ACL ForServices — различия между версиями

Материал из SafenSoft Wiki
Перейти к: навигация, поиск
Строка 228: Строка 228:
 
|
 
|
 
|
 
|
|<span style="color: green">Блокированные процессы</span>
+
|<span style="color: red">Блокированные процессы</span>
 
|Запрет на запуск эмулятора для 16-битных процессов  
 
|Запрет на запуск эмулятора для 16-битных процессов  
 
|-
 
|-

Версия 12:31, 25 февраля 2020

Набор политик контроля "ForServices"
ID правила Область контроля Правило Чтение Запись Удаление Зона действия Описание
Модули sethc.exe Блокированные процессы Запрет запуска процесса sethc.exe блокирует возможность обхода режима киоска по залипанию клавиши "shift"
Модули drvinst.exe Доверенные процессы Запрет запуска процесса drvinst.exe блокирует возможность записи сценария обращения к функциональному драйверу для устройства в реестре
Модули wudfhost.exe Блокированные процессы Запрет использования протокола MTP для доставки нагрузки под видом мультимедиа-контента с мультимедиа-устройств (фото-видео, смартфоны и т.д.) на хост
Файловая система #**#.dll разрешено разрешено разрешено Доверенные процессы Запрещена запись динамических библиотек .dll на физических дисках и подключаемых носителях с целью:
  • предотвращения несанкционированного обновления доверенным инсталлятором
  • предотвращения несанкционированной записи на диск библиотеки с доверенной для ОС цифровой подписью и последующей эксплуатации
Файловая система #**#.exe разрешено разрешено разрешено Доверенные процессы Запрещена запись файлов .exe на физических дисках и подключаемых носителях с целью:
  • предотвращения несанкционированного обновления доверенным инсталлятором
  • предотвращения несанкционированной записи на диск .exe-файла с признаками инсталлятора с доверенной для ОС цифровой подписью и последующей эксплуатации
Файловая система #**#.pdf запрещено запрещено запрещено Доверенные процессы Запрещен доступ к файлам с расширением .pdf на физических дисках и подключаемых носителях с целью предотвращения эксплуатации содержимого.

Запрещена запись файлов .pdf на физические диски и подключаемые носители.

Файловая система #**#.doc запрещено запрещено запрещено Доверенные процессы Запрещен доступ к файлам с расширением .doc на физических дисках и подключаемых носителях с целью предотвращения эксплуатации содержимого.

Запрещена запись файлов .doc на физические диски и подключаемые носители.

Файловая система #**#.ps1 разрешено разрешено разрешено Доверенные процессы Запрещен доступ к файлам с расширением .ps1 – скриптов powershell на физических дисках и подключаемых носителях с целью предотвращения эксплуатации содержимого.

Запрещена запись файлов .ps1 на физические диски и подключаемые носители.

Файловая система #**#.vbs разрешено разрешено разрешено Доверенные процессы Запрещен доступ к файлам с расширением .vbs – скриптов visual basic на физических дисках и подключаемых носителях с целью предотвращения эксплуатации содержимого.

Запрещена запись файлов .vbs на физические диски и подключаемые носители.

Модули regedit.exe Доверенные процессы Запрет запуска редактора реестра
Файловая система mmc.exe Доверенные процессы Запрет запуска оснастки mmc (изменения порядка старта служб)
Файловая система taskmgr.exe Доверенные процессы Запрет старта диспетчера задач (ограничение доступа к навигации в оснастке windows через диспетчер задач)
Файловая система #**#msconfig#*# разрешено разрешено запрещено Доверенные процессы Запрет чтения\запуска msconfig
Файловая система #**#services.msc разрешено разрешено запрещено Доверенные процессы Запрет чтения\запуска оснастки services
Реестр \REGISTRY\MACHINE\SYSTEM\ControlSet#*#\ENUM#**# разрешено разрешено Доверенные процессы Ограничение на внесение изменений в реестр информации о сценарии доступа к функциональным драйверам устройств для PnP (белый список периферии)
Реестр \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\ENUM#**# разрешено разрешено Доверенные процессы Ограничение на внесение изменений в реестр информации о сценарии доступа к функциональным драйверам устройств для PnP (белый список периферии)
Сеть
Any network activity
Входящие\Исходящие
TCP\UDP
Локальные\Удаленные
Запретить
 Доверенные процессы Запрет на любую сетевую активность для доверенных процессов. Исключения заданы в ACL1
Файловая система iexplore.exe Блокированные процессы Запрет запуска Internet Explorer
Файловая система powershell.exe Доверенные процессы запрет запуска исполняемых файлов оснастки powershell.exe
Файловая система bcdedit.exe Доверенные процессы запрет запуска оснастки bcdedit.exe
Файловая система ftp.exe Доверенные процессы Запрет запуска исполняемых файлов оснастки ftp
Реестр \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WUDF\SERVICES\#**# разрешено запрещено Доверенные процессы Запрет использования протокола MTP для доставки нагрузки под видом мультимедиа-контента с мультимедиа-устройств (фото-видео, смартфоны и т.д.) на хост (блокировка установки драйверов)
Файловая система NTVDM.exe Блокированные процессы Запрет на запуск эмулятора для 16-битных процессов
Общие настройки Имя и описание Production
Хартбит 60 сек
IP-адрес сервера xxx.xxx xxx.xx
Номер лицензии
SysWatch Контроль активности Приложения Вкл
Сеть Вкл
Файловая система Вкл
Реестр Вкл
Запретить внешнее управление службой Вкл
Глобальный режим инсталляции Выкл
Сохранять историю активности неизвестного приложения при первом запуске Вкл
Запретить выполнение скриптов Выкл
Включить контроль dll-модулей Вкл
Запретить всем модификацию PE-файлов (кроме инсталляторов) Вкл
Удалять информацию о приложениях, не запускавшихся более (дней) Выкл
Значение времени отложенного запуска службы (минуты) Вкл 0 минут
Управление инцидентами Включить автоматическую обработку инцидентов Вкл
Запуск приложения не в профиле Заблокировать (по умолчанию)
Запуск неподписанной программы установки Заблокировать (по умолчанию)
Нарушение политики контроля Запретить
Защита паролем Включить защиту паролем Вкл
Пароль Конфиденциально
Изменение свойств программы Вкл
Удаление программы Вкл
Сканирование Общие настройки
Реакция на угрозу Выбор действия автоматически
Типы файлов Все файлы
Проверка составных файлов
Почтовые базы
 Выкл
Архивы
 Выкл
Проверка съемных носителей
Автоматическая проверка съемных носителей
 Выкл
Спрашивать о проверке съемных носителей
 Выкл
Учетная запись сканера
Использовать учетную запись
 Выкл Используется системная учетная запись
Настройки расписания
Задать расписание
 Выкл
Обновление Общие настройки
Состав обновлений
Программные модули
 Вкл
Антивирусные базы
 Вкл
Соединение
Использовать параметры прокси-сервера
 Выкл
Подтверждение от пользователя
Запрашивать подтверждение перед обновлением
 Вкл
Сбор профиля
Выполнить обновление антивирусных баз перед сбором профиля
 Выкл
Настройки расписания
Задать расписание
 Выкл
Настройки интерфейса Показывать значок программы в области уведомлений Выкл
Включить звуковое сопровождение Выкл
Отчеты Отчеты
Формировать отчеты
 Вкл
Обновления
 Вкл
Проверка
 Вкл
Системный
 Вкл
Угрозы
 Вкл
Службы и неподозрительные приложения 30
Формировать отчеты (в днях)
Ротация отчетов
Включить ротацию
 Вкл
Ограничение по времени
 0
Ограничение по размеру
 10МВ
Регистрация событий в WMI
Включить регистрацию событий в WMI
 Вкл
Размер источника WMI
 10
Оповещения Показывать оповещения Выкл
Одноразовые пароли Включить одноразовые пароли Выкл
Блокировать клавиатуру Выкл
Политика контроля Устройства
COM-порты
  • Чтение - разрешить
  • Запись - разрешить
  • Удаление - разрешить
 По усмотрению, требует тестирования если «запретить»
LPT-порты
  • Чтение - разрешить
  • Запись - разрешить
  • Удаление - разрешить
 По усмотрению, требует тестирования если «запретить»
CD/DVD-устройства
  • Чтение - запретить
  • Запись - запретить
  • Удаление - запретить
USB-устройства
  • Чтение - запретить
  • Запись - запретить
  • Удаление - запретить
Исключения
 PID VID SN Ревизия
Запретить автозапуск для всех устройств Вкл
Модули Выкл
Файловая система
Ограниченные приложения
 Дефолтный набор политик контроля для ACL2 [100+]
Доверенные приложения
 Дефолтный набор политик контроля для ACL2
Созданные правила 1XXXX (см. выше)
Системный реестр
Ограниченные приложения
 Дефолтный набор политик контроля для ACL2 [10+]
Доверенные приложения
 Дефолтный набор политик контроля для ACL2
Созданные правила 1XXXX (см. выше)
Сеть
Ограниченные приложения
 Дефолтный набор политик контроля для ACL2 [300]
Доверенные приложения
 Дефолтный набор политик контроля для ACL2
Созданные правила 10018 (см. выше)
Привилегии процессов
Архивация файлов и каталогов
 Разрешено
Обход перекрестной проверки
 Разрешено
Создание глобальных объектов
 Разрешено
Создание файла подкачки
 Разрешено
Отладка программ
 Разрешено
Имитация клиента после проверки подлинности
 Разрешено
Увеличение приоритета выполнения
 Разрешено
Настройка квот памяти для процесса
 Разрешено
Загрузка и выгрузка драйверов устройств
 Разрешено
Выполнение задач по обслуживанию томов
 Разрешено
Профилирование одного устройства
 Разрешено
Принудительное удаленное завершение работы
 Разрешено
Восстановление файлов и каталогов
 Разрешено
Управление аудитом и журналом безопасности
 Разрешено
Завершение работы системы
 Разрешено
Изменение параметров среды изготовителя
 Разрешено
Профилирование производительности системы
 Разрешено
Изменение системного времени
 Разрешено
Смена владельцев файлов и других объектов
 Разрешено
Отключение компьютера от стыковочного узла
 Разрешено
Сертификаты
Использовать белый список сертификатов
 Вкл
Protection Technology, Ltd.
 Доверять
Источник — «http://kb.safensoft.com/index.php?title=ACL_ForServices&oldid=58»