» Безопасная работа в Windows без антивируса

Цитата:

многие отключают это обновление

Зачем они это делают?
И Kido распространяется через уязвимость ОС, как выше сказано.

Цитата:

Зачем они это делают?

экономят трафик, считают ненужным, винда нелицензионная и т.д. и т.п.
полно малвари, проникающей на комп через браузер http://www.anti-malware.ru/blog/1/2482

Цитата:

вы знаете сколько в % соотношении пользователей устанавливают обновления? для системы, для софта?

Данная тема называется «Безопасная работа в Windows без антивируса» и раз уж пользователь решился обойтись без антивируса, и всю безопасность обеспечивать только встроенными средствами, то вероятнее всего он не будет отключать обновление Windows. Хотя при экстремальной настройки безопасности через Software Restriction Policies, и установкой компьютера за NAT, эксплуатация даже самых больших уязвимостей не сможет причинить большой вред компьютеру.
В большинстве случаев, эксплуатация уязвимости означает простое скачивание и запуск посторонней программа, а если запуск посторонних программа запрещен, то на этом вредоносные действие эксплоита заканчивается. Не будет хакер себя утруждать, пытаясь придумать, как же использовать уязвимость, если на компьютере жертвы запрещен запуск неустановленных программ, если рядом находится тысячи уязвимых компьютеров с антивирусом и пользователем с правами администратора.

Цитата:

экономят трафик, считают ненужным, винда нелицензионная и т.д. и т.п.

По первому варианту: ну у меня, например, тоже трафик, 15 Гб/месяц, скачать один раз при установке системы мегабайт 300 обновлений и потом каждые две недели по 10-20 меня совершенно не напрягает. А процент пользователей, сидящих с компьютера на помегабайтных тарифах, уж точно исчезающе мал.
Оставшиеся два варианта всерьёз обсуждать невозможно. А других «и т.д. и т.п.» и нету.


Добавлено:

Цитата:

полно малвари, проникающей на комп через браузер http://www.anti-malware.ru/blog/1/2482

Браузер тоже следует обновлять. В случае с IE, кстати, это входит в обязанности автоматического обновления и дополнительных действий не требует.

MisterGrim

Цитата:

Напомните, как давно была закрыта эта уязвимость?

Да закрыта она, закрыта. Ну, найдут какую-нить новую рано или поздно...

Вас спросили, много ли вы видели таких троянов. Вы ответили — Кидо. Следовательно, ответ не принят, и вопрос остаётся в силе.

Кстати, об ограниченных правах. Недавно пытался на работе осуществить следующую "концепцию" . Вооружился вторым монитором и дополнительным софтом, позволяющем нескольким пользователям одновременно работать за одним системником (я предпочитаю "Астер"). Идея была следующая: одновременно работать под двумя учётками: локального админа, у которого полностью заблокирована сеть, и админа домена, у которого нет админских прав на локальном компе. Суть: с одной стороны, все права есть и не нужно жать подтверждения UAC, с другой - по безопасности равносильно работе под ограниченной учёткой. Увы, не прокатило... Так и не нашёл никаких средств, которые бы позволили избирательно заблокировать сеть лишь для одной учётки при нескольких активных...

Добавлено:
MisterGrim
Не понял. Почему ответ не принят?

Потому что Кидо уже в прошлом, и «распространяется» только за счёт тех ссзб, которые отключили обновления etc. А нам бы что-нибудь из текущих реалий.
То есть понятно, что дырки всегда были, есть и будут, но такие случаются очень нечасто.

Цитата:

Оставшиеся два варианта всерьёз обсуждать невозможно. А других «и т.д. и т.п.» и нету.

Вот как раз полно товарищей, считающих наоборот. Я сам недавно отвечал здесь на вопрос как отключить обновление.
Цитата:

много ли вы видели таких троянов

Вы сомневаетесь в их наличии? Конечно в процентном отношении их намного меньше чем "пионерских", но они всё же существуют. Встречал несколько раз описания зловредов, использующих уязвимости ОС.

Цитата:

Вы сомневаетесь в их наличии?

Я не сомневаюсь что есть вирусы, которые используют уязвимости в Windows и другом программном обеспечении, но вот а об их удачном использовании на компьютере, настроенном так как описал автор темы, очень даже сомневаюсь.
До перехода на Windows 7, мой компьютер несколько лет был настроен так: не работал с правами администратора, в «software restriction policy» запрещен запуск неустановленных программа. В течение этих лет я не встречал не один работоспособный вирус на своем компьютере. Так что, желание поменять все это, на какой либо антивирус отпало уже после несколько дней использование. И досих пор желание усановить антивирус так и невернулось.
Конечно, если пользователь сам будет устанавливать программы неизвестного происхождение, то от заражение вирусом, втроем в сломанных программах, это не спасает.

Цитата:

По первому варианту: ну у меня, например, тоже трафик, 15 Гб/месяц

в России интернет есть примерно у 40% населения к примеру и большинство из регионов сидят на модемах.

Цитата:

И досих пор желание усановить антивирус так и невернулось.

Юзеры покупают антивирус по инерции, так как им он привычен, да и о чем-то другом они слышать часто даже сами не хотят. Тут надо мозги менять, многолетние привычки людей. Логика на уровне логично - нелогично тут не работает, скорее нравится или не нравится, удобно или не удобно.

Цитата:

Юзеры покупают антивирус по инерции, так как им он привычен, да и о чем-то другом они слышать часто даже сами не хотят.

Да, традиция и привычка – страшная сила. Но тут есть еще другая проблема – некто ведь не предлагает, какую то альтернативу антивирусу (если и предлагает то так тихо, что это почти не кто не слышат). Человек каждый день в интернете, по радио, телевидению слышит страшилки про вирусу и антивирус как единственное спасение от них (а по-другому и быть и быть не может потому как эту информацию дает заинтересованные люди – производители антивирусов) . А ведь некто не объясняет что такое вирус, и почему не надо работать с правами администратора. Ну да – деньги на таких разъяснениях не заработаешь.

P.S. Было бы интересно организовать тест: «разные антивирусы» против «компьютера настроенного средствами самой Windows”. Хотя я и без тестов знаю кто победит.

KismetT

Цитата:

Вот как раз полно товарищей, считающих наоборот. Я сам недавно отвечал здесь на вопрос как отключить обновление.

А ещё есть товарищи, которые не закрывают машину, оставляя её на улице. Их в милиции очень «любят», например. А ещё развелось много товарищей, которые считают, что прививки не только бесполезны, но и вредны. Я это о чём? Считать они могут как и что угодно, хоть что Солнце вращается вокруг Земли, но в таком случае им никто и ничто помочь не сможет.

cmexx2012

Цитата:

в России интернет есть примерно у 40% населения к примеру и большинство из регионов сидят на модемах.

У тех, у кого нет интернета — у них и компьютера нет. А что касается модемов, то у всех операторов сейчас есть условно-безлимитные тарифы (разной степени паршивости, конечно, но не меньше нескольких Гб на месяц). Я сам с модема сижу, есличо.
Нет там никакого особого трафика.

Firza
Цитата:

Было бы интересно организовать тест: «разные антивирусы» против «компьютера настроенного средствами самой Windows”.

Вот тут проскальзывало

безопасной работа в интернете не может быть на данном этапе жизни человечества. Отключите интернет, лишь в этом случае спасет мнимое решето в виде защитника и брандмауэра виндовоза.

Добавлено:

Цитата:

Юзеры покупают антивирус по инерции, так как им он привычен, да и о чем-то другом они слышать часто даже сами не хотят.

так проще жить, зачем усложнять все.

Цитата:

так проще жить, зачем усложнять все.

не хочешь думать - плати

Насчет SRP у меня есть одна непонятка - если разрешено запускать только конкретные программы, то новая программа, которая может быть вредоносной, не запустится. Но по какому принципу попадают программы в список SRP? Я не могу знать, вредоносна ли программа, или нет, если антивирус и сканеры ничего не обнаружили. Например программы, скаченные с ag.ru, playground.ru, chemax.ru и других крупный сайтов и форумов, раздачи на rutracker, через StrongDC - на каком основании эту программу можно в список добваить, а эту лучше не добавлять?

SRP работает, только если никогда не нарушают правила типа не сидеть в админе, не качать софт с первого попавшегося сайта и т.д. ?

Если работать в первой ограниченной учетке (там все данные, с которыми работаешь), а браузер запускать от имени второй ограниченной учетки, запретив чтение, запись в папки, находящиеся в первой ограниченной учетке - это будет безопасно?

Цитата:

SRP работает, только если никогда не нарушают правила типа не сидеть в админе, не качать софт с первого попавшегося сайта и т.д. ?

Да. Если пользователь сам, добровольна будет устанавливать программы неизвестного происхождение, то не SRP, и не сидеть в админе не поможет. Но это относится к любой OS, даже самой защищенной. Если root, administrator сам хочет установить вредоносную программу то это его выбор. Если человек хочет повесится то это выбор, а не вина верёвки.
Груба говоря, SRP это почти аналог атрибута execute который есть на Linux, BSD и который там очень широко применяется. Вообще-то и на Windows есть атрибут execute, но толка от него никакого, так ко он по умолчанию уже установлен на все папки, все файлы, для всех пользователей.
Используя SRP можно добиться того, что запускать можно только те программа, которые установлены администратором. То есть только те программы которые находится в папках %Windir% и %SystemRoot% (настройка по умолчанию в SRP). Так как у пользователя по умолчанию эти папки доступны только для чтение, то он не сможет запустить что то постороннее, даже если очень сильно захочет (запуск Live CD и сброс пароля администратора не считается, так как вирусы еще не научились сами вставлять и записывать Live CD для сброс пароля).
Как заразить компьютер, под зашитой SRP и учетной записи Пользователь, я не знаю. Так и не получилось мне заразит свой компьютер, в течении > 5 лет, независимо от то какие вредоносные страницы я бы посещал. Ну наверно я просто посещал не те страницы.

Все бы было хорошо, но у SRP есть очень могучий противник под названием Google Chrome. Так как у Google Chrome есть только один способ установки – в папку %usereprofile%, то сперва будет проблема с самой установкой данной программы, и даже если её установить, с настройками по умолчанию в SRP, Google Chrome работать не будет, потому как запуск программ из %usereprofile% запрещен. Это означает, что надо будет менять правила в SRP для Google Chrome. Но так как в папку %usereprofile% разрешена запись то это ослабевает защиту. Раз уж Google Chrome может запускаться из %usereprofile% то и вредоносные программы могут сперва копировать себя в папку Chrome и уже от туда запускаться как разрешенная программа. Так что Google Chrome еще долго небудет установлен на моем компютере.

Цитата:

программы неизвестного происхождения

Это программы, не имеющие цифровой подписи и скаченные не с официального сайта? С тех сайтов и форумов, про которые я писал, куча народу качают программы, и если что-то заметят, посыплются жалобы и раздачу закроют. Не во всех кряках, кейгенах, трейнерах, no cd есть трояны.

Качайте Хром отсюда: https://www.google.com/chrome/thankyou.html?system=true&standalone=1
Это инсталлер совместимый с SRP (Applocker)

Цитата:

Все бы было хорошо, но у SRP есть очень могучий противник под названием Google Chrome

Это тот самый, который отсылает данные хрен знает куда?

Если серьезно, то пара вопросов:

1) Зачем нужно давать неограниченный доступ для путей:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

Я попробовал его не давать, вроде все нормально. Приложения запускаются по хешу. Правда, я это делал на виртуалке, которая выделена для подобных экспериментов, поэтому нельзя сказать, что все будет работать на 100 %.

2) muravlov, в ваших рекомендациях написано, что нужно указывать в SRP проверку всех файлов, в том числе и DLL. Губаревич же пишет, что проверку DLL указывать не нужно, т.к. это сильно грузит систему, достаточно проверять исполняемые файлы. Где истина?

Цитата:

Юзеры покупают антивирус по инерции, так как им он привычен, да и о чем-то другом они слышать часто даже сами не хотят. Тут надо мозги менять, многолетние привычки людей.

У основной массы юзеров нет задачи познавать, как защитить свой компьютер от вирусов без антивируса. Люди просто желают использовать комп по своему прямому назначению для решения своих задач, а для защиты используют антивирус. И это правильно. Железка для человека, а не наоборот. Остальное для любителей повозиться с компом.

Цитата:

У основной массы юзеров нет задачи познавать, как защитить свой компьютер от вирусов без антивируса. Люди просто желают использовать комп по своему прямому назначению для решения своих задач, а для защиты используют антивирус. И это правильно. Железка для человека, а не наоборот. Остальное для любителей повозиться с компом.

Тут где-то в одной из тем говорилось о том, что создатели антивирусов берут деньги за свои продукты, а ответственности не несут никакой: что будет, например, если у вас стоит лицензионный антивирус, за который вы заплатили деньги, и он пропустит вирус, который пожрет ваши файлы и вы потеряете нужную для вас информацию? Создатели антивируса возместят вам ущерб? Очевидно, что нет, иначе создатели антивирусов уже давно бы разорились. Об этом люди думают? Нет. Это правильно, что они об этом не думают? Тоже нет.

Вообще, проблема более глобальна: люди ленивы, они не хотят искать новую информацию, им проще делать так, как делает большинство. Хотя, пожалуй, это уже флуд)

Интересно, а почему это создатель антивируса должен нести ответственность за действия вирусов? Или кто-то из антивирусников гарантирует 100%-защиту?

Цитата:

Или кто-то из антивирусников гарантирует 100%-защиту?

не гарантирует и нет смысла использовать платный антивирус

Цена (или бесплатность) — не единственный критерий выбора, и не обязательно самый существенный.

Цитата:

Интересно, а почему это создатель антивируса должен нести ответственность за действия вирусов? Или кто-то из антивирусников гарантирует 100%-защиту?

Ну, вот я, к примеру, купил DVD-проигрыватель, а он бракованный, не выполняет своей функции - не проигрывает диски. Что я делаю? Я несу его обратно в магазин и мне либо дают тот, который будет проигрывать диски, либо возвращают деньги. А с антивирусами что? Купил я антивирус - а он вредоносный код пропустил, т.е. не выполнил свои функции. Но деньги мне никто не вернет. Так зачем нужен продукт, за который нужно платить, но производители которого ответственность ни за что не несут? Я рад за них, что они смогли придумать "относительно честный" способ отъема денег, но сам платить не буду.

Но даже безотносительно денежного стороны вопроса я считаю неправильным доверять всю безопасность (100 %) одной программе. Если уж и ставить антивирус, то работать из-под учетки юзера, доверяя ей процентов 50 безопасности, файерволлу и проактивке - процентов 40-45. Антивирусу (бесплатному) - 5-10 %.

У DVD-проигрывателя есть заявленная функция: проигрывать DVD-диски.
У антивируса заявленной функции «100%-ая защита» нет. Вам где-то, когда-то обещали, что антивирус NNN поймает все, абсолютно все вирусы?
Это называется — лишь бы придраться.

MisterGrim

Цитата:

Считать они могут как и что угодно, хоть что Солнце вращается вокруг Земли

Согласно теории относительности точка отсчёта может быть выбрана произвольно. Если взять за точку отсчёта Землю, то Солнце вращается вокруг неё. Может, и не совсем были неправы святоши, что спалили Бруно...
Ладно, это типа оффтоп...

Добавлено:
townhost33

Цитата:

1) Зачем нужно давать неограниченный доступ для путей:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

??? Откуда вообще такая информация??? %SystemRoot% - каталог Винды, %ProgramFilesDir% - каталог "Program Files" (по умолчанию). Не нужно туда давать полный доступ!

Цитата:

2) muravlov, в ваших рекомендациях написано, что нужно указывать в SRP проверку всех файлов, в том числе и DLL. Губаревич же пишет, что проверку DLL указывать не нужно, т.к. это сильно грузит систему, достаточно проверять исполняемые файлы. Где истина?

Нужно указывать только исполняемые файлы.

Антивирус - это доступный массовый продукт, для основной части пользователей наиболее простой и доступный вариант обезопасить свою машинку. Домохозяйка, знающая только Одноклассники и Майл.ру, купит антивирус, начитавшись страшилок и перейдя по рекламной ссылки. На таких людей платные антивирусы и рассчитаны. Пишу уверено, потому что я сама одна из таких, ну по крайней мере была такой с полгода назад.