[Crazy Noise]

Цитата jorikello:

Или вы все-таки посоветуете приобрести антивирус? »

Антивирус + Фаервол или Антивирус с фаерволом.
UAC это туфта, нельзя на него полагаться, легко обойти и запустить любого зверька без ведома пользователя.

[Vadikan]

jorikello, ответ на вопрос зависит от вашей квалификации (емнип, вы единственный пользователь ПК). Встроенные технологии защиты и предупреждения (брандмауэр, Defender, SmartScreen, UAC) обеспечивают неплохой уровень безопасности для осторожного или более-менее квалифицированного пользователя. Он выше чем в 7 за счет SmartScreen.

Но эти меры не являются панацеей, равно как и другие защитные решения. Если вы неуверенно себя чувствуете, покупайте более мощное комплексное защитное решение типа KIS или NIS. В общем, как работали в 7, так и работайте дальше. А гарантию против запуска вредоносного кода даст только AppLocker (в Enterprise)

Crazy Noise, интересно. Ну, рассказывайте, как замена UAC на сторонний фаервол снизит риск запуска

Цитата Crazy Noise:

любого зверька без ведома пользователя »

[Crazy Noise]

Цитата Vadikan:

как замена UAC на сторонний фаервол снизит риск запуска »

Да, все таки прав, никак. Насчёт фаервола погорячился. Перепроверил, запустил своего зловреда на втором ПК, тот угробил UAC за пару секунд, и удалил некоторые системнные файлы что KIS даже не пикнул, не смотря на последние обновления, но на второй запускаемый процесс он всё таки обратил внимание.
jorikello, Никак, может спасти Антивирус, но против последних вирусов он бесполезен.

[jorikello]

Vadikan, спасибо за вменяемый комментарий. Из сторонних решений склоняюсь к ESET SM.

[Crazy Noise]

jorikello, Совсем забыл, если вы не единственный пользователь ПК, то ко всему прочему стоит использовать Родительский контроль, указать что стоит запускать а что нет.

[ShaddyR]

Vadikan, а насколько ситуация, описанная Crazy Noise,

Цитата Crazy Noise:

запустил своего зловреда на втором ПК, тот угробил UAC за пару секунд, и удалил некоторые системнные файлы »

типична для 7ки вообще и 8ки в частности?

[Vadikan]

ShaddyR, я не стал комментировать, ибо там нет конкретики и вряд ли она появится. Но если запустить зловреда с полными правами, то все возможно

Думаю, в 8 при запуске такого ПО даже если не отработает Defender (в скобках замечу, что у него не отработал даже KIS), то сначала вылезет SmartScreen (нет подписи), а потом UAC (нет прав). Дальше уже ССЗБ.

Вообще, такой зловред с большой вероятностью должен быть редким или вооще 0-day, иначе он просто ловится по сигнатурам. Откуда у него такие зловреды, я не знаю...

[ShaddyR]

Vadikan, почему спрашиваю... уже раз так третий сталкиваюсь с ситуацией, когда на 7ке, поставленной мной, с изначально включенным до рекомендуемого уровня UAC'ом, нарисовывается зловред, стартующий вместе с системой, что невозможно по-идее. Клиенты божатся, что никаких запросов не было. При этом зловред один и тот же. что и смутило. Есть прецеденты обхода UAC из-под неадминистративно запущенного без вывода подтверждения?
В дополнение: в одном из таких случаев UAC'у явно приходилось несладко - мужик сознательно лазил по гденипопаднишним сайтам, результат - тот же вредонос. При этом мужик также утверждает, что подтверждений чего-либо не было. А главное - мне каждый раз приходилось заново включать UAC - он оказывался выключенным. Прекратилось только с третьего раза, когда поставил на четвертое, паническое, деление шкалы.
Вот такая мистика.
В качестве AV-защиты там использован KAV6WKS. После нейтрализации вредины при входе в систему он сообщает, что обнаружен вредоносный объект. Но, как говорится, уже поздно пить боржоми. Похоже, если антивир что и заподозрит - ему не дается время на среагировать - там же нужно участие пользователя, значит - запрос, на который надо ответить... что невозможно, если окно закрыл вредонос)

[Vadikan]

ShaddyR, наверное, где-то есть PoC обхода UAC, но я что-то не слышал о реальных уязвимостях - их бы вовсю эксплуатировали.

У тебя юзеры с какими правами работают? При стандартных параметрах для обычного пользователя две верхних настройки фактически одинаковы. Там же разница лишь в подходе к настройке Windows - администратор повышается с запросом на самом верхнем уровне. Пользователю же при любом раскладе требуется ввести пароль администратора.

Если твои юзеры работают с правами админа, то вероятнее всего они просто где-то одобрили запрос. Ведь UAC не надо обходить - достаточно показывать запрос, пока юзер не нажмет "Да"

А раз ты зловреда отлавливал антивирусом, он должен быть в энциклопедиях, с описанием его работы.

P.S. Не пиши оффтопом, мне плохо видно.