¿Alerta cuando se ejecuta un código sin firmar?

2

Sé que Windows 10 tiene una opción de bloqueo, para prohibir la ejecución de código no firmado. Pero en mi organización, me dispararían si intentara hacer eso. Así que me gustaría lo mejor: una alerta remota siempre que se ejecute un código sin firmar. ¿Tiene Windows una forma de hacerlo?

También me gustaría que Windows, o Defender, tenga una opción para agregar definiciones de malware personalizadas, por lo que puedo agregar definiciones para basura (aunque técnicamente no sea malware) que la gente no debería instalar ( independientemente de si está firmado). Para esto también, me dispararía si configurara nuestros sistemas para bloquear / eliminar automáticamente la basura, pero al menos me gustaría recibir una alerta. Vea mi pregunta relacionada: ¿Puedo configurar Windows Defender? ¿Rechazar los programas de AV que compiten?

    
pregunta Sad IT admin 13.07.2018 - 19:06
fuente

1 respuesta

2

Puede activar el modo de 'auditoría' cuando se ejecuta un código sin firmar y eso generará registros de eventos de Windows que puede ingerir en su SIEM y avisarle. Consulte aquí para una guía en profundidad. ¿Por qué estás interesado en cargar archivos sin firmar? Si se trata de un paso de prevención de malware, puede ser útil, pero creo que recibirá tantos falsos positivos en una red donde los usuarios pueden instalar sus propios programas, no valdrá la pena. También existe el problema de que el malware se firma con frecuencia hoy en día, consulte aquí y aquí .

Para su segunda pregunta acerca de que Defender use firmas de malware personalizadas, la respuesta es no, no puede escribir sus propias reglas. Lo que podría hacer es ejecutar ClamAV en todos los puntos finales y puede escribir sus propias reglas personalizadas para eso, consulte this y this . ¿Realmente necesitas firmas sin embargo? ¿No puede enviar un script a los puntos finales para devolver una lista de programas instalados y usar eso?

Sin embargo, creo que tienes problemas más grandes, como administrador de TI debes tener el poder de hacer que los usuarios no puedan instalar lo que quieran en tu red. ¿Eso también sugiere tener derechos de administrador en las cajas también? Creo que la firma de código es la menor de sus preocupaciones y debería comenzar a implementar algunas de las mejores prácticas básicas de seguridad de TI antes de comenzar con las más avanzadas. Esto puede ser una venta difícil para la administración, pero si busca en Google el costo de los compromisos de malware y las interrupciones de la red y lo vende en términos de ingresos, podría ayudar.

    
respondido por el Peanut 13.07.2018 - 19:45
fuente

Lea otras preguntas en las etiquetas