[cameron]

Цитата dislike:

Я не стал делать этого сразу, потому что не уверен, не появятся ли проблемы у всяких бухгалтеров с их браузерами, расширениями, клиентами, платежками и пр.? »

а мы, конечно же, можем ответить на этот вопрос, ведь все мы знаем какие у вас

Цитата dislike:

у всяких бухгалтеров с их браузерами, расширениями, клиентами, платежками и пр.? »

да?

[NickM]

dislike, может какие идеи сможете подсмотреть в этой теме форума safezone.cc?

[dislike]

Цитата cameron:

а мы, конечно же, можем ответить на этот вопрос »

Основной вопрос был не этот, а

Цитата dislike:

что думаете насчет идеи прописать в SRP запрещающее правило для пути "*.js" »

И второй вопрос, подразумевается: "Какие потенциально проблемы могут возникнуть в связи с этим правилом у пользователей, особенно у бухгалтеров, с которыми вы возможно сталкивались на своем опыте?

[WindowsNT]

Идея запретить только .js — отрицательно, потому что blacklisting не решает проблем. Blacklisting столь же бесполезен, как "ходить и объяснять".

https://blog.windowsnt.lv/2015/11/25...ion-framework/
Скоро докину шестую часть.

[dislike]

Цитата WindowsNT:

отрицательно, потому что blacklisting не решает проблем. Blacklisting столь же бесполезен, как "ходить и объяснять". »

Позволю себе не согласиться. "Ходить и объяснять" срабатывало минимум трижды за полгода, когда человек получал подозрительное письмо, видел подозрительное вложение и звал меня, чтобы окончательно в этом убедиться, и всё шло хорошо, пока "обученный" человек не ушел в отпуск и на его место сел.... кхм.... не очень обученный. При этом все письма, которые мне показывали, содержали в себе исключительно js, из чего и возникла идея заблокировать именно этот тип файлов, как наиболее опасный.

Цитата WindowsNT:

blacklisting не решает проблем »

Может и не решает всех проблем, но по крайней мере не порождает огромное число новых. Чтобы правильно настроить белый список, надо садиться за каждый компьютер и несколько дней за ним работать, проверяя, всё ли нормально запускается, всё ли корректно отрабатывает во всех сценариях. Ладно бы компы были все одинаковые, с одинаковой версией и битностью ОС, с одинаковым и неизменным набором софта, но это далеко не так. Неизбежно будут ошибки, раздражение сотрудников и т.д. Имхо, слишком сложно и не оправданно.

[Reset5]

Насколько мне известно, SRP хреновенько работает с файлами из system32.
В интернетах говорят, что MS в курсе проблемы.
Например mshta.exe, который по сути есть упаковка для скрипта, невозможно заблокировать средствами AppLocker.
Однако SRP и AppLocker не одно и то же.

Цитата dislike:

человек получал..видел... и звал меня »

Хех. А если этих человеков более трёх тысяч?
На вашем месте я бы смотрел в сторону стороннего вендора. (шёпотом-) KIS
Там очень гибко настраиваются блокировки по белым/чёрным спискам.

[dislike]

Цитата Reset5:

Насколько мне известно, SRP хреновенько работает с файлами из system32. »

А че с ними работать? У пользователя нет прав на запись в системные директории.

Цитата Reset5:

Хех. А если этих человеков более трёх тысяч? »

Ну не, у нас основная почтовая нагрузка лежит буквально на 10-12 людях, таких критичных масштабов нет.

[Reset5]

Цитата dislike:

А че с ними работать? У пользователя нет прав на запись в системные директории. »

Угу, угу.
Понятно что нет. Иногда и чтения достаточно. Вот тебе файл "7.hta"
Заверни в него любой скрипт и попробуй заблокировать.
Это не малварь, если чо, это файл который создаёт в темпе TeamViewer после выхода.

Вот что внутри:

Код:

<html><head><HTA:APPLICATION ID="oHTA" ICON="http://www.teamviewer.com/favicon.ico" BORDER="dialog" CAPTION="yes" MAXIMIZEBUTTON="no" MINIMIZEBUTTON="no" NAVIGABLE="no" CONTEXTMENU="no" INNERBORDER="no" SCROLL="no"/> <title>TeamViewer</title> <script language="javascript">window.resizeTo(500, 550); window.moveTo((window.screen.availWidth-500)/2, (window.screen.availHeight-550)/2);</script></head><frameset rows="*"><frame scrolling="no" src="http://www.teamviewer.com/ru/company/shutdown.aspx?version=11.0.64630 NI"></frameset></html>

Прикол в том, что он унаследует права mshta.exe.
Даже если для AppLocker-а не были созданы дефолтные правила, де-факто он самостоятельно разрешает запуск из system32.
Хотя в документации технета чётко сказано: "Если файл был запрещен для выполнения в коллекции правил, запрещающее действие получит приоритет над любым разрешающим действием независимо от того, в каком объекте групповой политики было изначально применено правило. Так как AppLocker функционирует как разрешенный список по умолчанию, если ни одно из правил явным образом не разрешает или не запрещает выполнение файла, заданное по умолчанию запрещающее действие AppLocker заблокирует файл."
Вот. Человек столкнулся с той же проблемой, это я про него упоминал:
https://www.sysadmins.lv/blog-ru/sek...s-chast-5.aspx
Ответ MS:
https://www.sysadmins.lv/blog-ru/sek...-chast-5a.aspx

[WindowsNT]

Цитата dislike:

надо садиться за каждый компьютер и несколько дней за ним работать, проверяя, всё ли нормально запускается »

Для этого вам и показано, как провести аудит.
И высылка сообщений на почту при срабатывании SRP также часто помогает отреагировать быстрее, чем человек поймёт, что что-то не работает.