Тестируем HIPS

RSS
привет.
смотрел настройки HIPS в восьмерке 8.0.319. вижу что есть возможность защиты папки с документами следующим способом.
1. создаем правило для папки с документами, которое
запрещает удалять, и изменять файлы из данной папки для всех приложений
2. создаем второе правило, которое разрешает удалять и изменять файлы из данной папки для выбранных приложений,
например: far, explorer, total, office, xnview, acrobat reader и проч. легальный софт для работы с документами.

и все. шифратор тут ничего не сможет сделать.
-----------------
защиту папок можно сделать так же в Endpoint v 5, а вот Endpoint 6 почему то убрали защиту папок,
возможно защитить только отдельные файлы.
что это? глюк 6.1? или недоработка?

посмотрю еще в бетке 9 есть ли такая возможность.

Просьба к специалистам техподдержки надавить на разработчиков и вернуть такую возможность в Endpoint v 6

Ответы

Уважаемые! Может кто осведомлен, что-то в базах изменилось?
Например, в HIPS'e вот такое правило стало неверным -
Код
HKEY_CURRENT_USER\SOFTWARE\Policies\*
, а если быть точнее, то ветка
Код
HKEY_CURRENT_USER
является не действительным путем.
Изменено: NickM - 19.10.2015 08:03:32
NickM, какая версия? Приложите, пожалуйста, скрин ошибки.
ESET Technical Support
Версия последняя из v5 - 2254.1
Домен, "окна" - XP, 7, 8.1
Скрин? Держите gif - весь процесс от и до... http://1drv.ms/1QLrSR8
Изменено: NickM - 19.10.2015 13:42:48
Странно, у меня раздел добавился. Правда тестировал на 7-ке.
1.png (49.36 КБ)
ESET Technical Support
Я замечал такую вещь, когда пути добавленные из темы не работают,
а вот если этот же путь импортировать из реестра, то правило будет работать
Так самое интересное в том, что этим правилам сто лет в обед! Они прекрасно работали, и, Вы не поверите с продлением лицензии/обновлением ключа(вот же совпадение) - отвалились. Смех и грех - да и только. Отвалились во всем локальном домене, клиенты которого под управлением ERA v5, в политике которого и были эти правила. Пока нету времени воспроизвести в виртуалке, хотя на неделе постараюсь.
Попробуйте во время создания правила и добавления ветки кликнуть "открыть редактор реестра" и для чистоты эксперимента скопируйте нужный раздел реестра прямо из него.
ESET Technical Support
Цитата
NickM написал:
Попробуйте во время создания правила и добавления ветки кликнуть "открыть редактор реестра"
Валентин, что это даст?

Чистоту воспроизвести не удалось, но... вот что любопытно -
а последовательность и ошибка вот такая

Цитата
Date & Time: 21.10.2015 12:23:23
Event Class: Registry
Operation: RegOpenKey
Result: SUCCESS
Path: HKCU
TID: 2348
Duration: 0.0000157
Desired Access: Maximum Allowed

Цитата
Date & Time: 21.10.2015 12:23:23
Event Class: Registry
Operation: RegQueryKey
Result: INVALID HANDLE
Path: <INVALID NAME>
TID: 2348
Duration: 0.0000022
Query: Name
Length: 0
Изменено: NickM - 21.10.2015 12:51:26
Здравствуйте.
Подскажите, какие ветки реестра вносить для защиты от блокеров, http://forum.esetnod32.ru/forum9/topic3141/ , в windows 10 нет этих конечных записей:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*  
Изменено: Anders Kud - 01.11.2015 17:24:32
Точно такие же симптомы как у NickM. На Win7 32bit после обновлений слетает HIPS, если есть правила содержащие HKEY_CURRENT_USER. Эти правила работали годами. Проверял версии 7.0.302.26 и 7.0.325.1 Без обновлений антивирусных баз (за июль 2015, которые инсталятся) правила прекрасно импортируются, сохраняются после перезагрузки и отрабатываются. Как только обновляешься - ругается на ошибку в правиле, все правила удаляются, иногда HIPS отключается (возможно от версии). После не даёт эти правила импортировать - ошибка в правиле. Попытка вручную добавить правило на ветки реестра HKEY_CURRENT_USER выдают "введенный путь недействителен". Пробовал копировать из редактора реестра и из экспортированного с 8й версии xml.
PS Проверил в обратном порядке: сперва обновился потом правила HIPS. Не помогло - "введенный путь недействителен".
PPS То же самое с 8.0.304.1 на 64битWin7 и 32битXP. Кроме того наблюдаю, что с последними обновлениями не срабатывает правило на HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot­\* - в этом разделе могу создавать, менять и удалять ключи (проверено на 7.0.302.26 и 8.0.304.1).
Изменено: Василий Теркин - 04.11.2015 12:53:32
Читают тему (гостей: 3)