Reset5
16-08-2014, 19:00
Данная тема не является каким либо "тайным знанием".
Она создана как гайд/шпаргалка для пользователей домашних ПК и тех кто обслуживает чужие ПК.
Ситуация с недобросовестным использованием ЭЦП известных софтверных компаний давно вышла из под контроля.
Например: компания Mail.Ru изготовила подписанный загрузчик, который совершенно "легально" скачивает нелегальную программу на ваш компьютер.
Скандалы, интриги и расследования, можно почитать на хабре: http://habrahabr.ru/post/172393
Вредоносная программа с лёгкостью запустится, потому что проактивная защита антивируса (для примера Kaspersky) в дефолтной настройке доверяет всем программам имеющим цифровую подпись.
Будьте бдительны! Даже если вы снимете злосчастную галочку, то на защиту какого нибудь "спутника_защитника_апдейтера_майл.ру", тут же бросится репутационный сервис KSN,
который основываясь на разрешающих или запрещающих правилах пользователей, вынесет вердикт: "разрешить". Интересно, да?
Миллионы мух не могут ошибаться ©
http://savepic.ru/5599429m.jpg (http://savepic.ru/5599429.htm)
Далее. Производители ненужного и непонятного софта, вписали в свои инсталяторы путь %userprofile%\AppData. Это позволяет установить, например, браузер Амиго не имея прав администратора.
По сути, это portable-версия, которая просто разархивируется по указанному пути.
Конечно, на крупных предприятиях/учереждениях имеющих доменную структуру сети и штат администраторов, эта проблема не стоит.
Всё контролируется политиками безопасности и зарезаными в хлам правами пользователя.
В мелких одноранговых сетях, имеющих выход в интернет с аутсорсным администрированием вопрос стоит в полный рост.
Ещё дело осложняется использованием узкоспециального софта, который не желает понимать стандартное разделение прав пользователей и требует, например, прав уровня "опытный пользователь".
Такая ситуация сложилась и в той фирме которую я обслуживаю. Парк 8 машин + файлопомойка на дебиане + выход в сеть по АДСЛ.
Еженедельно я вычищал ОС от различных тулбаров, браузеров и "защитников". Надоело очень быстро и я начал искать решение.
Первое что пришло в голову, это использование KES v10 в котором присутствует необходимый функционал по контролю запуска приложений. Однако я рано обрадовался:
http://forum.kaspersky.com/index.php?showtopic=291424
Т.е. не работает. Когда исправят - не ясно. После последних обновлений из некоторых файлов метаданные стали извлекаться. Пробуйте.
http://savepic.ru/5585115m.jpg (http://savepic.ru/5585115.htm)
Второе решение оказалось самым универсальным и наиболее правильным: использовать встроенные средства ОС windows, а именно: блокировку по сертификату.
Чтобы это сделать нужны сами сертификаты. За два-три дня я нашёл все наиболее распространённые в рунете тулбары etc/
Даю ссылку на архив с сертификатами и самими программами+WebaltaKiller:
https://www.dropbox.com/s/5n74mqsg3rkj9xo/23.04.16.pfx?dl=1 - обновлено 23.04.16
для удобного сравнения "версий", добавлено хранилище сериализованных сертификатов:
https://www.dropbox.com/s/nxkg5e2mehs4zry/23.04.06.sst?dl=1 - обновлено 23.04.16
При открытии файла *.sst, можно наглядно сравнить, то что у вас уже установлено с тем что вы собираетесь устанавливать
Состав архива:
http://savepic.ru/5629147m.jpg (http://savepic.ru/5629147.htm)
Описывать как выполнить настройку блокировки я не буду, предлагаю воспользоваться уже готовым:
http://macrodmin.ru/2011/10/kontrol-zapuska-prilozhenij-v-windows
Для Windows 7 всё так же, но предварительно необходимо включить опцию: "применять правила сертификатов"
http://savepic.ru/5612763m.jpg (http://savepic.ru/5612763.htm)
http://savepic.ru/5635293m.jpg (http://savepic.ru/5635293.htm)
А можно сделать ещё проще: не извлекая сертификат, установить его в хранилище сертификатов к которым нет доверия:
http://savepic.ru/5631196m.jpg (http://savepic.ru/5631196.htm)
Проверить появился ли сертификат в хранилище можно так: пуск - выполнить - certmgr.msc
http://savepic.ru/5611740m.jpg (http://savepic.ru/5611740.htm)
http://savepic.ru/5626077m.jpg (http://savepic.ru/5626077.htm)
На этом у меня всё, спасибо за внимание и добра вам.
Она создана как гайд/шпаргалка для пользователей домашних ПК и тех кто обслуживает чужие ПК.
Ситуация с недобросовестным использованием ЭЦП известных софтверных компаний давно вышла из под контроля.
Например: компания Mail.Ru изготовила подписанный загрузчик, который совершенно "легально" скачивает нелегальную программу на ваш компьютер.
Скандалы, интриги и расследования, можно почитать на хабре: http://habrahabr.ru/post/172393
Вредоносная программа с лёгкостью запустится, потому что проактивная защита антивируса (для примера Kaspersky) в дефолтной настройке доверяет всем программам имеющим цифровую подпись.
Будьте бдительны! Даже если вы снимете злосчастную галочку, то на защиту какого нибудь "спутника_защитника_апдейтера_майл.ру", тут же бросится репутационный сервис KSN,
который основываясь на разрешающих или запрещающих правилах пользователей, вынесет вердикт: "разрешить". Интересно, да?
Миллионы мух не могут ошибаться ©
http://savepic.ru/5599429m.jpg (http://savepic.ru/5599429.htm)
Далее. Производители ненужного и непонятного софта, вписали в свои инсталяторы путь %userprofile%\AppData. Это позволяет установить, например, браузер Амиго не имея прав администратора.
По сути, это portable-версия, которая просто разархивируется по указанному пути.
Конечно, на крупных предприятиях/учереждениях имеющих доменную структуру сети и штат администраторов, эта проблема не стоит.
Всё контролируется политиками безопасности и зарезаными в хлам правами пользователя.
В мелких одноранговых сетях, имеющих выход в интернет с аутсорсным администрированием вопрос стоит в полный рост.
Ещё дело осложняется использованием узкоспециального софта, который не желает понимать стандартное разделение прав пользователей и требует, например, прав уровня "опытный пользователь".
Такая ситуация сложилась и в той фирме которую я обслуживаю. Парк 8 машин + файлопомойка на дебиане + выход в сеть по АДСЛ.
Еженедельно я вычищал ОС от различных тулбаров, браузеров и "защитников". Надоело очень быстро и я начал искать решение.
Первое что пришло в голову, это использование KES v10 в котором присутствует необходимый функционал по контролю запуска приложений. Однако я рано обрадовался:
http://forum.kaspersky.com/index.php?showtopic=291424
Т.е. не работает. Когда исправят - не ясно. После последних обновлений из некоторых файлов метаданные стали извлекаться. Пробуйте.
http://savepic.ru/5585115m.jpg (http://savepic.ru/5585115.htm)
Второе решение оказалось самым универсальным и наиболее правильным: использовать встроенные средства ОС windows, а именно: блокировку по сертификату.
Чтобы это сделать нужны сами сертификаты. За два-три дня я нашёл все наиболее распространённые в рунете тулбары etc/
Даю ссылку на архив с сертификатами и самими программами+WebaltaKiller:
https://www.dropbox.com/s/5n74mqsg3rkj9xo/23.04.16.pfx?dl=1 - обновлено 23.04.16
для удобного сравнения "версий", добавлено хранилище сериализованных сертификатов:
https://www.dropbox.com/s/nxkg5e2mehs4zry/23.04.06.sst?dl=1 - обновлено 23.04.16
При открытии файла *.sst, можно наглядно сравнить, то что у вас уже установлено с тем что вы собираетесь устанавливать
Состав архива:
http://savepic.ru/5629147m.jpg (http://savepic.ru/5629147.htm)
Описывать как выполнить настройку блокировки я не буду, предлагаю воспользоваться уже готовым:
http://macrodmin.ru/2011/10/kontrol-zapuska-prilozhenij-v-windows
Для Windows 7 всё так же, но предварительно необходимо включить опцию: "применять правила сертификатов"
http://savepic.ru/5612763m.jpg (http://savepic.ru/5612763.htm)
http://savepic.ru/5635293m.jpg (http://savepic.ru/5635293.htm)
А можно сделать ещё проще: не извлекая сертификат, установить его в хранилище сертификатов к которым нет доверия:
http://savepic.ru/5631196m.jpg (http://savepic.ru/5631196.htm)
Проверить появился ли сертификат в хранилище можно так: пуск - выполнить - certmgr.msc
http://savepic.ru/5611740m.jpg (http://savepic.ru/5611740.htm)
http://savepic.ru/5626077m.jpg (http://savepic.ru/5626077.htm)
На этом у меня всё, спасибо за внимание и добра вам.