Перейти к содержанию
AM_Bot

SecurIT предстявляет новый продукт Zlock для защиты от...

Автор AM_Bot, в Общий форум по информационной безопасности

Recommended Posts

blackboolean    0

blackboolean
Опубликовано

Обещать не значит жениться, знаете ли...

посмотрите на календарь, а потом на сайт инфовотч. Нет пока еще такого продукта. Там сложностей в разработке больше, чем себе менеджеры представляют.

А видели вы - бету. А от беты до релиза........

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

broker    30

broker
Опубликовано

Как думаете, какие из ниже перечисленных технологий реально представляют опасность и должны контролироваться?

а на какие можно забить?

или при каких условиях можно забить ? :)

1. USB

2. LPT

3. FireWire

4. BlueTooth

5. WiFi

6. IrDA

7. PCMCIA

8. COM

9. IDE

10. S-ATA

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

blackboolean    0

blackboolean
Опубликовано

По порядку. Постараюсь кратко.

1. USB - безусловно опасен, в него можно воткнуть все что душе угодно. Контролировать безусловно, но иметь в виду, что есть и полезные безопасные девайсы (мышка, например).

2. LPT - позволяет подцепить миниатюрный принтер, например. Есть и хитрые storage девайсы, работающие через LPT. Стоит контролировать.

3. FireWire - см. USB.

4. Bluetooth - безусловно опасен. Позволяет спокойно сливать данные "за окно". Жесткий контроль.

5. WiFi - см. bluetooth.

6. PCMCIA - можно воткнуть WiFi карточку и см. п. 4.

7. COM - позволяет воткнуть модемчик. Если нет телефонных линий под боком - относительно безопасен. Но есть и опять же хитрые девайсы... я видел Bluetooth девайсы, подключаемые через RS232.

8. IDE - при условии, что корпус опечатан, последовательностьсть загрузки в биосе установлена жестко с винта, допуск в биос ограничен, нет мобил-раков и шлейф не выведен наружу иными способами и т.п - безопасен.

10. S-ATA - см. IDE.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

broker    30

broker
Опубликовано

devicelock может контролировать LPT и COM на уровне включен/выключен..

не красиво

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

blackboolean    0

blackboolean
Опубликовано

А что, есть другие способы контроля LPT и COM?

Покажите...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

broker    30

broker
Опубликовано

т.е. если по рабочей необходимости необходимо подключить модем через COM.. то получается, что и нуль модем и всё другое что может работать по COM. Как то криво.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

blackboolean    0

blackboolean
Опубликовано

Оригинальная у Вас логика. Вы уж простите великодушно - но я ее что-то никак понять не могу.

Давайте еще раз, если Вас не затруднит.

1) Вы полагаете, что COM и LPT следует контролировать шире, чем на уровне "включен/выключен"

2) Я Вас спросил - какие другие способы Вы можете предложить для контроля ?

3) В ответ - что-то про "рабочую необходимость".

Может, все-таки дадите четкий ответ - КАК еще можно контролировать COM ?

Это ведь не USB, тут PnP далеко не всегда присутствует... (это намек).

Может, какой-то софт умеет контролировать COM в расширенном варианте? Назовете?

И не очень понятно, что значит "подключить модем по рабочей необходимости". Вы, пардон, точно спец по инфобезопасности? Я вот почему-то не вижу для рядового сотрудника такой необходимости...

Обоснуйте, пожалуйста - ну очень интересно...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

broker    30

broker
Опубликовано
Давайте еще раз, если Вас не затруднит.

затруднит.

И не очень понятно, что значит "подключить модем по рабочей необходимости".

знаете как работает банкомат??? или банк клиент??? или кассовый аппарат??? или HASP ???

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

blackboolean    0

blackboolean
Опубликовано

Отлично. Звучит убедительно.

А скажите, пожалуйста - какова связь между банкоматом и защитой от использования COM-портов?

Как много рабочих мест в типовой компании использует банк-клиент?

И еще раз - покажите пример софта, гибко контролирующий COM-порт.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

broker    30

broker
Опубликовано
А скажите, пожалуйста - какова связь между банкоматом и защитой от использования COM-портов?

что по вашему банкомат? сейф+комп+nt+связь с банком (по модему)

Как много рабочих мест в типовой компании использует банк-клиент?

понятия не имею

И еще раз - покажите пример софта, гибко контролирующий COM-порт.

сам выбираю

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

blackboolean    0

blackboolean
Опубликовано

Ок. Еще раз о банкомате.

Ключевое слово тут - СЕЙФ.

Т.е. очевидно, что безопасность уже обеспечивается, не так ли?

Какой смысл на компьютер, стоящий в сейфе, ставить какое-либо дополнительное ПО? Вполне достаточно просто в БИОСе вырубить все лишнее - на всякий случай...

Насчет клиент-банков. Обычно такой софт применяется в ЕДИНСТВЕННОМ экземпляре на всю организацию.

Как Вы полагаете - следует ли вводить какие-то специальные ограничения в данном случае? Или достаточно все же разрешить COM-порт для использования модема?

Насчет софта.

Вы сказали - "сам выбираю". Ваш выбор - это секрет?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

broker    30

broker
Опубликовано

blackboolean

ещё не выбрал..

обо всём остальном.. это ваше личное мнение.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

blackboolean    0

blackboolean
Опубликовано

Разумеется, личное.

А Ваше мнение - не личное? :)

Что же касается продуктов, контролирующих COm и LPT... могу точно сказать - а нету выбора. Просто нету. Или тотальный запрет/разрешение, или вообще отсутствие контроля.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

broker    30

broker
Опубликовано
Что же касается продуктов, контролирующих COm и LPT... могу точно сказать - а нету выбора. Просто нету. Или тотальный запрет/разрешение, или вообще отсутствие контроля.

похоже на то

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.4
      ---------------------------------------------------------
       o Обновлен интерфейс.

       o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
         процессов с задачами.
         Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
         В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
         В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
         В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
         фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
         (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
         (!) История не доступна для неактивных систем.

       o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
         Добавлено:
          o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
          o История процессов и задач (Дополнительно->История процессов и задач)
            (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
          o Защита образа от повреждений.

       o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.

       o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.

       o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
         На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.

       o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
         (!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.

       o Исправлена ошибка разбора состояния TCPIPv6 соединений.
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Если пишет что файлов нет то так оно и есть, по пути в принципе видно, что их там точно быть не может.
      Проблема же в том что при запуске под SYSTEM, API windows не способен правильно разбирать некоторые ярлыки, где не указан абсолютный путь, такие ярлыки меняют цель в зависимости от того под каким пользователем работает конкретный процесс, зачем это сделал microsoft для меня загадка.
      Единственное решение - это написать api для разбора любых ярлыков с нуля и добавить еще нехилую надстройку для анализа относительных путей в них, но это довольно сложная задача и на данный момент реализована лишь в малой части и скорее всего никогда не будет реализована на 100%.
      Потому если хочется удалить ссылки на отсутствующие объекты имеющие ярлыки то нужно запускаться под текущим пользователем, проблем будет меньше... если пользователь один Все системные файлы имеют внешнюю эцп и вполне определенные имена.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      uVS  в Windows 7 при запуске в режиме: Запустить под LocalSystem ( максимальные права, без доступа к сети ) Не видит пути к реально существующим объектам типа: Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\CALIBRE-PORTABLE\CALIBRE PORTABLE\CALIBRE-PORTABLE.EXE
      Имя файла                   CALIBRE-PORTABLE.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USERS\USER\DESKTOP\calibre-portable.exe - Ярлык.lnk
      ---------------------                 Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\START.EXE
      Имя файла                   START.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USER\USER\DESKTOP\start.exe - Ярлык.lnk
      --------- Как результат удаление всех этих ярлыков. + Глюки если программа была на панели задач. Пусть uVS пишет в ИНФО. откуда _реально получена подпись.                                 
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      подпись userinit в catroot и VT естественно такие подписи проверить никак не сможет.
×