Лидеры форума

В данном случае я не знаю, как именно эти утилиты попали в базу доверенных "ЛК", но могу рассказать, как это могло произойти (и зачастую происходит). Допустим, в момент времени T0 только во вредоносных программах встречается действие A, притом что это действие, если его не заблокировать, даёт возможность скомпрометировать любую защиту и получить контроль над системой. Придя к такому выводу, аналитики антивирусной компании K реализуют эвристическое детектирование для всех программ, выполняющих такое действие и не являющихся доверенными. Причём такой детект может работать как при запуске вредоносной программы, так и (благодаря эмуляции) при обычном сканировании и даже просто при попытке загрузить или скопировать файл. Далее в момент времени T1 какая-то тестовая организация также обнаруживает, что действие A позволяет вредоносной программе получить контроль над системой. Значит, хорошо бы добавить такой тест в тестовый набор. Но каждый раз при организации очередного тестирования искать настоящие актуальные вредоносные программы, которые используют эту технику, как-то... в лом. В результате создаётся тестовая утилита, которая пытается выполнить действие A и проверяет, блокируется его выполнение или нет. Знакомо? Через некоторое время эта тестовая утилита разойдётся "по рукам". И обязательно найдётся доброхот, который напишет в компанию K гневное письмо: "Какже так этоже тестовая утилита а вы её детектируете как подозрительную вредоносную програму и врезультате я её даже скачать немогу немедлено исправте это ложное срабатывание". Аналитики смотрят на утилиту и видят, что она, таки да, выполняет действие A, но в результате выполнения этого действия запускается, допустим, "Калькулятор" с правами LocalSystem. Что делать аналитикам? Убирать детект совсем (так как теперь он как будто бы "вызывает ложные срабатывания"), лишая пользователей защиты от настоящих вредоносных программ из-за какой-то "левой" утилиты? Разумеется, нет. Аналитики просто берут и вносят эту утилиту в список доверенных. Дальнейшее мы можем наблюдать на примере этого теста.

Добрый день, Руслан, 1) Это можно сделать через правило контентной фильтрации, закладка Compliance, создаём правило из пустого (blank) шаблона. Затем задаём условия, Conditions, возможны два варианта: Если только один адрес, то так: Если список адресов, то: Но здесь надо заполнить список адресов в пункте Dictionaries После условия, уже указаываем и действия: удалить,оповестить и т.п. 2)Именно по количеству пользователей. На сколько купили - на столько и используете, жёстких средств контроля нет.