» Безопасная работа в Windows без антивируса

Цитата:

Систему грузить, фолсить.

Да как бы и сигнатурный анализ систему грузит, и сбои у него бывают. Из этого надо сделать вывод, что он неэффективен?

Цитата:

Да как бы и сигнатурный анализ систему грузит, и сбои у него бывают. Из этого надо сделать вывод, что он неэффективен?

Нет, выводы делать не стоит. Хотя смотря, что это за антивирус.

Просто не могу я серьёзно обсуждать проактивную защиту с помощью эвристика. Ну что он может кроме как ловить всякую ерунду. Как это делают эвристики Avira, Eset… И занимать высокие места в тестах типа retrospective, но как только разговор заходит о чём то более серьёзном, то оказывается, что они не только лечить не умеют, а вообще пропускают. Такие продукты как Kaspersky Dr.Web сложные угрозы видят сигнатурно и лечить их умеют. Дальше обычно спор по поводу лечение vs предотвращение. Первые напирают, что отсутствие лечения и, как правило, детекта, некошерно для продукта именующего себя антивирусом и они правы. Вторые утверждают, что в современных реалиях надо только эффективно предотвращать заражение и это с помощью эвристического сканера! Если же, ну мало ли, такое редкое и удивительное природное явление событие состоялось вопреки всем чудесам эвристическим защитам, и пользователя накрыла зараза, то он живенько восстановит систему из образа ревностно хранимого в уютненьком месте. И мило улыбнётся, что не удивительно после потери всех данных, хотя нет, о чём это я, домашний пользователь же обязан делать бэкап, а кто не сделает останется без конфет, каждые 10мин.
А что пользователю делать? Установить блохоловку на шару типа антивирус Avira и(или) см. рис1 тесты и периодически сканить тулзой и (или) курилкой. Ещё к этому неплохо бы прикрутить действительно проактивную защиту типа хорошей хипсы. Если находятся желающие платить за защиту, то KIS в помощь и настроить его обязательно желательно иначе поход в ветку "о проблемах с вирусами" и логичный вброс на К и иже с ним увеличивает свои шансы. Пруф по настройке KIS полностью не читал, но думаю вполне достойный, тут главное не заразится фанатизмом, лк делает достойные продукты в плане защиты, не более. Про Вэб. Седьмую версию Dr.Web даже сами вэбовцы за УГ держат и вообще в Dr.Web странные вещи творятся я этого не говорил, кто не знает. Поэтому ИМХО лучше не впрягаться за свои кровные любителей садомазо и опускания при народах это естественно не касается .

propovednikNT а за сцылочку спасибо, обновлю пару извилин знаний о Каспере...

Эффективные системы защиты должны создаваться без участия эвристического и сигнатурного чёрно списочного анализа кода, если в основном это только тормоза фолсы и пускание пыли в глаза пользователям. Должна присутствовать проактивная составляющая, которая блокирует любой исполняемый код в системе, который отсутствует в белом списке. Облако формируется исключительно по принципу белого списка допускается автоматическое добавление кода подписанного достаточной для доверия цп например Microsoft. Любой код отсутствующий в облаке должен автоматически запускаться в песочнице с огр. правами, должна существовать возможность на усмотрение пользователя регулировать права доступа ограниченного приложения к сети, другим приложениям, папкам с документами и т.д. Обычные возражения против белого списка, что будет ограниченна свобода и туда не попадут мало популярные приложения. Во первых при запуске неизвестного приложения оно должно автоматически передаваться на анализ. Во вторых мало популярное приложение, зачастую написано и малограмотным программистом, а значит, имеет код невысокого качества с большим кол-вом уязвимостей, будет ли вообще желательно попадание такого кода в систему? Далее, где гарантии того, что при обновлении или иных сетевых операциях производимых таким приложением не произойдёт перехват пакетов злоумышленниками с последующей их подменой вредоносным кодом и приложение не запустит его? Так что же ограничивает белый список свободу пользователя или швабодку горе программистов вкупе с производителями антивирусов, которые не желают тратиться на подобные меры защиты. Анитвирусные компании, видя своё фиаско в борьбе с вредоносным кодом при помощи сигнатурно-эвристических технологий, внедрили репутационные технологи, которые были призваны исправить ситуацию. И что же можно видеть спустя годы. Заявления типа "мы за минуту после обнаружения вредоноса кинем его хэш в облако" повлекли за собой появление в облаках вредоносов с положительной репутацией и это логично, если заключение о безопасности строится на "пользователях". Вредоносы приобрели самозащиту, и уже не атакуют всё что движется, аккуратно обходя ботов антивирусных компаний. Антивирусные компании действительно используют белые списки, зачастую покупая их у лидеров которые в своё время вложились и теперь неплохо держат корпоратив, при этом смотрят на домашнего пользователя и прочую "мелочь" как на Г. Но кол-во белых списков используемых в антивирусах прямо пропорционально жадности ав вендоров, в современных антивирусах белые списки распространяются в основном на файлы ос и нужны что бы несколько снизить нагрузку антивируса на систему. К примеру, в ав Norton by Symantec на среднестатистическом пк присутствует около 10% того, что они считают надёжными файлами и по умолчанию исключено из сканирования.
P.S. Это можно воспринимать, как маленький вброс(ик)

Правильная настройка системы с помощью встроенных политик электрика - mura vlova улыбнула. Вспомнилось про кухарку и государство.


Проповедь про
Цитата:

Эффективные системы защиты

Цитата:

по принципу белого списка

очень занимательная, но ты же сам пишешь
Цитата:

при открытии заражённого документа произойдёт выполнение целевого кода в системе

и каким боком тут
Цитата:

проактивная составляющая, которая блокирует любой исполняемый код в системе, который отсутствует в белом списке

код выполнился в Adobe Reader/Acrobat и зашифровал тебе всё к чему дотянутся смог с правами твоего пользователя и просит денег за разблокировку. Комичность ситуации заключается в том, что если ты c дуру ребутнёшся это убьёт локера. Не дай бог нам в массовых продуктах такую защиту. Огородился подобным методом так сиди и фапай, а не луркаёпствуй по форумам.

На данный момент подобные методы атак не используют или используют крайне ограниченно для избранных, а так бэкап.

Первая проблема - это защищаться от угроз, которых нет в антивирусных базах. Вторая проблема - баланс между тем, что ты запускаешь, на какие сайты ходишь, и безопасностью. Чем меньше запускаешь, тем меньше шансов заразиться. Если с софтом еще понятно, что надо пользоваться лицензионным ПО, качать его с официальных, старых и популярных раздач, то с сайтами не очень понятно, так как заразить могут, наверно, любой сайт.
У первой проблемы решения не существует, даже теоретически?

Цитата:

Первая проблема - это защищаться от угроз, которых нет в антивирусных базах.

Как ты определяешь такие угрозы.

Цитата:

заразить могут, наверно, любой сайт.

Могут и чё, каждый день по таким сайтам хожу, и как видишь ещё живой.

Цитата:

У первой проблемы решения не существует, даже теоретически?

А оно вообще надо. Основная масса людей использует Виндовс для работы, причём плодотворно, даже если они гики, любителям бороться с ветряными мельницами прямая дорога в Линукс или ещё дальше, хотя и там их не отпускает “жизнь-вечная борьба”© в общем.

В общем, завязывай троллить или делай это тоньше и интереснее.

Кто нибудь, подскажите сайты, где много вирусов. Только реальные ссылки с крутыми вирями. А то всё слышу только разговоры в интернете и от знакомых. В контакте, одноклассники, порносайты. Хочу попробовать словить на свой комп хоть раз вирус.
И напишите, куда кликать, чтоб запустить вирус.

Цитата:

Кто нибудь, подскажите сайты, где много вирусов

_http://vx.netlux.org/vl.php

Нет, я имел в виду сайты, где легко поймать вирус или эксплоит одним кликом.

npicture.ru
Только зайти надо на какую-нибудь фотку.
(правда, последний раз я видел как атакует где-то с год назад, потом я поставил фильтры от этого )
ой сори - npicture.net

Кстати, дыру в SRP и AppLocker профиксили:
kb2532445
http://hotfix.chris123nt.com/Windows.7/Hotfixes/x86/Windows6.1-KB2532445-v2-x86.msu
http://hotfix.chris123nt.com/Windows.7/Hotfixes/x64/Windows6.1-KB2532445-v2-x64.msu

muravlov
И на хрена мне дома счеты за 30 тр., которые вы мне предлагаете?
То же и дочь не ограничиваю в правах. Просто не надо из компа устраивать хранилище архивов. Для этого есть другие возможности.
А про защиту хочу сказать, вроде как даже зачатие может быть не порочным.
СОРИ! Не кого не хотел обидеть.
Просто в России как видно все через одно место, электрики - кмпами занимаются. Видно его током осенило.
А насчет лицензии, так ее дома в принципе нет. Жаба душит. И нет проблем не с обновой, не с совтом. А то что от всей напасти не убережосся, так это как с болезнью. Сначала появляется болезнь потом вакцина.
А так и ловили, и лечили, и переустанавливали по очень многу раз. Это не проблемма, просто все что нужно под рукой.
Собственно этим и занимаюсь. Тестирование совта и всякой нечестью.

muravlov

Цитата:

Есть программы, которые пишут данные не в Application Data, а в свои папки, например игры. Для обеспечения безопасности в этом случае такие программы следует установить не в "C:\Program Files\" а в другую папку. Дать группе Users права на запись в эту папку. В настройках SRP дать разрешения на эту программу и её библиотеки только по хэшу. То ессть для всех исполняемых файлов в папках, доступных для записи пользователю с ограниченными правами (например игры, установленные в D:\Games\ ) - разрешения только по хэшу, во избежание подмены или инфицирования файла.

Вещь нужная. А как автоматизировать процесс создания правил по хэшу для подобного рода программ... exe-шников порядка 700 штук?

Цитата:

Отключаем файл подкачки если достаточно ОЗУ

Почитайте о работе памяти в Windows.

Цитата:

Запрещаем потенциально опасные приложения в папке Windows

Проще переименовать\переместить и ни один вирь не запустит, а пользователь сможет.
Не голосовал, потому как некуда нажать.
Судя по голосованию, предлагаю обсудить тему:

Цитата:

В повседневной работе в Windows я использую учётную запись "Администратор"

Цитата:

Не использую резидентный антивирус.

Не

Цитата:

Настраиваю безопасность с помощью SRP

И... что делаю для защиты собственных данных.

Без антивируса. Домашний слабый нетбук. Еженедельные бэкапы системного диска после проверки cureit , системный диск уменьшен до минимума, некоторые папки перемещены на другой диск. Подготовлены и успешно опробованы образы системного диска для usb hdd usb flash, на случай если бэкапы с жёсткого полетят. 8 месяцев нормально, пару раз были вирусы, бэкап спасал.

Бекап не спасает от заразы, появившейся, но не обнаруженной до него... А шансов таких много, если отбросить примитивные винлоки

MERCURY127
Так их несколько, бэкапов этих, да и cureit не лажанулся ни разу.

king_stiven

Цитата:

да и cureit не лажанулся ни разу.

Ага, но всё-же может лажануться, как любой антивирус. Зато делов то сколько! Бекапы, еженедельные проверки компа, постоянные обновления cureit-а ... Сколько времени уходит на такую *обязаловку*?! К примеру я проверяю ОС, если появилось что-то подозрительное в работе, а так ... полная проверка раз в год. И не такая уж ценная инфа на нём, чтобы делать бекапы. Насчёт слабого компа ... так ведь есть антивирусы не особо грузящие комп. Из них, к примеру аваст, но есть и другие. Или, если ОС с лицензией, то в последнее время хвалят майкрософтовский антивирус.

Цитата:

Бекап не спасает от заразы, появившейся, но не обнаруженной до него

Бекап проверить тоже можно, но суть не в этом...
Известно, что не так страшны сами вири, как стороннее легальное ПО (ему же "все доверяют"), которое бесконечно пишет в систему, т.е. в реестр. Устав с эти бороться (выявлением очередной кривой проги, роняющей систему), теперь делаю бекапы системы без установленного ПО, кроме драйверов+исправления от разработчиков, все остальное портативное_и_ни_ разу_не_запущенное до бекапа (известно, что портативные тоже пишут).

Цитата:

Сколько времени уходит на такую *обязаловку*?!

Не больше, чем на борьбу с возможной заразой.
На деле:
Установлена\уменьшена\настроена система и все обновления. Настройка производится без использования\запуска стороннего софта, включая портативный, только собственными батниками и reg-файлами+проводник. Времени больше тратится на перезагрузку, для вступления изменений в силу.
Далее первый бекап. При загрузке компа в boot.ini выбираем загрузку с образа WinPE. Загрузившись запускаем батник и всё, что на диске с системой, копируется на другой винчестер\раздел\флешку\usb-hdd (не более 2-3 минут). Через месяц, после выхода очередных обнов, все повторяется.
Т.е., сначала возвращаем сохраненный месяц назад бекап, устанавливаем вновь вышедшие обновления (разумеется, не запуская стороннее ПО), создаем следующий бекап. Даже, если у вас все остальное место на винтах\флешках\usb-hdd усыпано вирями их нет в системе, т.е. они не грузятся.

Если надо установить/запустить программу, которая требует админские права - как тут можно защитьтся? Какими способами и средствами?
P.S. Если угрозы нет в антивирусной базе.

Anmawe

Цитата:

Если надо установить/запустить программу, которая требует админские права

Для этого есть служба "Secondary Logon" ("Вторичный вход в систему"), позволяющая запускать программу от имени другого пользователя (в данном случае - от админа). Кроме того, имеются сторонние решения, напр., AdmiLink.

SRP+ограниченные права + обновления 100% защищают от вредоносного кода и шаловливых рук. у меня несколько офисов (более 50 машин в каждом) работают по такой схеме БЕЗ антивирусов. никаких проблем. но это - в офисах, где жестко регламентирован список разрешенных к использованию приложений.
что делать с домашними компами - вообще непонятно (хотя я ими и не занимаюсь . запрещать запуск приложений и ограничивать в правах - не решение. вечно что-то доставляют/ удаляют. никакие антивирусы не помогают. почти все виденные мной домашние компы заражены.

Киньте плиз макровирусов, таких как инструкция_митинг.doc и т.п. Хочу протестировать

Уже много лет пользуюсь Shadow Defender и всё ок и даже внучка ничего сделать неможет.

Можно нырнуть в воду, задержав дыхание, закрыв рот и нос, но не на долго.

Без антивируса можно, но не ходить по и-нету, почту не принимать, Аськой не пользоваться, дискеты, флэшки и CD-DVD не вставлять, программы не устанавливать, от сети желательно отключиться и вообще - комп лучше не включаь! Тогда О.К.

даже здесь большая часть сидит в инете с админской учеткой, о какой безопасности мы говорим?

Цитата:

Антивирус нужен всегда.

это зачем, интересно?

подавляющее большинство заражений происходит через эксплоиты. Реальных заражений через 0-day крайне мало, крайне-крайне мало. То есть, я предлагаю вовремя устанавливать обновления на систему и софт. И (о, чудо!) эксплоиту становится нечего эксплоитить.

Остаётся небольшой процент угрозы от 0-day эксплоитов. Однако, ряд мер позволяет существенно, на порядки снизить ущерб от их атаки или даже превратить атаку в пустой выхлоп. В первую очередь, это всё те же права рядовых пользователей.

Антивирус нужен, особенно когда есть домашняя локальная сеть (медиаплееры, спутниковые ресиверы, WI-FI и даже телевизоры). Часто приходится включать сетевое обнаружение, что-то расшаривать, перекидывать и т.д. Вот и получается, что с локальной сети провайдера много любителей пошкодить тренируются.

Цитата:

Антивирус нужен

это вы от маркетологов только что? Мое мнение - платить за антивирус для обычного домашнего пользователя не стоит. Последние 5 лет пользуюсь исключительно бесплатными продуктами и ставлю их всем знакомым. Все довольны. А схватить вирус можно что на навороченном Каспере, что на бесплатном Авасте.

Антивирус нужен, если есть что защищать. Если есть информация, представляющая интерес для третьих лиц. Если на компе только фильмы, игры, пароли в браузере вводите вручную - то тут красть нечего. Троян конечно может всё удалить/зашифровать, но тут антивирус не всегда поможет, тут бэкапы/распределение прав/второй комп нужны.
Файловый антивирус всё равно обходят, так что на мой взгляд если и ставить, то хороший фаирвол.