26 ответов в этой теме

[Dusty_Bottom]

Приветствую!

 

Пользуюсь триалкой, принимаю решение приобретать/нет, столкнулся с проблемкой: включил защиту Рабочего стола в Виндовс 10. Учетка локальная, с правами админа. Блокируется проводник, когда пытаюсь удалить файл с Десктопа.

Сталкивались?

 

Благодарю  20250701_213119.jpg   24,73К   0 Скачано раз

[VVS]

А при чём здесь доктор?

[Dusty_Bottom]

А при чём здесь доктор?

 

 

При этом, например:

Прикрепленные файлы:

•  DSC02439.JPG   109,44К   1 Скачано раз
•  DSC02440.JPG   115,16К   0 Скачано раз

[VVS]

Ну так удалите все настройки, которые Вы сделали в "Защита от потери данных".

[Dusty_Bottom]

 

Ну так удалите все настройки, которые Вы сделали в "Защита от потери данных".

 

Благодарю за помощь.

По-правде, возможность общения на форуме доктора - это немалое благо.

Не удалял настройки, добавил процесс в отношении Десктопа в исключения.

[Severnyj]

Если что то по ссылке доступна подробная справка по продукту.

[Dusty_Bottom]

Если что то по ссылке доступна подробная справка по продукту.

 

Да, нелишней будет. Респект.

 

Тут два момента. Возишься, че-нибудь заклинит, а напишешь вопрос - уже 50% ответа  

Второе. Возможно, так блокироваться системные процессы не должны. Например, больший акцент на превентивку-поведенческий ан-з, ИМХО. 

[maxic]

Dusty_Bottom, про запуск легитимных процессов вредоносными не слышали? Типичная малварная практика.

[Afalin]

Так-то доверие вполне может зависеть и от дерева родительских процессов. Если процесс с хорошей подписью запущен кем попало – доверять ему не стоит, конечно, но если самой виндой без посредников – почему бы и нет.

Правда, я лично не помню, в каком состоянии у нас этот момент.

[VVS]

Так-то доверие вполне может зависеть и от дерева родительских процессов. Если процесс с хорошей подписью запущен кем попало – доверять ему не стоит, конечно, но если самой виндой без посредников – почему бы и нет.

Правда, я лично не помню, в каком состоянии у нас этот момент.

Пока что ни в каком.

IMHO доверие дочернему процессу реализовано только для доверенных процессов.

FR на реализацию такого для всех остальных есть в трекере.

[B.Chugunov]

ИМХО к защите от потери данных доверие никоим образом не должно применяться. Не важно, кто там по цепочке ниже или выше инициировал действие. С подписью они или без. Если сказано, что нельзя трогать файлы, то к ним никакой процесс не должен иметь доступа, помимо тех, что юзер явно определил, как разрешенные. 

[VVS]

ИМХО к защите от потери данных доверие никоим образом не должно применяться. Не важно, кто там по цепочке ниже или выше инициировал действие. С подписью они или без. Если сказано, что нельзя трогать файлы, то к ним никакой процесс не должен иметь доступа, помимо тех, что юзер явно определил, как разрешенные. 

Согласен, это я несколько в сторону отвлёкся.

Написанное мной относится скорее к превентивке.
 

[Afalin]

ИМХО к защите от потери данных доверие никоим образом не должно применяться. Не важно, кто там по цепочке ниже или выше инициировал действие. С подписью они или без. Если сказано, что нельзя трогать файлы, то к ним никакой процесс не должен иметь доступа, помимо тех, что юзер явно определил, как разрешенные. 

Ага. Висит в доверенных условный far, потому что пользователю удобно им пользоваться. И вот злоумышленник дёргает far, чтобы тот что-то сделал с пользовательскими данными. Действительно не важно, кто его запустил?

[B.Chugunov]

Не уходи в крайности =) Разрешение\исключение - осознанное действие. Если я хочу разрешить far, то он должен быть разрешен. А все последствия и риски таких действий пользователь принимает на себя. При таком раскладе, как ты говоришь, злоумышленник может ровно с тем же успехом зайти прямо в far, не стартуя его чем-то промежуточным неподписанным, и потереть все файлы. Как такое детектить? 

И опять же ИМХО, любая подобная защита данных в идеале должна быть основана на том, что в обычном режиме работы ни у кого в принципе не должно быть права на чтение и запись в защищаемый каталог. 
Нужно что-то обновить\изменить там - внес исключение или отключил защиту, изменил, удалил исключения или включить защиту взад. Во всех остальных случаях каталог должен быть закрыт от всех. Иначе это профанация и всегда можно найти сценарий, при котором любое разрешение будет путем к компрометации данных. Не важно кто там в цепочке. Равновероятно там будут доверенные и подписанные процессы. Если ты постоянно работаешь с какими-то файлами в каталоге и тебе нужно постоянно давать доступ какому-то приложению до файлов в этом каталоге, то нужно искать другие решение. Разделять файлы, к которым нет частых обращений и с которыми ведется частая работа. Либо бэкапить периодами текущий каталог в другое место, которое и ставить под защиту. С этой точки зрения защита рабочего стола вообще выглядит странно. Это не тот каталог, который нужно защищать. Если на рабочем столе валяется что-то важное и это нужно защитить, стоит озаботиться переносом таких данных в отдельное место. 
А если уж совсем в крайности впадать, то для нормальной защиты нужно иметь минимум две независимые копии важных файлов, на двух разных носителях, в двух разных физических местах, желательно в сейфах и без постоянного подключения куда-либо. Вот это более менее надежно. Все остальное - фигня с разной степенью надежности ни разу не близкой к высокой. 

[VVS]

И опять же ИМХО, любая подобная защита данных в идеале должна быть основана на том, что в обычном режиме работы ни у кого в принципе не должно быть права на чтение и запись в защищаемый каталог. 
Нужно что-то обновить\изменить там - внес исключение или отключил защиту, изменил, удалил исключения или включить защиту взад.

А если это каталог, в который Acronis автоматически пишет бэкапы?

[Afalin]

Не уходи в крайности =)

Да нет тут крайностей. Пока что нормальные сценарии работы и нормальные сценарии компрометации.

А все последствия и риски таких действий пользователь принимает на себя.

Риски и так уже на пользователе. Но наша задача – их минимизировать, верно?

При таком раскладе, как ты говоришь, злоумышленник может ровно с тем же успехом зайти прямо в far, не стартуя его чем-то промежуточным неподписанным, и потереть все файлы. Как такое детектить?

Если он запустил его из rdp-сеанса – мы это знаем (но да, тут встаёт интересный вопрос, как этим счастьем пользоваться через rdp). Если он дропнул какую-то полезную нагрузку, запустил её, а она запустила far – вот тебе цепочка процессов, в которых есть тухлое звено.

Если скомпрометирована терминальная сессия – тогда да, мы ничего не можем сделать, потому как не знаем, что за кожаный мешок сидит за терминалом.

Нужно что-то обновить\изменить там - внес исключение или отключил защиту, изменил, удалил исключения или включить защиту взад. Во всех остальных случаях каталог должен быть закрыт от всех.

Это уже какое-то read only хранилище получается, которое вообще мало кому нужно. Т.е. в подавляющем большинстве случаев такая защита неприменима либо предельно неюзабельна. Польза от неё исчезающе мала, а нам бесполезные фичи вряд ли интересны. Мы ж хотим причинять пользу, желательно без отстреливания пользователю ног и прочих частей тела.

[basid]

Можно сделать почти полную защиту защиту от микробов, но шевелить руками каждый день - будет сложно.

Сообщение было изменено basid: 04 Июль 2025 - 17:02

[B.Chugunov]

В общем мое мнение, отслеживание цепочек процессов и все последующие радости - дело превентивки, но не защиты от потери данных и иже с ним. В превентивке - пожалуйста, следите за цепочками, подписями и т.д. А если в защиту от потери персонально добавлено исключение с разрешением процессу менять подзащитную папку, значит этому процессу мы должны такое разрешать. Безотносительно того, кем и как он там запущен. Иначе это все тоже в части кейсов будет неюзабельно. Детектов превентивки на всякие подозрительные парент процессы и их действия это вот вообще никак не отменяет и в теории, и на практике. 

Сообщение было изменено B.Chugunov: 04 Июль 2025 - 18:17

[Dusty_Bottom]

Dusty_Bottom, про запуск легитимных процессов вредоносными не слышали? Типичная малварная практика.

 

Да, слышал. С моей точки зрения, такая "практика" используется (в реальности) преступной группировкой для целенаправленной кибератаки.

Понимаете, о чем я?

Что до этого среднестатистическому пользователю?.

[Dusty_Bottom]

В общем мое мнение, отслеживание цепочек процессов и все последующие радости - дело превентивки, но не защиты от потери данных и иже с ним.

 

+100

 

А если в защиту от потери персонально добавлено исключение с разрешением процессу менять подзащитную папку, значит этому процессу мы должны такое разрешать.

 

К сожалению, не работает, простите. Пример - изменение текстового файла процессом notepad, добавленным в искл. в Защиту от потери данных.

 

Детектов превентивки на всякие подозрительные парент процессы и их действия это вот вообще никак не отменяет

 

+100