ведь можно под пользовательскими правами запустить нечто и оно зашифрует всё, до чего можно дотянуться с правами на запись в сети! И чтобы размножаться, вирусу не обязательны root-права! Вангую массовое появление вирусов-шифровальщиков под Linux, особенно из-за геополитики - импортозамещения России Linux-ом и желания на Западе нанести ущерб перешедшей на Linux критической инфраструктуре, при этом может достаться всем - и частникам, и мелкому бизнесу, и в любой стране мира. Поэтому готовиться надо уже заранее! В Debian-based системах есть Apparmor, в RedHat-based есть seLinux. В комментах жду решения как убрать исполняемый атрибут для новопримонтированных файловых систем.

Комментарии (42)


  1. Lazhu
    02.08.2024 12:11

    не положенном для исполняемых файлов месте: папка "загрузки", temp, съемные носители, etc

    С недоступным для исполнения temp будет невозможно запустить DISM или установить софт, установщик которого распаковывается в temp и запускается оттуда.


    1. singerfox
      02.08.2024 12:11
      +1

      А для этого стоит исключение для администраторов. Т.е. при запуске от админа эти ограничения не действуют.


  1. xi-tauw
    02.08.2024 12:11
    +1

    А потом вы посмотрите на права в куче папок и узнаете, что внутри C:\Windows есть такие места куда пользователь без прав может что-то положить и выполнить, а если еще поковыряться, то даже можно найти места которые в которые можно писать и исполнять, но нельзя читать.

    Пока не успели взгрустнуть читаете о lolbin'ах. Вот тут унываете совсем.

    А потом еще узнаете про веселые особенности, типа альтернативных файловых потоков и просто забиваете на все попытки ограничить пользователей. Поскольку реальной проблемы запреты не решают.


    1. noldo32 Автор
      02.08.2024 12:11
      +2

      Именно из-за такого подхода - "забить на попытки ограничить" - и были все те нашумевшие случаи с шифровальщиками-вымогателями. Вирус запускался не из особых мест или альтернативных потоков, а был просто распакован из архива в письме и запущен тупо из temp! Делаем выводы.


    1. Mur81
      02.08.2024 12:11
      +1

      Следуя такой логике можно вообще ничего не делать (накрыться простынёй и ползти на кладбище). SRP и AppLocker - один из рубежей обороны, при том достаточно эффективный.


      1. xi-tauw
        02.08.2024 12:11

        Чем больше тех, кто ставит защитой SRP, AppLocker или WDAC, тем проще мне работать на пентестах, спасибо вам.


        1. Mur81
          02.08.2024 12:11

          Напишите статью - поделитесь знаниями чем SRP/AppLocker помогают Вам в пентестах. Я имею в виду почему с ними становится хуже чем без них. Все только спасибо скажут. Кто был не прав - сделают выводы (возможно я ошибаюсь?).


          1. xi-tauw
            02.08.2024 12:11
            +1

            Вы переоцениваете смысл такой статьи.

            Вся суть, так сказать
            Вся суть, так сказать

            На аргумент вида "но выглядит же закрыто/безопасно" мне сказать нечего. Но и как "открыть" такую дверь вопросов тоже не вызывает.


            1. Mur81
              02.08.2024 12:11

              Нет, это выглядит так: "У этой технологии есть недостатки, поэтому использовать её не надо/бесполезно". При этом не существует ни одной технологии, которая даёт абсолютную безопасность. В т.ч. тогда бы не нужны были пентестеры - просто делай так-то и ты в абсолютной безопасности.

              Данная технология может и должна использоваться в комплексе с другими.


            1. ABRogov
              02.08.2024 12:11

              Ну вроде не хуже, чем вообще без, даже по картинке. Уже случайная мышка, птичка или даже кошка не зайдет. Или что вы хотели сказать?


  1. Re1ter
    02.08.2024 12:11

    Sysinternals GPdisable или тот же GPCul8or обходят эти ограничения ещё со времён той самой Windows XP


    1. noldo32 Автор
      02.08.2024 12:11

      Чтобы запустить что-то обходящее ограничения ГП, нужно запустить исполняемый файл вне положенных мест. Замкнутый круг. Разорвать который можно только документом с эксплойтом.


      1. Re1ter
        02.08.2024 12:11

        Советую ознакомиться с принципом работы, не требуется ни эксплоит ни запуск вне положенного места.


        1. noldo32 Автор
          02.08.2024 12:11

          Принцип работы: Gpdisable.exe c:\windows\explorer.exe
          Как я запущу Gpdisable.exe, если ГП запрещает мне его запустить в том месте, куда я его имею возможность сохранить? И потом, речь идет не о хитром сотруднике с хакерскими наклонностями, а о вирусе, который должен быть сначала запущен, прежде чем предпринимать какие-то хитрые действия по обходу ГП.


          1. Re1ter
            02.08.2024 12:11

            Принцип работы - инжектирование dll. То, что вы описываете - просто надстройка для домохозяек. Реальный пример использования:

            1. Переименовываем gpdisable.dll в ehTrace.dll

            2. Создаем папку с именем anything.{2E095DD0-AF56-47E4-A099-EAC038DECC24}

            3. Кидаем ehTrace.dll в только что созданную папку

            4. Заходим в папку и создаем там любой документ в Word, Excel или, к примеру, PDF’ку

            5. Открываем только что созданный файл

            6. Соответствующая программа должна запуститься и запустить вместе с собой подгруженную DLL

            Никакие запускаемые файлы в этом методе не используются. И это лишь один из множества аналогичных способов.


            1. noldo32 Автор
              02.08.2024 12:11

              Не работает. Проверено на word, wordpad, pdf + Adobe reader под Win7 32bit, запускаю даже проги из окна открытия файла - результат один: "заблокировано администратором". Как можно еще помочь вирусам запуститься? Кстати про инжектирование dll - а я еще дополнительно поставлю в окне "применение" - "для всех файлов" (включая DLL) Всё, тупик?


  1. kenomimi
    02.08.2024 12:11
    +2

    Кучу софта ставится в профиль пользователя - да что греха таить, сам такой пишу. Потому что подобный подход резко сокращает время на деплой релиза: переустановка с правами админа это долго, бюрократично и так далее, особенно когда клиентов много разношерстных - когда как автообновление в папке пользователя происходит вообще незаметно. Вирусописатели про эту фичу знают, потому вирусы устанавливают себя туда же, в профиль... Тут и сказочке конец, закрыть папки профиля на исполнение нельзя, сломается куча софта.

    Плюс большинство шифровальщиков вообще не закрепляются в системе - они стартанули через уязвимость сразу из оперативки, причем в контексте процесса-донора, отработали, исчезли. Им не нужно привлекать к себе внимание.


    1. Mur81
      02.08.2024 12:11
      +1

      Вот за такое руки отрывать надо (извините - ничего личного). Т.е. вы прекрасно понимая, что делаете не правильно все равно продолжаете это делать т.к. это "резко сокращает время на деплой релиза", "бюрократично и так далее". Вставляя палки в колёса сисадминов, которые внедряют SRP/AppLocker, прекрасно при этом понимая, что вирусописатели этим пользуются.

      Я еще могу понять если софт пишется для домашнего сегмента. Но если это софт для корпов, то это крайне печально. Например тот же Chrome имеет "домашний" инсталлятор, который ставит его в профиль и "корпоративный" в виде .msi, который ставит по всем правилам в %ProgramFiles%.

      В список грехов можно добавить:

      Складывание кэша и прочих временных файлов в %APPDATA% (ломает концепцию перемещаемых профилей).

      Использование захардкоженных путей вместо переменных окружения.


      1. kenomimi
        02.08.2024 12:11

        Пример. 240+ клиентов. У кого-то есть средства администрирования, у кого-то админы бегают ручками ставят на тысячи компов (условно), у кого-то админский доступ надо заказывать за месяц у СБ... Выпускаешь релиз и ад у поддержки начался - "ой а у нас нет обещаной кнопочки" - "вы обновились?" - "а мы не можем, согласовывать установку месяц... Но кнопочка нужна, я пошел эскалировать вопрос вашему гене, делайте как хотите без админа..." Дальше вой, рыдания, скандал, ругань, злые отзывы, 9000 звонков на поддержку, задалбывание руководства этими заказчиками.

        Магазина приложений на виндах нет - то, что есть, убогое, и в корпоративной среде сразу вырезается. Иного канала распространения софта нет - скачивай по ссылке инсталлятор и от админа переустанавливай, каждый апдейт, а они частые. Либо заводи сервис, который всегда работает от системной учетки и мониторит обновы, но на это многие СБ высказывают свое недовольство. У трех четвертей заказчиков нет системы массового деплоя софта (или доступ зарегулирован бюрократией так, что формально есть, фактически нет), всё ручками - это данность, с которой надо уметь жить.

        Именно потому всякие дискорды и прочие часто обновляемые приложения встают в профиль - иных вариантов доставить частые обновы и не достать пользователя, нет.


        1. Mur81
          02.08.2024 12:11

          Почему Вы так делаете я прекрасно понимаю, тут мне объяснять не надо. А знаете почему так всё происходит? Потому что им тоже так удобнее - удобнее отобрать права админа и не иметь при этом средств администрирования, удобнее не иметь дежурного админа который всегда на связи, удобнее иметь безопасников-самодуров и много что еще удобнее. Неудобно потом выкуп за файлы платить только.

          Дело в том, что сисадмин и разработчик софта (софта для бизнеса если точнее) работают не для того что бы было как им удобнее, а для того что бы бизнес эффективно работал и зарабатывал деньги. В том числе деньги на их зарплату. Эффективность это в том числе наименьшая уязвимость к всевозможным атакам. Есть правила написания софта под определённую ОС и практики её администрирования. Если бы все придерживались их, то и проблем бы не было.

          Вы мне поделились своей болью со стороны разработчика, а я Вам со стороны админа, который потом это обслуживает.

          Но однако я привёл в пример Chrome, который эту проблему решил достаточно изящно. И это не единственное ПО, которое пользуется таким подходом (два разных инсталлятора). Подумайте над этим, прошу как админ.

          PS Впрочем такой софт на самом деле не ломает под ноль использование SRP/Applocker. Там можно настраивать довольно гибкие исключения, в т.ч. по сертификату подписи и хэшу исполняемого файла. Определённые неудобства вызывает, но не критично.


          1. ABRogov
            02.08.2024 12:11
            +1

            Я так понял, что вашему оппоненту заказчик прямо говорит: "хочу что бы устанавливалось в папку юзера". Ну тут хозяин - барин, кто программу кормит, тот и платит вымогателям.


        1. noldo32 Автор
          02.08.2024 12:11

          Занимаетесь выпуском частых обновлений = занимаетесь ИБД


          1. kenomimi
            02.08.2024 12:11

            Предлагаю сказать так заказчикам, которые просят эти обновы :)

            Никто от себя фичи не пилит - это не всем известный банк, где в приложении сторисы, видосы, и прочий мусор. Здесь все фичи - реквесты со стороны клиента.


            1. noldo32 Автор
              02.08.2024 12:11

              Во всей остальной жизни - выпускают обновления ради обновлений, сами растрачивают деньги на ораву программистов выпуск новых версий как из пулемета, пользователей мучают, навязывая им новые версии. Даже когда новых фич по сути не добавляется, даже когда продукт бесплатный - браузеры, линуксы, месснджеры. Зачем тратить больше на пулеметный CI/CD конвейер, когда можно тратить меньше? Но с маниакальным рвением - тратят!


    1. noldo32 Автор
      02.08.2024 12:11

      У меня нет и не предвидится той кучи софта, что ставится в профиль пользователя. Но на такой особый случай - в статье как раз был пункт про добавление в белый список запускаемого из сетевой шары софта. Да, проблема решается именно так: на сервере установлено и обновляется когда надо, а папка хардлинком смотрит в шару. Автообновления вообще зло, каждое поделие лезет обновляться, замедляет работу. Вычищаю скриптом все автозагрузки во всей сети - и порядок!

      Плюс большинство шифровальщиков вообще не закрепляются в системе - они стартанули через уязвимость сразу из оперативки, причем в контексте процесса-донора, отработали, исчезли. Им не нужно привлекать к себе внимание.

      А как же заблокировать экран надписью с вымогательством денег? Иначе смысл было шифровать? Большинству шифровальщиков как раз таки нужно закрепляться в системе и привлекать к себе внимание, требуя выкуп.


      1. strvv
        02.08.2024 12:11

        А они двухэтажные, "невидимая" часть, что закрепляется и исполняется в системе, реализует шифрование данных и размножение при зашифрованых данных файла-stub-а (костыля), который только сообщает требования, и при себе ничего уже не содержит. Причём его взять в виде типовых стабов - "данный файл не работает в данной системе" :) ...

        Таким образом можно скрыть все следы и оставить необходимые контактные данные.


  1. alexq234
    02.08.2024 12:11

    В комментах жду решения как убрать исполняемый атрибут для новопримонтированных файловых систем.

    Нет необходимости трогать атрибуты. Достаточно монтировать с опцией noexec. См. конфиги udisks2, если дистрибутив на базе debian.


    1. noldo32 Автор
      02.08.2024 12:11

      Смотрел, не влияет на exec bit при автомонтировании новой ФС. Есть пример конфига, который успешно отключил установку exec bit?


      1. strvv
        02.08.2024 12:11

        Просто атрибут монтирования noexec не даёт прямо запускаться, т.е. файлы нужно запустить или с другого места или с другими танцами и плясками, погрузкой модулями. Но это также перекрывается LSM модулями, сиречь SeLinux, AppArmor, RSBAC и прочими, уже ушедшими в историю.


  1. leon_shtuet
    02.08.2024 12:11
    +1

    А там просто совершенно не пуганная из-за отсутствия вирусов публика.

    Оставлю это здесь.

    Скачал вирусов себе на линух.
    Распаковал. Поставил под root. Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin на которую у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.

    Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.

    Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.

    В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать...

    И детская болезнь винды с предложением что-то автозапустить при вставлении флэшки.

    Никогда такого не встречал за свою многолетнюю практику с Линуксом. ЧЯДНТ?


    1. strvv
      02.08.2024 12:11

      Большое разнообразие всевозможных дистрибутивов и их версий с одной стороны спасает, с другой - коммерческое ПО точат под конкретную компанию и версию (например RHEL 5) и поддержка зоопарка не предвидится. Другим нужно искать ршел или деривативы или ставить контейнеры, сиречь все эти flatpack-и или докеры.


      1. leon_shtuet
        02.08.2024 12:11

        Большое разнообразие всевозможных дистрибутивов и их версий с одной стороны спасает,

        Понятно же, что если кто-то очень захочет навредить кому-то конкретно, то он это сделает и в Линуксе. Никто не спорит, что типа в Линуксе не может быть зловредов и дырок, но дело вовсе не в разнообразии дистрибутивов(хотя и в этом тоже), а в самом подходе - по умолчанию, все закрыто и огорожено. Тебе надо, ты и открывай. В отличие от форточек, где, как говорил М.М.Жванецкий, "любое неосторожное движение и ты отец". Поэтому ни о какой эпидемии шифровальщиков в пингвинятнике не может быть и речи. Так, ОРЗ, легкий насморк. И жизнь(практика) это отлично подтверждает. Аргумент, что никто не пишет массово зловреды под Линукс из-за того, что его в мире только 3-4%, не катит. Так себе аргумент. Слышу его уже лет цать. Если в начале он имел основания, то сейчас нет. Никсов в жизни, гораздо более 3-4%. Не пора ли уже закопать эту стюардессу(Винду) Windows must die.


        1. strvv
          02.08.2024 12:11

          С закрытием по умолчанию дистрибутивы типа убунты боятся, отчего становится опасно. Что касается ограничений, здесь также как и виндах есть множество ошибок, а зачастую и специально внедрённых дырок, как обнаруженная в этом году дырка в виде блоб-а в libz?/zlib? и нацеленная на ssh.

          И ранее чудики с одного американского университета, чисто исследовать :))) , вносили намеренно дырки.

          А кроссплатформенной ПО как САПРы, или те же браузеры с офисом... Это тоже большое множество векторов атаки на системы, так как в них встроены скриптовые системы с языками программирования.

          Те же майки неплохо заморочились и теперь периода полураспада системы раз в квартал, как в 90е уже нет, хотя в свою очередь перегрузили системы шпионскими и рекламными модулями, но это проблема пользователей.


    1. kenomimi
      02.08.2024 12:11

      Вредоносов, говорите, нет? В метку флешки пишем some`rm -rf /home`thing, вставляем, упс - скрипты автомонтирования чаще всего не ожидают подвоха, и попытаются выполнить команду внутри строки :) А сколько по этому же вектору атаки открытий чудных даст использование юникода...


      1. leon_shtuet
        02.08.2024 12:11

        Вредоносов, говорите, нет?

        Я вижу, что писать то вы умеете, вот только читать, нет. Ну ка, ткните носом, где я такое говорил?

        В метку флешки пишем somerm -rf /homething, вставляем, упс - скрипты
        автомонтирования чаще всего не ожидают подвоха, и попытаются выполнить
        команду внутри строки :)

        Типа албанский вирус? Удалить содержимое домашней директории. На мелкое хулиганство потянет конечно. Провел следственный эксперимент на LiveCD Mint 21.3 и... Упс1. Не выходит каменный цветок.

        Во первых, еле нашел подходящую файловую систему(btrfs) для форматирования флешки, которая позволяет ввести длинную метку, чтобы вся ваша "зловредная" команда туда уместилась. Большинство ходовых fs в gparted, не позволяет ввести в метку более 11-16 чаров. Длиннее чем 16 чаров для ext4 не получится ввести, а для всяких там exfat и того меньше, хотя я конечно допускаю, что есть такой способ или тулза, которая позволяет указать длинную метку, но мне такое неведомо. Мамкины хацкеры будут заморачиваться ради мелкого пакостничества. Наверное. А потом хвастаться в классе. Поэтому Упс2. Ваша команда целиком не умещается, но btrfs и NTFS пойдут, в них позволяется длинная метка. Отформатировал флешку в btrfs, завел вашу метку. Отмонтировал флешку. Вынул. Вставил. Ничего. Флешка примонтировалась сама. Домашняя директория цела и невредима. Попробовал в NTFS. Тот же результат. Все было по умолчанию. Я специально не упарывался безопасностью и ничего специально не огораживал. ЧЯДНТ? Скриншоты доказательств я сделал, но не нашел как их вставить в коммент, а выкладывать куда-то и приводить ссылки, мне откровенно лень. Не обессудьте. Отвечать часто не могу, т.к. всякие пи@ор нехорошие люди загнобили мне карму.

        Во вторых. Еще с малого детства людей приучают к гигиене, воспитывают не хватать с пола и пихать в рот лишь бы что. Я в здравом уме не буду сам втыкать незнакомые мне флешки в свою систему. А если уж такое случилось, то они ССЗБ. Это уже не техническая проблема и не решается выбором OS. А с дуру можно себе и хуй сломать.


  1. aikuaiven
    02.08.2024 12:11

    Для запуска Autocad потребуется добавить ещё и C:\ProgramData

    Интересная оговорка. При этом в thrustedpaths добавить путь к легитимным автоматизациям, а к этой папке пользователям права только на чтение, установить secureload в 2, реактором восстанавливать ее в 2 при изменении, при этом файл с реактором добавить в автозагрузку, в этот же файл реактор, который при закрытии Autocad будет восстанавливать его в автозагрузке. И при этом надеяться, что ни у кого не хватит "ума" руками дописать в trustedpaths непосредственно в HKCU путь к папке в которой будет файл с очень-нужной-командой. В этом смысле AutoCAD (RIP) и Нанокад - дыры в безопасности по определению, в которые просто никто не лезет, памятный в узких кругах acad.lsp, который просто размножался - безобидная шутка.


    1. noldo32 Автор
      02.08.2024 12:11

      Зачем так сложно? На автокадовские скрипты SRP в стандартной настройке не действует по идее - там расширение только LSP, верно?


  1. Vlad_06
    02.08.2024 12:11

    Добавлю ссылку с дополнительными правилами: https://help-dev.ru/50e88dce-ce6a-11eb-889f-005056b9418d.html
    и про создание правил в версии Home: https://help-dev.ru/50e89e99-ce6a-11eb-889f-005056b9418d.html

    Из личного опыта. Есть машины с активной SRP, на которых установлен антивирус Касперского. Пока там использовался Битдефендер все было хорошо. После определенной даты перешли на Касперского, и в один прекрасный день все машины отказались загружаться.
    Детально не разбирался почему (выглядит так, что некоторые обновления антивируса - не баз - запускаются из очень нестандартных мест), просто предупреждаю, что SRP и Касперский - гремучая смесь, которая требует особого внимания.


    1. noldo32 Автор
      02.08.2024 12:11

      Когда есть SRP и прочие настройки, мешающие запуску вирусов, такое зло как замедляющий систему антивирус Касперского - больше не нужно! Антивирус становится только последней линией обороны - для подстраховки и поэтому он теперь имеет полное право быть более легковесным. И кстати, в DrWeb есть свой аналог SRP, который более защищенный и гибкий, чем встроенное средство от MS. Опять же - надо догадаться и не постесняться его включить.


    1. 321785
      02.08.2024 12:11

      Хз что и как у вас. У нас таких проблем не встречалось.


  1. 321785
    02.08.2024 12:11

    SRP требует порой оч. неочевидных настроек.
    Например есть рекомендованные:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%

    а есть неочевидные:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData%

    За рекомендацию исключать .lnk из контроля я могу также рекомендовать отрывать руки и тестикулы таким рекомендовальщикам.
    Поскольку тогда команда cmd /c "del /q /r /f" отрабатывает тихо и спокойно, не нарушая сон пользователя.
    Просто настройка SRP в этом месте не очевидна.
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Administrative Tools%/*.lnk
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop%/*.lnk
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs%/*.lnk

    и т.д.
    для профиля пользователя

    %HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop%/*.lnk
    %HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Programs%/*.lnk

    Внимательные читатели уже заметилои использование прямого слеша в качестве разделителя частей пути и использование параметров реестра в качестве путей.

    Если у вас часто обновляется программа да и ещё в профиле пользователя, то можно прописать путь до каталога установки и имени файла. Это дольше т.к. запускаемых файлов много. Но это потребует филигранной точности при атаке.
    Пример для 1С-Connect:
    %HKEY_CURRENT_USER\Volatile Environment\LOCALAPPDATA%/Programs/Connect Desktop/app/bin/connect.exe
    %HKEY_CURRENT_USER\Volatile Environment\LOCALAPPDATA%/Programs/Connect Desktop/app/bin/rda/r*.exe
    %HKEY_CURRENT_USER\Volatile Environment\LOCALAPPDATA%/Programs/Connect Desktop/app/bin/updater.exe


    1. 321785
      02.08.2024 12:11

      Для диагностики также вам никто не запрещает сделать настраиваемое представление с источником "SoftwareRestrictionPolicies" и смотреть практически в реальном времени где произошло срабатывание и что пыталось запуститься.