İstemci bilgisayarlarında çalışan uygulamalar kontrol altında tutulmalı ve onaylanmamış uygulamalar bilgisayarlarda çalıştırılmasına izin verilmemelidir. Kullanıcılar local admin haklarına sahip olmasalar bile kendi profillerinin altında tam denetim hakkına sahiptir. Bazı uygulamalar local admin hakları olmadan kullanıcı profillerine kontrolsüze bir şekilde yüklenmektedir. Örneğin Google Chrome, Mozilla ya da usb ile getirilen portable uygulamalar.
Aynı zamanda bilgisayara bulaşacak yazılıms istem haklarını elde ede mesebile açılışa kendini yerleştirerek kalıcı olmak isteyecektir. Windows’un Start Up alanlarına yetkisi dahilinde yerleşmekte ve bir sonraki açılışta tekrar aktif olup hayatına devam edecektir. Bilgisayarlarda çalışan uygulamaların günlüklerinin tutulabilmesi için GPO ile “Event ID 4688: A new process has been created” günlüğü aktif edilmelidir.
Bir Bilgi Güvenliği İhlal Şüphesi Olayı Analizi
