Как стать автором
Обновить

Как настроить в корпоративной сети расширенную защиту следующего поколения

Время на прочтение 14 мин
Количество просмотров 11K
Всего голосов 8: ↑7 и ↓1 +6
Комментарии 6

Комментарии 6

Под добавлению исключений вопросы:
1. Можно ли добавить файл по хешу/контрольной сумме?
2. Можно ли задавать относительные пути, например, папки пользователей. То есть допустим разрешить запуск %SYSTEMDRIVE%\Users\*\Program.exe?
Ведь у профилей пользователя пути разные, а некоторые программы ой как любят ставиться в какой-нибудь AppData…
Можно ли добавить файл по хешу/контрольной сумме?

Нет, нельзя
Можно добавлять только расширения, названия папок и файлов

Можно ли задавать относительные пути, например, папки пользователей. То есть допустим разрешить запуск %SYSTEMDRIVE%\Users\*\Program.exe?

Нельзя указывать условные пути.

Вообще с исключениями такой подход: каждое неклассифицированное приложение классифицируется в течение суток.
Можно подождать сутки, пока будет классифицировано приложение.
При необходимости можно добавить в исключения конкретное приложение, запускаемое на конкретной машине.
при этом после классификации система будет знать, что делать с таким приложением — добавлять в список надежных приложений, исключения или все блокировать
Но в целом в продукте не приветствуется практика добавления исключений, потому что это несет потенциальные риски для безопасности.

Уточните, пожалуйста, в Вашем случае зачем нужны исключения?
В моём случае на предприятии используется политика запрещено всё, что явно не разрешено. Конечно, всё это можно решить групповыми политиками, но это другой вопрос… Конкретно по вашему вопросу. Есть площадка РЖД, там есть приложение на .NET, которое ставится в appdata пользователя, пользователей работает несколько…
Если расширенная защита на этих машинах, где стоит данная программа, работает в режиме Lock, то система первоначально запретит запускать данное приложение всем пользователям этих машин. Но, Вы сможете добавить данное приложение в исключение, чтобы система не блокировала. При этом система в течение суток проверит данное приложение, и если оно будет невредоносным, то с его запуском и впредь не будет проблем.
Другими словами, расширенная защита предназначена для защиты от неизвестных угроз, атак и уязвимостей.
Если с приложением все в порядке, то после проверки у системы к нему «вопросов» не будет :)

Или я не совсем правильно понял Ваш вопрос?
Я смотрю все подтягиваются, чтобы реализовать в своих средствах базовые механизмы SRP. И ничего, что «защита следующего поколения» придумана 15 лет назад.
все подтягиваются, чтобы реализовать в своих средствах базовые механизмы SRP.

Грубо говоря, механизмы SRP — это лишь маленькая часть того, что интегрировано в современные системы.
К сожалению, одно SRP далеко не всегда удобно и практично.
Плюс это не является панацеей для борьбы с уязвимостями в легальных программах, которые можно и нужно запускать, а также с атаками, в которых вообще не используются вредоносные программы.

Безусловно, какие-то элементы SRP тут используются.
Все же развивается по спирали: создали 15 лет назад, потом усовершенствовали все это, интегрировали в другие решения и технологии и т.д.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий