» Как лучше обеспечить защиту компьютеров

Здравствуйте, собственно вопрос изложен в названии темы есть небольшая сеть - 8-10 компьютеров, в которые входят 2 сервера, шлюз и просто компы пользователей, так вот, как лучше и надежнее защетить эти компьютеры от вирусов и сетевых атак? что поставвить антивирус на каждый комп - это понятно, но есть ли еще какие-то решения с минимальными затратами и максимальной надежностью

Минимальные затраты и максимальная надежность - вещи взаимоисключающие. Для начала необходимо продумать работу и защиту шлюза и серверов. Настроить права доступа внутри сети. Выход в инет организовать через прокси с фильтрацией и проверкой потока. Пользователей желательно тоже ограничить в правах на своих компах, чтобы не вздумали отключать антивирус для более быстрой работы, включать автозапуск на флешки для удобства и качать из инета всякие бары и ускорители.

вот я и обращаюсь за помощью, как продумать эту защиту сервера...а с ним и всез компов)))

golkiper89
Что-то мне кажется, точных ответов Вы не получите, так как очень расплывчато формулируете проблему. Может, немного конкретнее зададите вопрос?

kerberosV5
куда конкретней-то тупо - как защитить сервер и компьютеры сети? примерам, советам конкретных действий буду очень благодарен

По конкретней:
На шлюз поставить FreeBSD ( или др *nix) + Squid + (SquidGuard или DansGuard + можно прикрутить списки от Adblockplus ) + ClamAV + настроить под себя фаервол ipfw (iptables).
Далее, какие функции будут выполнять сервера и на какой ОС?

2003 сервера один - 1с другой файловый

На файловом можно поднять и настроить Active Directory и осуществлять управление всеми пользователями через домен. На всех серверах желательно установить и настроить фаерволы (запрет всего + правила разрешения).
На счет установки и настроек, то про это уже смотреть в соответствующих темах.

все в домен. пользователи не должны иметь админиские права, плюс блокировка usb портов - либо специализированными программами, либо тупым отключение в биос
желательно поднять отдельную станции с прокси (лучше на nix,iptables+squid), один из ее интерфейсов соединить с шлюзом, другой с локальноый сетью

на виндовых компах ставлю Shadow Defenger
и настраиваю исключения из общих правил защиты.
в данном свете возможно работать вовсе без антивируса..

На десятке компов (который подразумевает десяток людей, которые с ними работают) особого смысла городить огород с блокировкой флешек и доменом не вижу.
Раздавать интернет из-под NAT'a, на машины поставить какой-нибудь трендовский OfficeScan. Плюс отключить автозагрузку с флешек. Еще настроить автобекап всего важного и трудновосстанавливаемого. Собственно, после этих шагов можно чувствовать себя в относительной безопасности, по крайней мере, от внешних угроз (c 10 cотрудниками настраивать технические методы защиты от внутренних не особо оправданно.)

FSB37
оправдано и еще как
а если убрать у пользователей админские права и доступ на внешнии носители - то вы еще больше обезопасите себе
ЗЫ
для 10 пользователей можно и не строит домен, но права ограничить все равно нужно

FSB37

Цитата:

c 10 cотрудниками настраивать технические методы защиты от внутренних не особо оправданно

Не все так считают Внутренний опасен враг

Добавлено:
или вот (я от этой фразы торчу): Forget about Internet crackers, employees are the biggest security problem for most businesses.

golkiper89
тебя спасет встроенный брандмауер - читай статьи о Непотопляемом сервере.

хех, спасибо ребята за информацию

golkiper89
есть у меня бюджетный вариант: 10 компов + один сервак инет раздает.

У пользователей есть права админов, но вырублены через devicelock все устройства, также этим пользователям запрещено ходить в инет, и нет возможности записи в папку Windows.

Брандмауер везде включен и настроен на вхоядищие по определенным (нужным мне) портам (для пущей безопасности).

У пользователей, которые имеют доступ в Инет на всякий случай стоит каспер (ну давно используется - в основном для скана HTTP трафика). На NAT запрещен выход на домен CN = чайна + закачка EXE файлов. Сделал такое правило, так как именно с этого домена приходят вирусы, хотя загрузчики могут висеть на любом другом (еще были случаи с доменом UA, но это Рунет порезал сразу).

Вариантов притащить вирусы из дома = нет, из инета - вероятность есть и даже были случаи получения вирусов в TEMP, или еще куда, но в систему не попадают - каспер их при след. включении гасит. Все фиксируется в логах.

см. подпись.

adjuster
тоже не плохо
но я бы права админские все равно ограничил - даже если и вирус прорвется, без прав админа очень сложно систему повалить

Цитата:

без прав админа очень сложно систему повалить

не важно какие права у пользователя - важно стоит ли запись в папку Windows, или только чтение - это единственная дыра в виндозе.

adjuster
извини - но это бред
с админскими правами поменять права не особо проблема
да и доступ к системным процессам в любом случае есть

Админские права - зло! И это написано почти в каждой доке. Определение и разграничение прав - это то что нужно сделать в первую очередь. Никто не замечал нововведений в Windows Vista - 7, когда каждое действие требующее админа нужно подтверждать даже с правами админа? В Linux при установке сразу предупреждают, что работа от root'а не безопасна, так же и в винде. Пользователь с правами админа в сети - зло для всей сети.

resetsa

Цитата:

извини - но это бред
с админскими правами поменять права не особо проблема
да и доступ к системным процессам в любом случае есть

да и пусть - все равно включить через devicelock порты не получится, а на KWF -отдельная учетка - так что пользователи (читать админы на своих компах) инфу не смогут вытащить.

viknull

Цитата:

Админские права - зло!

ты читал, что у меня подписи написано? - или тупо пробежался по теме и обсирать начал?
прекрасно знаю, что админские права - это не есть гуд, но если пройдетесь по ссылке и прочитаете все подробно, а не бегло - то будет ясно какие преимущества и где используется эта система.

ЗЫ: там же и про UNIX упомянуто - читаем, разбираемся и прекращаем флудить.

adjuster
Я никого и не обсирал. Но зачем пользователю права админа, хоть убей, понять не могу. Если в организации стоит только лицензионное ПО, зачем давать пользователям возможность что-то устанавливать или менять в системе? При том, что через AD можно все что угодно заблокировать и CD и USB Flash и настроить разрешения дополнительные для пользователей. Я за то, что настраивать так: Запрет всего + исключения. (Т.Е. Все пользователи работают с правами пользователя + необходимые разрешения) Так проще прикрыть все дырки.
P.S. В данной конфигурации нормально работают все необходимыые нам программы (Solid, PCAD + полный набор офисных, включая Консультант Плюс и т.д.)
P.P.S. А что лучше, скорость первоначальной настройки и потом поиск что нахимичили пользователи или первоначальная трудоемкая настройка и более надежная система, это каждый сам решает.

Цитата:

Но зачем пользователю права админа, хоть убей, понять не могу

Например - Citrix клиент старых версий (вплоть до 9, если память не изменяет), 1С Предприятие торговые конфигурации (для работы с торговым оборудованием) работают только с админскими правами. Наверняка есть и другие

kerberosV5
И для этих прог нужны полные права админа? Невозможно найти каких именно прав и на чего не хватает?
В 1С вроде хватало просто полных прав на каталог с БД + на запись в определенные ветки реестра.

viknull
Вы работали с торговым оборудованием в 7.7?

Работаем с оборудование не через 1С, фискальные аппараты, различные табло и оборудование доступа, проблем с правми нет. С 1С думаю тоже можно разобраться в чем дело (может нужен и переход на новую версию, как с Citrix клиент)

adjuster
хозяин - барин,
да и бывают исключения
ЗЫ
но в принципе я согласен с viknull

viknull
Какое к черту AD на 10 компов??!!! Вы что??!!!


Цитата:

Невозможно найти каких именно прав и на чего не хватает?

Возможно - и даже уже все настроено.

Но не могу я директору урезать права - он меня уволит!!!

Прекращайте молоть ерундой

adjuster
предлагаю больше не спорить - смысла нет

Цитата:

Но не могу я директору урезать права - он меня уволит!!!

и буху тоже нельзя - зарплату платить не будет и манагеры обычные обидется и уборшица убирать не будет ... )))

На старом месте работы стояла схема
Девайс Лок на юзерах, админские права отсутствуют, локальные политики запрещают изменения и установку чего бы то ни было.
На отдельных машинах еще ставил Етокен, для контроля за содержимым (теневое копирование данных плюс просмотр,что было В комп принесено, если девайсу давали добро) плюс интернет был выведен в отдельную подсеть и отдельные рабочие станции.
Автозагрузка флешек выключена, дисководы закрыты на биос, который запаролен плюс девайс настроен с белым списком принтеров, на всякий случай..
И ведь все равно были умельцы, где лайв сиди работал..
ну так 300 машин)
Файер кстати выключал, политиками все гасилось, первым делом убирали..