Вы можете выполнить проверку по запросу для отдельных конечных точек. Эти проверки начнутся немедленно, и вы можете определить параметры для сканирования, такие как расположение или тип. При выполнении проверки можно выбрать один из трех типов: быстрая проверка, полная проверка и настраиваемая проверка. В большинстве случаев используйте быструю проверку. При быстрой проверке рассматриваются все расположения, в которых могут быть зарегистрированы вредоносные программы для начала работы с системой, например разделы реестра и известные папки запуска Windows.
В сочетании с постоянной защитой в режиме реального времени, которая проверяет файлы при открытии и закрытии, а также при каждом переходе пользователя в папку, быстрая проверка помогает обеспечить надежную защиту от вредоносных программ, которые начинаются с вредоносных программ на уровне системы и ядра. В большинстве случаев достаточно быстрой проверки, и это рекомендуемый вариант для запланированных проверок или проверок по запросу. Дополнительные сведения о типах сканирования.
PRO32 Endpoint Security Установка и первоначальная настройка
Microsoft Defender антивирусная программа запускается в контексте учетной записи LocalSystem при выполнении локальной проверки. Для проверки сети используется контекст учетной записи устройства. Если учетная запись доменного устройства не имеет соответствующих разрешений для доступа к общей папке, проверка не будет работать. Убедитесь, что устройство имеет разрешения на доступ к общей сетевой папке.
Использование Microsoft Intune для выполнения проверки
Использование безопасности конечных точек для запуска проверки на устройствах Windows
- Перейдите в центр администрирования Microsoft Intune (https://endpoint.microsoft.com) и войдите в систему.
- ВыберитеАнтивирусная программадля обеспечения безопасности конечных> точек.
- В списке вкладок выберите Windows 10 неработоспособных конечных точек или Windows 11 неработоспособных конечных точек.
- В списке указанных действий выберите Быстрая проверка (рекомендуется) или Полная проверка.
Дополнительные сведения об использовании Microsoft Configuration Manager для выполнения проверки см. в статье Задачи защиты от вредоносных программ и брандмауэра. Как выполнить проверку по запросу.
Использование устройств для выполнения проверки на одном устройстве
- Перейдите в центр администрирования Microsoft Intune (https://endpoint.microsoft.com) и войдите в систему.
- На боковой панели выберите Устройства>Все устройства и выберите устройство, которое нужно проверить.
- Выберите . Больше. В параметрах выберите Быстрая проверка (рекомендуется) или Полная проверка.
Запуск проверки с помощью программы командной строки mpcmdrun.exe
Используйте следующий -scan параметр:
Настройка Kaspersky Internet Security 2021 И Три Установленых Дополнительных Сканера.
mpcmdrun.exe -scan -scantype 1
Дополнительные сведения об использовании средства и дополнительных параметрах, включая запуск полной проверки или определение путей, см. в статье Использование средства командной строки mpcmdrun.exe для настройки и управления Microsoft Defender антивирусной программы.
Использование приложения Безопасность Windows для выполнения проверки
Инструкции по выполнению проверки на отдельных конечных точках см. в статье Запуск сканирования в приложении Безопасность Windows.
Выполнение проверки с помощью командлетов PowerShell
Используйте следующий командлет:
Start-MpScan
Выполнение проверки с помощью инструкции по управлению Windows (WMI)
Используйте метод Start класса MSFT_MpScan.
Дополнительные сведения о допустимых параметрах см. в разделе API Защитник Windows WMIv2.
Если вам нужны сведения об антивирусной программе для других платформ, см.:
- Установка параметров Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки на Mac
- Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
- Установите параметры Microsoft Defender для конечной точки в Linux.
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
Источник: learn.microsoft.com
Дружим свой софт с антивирусами: как избежать ложных срабатываний
В этой заметке я хочу рассказать о том, как решалась проблема ложного срабатывания антивирусов на наш продукт.
Если у вас таких проблем нет, но вы планируете защищать свое ПО с помощью протектора — рекомендую ознакомиться с материалом, так как скорее всего вам предстоит пройти то же самое.
Шаг 1. Сode signing
Самый эффективный способ — это подписать свои исполняемые файлы, если этого не сделать то антивирусы будут сканировать их с особым пристрастием.
Для того, чтобы убедить в важности данного шага, Александр (Rouse_) Багель любезно поделился наглядным примером. В испытуемом приложении не используется протектор, нет обращения в интернет, оно выполняет только одну функцию — считает CRC32 файлов. Сравним отчеты подписанного и неподписанного файлов:
Думаю это достаточный аргумент в пользу подписи.
Техническую сторону получения сертификата и подписывания файла описывать не буду. Я получал сертификат в startssl (подкупили ценой и русскоязычным саппортом) на физ лицо Class 1 за 100$ на два года без всякой волокиты. Для получения сертификата на ООО (Class 2) были сложности в том, том что бы найти в Москве нотариуса-адвоката который бы отправил свое мнение по электронной почте подписанное цифровой подписью Класса 2…
Одобрение антивирусов является лишь побочным плюсом подписанного ПО, основные же прелести — это повышение доверия клиентов, мол «Есть ЦП — значит не колхоз!». Так же антивирусы, файрволлы и UAC не будут предупреждать о повышенной угрозе.
Шаг 2. Гневные письма
Подписан файл или нет, но если на вирустотале (далее VT) кто-то ругается — пора писать письма. Узнать куда слать жалобы о ложном срабатывании помогают специальные списки:
- www.geekstogo.com/forum/topic/273320-where-to-submit-false-positives-to-antivirus-and-security-vendors
- forum.sysinternals.com/malware-policy-please-read_topic11134.html
- www.segura.ca/files.html
- www.techsupportalert.com/content/how-report-malware-or-false-positives-multiple-antivirus-vendors.htm
Будьте готовы, что реакция вирлабовцев на обращение занимает пару недель.
Шаг 3. Автоматическая проверка VirusTotal’ом на билд сервере
Если не используется навесных защит то все просто, собрал релиз, залил на VT, отписал жалобы и все. Но в случае использования протекторов есть вариант сократить количество ложных срабатываний без отправки абуз.
Немного теории. При повторной компиляции одних и тех же исходников содержимое exe файла не меняется (кроме временных меток в заголовках). Поэтому пересборка и повторная отправка на VT ситуацию с фальшпозитивами не решит: кто ругался тот снова ругнется.
Совсем другое дело при использовании протектора (в моем случае VMProtect), который при каждой обработке файла формирует уникальную виртуальную машину (инструкции, обработчики) и соответствующий ей виртуализированный код. Эти уникальные данные могут как содержать сигнатуры какого-либо вируса, так и нет, отсюда появляется вероятность, что после повторной перезащиты антивирусы пропустят файл.
Перезащита занимает меньше времени чем ожидание ответа от вирлабовцев, но руками приходится проделывать поистине адовую рутину, ведь перезащитить 20 раз в ожидании чуда это вполне рабочий сценарий. Для автоматизации сего процесса была написана утилита VirusTotalScan, о которой пойдет речь дальше.
Используем VirusTotalScan
Скачать можно по ссылке. Программа консольная, результат работы возвращается кодом выхода: 0-вирусов нет, 1-найден вирус, 2-случилось что-то другое. Синтаксис вызова:
VirusTotalScan.exe api_key имя_файла [/ignore [имя_антивируса][ . ]] api_key Ключ доступа VirusTotal API имя_файла Путь до проверяемого файла имя_антивируса Список антивирусов, мнение которых игнорируется
Для использования требуется ключ доступа к VirusTotal API, который можно получить на сайте virustotal.com после прохождения регистрации:
Интеграцию в билд сервер приведу на своем примере, для сборки используется .bat скрипт:
:VMPROTECT IF EXIST «~program.exe» DEL «~program.exe» rem Использование виртуальной машины echo Compiling with WMProtect VMProtect_Con.exe «program.exe» «~program.exe» -pf «program.exe.vmp» IF ERRORLEVEL 1 GOTO ERROR rem Установим цифровую подпись signtool.exe . :VirusTotalScan rem закачка подписанного файла на VirusTotal rem пропустим антивирусы Qihoo-360 и CMC VirusTotalScan.exe 1fe0ef5feca2f84eb450bc3617f839e317b2a686af4d651a9bada77a522201b0 «~program.exe» /ignore «Qihoo-360» «CMC» rem при ошибке отправим на повторное сканирование IF ERRORLEVEL 2 GOTO VirusTotalScan rem Нашелся вирус, перезащищаем IF ERRORLEVEL 1 ( echo Vireses finded. RECOMPILE. GOTO VMPROTECT ) rem вирусов нет, работаем дальше rem заменим итоговый файл DEL «program.exe» COPY «~program.exe» «program.exe» DEL «~program.exe»
Из примера должно быть все понятно. По иронии, на саму программу получил одно ложное срабатывание, отписал жалобу — теперь жду пару недель решения.
Заключение
В заключении хочу поблагодарить Александра, с подачи которого началась статья, и предупредить — не всегда удается решить вопрос с вирлабовцами.
- VirusTotal
- вирлаб
- антивирусы
- false-positive
- ложные срабатывания
Источник: habr.com
Windows PowerShell. Выполнение сценариев отключено в этой системе
По умолчанию выполнение сценариев Windows PowerShell в системе запрещено. По соображениям безопасности все скрипты PowerShell должны быть подписаны цифровой подписью, данный метод называется — политика выполнения.
Если скрипт не соответствует этому условию, то выполнение сценариев PowerShell в системе запрещено. Это связано в первую очередь с тем, что в скрипте может находиться вредоносный код, который может нанести вред операционной системе.
PowerShell имеет несколько режимов выполнения, которые определяют, какой тип кода разрешается выполнять. Существует 5 различных режимов выполнения:
- Ограниченный (Restricted) — значение по умолчанию. Блокируется выполнение любых скриптов и разрешается работа интерактивных команд.
- Все подписанные (All Signed) — разрешено выполнение скриптов, имеющих цифровую подпись.
- Удаленные подписанные (Remote Signed) — локальные скрипты работают без подписи. Все скачанные скрипты должны иметь цифровую подпись.
- Неограниченный (Unrestricted) — разрешено выполнение любых скриптов. При запуске не подписанного скрипта, который был загружен из Интернета, программа может потребовать подтверждение.
- Обходной (Bypass) — ничего не блокируется, никакие предупреждения и запросы не появляются.
По умолчанию для PowerShell используется режим «Ограниченный». В этом режиме, PowerShell работает как интерактивная оболочка. Если вы ранее не настраивали PowerShell, то вместо работы скрипта вы увидите сообщение об ошибке, написанное красным шрифтом как на скриншоте ниже.
Самым безопасным способом решения этой проблемы является – изменение политики выполнения на неограниченную, запуск скрипта, и затем обратный возврат к ограниченной политике.
Для изменения политики выполнения на неограниченную, воспользуемся консолью PowerShell открытую с правами Администратора и выполним следующую команду:
После запуска команды вам будет предложено подтвердить изменение политики выполнения. Ответим Y ( Да ).
Теперь можно запустить скрипт. Однако, вы подвергаете систему серьезному риску, так что по окончании работы скрипта, не забудьте вернуть политику выполнения назад в ограниченный режим. Сделать это можно с помощью следующей команды:
После запуска команды вам будет предложено подтвердить изменение политики выполнения. Ответим Y ( Да )
Далее ниже представлены все команды для изменения политики выполнения.
Блокируется выполнение любых скриптов. Значение по умолчанию.
Разрешено выполнение скриптов, имеющих цифровую подпись.
Скрипты, подготовленные на локальном компьютере, можно запускать без ограничений, скрипты, загруженные из Интернета — только при наличии цифровой подписи.
Разрешено выполнение любых скриптов. При запуске не подписанного скрипта, который был загружен из Интернета, программа может потребовать подтверждение.
Ничего не блокируется, никакие предупреждения и запросы не появляются.
Для выполнения выше представленных команд без подтверждения изменения, воспользуйтесь параметром -Force , например выполните команду:
Теперь при выполнении команд не нужно подтверждать производимые изменения.
Источник: winnote.ru