Критерии функционального анализа позволяют выстроить максимальную защиту, поэтому их необходимо задавать при настройке функционального анализа.
В разделе Критерии функционального анализа указаны категории, которые вы можете использовать для защиты профиля. Выбор категории зависит от необходимого вам уровня безопасности и особенностей системы.
Категории критериев функционального анализа
1.Запуск приложений:
▫Запрещать запуск приложений, подписанных сертификатами, известными в "Доктор Веб" как сертификаты для рекламных программ.
Блокирует запуск приложений, которые могут распространять рекламу.
▫Запрещать запуск приложений, подписанных сертификатами, известными в "Доктор Веб" как серые.
Блокирует запуск приложений, которые подписаны "серыми" сертификатами. Такие сертификаты часто используются для подписи небезопасных приложений.
▫Запрещать запуск приложений, подписанных сертификатами, известными в "Доктор Веб" как сертификаты для взлома программ.
Блокирует запуск приложений, которые подписаны сертификатами, использующимися для взлома программ. Использование данного критерия рекомендовано.
▫Запрещать запуск приложений, подписанных поддельными/поврежденными сертификатами.
Блокирует запуск вредоносных приложений, которые подписаны недействительными сертификаты. Использование данного критерия рекомендовано.
▫Запрещать запуск приложений, подписанных сертификатами, известными в "Доктор Веб" как сертификаты для вредоносных программ.
Блокирует запуск приложений, которые подписаны скомпрометированными сертификатами. Использование данного критерия рекомендовано.
▫Запрещать запуск приложений, подписанных отозванными сертификатами.
Блокирует запуск приложений, которые подписаны украденными или скомпрометированными сертификатами. Использование данного критерия рекомендовано, так как он позволяет превентивно пресекать запуск потенциально вредоносных приложений.
▫Запрещать запуск приложений, подписанными самоподписными сертификатами.
Блокирует нелицензионное ПО, которое может оказаться вредоносным.
▫Запрещать запуск неподписанных приложений.
Блокирует запуск потенциально вредоносных и ненадежных приложений, источник происхождения которых неизвестен.
▫Запрещать запуск утилит от Sysinternals.
Защищает от компрометации системы через утилиты Sysinternals.
|
Если на вкладке Разрешения стоит флаг Разрешать запуск системных приложений и приложений от компании Microsoft, утилиты Sysinternals будут запускаться даже при запрете за запуск. |
▫Запрещать запуск приложений из альтернативных потоков NTFS (ADS).
Приложения из альтернативных потоков NTFS (ADS) зачастую являются вредоносными, поэтому использование данного критерия является обязательным.
▫Запрещать запуск приложений из сети и общих ресурсов.
Запуск приложений из сети и общих ресурсов является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.
▫Запрещать запуск приложений со сменных носителей.
Запуск приложений со сменных носителей является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.
▫Запрещать запуск приложений из временных каталогов.
Блокирует запуск приложений из временных каталогов.
▫Запрещать запуск Windows/Microsoft Store приложений (только для Windows 8 и выше).
Блокирует запуск приложений, загруженных из Windows/Microsoft Store.
▫Запрещать запуск приложений с двойным/нетипичным расширением.
Блокирует запуск подозрительных файлов с нестандартным расширением (например, *.jpg.exe).
▫Запрещать запуск bash-оболочек и WSL-приложений (только для Windows 10 и выше).
Блокирует запуск командных оболочек Bash и WSL-приложений.
2.Загрузка и исполнение модулей. Критерии могут работать в двух режимах:
▫Загрузка всех модулей.
Данный режим является ресурсозатратным, поэтому его рекомендуется использовать только при необходимости повышенного контроля.
▫Контролировать загрузку и исполнение модулей в хост-приложениях.
Данный режим является менее ресурсозатратным. Контролирует работу модулей только в процессах, которые используются для компроментации системы или для проникновения вредоносного ПО под видом системного или доверенного файла. При отсутствии необходимости повышенного контроля следует использовать данный режим.
Рекомендации по использованию критериев Загрузка и исполнение модулей аналогичны рекомендациям по использованию критериев Запуска приложений.
3.Запуск скриптовых интерпретаторов:
▫Запрещать запуск CMD/BAT-сценариев.
Блокирует запуск файлов с расширениями cmd и bat.
▫Запрещать запуск HTA-сценариев.
Блокирует запуск HTA-сценариев. Такие сценарии могут обрабатывать вредоносные скрипты и скачивать на компьютер исполняемые файлы, которые могут нанести вред системе.
▫Запрещать запуск VBScript/JavaScript.
Блокирует запуск приложений, написанных на скриптовых языках VBScript и JavaScript. Такие приложения могут обрабатывать вредоносные скрипты и скачивать на компьютер исполняемые файлы, которые могут нанести вред системе.
▫Запрещать запуск PowerShell-сценариев.
Блокирует запуск сценариев, написанных на скриптовом языке PowerShell. Такие сценарии могут обрабатывать вредоносные скрипты и скачивать на компьютер исполняемые файлы, которые могут нанести вред системе.
▫Запрещать запуск REG-сценариев.
Блокирует запуск реестровых скриптов (файлов с расширением reg). Такие файлы могут быть использованы для добавления или изменения значений в реестре.
▫Запрещать запуск сценариев из альтернативных потоков NTFS (ADS).
Блокирует запуск сценариев из альтернативных потоков NTFS (ADS). Такие сценарии зачастую являются вредоносными, поэтому данный критерий рекомендован к использованию.
▫Запрещать запуск сценариев из сети и общих ресурсов.
Запуск сценариев из сети и общих ресурсов является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.
▫Запрещать запуск сценариев со сменных носителей.
Запуск сценариев со сменных носителей является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.
▫Запускать запуск сценариев из временных каталогов.
Запуск сценариев из временных каталогов является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.
4.Загрузка драйверов.
▫Запрещать загрузку неподписанных драйверов.
Блокирует загрузку руткитов и буткитов. Блокирует использование уязвимостей ПО и ОС.
Данный режим рекомендовано использовать на 64-разрядных версиях ОС. Использование режима также допустимо на 32-разрядных версиях ОС при отсутствии в системе неподписанных драйверов.
▫Запрещать загрузку уязвимых версий драйверов популярного ПО.
Блокирует загрузку небезопасных версий драйверов популярного ПО.
|
Запрет на загрузку уязвимых версий драйверов популярного ПО не может быть перекрыт исключениями. |
Остальные рекомендации по использованию критериев Загрузка драйверов аналогичны рекомендациям по использованию критериев Запуска приложений.
5.Установка MSI-пакетов.
Рекомендации по использованию критериев Установка MSI-пакетов аналогичны рекомендациям по использованию критериев Запуска приложений.
6.Целостность исполняемых файлов.
▫Запрещать создание новых исполняемых файлов.
Блокирует попытки создания новых исполняемых файлов.
▫Запрещать модификацию исполняемых файлов.
Блокирует попытки изменения исполняемых файлов.
Критерии Целостность исполняемых файлов используются только в системах, работающих в режиме доверенной среды. В подобных системах все процессы контролируются администратором (например, банкоматы и иные системы).
При использовании критериев Целостность исполняемых файлов в других системах поведение непредсказуемо, вплоть до выхода станции из строя.
|
Критерии Целостность исполняемых файлов не могут быть перекрыты правилами. |