4. Запуск приложений с Prefetch
•Имя файла записывается в формате C:WINDOWSPrefetch
•
NOTEPAD.EXE-AF43252301.PF
Имя исполняемого файла
Хэш из данных EXE и аргументов командной строки
Расширение Prefetch файлов
Для одного того же EXE будут создаваться разные PF файлы в зависимости от параметров передаваемых в командной строке
5.
6.
7.
8.
9.
10.
11.
12.
13. Feature
Location
Temporary Internet Files
C:UsersuserAppDataLocalMicrosoftWindows
Temporary Internet FilesContent.IE5
Cookies
C:UsersuserAppDataRoamingMicrosoftWindows
Cookies
Visited
C:Users<user>AppDataLocalMicrosoftWindows
HistoryHistory.IE5MShist01<date>
History
C:UsersuserAppDataLocalMicrosoftWindows
HistoryHistory.IE5
21. Идентифицируете важные
системы. Проводите
регулярный аудит этих
систем
Ограничьте набор
запускаемых приложений
с помощью Applcoker или
SRP
Ограничьте права
стандартного
пользователя
Включите Volume Shadow Copy
Придерживайтесь
рекомендаций вендора
системы в сфере ИБ