СЗ "Панцирь+"- система защиты от запуска вредоносного ПО и от модификации санкционированных исполняемых объектов. Задача защиты - не позволять несанкционированно запускать на компьютере файлы, созданные пользователями (в том числе, несанкционированно от их имени) в процессе эксплуатации системы и не позволять без ведома пользователей модифцировать исполняемые файлы ОС и приложений.
Каталог продуктов
- Продукты для бизнеса
СЗ "Панцирь+"
Отправьте запрос на e-mail: info@datasystem.ru или просто позвоните
Реализация защиты
Любой создаваемый файл помечается, ему сопоставляется учетная информация создавшего файл субъекта доступа (имя учетной записи и процесса - полнопутевое имя исполняемого файла процесса). При обращении к любому файлу на исполнение (в том числе, и системой), анализируется, был ли создан этот файл в процессе эксплуатации системы (размечен ли он). Если это так, то автоматическое исполнение (запуск) подобного файла блокируется, пользователю предлагается решить, санкционирован ли этот файл для исполнения. Если нет, то пользователь сможет удалить этот файл, если да, то удалить его разметку, переведя тем самым файл в разряд санкциониированных для исполнения, и впоследствии запускать его.
Для защиты исполняемых объектов от несанкционированной модификации, удаления, переименования в СЗ реализована следующая технология защиты, также основанная на автоматической разметке файлов, но в данном случае, уже не создаваемых в процессе работы пользователей, а установленных ранее - исполняемых.
Любой исполненный (не размеченный, как созданный, в противном случае, он не сможет быть исполнен) файл СЗ автоматически размечается - ему сопоставляется учетная информация исполнившего файл субъекта доступа (имя учетной записи и процесса - полнопутевое имя исполняемого файла процесса). При обращении к любому файлу интерактивным пользователем на модификацию/удаление/ переименование, СЗ анализируется, был ли он размечен, как исполняемый. Если это так, подобный доступ к исполняемому файла блокируется, пользователю предлагается решить, санкционирован ли этот файл для изменения. Если нет, то пользователь сможет проанализировать причину подобного несанкционированного события по журналу событий, приняв далее необходимые меры, если да, то удалить его разметку, переведя тем самым файл в разряд санкциониированных для модификации, удаления, переименования, и впоследствии изменить его.
Любой исполненный (не размеченный, как созданный, в противном случае, он не сможет быть исполнен) файл СЗ автоматически размечается - ему сопоставляется учетная информация исполнившего файл субъекта доступа (имя учетной записи и процесса - полнопутевое имя исполняемого файла процесса). При обращении к любому файлу интерактивным пользователем на модификацию/удаление/ переименование, СЗ анализируется, был ли он размечен, как исполняемый. Если это так, подобный доступ к исполняемому файла блокируется, пользователю предлагается решить, санкционирован ли этот файл для изменения. Если нет, то пользователь сможет проанализировать причину подобного несанкционированного события по журналу событий, приняв далее необходимые меры, если да, то удалить его разметку, переведя тем самым файл в разряд санкциониированных для модификации, удаления, переименования, и впоследствии изменить его.
Универсальность решения
Достигается тем, что проводимая процедура анализа не никак связана с типом файла, в том числе с типом его расширения. Перехватывается системный запрос на запись, соответственно на исполнение - именно подобным образом идентифицируется исполняемый файл.
Принципиальным является и то, что перехватываются не запросы на открытие файла для записи и исполнения, а непосредственно запись и исполнение, что сводит к минимуму ложные срабатывания средства защиты.
Универсальность решения обеспечивается и тем, что не важен способ занесения (ведрения) вредоносной программы (исполняемого файла) на защищаемый компьютер - загрузка из интернета, почтовое вложение (в архиве, либо нет), копирование с внешнего накопителя и т.п., любым способом записанный за защищаемый компьютер файл будет автоматически размечен, и в отношении него будет действовать защита от несанкционированного исполнения.
Дополнительная защита
Защита от обхода реализуемых СЗ правил доступа к файловым объектам, за счет несанкционированного получения интерактивными пользователями системных прав (атака на повышение привилегий). Реализована следующая технология защиты. СЗ фиксирует, каким интерактивным пользователем осуществлен запуск каждого приложения. В случае, если приложение обращается к файловому объекту не под учетной записью запустившего его пользователя, а под системной учетной записью, любой доступ к любому файловому объекту данному приложению СЗ блокируется.
Самозащита
Файлы СЗ защищены от несанкционированного доступа к ним с целью удаления и модификации.
Самозащита
Файлы СЗ защищены от несанкционированного доступа к ним с целью удаления и модификации.