35 ответов в этой теме

[Dimasin]

Пожалуйста, подскажите, есть ли возможность реализовать режим белых списков приложений при помощи компонента "Контроль приложений"?

Spoiler

Судя по приведенной блок - схеме работы компонента "Контроль приложений", если следовать точной формулировке критерия "белых списков", на данный момент это невозможно, т.к. в конечном итоге, решение о запуске принимается по критериям функционального анализа запускаемого приложения.
Поясню, что мне в этой схеме не нравится на примере типа: "По электронной почте прислали очень важный документ. Документ содержит скрипт, скрипт что то скачивает и запускает ...".
Итак, пройду по схеме.
1. Запуск скрипта. Скрипта нет в разрешающих и запрещающих правилах, нет его и в доверенных приложениях. Запуск скриптов в профиле разрешен даже по сети, т.к. домен. В конечном итоге все упирается в функциональный анализ - т.е. антивирус. В худшем случае функциональный анализ разрешит запуск скрипта, который скачает, сохранит на диск и попытается выполнить запуск скачанного исполняемого файла.
2. Запуск скачанного исполняемого файла. Этого файла нет в разрешающих и запрещающих правилах, нет его и в доверенных приложениях. Снова конечном итоге все упирается в функциональный анализ - т.е. антивирус.

Есть ли в данной схеме какая то возможность гарантировать, что не будет запущен ни один исполняемый файл, отсутствующий в списке доверенных приложений или разрешающих правилах?

[Ivan Korolev]

>1. Запуск скрипта. 

 

Вы можете заблокировать через функциональный анализ запуск интерпретаторов тех скриптов, которые не используются в вашей сети. Например, hta, vbs, js не самые востребованные скрипты в работе, но зачастую используются для доставки троянов.

 

>2. Запуск скачанного исполняемого файла. Этого файла нет в разрешающих и запрещающих правилах, нет его и в доверенных приложениях. 

 

Вот здесь уже шире поле для маневра. Через тот же функциональный анализ запускаемых приложений можно заблокировать запуск с черными, серыми подписями, подписями утилит взлома, поврежденными/фейковыми подписями. Если у вас не запускаются не подписанные приложения или их число конечно, то можно здесь же заблокировать и запуск всего неподписанного, добавив нужные в allow rules.

 

Это, если действовать через блокировки, по именно разрешающему режиму надо подождать информации от моих коллег.

[Afalin]

Судя по приведенной блок - схеме работы компонента "Контроль приложений", если следовать точной формулировке критерия "белых списков", на данный момент это невозможно, т.к. в конечном итоге, решение о запуске принимается по критериям функционального анализа запускаемого приложения.

Так не разрешайте лишнего в этих критериях. Тем более там разрешающих пункта всего лишь два.

Запуск скриптов в профиле разрешен даже по сети, т.к. домен.

Не "разрешён", а "не запрещён", это важно. Если Вы не сделали отдельного разрешающего правила на конкретное множество скриптов.

В конечном итоге все упирается в функциональный анализ - т.е. антивирус.

К антивирусу это не имеет никакого отношения, это всё контроль приложений и вот те галочки. То, что касается именно антивирусного движка, работает вообще независимо от контроля приложений. Соответственно, выводы в пункте 2 неверны полностью.

 

Только с белыми списками надо иметь в виду, что любое изменение установленного софта (винды в том числе, если не стоит соответствующая галка в разрешениях) приведёт к его отказу. Т.е. можно и винду отучить запускаться, если соответствующим образом настроить.

[Irina Nikolaevna]

> Есть ли в данной схеме какая то возможность гарантировать, что не будет запущен ни один исполняемый файл, отсутствующий в списке доверенных приложений или разрешающих правилах?

В том случае, если распространить профиль на станции, в котором есть группа/группы доверенных приложений - на станциях будет разрешен запуск только тех приложений, которые есть в группе/группах доверенных приложений + можно с помощью разрешающих правил точечно что-то разрешить.

[Dimasin]

> Есть ли в данной схеме какая то возможность гарантировать, что не будет запущен ни один исполняемый файл, отсутствующий в списке доверенных приложений или разрешающих правилах?

В том случае, если распространить профиль на станции, в котором есть группа/группы доверенных приложений - на станциях будет разрешен запуск только тех приложений, которые есть в группе/группах доверенных приложений + можно с помощью разрешающих правил точечно что-то разрешить.

А как же Схема работы Контроля приложений, которую я вложил в 1 сообщение, ну и ссылка на документацию https://cdn-download.drweb.com/pub/drweb/esuite/13.0.0/documentation/html/ru/admin_manual/application_control.htm?
 

[Dimasin]

>1. Запуск скрипта. 

 

Вы можете заблокировать через функциональный анализ запуск интерпретаторов тех скриптов, которые не используются в вашей сети. Например, hta, vbs, js не самые востребованные скрипты в работе, но зачастую используются для доставки троянов.

 

>2. Запуск скачанного исполняемого файла. Этого файла нет в разрешающих и запрещающих правилах, нет его и в доверенных приложениях. 

 

Вот здесь уже шире поле для маневра. Через тот же функциональный анализ запускаемых приложений можно заблокировать запуск с черными, серыми подписями, подписями утилит взлома, поврежденными/фейковыми подписями. Если у вас не запускаются не подписанные приложения или их число конечно, то можно здесь же заблокировать и запуск всего неподписанного, добавив нужные в allow rules.

 

Это, если действовать через блокировки, по именно разрешающему режиму надо подождать информации от моих коллег.

Как именно можно заблокировать запуск всех приложений не подписанных или подписанных самоподписными сертификатами?

[Dimasin]

 

>1. Запуск скрипта. 

 

Вы можете заблокировать через функциональный анализ запуск интерпретаторов тех скриптов, которые не используются в вашей сети. Например, hta, vbs, js не самые востребованные скрипты в работе, но зачастую используются для доставки троянов.

 

>2. Запуск скачанного исполняемого файла. Этого файла нет в разрешающих и запрещающих правилах, нет его и в доверенных приложениях. 

 

Вот здесь уже шире поле для маневра. Через тот же функциональный анализ запускаемых приложений можно заблокировать запуск с черными, серыми подписями, подписями утилит взлома, поврежденными/фейковыми подписями. Если у вас не запускаются не подписанные приложения или их число конечно, то можно здесь же заблокировать и запуск всего неподписанного, добавив нужные в allow rules.

 

Это, если действовать через блокировки, по именно разрешающему режиму надо подождать информации от моих коллег.

Как именно можно заблокировать запуск всех приложений не подписанных или подписанных самоподписными сертификатами?

 

Извините, это нашлось.

[Dimasin]

А еще, пожалуйста, подскажите, что означает в разрешающих правилах критерия функционального анализа "Запуск приложений" профиля, разрешение "Разрешать запуск приложений, известных/доверенных «Доктор Веб»"?

И дальше в соответствующих критериях:

- Разрешать загрузку и исполнение модулей, известных/доверенных «Доктор Веб»

- Разрешать запуск сценариев, известных/доверенных «Доктор Веб»

- Разрешать загрузку драйверов, известных/доверенных «Доктор Веб»

- Разрешать установку пакетов, известных/доверенных «Доктор Веб»

- Разрешать создание и модификацию исполняемых файлов подписанным приложениям, известным/доверенным «Доктор Веб»?

 

Собственно смущает фраза известных/доверенных «Доктор Веб», какой именно критерий используется для того, чтобы приложение, модуль, драйвер или сценарий стал известным или доверенным «Доктор Веб»? Где этот список приложений, модулей, драйверов и сценариев? Или это как раз и есть суть функционального анализа? Т.е. списка нет, а само приложение становится известным или доверенным «Доктор Веб» как раз по результатам функционального анализа?

[Konstantin Yudin]

доверие основывается на криптографии, это база огромна и пополняется без остановки с наших серверов обновления. эта фича сахар, если доверяйте нам, можете доверять и тут, чтоб не создавать кучу правил. но все это опционально, можете держать все под контролем.

[Afalin]

 

> Есть ли в данной схеме какая то возможность гарантировать, что не будет запущен ни один исполняемый файл, отсутствующий в списке доверенных приложений или разрешающих правилах?

В том случае, если распространить профиль на станции, в котором есть группа/группы доверенных приложений - на станциях будет разрешен запуск только тех приложений, которые есть в группе/группах доверенных приложений + можно с помощью разрешающих правил точечно что-то разрешить.

А как же Схема работы Контроля приложений, которую я вложил в 1 сообщение, ну и ссылка на документацию https://cdn-download.drweb.com/pub/drweb/esuite/13.0.0/documentation/html/ru/admin_manual/application_control.htm?

Так а в чём противоречие?

[Dimasin]

 

 

> Есть ли в данной схеме какая то возможность гарантировать, что не будет запущен ни один исполняемый файл, отсутствующий в списке доверенных приложений или разрешающих правилах?

В том случае, если распространить профиль на станции, в котором есть группа/группы доверенных приложений - на станциях будет разрешен запуск только тех приложений, которые есть в группе/группах доверенных приложений + можно с помощью разрешающих правил точечно что-то разрешить.

А как же Схема работы Контроля приложений, которую я вложил в 1 сообщение, ну и ссылка на документацию https://cdn-download.drweb.com/pub/drweb/esuite/13.0.0/documentation/html/ru/admin_manual/application_control.htm?

Так а в чём противоречие?

 

Да, правда, в Вашем ответе нет противоречия документации: "на станциях будет разрешен запуск только тех приложений, которые есть в группе/группах доверенных приложений + можно с помощью разрешающих правил точечно что-то разрешить". Я воспринял Вашу фразу как ответ на свой вопрос, вот в чем противоречие. Я спрашиваю можно ли создать такую конфигурацию компонента "Контроль приложений", чтобы гарантировать, что не будет запущен ни один исполняемый файл, отсутствующий в списке доверенных приложений или разрешающих правилах?

[Irina Nikolaevna]

> А как же Схема работы Контроля приложений, которую я вложил в 1 сообщение, ну и ссылка на документацию https://cdn-download.drweb.com/pub/drweb/esuite/13.0.0/documentation/html/ru/admin_manual/application_control.htm?

 

Например, собираем со станции группу доверенных приложений, без каких-либо правил, в критериях ставим галку для контроля запуска приложений (без блокировок), создаем профиль, добавляем группу в профиль, распространяем на станцию. На станции запускаем <программу> (ее нет в группе доверенных приложений) и идем по схеме из документации:

- совпадений по запрещающим правилам нет;

- совпадений по разрешающим правилам нет;

- создана группа доверенных приложений ДА;

- совпадений по группе доверенных приложений НЕТ;

- разрешений по критериям функционального анализа НЕТ (поскольку она не попадает под Разрешать запуск системных приложений и приложений от компании Microsoft или  Разрешать запуск приложений, известных/доверенных «Доктор Веб»);

- запуск запрещен.

[Dimasin]

доверие основывается на криптографии, это база огромна и пополняется без остановки с наших серверов обновления. эта фича сахар, если доверяйте нам, можете доверять и тут, чтоб не создавать кучу правил. но все это опционально, можете держать все под контролем.

Ясно, почему бы не включить это в документацию?

[Dimasin]

> А как же Схема работы Контроля приложений, которую я вложил в 1 сообщение, ну и ссылка на документацию https://cdn-download.drweb.com/pub/drweb/esuite/13.0.0/documentation/html/ru/admin_manual/application_control.htm?

 

Например, собираем со станции группу доверенных приложений, без каких-либо правил, в критериях ставим галку для контроля запуска приложений (без блокировок), создаем профиль, добавляем группу в профиль, распространяем на станцию. На станции запускаем <программу> (ее нет в группе доверенных приложений) и идем по схеме из документации:

- совпадений по запрещающим правилам нет;

- совпадений по разрешающим правилам нет;

- создана группа доверенных приложений ДА;

- совпадений по группе доверенных приложений НЕТ;

- разрешений по критериям функционального анализа НЕТ (поскольку она не попадает под Разрешать запуск системных приложений и приложений от компании Microsoft или  Разрешать запуск приложений, известных/доверенных «Доктор Веб»);

- запуск запрещен.

Да, спасибо, теперь дошло что такое "функциональный анализ". Я воспринимал его как анализ самого приложения, а не проверку по критериям, хотя в документации вроде как все написано. Спасибо!

Не так давно я участвовал в небольшом мастер классе по защите рабочих станций при помощи технологии белых списков приложений https://codeib.ru/blog/academy-5/primenenie-application-whitelisting-dlia-zashchity-ot-shifrovalshchikov-i-nezhelatelnykh-programm-232. Там привели небольшой список софта, при помощи которого это можно сделать и DrWeb в этом списке отсутствовал.

[Dimasin]

Пожалуйста, поясните по запретам "Функционального анализа". В частности интересует "Запрещать запуск приложений из сети и общих ресурсов" и "Запрещать запуск приложений со сменных носителей". У меня не получается воспользоваться этими возможностями.

Если приложения нет в доверенных, для него нет отдельных правил и оно не является известным/доверенным «Доктор Веб» или микрософт, то такое приложение не запустится ни локально, ни из сети, ни с флешки независимо от установленных правил запрета "Функционального анализа".

Если приложение есть в доверенных или есть правило, или оно является известным/доверенным «Доктор Веб» или микрософт, то такое приложение запускается и локально, и из сети, и с флешки, независимо от включенных соответствующих правил запрета "Функционального анализа".

В каких случаях и как можно заставить работать правила запрета "Функционального анализа"?

Сообщение было изменено Dimasin: 07 Июль 2022 - 10:01

[Afalin]

Тут следует обратиться снова к схеме работы контроля приложений. Из неё видно, что в варианте с белым списком запреты в "критериях" не применяются вообще, потому что по умолчанию и так уже всё заблокировано. То, что внесено в белый список, ограничивать не следует, потому что ему уже выдано доверие.

Возможно, Вам стоит рассказать, чего Вы хотите добиться.

[Irina Nikolaevna]

> В каких случаях и как можно заставить работать правила запрета "Функционального анализа"?

Возвращаемся к схеме. Последовательность по совпадениям следующая: 1 - запрещающие правила, 2 - разрешающие, 3 - группа/группы доверенных приложений, 4 - критерии функционального анализа. Если совпадений нет по правилам (запрещающим/разрешающим), группы/групп доверенных приложений нет - попадаем в Запрет по критериям функционального анализа.

 

И еще момент, может возникает недопонимание из-за переплетающихся формулировок. Правила разрешающие и запрещающие. Критерии функционального анализа (еще их называют политики) - состоят из 6 категорий, каждая категория содержит свой набор запретов (разрешения у всех одинаковые).

Правила, политики, группы доверенных приложений (еще называют белые списки) - это 3 разные сущности.

Сообщение было изменено Irina Nikolaevna: 07 Июль 2022 - 13:06

[Dmitry_rus]

Irina Nikolaevna, возможно, следовало бы переработать этот раздел документации?

[Irina Nikolaevna]

> Irina Nikolaevna, возможно, следовало бы переработать этот раздел документации?

Нашла тикет в трекере на расшифровку политик. В ЕС 12 что-то даже добавили, в 13 версии ждем новую редакцию.

[Dimasin]

Тут следует обратиться снова к схеме работы контроля приложений. Из неё видно, что в варианте с белым списком запреты в "критериях" не применяются вообще, потому что по умолчанию и так уже всё заблокировано. То, что внесено в белый список, ограничивать не следует, потому что ему уже выдано доверие.

Возможно, Вам стоит рассказать, чего Вы хотите добиться.

Я хочу ограничить запуск приложений с флешек и сетевых дисков, но в случае наличия списка доверенных приложений запреты не применяются. В случае если списка доверенных приложений нет, то ограничение на запуск с флешек и сетевых дисков работают, но локально запускаются любые приложения, если не включены другие ограничения. Т.е. в качестве "ограничителя" может работать либо список доверенных приложений, либо правила запрета "Функционального анализа" совместно эти "ограничители" не работают. Я правильно понял?