» Microsoft Security Essentials (MSE)

karinas
Strangeways
Riell
Просто замечательно, мы рады что вы отписались... У меня тоже ни одна зараза не пролезла, но до этого у меня был и каспер и икарус и все чисто было.... Наверно вопрос все же зависит и от грамотности пользователя и от того где он "шарится".
А вот сигнатуры у MSE все же запаздывают по сравнению с касперским. Я сам лично отправлял штуки четыре трояна которые MSE промограл, а вот др.Веб, каспер и икарус - нет.


Кстатий, кто говорил что у MSE убрали сетевой сканер ? Он на месте, вот из about-а:
"Network Inspection System Engine Version: 2.0.5850.0
Network Inspection System Definition Version: 8.57.0.0"

Токо не работает он нифига. Проверялось на eicar-е

Цитата:

Кстатий, кто говорил что у MSE убрали сетевой сканер ?

Microsoft

Цитата:

The Microsoft Security Essentials team has made improvements to the quality of the product including performance enhancements as well as some user interface modifications. In particular, the team decided to remove the protection against web threats feature in the Security Essentials Beta as it was causing PC performance issues.

*из списка надстроек в IE9, пропал Antimalware Script Scanner.

Цитата:

Microsoft

23W

Цитата:

Просто замечательно, мы рады что вы отписались... У меня тоже ни одна зараза не пролезла, но до этого у меня был и каспер и икарус и все чисто было.... Наверно вопрос все же зависит и от грамотности пользователя и от того где он "шарится".
А вот сигнатуры у MSE все же запаздывают по сравнению с касперским. Я сам лично отправлял штуки четыре трояна которые MSE промограл, а вот др.Веб, каспер и икарус - нет.

А мы рады, что ты отписался. Можешь и дальше пользоваться доктором, каспером и икарусом...только тут тема про MSE. Сигнатурный анализ это уже прошлое.

Miffer

Цитата:

Можно ли как-то настроить автоапдейт MSE напочаще?

Майкрософт выкладывает новые базы где-то раз в 12 часов. Так что если ваши копии MSE будут лазить туда каждый час, это бестолковая нагрузка на сервер.
Не мучайте бесплатный антивирус, он делает то, что должен.
Отключите автозапуск со сменных носителей, так ликвидируете самый популярный путь проникновения вирусов. Если хочется большего, посадите браузер, почту и аську в песочницу Sandboxie, будете защищены почти на 100% и без антивируса. Если не нравятся песочницы, можно поставить вместе с MSE бесплатный Comodo Internet Security (без антивируса), это хороший файрвол с HIPS, не конфликтует с MSE.

Очевидно, что лучше самой платформы юзера никакие комоды с песочницами не защитят. Чем больше мы полагаемся на антивирус, тем выше риск заражения системы.

извините за тупой вопрос: а что такое песочница? он в составе MSW или MSE

serjjo

Цитата:

извините за тупой вопрос: а что такое песочница? он в составе MSW или MSE

Сандбокси обсуждается там
http://forum.ru-board.com/topic.cgi?forum=5&topic=20992#1

Riell
А я MSE и пользуюсь Каспер, доктор и икарус пока отложил. Проверяю что может делать бесплатный софт от мелкомягких....

Цитата:

Сигнатурный анализ это уже прошлое.

Это особенно интересно звучит в теме о MSE, т.к. кроме сигнатурного детектора в нем ничего другого почти нет - эвристики толковой нет (вот тема ее обсуждения http://social.answers.microsoft.com/Forums/en-US/msescan/thread/dfb7966f-a61d-472c-8188-0931a9487c3c где сами микрософтовцы признают что их эвристических анализатор не дотягивает до NOD32, хотя в NOD-е одна из самых слабых эвристик, всем известна его особенность пропускать трояны), облачной проверки - нет, проактивной защиты - нет, скриптовый сканер - отключен из-за тормознутости (опят же со слови микрософтовцев), сетевой сканер есть, но его телодвижения на eicare-е незаметны.

Добавлено:
Riell
Единственным сильным местом MSE (кроме бесплатности) является именно - сигнатурный детектер. Он хорош и быстр, но его одного - увы, мало.

23W

Цитата:

облачной проверки - нет

Как это?


Отсюда.

23W,

Цитата:

эвристики толковой нет

Модератор:

Цитата:

Yes, MSE has heuristics detection.

Причем тут микрософтовцы? Ну модератор использует на домашнем компьютере NOD32 и считает, что он лучше MSE. И что?
К тому же далее он пишет:

Цитата:

I don't use it, so I can't give you a detailed answer.

Цитата:

облачной проверки - нет, проактивной защиты - нет

остается добавить нет родительского контроля, контроля p2p трафика, анти-баннера...
А простите нахрен оно надо???
Целью самозащиты вообще является защитить антивирус от проникшего в систему и хозяйничающего там вируса... Что вы сами-то сделаете с таким антивирусом?
В случает MSE целью было сделать нересурсоемкий антивирус обеспечивающий достаточную базовую защиту, а не сделать еще одного монстра имеющего системные требования в 4 раза больше, чем у операционной системы...
А если пользователь будет устанавливать плейеры с порно-сайтов и программы пришедшые по мылу от неизвестного контакта, то ему все равно никакой антивирус не поможет.
Engaged Clown,
ну Microsoft SpyNet трудно назвать облачной проверкой, скорее это сервер сбора статистики.

Коллеги, кто использует WSUS для распространения обновлений MSE: пожалуйста подскажите какие классы для MSE Вы отмечаете в секции "Продукты и классы" ?
У меня сейчас установлено:
Microsoft Security Essentials
- MS Security Essentials
- Security Essentials

т.е. качаю и то и то- в результате получаю двойной набор сигнатур, один из которых не используется. Как узнать какой класс продукта отмечать для MSE и собственно чем отличаются MS Security Essentials от Security Essentials ?

23W

Цитата:

кроме сигнатурного детектора в нем ничего другого почти нет - эвристики толковой нет

Эвристик есть и неплохой.
Если верить ЛК, то каждые сутки в Сети появляется порядка 30 тыс. новых вирусов, хотя мне попадалась цифра и в 80 тыс. Понятно, что никакой сигнатурный детект с таким количеством новых вирусов не справится, потому что это не реально. В Win 7 и так запрещена без контрольная запись в системные папки, к тому же есть UAC, AppLocker, ограниченная учетка, да и в самой системе можно кое-что поотключать.

Цитата:

проактивной защиты - нет, скриптовый сканер - отключен из-за тормознутости

А зачем мне это все, когда со всем этим справится AppLocker...
Поэтому мне и MSE достаточно.

Andrey100KZ

Цитата:

ну Microsoft SpyNet трудно назвать облачной проверкой, скорее это сервер сбора статистики.

Вот тут пишут, что дефендер спрашивает, отправлять или нет.
Наверное MSE отправляет сам.

Engaged Clown
нету там облачной проверки, нету ее..!
даже в вашей картинке MSE ничего не принял на вход, он только отсылал данные в службу SpyNet - сбор вирусной статистики.

Добавлено:
Andrey100KZ
Riell


Цитата:

Эвристик есть и неплохой.

Это c чего вы решили ?
В той ветке что я дал, есть хорошая ссылка на обсуждение эвристика MSE - http://social.answers.microsoft.com/Forums/en-US/mseupdate/thread/352682dc-cacd-4410-b3a8-63ccdd4a199c

Там прямо сказано, что эвристика в MSE базируется на сигнатурах (family based detection) и вся эвристика - вероятностное определение модификации уже известного вируса. А т.к. поведенчиского анализатора в такой эвристике нет, то обнаружит новый вирус или что хуже всего - троян (т.к. даже в пределах одного семейства трояны сильно разнятся, т.к. имеет разную нацеленность и эксплуатируют разные дуры) - неможет!


Цитата:

В Win 7 и так запрещена без контрольная запись в системные папки, к тому же есть UAC, AppLocker, ограниченная учетка, да и в самой системе можно кое-что поотключать.

Да шо вы говорите и это абсолютно никак не мешает троянам садиться в систему, т.к. во многий из них - метод заражения основан на инекции в системный процесс, который обладает наивысшими приоритетами. И к слову, DEP на системные службы по умолчанию отключен, а это - лакомое место!



Цитата:

остается добавить нет родительского контроля, контроля p2p трафика, анти-баннера...
А простите нахрен оно надо???

Из того что вы перечислили - в антивирусе действительно ничего не надо, а вот тот список который я дал - очень важен. Если не понимаете почему - зачем вам тогда антивирус ? используйте себе UAC.



Цитата:

Целью самозащиты вообще является защитить антивирус от проникшего в систему и хозяйничающего там вируса...

Я писал про поактивку, а ее цель - защитить не только антивирус но и системные процессы и критические для системы данные, не дать трояну, которого проморгали сигнатурный и эвристический детектор, сделать внедрение своего тела в систему - третий этап обороны. Проактивка - это защита от принципиально нового вируса/трояна, не входящего в известные ему семейства.

23W, вот тут http://forum.ru-board.com/topic.cgi?forum=5&topic=30698&start=1380#7
Задал вопрос, ответа не получил. Может Вы ответите ?

23W

Цитата:

Да шо вы говорите и это абсолютно никак не мешает троянам садиться в систему, т.к. во многий из них - метод заражения основан на инекции в системный процесс, который обладает наивысшими приоритетами. И к слову, DEP на системные службы по умолчанию отключен, а это - лакомое место!

MSE я только на работе держу. На домашнем компе, ноуте и нетбуке вообще антивирус не установлен. Нигде вирусов нет , у меня вообще никогда заражения не было. Страшилки про

Цитата:

инекции

и прочее мне не интересны т.к. предпочитаю защищаться средствами самой системы.

Engaged Clown


Цитата:

Наверное MSE отправляет сам.

MSE спрашивает только когда хочет отправить на анализ файл, которого нет в базе SpyNet.
А какую-то статистику, наверное, отправляет сам, это есть в условиях участия в SpyNet.

Riell
Если пользователь грамотный, знает что запускает и куда ходит, следит за своей системой, не использует IE и отключает "стрёмные" службы вроде автозапуска, RPC DCOM и т.п. то действительно можно обойтись и без антивируса, но сейчас к сожалению и это не даст гарантии от заражения троянами, т.к. даже на вполне безопасных сайтах можно наткнутся на опасный код, нацеленный на какую-нибудь дырку/уязвимость в операционной системе. И код этот появляется там обычно в разделе коментариев или форумов, везде где из-за ошибок в CMS движках (а их, ошибок, достаточно много) можно установить ловушку. Какими могут быть уязвимости в системе, вы помните нашумевшую ошибку которую нашли в коде IE, после того как Микрософт опубликовала часть своих исходников? Заключалась она в неправильном использовании типа переменной (беззнаковое целое) в мат.вычислениях где возможны отрицательные значения. Из-за этого можно было устроить переполнение буфера и запуск кода внедренного в картинку (jpg, bmp и др.). Т.е. грубо говоря заражение можно было получить просто просмотрев специально поврежденную картинку. Что самое неприятно, эта уязвимость была не только в IE, но и в кодеках CGI+, WMI и т.п... а там DEP-ом от переполнения никак не защитишся. Это только один пример, про ошибку в обработке RPC пакетов службы DCOM я и говорить не буду, про порт 135 не знает только ленивый.
Другой пример - Stuxnet, обнаруженный летом этого года, использовал сразу 4-е уязвимости из-за которых мог пролезть в любую Виндовс систему, начиная с XP, достаточно было быть только подключенному к локальной сети. Особенно понравилась мне там уязвимость в службе сетевой печати, если служба включена - все, ты кандидат на заражение, по своей опасности сродни 135-у порту. Причем для 4-х уязвимостей Stuxnet-а заплатки были выпушены только для двух. А на ошибку в обработке ярлыков для XP заплаток не будет вообще! (см. тут - http://www.computerra.ru/vision/548561/ ).

Добавлено:
Denn29
я не совсем понял вашего вопроса? Если вы про проблему с мю-торрентом, то микрософт уже ее подтвердил и версия 2.0.522 должна ее исправить (я не тестировал, т.к. этой ошибки у меня не было). Если вы про проблему со звуком - и она также подтверждена, заключалась в том что антивирус слишком много времени проводил в DPC, чем и создавал проблемы звуковому драйверу (в версиях 2.0 она исправлена).

23W


Цитата:

Другой пример - Stuxnet, обнаруженный летом этого года, использовал сразу 4-е уязвимости из-за которых мог пролезть в любую Виндовс систему, начиная с XP, достаточно было быть только подключенному к локальной сети. Особенно понравилась мне там уязвимость в службе сетевой печати

Цитата:

Основной источник заражения - USB-накопители. У червя отсутствует какой-либо иной механизм распространения (например, по локальной сети).

JTI
Да, Stuxnet не использует Интернет для своего распространения (только по той причине что он нацелен на заводские системы управления производством, а те обычно отключены от инета). Но заражение через флешку - только начальная точка входа в локалку, далее вовсю работает распространение через p2p. Почитайте детальнее про этого червя, вы это найдете...
Сам факт отсутствие распространения через инет говорит о том что разработчики не ставили перед собой такую задачу, неужели вы думаете что тот кто реализовал в одном черве сразу 4-е эксплоита для zero-day уязвимостей не смог бы прикрутить заражение по инету ?

23W

Цитата:

Сам факт отсутствие распространения через инет говорит о том что разработчики не ставили перед собой такую задачу, неужели вы думаете что тот кто реализовал в одном черве сразу 4-е эксплоита для zero-day уязвимостей не смог бы прикрутить заражение по инету ?

И че им воровать в инете? Учет туалетной бумаги у домохозяек?
Против промышленного шпионажа никакие файрволлы и антивирусы не спасут.

Любой психолог знает, что человеком управлять проще всего, когда он испытывает чувство страха. Когда человек испытывает чувство страха, он ищет защиты. Ясно, что публикуя свои отчеты об окружающих нас и кишащих миллионах вирусов АВ-вендоры преследуют одну цель-продать свой не нужный товар, нагнетая атмосферу страха, чем больше страха , тем выше продажи АВ. Отчеты о тестах из той же категории. Мелкомягкие правильно сделали, включив NSE в апдейт, его возможностей вполне хватит для среднестатистического пользователя.

Riell
Нет, это означает что даже грамотный пользователь без хорошего антивируса на защищен от деструктивных действий. Если вы считаете, что антивирус - не нужный товар, что вы делаете в этой ветке ?
Не бывает среднестатистического антивируса, это как таблетки-пустышки - вроде и лекарства, но еще не лечат. Антивирус может быть либо хорошим, способным противостоять современным угрозам, либо плохим. Каким является MSE - решайте сами. Мелкомягкие проводят свою старую политику монополиста, пытаясь влезть в рынок антивирусов, т.к. предыдущие их платные поделки на хорошие антивирусы никак не тянули.

23W

Цитата:

антивирус - не нужный товар

Именно, антивирус - не нужный товар, его не нужно покупать, потому что бесплатные антивирусы не хуже.
Разговоры о том, что только платный антивирус может защитить - для лохов, лажаются одинаково, платные и бесплатные.

lucky_Luk

Цитата:

Именно, антивирус - не нужный товар, его не нужно покупать, потому что бесплатные антивирусы не хуже.
Разговоры о том, что только платный антивирус может защитить - для лохов, лажаются одинаково, платные и бесплатные.

Вот и я о том же.

23W
К чему вы здесь привели пример Stuxnet? Это скорее всего разработка спецслужб, а это значит, что те кто разрабатывал вирус имели доступ к коду операционной системы. И в этом случае не удивительно, что вирус использовал такое колличество уязвимостей сразу.

Цитата:

грамотный пользователь без хорошего антивируса на защищен от деструктивных действий.

Оборонятся от разаработок спецслужб с помощью антивируса - тоже самое, что пытаться уничтожить танк из лука...

Цитата:

Мелкомягкие проводят свою старую политику монополиста, пытаясь влезть в рынок антивирусов, т.к. предыдущие их платные поделки на хорошие антивирусы никак не тянули.

А как же семейство Forefront? MSE 2.0 = клиентский модуль от Forefront Endpoint Protection 2010.
http://www.oesisok.com/news-resources/reports/worldwide-antivirus-market-share-report%202010
Майкрософт, согласно статистике, контролирует около 10% рынка антивирусов.

Цитата:

Антивирус может быть либо хорошим, способным противостоять современным угрозам, либо плохим.

Средства защиты должны быть адекватны возможности нападения. Можно конечно и в булочную на БТРе ездить, опасаясь встретить хулиганов в подворотне. Но не проще обойти потенциально опасный участок стороной?
Ставить на свой компьютер монстра требующего наличия 2 гб свободной оперативной памяти я не буду. Зачем? Только чтобы защититься от гипотетической возможности подхватить неизвестного троянца?

Цитата:

Именно, антивирус - не нужный товар, его не нужно покупать, потому что бесплатные антивирусы не хуже. Разговоры о том, что только платный антивирус может защитить - для лохов, лажаются одинаково, платные и бесплатные.

С такой постановкой я согласен, я нигде не утверждал что только платные хороши. Например мне нравятся разработка Comodo в сочетании с их CIS и Дефендером+. Очень грамотная идея - все на месте. Но к сожалению еще сырое Avira - тоже не плоха, уделала MSE (см. график за прошлый год - http://virusinfo.info/images/vttesting/feb-mar_10.PNG) .

У MSE к сожалению странные проблемы (DPC, глюк с торентами), если учесть что MSE - наследие уже отработанных предыдущих антивирусов, то весьма странно. Больше смахивает на разработку нового.

Andrey100KZ
Стакс нет я привел как пример хорошо написанного вируса, да этот сделан скорее всего спец.службами, но я также приводил примеры и других уязвимостей которые трояны использовали во всю. Или вы читаете только про стакснет? Так уязвимость в обработке DCOM RPC так же небыла известна пока не появились трояны ее эксплуатирующие, и переполнение буфере при обработке картинок и т.д. и т.п. Или все эти вирусы тоже спецслужбы писали ?


Цитата:

семейство Forefront...

ужасный антивирус. что-то мне подсказывает что MSE это не просто клиентская оболочка для движка Forefront, и движки тут таки разные. Хотя сигнатурная база, да - общая.


По поводу доли рынка у MSE, что-то мне кажется что нарисованные там данные, про долю в США еще поверю, но не по всему миру или Европе. Хотя судить не берусь. И кроме того, что там показано? что бесплатеные антивирусы лидирую, вот мелкомягкие и пытаются их выбить с рынка своим бесплатным продуктом.

23W


Цитата:

Так уязвимость в обработке DCOM RPC так же небыла известна пока не появились трояны ее эксплуатирующие

Заплатка, закрывающая эту дыру вышла за полгода до появления Бластера. Попали те, кто по совету друзей не пользовался Windows Update и не ставил обновления системы. Горе-специалистов, пропагандирующих принципы "С сайта майкрософт качается сплошное зло" и "Я сам знаю что мне надо устанавливать", поимели первыми. Те, кто был поумнее, и ставил заплатки по мере их выхода, даже не почесались. Хватит уже страшилки рассказывать.

23W

Цитата:

У MSE к сожалению странные проблемы (DPC, глюк с торентами), если учесть что MSE - наследие уже отработанных предыдущих антивирусов, то весьма странно. Больше смахивает на разработку нового.

Если вы о OneCare, то тот проект умер. Хотя онлайновая его составляющая до сих пор работает. MSE же делает другая команда разработчиков, та же что и Forefront.

Цитата:

ужасный антивирус. что-то мне подсказывает что MSE это не просто клиентская оболочка для движка Forefront, и движки тут таки разные. Хотя сигнатурная база, да - общая.

на MSE 2.0 штатно ставятся лангпаки от FEP2010RC. Затем язык интерфейса можно изменить правкой реестра. в GUI это пока не предусмотрено. О чем это говорит? Именно чуть подправленная оболочка. И вы наверное удивитесь, но все антивирусные продукты МС используют один и тот же движок и базы. Кстати почему ужасный? У меня в конторе с 2007 года стоит, постоянно флешки подчищает за всякими там касперскими...

Цитата:

Или вы читаете только про стакснет?

Да не только... Уязвимости, они были, есть и будут, также как как и использующие их вирусы... Что теперь компьютером не пользоваться? Или менять антиврусы по три раза на неделе, прочитав новую рекламу или просмотрев результаты очереного "теста"?

Цитата:

Avira - тоже не плоха, уделала MSE

вы до сих пор верите этим тестам???

Вот у меня иногда бывает так что когда закрываешь все окна и выходишь на рабочий стол то иконки на рабочем столе все обесцвечиваются и потом медленно-медленно восстанавливаются.При выключенном антивирусе такого бага нету.Никто не знает как вылечить ?