Как в групповых политиках 2008R2 сделать ограничения на расширения?

Question

[Павел Семенов]

Всем вечер. подскажите пожалуйста как на сервере 2008R2 через групповые политики запретить запускать/сохранять/открывать определенные расширения?

Просто уже вирусы шифровальщики задолбали уже ((( нету спаса от них ( вот и решил что максимально запретить определенные расширения, так хоть какая то топорная защита будет на некоторое время.

Спасибо!

Answer 1

[satoo]

возможно, лучше всего подойдет SRP

Механизм защиты прост и эффективен, суть его в том что пользователю разрешено запускать только явно разрешенные приложения, это избавляет от всяческих неприятностей с установкой adware, spyware и прочей мути в профиль пользователя и еще от ряда неприятностей.

В общем смысле - забираете права администратора (без этого ничего не поможет) и разрешаете запуск программ только в определенных каталогах (%ProgramW6432%, %ProgramFiles%, %windir%). Так же можно разрешить запуск программы по ее контрольной сумме (чтоб не подменили легальное на "левое" в доступном на запись каталоге).

Т.к. пользователь без прав администратора туда ничего записать не может - зловреды там не окажутся. Все файлы, приходящие по почте под видом картинок, но имеющие исполняемые расширения не запустятся. От макровирусов (если кто еще о них помнит) это не сбережет, но от дропперов крипровирусов - на 98% поможет (и лучше всякого антивируса). Так же поможет от установки/использования "левого" и переносимого ПО (и всяких там меилрушечных и прочих программ, не требующих прав администратора и устанавливающихся в каталог пользователя)

Answer 2

[Максим Забелин]

От шифровальщиков не поможет. Ну пришлют вам по почте разрешенный в GPO pdf с малварью, которая запишется в AppData, как это вас спасет? Только эшелонированная защита, в которой белый список приложений может быть лишь одни из пунктов.

Comments

[satoo]

по-этому:
1) убираем права администратора
2) включаем srp
3) делаем бэкапы
4) ...

Да, панацеи нет, но srp очень здорово помогает. От ошибок в самих программах она не поможет (взлом через выполнение кода при прослушивании mp3, просмотре pdf и пр), но без прав администратора не так сильно будет больно.

Важное - бэкапить. Кстати, есть криптовирусы, которые еще и теневые копии удаляют (это для тех, кто хранит бэкапы локально и работает под администратором) ...

[Максим Забелин]

Я бы дополнил:
1)начинаем фильтровать почту и трафик на границе периметра
2) файерволл в режим все что не разрешено - запрещено
3) аудит прав на СХД
4) многоуровневый бэкап на физические разные хранилки, с разнесением по географии.

[satoo]

Максим Забелин: Все верно. Обеспечение безопасности это комплексные мероприятия. Сложные. Дорогие.
Не все могут позволить себе иметь IDS/IDS. Далеко не все могут позволить отказать сотрудникам работать с внешней почтой - основным каналом заражения такими вирусами.

SRP это хороший заслон от запуска "левых" программ - как тех, которые появились без прямого участия пользователя, так и тех, которые пользователи сами пытаются запустить.

Кстати, помимо работы - используйте ее дома, для детей - дешево и достаточно надежно. Домен не обязателен.