Ну, можно попробовать блокировать выполнение чего бы то ни было из темпов (юзерских и системных), но при этом необходимо помнить, что многие инсталляторы любят распаковываться и запускаться именно оттуда. В дополнение - завести "белый список" программ, выполнение всех остальных будет блокироваться. Но всё это - полумеры. Общие признаки вируса в целом совпадают с общими признаками обычных программ. Ничем особо характерным они не отличаются. И название может быть абсолютно любым, хоть setup, хоть install.
например я не каждый день что-то ставлю. А если ставлю - кладу инсталятор в папку Program Files, от админа запускаю и все. Папку темп закрыл.
Вот примерно то что нужно блокировать или разрешить:
Unrestricted - %systemroot%
Unrestricted - %programfiles%
Unrestricted - %userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\*.lnk – (Windows XP/2003 only)
Unrestricted - %HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData%/Microsoft/Internet Explorer/Quick Launch/*.lnk – (Windows Vista/2008 или выше)
Unrestricted - %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop%*.lnk
Unrestricted - %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs%*.lnk
Unrestricted - %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs%*/*.lnk
Unrestricted - %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs%*/*/*.lnk
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Administrative Tools%*.lnk
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop%*.lnk
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs%*.lnk
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs%*/*.lnk
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs%*/*/*.lnk
Dissalowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers%
Dissalowed - %systemroot%\Temp
Хорошая статья ( не реклама) : http://www.sysadmins.lv/blog-ru/sekrety-software-restriction-policies-chast-2.aspx
И плюс ко всему этому можно составить список файлов ключей и расширений для запрета. Придется только постоянно что-то добавлять ) и отслеживать. В продакшене более актуально будет.
Сообщение было изменено wiz: 31 Август 2015 - 17:38