ACL "Production Audit"

Материал из SafenSoft Wiki
Версия от 12:50, 25 февраля 2020; EElagina (обсуждение | вклад) (Новая страница: «{| class="wikitable" !colspan="8"|'''Набор политик контроля "Production Audit"''' |- |'''ID правила''' |'''Область контро…»)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск
Набор политик контроля "Production Audit"
ID правила Область контроля Правило Чтение Запись Удаление Зона действия Описание
Модули sethc.exe Блокированные процессы Запрет запуска процесса sethc.exe блокирует возможность обхода режима киоска по залипанию клавиши "shift"
Модули drvinst.exe Блокированные процессы Запрет запуска процесса drvinst.exe блокирует возможность записи сценария обращения к функциональному драйверу для устройства в реестре
Модули wudfhost.exe Блокированные процессы Запрет использования протокола MTP для доставки нагрузки под видом мультимедиа-контента с мультимедиа-устройств (фото-видео, смартфоны и т.д.) на хост
Файловая система #**#.dll разрешено запрещено запрещено Доверенные процессы Запрещена запись динамических библиотек .dll на физических дисках и подключаемых носителях с целью:
  • предотвращения несанкционированного обновления доверенным инсталлятором
  • предотвращения несанкционированной записи на диск библиотеки с доверенной для ОС цифровой подписью и последующей эксплуатации
Файловая система #**#.exe разрешено запрещено запрещено Доверенные процессы Запрещена запись файлов .exe на физических дисках и подключаемых носителях с целью:
  • предотвращения несанкционированного обновления доверенным инсталлятором
  • предотвращения несанкционированной записи на диск .exe-файла с признаками инсталлятора с доверенной для ОС цифровой подписью и последующей эксплуатации
Файловая система #**#.pdf запрещено запрещено запрещено Доверенные процессы Запрещен доступ к файлам с расширением .pdf на физических дисках и подключаемых носителях с целью предотвращения эксплуатации содержимого.

Запрещена запись файлов .pdf на физические диски и подключаемые носители.

Файловая система #**#.doc запрещено запрещено запрещено Доверенные процессы Запрещен доступ к файлам с расширением .doc на физических дисках и подключаемых носителях с целью предотвращения эксплуатации содержимого.

Запрещена запись файлов .doc на физические диски и подключаемые носители.

Файловая система #**#.ps1 запрещено запрещено запрещено Доверенные процессы Запрещен доступ к файлам с расширением .ps1 – скриптов powershell на физических дисках и подключаемых носителях с целью предотвращения эксплуатации содержимого.

Запрещена запись файлов .ps1 на физические диски и подключаемые носители.

Файловая система #**#.vbs запрещено запрещено запрещено Доверенные процессы Запрещен доступ к файлам с расширением .vbs – скриптов visual basic на физических дисках и подключаемых носителях с целью предотвращения эксплуатации содержимого.

Запрещена запись файлов .vbs на физические диски и подключаемые носители.

Модули regedit.exe Блокированные процессы Запрет запуска редактора реестра
Файловая система mmc.exe Блокированные процессы Запрет запуска оснастки mmc (изменения порядка старта служб)
Файловая система taskmgr.exe Блокированные процессы Запрет старта диспетчера задач (ограничение доступа к навигации в оснастке windows через диспетчер задач)
Файловая система #**#msconfig#*# запрещено запрещено запрещено Доверенные процессы Запрет чтения\запуска msconfig
Файловая система #**#services.msc запрещено запрещено запрещено Доверенные процессы Запрет чтения\запуска оснастки services
Реестр \REGISTRY\MACHINE\SYSTEM\ControlSet#*#\ENUM#**# запрещено запрещено Доверенные процессы Ограничение на внесение изменений в реестр информации о сценарии доступа к функциональным драйверам устройств для PnP (белый список периферии)
Реестр \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\ENUM#**# запрещено запрещено Доверенные процессы Ограничение на внесение изменений в реестр информации о сценарии доступа к функциональным драйверам устройств для PnP (белый список периферии)
Сеть
Any network activity
Входящие\Исходящие
TCP\UDP
Локальные\Удаленные
Запретить
Доверенные процессы Запрет на любую сетевую активность для доверенных процессов. Исключения заданы в ACL1
Файловая система iexplore.exe Блокированные процессы Запрет запуска Internet Explorer
Файловая система powershell.exe Блокированные процессы запрет запуска исполняемых файлов оснастки powershell.exe
Файловая система bcdedit.exe Блокированные процессы запрет запуска оснастки bcdedit.exe
Файловая система ftp.exe Блокированные процессы Запрет запуска исполняемых файлов оснастки ftp
Реестр \REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WUDF\SERVICES\#**# разрешено запрещено запрещено Доверенные процессы Запрет использования протокола MTP для доставки нагрузки под видом мультимедиа-контента с мультимедиа-устройств (фото-видео, смартфоны и т.д.) на хост (блокировка установки драйверов)
Файловая система NTVDM.exe Блокированные процессы Запрет на запуск эмулятора для 16-битных процессов
Общие настройки Имя и описание Production
Хартбит 60 сек
IP-адрес сервера xxx.xxx xxx.xx
Номер лицензии
SysWatch Контроль активности Приложения Вкл
Сеть Вкл
Файловая система Вкл
Реестр Вкл
Запретить внешнее управление службой Вкл
Глобальный режим инсталляции Выкл
Сохранять историю активности неизвестного приложения при первом запуске Вкл
Запретить выполнение скриптов Выкл
Включить контроль dll-модулей Вкл
Запретить всем модификацию PE-файлов (кроме инсталляторов) Вкл
Удалять информацию о приложениях, не запускавшихся более (дней) Выкл
Значение времени отложенного запуска службы (минуты) Вкл 0 минут
Управление инцидентами Включить автоматическую обработку инцидентов Вкл
Запуск приложения не в профиле Запустить в режиме обновления и установки
Запуск неподписанной программы установки Установить
Нарушение политики контроля Разрешить
Защита паролем Включить защиту паролем Вкл
Пароль Конфиденциально
Изменение свойств программы Вкл
Удаление программы Вкл
Блокировка клавиатуры Вкл
Сканирование Общие настройки
Реакция на угрозу Выбор действия автоматически
Типы файлов Все файлы
Проверка составных файлов
Почтовые базы
Выкл
Архивы
Выкл
Проверка съемных носителей
Автоматическая проверка съемных носителей
Выкл
Спрашивать о проверке съемных носителей
Выкл
Учетная запись сканера
Использовать учетную запись
Выкл Используется системная учетная запись
Настройки расписания
Задать расписание
Выкл
Обновление Общие настройки
Состав обновлений
Программные модули
Вкл
Антивирусные базы
Вкл
Соединение
Использовать параметры прокси-сервера
Выкл
Подтверждение от пользователя
Запрашивать подтверждение перед обновлением
Вкл
Сбор профиля
Выполнить обновление антивирусных баз перед сбором профиля
Выкл
Настройки расписания
Задать расписание
Выкл
Настройки интерфейса Показывать значок программы в области уведомлений Выкл
Включить звуковое сопровождение Выкл
Отчеты Отчеты
Формировать отчеты
Вкл
Обновления
Вкл
Проверка
Вкл
Системный
Вкл
Угрозы
Вкл
Службы и неподозрительные приложения 30
Формировать отчеты (в днях)
Ротация отчетов
Включить ротацию
Вкл
Ограничение по времени
0
Ограничение по размеру
10МВ
Регистрация событий в WMI
Включить регистрацию событий в WMI
Вкл
Размер источника WMI
10
Оповещения Показывать оповещения Выкл
Одноразовые пароли Включить одноразовые пароли Выкл
Блокировать клавиатуру Выкл
Политика контроля Устройства
COM-порты
  • Чтение - разрешить
  • Запись - разрешить
  • Удаление - разрешить
По усмотрению, требует тестирования если «запретить»
LPT-порты
  • Чтение - разрешить
  • Запись - разрешить
  • Удаление - разрешить
По усмотрению, требует тестирования если «запретить»
CD/DVD-устройства
  • Чтение - запретить
  • Запись - запретить
  • Удаление - запретить
USB-устройства
  • Чтение - запретить
  • Запись - запретить
  • Удаление - запретить
Исключения
PID VID SN Ревизия
Запретить автозапуск для всех устройств Вкл
Модули Выкл
Файловая система
Ограниченные приложения
Дефолтный набор политик контроля для ACL2 [100+]
Доверенные приложения
Дефолтный набор политик контроля для ACL2
Созданные правила 1XXXX (см. выше)
Системный реестр
Ограниченные приложения
Дефолтный набор политик контроля для ACL2 [10+]
Доверенные приложения
Дефолтный набор политик контроля для ACL2
Созданные правила 1XXXX (см. выше)
Сеть
Ограниченные приложения
Дефолтный набор политик контроля для ACL2 [300]
Доверенные приложения
Дефолтный набор политик контроля для ACL2
Созданные правила 10018 (см. выше)
Привилегии процессов
Архивация файлов и каталогов
Разрешено
Обход перекрестной проверки
Разрешено
Создание глобальных объектов
Разрешено
Создание файла подкачки
Разрешено
Отладка программ
Разрешено
Имитация клиента после проверки подлинности
Разрешено
Увеличение приоритета выполнения
Разрешено
Настройка квот памяти для процесса
Разрешено
Загрузка и выгрузка драйверов устройств
Разрешено
Выполнение задач по обслуживанию томов
Разрешено
Профилирование одного устройства
Разрешено
Принудительное удаленное завершение работы
Разрешено
Восстановление файлов и каталогов
Разрешено
Управление аудитом и журналом безопасности
Разрешено
Завершение работы системы
Разрешено
Изменение параметров среды изготовителя
Разрешено
Профилирование производительности системы
Разрешено
Изменение системного времени
Разрешено
Смена владельцев файлов и других объектов
Разрешено
Отключение компьютера от стыковочного узла
Разрешено
Сертификаты
Использовать белый список сертификатов
Вкл
Protection Technology, Ltd.
Доверять