» Яндекс.Бан

Цитата:

с амигой странности.....у меня стал блокировать, на других компах нет...даже не знаю.

Либо редакции Windows не Максимальная или Enterprise, либо у амиги другие подписи.

Вот новый набор, с учетом того, что добавил unlockerz, кроме дубля MAIL.RU (Амиго уже давным-давно блочится, во всяком случае на Win7):
YandexBan_20150319.xml. Амигу на Win7 блокирует.

[more] Сделал себе батник для автоматической установки "яндекс.бан". Не нужно руками лезть в службы, в политики безопасности, импортировать, чего-то там делать. Достаточно просто запустить батник под админом.
Часть правил заменил, кое что добавил (потому что, ещё раз, делал для себя).
Cтраница "проекта", ссылка для скачивания.
Кроме простоты установки, ещё один плюс ДЛЯ МЕНЯ - правила описываются наглядней.
Есть и минус - заметно меньше гибкости (нет поддержки исключений по путям, это что сразу вспоминается).

Из важного, что добавил:
"O=GINER TECH INC, L=WILMINGTON, S=DELAWARE, C=US" - какой-то невесть откуда появившийся в системе "SearchProtect"
"O=TECHGILE, L=SANTA MONICA, S=CALIFORNIA, C=US" - какая-то адварь
"O=IC FORGE, L=TEL AVIV, S=ISRAEL, C=IL" - малварный установщик sourceforge (выдаётся вместо нормальных установщиков для некоторых проектов, если не обратить внимания на галочку).

Если лень выковыривать правила для переноса в свой xml, можно удалить последние 4 строки батничка (чтоб не устанавливать мои правила) и запустить его, правила будут в созданном файле sarules.xml.

Формат команды, добавляющей правило:
call :addrule Id, Name, PublisherName, [ProductName [, BinaryName [, ExceptionCondition1, ExceptionBinaryVersionRange1 [, ExceptionCondition2, ExceptionBinaryVersionRange2 [...]]]]]

ProductName и BinaryName для правил без исключений можно опустить, в этом случае их значения будут установлены в "*".

Правила с исключениями удобно разбивать на несколько строк (обратите внимание на символ ^ в конце всех строк кроме последней):
call :addrule Id, Name, PublisherName, ProductName, BinaryName ^
    , ExceptionCondition1, ExceptionBinaryVersionRange1 ^
    , ExceptionCondition2, ExceptionBinaryVersionRange2 ^
    , ExceptionCondition3, ExceptionBinaryVersionRange3
[/more]

den po, интересный вариант! спасибо!

Добавил пойманную на днях гадость - ProtectWindowsManager (WINDOWS SYSTOOL SERVICE)
"O=CHERISHED TECHNOLOGY LIMITED, L=香港, S=香港, C=HK"
Ссылки те же

Стоит ли добавить uTorrent, EpicScale и Superfish?

Навеяло этой статьёй.

В теме про uTorrent это давно перетёрли.

den po,
а ваше средство перед импортом текущую политику не очищает?
Бегло глянул в код и такого там не нашел. Сижу и думаю - при совпадении GUID добавится новая политика или новой политикой затрется старая с тем же GUID...

У меня при импорте старые правила удаляются.
Чтобы добавлялись новые правила, а старые не удалялись, можно добавить параметр -Merge в команду в конце батника:

powershell -Command " Import-Module AppLocker ; Set-AppLockerPolicy -XMLPolicy %fname% -Merge "

При этом правила с совпадающими идентификаторами не будут обновляться.
Надо, наверное, добавить в батник поддержку аргументов.

den po

Подскажите, поскольку я в тонкости не вникал, вашего батника достаточно, чтобы блокировалось большая часть этой шняги, или YandexBan тоже нужно импортировать?
Это вообще-то не мне, но кой-кому я бы поставил, чтоб больше не спрашивали никогда.

Добавлено:
ага, я разобрался, всё в нём просмотрел, вполне достаточно, спасибо!

Попробовал. Поковырял политики.
Не увидел блокировки мусора mobogenie (хотя сейчас нет образцов чтобы на них сверить подпись). Еще актуально было бы блокировать соурсфорж даунлоадер.
Зачем в списках аська и квип также не понял (иногда ими таки пользуются).

Попробовал настроить разрешения для штатной работы и установки яндекс.браузера, яндекс.диска и пунто свитчера (яндекс в отличие от мейла как по мне не совсем "корпорация зла" и делает иногда полезный софт или то что юзерам нравится). Нормально настроить удалось только запуск, да и то не уверен в корректности - с устаноыщиками какие-то глюки, не всегда упоминается название продукта, зачем-то иногда в названии продукта присутствует еще и версия, используются левые названия продукта типа "инсталлер хмл", "яндекс", "апдейтер" - нормально разрешить конкретные продукты без привязки к версиям и путям сложно.

Удивился наличию исключений не только у мейла. Почему бы этот самый AnVir не блочить целиком или вообще не блочить если он полезен? Вообще хз что оно такое.
Остается открытым вопрос с блокировкой игр от мейла не являющихся аллодами (из актуального - Warface, Ground War Tanks, Armored Warfare).

В общем - как решение для безопасности конечных пользователей - не очень, к тому же оно еще и окошко с ошибкой выкидывает, что может этих пользователей пугать или натолкнуть на поиск обходных путей (дети могут и нагуглить отключение политики). Хорошо бы чтобы события только в лог валились, без окошек - тогда будут беспокоить, только если им действительно надо что-то поставить.

По реализации - хотел сам переписать в виде батника, а den po оказывается уже

Цитата:

Еще актуально было бы блокировать соурсфорж даунлоадер.  

call :addrule "b0d36960-9cbb-11e4-bd06-0800200c9a66", "SourceForge", "O=IC FORGE, L=TEL AVIV, S=ISRAEL, C=IL"
Если они сертификат не поменяли ещё.

Цитата:

Почему бы этот самый AnVir не блочить целиком или вообще не блочить если он полезен? Вообще хз что оно такое.

Анвиры впаривают разное ненужное, вроде "ускорителей виндовс". А вот anvir task manager довольно неплохая штука.

blAckDiVer
Цитата:

вот anvir task manager довольно неплохая штука.

замечательная штука
Цитата:

Попробовал настроить разрешения для штатной работы и установки яндекс.браузера, яндекс.диска и пунто свитчера (яндекс в отличие от мейла как по мне не совсем "корпорация зла" и делает иногда полезный софт или то что юзерам нравится).

пунто, да, хорош, но его с самого начала не яндекс делал. остальное нафиг не надо.
Цитата:

Зачем в списках аська и квип также не понял (иногда ими таки пользуются).

есть жаббер и пиджин, хотя я там уже почти не сижу, перелез на вконтакт (вот уж сам бы не подумал, что буду в нем сидеть).
Цитата:

В общем - как решение для безопасности конечных пользователей - не очень, к тому же оно еще и окошко с ошибкой выкидывает, что может этих пользователей пугать или натолкнуть на поиск обходных путей (дети могут и нагуглить отключение политики).

для детей и прочих — антивирус с паролем. для меня данная методика — идеал.
den po, за соурсфорж спасибо

del.

Предлагаю добавить Cezurity (кто такой и чем знаменит).

den po
твой батник убивает все родные метро-приложения, не дает им запускаться. это так задумано?

Потому что на 8 и далее никто не тестировал. Вы первый в этой теме, кому понадобились метро — вот вы и выясняйте, какая строчки их убивает.

Кто-нибудь подхватывал такую гадость как WordShark? То ли шла с какой-то программой, уже не помню с какой... вроде единственную прогу установил это последний флешплеер
https://get.adobe.com/ru/flashplayer/
И галочки блин все снимал, но всё равно подхватилась.

Запихнул бы кто эту гадость в ваш файлик.

Цитата:

den po
твой батник убивает все родные метро-приложения, не дает им запускаться. это так задумано?

вообще не должно, это было исправлено в апреле. вот добавленные тогда строчки:
https://github.com/justdanpo/simply-applocker-rules/commit/d21284c8046c407369c6acd6f510b666fc51f88c


Цитата:

Запихнул бы кто эту гадость в ваш файлик.

с такими просьбами неплохо было бы екзешником делиться, если там цифровая подпись есть.
upd: нашёл, добавил

Некоторое время назад поставил yandex.ban, все работало.
Но заблокировались modern приложения, пунто свитчер.

Попробовал в applocker'е создать исключение для пунто по пути - не помогло, по сигнатуре - тоже не помогло. Решил почитать тут. Увидел автоматизированный батник, решил заодно попоробовать (и получить, как иминимум, рабочие modern приложения). Скачал с гитхаба, попрбовал. При запуске все отработало. Тем не менее, запуск metro приложений не работает - заблокированы. Полез в secpol, посмотрел правила. Что увидел:
- executable rules - 17 правил (после импорта yandexban их существенно больше)
- windows installer rules - пусто (аналогично)
- packaged app rules - 1 разрешающее правило, насколько я понял из чтения этой темы, как раз для запуска metro приложений, но почему-то не помогло (после запуска перелогинивался, но не перезагружался)

Что еще более странно, остановил и отключил сервис Application Identity, но metro приложения так и остались заблокированными. После перезагрузки - та же фигня.

ЧЯДНТ?

del\doublepost

Цитата:

Полез в secpol, посмотрел правила. Что увидел:
- executable rules - 17 правил (после импорта yandexban их существенно больше)
- windows installer rules - пусто (аналогично)

Проблема может быть, если браузер при сохранении заменяет символы перевода строки. Мои браузеры этим не грешат.
Попробуйте сравнить побайтово сохранённый файл с этим http://justdanpo.ru/data/projects/misc/sarsetup.bat
Или я сам сравню, выложите куда-нибудь скачанный файл и сгенерированный им xml. Если файл запускался из контекстного меню, sarules.xml лежит где-то в %windir%\system32

Цитата:

Попробуйте сравнить побайтово

Сравнил, ваш вариант по ссылке больше - м.б., у меня какая-то старая версия...
В любом случае, после запуска в secpol перечень правил для applocker'а существенно полнее, и включает правило, разрешающее все всем в разделе packaged app rules, что, по идее, должно разрешать работу метро-программ.

Однако у меня этого не происходит - метро-программы не запускаются с соответствующим сообщением. Причем, что я совершенно не понимаю, они не запускаются, даже когда я остановил службу Application Identity. Самое смешное, что в описании к этой службе написано, что ее отключение препятствует работе Applocker'а, чего по факту не наблюдается. Я ее и остановил, и переключил в Disabled - все равно правила выполняются, и запустить матро-приложения я не могу. Перелогинился - не помогает. Перезагрузиться?

Добавлено:

Цитата:

Перезагрузиться?

Ну да, перезагрузился, тогда applocker встал. Странно, что МС забыли написать об этом в комментарии к службе, было бы проще.
- так и не понял, почему у меня не работает разрешение на запуск метро-приложений
- так и не понял, почему не сработало разрешение пунто свитчеру (пробовал добавлять его в исключения соответствующего правила по пути\сигнатуре файла).

В общем, то ли у меня система кривая, то ли еще что-то где-то. Учитывая, что я не тормоз и сам себе это ставить не буду, а от бОльшей части этой дряни, коли не замечу сам, спасает Unchecky, а если что и ставится, так быстро себя выдает тупыми диалогами, и расстреливается на месте - наверное, забуду пока про applocker, как про страшный сон.

Поставил в виртуалку 8.1, проверил. Всё работает.
Могу посоветовать только попробовать правый клик на группах правил и выбрать для каждой группы "создать правила по умолчанию".

На Win10 (естественно Enterprise) также блокируются metro-приложения и даже кнопка "Пуск". Правила по умолчанию создавал - не помогает.

С файлом YandexBan_20150319.xml все вроде бы работает правильно, причем без создания правил по умолчанию.

Если что-то не работает, присылайте батник в том виде, в каком он у вас скачался, xml, сгенерированный батником, а также xml, полученный экспортом из локальных политик безопасности.

Тем временем батник переписан, теперь вся работа делается через powershell, так что перенос строк не должен больше мешать. Идентификаторы из правил убраны. Для добавленных вновь правил идентификаторы генерируются хешом, а для старых хранится таблица идентификаторов (совместимость; может уберу потом). Правила для исполняемых файлов и для установщиков объединены, список правил от этого сократился вдвое.
Теперь не обязательно запускать от администратора, батник сам запросит права.

Насколько я понял, при остановленной службе Удостоверение приложения AppLocker перестаёт выполнять свою функцию?
Недавно зашёл "в гости к компьютеру", на котором я внедрял правила и обнаружил всю россыпь «зловредов». Как оказалось, один из них перед установкой потушил службу...

Скачал батник он красным шрифтом ругнулся и ничо не сделал, даже не создал файл.xml. Как правильно запустить batник? или в чем моя ошибка. Виндовс 7 максималка лицензия запускал на рабочем столе, и в корне диска с:\.
выложите с генерированный файл.xml

А сообщение об ошибке процитировать не получается?

den po
Здравствуйте

Цитата:

Ampersand not allowed. The & operator is reserved for future use; use "&" to pa
ss ampersand as a string.
At line:1 char:61
+ \" -encoding UTF8) -replace \"#\",\"#\"" | powershell -c - & <<<< goto :eof
+ CategoryInfo : ParserError: (:) [], ParentContainsErrorRecordEx
ception
+ FullyQualifiedErrorId : AmpersandNotAllowed

Unexpected token '*' in expression or statement.
At line:82 char:21
+ "SPEEDUPMYPC" "*" <<<<
+ CategoryInfo : ParserError: (*:String) [], ParentContainsErrorR
ecordException
+ FullyQualifiedErrorId : UnexpectedToken

Unexpected token 'ProductName="YANDEX INSTALLER" BinaryName="YANDEX.EXE"' in ex
pression or statement.
At line:4 char:71
+ "ProductName=""YANDEX INSTALLER"" BinaryName=""YANDEX.EXE""" <<<<
"LowSec
+ CategoryInfo : ParserError: (ProductName="YA...me="YANDEX.EXE":
String) [], ParentContainsErrorRecordException
+ FullyQualifiedErrorId : UnexpectedToken

The term 'addrules' is not recognized as the name of a cmdlet, function, script
file, or operable program. Check the spelling of the name, or if a path was in
cluded, verify that the path is correct and try again.
At line:1 char:11
+ addrules <<<< "Zona" "O=DESTINY MEDIA, L=MOSCOW, S=MOSCOW, C=RU"
+ CategoryInfo : ObjectNotFound: (addrules:String) [], CommandNot
FoundException
+ FullyQualifiedErrorId : CommandNotFoundException

Unexpected token '}' in expression or statement.
At line:1 char:2
+ } <<<<
+ CategoryInfo : ParserError: (}:String) [], ParentContainsErrorR
ecordException
+ FullyQualifiedErrorId : UnexpectedToken

Missing '=' operator after key in hash literal.
At line:80 char:81
+ "Exe__O=RAMBLER INTERNET HOLDINGS LLC, L=MOSCOW, S=RUSSIAN FEDERATION, C=RU
" <<<<
+ CategoryInfo : ParserError: (:) [], ParentContainsErrorRecordEx
ception
+ FullyQualifiedErrorId : MissingEqualsInHashLiteral

Missing closing ')' in expression.
At line:18 char:1
+ <<<< erviceProvider).ComputeHash((new-object -TypeName System.Text.UTF8Encod
ing).Get
+ CategoryInfo : ParserError: (CloseParenToken:TokenId) [], Paren
tContainsErrorRecordException
+ FullyQualifiedErrorId : MissingEndParenthesisInExpression

Index operation failed; the array index evaluated to null.
At line:1 char:10
+ $rules[ <<<< $rulecollectiontype] += $ret
+ CategoryInfo : InvalidOperation: (:) [], RuntimeException
+ FullyQualifiedErrorId : NullArrayIndex

Unexpected token '}' in expression or statement.
At line:1 char:2
+ } <<<<
+ CategoryInfo : ParserError: (}:String) [], ParentContainsErrorR
ecordException
+ FullyQualifiedErrorId : UnexpectedToken

Missing ')' in method call.
At line:5 char:1
+ <<<< inistrator)))
+ CategoryInfo : ParserError: (CloseParenToken:TokenId) [], Paren
tContainsErrorRecordException
+ FullyQualifiedErrorId : MissingEndParenthesisInMethodCall

The term 'GetAdminRights' is not recognized as the name of a cmdlet, function,
script file, or operable program. Check the spelling of the name, or if a path
was included, verify that the path is correct and try again.
At line:1 char:15
+ GetAdminRights <<<<
+ CategoryInfo : ObjectNotFound: (GetAdminRights:String) [], Comm
andNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException

The term 'DoRules' is not recognized as the name of a cmdlet, function, script
file, or operable program. Check the spelling of the name, or if a path was inc
luded, verify that the path is correct and try again.
At line:2 char:10
+ DoRules <<<<
+ CategoryInfo : ObjectNotFound: (DoRules:String) [], CommandNotF
oundException
+ FullyQualifiedErrorId : CommandNotFoundException

Press any key to continue...

Вот так выглядит што делать:smoke: