PDA

Показать полную графическую версию : Мониторинг запуска exe файлов в Windows.


Danchu
04-06-2012, 12:35
Приветствую!
Мои пользователи работают с аутлуком через терминальный сервер на Remote Desktop Services. Все бы ничего, но наши почтовые антивирусы сканировать внутри архивов не умееют и вот как то раз один дорогой пользователь таки запустил "подарочек", посланный в архиве. Неприятно было.
Возникла следующая идея - хочется, чтобы некая сотфина, работая в режиме сервиса отслеживала запуск неизвестных относительно некого baseline exe-файлов и слала об этом оповещение мне на почту. По идее хотелось бы платное и простое ПО, но есть так же мысль реализовать такое на базе Software restriction policies и мониторилки логов типа spiceworks или system center essentials, хотя мысль попросту запрещать запуск неизвестных пока exe мне не очень нравится, лучше б мониторить.
Соответственно, два вопроса:
1.Простое платное ПО, способное работать нужным мне образом не знаете ли?
2.Схема GPO + мониторилка будет работать, не пробовали?

WindowsNT
11-06-2012, 22:28
Сама идея отслеживания запуска неработоспособна. В чём смысл узнавать пост-фактум, что система заражена? Вирусы следует блокировать, не допуская их запуска.

Единственно верное решение вы уже знаете — Software Restriction Policies в режиме "белого списка". Более того — разумеется, эту политику следует настроить для всех компьютеров без исключения. Только так возможно предотвратить заражения с различного рода источников типа флешек, интернетов, скайпов и прочего.

Пример инструкции по настройке одиночой машины смотрите здесь: http://blog.windowsnt.lv/2011/05/30/preventing-malware-with-srp-russian/ . Абсолютно идентично это реализуется сразу для целого OU или домена.

maxiiim
15-06-2012, 20:10
А можно ли как то логить все запускаемые программы находящиеся в определенном списке?

WindowsNT
19-06-2012, 11:32
Способ не очень красивый, но есть:

1. Нужно включить AppLocker в режиме журналирования;
2. Добавить правила, разрешающие запускать всё;
3. Добавить правила, запрещающие запускать "определённый список";
4. Дальше читать журнал Application and Services Logs -> Microsoft -> Windows -> AppLocker на предмет уведомлений с восклицательным знаком.
5. Можно даже оформить подписку на уведомления такого рода. Они будут собираться со всех контролируемых машин на рабочую станцию администратора, например.

maxiiim
20-06-2012, 10:44
Машинки на XP там аплокера вроди нет- а можно как нибудь аудит настроить?

WindowsNT
20-06-2012, 11:15
1. Включить аудит Object Access: Success
2. В свойствах требуемой папки настроить аудит Everyone: Success Execute
3. Указать бОльший размер и метод перезаписи журнала Security.

Однако, я бы не стал пользоваться подобным решением из-за большой нагрузки по прочтению журнала. Нужно бы ещё прикрутить какой-нибудь Log Parser, чтобы фильтровать и выдавать алерты по требуемым событиям. В принципе, команда eventtriggers это умеет, но придётся прилично помучаться со скриптованием.




© OSzone.net 2001-2012