Protectiva Compliance Manager
 

СЗ «Панцирь+»

Операции с документом
Cистема защиты от запуска вредоносного ПО и от модификации санкционированных исполняемых объектов.

Задача защиты – не позволять несанкционированно (без ведома пользователей, без их осознанного решения) запускать (исполнять) на компьютере файлы, созданные пользователями (в том числе, несанкционированно от их имени) в процессе эксплуатации системы и не позволять несанкционированно (без ведома пользователей, без их осознанного решения) модифицировать исполняемые файлы ОС и приложений.

Реализация защиты – любой создаваемый файл помечается, ему сопоставляется учетная информация создавшего файл субъекта доступа (имя учетной записи и процесса – полнопутевое имя исполняемого файла процесса). При обращении к любому файлу на исполнение (в том числе, и системой), анализируется, был ли создан этот файл в процессе эксплуатации системы (размечен ли он). Если это так, то автоматическое исполнение (запуск) подобного файла блокируется, пользователю предлагается решить, санкционирован ли этот файл для исполнения. Если нет, то пользователь сможет удалить этот файл, если да, то удалить его разметку, переведя тем самым файл в разряд санкционированных для исполнения, и в последствии запускать его.

Для защиты исполняемых объектов от несанкционированной модификации, удаления, переименования в СЗ реализована следующая технология защиты, также основанная на автоматической разметке файлов, но в данном случае, уже не создаваемых в процессе работы пользователей, а установленных ранее – исполняемых. Любой исполненный (не размеченный, как созданный, в противном случае, он не сможет быть исполнен) файл СЗ автоматически размечается – ему сопоставляется учетная информация исполнившего файл субъекта доступа (имя учетной записи и процесса – полнопутевое имя исполняемого файла процесса). При обращении к любому файлу интерактивным пользователем на модификацию/удаление/переименование, СЗ анализируется, был ли он размечен, как исполняемый. Если это так, подобный доступ к исполняемому файлу блокируется, пользователю предлагается решить, санкционирован ли этот файл для изменения. Если нет, то пользователь сможет проанализировать причину подобного несанкционированного события по журналу событий, приняв далее необходимые меры, если да, то удалить его разметку, переведя тем самым файл в разряд санкционированных для модификации, удаления, переименования, и впоследствии изменить его.

Универсальность решения – достигается тем, что проводимая процедура анализа никак не связана с типом файла, в том числе с типом его расширения. Перехватывается системный запрос на запись, соответственно на исполнение – именно подобным образом идентифицируется исполняемый файл. Принципиальным является и то, что перехватываются не запросы на открытие файла для записи и исполнения, а непосредственно запись и исполнение, что сводит к минимуму ложные срабатывания средства защиты. Универсальность решения обеспечивается и тем, что не важен способ занесения (внедрения) вредоносной программы (исполняемого файла) на защищаемый компьютер – загрузка из интернета, почтовое вложение (в архиве, либо нет), копирование с внешнего накопителя и т.п., любым способом записанный в защищаемый компьютер файл будет автоматически размечен, и в отношении него будет действовать защита от несанкционированного исполнения.

Дополнительная защита – защита от обхода реализуемых СЗ правил доступа к файловым объектам, за счет несанкционированного получения интерактивными пользователями системных прав (атака на повышение привилегий). Реализована следующая технология защиты. СЗ фиксирует, каким интерактивным пользователем осуществлен запуск каждого приложения. В случае если приложение обращается к файловому объекту не под учетной записью запустившего его пользователя, а под системной учетной записью, любой доступ к любому файловому объекту данному приложению СЗ блокирует. Файлы СЗ защищены от несанкционированного доступа к ним с целью удаления и модификации.

Документацию можете посмотреть по ссылке: http://npp-itb.ru/products/szpp

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2021 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex