Avviso quando viene eseguito il codice non firmato?

2

So che Windows 10 ha un'opzione di blocco, per vietare l'esecuzione di codice non firmato. Ma nella mia organizzazione, mi avrebbero sparato se provassi a farlo. Quindi mi piacerebbe la cosa migliore: un avviso remoto ogni volta che viene eseguito un codice non firmato. Windows ha un modo per farlo?

Mi piacerebbe anche che Windows stesso, o Defender, avessero un'opzione per aggiungere definizioni di malware personalizzate, quindi posso aggiungere definizioni per crap (anche se tecnicamente non malware) che le persone non dovrebbero installare ( indipendentemente dal fatto che sia firmato). Anche per questo, mi sparerebbero se configurassi i nostri sistemi per bloccare / eliminare automaticamente la schifezza, ma vorrei almeno ricevere un avviso. Vedi la mia domanda correlata: Posso configurare Windows Defender rifiutare i programmi AV concorrenti

    
posta Sad IT admin 13.07.2018 - 19:06
fonte

1 risposta

2

È possibile attivare la modalità di controllo quando viene eseguito un codice non firmato che genera registri eventi di Windows che è possibile importare nel SIEM e avvisare l'utente. Vedi qui per una guida approfondita. Perché sei interessato ai file non firmati caricati? Se si tratta di una fase di prevenzione del malware, potrebbe essere d'aiuto, ma penso che riceverai così tanti falsi positivi su una rete in cui gli utenti possono installare i propri programmi che non ne varrà la pena. C'è anche il problema che il malware è spesso firmato oggigiorno, vedi qui e qui .

Per la tua seconda domanda su come utilizzare Defender per il malware personalizzato, la risposta è no, non puoi scrivere le tue regole. Quello che potresti fare è eseguire ClamAV su tutti gli endpoint e puoi scrivere le tue regole personalizzate per quello, vedi questo e questo . Hai davvero bisogno di firme? Non è possibile inviare uno script agli endpoint per restituire un elenco di programmi installati e utilizzarlo?

Penso che tu abbia problemi più grandi, però, come amministratore IT dovresti avere il potere di far rispettare gli utenti che non sono in grado di installare ciò che vogliono sulla tua rete. Questo suggerisce anche di avere diritti di amministratore anche sulle scatole? Penso che la firma del codice sia l'ultima delle tue preoccupazioni e dovresti iniziare a implementare alcune best practice di sicurezza IT di base prima di iniziare con quelle più avanzate. Questo può essere un duro affare per la gestione, ma se cerchi Google per il costo di compromissioni di malware e interruzioni della rete e vendi in termini di entrate, potrebbe essere di aiuto.

    
risposta data 13.07.2018 - 19:45
fonte

Leggi altre domande sui tag