Мониторинг запуска exe файлов в Windows. - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)

- - Мониторинг запуска exe файлов в Windows. (http://forum.oszone.net/showthread.php?t=235936)

Мониторинг запуска exe файлов в Windows.

Приветствую!
Мои пользователи работают с аутлуком через терминальный сервер на Remote Desktop Services. Все бы ничего, но наши почтовые антивирусы сканировать внутри архивов не умееют и вот как то раз один дорогой пользователь таки запустил "подарочек", посланный в архиве. Неприятно было.
Возникла следующая идея - хочется, чтобы некая сотфина, работая в режиме сервиса отслеживала запуск неизвестных относительно некого baseline exe-файлов и слала об этом оповещение мне на почту. По идее хотелось бы платное и простое ПО, но есть так же мысль реализовать такое на базе Software restriction policies и мониторилки логов типа spiceworks или system center essentials, хотя мысль попросту запрещать запуск неизвестных пока exe мне не очень нравится, лучше б мониторить.
Соответственно, два вопроса:
1.Простое платное ПО, способное работать нужным мне образом не знаете ли?
2.Схема GPO + мониторилка будет работать, не пробовали?

Сама идея отслеживания запуска неработоспособна. В чём смысл узнавать пост-фактум, что система заражена? Вирусы следует блокировать, не допуская их запуска.

Единственно верное решение вы уже знаете — Software Restriction Policies в режиме "белого списка". Более того — разумеется, эту политику следует настроить для всех компьютеров без исключения. Только так возможно предотвратить заражения с различного рода источников типа флешек, интернетов, скайпов и прочего.

Пример инструкции по настройке одиночой машины смотрите здесь: http://blog.windowsnt.lv/2011/05/30/...h-srp-russian/ . Абсолютно идентично это реализуется сразу для целого OU или домена.

А можно ли как то логить все запускаемые программы находящиеся в определенном списке?

Способ не очень красивый, но есть:

1. Нужно включить AppLocker в режиме журналирования;
2. Добавить правила, разрешающие запускать всё;
3. Добавить правила, запрещающие запускать "определённый список";
4. Дальше читать журнал Application and Services Logs -> Microsoft -> Windows -> AppLocker на предмет уведомлений с восклицательным знаком.
5. Можно даже оформить подписку на уведомления такого рода. Они будут собираться со всех контролируемых машин на рабочую станцию администратора, например.

Машинки на XP там аплокера вроди нет- а можно как нибудь аудит настроить?

1. Включить аудит Object Access: Success
2. В свойствах требуемой папки настроить аудит Everyone: Success Execute
3. Указать бОльший размер и метод перезаписи журнала Security.

Однако, я бы не стал пользоваться подобным решением из-за большой нагрузки по прочтению журнала. Нужно бы ещё прикрутить какой-нибудь Log Parser, чтобы фильтровать и выдавать алерты по требуемым событиям. В принципе, команда eventtriggers это умеет, но придётся прилично помучаться со скриптованием.