Выполнение несанкционированного кода заблокировало dr web как отключить
Обновлено: 22.11.2024
Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .
Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.
Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .
Новейшее аппаратное обеспечение Cisco и привязка Intersight к общедоступному облаку Kubernetes расширяют возможности гибридных облачных продуктов для клиентов. Но .
Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .
Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .
Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .
Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски .
Недавнее мероприятие Accenture Technology Vision подчеркнуло трансформационные возможности виртуальных миров, а также указало на .
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .
Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
ЕС и США согласовывают структуру конфиденциальности данных, разрешающую трансатлантическую передачу данных после того, как США предложат уступки в отношении слежки и новых данных.
Европейская комиссия предложила новые правила кибербезопасности и информационной безопасности для создания минимального набора стандартов.
Семь человек арестованы лондонской полицией в связи с кибератаками, совершенными группой Lapsus$, которая несет ответственность за ряд .
На вкладке Превентивная защита вы можете настроить реакцию Dr.Web на действия других программ, которые могут поставить под угрозу безопасность рабочей станции. Также вы можете выбрать уровень защиты от эксплойтов.
При этом вы можете настроить отдельный режим защиты для конкретных приложений или настроить общий режим, настройки которого будут применяться ко всем остальным процессам.
Блокировать WSL
Установите флаг Блокировать WSL, чтобы блокировать подсистему Windows для Linux на станциях с установленным Агентом Dr.Web.
Эта опция актуальна только для Windows 10.
Предотвращение эксплойтов
В разделе Защита от эксплойтов вы можете настроить блокировку вредоносных программ, использующих уязвимости известных приложений. Из соответствующего выпадающего списка выберите необходимый уровень защиты.
Предотвращение запуска несанкционированного кода
Если обнаружена попытка вредоносного объекта использовать уязвимости в программном обеспечении для получения доступа к критическим областям операционной системы, она будет автоматически заблокирована. маленький>
Интерактивный режим обучения Если обнаружена попытка вредоносного объекта использовать уязвимости в программном обеспечении для получения доступа к критическим областям операционной системы, Dr.Web выведет соответствующее сообщение. Прочтите информацию и выберите подходящее действие.
Разрешить выполнение несанкционированного кода выполнение
Если обнаружена попытка вредоносного объекта использовать уязвимости в программном обеспечении для получения доступа к критическим областям операционной системы, она будет разрешена автоматически. маленький>
Уровень блокировки подозрительной активности
В разделе Уровень блокировки подозрительной активности вы можете настроить общий режим защиты, параметры которого будут применяться ко всем процессам, если не указан персональный режим из раздела ниже. Вы также можете защитить пользовательские данные от нежелательных изменений.
Выберите один из уровней защиты, предоставляемых антивирусом:
· Paranoid — максимальный уровень защиты, когда вам нужен полный контроль над доступом к критически важным объектам ОС Windows.
Использование этого режима может привести к проблемам совместимости с законным программным обеспечением, которое использует защищенные ветки реестра.маленький>
· Средний — уровень защиты при высоком риске заражения компьютера. В этом режиме дополнительно блокируется доступ к критически важным объектам, которые потенциально могут быть использованы вредоносными программами.
· Оптимальный — уровень защиты, отключающий автоматическое изменение системных объектов, модификация которых явно свидетельствует о злонамеренной попытке повредить операционную систему.
· Пользовательский — уровень защиты, устанавливаемый пользователем (администратором Сервера) на основе настроек, указанных в таблице ниже.
Чтобы указать пользовательские настройки уровня превентивной защиты, установите флаги в таблице этого раздела в одно из следующих положений:
a) Разрешить — всегда разрешать действия с этим объектом или от этого объекта.
b) Спросить — запросить диалоговое окно для установки необходимых действий пользователя для конкретного объекта.
c) Блокировать — всегда запрещать действия с этим объектом или от этого объекта.
Если изменить настройки таблицы, когда установлен один из предустановленных уровней в разделе Уровень блокировки подозрительной активности, он автоматически изменится на Пользовательский.
Вы можете создать несколько независимых пользовательских профилей.
Чтобы добавить новый пользовательский профиль, нажмите . В открывшемся окне укажите имя нового профиля и нажмите Сохранить.
Чтобы удалить созданный вами пользовательский профиль, выберите его в списке Уровень блокировки подозрительной активности и нажмите . Вам не разрешено удалять предопределенные профили.
Настройки превентивной защиты позволяют контролировать следующие объекты:
· Целостность запущенных приложений — обнаружение процессов, внедряющих свой код в работающие приложения, что может поставить под угрозу безопасность компьютера. Процессы, добавленные в список исключений компонента SpIDer Guard, не контролируются.
· Целостность пользовательских файлов — обнаружение процессов, которые изменяют пользовательские файлы с помощью известного алгоритма, указывающего на то, что процесс может поставить под угрозу компьютерную безопасность. Процессы, добавленные в список исключений компонента SpIDer Guard, не контролируются. Для защиты ваших данных от несанкционированного изменения рекомендуется настроить создание защищенных копий для важных файлов.
· Файл HOSTS — операционная система использует этот файл для упрощения доступа в Интернет. Изменения в этом файле могут указывать на заражение вирусом или другой вредоносной программой.
· Низкоуровневый доступ к диску — запретить приложениям запись на диски по секторам, минуя файловую систему.
· Загрузка драйверов — запретить приложениям загружать новые или неизвестные драйверы.
Другие опции контролируют доступ к критичным объектам ОС Windows и позволяют защитить от модификации следующие ветки реестра (как в системном профиле, так и во всех пользовательских профилях).
Защищенные ветки реестра
Параметры выполнения файла изображения Программное обеспечение\Microsoft\Windows NT\CurrentVersion\Выполнение файла изображения Параметры
Драйверы пользователя Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Software\Microsoft\Windows NT\CurrentVersion\Userinstall- способные.драйверы
Параметры Winlogon Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL р>
Уведомления Winlogon Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Автозапуск оболочки Windows Software\Microsoft\Windows NT\CurrentVersion\Windows, AppIn-it_DLL, LoadAppInAppIn-it_DLL, Load, Run, IconServiceLib
Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (keys)
Политики ограниченного использования программ Software\Policies\Microsoft\Windows\Safer
Подключаемые модули Internet Explorer (BHO) Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Вспомогательные объекты
Автозапуск программы Software\Microsoft\Windows\CurrentVersion\Run Software\Microsoft\Windows\CurrentVersion\RunOnce Software\Microsoft \Windows\CurrentVersion\RunOnceEx Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Setup Software \Microsoft\Windows\CurrentVersion\RunServices Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Автозапуск политик Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Настройка безопасного режима SYSTEM\ControlSetXXX\Control\SafeBoot\Minimal SYSTEM\ControlSetXXX\Control\SafeBoot\Network
Параметры диспетчера сеансов System\ControlSetXXX\Control\Session Manager\SubSystems, Windows
Системные службы System\CurrentControlXXX\Services
Если при установке важных обновлений Microsoft или установке и работе программ (включая программы дефрагментации) возникают какие-либо проблемы, отключите соответствующие опции в этой группе. маленький>
Персональные параметры доступа
В разделе Список приложений с персональными параметрами доступа к объектам защиты вы можете настроить отдельный режим защиты для отдельных приложений. Ко всем остальным процессам будут применяться настройки, указанные в разделе выше.
Редактировать правило
<р>1. Чтобы добавить еще одно правило, нажмите .a) Чтобы настроить добавленное правило, нажмите рядом с этим правилом.
б) В открывшемся окне указать путь к исполняемому файлу программы на защищаемой рабочей станции.
c) Просмотрите настройки по умолчанию и при необходимости отредактируйте их.
d) Нажмите «Сохранить».
<р>2. Чтобы отредактировать существующее правило, нажмите на нужное правило и выполните действия из блоков 1.а) - 1.г).Средство удаления вредоносных программ Windows (MSRT) помогает удалять вредоносное ПО с компьютеров, работающих под управлением любой из следующих операционных систем:
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Microsoft ежемесячно выпускает MSRT как часть Центра обновления Windows или как отдельный инструмент. Используйте этот инструмент, чтобы найти и удалить определенные распространенные угрозы и отменить внесенные ими изменения (см. Охватываемые семейства вредоносных программ). Для комплексного обнаружения и удаления вредоносных программ рассмотрите возможность использования автономного Защитника Windows или Сканера безопасности Microsoft.
Эта статья содержит информацию о том, чем инструмент отличается от антивирусного продукта или продукта для защиты от вредоносных программ, как его можно загрузить и запустить, что происходит, когда инструмент обнаруживает вредоносное ПО, а также информацию о выпуске инструмента. Он также включает информацию для администраторов и опытных пользователей, включая информацию о поддерживаемых параметрах командной строки.
В соответствии с политикой Microsoft Support Lifecycle MSRT больше не поддерживается на платформах Windows Vista и более ранних версиях. Дополнительные сведения см. в разделе Жизненный цикл поддержки Майкрософт.
Если у вас возникли проблемы с обновлением MSRT в Центре обновления Windows, см. раздел Устранение неполадок при обновлении Windows 10.
Подробнее
MSRT не заменяет антивирусный продукт. Это строго инструмент для удаления постинфекции. Поэтому мы настоятельно рекомендуем вам установить и использовать новейший антивирусный продукт.
MSRT отличается от антивирусного продукта тремя важными особенностями:
Этот инструмент удаляет вредоносное ПО с уже зараженного компьютера. Антивирусные продукты блокируют запуск вредоносных программ на компьютере. Значительно желательнее заблокировать запуск вредоносных программ на компьютере, чем удалять их после заражения.
Этот инструмент удаляет только определенные распространенные вредоносные программы. Конкретное распространенное вредоносное ПО — это небольшое подмножество всех вредоносных программ, существующих на сегодняшний день.
Этот инструмент предназначен для обнаружения и удаления активных вредоносных программ. Активное вредоносное ПО — это вредоносное ПО, работающее в данный момент на компьютере. Инструмент не может удалить вредоносное программное обеспечение, которое не запущено. Однако эту задачу может выполнить антивирусный продукт.
Для получения дополнительной информации о том, как защитить свой компьютер, перейдите на веб-сайт Центра безопасности и защиты Майкрософт.
Примечание. Средство MSRT предназначено только для обнаружения и удаления вредоносных программ, таких как вирусы, черви и троянские кони. Он не удаляет шпионское ПО.
Вам не нужно отключать или удалять антивирусную программу при установке MSRT. Однако, если распространенное вредоносное программное обеспечение заразило ваш компьютер, антивирусная программа может обнаружить это вредоносное программное обеспечение и может помешать средству удаления удалить его при запуске средства удаления. В этом случае вы можете использовать антивирусную программу для удаления вредоносного программного обеспечения.
Поскольку средство MSRT не содержит вирусов или червей, само по себе средство удаления не должно запускать антивирусную программу. Однако если вредоносное ПО заразило компьютер до того, как вы установили последнюю версию антивирусной программы, ваша антивирусная программа может не обнаружить это вредоносное ПО, пока средство не попытается его удалить.
Примечание. С ноября 2019 года MSRT будет иметь исключительно подпись SHA-2. Ваши устройства должны быть обновлены для поддержки SHA-2, чтобы запускать MSRT. Дополнительные сведения см. в статье Требования к поддержке подписи кода SHA-2 для Windows и WSUS от 2019 г.
Самый простой способ загрузить и запустить MSRT — включить автоматическое обновление.Включение автоматических обновлений гарантирует, что вы получите инструмент автоматически. Если у вас включено автоматическое обновление, вы уже получаете новые версии этого инструмента. Инструмент работает в тихом режиме, пока не обнаружит инфекцию. Если вы не были уведомлены о заражении, вредоносное ПО, требующее вашего внимания, обнаружено не было.
Включение автоматических обновлений
Чтобы самостоятельно включить автоматическое обновление, выполните действия, указанные в следующей таблице, для операционной системы, на которой работает ваш компьютер.
Если ваш компьютер работает:
Выполните следующие действия:
Нажмите кнопку «Пуск», затем выберите «Настройки» > «Обновление и безопасность» > «Центр обновления Windows». Если вы хотите проверить наличие обновлений вручную, выберите Проверить наличие обновлений.
Выберите Дополнительные параметры, а затем в разделе Выбор способа установки обновлений выберите Автоматически (рекомендуется).
Примечание. Windows 10 — это служба. Это означает, что автоматические обновления включены по умолчанию, и на вашем компьютере всегда установлены самые последние и лучшие функции.
Откройте Центр обновления Windows, проведя пальцем от правого края экрана (или, если вы используете мышь, указав на правый нижний угол экрана и переместив указатель мыши вверх), выберите «Настройки» > «Изменить компьютер». Настройки > Обновление и восстановление > Центр обновления Windows. Если вы хотите проверить наличие обновлений вручную, выберите Проверить сейчас.
Выберите «Выбрать способ установки обновлений», а затем в разделе «Важные обновления» выберите «Устанавливать обновления автоматически (рекомендуется)».
В разделе Рекомендуемые обновления установите флажок Давать мне рекомендуемые обновления так же, как я получаю важные обновления.
В разделе Центр обновления Майкрософт установите флажок Давать мне обновления для других продуктов Майкрософт при обновлении Windows, а затем нажмите Применить.
На левой панели нажмите Изменить настройки.
Нажмите, чтобы выбрать Установить обновления автоматически (рекомендуется).
В разделе «Рекомендуемые обновления» установите флажок Давать мне рекомендуемые обновления так же, как я получаю важные обновления, а затем нажмите «ОК». Если вас попросят ввести пароль администратора или подтвердить, введите пароль или предоставьте подтверждение. Перейдите к шагу 3.
Загрузите MSRT. Вы должны принять Условия лицензионного соглашения на использование программного обеспечения Microsoft. Условия лицензии отображаются только при первом доступе к автоматическим обновлениям.
Примечание. После того как вы примете условия разовой лицензии, вы сможете получать будущие версии MSRT, не входя на компьютер в качестве администратора.
MSRT работает в тихом режиме. Если он обнаружит вредоносное программное обеспечение на вашем компьютере, при следующем входе в систему в качестве администратора компьютера в области уведомлений появится всплывающая подсказка, информирующая вас об обнаружении.
Выполнение полного сканирования
Если инструмент обнаружит вредоносное ПО, вам может быть предложено выполнить полное сканирование. Мы рекомендуем вам выполнить это сканирование. При полном сканировании выполняется быстрое сканирование, а затем полное сканирование компьютера, независимо от того, обнаружено ли вредоносное ПО во время быстрого сканирования. Это сканирование может занять несколько часов, поскольку оно будет сканировать все фиксированные и съемные диски. Однако подключенные сетевые диски не сканируются.
Удаление вредоносных файлов
Если вредоносное ПО изменило (заразило) файлы на вашем компьютере, инструмент предложит вам удалить вредоносное ПО из этих файлов. Если вредоносное ПО изменило настройки вашего браузера, ваша домашняя страница может автоматически измениться на страницу с инструкциями по восстановлению этих настроек.
Вы можете очистить определенные файлы или все зараженные файлы, обнаруженные этим средством. Имейте в виду, что во время этого процесса возможна некоторая потеря данных. Кроме того, имейте в виду, что инструмент может не восстановить некоторые файлы до исходного состояния до заражения.
Инструмент удаления может запросить перезагрузку компьютера для завершения удаления некоторых вредоносных программ или выполнить действия вручную для завершения удаления вредоносных программ. Для завершения удаления необходимо использовать последнюю версию антивирусного продукта.
Отправка сведений о заражении в корпорацию Майкрософт Средство MSRT отправляет основную информацию в корпорацию Майкрософт, если средство обнаруживает вредоносное программное обеспечение или обнаруживает ошибку. Эта информация будет использоваться для отслеживания распространенности вируса. Вместе с этим отчетом не отправляется идентифицируемая личная информация, связанная с вами или с компьютером.
MSRT не использует программу установки. Обычно при запуске MSRT создается временный каталог со случайным именем на корневом диске компьютера. Этот каталог содержит несколько файлов, включая файл Mrtstub.exe. В большинстве случаев эта папка автоматически удаляется после завершения работы инструмента или при следующем запуске компьютера. Однако эта папка не всегда может быть удалена автоматически. В этих случаях вы можете вручную удалить эту папку, и это не окажет негативного влияния на компьютер.
Как получить поддержку
Местная поддержка в зависимости от страны: международная поддержка.
Центр загрузки Майкрософт
Примечание. С ноября 2019 года MSRT будет иметь исключительно подпись SHA-2. Ваши устройства должны быть обновлены для поддержки SHA-2, чтобы запускать MSRT. Дополнительные сведения см. в статье Требования к поддержке подписи кода SHA-2 для Windows и WSUS от 2019 г.
Вы можете вручную загрузить MSRT из Центра загрузки Майкрософт. Следующие файлы доступны для загрузки из Центра загрузки Майкрософт:
Для 32-разрядных систем на базе x86:
Загрузите пакет x86 MSRT прямо сейчас.
Для 64-разрядных систем на базе x64:
Загрузите пакет x64 MSRT прямо сейчас.
Дата выпуска: 8 марта 2022 г.
Дополнительную информацию о том, как загрузить файлы поддержки Microsoft, см. в разделе Как получить файлы поддержки Microsoft из онлайн-сервисов.
Майкрософт проверил этот файл на наличие вирусов. Microsoft использовала самое последнее программное обеспечение для обнаружения вирусов, которое было доступно на дату размещения файла. Файл хранится на защищенных серверах, которые помогают предотвратить любые несанкционированные изменения в файле.
Развертывание MSRT в корпоративной среде
Если вы являетесь ИТ-администратором и хотите получить дополнительную информацию о том, как развернуть средство в корпоративной среде, см. раздел Развертывание средства удаления вредоносных программ для Windows в корпоративной среде.
Эта статья содержит информацию о Microsoft Systems Management Server (SMS), службах Microsoft Software Update Services (MSUS) и Microsoft Baseline Security Analyzer (MBSA).
Если не указано иное, информация в этом разделе применима ко всем способам загрузки и запуска MSRT:
Центр загрузки Майкрософт
Для запуска MSRT необходимы следующие условия:
На компьютере должна быть установлена поддерживаемая версия Windows.
Вы должны войти на компьютер, используя учетную запись, которая является членом группы администраторов. Если ваша учетная запись не имеет необходимых разрешений, инструмент закрывается. Если инструмент не запущен в тихом режиме, он отображает диалоговое окно с описанием ошибки.
Если инструмент устарел более чем на 215 дней (7 месяцев), инструмент отображает диалоговое окно, в котором рекомендуется загрузить последнюю версию инструмента.
Поддержка переключателей командной строки
MSRT поддерживает следующие параметры командной строки.
Использует тихий режим. Этот параметр скрывает пользовательский интерфейс инструмента.
Отображает диалоговое окно со списком переключателей командной строки.
Работает только в режиме обнаружения. В этом режиме пользователю будет сообщено о вредоносном ПО, но оно не будет удалено.
Принудительно выполняет расширенное сканирование компьютера.
Принудительно выполняет расширенное сканирование компьютера и автоматически удаляет все обнаруженные инфекции.
Информация об использовании и выпуске
Если вы загружаете средство из Центра обновления Майкрософт или из службы автоматического обновления, а на компьютере не обнаружено вредоносного программного обеспечения, в следующий раз средство будет работать в тихом режиме. Если на компьютере обнаружено вредоносное программное обеспечение, при следующем входе администратора в систему в области уведомлений появится всплывающая подсказка, уведомляющая вас об обнаружении. Чтобы получить дополнительные сведения об обнаружении, нажмите на всплывающую подсказку.
При загрузке инструмента из Центра загрузки Майкрософт во время его работы отображается пользовательский интерфейс. Однако если указать ключ командной строки /Q, он будет работать в тихом режиме.
Информация о выпуске
MSRT выпускается во второй вторник каждого месяца. Каждый выпуск инструмента помогает обнаруживать и удалять текущие распространенные вредоносные программы. Это вредоносное программное обеспечение включает вирусы, черви и троянские кони. Корпорация Майкрософт использует несколько показателей для определения распространенности семейства вредоносного программного обеспечения и ущерба, который может быть связан с ним.
Эта статья базы знаний Майкрософт будет обновляться информацией для каждого выпуска, чтобы номер соответствующей статьи оставался прежним. Имя файла будет изменено в соответствии с версией инструмента. Например, имя файла версии от февраля 2020 г. — Windows-KB890830-V5.80.exe, а имя файла версии от мая 2020 г. — Windows-KB890830-V5.82-ENU.exe.
В следующей таблице перечислены вредоносные программы, которые может удалить это средство. Инструмент также может удалить любые известные варианты на момент выпуска. В таблице также указана версия инструмента, которая впервые включала обнаружение и удаление семейства вредоносных программ.
Например, атаки межсайтового скриптинга (XSS) обходят ту же политику происхождения, заставляя сайт доставлять вредоносный код вместе с предполагаемым контентом. Это огромная проблема, поскольку браузеры доверяют всему коду, отображаемому на странице, как законной части источника безопасности этой страницы. Шпаргалка по XSS — это старая, но репрезентативная сводка методов, которые злоумышленник может использовать для нарушения этого доверия путем внедрения вредоносного кода. Если злоумышленник успешно внедряет какой-либо код, игра, по сути, окончена: данные сеанса пользователя скомпрометированы, а информация, которую следует держать в секрете, передается злоумышленникам. Мы, очевидно, хотели бы предотвратить это, если это возможно.
В этом обзоре рассказывается о защите, которая может значительно снизить риск и влияние XSS-атак в современных браузерах: Content Security Policy (CSP).
- Используйте белые списки, чтобы сообщить клиенту, что разрешено, а что нет.
- Узнайте, какие директивы доступны.
- Изучите ключевые слова, которые они используют.
- Встроенный код и eval() считаются вредоносными.
- Сообщайте о нарушениях правил на свой сервер, прежде чем применять их.
Исходные белые списки
Если эта политика определена, браузер просто выдает ошибку вместо того, чтобы загружать скрипт из любого другого источника. Когда умному злоумышленнику удастся внедрить код на ваш сайт, он получит сообщение об ошибке, а не ожидаемый успех.
Политика применяется к широкому спектру ресурсов
Несмотря на то, что ресурсы сценариев представляют собой наиболее очевидную угрозу безопасности, CSP предоставляет широкий набор директив политик, которые обеспечивают достаточно детальный контроль над ресурсами, которые разрешено загружать странице. Вы уже видели script-src , поэтому концепция должна быть ясна.
Давайте быстро пройдемся по остальным директивам ресурсов. В приведенном ниже списке представлено состояние директив на уровне 2. Опубликована спецификация уровня 3, но она практически не реализована в основных браузерах.
По умолчанию директивы широко открыты. Если вы не установили определенную политику для директивы, скажем, font-src , то эта директива по умолчанию ведет себя так, как если бы вы указали * в качестве действительного источника (например, вы можете загружать шрифты из любого места без ограничений) .
Следующие директивы не используют default-src в качестве запасного варианта. Помните, что если их не установить, это равнозначно разрешению чего-либо.
- базовый URI
- форма-действие
- предки фреймов
- типы плагинов
- отчет-URI
- песочница
Детали реализации
Вы увидите заголовки X-WebKit-CSP и X-Content-Security-Policy в различных руководствах в Интернете. В дальнейшем вы должны игнорировать эти префиксные заголовки. Современные браузеры (за исключением IE) поддерживают заголовок Content-Security-Policy без префикса. Это заголовок, который вы должны использовать.
Список источников также поддерживает четыре ключевых слова:
- 'none' , как и следовало ожидать, ничему не соответствует.
- 'self' соответствует текущему источнику, но не его субдоменам.
- 'unsafe-inline' разрешает встроенный JavaScript и CSS. (Мы коснемся этого более подробно чуть позже.)
- 'unsafe-eval' разрешает такие механизмы преобразования текста в JavaScript, как eval . (Мы еще вернемся к этому.)
Эти ключевые слова требуют одинарных кавычек. Например, script-src 'self' (с кавычками) разрешает выполнение JavaScript с текущего хоста; script-src self (без кавычек) разрешает JavaScript с сервера с именем " self " (и не с текущего хоста), что, вероятно, не то, что вы имели в виду.
Песочница
Есть еще одна директива, о которой стоит поговорить: песочница . Он немного отличается от других, которые мы рассмотрели, поскольку накладывает ограничения на действия, которые может выполнять страница, а не на ресурсы, которые страница может загружать. Если директива песочницы присутствует, страница обрабатывается так, как если бы она была загружена внутри с атрибутом песочницы. Это может иметь широкий спектр эффектов на странице: среди прочего принудительное использование страницы в уникальном источнике и предотвращение отправки формы. Это немного выходит за рамки этой статьи, но вы можете найти полную информацию о допустимых атрибутах песочницы в разделе «Песочница» спецификации HTML5.
Метатег
Это нельзя использовать для предков фреймов , report-uri или песочницы .
Встроенный код считается вредным
Должно быть ясно, что CSP основан на происхождении белого списка, так как это недвусмысленный способ указать браузеру рассматривать определенные наборы ресурсов как приемлемые и отклонять остальные. Однако списки разрешений на основе источника не решают самую большую угрозу, создаваемую XSS-атаками: внедрение встроенного скрипта.Если злоумышленник может внедрить тег сценария, который непосредственно содержит какую-либо вредоносную полезную нагрузку ( ), у браузера нет механизма, с помощью которого можно отличить его от допустимого встроенного тега сценария. CSP решает эту проблему, полностью запрещая встроенные скрипты: это единственный способ быть уверенным.
Этот запрет распространяется не только на скрипты, встроенные непосредственно в теги скриптов, но и на встроенные обработчики событий и javascript: URL-адреса. Вам нужно будет переместить содержимое тегов script во внешний файл и заменить URL-адреса javascript: и соответствующими вызовами addEventListener(). Например, вы можете переписать следующее из:
что-то вроде:
Переписанный код имеет ряд преимуществ помимо хорошей работы с CSP; это уже лучшая практика, независимо от того, используете ли вы CSP. Встроенный JavaScript смешивает структуру и поведение именно так, как вы не должны. Внешние ресурсы проще кэшировать браузерам, они более понятны для разработчиков и удобны для компиляции и минимизации. Вы будете писать более качественный код, если будете перемещать код во внешние ресурсы.
Встроенный стиль обрабатывается таким же образом: и атрибут стиля, и теги стиля должны быть объединены во внешние таблицы стилей для защиты от множества удивительно умных методов кражи данных, которые позволяет CSS.
Если вам необходим встроенный скрипт и стиль, вы можете включить их, добавив 'unsafe-inline' в качестве разрешенного источника в директиве script-src или style-src. Вы также можете использовать одноразовый номер или хэш (см. ниже), но не должны этого делать. Запрет встроенного скрипта — это самое большое преимущество безопасности, которое обеспечивает CSP, и запрет встроенного стиля также укрепляет ваше приложение. Требуется немного усилий, чтобы убедиться, что все работает правильно после переноса всего кода за пределы строки, но это компромисс, на который стоит пойти.
Если вам абсолютно необходимо его использовать.
CSP уровня 2 обеспечивает обратную совместимость для встроенных скриптов, позволяя добавлять определенные встроенные скрипты в белый список, используя либо криптографический одноразовый номер (число, используемое один раз), либо хэш. Хотя это может быть обременительно, в крайнем случае это полезно.
Чтобы использовать одноразовый номер, присвойте тегу скрипта атрибут одноразового номера. Его значение должно совпадать с одним в списке доверенных источников. Например:
Теперь добавьте одноразовый номер в директиву script-src, добавленную к ключевому слову nonce-.
Помните, что одноразовые номера должны создаваться повторно для каждого запроса страницы, и их нельзя угадать.
Хеши работают примерно так же. Вместо того, чтобы добавлять код в тег скрипта, создайте хэш SHA самого скрипта и добавьте его в директиву script-src. Например, предположим, что на вашей странице есть это:
Ваша политика будет содержать следующее:
Здесь следует отметить несколько вещей. Префикс sha*- указывает алгоритм, который генерирует хэш. В приведенном выше примере используется sha256-. CSP также поддерживает sha384- и sha512-. При создании хэша не включайте
Читайте также: