Вот! А формулировка была именно такой. О том и вопрос.
Решил просто узнать, может, что-то поменялось в этом мире, пока я на два года немного отдалился от администрирования.
Я вижу, что вы судите не так категорично, как ИТ-менеджер из топика, поэтому считаю ответ на мой вопрос полученным.
Мы уже начали обсуждать конкретные ситуации и взвешивать плюсы и минусы, а значит, вы согласны с подходом, предлагаемым мной.
Спасибо.
P. S. По поводу вашего вопроса… Естественно надо взвешивать все «за» и «против». Может, ваша инфраструктура вполне готова жить без антивируса, я ее не вижу, поэтому не могу однозначно ответить на ваш вопрос.
Ключевая фраза «при правильной настройке». В рамках данного вопроса не обсуждается насколько гарантированно «правильно настроено» разрешение на запуск программ.
А если кто-то где-то накосячил при «грамотной настройке»? Всегда ли можно полагаться только на одно решение? Не зря ведь даже на дверях квартир устанавливают более одного замка…
Смотря что подразумевается под «рулить».
Если это подключение по RDP с запретом маппинга дисков клиента и буфера обмена, то нет видимых путей занесения заразы.
А если админ может закинуть туда файл, то это сможет сделать от его имени и какая-нибудь автоматизированная штука, о которой он может не знать. Вот здесь есть видимый путь.
Я ж для примера. Я знаю, что БД бывают разные: черные/белые/красные.
Просто если рассматривать проблему комплексно, то, например, я не хочу, чтобы БД, развернутая на винде, остановилась по причине того, что на этой самой винде начали отваливаться экземпляры svchost с характерными сообщениями (а я такое видел, причем на 2008-й винде) =)
Безопасники должны не только требовать, но и помогать, и обучать. В одной компании, еще до внедрения политики смены и сложности паролей, я периодически делал рассылку, где в простой бытовой форме рассказывал о способах генерирования сложных, но легко запоминающихся паролей. Вы знаете, эффект был потрясающий. Даже без принуждения.
Плюс такие вещи надо рассказывать новым сотрудникам на их испытательном сроке.
Да и вообще, надо быть поближе к рядовым пользователям и знать их проблемы. И решать их =)
Последствия проектирования сегментов (с целью, кстати, снижения рисков вирусного заражения) =) Просто с номерами вопросы и утверждения воспринимаются однозначно =)
На моей практике все, куда есть файловый доступ (445, 3389 с маппингом дисков и т.п.) рано или поздно начинает требовать время администратора на очистку от всякой дряни.
Просто я подумал, что за два года, в течение которых я занимался меньше системным администрированием и больше — безопасностью, что-то поменялось )))) Решил уточнить у сообщества. Потому что заявлено было в лоб и без тени сомнения.
Считаю, что в этом случае (говоря о DNS на винде) антивирус не нужен в случае:
1) если сервер в отдельном сегменте
2) доступ к нему есть только по порту 53
В противном случае что-нибудь да может прилететь, а после — уже не будет доверия этому серверу.
В любом случае, в вашей задаче мало входных данных.
Ну формально Ваше высказывание никак не противоречит цитате =) «Рано или поздно» можно истолковать и как «наверное, в следующей жизни...» А «попадет на стол» != «алгоритм будет восстановлен».
Хотя бы так:
kaspersky critical vulnerability
norton critical vulnerability
windows critical vulnerability
mssql critical vulnerability
Решил просто узнать, может, что-то поменялось в этом мире, пока я на два года немного отдалился от администрирования.
Мы уже начали обсуждать конкретные ситуации и взвешивать плюсы и минусы, а значит, вы согласны с подходом, предлагаемым мной.
Спасибо.
P. S. По поводу вашего вопроса… Естественно надо взвешивать все «за» и «против». Может, ваша инфраструктура вполне готова жить без антивируса, я ее не вижу, поэтому не могу однозначно ответить на ваш вопрос.
А если кто-то где-то накосячил при «грамотной настройке»? Всегда ли можно полагаться только на одно решение? Не зря ведь даже на дверях квартир устанавливают более одного замка…
Если это подключение по RDP с запретом маппинга дисков клиента и буфера обмена, то нет видимых путей занесения заразы.
А если админ может закинуть туда файл, то это сможет сделать от его имени и какая-нибудь автоматизированная штука, о которой он может не знать. Вот здесь есть видимый путь.
Или вообще какой-нибудь контроль целостности приложений развернуть и отказаться от антивируса (если бюджеты позволяют).
: черные/белые/красные.Просто если рассматривать проблему комплексно, то, например, я не хочу, чтобы БД, развернутая на винде, остановилась по причине того, что на этой самой винде начали отваливаться экземпляры svchost с характерными сообщениями (а я такое видел, причем на 2008-й винде) =)
Безопасники должны не только требовать, но и помогать, и обучать. В одной компании, еще до внедрения политики смены и сложности паролей, я периодически делал рассылку, где в простой бытовой форме рассказывал о способах генерирования сложных, но легко запоминающихся паролей. Вы знаете, эффект был потрясающий. Даже без принуждения.
Плюс такие вещи надо рассказывать новым сотрудникам на их испытательном сроке.
Да и вообще, надо быть поближе к рядовым пользователям и знать их проблемы. И решать их =)
Последствия проектирования сегментов (с целью, кстати, снижения рисков вирусного заражения) =) Просто с номерами вопросы и утверждения воспринимаются однозначно =)
Просто я подумал, что за два года, в течение которых я занимался меньше системным администрированием и больше — безопасностью, что-то поменялось )))) Решил уточнить у сообщества. Потому что заявлено было в лоб и без тени сомнения.
Считаю, что в этом случае (говоря о DNS на винде) антивирус не нужен в случае:
1) если сервер в отдельном сегменте
2) доступ к нему есть только по порту 53
В противном случае что-нибудь да может прилететь, а после — уже не будет доверия этому серверу.
В любом случае, в вашей задаче мало входных данных.
habrahabr.ru/post/174221/ — упомянутое исследование