95 ответов в этой теме

[Konstantin Yudin]

Это легальная операция, ее блок вызовет только вопли, а на защите системы не скажется. Задача превентивки не допускать повреждений/заражения ос. И ловить неизвестные угрозы. А эта операция вне контекста имхо.

[Konstantin Yudin]

Через блокировку доступа к файлам в род. контроле можете добавить этот файл под защиту, он больше не запустится. То же самое с wscript, cscript и т.д. Для истинных параноиков можно всунуть Cmd.exe, powershell. Порочная тенденция пошла, защищаться от самой системы и ее функционала.

[Konstantin Yudin]

2. Не умеет и считает не нужным.

Кто здесь?

А что, умеет? Явно заявлений об этом нигде не встречал.
Хотя, было бы логично, но вот насколько реализуемо?

Если сохранять каждый открываемый на запись файл, то параноидальный режим покажется сверхбыстым.

Если помнишь, ты одно время тестировал наш shadow copy драйвер а вот весь алгоритм к сожалению пока не удалось реализовать, чтоб еще и работал, без рекламных буклетов.

[Konstantin Yudin]

Эти shadow volume обычные тома, их можно открыть хоть в проводнике, и вме там грохнуть. Тоже защищать любую модификацию? А если это запись через маппинг от системы?

[IlyaS]

То есть предотвратить выполнение команды cmd /c "vssadmin ..." процессом или командным файлом из папки temp к превентивке никаким боком не прикрутить?

[IlyaS]

Это легальная операция, ее блок вызовет только вопли, а на защите системы не скажется. Задача превентивки не допускать повреждений/заражения ос. И ловить неизвестные угрозы. А эта операция вне контекста имхо.

Искал в логах Safer хоть одну операцию vssadmin системой, не нашел... При обычном использовании система сама, видимо, ее не запускает.

Через блокировку доступа к файлам в род. контроле можете добавить этот файл под защиту, он больше не запустится. То же самое с wscript, cscript и т.д. Для истинных параноиков можно всунуть Cmd.exe, powershell. Порочная тенденция пошла, защищаться от самой системы и ее функционала.

Да истинный параноик ни перед чем не остановится

Хотелось бы хоть какого-то подобия SELinux (утопично) или же классификации превентивкой таких действия как удаление копий, массовое удаление файлов, форматирование как потенциально опасных, и разрешать только цепочке доверенных процессов или после подтверждения пользователем. Если цепочка начнется от доверенного schtasks от имени LocalSystem, то не спасет.

Эти shadow volume обычные тома, их можно открыть хоть в проводнике, и вме там грохнуть. Тоже защищать любую модификацию? А если это запись через маппинг от системы?

Не знал, что копии не всегда read only. По статье полные копии или клоны только для чтения. Посмотрел копии на компе - все Differential.

[Konstantin Yudin]

Искал в логах Safer хоть одну операцию vssadmin системой, не нашел... При обычном использовании система сама, видимо, ее не запускает.

я не про систему. это легальная утилита для админов. с какого перепою ее блочить то? система использует апи, его там несколько слоев, начиная от IOCTL, кончая интерфейсами.

>Хотелось бы хоть какого-то подобия SELinux (утопично)

в массовом коммерческом продукте, эта модель мертва от рождения. юзеры просто не смогут все это настроить. да и в никсах сколько лет пытались вкорячить его в систему полноценно.

Сообщение было изменено Konstantin Yudin: 03 Апрель 2015 - 12:48

[VVS]

 

 

 

 

2. Не умеет и считает не нужным.

Кто здесь?

А что, умеет? Явно заявлений об этом нигде не встречал.
Хотя, было бы логично, но вот насколько реализуемо?

Если сохранять каждый открываемый на запись файл, то параноидальный режим покажется сверхбыстым.

Если помнишь, ты одно время тестировал наш shadow copy драйвер

Угу, вполне успевал сходить перекурить, пока комп стартовал.

[IlyaS]

Искал в логах Safer хоть одну операцию vssadmin системой, не нашел... При обычном использовании система сама, видимо, ее не запускает.

я не про систему. это легальная утилита для админов. с какого перепою ее блочить то? система использует апи, его там несколько слоев, начиная от IOCTL, кончая интерфейсами.

Понятно, что точек входа в VSS дофига. vssadmin используют админы и шифровальщики. Даже если закрыть vssadmin, шифровальщики начнут использовать API, поэтому накрывать превентивкой только запуск vssadmin и не контролировать остальное плохая идея, да?

>Хотелось бы хоть какого-то подобия SELinux (утопично)

в массовом коммерческом продукте, эта модель мертва от рождения. юзеры просто не смогут все это настроить. да и в никсах сколько лет пытались вкорячить его в систему полноценно.

Да потому и написал, что утопично! Интересно, можно ли научить превентивку отличать нормальные действия админа от опасных действий недоверенных программ.
Может уже вовсю ведут разработку AI, который будет на каждый вызов системного API решать доверять ему или нет

[АВаТар]

Позвольте и мне вставить свои 5 коп.

 

Нужно

1) изначально делать

2) изначально нормальные, т.е. защищённые ОС.

 

"Защищённые" - означает: от любых действий пользователя, разграниченных по какой-то шкале прав. От "ничего нельзя" - до "можно всё". После чего остаётся лишь грамотно развести лохов пользователей по этой шкале. И самому тоже как-то грамотно на неё встать.

 

Правда, тогда не нужен будет этот продукт...    

 

Но только так можно выйти из тупика "Коммунизма". Из бардака, короче.

[VVS]

Позвольте и мне вставить свои 5 коп.

 

Нужно

1) изначально делать

2) изначально нормальные, т.е. защищённые ОС.

 

"Защищённые" - означает: от любых действий пользователя, разграниченных по какой-то шкале прав. От "ничего нельзя" - до "можно всё". После чего остаётся лишь грамотно развести лохов пользователей по этой шкале. И самому тоже как-то грамотно на неё встать.

Кремлёвский мечтатель...

В винде есть UAC, админ и юзер...

Много ли Вы видели юзеров, работающих с правами юзера, а не админа?

А особо "умные" (ну, в смысле, считающие себя таковыми  ) ССЗБ ещё и UAC отключают.

[mrbelyash]

Много ли Вы видели юзеров, работающих с правами юзера, а не админа?

 

Вот потому для домашней версии нужно запилить такой функционал.

[Pavel Plotnikov]

 

Много ли Вы видели юзеров, работающих с правами юзера, а не админа?

 

Вот потому для домашней версии нужно запилить такой функционал.

 

какой?

[mrbelyash]

а)я энкодер и не буду массово шифровать файлы,спалюсь.я по открытию (сменив ассоциацию в реестре на себя).Буду шифровать контент.

Испорчу файл/файлы поштучно..по обращению

б)я не админ и менять в реестре критические ветки не могу(хотя мне поставили винду и дали все права,даже отключив UAC)

[Konstantin Yudin]

2. Не умеет и считает не нужным.

Кто здесь?

А что, умеет? Явно заявлений об этом нигде не встречал.
Хотя, было бы логично, но вот насколько реализуемо?

Если сохранять каждый открываемый на запись файл, то параноидальный режим покажется сверхбыстым.

Если помнишь, ты одно время тестировал наш shadow copy драйвер

Угу, вполне успевал сходить перекурить, пока комп стартовал.

это netting. не то

[АВаТар]

Кремлёвский мечтатель...
В винде есть UAC, админ и юзер...
Много ли Вы видели юзеров, работающих с правами юзера, а не админа?
А особо "умные" (ну, в смысле, считающие себя таковыми  ) ССЗБ ещё и UAC отключают.

 

Иногда я живу в башне из слоновой кости.

 

В nix'ах все мои знакомые 100% работают с правами юзера - иначе нельзя. И в nix'ах этот режим юзера нельзя нарушить никому. Система на самом деле защищает пользователя, а не просто такое декларируется, как это происходит в конторе мелкомягких.

 

Но система ещё должна быть дружественной к пользователю, и предоставлять ему весь спектр его потребностей. Так что имеем то, что имеем.

 

А мечтать не вредно, если эту мечту поставить в качестве цели. Намерения, в общем-то, осуществляются. Особенно, когда в этом есть насущная потребность.

Сообщение было изменено АВаТар: 03 Апрель 2015 - 17:35

[Konstantin Yudin]

защищенный продукт или система, это система которой никто не сможет пользоваться, даже авторы. любое удобство это допущение в безопасности. но все еще проще. никто в мире не заинтересован в разработке защищенных систем для массового пользования. такую модель не обосновать потенциальным инвесторам. проще на html5+js написать целую ос и главное пипл схавает безопасная система никому в реальности не нужна, потому что см. начало.

[mrbelyash]

Особенно, когда в этом есть насущная потребность.

 

Есть и давно.

Можно написать про лиц. винду,про то как вам внезапно кто-то и чего-то приехает и настроит.

А сестре при покупке ноута поставили лиц. винду...И вуаля.

Ехаю,или удаленно подключаюсь.

Для домашнего пользователя нужна отдельная защита или 365 дневная защита.

безопасная система никому в реальности не нужна,

 

тем кто с нее зарабатывает?

[Konstantin Yudin]

тем кто с нее зарабатывает?

я про продукты для массового рынка.

[mrbelyash]

 

тем кто с нее зарабатывает?

я про продукты для массового рынка.

 

Для массового есть админ и другой продукт.

 

--

Вынеси у супруги линух и поставь винду с доктором.

Фидбек будет ближе?