[WindowsNT]

Цитата Rezor666:

за 6 месяцев на работе с аналогичном конфигом пользователи словили 3 винлокера. »

Стопроцентная вина администратора, а именно — отсутствие Application Whitelisting.

Антивирус не является и никогда не являлся защитой вообще.

[Rezor666]

WindowsNT,

Цитата WindowsNT:

Стопроцентная вина администратора »

Не совсем так. Есть компы с очень с разношерстным софтом (например как конфигурирования счетчиков на ТЭЦ и мониторинг потребления воды/электричества) и весь этот софт довольна старый и работает он через жопу и когда начинаешь блокировать все кроме определенного списка софта то начинаются проблемы с этим софтом.
По этому от этой GPO политики пришлось отказаться.

[WindowsNT]

Можно подумать, я нигде никогда не настраивал политики, а с разнообразным говнософтом не работал ни разу.
Каждый раз очередная песня. "На NT эта программа не работает", "с правами пользователя эта программа не работает", "SRP сложно настраивать".

Сказки. Нужно брать и делать.

[xoxmodav]

WindowsNT, не надо громких заявлений, кругом есть свои нюансы и проблемы. Опять же - сколько % от всего используемого в России г0вн0софта вы вообще в глаза видели и настраивали?

[Rezor666]

WindowsNT,

Цитата WindowsNT:

Сказки. Нужно брать и делать. »

Т.е вы мне предлагаете остановить рабочий процесс на хз скок времени лишь ради этого?
После работы этим заниматься? Этот софт на ноутах, которые уносятся домой.
Помойму за это время мне будет легче 3 раза папку temp почистить от винлокера.

[WindowsNT]

xoxmodav: А что мне делать? тихие заявления? Считаю вопрос вполне решабельным.
В России не живу, но у нас тоже хватает таких программ. Чай, мы тут не марсиане. Та же аппаратура, те же индусские поведенческие модели программистов.
Под какие конкретно программы вы не смогли настроить Whitelisting, с какими нюансами и проблемами столкнулись при этом?

[Rezor666]

Цитата WindowsNT:

А под какие конкретно программы вы не смогли настроить Whitelisting »

Сейчас не вспомню названия софта. Если поеду на ТЭЦ то тогда отпишу названия софта.
А проблема была в том что 1 софтина в упор не понимала ключ а 2 софтина отказывалась работать с счетчиком при этом стартовала. После отключения все нормализовалось.
К тому же это защита от дурака ибо если даст доступ к cmd то банально можно запускать любой софт из консоли.

[WindowsNT]

Rezor666: я вам предлагаю принять ответственность за вирусное поражение на себя и признать недостаточность предпринимаемых мер безопасности. Вы же вместо этого утверждаете фантастические вещи вида "лучше три раза заразиться вирусом, чем потратить час на грамотную настройку системы". Не забудьте внести это положение в своё резюме, чтобы работодатели видели заранее.

Вопрос конкретных программ отнесён к xoxmodav — судя по его ответу, именно у него были конкретные нюансы и проблемы с конкретно Whitelisting. Пусть поделится, а я бы хотел впервые в своей практике увидеть систему, которую невозможно защитить от локеров с помощью SRP. Ваши же фантазии насчёт cmd стопроцентно показывают, что Application Whitelisting вы в глаза не видели, ибо ни SRP, ни AppLocker не позволяют столь просто себя обойти.

[Rezor666]

WindowsNT, Насчет cmd погоричился но где то читал что можно обойти.
А так вот ссылки на обход 1 , 2 а в этой теме даже Вы отписались 3

Так же интересный момент. К примеру если вашим сотрудникам шлют самораспаковывающийся архив то вы бегаете и логинетесь под админом?

[WindowsNT]

Dear Rezor666,
1. Глупости, ибо для обхода SRP сначала нужно запустить ехе, а как это сделать в обход SRP? Цепочку действий не улавливаете?
2, 3. Не умеют вирусы так делать. Не умеют никак. Уж кто-кто, а локеры ну СТОПУДОВО не умеют.

В общем, так сразу и скажите, что не пробовали, чем распространять по интернетам слухи, будто вирусу и стандартному пользователю обойти SRP столь же просто, как два байта переслать. И уж тем более, лучше научиться этой политикой управлять, чем скидывать проблему на некие особые приложения.

Наверное, я открою Америку, если скажу, что:
а) многие почтовые сервера и клиенты автоматически распознают и блокируют исполняемые модули, приложенные к письмам;
б) политика безопасности многих компаний однозначно запрещает пересылку и приём исполняемых модулей, и все это понимают;
в) (о, чудо) самораспаковывающиеся архивы отлично открываются архиваторами типа 7Zip. Это как некоторые пытались мне втереть, будто открытия ISO-файлов обязательно требуется инсталлировать Daemon Tools, что за чушь.

Скажите сразу, вы ищете оправданий бездействию или способ решения проблемы? Детской наживкой не получится меня переспорить, я давно уже все эти вопросы решил практическим путём. Только если 15 лет назад меня пытались убедить в скорой смерти Windows NT, 10 лет назад — в невозможности работать исключительно с ограниченными привилегиями, то лет 5 как уже повально пытаются убедить, что SRP слишком сложна и программы с ней не работают. А как убедишь, если я длительное время успешно делаю безопасность на доброй двадцатке компаний?