Windows Defender + UAC - достаточно ли?
 

Добрый вечер!
Подскажите, я на XP использовал Microsoft Security Essentials, вроде ничего. Вот перешел на 8. Как вы думаете достаточен ли уровень защиты от вирусов и всякой нечисти ПК при использовании Windows Defender + UAC (по умолчанию)? Или вы все-таки посоветуете приобрести антивирус?

Антивирус + Фаервол или Антивирус с фаерволом.
UAC это туфта, нельзя на него полагаться, легко обойти и запустить любого зверька без ведома пользователя.

jorikello, ответ на вопрос зависит от вашей квалификации (емнип, вы единственный пользователь ПК). Встроенные технологии защиты и предупреждения (брандмауэр, Defender, SmartScreen, UAC) обеспечивают неплохой уровень безопасности для осторожного или более-менее квалифицированного пользователя. Он выше чем в 7 за счет SmartScreen.

Но эти меры не являются панацеей, равно как и другие защитные решения. Если вы неуверенно себя чувствуете, покупайте более мощное комплексное защитное решение типа KIS или NIS. В общем, как работали в 7, так и работайте дальше. А гарантию против запуска вредоносного кода даст только AppLocker (в Enterprise)

Crazy Noise, интересно. Ну, рассказывайте, как замена UAC на сторонний фаервол снизит риск запуска

Да, все таки прав, никак. Насчёт фаервола погорячился. Перепроверил, запустил своего зловреда на втором ПК, тот угробил UAC за пару секунд, и удалил некоторые системнные файлы что KIS даже не пикнул, не смотря на последние обновления, но на второй запускаемый процесс он всё таки обратил внимание.
jorikello, Никак, может спасти Антивирус, но против последних вирусов он бесполезен.

Vadikan, спасибо за вменяемый комментарий. Из сторонних решений склоняюсь к ESET SM.

jorikello, Совсем забыл, если вы не единственный пользователь ПК, то ко всему прочему стоит использовать Родительский контроль, указать что стоит запускать а что нет.

Vadikan, а насколько ситуация, описанная Crazy Noise,

Цитата:

Цитата Crazy Noise запустил своего зловреда на втором ПК, тот угробил UAC за пару секунд, и удалил некоторые системнные файлы »

типична для 7ки вообще и 8ки в частности?

ShaddyR, я не стал комментировать, ибо там нет конкретики и вряд ли она появится. Но если запустить зловреда с полными правами, то все возможно :)

Думаю, в 8 при запуске такого ПО даже если не отработает Defender (в скобках замечу, что у него не отработал даже KIS), то сначала вылезет SmartScreen (нет подписи), а потом UAC (нет прав). Дальше уже ССЗБ.

Вообще, такой зловред с большой вероятностью должен быть редким или вооще 0-day, иначе он просто ловится по сигнатурам. Откуда у него такие зловреды, я не знаю...

Vadikan, почему спрашиваю... уже раз так третий сталкиваюсь с ситуацией, когда на 7ке, поставленной мной, с изначально включенным до рекомендуемого уровня UAC'ом, нарисовывается зловред, стартующий вместе с системой, что невозможно по-идее. Клиенты божатся, что никаких запросов не было. При этом зловред один и тот же. что и смутило. Есть прецеденты обхода UAC из-под неадминистративно запущенного без вывода подтверждения?
В дополнение: в одном из таких случаев UAC'у явно приходилось несладко - мужик сознательно лазил по гденипопаднишним ;) сайтам, результат - тот же вредонос. При этом мужик также утверждает, что подтверждений чего-либо не было. А главное - мне каждый раз приходилось заново включать UAC - он оказывался выключенным. Прекратилось только с третьего раза, когда поставил на четвертое, паническое, деление шкалы.
Вот такая мистика.
В качестве AV-защиты там использован KAV6WKS. После нейтрализации вредины при входе в систему он сообщает, что обнаружен вредоносный объект. Но, как говорится, уже поздно пить боржоми. Похоже, если антивир что и заподозрит - ему не дается время на среагировать - там же нужно участие пользователя, значит - запрос, на который надо ответить... что невозможно, если окно закрыл вредонос)

ShaddyR, наверное, где-то есть PoC обхода UAC, но я что-то не слышал о реальных уязвимостях - их бы вовсю эксплуатировали.

У тебя юзеры с какими правами работают? При стандартных параметрах для обычного пользователя две верхних настройки фактически одинаковы. Там же разница лишь в подходе к настройке Windows - администратор повышается с запросом на самом верхнем уровне. Пользователю же при любом раскладе требуется ввести пароль администратора.

Если твои юзеры работают с правами админа, то вероятнее всего они просто где-то одобрили запрос. Ведь UAC не надо обходить - достаточно показывать запрос, пока юзер не нажмет "Да" :)

А раз ты зловреда отлавливал антивирусом, он должен быть в энциклопедиях, с описанием его работы.

P.S. Не пиши оффтопом, мне плохо видно.

Насчёт подписи было продумано с самого начала.
Для этого была придумана начальная оболочка.

Тот зловред что у меня, надеюсь единственный, т.к ни разу не распространял и не собираюсь, используется исключительно для личного пользования в качестве тестирования на уязвимость защиты, не умеет самозапускаться и не ставится в автозапуск, может только угробить систему но не заразить.

В смысле? Он что самоактивировался что ли?
Такого в принципе быть не может, автозапуск с флешек, дисков может, но чтоб так когда его не трогают, врятли, если конечно не учитывая запуск из под flash на сайтах.

Есть, Microsoft упустила этот момент, начиная с банеров. Он может быть деактивирован зайдя на вредоносный сайт.

Его можно выключить, да так что даже не оповестит о том что его вырубили, как это обычно бывает.

Crazy Noise, если верно то, о чем ты говоришь, то это есть печальная новость. Был уверен, что в 7ке это невозможно.
>
именно так, думаю - скриптом при загрузке компонентов сайта либо нажатием мыша на активный участок сайта (чаще всего - на крестик всплывающей рекламы, под которым пользователи наивно полагают просто закрытие окна :))
>>
угадай :) Ессно, админ - другое юзера не понимают, а учить каждого грамотной работе с компутером у меня нет ни времени не желания. Многие даже необходимость UAC понимают не с первого раза)
>
это-то и беспокоит: если врут, что не жали - их проблема. А вот если действительно так - это плохо.
>
прецеденты были, но я не интересовался механизмом. К сожалению, в большинстве своем антивиры в упор не видят данных вредоносов, вне зависимости от своей навороченности и самомнения ;)

Если есть доказательства обхода UAC, предъявляйте в любой форме. Если нет, заканчивайте пустую болтовню.

ShaddyR, ты сказал, что трижды одинаковый зловред обнаруживался. Значит, ты помнил его название как минимум два раза. А сейчас что, забыл? В след. раз запиши :) А то тема начинает напоминать фантастический фильм. Как потом запускался зловред совершенно неважно, можно и руткит схватить. Но сначала у него должны быть права на изменение системных файлов и параметров (Администратор, Система и т.п.).

С точки зрения безопасности ОС это неважно. UAC не является границей безопасности, он ни от чего не защищает, а просто предупреждает или требует ввода учетных данных. Предупрежден - значит, вооружен.

А запуск зловредов должен блокироваться либо на корню (Applocker/SRP), либо перехватываться защитным средством. И это должно происходить еще до того, как появился запрос UAC.

не сейчас. Сразу забыл - велика честь, шоб я их запоминал :)
Но навскидку сие представляется как Министерство внутренних дел Украины

ShaddyR, lol. Обычно их классифицируют как Trojan.Ransom, и единственная уязвимость, которую они эксплуатируют, находится между креслом и клавиатурой :)

Я один не догоняю, как такое возможно? Насколько известно, Microsoft Security Essentials работает, начиная с Vista.

MSE, если мне не изменяет память был выпущен в 2009 году для Windows XP/Vista/7 - так же распространяется и сейчас. Windows Defender - предшественник MSE также устанавливался на Windows XP.

неверно известно.
>
угум-с. Мне тоже казалось, что под 7й это и есть единственная уязвимость UAC. Последние данные слегка пошатнули эту уверенность.

Да, действительно, установился.....