Вакцинация против установки Kaspersky Endpoint Security : Windows

OlegON · █ 10.02.2017 09:43

У одного клиента по мере текучки кадров раз в год случается обострение и новый сисадмин, обнаружив, что на серверах БД почему-то нет антивируса, вкрячивает туда Касперского. Уже нет никаких сил. Раза три сносил, причем, меня он, понятно, спросить не удосуживается, а я узнаю об установке по очередным проблемам с базой. Самое смешное, что в 3х случаях из 4х админ сладко спал, а выкорчевывал сбоящий антивирус я, поскольку какая-нибудь инвентаризация работать не могла.

Возникла идея как-то вакцинировать систему, чтобы установить этого зловреда без моей помощи было нельзя. Поскольку я не единственный админ и работаю по удаленке, то пароль админа отобрать не могу. Может, создать какую-то ветку реестра и отобрать права на запись и смену владельца? Но как узнать кому? Машины недоменные, с большой историей, поэтому групп и админов там до хрена. Какие-то еще идеи, что можно сделать из консоли и в автоматическом режиме?

baggio · █ 10.02.2017 12:03

запретить запуск в DEP?

baggio · █ 10.02.2017 12:05

Код:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun

В этом ключе список exe-файлов. Тип значения - string, имя - от 1 до скока надо, значение - "имя.exe"

Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Включаем здесь, добавляя параметр RestrictRun типа REG_DWORD и присвоить ему значение "1".
Должно получиться что-то вроде вот этого:

Цитата:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"1"="winword.exe"
"2"="excel.exe"

grannie · █ 10.02.2017 12:21

Маленькое уточнение - это будет список РАЗРЕШЁННЫХ для запуска программ. И таки желательно первым в списке ставить regedit.exe ж)

KirillHome · █ 10.02.2017 12:46

Глупость, скорее всего - но самому создать каталог (а то и скрытый файл в Programm Files) с нужным именем и запретить правами файловой системы что-то с ним делать?

baggio · █ 10.02.2017 13:03

а поставить в другой каталог конечно нельзя...

OlegON · █ 10.02.2017 13:19

С политиками, конечно, интересная тема. Там были и запрещенные, поскольку разрешенные с базой упаришься перечислять...

Occul · █ 10.02.2017 13:21

Есть только сомнения, что это сработает при запуске сервиса.

student · █ 10.02.2017 13:40

Цитата:

OlegON ➤ С политиками, конечно, интересная тема.

в свое время интересовался подобным (вин 7) - достало мейл.ру :( осталась ссылка на мануал с картинками

если не в масть - прибей сообщение :)

OlegON · █ 10.02.2017 14:08

Цитата:

Crack ➤ Есть только сомнения, что это сработает при запуске сервиса.

Правильно...

Цитата:

Эта политика ограничивает только выполнение программ, запускаемых процессом проводника Windows. Она не запрещает выполнять программы, такие как "Диспетчер задач", которые запускаются с помощью системного процесса или с помощью иных процессов. Кроме того, если пользователям разрешен доступ к окну командной строки, CMD.EXE, то эта политика не запрещает им запускать из окна командной строки те программы, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите "Показать". В диалоговом окне "Вывод содержимого", в столбце "Значение" введите имя исполняемого файла приложения (например, Winword.exe, Poledit.exe, Powerpnt.exe).

из соответствующей справки. Вопрос остается открытым...