[VictorSh]

exo и WindowsNT
так вы советуете использовать политики и не покупать никакой антивирус?

[exo]

Цитата VictorSh:

так вы советуете использовать политики и не покупать никакой антивирус? »

есть такой вопрос из мира Linux: какой Linux ставить? ответ: тот, который знаешь.

Я не знаю настолько групповые политики, что бы обойтись только ими.

[WindowsNT]

VictorSh:
1. Откуда вы знаете за крупные корпорации? Сколько крупных корпораций, которые ТОЧНО отключают флешки, вы лично видели, знаете?
Из своего опыта скажу, что во всех без исключения компаниях, где заявляли об отключенных флешках, это оказывалось неправдой. То есть, ложью. Так или иначе, у достаточно большой группы пользователей либо на достаточно большой группе машин отключение не было реализовано. Будь то директор или коммерческий отдел, машина самого администратора либо мобильный компьютер, всегда находилось оправдание для необходимости применения флеш-носителей.

Нельзя быть "немножко беременной". Либо доступ есть, либо его нет. "Частично" означает, что ничего не отключено, и это уже больше является правдой.

2. Соображений по отключению два. Первое — запрет на вынос/принос информации. Второе — якобы защита от вирусов, и это тоже неправда. Да, именно так и есть, зачастую их безопасники некомпетентны. Они на самом деле не знают своего дела и не могут отличить Blacklisting от Whitelisting-а.

Типичный разбор мы можем провести на примере бухгалтерши тов. exo и заражения червём Conficker/Kido. Этот вирус использует три метода распространения:
- уязвимость в службе Server, номер патча MS08-067 (то есть, патч против уязвимости был выпущен осенью 2008 года). Если патч не установлен — стопроцентная вина администратора;
- атака угадыванием паролей через сетевой логон. Блокируется моментально правильной политикой паролей + политикой безопасности Account Lockout. При нескольких неудачных попытках угадать пароль учётная запись блокируется. Если эти политики не были отконфигурированы — стопроцентная вина администратора;
- запуск через Autorun или даже вручную с флешки. Пользователи иной раз промахиваются и запускают вирус вручную, даже если Autorun отключён. Защита на 100% легко осуществляется с помощью SRP или AppLocker. Несконфигурированная политика Application Whitelisting — стопроцентная вина администратора.

На случай, если вы вдруг не в курсе, — в отличие от играющих в "русскую рулетку" антивирусных программ (угадал/не угадал), Whitelisting блокирует абсолютно всё, что не было заведомо заявлено как разрешённое. Тем самым, невозможно запустить с флешки ни единого исполняемого файла. Документы открыть — пожалуйста. Но exe или dll — никак, и не имеет никакого значения, вирус это или нет. Оно не запустится никак.

Как видите, вина за заражение Kido стопроцентно и безоговорочно всегда лежит на администраторе. Однако, некоторые всё равно склонны пытаться переложить свою вину на кого угодно — бухгалтершу, депутатов, марсиан, но не на себя. Тем не менее, проверка компетентным аудитором безопасности стопроцентно покажет, кто в действительности несёт отвественность за это заражение.

3. Обладая определённым опытом в проникновениях (CEHv7) и защите, да, я утверждаю, что настроенные политики защищают гораздо и гораздо лучше любых без исключения антивирусных программ. И, в отличие от антивирусных программ, ни грамма не тормозят систему, не снижают надёжность работы. Если вы до сих пор не знаете и не умеете их настраивать, то, сколь бы парадоксально это ни звучало, нужно УЧИТЬСЯ. Номера экзаменов, которые помогут вам найти правильные учебники: 70-640, 70-680, 70-685. Начните хотя бы с них. Если вы работаете в области технической поддержки, этот материал как минимум вы знать обязаны. Материал Software Restriction Policies и Applocker рассматривается в 70-685, если что.

[exo]

Цитата WindowsNT:

Microsoft Certified Trainer; Cisco Certified Systems Instructor; CEHv7 »

вот я так и чувствовал...

Цитата WindowsNT:

Тем не менее, проверка компетентным аудитором безопасности стопроцентно покажет, кто в действительности несёт отвественность за это заражение. »

вот-вот. так всё и было. пришла проверка - и админа того уволили после проверки.

Цитата WindowsNT:

уязвимость в службе Server, номер патча MS08-067 (то есть, патч против уязвимости был выпущен осенью 2008 года) »

кстати, когда у нас это случилось, то во время "лечение" оказалось, что 2003 без SP спокойно работал во время буйства KIDO на компьютерах XP SP2. Как только накатил на сервер SP2 - завалился как миленький. Хорошо, адейты уже были готовы к установке.

[xoxmodav]

Можно понять VictorSh - далеко не во всех компаниях начальство придерживается жёстких ограничений пользователей во всём и вся. Далеко не всё начальство готово потратиться на лицензионное ПО, а использовать нелицензионное ПО - чревато для админа, использовать аналоги ПО - порой чревато огромным геморроем и временными затратами при внедрении.

Я бы предложил всё же остановиться на продукции ЛК (но желательно было бы услышать конфигурацию среднестатистического ПК) - в новой версии KSC и KES есть возможности по блокированию запуска программ различными способами, блокированию внешних устройств, централизованное управление, установка/удаление различного ПО и многое-многое другое - этого может оказаться достаточно для обеспечения определённого уровня безопасности вашей компании (и для частичной замены доменной структуры). Почитайте описание и решите нужно оно вам или нет - http://www.kaspersky.ru/work_space_security

P.S. Я не рекламирую ЛК, а просто пользуюсь их продукцией не первый год и знаю как её сильные, так и слабые стороны.

P.P.S. И да - было бы странно не задействовать механизмы безопасности, имеющиеся в Windows 7, при таком небольшом количестве компьютеров в сети.

[exo]

Цитата xoxmodav:

просто пользуюсь их продукцией не первый год и знаю как её сильные, так и слабые стороны. »

а мне вот не удалось подружить NAP сервер с Бизнес-касперским... сервер просто начинал закрываться от всех, в том числе и от себя...
Тоже самое было с Norton 10 (или 9)

[VictorSh]

WindowsNT,

Цитата WindowsNT:

Откуда вы знаете за крупные корпорации? Сколько крупных корпораций, которые ТОЧНО отключают флешки »

В московских представительствах Intel и Samsung.

Про остальных не скажу, однако читал в интернете много рекомендаций для компаний по организации безопасности, чтобы они отключали у себя USB порты в том числе.

Цитата WindowsNT:

Из своего опыта скажу, что во всех без исключения компаниях, где заявляли об отключенных флешках, это оказывалось неправдой. То есть, ложью. Так или иначе, у достаточно большой группы пользователей либо на достаточно большой группе машин отключение не было реализовано. »

Какова цель этого вранья тогда? может они были в процессе реализации?

По поводу второго пункта. Да и так вы уже раньше убедили нас (во всяким случае меня, хотя я и до этого знал насчет whitelistа!) в правильности подхода с настройкой политик доступа. Я думаю, нет смысла дальше обсуждать эту тему.

Только не у всех есть деньги на покупку лицензий на Windows Server и Windows 7 Ultimate. Вы мыслите так, что
правильная точка зрения только ваша: покупайте Windows Server, поднимайте AD, ставьте систему максимальную и тогда у вас только появится возможность ей управлять. Но почему-то кто-то устанавливает Linux, UNIX и обеспечивают безопасность по-своему.
AppLocker на Windows 7 Pro неактивен насколько я знаю.

По поводу ответственности админа. Как можно обеспечить нормальную безопасность, если нет нормальных инструментов?
Нет ни антивируса нормального (платного), ни Windows Server с Active DIrectory + лицензии на подключения к серверу, ни глобальных политик? кто-то наверное это должен купить? неужели админ сам?

Вы так прямо и не ответили на вопрос: вы считаете, что при должном управлении политиками на предприятии не нужно покупать антивирус?

По поводу третьего пункта спасибо за номера экзаменов.

Цитата xoxmodav:

Можно понять VictorSh - далеко не во всех компаниях начальство придерживается жёстких ограничений пользователей во всём и вся. Далеко не всё начальство готово потратиться на лицензионное ПО, а использовать нелицензионное ПО - чревато для админа, использовать аналоги ПО - порой чревато огромным геморроем и временными затратами при внедрении. »

Совершенно верно. Так у нас как раз и было. Юзали OpenOffice - были постоянные проблемы с заказчиками, когда присылали файлы из ворда, а наши юзеры открывали в новом OO, совместимом с новыми форматами WORD - это был еще тот гемморой.

Потом начальник все-таки разорился на Office.

Цитата xoxmodav:

но желательно было бы услышать конфигурацию среднестатистического ПК »

Intel Core i5-2500 3.3 Ghz, 4 или 8GB RAM, Video ZOTAC или NVidia Quadro 600 1024 GB, MB ASUS или GIGABYTE чипсет P67, жесткие диски WD 1TB таких штук 11, есть еще штук 7 старых Dell Optiplex 740 и 210L на некоторые из них даже нет драйверов под Windows 7. Так что компы разные. Есть новые и быстрые, а есть абсолютные тормоза

Цитата WindowsNT:

Соблюдая указанные методы работы, лучшим антивирусом считаю его отсутствие. »

ага, самый лучший антивирус - это наличие мозга. и не тыкать куда попало. А думать, что делаешь. Однажды скачал файл дома (пару-тройку месяцев назад), так вместо книги djvu объемом пару мегабайт, оказалось exe файл весом 16 МБ. Оказался файл с двойным расширением и значком архива RAR (rar.exe), но в RAR не открывался. Причем на этом сайте любые файлы были весом 16 МБ, независимо от описания. Ради интереса скачал его и не запуская его натравил на него касперского с самыми последними базами - все чисто!
пошел в онлайн антивирус - кто-то нашел, а кто-то нет. Посмотрел на сайт домен был непонятного названия абракадабра из букв, посмотрел через whios - создан пару дней назад
Я написал толи в касперский толи еще куда - не помню (что-то типа сообщить о вредоносном сайте) и через полдня каспер начал ловить этот вирус, а сайт через пару дней закрыли.

[exo]

Цитата VictorSh:

Но почему-то кто-то устанавливает Linux, UNIX и обеспечивают безопасность по-своему. »

Как-то один коллега WindowsNT специалист по Linux сказал, что официально зарегистрировано 7 вирусов для Linux...

Цитата VictorSh:

AppLocker на Windows 7 Pro неактивен насколько я знаю »

корпоративная и максимальная

Цитата VictorSh:

Только не у всех есть деньги на покупку лицензий на Windows Server »

500 евро вроде SBS сервер - на 75 пользователей. а если компания больше - деньги точно есть...

Цитата VictorSh:

Video ZOTAC или NVidia Quadro 600 1024 GB »

это не среднестатистический...

Цитата VictorSh:

Причем на этом сайте любые файлы были весом 16 МБ, независимо от описания. »

а ещё бывают сайты - это файл сейчас качают 854 пользователей... а искал какую-то древнюю программу для ХР и кому она понадобилась...

[ShaddyR]

От себя: сейчас несколько разнообразил защиту клиентов. Не привязываясь к лицензиям и прочему ОПК, использую следующие программные комплексы и их сочетания:
Антивирусы:

1. KAV6WKS - нет проблем с блокировкой ключей, умеренно ресурсоемок, многоступенчатая защита;
2. NOD32 - наилучший вариант по части ресурсоемкости;
3. MSE - нет проблем с ключами по определению. Пока ОС считает себя лицензионной, разумеется.

Все имеют свои недостатки.

Вспомогательные средства зашиты:

1. на Win7 - UAC включен, без вариантов.
2. на дохлых машинах - Shadow Defender для С:, без антивируса.
3. на ХР - SandBoxie

Могу сказать следующее: при наличии любого из озвученных вспомогательных защитных комплексов большинство скриптовирусов ака попрошайки (смс-вымогатели), черви, трояны етс. - идут в лес и закапываются заживо. Исключение - MBR'щик для варианта b - но что мешает использовать ab?

[WindowsNT]

VictorSh:
Отвечаю на ваш вопрос чуть более внятно: да, при должном уровне настройки политик считаю покупку антивирусных программ выброшенными на ветер деньгами вне зависимости от того, домашняя это система либо предприятие. Обратите внимание, что в описанном вами случае с djvu антивирусная программа спасовала, а политики защитили бы на 100%. Более того, это вы за себя можете говорить "наличие мозга", а у меня 1000 пользователей. За каждого вы не сможете поручиться головой, что они не будут тыкать куда попало. А политики помогут.

Не нужно цепляться за Active Directory всё время. Делайте настройки локально на каждой машине, раз уж все деньги спущены на нехилую аппаратуру, далеко не среднестастистическую. В настоящий момент, типичная машина в моём окружении — P4-2.4GHz, 1Gb RAM или, скажем, DualCore 2 Gb RAM. Люди вообще парадоксально мыслят иной раз. Купят крутые машины, а на SBS Server денег, оказывается, нет. Или купят откровенную дешёвку Home Edition, затем спускают деньги на дополнительные антивирусы и фиреволы, что в трёхлетней перспективе превышает по цене не только нормальную Professional, но даже Enterprise-версию системы.

Кстати, о какой конкретно версии UNIX вы говорите? Это же на порядки дороже, чем Windows Server? Слышал, что на Solaris аналог Active Directory стоит десятки тысяч долларов.

И даже раз AppLocker работает только в Enterprise/Ultimate, в Professional имеется SRP, чем оно плохое?