Автор: propovednikNT
Дата сообщения: 24.11.2011 14:14
Топикстартер ты опоздал, уже есть: Практическое применение Software Restriction Polices или, проще говоря, извращённая идея огараживания с применением Software Restriction Policies (далее SRP) наглядно отражена в постулате некого товарища Губаревича также известного под кличкой WindowsNT. Он так предлагает защищаться от вирусов, точнее от тех вирусов и прочих программ которые попытается установить пользователь. Зачем такой огород городить неясно тут либо попытка обезопасить рабочий ПК от софта пользователя и возможных при этом вирусов либо доставить дополнительные неудобства в работе. В первом случае акт вандализма софт пользователя всё равно состоится над рабочим ПК путём несложного обхода политик SRP. Пример: запуск из архиватора winrar, запись в разрешённые папки C:\windows или C:\program files в которые почему то пользователь имеет право записи;) нужные папки можно поискать прогой AccessEnum в одинаковых релизах ОС дырки в windows папках совпадают, в остальном зависит от идентичности установленного софта, переименованием в расширения неконтролируемые SRP, это вкратце более подробную информацию по обходу SRP огороженный таким образом пользователь самостоятельно найдёт в интернетах. Во втором случае такой огород будет снесён незамедлительно из-за неудобств и не только. Политика SRP блокирует запуск определённых исполняемых файлов не только с правами пользователя, но и с правами системы, а это чревато. К примеру: папка C:\ProgramData куда может писать пользователь содержит исполняемые файлы и библиотеки их блокировка ведет к ошибками в работе софта или папка C:\Users\youusername\AppData\Local\Temp этой папке нужны права на запуск и запись с правами пользователя для нормальной работы. В неё при обновлении сливает свои инсталляторы софт, инсталлятор может быть без ЦП, запрет выполнения в этой папке равносилен запрету на обновления, WU это не касается. В дополнение в уже неправильно функционирующей системе, без антивируса и обновлений для софта ещё и вирусы заведутся.
Что важно: запрет запуска пользователем исполняемых файлов не спасает от вирусов, которые сами устанавливаются через эксплоиты в систему, а помочь им в этом может любая не обновляемая программа, имеющая неограниченный доступ в сеть, а иногда и обновления не спасают, если эксплоит 0 day. От вируса в открытых пользователем документах итп SRP не защитит. SRP ещё могла бы потягаться с вирусами, если бы обеспечивался контроль с помощью сертификатов или хэша всех исполняемых файлов в системе и была бы самозащита, хотя такая SRP доставила бы ещё больше. Представленную же Губаревичем систему защиты с помощью SRP может заменить отображение расширений для зарегистрированных типов файлов и вменяемый юзвер который не будет тыкать в первый попавшийся exe, естественно всё это не должно и не может быть серьёзной защитой на пути современных угроз, но от поделок школьнегов типа о…сиськи.jpeg.exe. защитит вполне. Антивирус, а точнее комплексное решение может хоть что-то, тем более на рынке присутствуют и очень достойные freeware решения.
Нормальный антивирус не препятствует правильной работе системы и обновлению софта, а иногда и предупреждает о необходимости обновления.
Выпустить заглушку на 0 day уязвимость гораздо проще и быстрее, чем обновление, поэтому зачастую антивирус блокирует известную 0 day ещё до прихода официального патча.
Не стоит списывать со счетов и сигнатурный анализ, даже если вредонос попытался проникнуть через новую дырку, это вовсе не означает, что и вредонос новый и неизвестный антивирусу.
Проактивные защиты способны завалить вредоноса типа 0 day, некоторые показывают детект до 100% в лабораторных условиях, правда, столь эффективные защиты требуют отдачи от пользователя, полные автоматы-эксперты столь высокими результатами похвастать не могут, зато доступны в использовании каждому.
Фаервол вкупе с хорошей HIPS очень мощная защита, как от активного заражения системы 0 day угрозами, так и от кражи информации.
Товарищ Губаревич утверждает, что админит-админил несколько тысяч машин без антивируса подобным методом SRP огараживания. Не верю, что один человек в состоянии админить тышы глючащих машин сыплющих вируснёй во все щели.
PS. Не стоит изобретать велосипед. Если есть нужда в защищённой ОС на десктопе без применения сторонних средств безопасности, используйте Linux.
только вот если бы меня на работе посадили бы в такой бтр, я бы на следующий же день послал бы такую работу. Растением быть не хочу... 
... кстати, винлоки в безопаске себя вполне вольготно чувствуют... да и фаеры отдыхают 