FireFox создает временную папку в %TEMP%\7z*
Как думаете, насколько замедлится система если использовать сертификаты?
И имеет ли смысл их использовать для одобрения известного ПО

Как мне кажется, используя неограниченный режим, сертификаты проверяются индивидуально, без нагрузки на систему:

Скрытый текст

Путь в карантин: C:\Program Files\FixSecurity\Quarantine
Создается архив с именем infected и тем же паролем

Каждое выбранное в утилите расширение, обрабатывается командой в реестре.
Формат расширений: *.bat *.cmd и т.д.

Представляю Вам утилиту для офисных пользователей, для защиты от шифрования данных.
Как известно, большая часть шифровальщиков распространяется через электронную почту.
Назначение этой утилиты - блокировка исполняемых файлов от случайного запуска неопытными пользователями.

Функции защиты:
1) Защита от известных исполняемых файлов, которые вместо обычного запуска попадают в карантин
2) Опция включения встроенной защиты в WinRAR архиваторе, которая позволяет блокировать все известные исполняемые файлы
3) Защита правилами SRP, которые позволяют блокировать все известные исполняемые файлы внутри архивов

Дополнительные опции:
- полное отключение скриптов для пользователя или для системы
- включение отображения расширений файлов (типы файлов)



Утилита бесплатная, а так же имеется онлайн чат, для отправки карантина на проверку.
http://safezone.cc/resources/fixrun-fixsecurity-zaschita-ot-shifrovalschikov.196/

В этом списке исполняемые расширения файлов (кроме *.wsf и *.wsh по умолчанию):

Насчет флешек и прочих устройств с буквами.
Есть вариант добавить правило на все буквы, но оно не работает для всех типов файлов в списке SRP, только выбранные: *:\*.exe
В данном случае в принципе достаточно запретить файл *:\autorun.inf но тогда остается ручной запуск файлов *.js *.wsf *.exe из любопытства.

Может есть варианты переделать правило под список всех расширений в SRP?

Как защититься от эксплойтов в офисных документах?
От макросов и ActiveX, можно ли добавить сертификат или доверие файлу?

Столкнулся с тем, что если запрещать макросы и ActiveX банковские документы не работают.
Вот как бы разрешить доверенным файлам макросы и ActiveX

Подскажите, какие еще расширения нужно добавить, в запрет?
*.exe *.com *.pif *.scr *.bat *.cmd *.lnk *.js *.jse *.vbs *.vbe *.wsf *.wsh *.reg *.cpl *.bin *.hta

Файлы .REG в виде текста:

Для файлов с расширением .JS

Windows Registry Editor Version 5.00 ;Включить отображение расширения файла [HKEY_CLASSES_ROOT\JSFile] "AlwaysShowExt"="" "BrowserFlags"=dword:00000008 ;По умолчанию открывать файл в редакторе [HKEY_CLASSES_ROOT\JSFile\Shell] @="Edit" ;Спрятать пункт "Открыть" в контекстном меню [HKEY_CLASSES_ROOT\JSFile\Shell\Open] "LegacyDisable"="" ;Спрятать пункт "Открыть в командной строке" в контекстном меню [HKEY_CLASSES_ROOT\JSFile\Shell\Open2] "LegacyDisable"=""

Для файлов с расширением .SCR

Windows Registry Editor Version 5.00 ;Включить отображение расширения файла [HKEY_CLASSES_ROOT\scrfile] "AlwaysShowExt"="" "BrowserFlags"=dword:00000008 ;По умолчанию открывать файл в редакторе [HKEY_CLASSES_ROOT\scrfile\shell] @="edit" ;Спрятать пункт "Проверка" в контекстном меню [HKEY_CLASSES_ROOT\scrfile\shell\open] "LegacyDisable"="" ;Спрятать пункт "Настроить" в контекстном меню [HKEY_CLASSES_ROOT\scrfile\shell\config] "LegacyDisable"="" ;Спрятать пункт "Установить" в контекстном меню [HKEY_CLASSES_ROOT\scrfile\shell\install] "LegacyDisable"="" ;Добавить раздел "edit" для запуска файла по умолчанию в редакторе [HKEY_CLASSES_ROOT\scrfile\shell] [HKEY_CLASSES_ROOT\scrfile\shell\edit] [HKEY_CLASSES_ROOT\scrfile\shell\edit\command] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\  00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\  54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,25,00,31,00,00,\  00

При запуске файла открывается редактор вместо запуска команд "%1" %* и "%1" /S (и т.д.)
Файлы остаются исполняемыми, но в контекстном меню отсутствует пункт "Открыть".
Это только часть защиты, так же можно защитить .REG .BAT .CMD .VBS .VBE .JSE

NickM
Антивирус в любом случае нужен, так как скрипты остаются исполняемыми но для неопытных пользователей это действие скрыто.
Для модуля HIPS нужно слишком много правил и белый список доверенных программ.
Защита посредством системных компонентов, ключевое свойство - запрет на исполнение скриптов мышкой, а так же, запрет на исполнение скрипта внутри архива.
После фикса (fix), только системный администратор сможет запускать скрипты, и только в консоли (при условии неопытности пользователя).

santy
Как будет результат отпишу в ЛС.