Stalker_RED, @res2001
File "C:\Windows\System32\WScript.exe" of controlled application 'Microsoft WSH WScript' has been detected.
On-access scanner has denied access to location "C:\Windows\System32\WScript.exe" for user NT AUTHORITY\система
@res2001
к счастью вы ошибаетесь, я предпринимаю меры используя все возможности продуктов, и одним из возможностей была у продукта это блокировка приложений, это делается для достижения рекомендаций внутренних политик и для соответствия к iso.
как отловить то что что происходит во время запуска ОС, у меня появилась одна идея, потом отпишу о результатах.
res2001, Stalker_RED, Виктор, Евгений я понял что ничего не понимаю.
наверное лучше будет если я напишу цель:
это для защиты от малвари,
почти 90% вложений запускают wscript.exe и cscript.exe cmd.exe powershell.exe для подкачки полезной нагрузки
я их запретил, но у одного пользователя при запуске что то обращается к wscript.exe и я получаю уведомление.
я попробую сделать те шаги которые вы описали.
Офицер по ИБ это люди которые управляют рисками, доводят чужими руками (ИТ секюрити, это роль, это итшники) риски до приемлемого уровня, с которым согласен владелец актива, офицер по ИБ это менеджер в первую очередь с опытом работы в ИТ, он представитель бизнеса который может понимать язык бизнеса и ИТ.
Вы изучаете навыки ИТ безопасности который несомненно понадобиться когда будете "управлять" чужими руками риски который воздействует на актив.
риск = вероятность выполнения угрозы * сила воздействия
риски можно группировать по трем группам
Стратегический (Организационная)
Операционная (бизнес процессы)
Тактические (информационные системы и информация),
пройдитесь по активу взяв чек лист, опишите вероятность выполнимости угрозы и воздействие, таким образом вы можете выявить уровень риска High, Middle, Low.
Верно, вот этому корневому можно ли сделать любой сертификат чтоб доверял ? У меня есть сертификат wild card, хочу чтобы он доверял новосозданному корневому сертификату.
Почему? Разве нельзя подписать внутренний сертификат публичным ? Получиться что мой купленный сертификат доверяет корневому, соответственно если распространю внутри предприятия то автоматом станет доверенным так как let's encrypt уже в доверенных. Я let's encrypt написал для примера, по факту Комодо.
