Ветеран
Сообщения: 1496
Благодарности: 384
|
Профиль
|
Отправить PM
| Цитировать
VictorSh:
1. Откуда вы знаете за крупные корпорации? Сколько крупных корпораций, которые ТОЧНО отключают флешки, вы лично видели, знаете?
Из своего опыта скажу, что во всех без исключения компаниях, где заявляли об отключенных флешках, это оказывалось неправдой. То есть, ложью. Так или иначе, у достаточно большой группы пользователей либо на достаточно большой группе машин отключение не было реализовано. Будь то директор или коммерческий отдел, машина самого администратора либо мобильный компьютер, всегда находилось оправдание для необходимости применения флеш-носителей.
Нельзя быть "немножко беременной". Либо доступ есть, либо его нет. "Частично" означает, что ничего не отключено, и это уже больше является правдой.
2. Соображений по отключению два. Первое — запрет на вынос/принос информации. Второе — якобы защита от вирусов, и это тоже неправда. Да, именно так и есть, зачастую их безопасники некомпетентны. Они на самом деле не знают своего дела и не могут отличить Blacklisting от Whitelisting-а.
Типичный разбор мы можем провести на примере бухгалтерши тов. exo и заражения червём Conficker/Kido. Этот вирус использует три метода распространения:
- уязвимость в службе Server, номер патча MS08-067 (то есть, патч против уязвимости был выпущен осенью 2008 года). Если патч не установлен — стопроцентная вина администратора;
- атака угадыванием паролей через сетевой логон. Блокируется моментально правильной политикой паролей + политикой безопасности Account Lockout. При нескольких неудачных попытках угадать пароль учётная запись блокируется. Если эти политики не были отконфигурированы — стопроцентная вина администратора;
- запуск через Autorun или даже вручную с флешки. Пользователи иной раз промахиваются и запускают вирус вручную, даже если Autorun отключён. Защита на 100% легко осуществляется с помощью SRP или AppLocker. Несконфигурированная политика Application Whitelisting — стопроцентная вина администратора.
На случай, если вы вдруг не в курсе, — в отличие от играющих в "русскую рулетку" антивирусных программ (угадал/не угадал), Whitelisting блокирует абсолютно всё, что не было заведомо заявлено как разрешённое. Тем самым, невозможно запустить с флешки ни единого исполняемого файла. Документы открыть — пожалуйста. Но exe или dll — никак, и не имеет никакого значения, вирус это или нет. Оно не запустится никак.
Как видите, вина за заражение Kido стопроцентно и безоговорочно всегда лежит на администраторе. Однако, некоторые всё равно склонны пытаться переложить свою вину на кого угодно — бухгалтершу, депутатов, марсиан, но не на себя. Тем не менее, проверка компетентным аудитором безопасности стопроцентно покажет, кто в действительности несёт отвественность за это заражение.
3. Обладая определённым опытом в проникновениях (CEHv7) и защите, да, я утверждаю, что настроенные политики защищают гораздо и гораздо лучше любых без исключения антивирусных программ. И, в отличие от антивирусных программ, ни грамма не тормозят систему, не снижают надёжность работы. Если вы до сих пор не знаете и не умеете их настраивать, то, сколь бы парадоксально это ни звучало, нужно УЧИТЬСЯ. Номера экзаменов, которые помогут вам найти правильные учебники: 70-640, 70-680, 70-685. Начните хотя бы с них. Если вы работаете в области технической поддержки, этот материал как минимум вы знать обязаны. Материал Software Restriction Policies и Applocker рассматривается в 70-685, если что.
|
