Логика работы SysWatch с инсталляторами
- Для любого исполняемого файла при запуске проверяется присутствие его хэш-суммы в профиле. Если файл в профиле есть, он разрешается к запуску.
- Если файла в профиле нет, он проверяется на наличие признаков инсталлятора — это имя со словами setup, install, update или опция "Installer" в свойствах файла. Если хотя бы один признак есть, файл считается инсталлером.
- Если файл признан инсталлером, SysWatch проверяет, есть ли у него действительная электронная цифровая подпись — подпись сертификатом, который присутствует в хранилище Windows на этой машине, или сертификатом, у которого какой-либо сертификат из его пути сертификации есть в хранилище. Если подписи нет, либо ее сертификата нет в хранилище, инсталлер признается "инсталлером без действительной ЭЦП", его запуск блокируется.
- Если у файла инсталлера есть действительная ЭЦП и белый список не включен — инсталлер разрешается к запуску.
- Если белый список включен, то только инсталлеры, подписанные сертификатами, присутствующими в белом списке и помеченными флажком "Доверять", разрешаются к запуску.
- Когда установщик разрешается к запуску, все файлы, измененные или созданные им в системе, вносятся в профиль. Также в профиль вносится и сам файл установщика, то есть при повторном запуске этого файла он будет разрешен независимо от признаков инсталлера в имени или наличия сертификата его ЭЦП в белом списке.
Синтаксис
#*# – заменяет любое количество символов, кроме символа '\' (в случае размещения в конце строки распространяется только на файлы корневой директории);
#**# – заменяет любое количество символов (в случае размещения в конце строки распространяется на файлы корневой директории, поддиректории и файлы поддиректорий);
#?# – заменяет ровно 1 любой символ.
Пример: на рис. Политика контроля файловой системы показано правило c ID 10002 (E:\#*#log#?#.txt), действующее на следующие объекты – текстовые файлы в корневой директории локального жесткого диска E, имеющие в своем имени последовательность букв log, любое количество произвольных символов до нее и один произвольный символ после нее.
