» Безопасная работа в Windows без антивируса

Да, лучше оставить настройки UAC по умолчанию, тем более, если память меня не подводит, возможность пароля/отпечатка пальца для запроса UAC появляется с версии pro, где есть редактор групповых политик win+r gpedit.msc, если такого нет можно включить требуемые функции через редактор реестра win+r regedit, к сожалению ключи не помню, но наверняка goоgle поможет. От повышения прав такая манипуляция с UAC совершенно не спасала раньше, для актуально пропатченых версий win в свободном доступе инфы о таких угрозах нет, но не факт, что и в природе их нет. Если обеспокоены безопасностью своего компа советую для начала изучить хорошую программную hips составить свой whitelist, это уже хоть что-то. Возможно вам на самом деле это и не требуется, тогда лучше всего оставить дефолтные настройки ОС, если Win7 то скачать через ту же слубу wu - mse, да антивирус не самый, но не фолсит, систему не грузит, денег не просит и для рядового юзера вполне сойдёт.
P.S. Вообще не стоит слишком заморачиваться с безопасностью, а просто выполнять простые правила, которые есть на любом приличном сайте компьютерной тематики. ИБ это в большинстве случаев серьёзное заболевание увлечение, легко передающееся посредством тематических форумов и не без помощи ав вендоров, если оно не приносит вам денег лучше потратить свое время на более приятные вещи. И не ведитесь на вбросы внедрунов фанов линуха. ИМХО

Добавлено:

Цитата:

Правильные пацаны не ставят антивирь, а защищают винду через политики безопасности.

Так то правильные пацаны, а взрослые люди используют компьютер по назначению.
А если и занимаются информационной защитой, то за деньги и как правило не используют ваши-не ваши бредо-беда идеи. Почему догадайтесь сами

Цитата:

То есть, зловред имеет столько же шансов кликнуть "да" вместо вас.  

Обходов безопасного рабочего стола на данный момент нет, за вас никто ни кликнет.

UAC включен. Тогда

1. Программа, запущенная в админской учетке и в учетке "обычный доступ" , и UAC не появился - эта программа в обоих случаях запустится с абсолютно одинаковыми правами ?

2. Есть ли разница - нажать в окне UAC "Да" , или выбрать "Запуск от имени администратора" ?
"Запуск от имени администратора" - дает полные права? А если просто кликнуть в exe файл и нажать в окне UAC "Да" - программа запустится с ограниченными правами ?

Как-то раз мне попался винлок, который запускался и UAC не появлялся. Винлок прописывался в автозагрузку той учетной записи, в которой был запущен . Но если есть только админская учетка, то при входе в эту учетку сразу запускается винлок . А если 2 учетки - админская и обычный доступ, и пользователь сидит в ограниченной учетке и там запустился такой винлок, то этот винлок будет запускаться только в учетке обычный доступ, для удаления надо войти в админскую учетку и убрать винлок из автозагрузки. А если только админская учетка, то наверно винлок уже не удалишь без live cd .

Этот винлок я смог срубить в диспетчере задач, и удалить, так как винлок не может отключить диспетчер задач из-за нехватки прав. Это работает, если в диспетчере заранее поставить "поверх остальных окон" .

Цитата:

ИБ это в большинстве случаев серьёзное заболевание увлечение, легко передающееся посредством тематических форумов и не без помощи ав вендоров, если оно не приносит вам денег лучше потратить свое время на более приятные вещи.

скажем так, знания в этой области позволят потом сэкономить значительно больше времени для приятного )
По поводу вендоров - знания в области ИБ и желания вендоров зачастую перпендикулярны. Напр, симантек рекламит себя как самый бла-бла-бла, но в связи с тем, что самолично не раз трахался с удалением его остатков (начиная от начала 00 годов), ни себе ни кому-то, кого потом обслуживать мне придется, добровольно не поставлю его. (работа не в счет - там не я принимаю решения) Ибо он сам как вирус, всюду лезет и не удаляется полностью без долгого камлания. Будучи не слишком надежной защитой. Вчера буху переставлял офис на 2010 - АВ всё пытался весь двд просканить, отжирая все ресурсы и вешая машину. Пришлось временно удалить. С ребутом и т.д., всё по инструкции)) После чего, в процессе инсталла офиса было любопытно наблюдать в таск менеджере появляющиеся и исчезающие процессы "типа удаленного" симантека


Цитата:

за вас никто ни кликнет.

KismetT, вот в этом хотелось бы уверенности.

Anmawe
Тебе надо понять, что UAC реагирует только на запрос повышения привилегий и разрешает повышение их да прав администратора в случае нажатия кнопки ДА и не даёт их в случае нажатия кнопки НЕТ. Для практической проверки берёшь Process Explorer и экспериментируя смотришь в графу Security на предмет того, с какими правами запускается приложение.


Добавлено:

Цитата:

KismetT, вот в этом хотелось бы уверенности. 

100% гарантию дает только страховой полис (с).

Цитата:

Вообще не стоит слишком заморачиваться с безопасностью, а просто выполнять простые правила

А если приспичило какому-либо человеку запустить что-то новое (в облаке антивируса появилось недавно, и на virustotal тоже ) , например, новую раздачу на трекере, или через гугл человек попал на какой-то сайт, ему надо скачать например для игры кряк, трейнер, что-то ещё . Или програмульку какую-то .

Лучше всё-таки подождать , когда эта программа станет известна (когда появится какая-то репутация в облаке) ? Сколько ждать, неделю, месяц ? Например, KSN бывает пишет "Доверенная", а бывает ничего не пишет . И непонятно, то ли безопасен файл, то ли небезопасен. Например, стал известен пол года назад, 1000 человек использовали его .

Не могут многие люди соблюдать эти правила, слишком уж много ограничений появляется . По этим правилам будут блокироваться много невредоносных программ и сайтов . В большинстве случаев Не работает в реальной жизни фраза " всегда соблюдайте все правила" . Если бы этот совет устроил большинство людей, эпидемий не было бы в windows ?

Лучше поставить вторую windows для развлечений, игр, и там запускать то, что хочется ? А в первой windows запускать только проверенные программы (старые раздачи) ? Это безопасно для первой windows , если они на одном жестком диске ? Или лучше каждую windows на отдельный HDD поставить ?

На трекерах в раздачах встречается настоящее вредоносное ПО (новые раздачи) . Но об этом узнавали не сразу. Но сначала большинство людей верили, что у антивирусов ложное срабатывание, потому что антивирусы любят подозревать что-нибудь в раздачах .

Anmawe
Я не спец в этом деле. Только простое подключение 2-го HDD не убережёт от вирусов. Я уже задавал вопрос по этому поводу. К примеру 7-ка "шастает" по всем дискам (хотя индексация у меня отключена везде). У ХР такого не замечено. Как заметил? На обеих дисках стоял фаерволл и он показывал, что процессы незапущенной ХР проходят в 7-ку и стоят в списке сетевых процессов фаерволла, как разрешённые. Я смотрю список и вижу сдвоенные процессы. Стал разбираться, а они из диска с ХР. Но ведь ХР на другом физ. диске и не запущен. Тогда загрузился в ХР, там ничего подобного не было. Задаю в 7-ке поиск файла по диску С, нет он ищет его по всем дискам. Я даже задавал поиск в отдельно взятой папке 7-ки, но 7-ка всёравно искала его по всему компу. Может она у меня глючит? Посоветовали второй диск отключить чтобы 7-ка его не видела.
По поводу безопасности есть такая мысль. Существуют бесплатные виртуалки. Перед запуском сети запустить такую. Далее, к примеру, скачать и запустить "опасную", на ваш взгляд, неизвестную прогу. Далее есть два варианта. Если прога оказалась безопасной, просто отключаем виртуалку с сохранением всех сделанных на компе изменений. Если прога оказалась опасной (подозрительной, ненужной), отключаем виртуалку с возвратом к первоначальному состоянию т. е. с откатом всех сделанных изменений. Причём для сохранения всех изменений перезагрузка не требуется, а для отката требуется перезагрузка. Как вам такой вариант? Я как-то пробовал это. Много времени не занимает, буквально минуту. Создаётся *откатный* файл весом ~ 3 гБ который потом просто удаляется самой прогой. Не пробовал только вариант физического выключения компа через кн. Что будет, откат, или сохранение.

thelamb
а что за виртуалка с вот такой функцией?
Я до сих пор считал. что виртуалка - это отдельная от твоей ось, которую отдельно настраивать и т.д. надо, и её настройки и изменения к тому же твоей оси не относятся..

bredonosec
Не, ну это типа *откат* на предыдущее состояние по своему желанию, или можно оставить все внесённые изменения. Есть бесплатная Toolwiz и я уже писал о ней. Она есть отдельная: ToolWiz Time Freeze, но и она в составе ToolWiz Care тоже есть. http://www.toolwiz.com/products/ Настраивать там ничего не надо. Запустил и гуляй. Когда закрываешь её, то выходит окно с запросом типа откатиться, или оставить всё как есть.

кто бы объединил бы из шапки xml с яндекс баном

по своему опыту, если есть опасность - перегружаюсь в winpe, из под видны реальной нет защиты 100, winpe8 стоит второй осью мир выборе

Не хватает ещё одного варианта:
"В повседневной работе в Windows я использую учётную запись "Пользователь". Не использую резидентный антивирус. Нет в моей home SRP. Просто не запускаю всякую ерунду"
По мне самый правильный вариант.

Цитата:

"В повседневной работе в Windows я использую учётную запись "Пользователь".

Учётная запись "Пользователь" не гарантия невозможности заражения, по заверениям Microsoft снижает вероятность заражения на 90%.


Цитата:

Просто не запускаю всякую ерунду

Этого недостаточно. Некоторая "ерунда" может запускаться сама, без участия пользователя.
Drive-by-download.

KismetT

Цитата:

Этого недостаточно.

Но вероятность "крайне мала", если всё в порядке с браузерной стороной и апдейтами, а этого уже достаточно.

Цитата:

Но вероятность "крайне мала", если всё в порядке с браузерной стороной и апдейтами, а этого уже достаточно.

апдейты сделать надо время. Проверить их совместимость и убедиться, что они не портят что-то еще - тоже время. Узнать о существовании неких новых зловредов, использующих некую дыру, - тоже время, причем, начинающееся от достаточно широкого распространения оных. То есть, это защита уже после атаки. Потому я б не считал апдейты панацеей.

одни ищут моменты интересны для защиты без сторонних средств а другие читают посты и на другом форуме советуются как грамотней состряпать заразу ))
Уже не раз как то так случайно замечал. Только народ додумает как себя обезапасить как тут же это уже не актуально становится )) до выхода Windows 7 активно использовал 2 пользователя и настройки безопасности, вируса тогда такого не встречал - перенастраивает безопасноть доступа к...

Цитата:

Просто не запускаю всякую ерунду

Это очень расплывчато, нет критериев, по которым можно сказать - ерунда это или нет . Для одного ерунда, для другого человека - не ерунда .


Цитата:

Если прога оказалась опасной

Цитата:

Если прога оказалась безопасной

И как человеку это понять ? И безопасные, опасные программы совершают операции с реестром , файлами, выходят в сеть . Чтобы это понимать, обязательно надо изучить подробно и глубоко строение Windows , реестра ? Без этого никак анализ не проведешь ?

Цитата:

Чтобы это понимать, обязательно надо изучить подробно и глубоко строение Windows , реестра ? Без этого никак анализ не проведешь ?

КанЭчна, а вы как думали? Надо чтобы как с "Калашниковым" в армии бойцы: их учат не только стрелять из него, но и знать ТТX, разбирать, чистить. А то расслабились, понимаешь

Добавлено:

Цитата:

Это очень расплывчато, нет критериев, по которым можно сказать - ерунда это или нет . Для одного ерунда, для другого человека - не ерунда .

Есть много критериев. Посидев в инете 2-3 годика, всякие программы-подставы, косящие под архивы, и сайты подставные распознаю глазами в 95% случаев, где-то...

Anmawe

Цитата:

Цитата:Если прога оказалась опасной

Цитата:Если прога оказалась безопасной

И как человеку это понять ? И безопасные, опасные программы совершают операции с реестром , файлами, выходят в сеть . Чтобы это понимать, обязательно надо изучить подробно и глубоко строение Windows , реестра ? Без этого никак анализ не проведешь ?

Какой анализ? Что вам даст глубокое изучение ОС в плане вирусов? Да и имхо невозможно "объять необъятное" так-же невозможно одному знать и помнить всю ОС. Да и не на ней же жизнь стоит. И потом, насколько я понял "откат" разовый. Запустил попользовал и закрыл. Просто запустили то что скачали и установили. Уловили "нюхом" опасность, откатились на "прежние позиции". Уловили в том смысле, что посмотрели, не появились ли, не запустились ли новые подозрительные службы-процессы. Не запустились ли отключенные вами службы... посмотрели список автозагрузки ... понравилась ли сама установленная программа ... Реестр не пострадает т. к. тоже "откатится". Но если честно я в подробности не вникал. Пару раз запускал её. 1 раз без отката, и 2-й раз с откатом. После отката на компе ничего из сделанного, скаченного, установленного и я даже поиграл (записей игры не осталось). Кстати в Toolwiz это можно проверить. В нём есть же чистка компа. Запустили *замораживание* выполнили чистку без автоудаления (и реестра тоже), для просмотра списка перед удалением. Сделали скрины, удалили всё. Потом откатились и можно проверить, запустив чистку по новой. Сверили, что нашла прога в первый раз, и что во второй. Мысль понятна.

Цитата:

Некоторая "ерунда" может запускаться сама, без участия пользователя

Да, да, вот с этой некоторой" ерундой" в основном и приходится бороться на домашней ниве, остальное
можно особо и не рассматривать, ибо как сказал adasiko
Цитата:

Просто не запускаю всякую ерунду

. Но не всё так страшно, если
Цитата:

апдейты сделать надо время.

, а как их не сделать вовремя, если они авто, если конечно, заботливый пользователь их не отключил сам.

Другое дело, что некоторые производители софта, пальцем показывать не буду, совершенно забиывают на залатывание дыр, пока их публичным эксплоитом не убедят.

Как бороться с проникновением в незакрытые дырки. 1 использовать IPS(Intrusion Prevention System) в составе большинства антивирусов имеется. Плюсы, дёшево, просто, не мешает работе. Минусы, IPS работает основываясь на сигнатурах, нет сигнатуры-нет защиты. 2 HIPS(Host-based Intrusion Prevention System) в составе антивирусов возможно, имеется, но качество, как и с IPS, оставляет желать лучшего, поэтому думаю лучше подыскать что-нибудь поприличнее и отдельное от антивируса.
Плюсы, дёшево, в теории блокирует 100% угроз, насколько это вообще может позволить программная система защиты, отличия программных от аппаратных в google. Не требовательна к системе. Минусы, некоторым пользователям покажется хуже вируса, требует базового понимания устройства ОС, постоянно мучает вопросами, для разбирающихся минусов нет, если только баги самой программы, но их бывают и фиксят
3. Фаервол, лишним не бывает, но он уже есть в NT 6.0 6.1 6.2 6.3, как настроить goggle.

Цитата:

Какой анализ? Что вам даст глубокое изучение ОС в плане вирусов? Да и имхо невозможно "объять необъятное" так-же невозможно одному знать и помнить всю ОС. Да и не на ней же жизнь стоит

По-вашему нет смысла становится вирусным аналитиком или специалистом по компьютерной безопасности ?

Цитата:

Запрещаем запуск из папок, в которые разрешена запись User'ам.

Значит ли это, что в достаточно общем случае также надо добавить запрещающие правила

"C:\Documents and Settings" (все пользователи, админы, AllUsers, LocalService, NetworkService одним правилом) ?
или "C:\Documents and Settings\Пользователи поимённо" (кроме кого?) ?
"C:\RECYCLER" (и на других дисках) ?
"C:\System Volume Information" (и на других дисках) ?
"D:\" (и другие буквы винтов и флешек с пользовательскими данными, сидиромов с возможной заразой) ?

Цитата:

"AppLocker-W7SP1x64-Default.xml"

А для х32 что меняется?

Вчера на rutracker.org я нашел раздачу с вредоносным ПО http://rutracker.org/forum/viewtopic.php?t=1287396 . Раздаче уже 5 лет . Люди не верили , а оказалось, что там троян . Вот так скачаешь с популярного трекера, и троян подхватишь . И антивирусу сразу не поверишь, в темах ведь пишут что это обычная реакция антивирусов на крякнутый софт . Если в Kaspersky Security Network программа появилась месяц назад, думаю она безопасна. KSN удобен, можно сразу увидеть - это старая программа, или новая и , возможно, вредоносная .

Цитата:

Вирлаб уже не тот, давно. Просто online сканер антивирусом выбранного вендора.

У Dr Web, например, нормальный вирлаб по моим наблюдениям . Сегодня мне ответ пришел об очередном ложном срабатывании.

вполне хватает малваре анти-малваре для сервинга нета по сайтам. ПО с лекарством от жадности проверяю почти всегда на winpe, для этого прописана второй осью в загрузчике. Либо виртуалить на крайний случай.

Цитата:

вполне хватает малваре анти-малваре

Тема про безопасность без антивируса.

KismetT

Цитата:

Тема про безопасность без антивируса

Имхо. Совсем без антивиря невозможно. Должна быть возможность проверки скаченного хотя бы сканером. А так ... разве что вообще ничего не скачивать и не копировать-сохранять на комп, или постоянно пользоваться виртуалкой, что тоже не совсем ...

Цитата:

Совсем без антивиря невозможно

Ну отчего же? Можно устанавливать только дистрибутивы с родных сайтов, вдобавок проверять их на Вирустотал, установить Secunia PSI с действиями на автомате, ограниченная учётка и понимание, того, что можно запускать, а что нет. Для хомяка проще установить антивирус, хотя и это не всегда помогает. Либо для тех хомяков, кто пользуется одним и тем же софтом, всё вышеуказанное, кроме антивируса + в родительском контроле настроить запуск только используемых программ.

в современной паутине без скана опасно. Хотя сижу без особых заморочек по запертам и антивира-мониторинг, только по необходимости запускаю портейбл, либо проверяю на РЕ