amarao (amarao_san) wrote,
amarao
amarao_san

kiddo

Делал SRP на компьютерах врачей, внезапно осознал: kiddo использует rundll, а не запускает исполняемый файл. Таким образом, для защиты от kiddo-подобных вирусов следует запрещать запуск не только исполняемых файлов, но и библиотек (соответствующая опция SRP).

Итого, политика выглядит следующим образом (если мы про мягкую безопасность для защиты доброго пользователя, а не для защиты от пользователя):

* стандартные правила винды.
* разрешёно запускать c:\documents and settings\all users\desktop\* (NLB.! В русской версии это "Рабочий стол")
* разрешено запускать c:\documents and settings\all users\start menu\*
* Разрешено запускать c:\documents and settings\%username%\Application Data\Microsoft\Internet Explorer\Quick Launch\* (N.B. Эта штука позволит пронырливому пользователю запускать что попало, т.е. это можно делать только на дружественных машинах).
* Энфорс политики для всех, включая администраторов
* Энфорс политики для всех файлов, включая библиотеки.


Из известных глюков: не ставится часть обновлений WSUS'а в таком режиме.
Tags: администрирование
Subscribe

  • systemd-networkd, netlink и arp флуд

    Нереально странный баг пофикшен с помощью eBPF затычки. Для меня большой неожиданностью является реакция на него.…

  • Rust soundness

    Каждый раз, когда я сталкиваюсь с маленькими "но" в Rust'е, это ощущение тщательной продуманности. Например, простейшие fold-функции для итераторов:…

  • still_ntp

    В ходе локального мозгового штурма у меня родилась суперидея. Надо написать ntp сервер, который может отдавать указанную дату. Т.е. сказали при…

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 7 comments