Pull to refresh
20
0
Александр @bugaga0112358

Безопасник-практик

Спасибо за такой развернутый ответ.
Когда никто не знает, я использую статистику с учетом количества используемых сервисов.

Хотя бы так:
kaspersky critical vulnerability
norton critical vulnerability
windows critical vulnerability
mssql critical vulnerability
Там имеется ввиду, что периметр защищается одним продуктом, сервера другим, а рабочие станции — третьим. Снижается вероятность пропустить вирус.
Вот! А формулировка была именно такой. О том и вопрос.
Решил просто узнать, может, что-то поменялось в этом мире, пока я на два года немного отдалился от администрирования.
Я вижу, что вы судите не так категорично, как ИТ-менеджер из топика, поэтому считаю ответ на мой вопрос полученным.
Мы уже начали обсуждать конкретные ситуации и взвешивать плюсы и минусы, а значит, вы согласны с подходом, предлагаемым мной.
Спасибо.

P. S. По поводу вашего вопроса… Естественно надо взвешивать все «за» и «против». Может, ваша инфраструктура вполне готова жить без антивируса, я ее не вижу, поэтому не могу однозначно ответить на ваш вопрос.
Ключевая фраза «при правильной настройке». В рамках данного вопроса не обсуждается насколько гарантированно «правильно настроено» разрешение на запуск программ.
А если кто-то где-то накосячил при «грамотной настройке»? Всегда ли можно полагаться только на одно решение? Не зря ведь даже на дверях квартир устанавливают более одного замка…
Смотря что подразумевается под «рулить».
Если это подключение по RDP с запретом маппинга дисков клиента и буфера обмена, то нет видимых путей занесения заразы.
А если админ может закинуть туда файл, то это сможет сделать от его имени и какая-нибудь автоматизированная штука, о которой он может не знать. Вот здесь есть видимый путь.
Плюс никто не мешает нам настроить антивирус таким образом, чтобы исключать из сканирования файлы баз данных. Незачем их мучить.

Или вообще какой-нибудь контроль целостности приложений развернуть и отказаться от антивируса (если бюджеты позволяют).
Я ж для примера. Я знаю, что БД бывают разные: черные/белые/красные.

Просто если рассматривать проблему комплексно, то, например, я не хочу, чтобы БД, развернутая на винде, остановилась по причине того, что на этой самой винде начали отваливаться экземпляры svchost с характерными сообщениями (а я такое видел, причем на 2008-й винде) =)
Это вопрос компетентности безопасников.

Безопасники должны не только требовать, но и помогать, и обучать. В одной компании, еще до внедрения политики смены и сложности паролей, я периодически делал рассылку, где в простой бытовой форме рассказывал о способах генерирования сложных, но легко запоминающихся паролей. Вы знаете, эффект был потрясающий. Даже без принуждения.

Плюс такие вещи надо рассказывать новым сотрудникам на их испытательном сроке.
Да и вообще, надо быть поближе к рядовым пользователям и знать их проблемы. И решать их =)
Я еще номера протоколов знаю =D

Последствия проектирования сегментов (с целью, кстати, снижения рисков вирусного заражения) =) Просто с номерами вопросы и утверждения воспринимаются однозначно =)
Вы имели ввиду «на сервере БД, к которому есть доступ только по портам БД (1433, 3306 и т.п.)»?
На моей практике все, куда есть файловый доступ (445, 3389 с маппингом дисков и т.п.) рано или поздно начинает требовать время администратора на очистку от всякой дряни.

Просто я подумал, что за два года, в течение которых я занимался меньше системным администрированием и больше — безопасностью, что-то поменялось )))) Решил уточнить у сообщества. Потому что заявлено было в лоб и без тени сомнения.
В топике речь идет о категоричности суждений: мне было однозначно заявлено, что антивирусов на серверах быть не должно. Без оговорок.
Спасибо, дополню пост.

Считаю, что в этом случае (говоря о DNS на винде) антивирус не нужен в случае:
1) если сервер в отдельном сегменте
2) доступ к нему есть только по порту 53

В противном случае что-нибудь да может прилететь, а после — уже не будет доверия этому серверу.
В любом случае, в вашей задаче мало входных данных.
Странно, кстати, что несмотря на такое качественное совпадение, хабр не отображает упомянутые статьи во врезке «Похожие посты».
Ну формально Ваше высказывание никак не противоречит цитате =) «Рано или поздно» можно истолковать и как «наверное, в следующей жизни...» А «попадет на стол» != «алгоритм будет восстановлен».
При этом запуск скриптов таким способом вы не запретите, так как wscript.exe находится в системном каталоге, а не на съемном носителе.

Information

Rating
Does not participate
Location
Алматы (Алма-Ата), Алма-Атинская обл., Казахстан
Registered
Activity