Тестируем HIPS

RSS

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.07.2015 08:59:41

привет.
смотрел настройки HIPS в восьмерке 8.0.319. вижу что есть возможность защиты папки с документами следующим способом.
1. создаем правило для папки с документами, которое
запрещает удалять, и изменять файлы из данной папки для всех приложений
2. создаем второе правило, которое разрешает удалять и изменять файлы из данной папки для выбранных приложений,
например: far, explorer, total, office, xnview, acrobat reader и проч. легальный софт для работы с документами.

и все. шифратор тут ничего не сможет сделать.
-----------------
защиту папок можно сделать так же в Endpoint v 5, а вот Endpoint 6 почему то убрали защиту папок,
возможно защитить только отдельные файлы.
что это? глюк 6.1? или недоработка?

посмотрю еще в бетке 9 есть ли такая возможность.

Просьба к специалистам техподдержки надавить на разработчиков и вернуть такую возможность в Endpoint v 6

[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 4 5 6 След.

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 19.10.2015 08:03:05

Уважаемые! Может кто осведомлен, что-то в базах изменилось?
Например, в HIPS'e вот такое правило стало неверным -

Код
HKEY_CURRENT_USER\SOFTWARE\Policies\*

, а если быть точнее, то ветка

Код
HKEY_CURRENT_USER

является не действительным путем.

Изменено: NickM - 19.10.2015 08:03:32

Сообщений: 5198

Баллов: 4168

Регистрация: 12.05.2010

Размещено 19.10.2015 12:10:08

NickM, какая версия? Приложите, пожалуйста, скрин ошибки.

ESET Technical Support

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 19.10.2015 13:42:28

Версия последняя из v5 - 2254.1
Домен, "окна" - XP, 7, 8.1
Скрин? Держите gif - весь процесс от и до... http://1drv.ms/1QLrSR8

Изменено: NickM - 19.10.2015 13:42:48

Сообщений: 5198

Баллов: 4168

Регистрация: 12.05.2010

Размещено 20.10.2015 16:45:49

Странно, у меня раздел добавился. Правда тестировал на 7-ке.

Прикрепленные файлы

1.png (49.36 КБ)

ESET Technical Support

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.10.2015 16:58:36

Я замечал такую вещь, когда пути добавленные из темы не работают,
а вот если этот же путь импортировать из реестра, то правило будет работать

[ Как создать образ автозапуска? ]

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 20.10.2015 17:15:00

Так самое интересное в том, что этим правилам сто лет в обед! Они прекрасно работали, и, Вы не поверите с продлением лицензии/обновлением ключа(вот же совпадение) - отвалились. Смех и грех - да и только. Отвалились во всем локальном домене, клиенты которого под управлением ERA v5, в политике которого и были эти правила. Пока нету времени воспроизвести в виртуалке, хотя на неделе постараюсь.

Сообщений: 5198

Баллов: 4168

Регистрация: 12.05.2010

Размещено 21.10.2015 11:44:40

Попробуйте во время создания правила и добавления ветки кликнуть "открыть редактор реестра" и для чистоты эксперимента скопируйте нужный раздел реестра прямо из него.

ESET Technical Support

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 21.10.2015 12:48:00

Цитата
NickM написал: Попробуйте во время создания правила и добавления ветки кликнуть "открыть редактор реестра"

Валентин, что это даст?

Чистоту воспроизвести не удалось, но... вот что любопытно -

а последовательность и ошибка вот такая

Цитата
Date & Time: 21.10.2015 12:23:23 Event Class: Registry Operation: RegOpenKey Result: SUCCESS Path: HKCU TID: 2348 Duration: 0.0000157 Desired Access: Maximum Allowed

Цитата
Date & Time: 21.10.2015 12:23:23 Event Class: Registry Operation: RegQueryKey Result: INVALID HANDLE Path: <INVALID NAME> TID: 2348 Duration: 0.0000022 Query: Name Length: 0

Изменено: NickM - 21.10.2015 12:51:26

Сообщений: 47

Баллов: 23

Регистрация: 18.09.2015

Размещено 01.11.2015 17:23:08

Здравствуйте.
Подскажите, какие ветки реестра вносить для защиты от блокеров, http://forum.esetnod32.ru/forum9/topic3141/ , в windows 10 нет этих конечных записей:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*

Изменено: Anders Kud - 01.11.2015 17:24:32

Сообщений: 1

Регистрация: 03.11.2015

Размещено 03.11.2015 21:05:00

Точно такие же симптомы как у NickM. На Win7 32bit после обновлений слетает HIPS, если есть правила содержащие HKEY_CURRENT_USER. Эти правила работали годами. Проверял версии 7.0.302.26 и 7.0.325.1 Без обновлений антивирусных баз (за июль 2015, которые инсталятся) правила прекрасно импортируются, сохраняются после перезагрузки и отрабатываются. Как только обновляешься - ругается на ошибку в правиле, все правила удаляются, иногда HIPS отключается (возможно от версии). После не даёт эти правила импортировать - ошибка в правиле. Попытка вручную добавить правило на ветки реестра HKEY_CURRENT_USER выдают "введенный путь недействителен". Пробовал копировать из редактора реестра и из экспортированного с 8й версии xml.
PS Проверил в обратном порядке: сперва обновился потом правила HIPS. Не помогло - "введенный путь недействителен".
PPS То же самое с 8.0.304.1 на 64битWin7 и 32битXP. Кроме того наблюдаю, что с последними обновлениями не срабатывает правило на HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\* - в этом разделе могу создавать, менять и удалять ключи (проверено на 7.0.302.26 и 8.0.304.1).

Изменено: Василий Теркин - 04.11.2015 12:53:32

Пред. 1 2 3 4 5 6 След.