Тестируем HIPS

RSS
привет.
смотрел настройки HIPS в восьмерке 8.0.319. вижу что есть возможность защиты папки с документами следующим способом.
1. создаем правило для папки с документами, которое
запрещает удалять, и изменять файлы из данной папки для всех приложений
2. создаем второе правило, которое разрешает удалять и изменять файлы из данной папки для выбранных приложений,
например: far, explorer, total, office, xnview, acrobat reader и проч. легальный софт для работы с документами.

и все. шифратор тут ничего не сможет сделать.
-----------------
защиту папок можно сделать так же в Endpoint v 5, а вот Endpoint 6 почему то убрали защиту папок,
возможно защитить только отдельные файлы.
что это? глюк 6.1? или недоработка?

посмотрю еще в бетке 9 есть ли такая возможность.

Просьба к специалистам техподдержки надавить на разработчиков и вернуть такую возможность в Endpoint v 6

Ответы

Интересно, а что если HIPS научить определять владельца запускаемого процесса? Например тот же cscript.exe может использоваться как и для благих целей, так и запускать на исполнение вредоносные скрипты. В корпоративе это было бы большое подспорье по построению безопасности. Вижу примерно так - определяем группу программ к которым требовать проверку владельца, определяем группу допустимых владельцев. Наверное даже и на производительности системы не скажется.
вопрос по HIPS. Endpoint Antivirus 6.
если задать блокировку на все операции с файлами с маской *.* то срабатывает.
если например частный случай *.docx то не срабатывает.
и почему-то не срабатывает конструкция вида %TEMP%\bat\*.*
что делаю не так?
Роман,
потому что так и есть.
в HIPS сейчас есть возможность защитить папку с документами:
например: C:\DATA\*.* && все документы в этой папке защищены от удаления и изменения,
при этом надо создать второе правило, которое бы разрешило доверенным программам работать с данной папкой.

по маске, типа *.docx правила в HIPS не работает

по относительным путям через системные переменные, типа %TEMP%\*.bat тоже правила не работают.
--------------
возможно в будущем разработчики сделают такую возможность,
хотя это надо было сделать еще "вчера".
Про возможность выбора папки в HIPS 6-й версии BE разработчики пообещали исправить этот баг в следующих версиях.
Цитата
Кирилл Коваль написал:
Про возможность выбора папки в HIPS 6-й версии BE разработчики пообещали исправить этот баг в следующих версиях.
Кирилл,
о какой ошибке вы говорите? выбор папки и задание правила, например:
c:\data\*.* в HIPS 6 работает,
но не работает подобное правило для сетевых папок.
маски и относительные пути так же не работают, как для сетевых, так и для локальных папок.
Цитата
santy написал:
но не работает подобное правило для сетевых папок.
Правильно ли я понимаю, что если я с помощью HIPS установлю правило запрещающее изменять файлы в расшаренной папке, то оно не будет работать? Или вы говорите о правилах для сетевых папок на других машинах в сети?
Роман,
я имел ввиду вариант, когда в ХИПС (на клиенте) надо было бы защитить сетевую папку на другом устройстве, поскольку на данном устройстве может быть установлен антивир без HIPS, или вообще не установлен.
(т.е. чтобы можно было добавить правила в HIPS, которые только определенным программам разрешают модифицировать документы на сетевых папках)
Изменено: santy - 15.01.2016 07:12:44
А есть ли возможность реализовать вариант, когда имеется расшаренная папка (на компьютере с HIPS) в которую должны создаваться резервные копии систем с других компьютеров. Т.е. я устанавливаю запрещающие правила для всех программ, но как добавить исключения для программы, которая создает эти копии, ведь она запускается и работает на другой машине? Есть ли возможность в правилах указывать программы без конкретного пути к ним?
Роман,
да вы указали на "обратную сторону медали".
на первый взгляд, это предложенное вами решение наиболее удачное,
если бы можно было антивирусом ресурса, на котором размещена шара закрыть данную шару, и написать правила для программ, которым разрешено модифицировать документы.

но как прописать пути на программы в этом случае. будет ли HIPS понимать сетевой путь на программу, к тому же на разных компах могут быть разные сетевые пути для одной и той же программы...

или предусмотреть разрешение для этих программ не по путям, а например по цифровым подписям.

(вобщем, выход здесь видится в сочетании локальных политик и правил HIPS)
Изменено: santy - 15.01.2016 11:43:43
Здравствуйте. Подскажите, пожалуйста, будет ли работать модуль HIPS в ESET NOD32 Internet Security 12.0 после окончания срока действия:
- триального ключа;
- обычного (платного) ключа?
Читают тему (гостей: 3)