Централизованный аудит событий SRP в домене

Политики Software Restriction Policies и AppLocker играют важнейшую роль в защите компьютера от вирусов и нежелательных программ. Блокируя запуск неразрешённой программы, политика генерирует событие в журнале Application локального компьютера, что позволяет администратору контролировать состояние системы и по мере необходимости вносить изменения в параметры политики. Однако, отслеживать содержимое журналов одновременно на большом числе компьютеров — слишком сложная задача. Существенно упростить контроль можно, настроив автоматическую рассылку почтовых уведомлений при появлении в журнале интересующих нас событий.

Продолжить чтение этой записи

Реклама

HTB23108 — уязвимость, которой не было.

Иногда среди сообщений о найденных «дырах» попадаются интересные экземпляры. Мне понравилась уязвимость, информацию о которой опубликовали High-Tech Bridge (оригинал ищите на https://www.htbridge.com/advisory/HTB23108). Вкратце разъясню идею:

1. Системная служба IKE and AuthIP IPsec Keying Modules, присутствующая в Windows Vista и выше, в момент запуска пытается загрузить библиотеку wlbsctrl.dll, которой обычно в системе нет.
2. Порядок, в котором осуществляется поиск библиотеки, включает в себя переменную окружения %PATH%. Эту переменную любят менять различного рода приложения!
3. По умолчанию, пользователи могут создавать папки в корне системного диска и писать в эти папки.

Продолжить чтение этой записи

Разбор ситуации: не работает Remote Desktop с Windows XP на Windows 7

        Руководство одной из компаний попросило дать доступ к рабочему компьютеру приболевшему сотруднику, чтобы он мог работать с клиентами из дому. Так как в производственных целях используется одновременно несколько программ, вполне логичным и разумным методом доступа я избрал Remote Desktop. Включил поддержку RDP на рабочей станции, при этом не забыв указать обязательное требование Network Layer Authentication (NLA), на NAT-маршрутизаторе перенаправил на нужную рабочую станцию нестандартный порт, внёс учётную запись в группу Remote Desktop Users. В конце концов, сообщил сотруднику, что он может запустить программу Remote Desktop Connection и соединиться со своим рабочим компьютером по адресу вида MyCompany.LV:12345.

Продолжить чтение этой записи

Эпидемия вируса LockDir — кто виноват? Что делать?

В очередной раз Интернет разрывается в лоскуты криками о помощи:

«Вирус зашифровал файлы и добавил им расширение loh», «Вирус заблокировал почти все файлы на обоих дисках»,«Lockdir.exe Помогите разблокировать базы 1С« и так далее до бесконечности. Это очень хороший вирус, я его люблю изо всех сил. Он в очередной раз блестяще доказал, что антивирусные программы не в состоянии защитить от вирусов, эта война ими давно проиграна. Принося очевидный весомый ущерб, он также доказал, заклинания «мне вирусы не мешают», «у меня в компьютере ничего ценного нет» являются чистым самообманом. Особенно глупо выглядят мантры «у меня хороший антивирус, он всё ловит»:

Продолжить чтение этой записи

Пять причин, по которым я работаю с ограниченными привилегиями

1. Стандартные привилегии — фундамент защиты от вирусов.

         Принципиальное отличие ограниченной учётной записи заключается в том, что у таких пользователей нет прав на инсталляцию программ. Вирус — это не чёрная магия, а тоже просто компьютерная программа, нацеленная автором на деструктивные действия.

         Не стоит надеяться на «белую магию» антивирусной программы1 — если бы антивирусные программы были способны обеспечить эффективную защиту, вирусов уже не существовало бы! Однако, если у меня нет прав на инсталляцию программ, вирус в свой компьютер я проинсталлировать тоже не смогу. Причём, совершенно не имеет значения, насколько вирус новый или сложный — если он, будучи запущенным, захочет скопироваться в папку Windows или прописаться в системном реестре, его ждёт железобетонная стена отсутствия прав на запись.

Продолжить чтение этой записи

Зачем Microsoft усложнила работу с разрешениями NTFS?

        Длительное время работая с Windows NT 5.0/5.1/5.2 (Windows 2000/XP/2003), я уже вполне привык к системе назначения разрешений NTFS. Но следующие версии NT (2008/Vista/7) всё же нашли, чем неприятно удивить. Предположим, у вас есть папка, внутри которой вы желаете переназначить доступ. Например, папка с домашними директориями пользователей. Вот как она вместе с разрешениями NTFS выглядит на одном из моих Windows Server 2003 R2:

Продолжить чтение этой записи

Как сделать, чтобы документы можно было редактировать, но не удалить?

        Этот вопрос постоянно возникает на форумах Microsoft Technet (и других). Речь обычно идёт о документах Microsoft Office, что принципиально важно. Ответ был и остаётся прежним: никак. Невозможно запретить удаление документов для пользователей, которые документ могут не только читать, но также и исправлять. Дело в том, что программы Microsoft Office при операции Сохранения работают согласно следующей логике:

Продолжить чтение этой записи