Тестируем HIPS

RSS

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.07.2015 08:59:41

привет.
смотрел настройки HIPS в восьмерке 8.0.319. вижу что есть возможность защиты папки с документами следующим способом.
1. создаем правило для папки с документами, которое
запрещает удалять, и изменять файлы из данной папки для всех приложений
2. создаем второе правило, которое разрешает удалять и изменять файлы из данной папки для выбранных приложений,
например: far, explorer, total, office, xnview, acrobat reader и проч. легальный софт для работы с документами.

и все. шифратор тут ничего не сможет сделать.
-----------------
защиту папок можно сделать так же в Endpoint v 5, а вот Endpoint 6 почему то убрали защиту папок,
возможно защитить только отдельные файлы.
что это? глюк 6.1? или недоработка?

посмотрю еще в бетке 9 есть ли такая возможность.

Просьба к специалистам техподдержки надавить на разработчиков и вернуть такую возможность в Endpoint v 6

[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 4 5 6 След.

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 07.11.2015 15:12:52

Интересно, а что если HIPS научить определять владельца запускаемого процесса? Например тот же cscript.exe может использоваться как и для благих целей, так и запускать на исполнение вредоносные скрипты. В корпоративе это было бы большое подспорье по построению безопасности. Вижу примерно так - определяем группу программ к которым требовать проверку владельца, определяем группу допустимых владельцев. Наверное даже и на производительности системы не скажется.

Сообщений: 31

Баллов: 15

Регистрация: 31.03.2015

Размещено 10.11.2015 09:44:29

вопрос по HIPS. Endpoint Antivirus 6.
если задать блокировку на все операции с файлами с маской *.* то срабатывает.
если например частный случай *.docx то не срабатывает.
и почему-то не срабатывает конструкция вида %TEMP%\bat\*.*
что делаю не так?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.11.2015 17:37:41

Роман,
потому что так и есть.
в HIPS сейчас есть возможность защитить папку с документами:
например: C:\DATA\*.* && все документы в этой папке защищены от удаления и изменения,
при этом надо создать второе правило, которое бы разрешило доверенным программам работать с данной папкой.

по маске, типа *.docx правила в HIPS не работает

по относительным путям через системные переменные, типа %TEMP%\*.bat тоже правила не работают.
--------------
возможно в будущем разработчики сделают такую возможность,
хотя это надо было сделать еще "вчера".

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 07.12.2015

Размещено 07.12.2015 04:34:46

Про возможность выбора папки в HIPS 6-й версии BE разработчики пообещали исправить этот баг в следующих версиях.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.12.2015 05:45:11

Цитата
Кирилл Коваль написал: Про возможность выбора папки в HIPS 6-й версии BE разработчики пообещали исправить этот баг в следующих версиях.

Кирилл,
о какой ошибке вы говорите? выбор папки и задание правила, например:
c:\data\*.* в HIPS 6 работает,
но не работает подобное правило для сетевых папок.
маски и относительные пути так же не работают, как для сетевых, так и для локальных папок.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 15.01.2016

Размещено 15.01.2016 00:47:21

Цитата
santy написал: но не работает подобное правило для сетевых папок.

Правильно ли я понимаю, что если я с помощью HIPS установлю правило запрещающее изменять файлы в расшаренной папке, то оно не будет работать? Или вы говорите о правилах для сетевых папок на других машинах в сети?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.01.2016 07:10:06

Роман,
я имел ввиду вариант, когда в ХИПС (на клиенте) надо было бы защитить сетевую папку на другом устройстве, поскольку на данном устройстве может быть установлен антивир без HIPS, или вообще не установлен.
(т.е. чтобы можно было добавить правила в HIPS, которые только определенным программам разрешают модифицировать документы на сетевых папках)

Изменено: santy - 15.01.2016 07:12:44

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 15.01.2016

Размещено 15.01.2016 11:19:00

А есть ли возможность реализовать вариант, когда имеется расшаренная папка (на компьютере с HIPS) в которую должны создаваться резервные копии систем с других компьютеров. Т.е. я устанавливаю запрещающие правила для всех программ, но как добавить исключения для программы, которая создает эти копии, ведь она запускается и работает на другой машине? Есть ли возможность в правилах указывать программы без конкретного пути к ним?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.01.2016 11:40:57

Роман,
да вы указали на "обратную сторону медали".
на первый взгляд, это предложенное вами решение наиболее удачное,
если бы можно было антивирусом ресурса, на котором размещена шара закрыть данную шару, и написать правила для программ, которым разрешено модифицировать документы.

но как прописать пути на программы в этом случае. будет ли HIPS понимать сетевой путь на программу, к тому же на разных компах могут быть разные сетевые пути для одной и той же программы...

или предусмотреть разрешение для этих программ не по путям, а например по цифровым подписям.

(вобщем, выход здесь видится в сочетании локальных политик и правил HIPS)

Изменено: santy - 15.01.2016 11:43:43

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 02.11.2019

Размещено 24.11.2019 10:23:28

Здравствуйте. Подскажите, пожалуйста, будет ли работать модуль HIPS в ESET NOD32 Internet Security 12.0 после окончания срока действия:
- триального ключа;
- обычного (платного) ключа?

Пред. 1 2 3 4 5 6 След.