Серьёзный разговор: работа с пользователями
 

Сегодня полдня давил червей. Руками. Злости не хватает.

Вот тут в статье нарисована (приблизительно) моя "вотчина"
http://demo.securitylab.ru/contest/239902.php
Но на самом деле всё гораздо хуже, потому что я заведую только частью почтовой системы, собственно почтовый сервер мне неподконтролен и навесить на него спам-фильтр и антивирус я не могу. И заставить "тамошних" не могу. Там уже что-то есть, и меня попросят "не лезть, а то вообще..."

В результате - совершенно дурацкая ситуация. У меня пользователи (вроде все уже наученные горьким опытом) клянутся и божатся, что они не открывают "никаких-таких вложений". Но вируса как-то просачиваются. Значит, всё-таки открывают?

Ну и вот каким образом я должен людям объяснять, что и как можно открывать, а что нельзя? Мне бы очень хотелось услышать мнение "секьюрных" специалистов (и примеры действенных мер из жизни).

А то сейчас вся нагрузка упала на меня, а мне работы и так хватает... Ещё и за каждым "сомнительным" письмом бегать из кабинета в кабинет - я вконец озверею. Но другого варианта я просто не вижу!!! Был вроде простой вариант - поставить антивирус для почты на каждую машину. Но тут же пошли жалобы, "медленно работает".


В общем, жду советов :(

Поставь Симантека корпоративного, он не нагружает сеть
и компьютеры. работает в фоновом режиме. Клиенты обновляются автоматом при обновлении сервера.
Где установлен почтовый сервер?
кто им заведует?
Какой сервер установлен?

hasherfrogИМХО не обязательно, вирус может быть в html-коде письма. Да и может все-таки открывают.

Издать служебное положение (или приказ) "Об использовании электронной почты и интернета". Все протоколировать (логировать). На провинившихся составлять официальные кляузы с указанием конкретных фактов (из логов, протоколов антивирусников). Бить по карману.

Хм... Вышестоящая организация? А если не заставить, а попросить. И еще хотя бы присылать логи.

Н етолько простой, но и правильный. Вам (нет, даже не так - фирме/предприятию/руководству) скорость важна, или безопасность? Да и не так уж и сильно замедляется.
Поставьте какой-нибудь "нетормозящий" антивирус. (от Symantek как советует noble, или DrWeb)

hasherfrog
Откуда уверенность, что черви именно из почты? Инета нет? А интранетовский сервер, выставленный в инет? Для начала, надо 100% определить путь распространения.

В случае, если распространение идет все же через ЭП, но на центральном сервере ты ничего задействовать не можешь то есть варианты.
1. Установка ПО АВЗИ на рабочие станции для проверки ЭП. В этом случае очень эффективен DrWeb. Можно не использовать его резидентный монитор, но включить SpiderMail. Для защиты только ЭП этот вариант на порядок эффективнее других антивирусов.

2.Установка промежуточного почтового сервера. Если настройки центрального сервера не доступны, то он должен уметь получать почту с него по POP3. Есть 2 варианта:
а) Установка на сервер почтового ПО, в которое забивается информация о паролях и логинах пользователей. Соответствующее ПО довольно легко ищется поиском (аналог его - TheBat! в серверном режиме). Минус - меньшая безопасность и неудобство для пользователей.
б)Использование редиректора портов. Тогда у пользователей в качестве почтового сервера указывается адрес (или имя) промежуточного. А на этом сервере настроен редирект пакетов по почтовым портам на оригинальный сервак. В этом случае не требуется забивать на сервере логины и пароли, но для фильрации на спам, вирусы и др. нежелательный контент необходима установка ПО, работающего не в качестве дполнений, а непосредственно с почтовым трафиком, проходящим по определенным портам (яркий представитель такого ПО - тот же SpiderMail от DrWeb).

Также возможно объединение этих вариантов...

Greyman
Ясно, спасиб. Я как раз думал про вариант 2-б. Причём там ещё мысли есть насчёт убивания спама собственными методами (если в сыром виде - что-то вроде запроса у отправителя подтверждения того, оне есть, повторюсь, сырой вариант, надо думать). Главная запарка - сервер очевидно быдет линуксовый, и тут как-то надо с антивирусом определятся.

aESThete
>> вирус может быть в html-коде письма.
Да, конечно. :[ Собственно, я у Вас про другое хотел спросить:

Вы сами-то побовали? Или просто так хорошо бы сделать? Я иногда подумываю, но всё-таки люди живые, зачем портить отношения так вот прямо?

noble
На это я ответить не могу :]

hasherfrog
Да.

Конечно, не сразу. Сначала пытался предупреждать. Пальчиком грозил. Канал суживал. Графику отключал.
Это хорошо раз, два. А представьте очередной повтор ситуации с MyDoom, I Love You или MS Blast. Или круче - что нибуть типа гремучей смеси "бласта" с "чернобылем". Кто будет "люлей" получать? Юзера?
Мне одного раза (когда сеть на заводе парализовало на полдня, я таких получил!!!) хватило.

Вот, пожалуйста, пример Вашей "доброты".

Купи DrWeb ES - такая удобная вещь, о вирусах забудешь раз и навсегда, а если они где и будут появляться то ты об этом будешь сразу знать. Энта штуковина может еще и на юникс устанавливаться, а администрироваться и с юникса и с виндуса. Если компов в организации не много, то выйдет не так уж и дорого.

setup
Если hasherfrog не пошел по пути использования только SpiderMail'а от домашней версии, то зачем ему ради этого целую систему использовать?
1. На счет "такая удобная вещь" - да, довольно удобно. Однако ряд необходимых для нормального администрирования вещей они пока так и не могут внедрить (особенно актуально по поводу различных отчетов, как статистических, так и уведомлений о событиях).
2. На счет "о вирусах забудешь раз и навсегда, а если они где и будут появляться то ты об этом будешь сразу знать" большое заблуждение. Вирусы могут приходить еще до появления соответствующего обновления у производителя АВЗИ (особенно актуально для ЭП), поэтому о заражении сети ты узнаешь только после получения соответствующей сигнатуры вируса (если только на ES надеяться). У нас используется 5-ти минутное обновление, но уже не раз были случаи получения вирусов по ЭП за несколько часов до выхода обновления (максимальная подтвержденная дельта - более 5-ти часов, реально возможно больше). А учитывая, что иногда от появления вируса до появления соответствующей сигнатуры может проходить несколько суток (независимо о производителя, просто для более опасных данное время уменьшается из-за перераспределения приоритетов у вирусных аналитиков), то это утверждение является лишь попыткой выдачи жалаемого за действительное.
3. Ну и наиболее существенный недостаток конкретного предложения, от которого он так никак и не отказался, это неявное предъявление больших требований к совместимости ПО и аппаратуры. В подавляющем количестве случаев, когда DrWeb как-либо глючит, многи другие антивирусы (в т. ч. и каспер) прекрастно работают. И по этому поводу их постоянный ответ типа "используйте лицензионное ПО и качественное железо" порядком утомляет. Если они не поменяют свою политику, по крайней мере к корпоративным заказчикам, то рано или поздно им это может выйти боком...

Greyman
Не первый раз встречаю в ваших сообщениях сокращение АВЗИ. Что оно означает ?

XPurple
АВЗИ - антивирусная защита информации. Довольно часто встречающееся согращение. Есть еще АВС (Гостехкомиссия вводила), но оно мне встречалось гораздо реже. "Антивирусы" или "антивирусное ПО" уж слишком длинное название, ИМХО...

Итак, как выходил из подобной ситуации я. На всех рабочих станциях стоял KAV (Kaspersky AV), пчтовый клиент The Bat. Тем более что в KAV 5.0 уже автоматом проверяется почтовый трафик (POP3). Т.е. почтовый трафик будет проверяться непосредствнно на клиентах. Это не очень хорошо, но если на сервер вы поставить не можете, то это выход. Естественно ставить нужно версию Business Optimal (т.е. с централизованным управлением). При этом у пользователя нужн отобрать права по управлению антивирусом. Это выход, на мой взгляд

VladimirB
Медленно, народ бухтит.