Blokowanie aplikacji „ukrytych” w Windows
Po ostatnich webinariach, doszła mnie refleksja dotycząca ogólnodostępnych programów w Windows. Po co księgowej lub sekretarce dostęp do PowerShella czy innych. Stąd moje pytanie: Jakie programy/procesy najlepiej zablokować ? Ze szkolenia dowiedziałem się o: Powershell.exe Wscript.exe Presentationhost.exe Mshta.exe Msbuild.exe Installutil.exe Regasm.exe Regsvcs.exe RegDll23.exe RegSvr32.exe Czy są jeszcze inne programy które nie powinny być uruchamiane przez użytkownika ale też żeby nie miały wpływu na stabilność działania systemu? Myślałem też o Regedit.exe, żeby tylko po zdjęciu blokady można było coś zmieniać, ale nie jestem pewien. Dodatkowo nasuwa mi się pytanie, jak mogę ustawić powiadomienie w nVision, na której maszynie próbowano uruchomić zablokowany proces ?
4 Odpowiedzi
Zostaw odpowiedź
Musisz się zalogować lub zarejestrować aby dodać nowy odpowiedź.
Zdecydowanie dobre przemyślenia. Zacząłbym od tego co już masz wylistowane. Dodatkowo dodałbym (tam gdzie można!) CMD.exe, bo sam mam kilka prostych skryptów działających w CMD, które mogą „namieszać”. Regedit też jest ok.
Tu masz link do wątku AppLockera na Git’cie, na pewno zainteresuje Cię plik „PublisherBlockRules-EXE.xml”. Z niego możesz wyciągnąć pokaźną listę exe’ków do zbanowania dla „zwykłego użytkownika” 🙂
ps. 1. Pamiętaj też, aby ograniczenia w zakresie praw do uruchamianych aplikacji najpierw testować na jednym użytkowniku. Bo znam przypadki, że blokady wdrażane globalnie szybko upadały, gdy niechcący się blokowało procesy biznesowe.
ps. 2. Do blokad dodałbym jeszcze blokowanie w zakresie pobierania określonych typów plików w sesji HTTP/HTTPS… np. exe, bat, com, ps1 czy msi ;P
A w osobnym wątku odpowiem Ci od razu na pytanie o powiadomienie dla admina, że ktoś naruszył blokady aplikacji. Na razie (wersja nV12.1) nie ma takiego powiadamiania dla admina… ale już tuż tuż tuż… i będzie 🙂
Pliki z rozszerzeniami były pierwsze co zablokowałem 👍👍
Dzięki za link
Pewnie w księgowości większość będzie nie potrzebne.
Wystarczy zmienić nazwę pliku i po blokadzie, bo Axence niestety nie blokuje po sumach kontrolnych. Ale potrafi to na przykład najnowsza wersja Kaspersky Business Security (wcześniej taka funkcjonalność była dostępna wyłącznie dla aplikacji serwerowej).