Почему писать скрипты для борьбы с «браузером Амиго» — зло?

    Прочитав пост про удаление ненужного софта мне в который раз стало очень грустно. Автор предлагает «эффективное решение» по избавлению от всякого нежелательного софта, вроде упомянутого «амиго». И если некоторые части скрипта еще можно назвать, ну хотя бы безвредными, то удаление и запрет на запись "%username%\AppData\Local\Apps" выглядит как откровенный саботаж. Плохо еще и то, что такой или аналогичный по механике «полезный скрипт» некоторые всерьез считают действенной мерой. Это далеко не первая статья, от которой у меня сводит скулы, вижу что многие не понимают с чего вообще нужно начинать настройку безопасности в Windows-среде.

    Представляю читателям мое видение списка минимально необходимых настроек и действий (в первую очередь для Windows-домена), чтобы никогда не видеть непонятных браузеров и свести риск вредоносного ПО к абсолютному минимуму. Некоторые описанные решения могут показаться спорными, и мало того, они таковыми и являются. Но заранее прошу, увидев первое предложение какого-то пункта, не спешите писать комментарий, прочитайте мысль до конца, возможно у вас отпадут вопросы.

    Конечно я наверняка видел этот самый Амиго несколько раз, но исключительно на домашних машинах пользователей, а вот как выглядит вспомнить не могу.

    Пункты отсортированы по степени важности и первоочередности если вы вдруг решите последовать примеру. Для вас может быть странным такой выбор последовательности, но это мое мнение, основанное на собственном опыте. Я опишу обязательную основу, без которой все остальные действия будут бесполезными. И помните, безопасность и удобство чаще всего находятся на разной чаше весов.

    0) Всегда сначала думать головой. UPD. Этого пункта не было в изначальной версии поста, но мне здраво объяснили, что часть рекомендаций может быть даже вредна в той или иной ситуации. Не следуйте безрассудно каждому хау-ту и туториалу, грамотно взвешивайте все за и против, оцените риски. Возможно, время на восстановление инфраструктуры или ее узла будет в разы менее затратно, чем внедрение и поддержка жестких мер по обеспечению безопасности. Но к подавляющему большинству Windows-пользователей в организации советы вполне применимы.

    1) Файловая система NTFS. Вряд ли вы ожидали увидеть ее на первом месте, но это так. Почему-то этот пункт абсолютное большинство просто пропускает. Это основа безопасности Windows. Если у вас где-то в организации остались Win98, я вам искренне сочувствую. Всегда очень ответственно относитесь к настройке NTFS-прав. Например, к startup-скрипту требуется доступ по чтению только учеткам «Компьютеры домена», так и выдайте по чтению только им. Помню случай в одной конторе, когда в каталог \\domain.ru\NETLOGON у всех был доступ на запись. Кто именно принес заразу уже не выяснить, но эпидемия была эпичной.

    Если на Windows 7 вы по непонятной причине используете FAT, то идите пишите скрипт удаления Амиги.

    2) Отсутствие прав администратора у ВСЕХ, от слова совсем, включая генерального. В первую очередь это может быть крайне сложного реализовать именно из-за организационного противостояния, но надо уметь доказывать. Мне это удалось, на примере самых опасных вредоносов — шифровальщиков. Кому охота стать причиной массовой эпидемии зашифрованных данных и в лучшем случае спровоцировать длительный простой связанный с восстановлением данных из бекапа, а в худшем попасть на серьезные бабки и вероятность безвозвратной потери данных? Никому не охота, генеральному как раз в первую очередь, а все остальные пойдут паровозом. Кстати, ИТ-специалисты тоже, но об этом ниже.

    Следующий аспект связанный с ограниченными правами — некоторый софт хочет писать не в профиль юзера, а в каталог установки. В первую очередь, решите, а нужен этот софт вообще? Если сильно нужен, например это бухгалтерия, то придется поколдовать. Любой, повторяю, любой софт можно заставить работать под юзером. Иногда достаточно просто разрешить права на какой-то ини-файл конфигурации, а иногда придется взять в руки «ProcessMonitor» и скрупулезно, по шагам выяснять, че ж очередной кривой заразе надо для нормальной работы.
    Если вы первым делом после установки отключаете UAC, то пишите скрипт удаления Амиги дальше.

    3) Актуальная версия Windows. Уже вполне очевидный момент. К сожалению, ХР закончилась, но все еще продолжает работать на крупной доле станций по всему миру. Я понимаю, что не все могут позволить переход на современную ОС по разным причинам — финансовым, техническим, или даже организационным. Но к этому нужно обязательно стремиться. Нужно избавляться при первой возможности. Мне в этом плане, можно сказать повезло, удалось унифицировать парк десктопов одними семерками. Под актуальной версией ОС я понимаю, в том числе, наличие последних обновлений. Это обязательное правило. Некоторые могут возразить, что обновления ломают систему. Раз в год и палка стреляет, это верно. Но что мешает обкатывать новые апдейты на 10-15% парка ПК в течении нескольких дней? Это несколько замедлит деплой обновлений, но позволит протестировать до основного вывода в продакшен.

    Если вы вторым делом после установки ОС выключаете Windows Update, то не отвлекайтесь от скрипта для Амиги.

    4) Постоянная поддержка софта в актуальном состоянии. Лично я слишком ленив, чтобы руками обновлять пользовательское ПО и слишком беспокоюсь о возможных проблемах, чтобы оставлять пятилетние версии продуктов. Все точно так же, как и с пунктом выше. Это может показаться сложным, но я устал уже повторять, есть бесплатное решение на базе LUP, WSUSPP позволяющее разворачивать любой софт средствами WSUS. Один раз разобраться и наступает счастье, ничего сложного. Есть, программы, например Unreal Commander версии 0.96, который не умел корректно писать данные о версии в реестр и по умолчанию пытался вставать в корень системного диска. Такую прогу правильно поддерживать через LUP не выйдет. Ну ничего, можно потратить чуть-чуть времени и обернуть софт в собственный инсталлятор. Кстати, с версии 2.x UC исправился, можно ставить из коробки.

    Если вы разворачиваете софт при первой установке, вместе со ZVER DVD, то прошу прощения за потраченное время, Амиго ждет!

    5) Политика ограниченного использования программ (SRP). Мощнейший инструмент обеспечения безопасности. Фактически, единственное средство для борьбы со всякими Мейлрушечками и прочим. Как и любой другой инструмент, требует времени на изучение и реализацию, но оно того стоит. Принцип прост — т.к. у пользователя нет админских прав он не может писать в системные директории. Далее, вы запрещаете запуск программ отовсюду, кроме %WinDir%, %ProgramFiles%, %ProgramFiles%(x86). Теперь, если юзер в сладостном предвкушении качает и пытается запустить очередной оптимизатор реестра, его ждет болт. SRP регистрирует попытки несанкционированного запуска в evenlog, что может помочь для отладки ошибок запуска некоторого ПО. А самая мякотка не в этом.

    SRP — это инструмент, способный противостоять неизвестным вирусам, или тем, которые пропустит антивирус. «Письмо из налоговой» не зашифрует все базы 1с к чертовой матери, юзер просто не сможет запустить вложение «Накладная №1231233 от 26.10.2015.doc.exe». Кстати, я в курсе про Applocker, но он физически отсутствует в ХР, а функционал почти идентичен. Сейчас у нас нет машин ниже 7ки, но исторически существует SRP и что-то переписывать смысла не вижу.

    Если для вас это слишком сложно, то допишите в скрипт удаление «Спутник.Мейлру»

    6) Антивирус. Вот так скромненько, в середине списка. Я давно не считаю АВ-средства панацеей. Но и не отношусь к радикально настроенным АВ-хейтерам «работаю без антивируса 5 лет, все супер». Звучит как «никогда не пользовался презервативом, все супер!» А я бы на их месте сходил в кожвен, ну и за одним с ЛайвСД камп проверил. Антивирус должен быть и работать. Актуальный, с обновляющимися базами, централизованной админкой и отчетами. Последнее полезно, в плане выявления злостных юзеров, постоянно приносящих вирусы на флешке и посещающих подозрительные сайты. Сделать таким а-та-та.

    Если для вас «антиврус зло и замедляет компьютер», то… отложите скрипт для Амиги. Сходите к венерологу.

    7) Про админские права Админа. Если вы залочили все до такой степени, что без вашего ведома юзер и пер чихнуть не может, пора найти бревно в своем глазу. В какой-то момент я понял, что являюсь, по сути главной дырой безопасности. Да, я вполне компетентен, чтобы не ползать куда попало и не запускать что попало, но про «палку и раз в год» уже писал выше. Принял решение работать под юзером и обнаружил, что права админа лично на мой комп нужны редко, а для входа на компы пользователей просто запускаю тот же Unreal Commander под отдельной учеткой. Кстати. Заведите отдельную группу «Локальные Админы» и включите в группу «Администраторы» на клиентских машинах. Не надо к юзерам ходить под тем же админом домена. Для админки серверов используется терминальный доступ. Если это КД — то вход осуществляю под Админом Домена. Если это какой-то сервер 1с, то просто под админом того сервера. Пароли должны быть везде разные и пусть их запоминанием занимается какой-нибудь хранитель задниц KeepAss KeePass

    Если регулярная необходимость ввода пароля доставляет вам дичайшие неудобства, то тут очередная петросянка про Амигу.

    8) Работа с пользователями. Тоже важный аспект. Стоит провести профилактическую беседу, почему, например, вводить учетные данные для прокси не надо, если окно ввода пароля появилось неожиданно и вы браузер не запускали. С учетом принятых выше мер компьютер это вряд ли заразит компьютер, но действия подозрительны и потенциально могут привести к утечке данных.

    Сюда же, в пункт про юзеров добавлю спорный момент о «политике паролей». У нас есть требования о длине и сложности пароля, но я не требую обязательной регулярной смены. Абсолютное большинство не имеет доступа из вне, а оставшиеся 2,5 юзера сидят через OpenVPN, и если уж у них «ушел» пароль, то он явно был не сбручен или перехвачен средствами MITM. В итоге, сложный, постоянно меняющийся пароль никак не поможет, если он перехватывается с домашнего компа через кейлоггер. С другой стороны, все остальные будут жутко мучиться каждый раз придумывая сложный пароль и чтобы не забыть, лепить его на стикере к монитору. За это можно бить, лишать премии и еще всячески измываться над пользователями, но в действительности это чаще всего не повышает безопасность. Нужно просто довести до юзера «никому не сообщайте свой пароль», ну и чтобы пароль не бы вида «1234567». Повторяю, момент очень спорный, но в моем случае доступа снаружи, кроме как через РДП в ОпенВПН, нет.
    UPD. Рекомендую осилить весь пост, а потом вернуться к грамотному комментарию от Sergey-S-Kovalev и прочитать веточку.
    Еще я никогда не понимал часто встречающееся мнение «Админов» — «ну юзеры тупыыыыыые». Да, бывают недалекие, бывают откровенно тупые, но таким ничего не поможет. Они тупые по жизни. Такие бегают через дорогу на красный и если огородить их от тяжких телесных невозможно, то от опасных действий за компьютером очень даже реально.

    Любите юзеров, они же как дети, несмышленые просто.

    Все, мне надоела Амига.

    9) Служебные учетные записи. Я стараюсь на каждую нестандартную службу делать свою ограниченную учетку. К примеру, серверу приложений 1с нафиг не нужны админские права где-бы то ни было. Генерим новую учетку, сохраняем в KeePass, вводим в 1с. Забываем эту учетку, до поры. Это относится к подавляющему большинству сервисов и служб. Иногда требуется чуть расширить права, но в любом случае это будет ограниченная учетная запись.

    10) Резервное копирование. Плавно подходим к прочим вещам, обеспечивающим безопасность данных. Указанные далее пункты уже не относятся исключительно к Windows-домену, но так же должны быть грамотно настроены. Если, не смотря на все усилия все пропало, или юзер сам себе злобный буратино, грохнул квартальный отчет, то ваша любимая система резервного копирования поможет все вернуть. Не важно чем вы пользуйтесь, важно, что бекапы есть и целостные, проверяйте это периодически в холостую. Кстати, бекапилке, чаще всего нужны права read only на защищаемых машинах, так что вспомните пункт выше. Сделайте ограниченную учетку, под которой сервис будет ходить по тачкам и забирать данные. Потом пробегитесь по этим тачкам и выдайте учетке резервного копирования права на чтение. Между тем, обратное тоже верно. К хранилищу бекапов доступ по записи должен быть только у той самой ограниченной учетки и больше ни у кого, от слова совсем. Читать, допустим, админам можно, а писать нет. В случае чего это убережет бекапы от тех же шифровальщиков.

    11) Централизованный мониторинг. В отличие от пункта выше — полноценный элемент безопасности. Вы обязаны четко представлять что у вас происходит в конкретный момент времени. Так же обязательно настройте аудит файловых серверов, поможет при разборе полетов.

    12) Правильная защита периметра. Шлюз, в котором вы хорошо разбираетесь, все внешние сервисы в DMZ. Не забывайте про WiFi. У нас он тоже в DMZ, необходимости доступа внутрь периметра нет. Кстати, лучше, если в роли шлюза будет выступать не какой-нибудь TI или UG.

    13) К следующему косвенному пункту я бы отнес использование «облачных сервисов». Тоже очень спорный момент, но попытаюсь объяснить почему я его решил упомянуть. К примеру, мы используем ПДД от Яндекса и нас это полностью устраивает. Собственный почтарь внутри или на хостинге был бы на порядок более гибкий, но моем случае необходимости в этом нет. И лишний собственный сервис мне ни к чему. К тому же, несмотря на опыт поддержки почтарей, я трезво считаю, что почта от того же Яндекса более надежна и лучше защищена от вирусов и спама, чем бы я сам смог настроить. Кстати, ДНС у нас тоже от Яндекса. Тот который «Безопасный» и ограждает от вредоносных сайтов, но позволяет заходить на redtube.

    14) Удаленный доступ. Старайтесь, по возможности, оборачивать доступ снаружи в VPN. Да, это менее удобно, но намного более безопасно, чем RDP голым задом на мороз.

    Вот в принципе и все. Это далеко не полный список, продолжать его можно бесконечно. Из основных моментов я бы еще добавил EMET (используем) и 802.1х для доступа к сети (не используем). Наверняка, я что-то забыл упомянуть из таких же «фундаментальных» вещей, пишите в комментариях.
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 201
      +13
      никогда не пользовался презервативом, все супер

      Вы сравниваете работу в среде Windows с незащищенным сексом? Смело )
        +9
        Нет, я хочу сказать, что даже презерватив не дает 100% защиту, а уж без него, так вообще может быть крайне опасно. Так же и с антивирусом. Это не панацея, а один из способов «контрацепции» ;)
          –13
          Ну если презерватив так необходим, почему бы не пришить его к детородному органу или заткнуть дырдочку намертво, чтоб никакая зараза не попала? (прошу прощение за «фи»)
            +3
            Я не готов пойти на такие меры, уж лучше как-нибудь по-старинке :)
              –3
              Вы ведь виндой детей делать не будите, а подхватить «венерические заболевания» можете, так почему бы не вшить средства защиты прямо в систему или не поправить ее так, чтобы они вообще не требовались? Не считаете это странным?
                +3
                Я потерял вашу мысль. Давайте отойдем от КВЗ. Средства защиты уже вшиты в ОС, но их надо правильно приготовить. В начале статьи у меня была оговорка, что удобство и безопасность зачастую противоположны друг другу.
                  –1
                  Вы же говорите, что лучше с антивирусом, чем без антивируса. Мне интересно, почему так?
                    +1
                    При прочих равных, в корпоративной Windows-среде с антивирусом лучше, чем без него. АВ-средство, один из рубежей защиты, далеко не первый, но местами действенный. Давайте не будем углубляться в АВ-холивар.
                      –1
                      Да какой тут холивар, мне просто интересно, не более того. Почему не вшить некоторое средство, которое делает работу с объектом более безопасной, прямо в объект? Ну это как минимум логично, не считаете?
                        +2
                        Так в современной винде антивирус «вшит». Он прилетает через Windows Update, если нет стороннего средства.
                          –1
                          То есть это все таки стороннее средство с автоматической установкой при первом update?
                            0
                            Да почему… Оставим в стороне качество и пр., но родной антивирус от МС — это microsoft security essentials. Прилетает через WU как рекомендуемое обновление, если винда не видит других средств. Так же к встроенным механизмам защиты относятся Windows Defender и «Средство удаления вредоносных программ»
                              –1
                              Под словом «стороннее» я подразумиваю, что это ПО устанавливается, а не является частью ОСи.
                                +2
                                А где проходит это грань — «часть ОСи» и «сторонее»?
                                  –3
                                  Все что требует инсталляции, есть «сторонее».
                                    +4
                                    Т.е. все апдейты ОС — это стороннее?
                                      –3
                                      Ок, давайте уточню терминологию — все что требует инсталляции и расширяет функциональные возможности системы сверх минимально-необходимых для функционирования ОСи.
                                        +4
                                        Минимально-необходимое — это ядро. Все что дальше — это уже не минимум. Тем не менее некоторые утилиты считаются частью ОС, хоть и работают в user space, а некоторые драйверы ядра — это вполне себе сторонниый софт, хотя и работает на уровне kernel.

                                        Так что тут нет четкой границы. Тем не менее, АВ работает на уровне ядра, по крайней мере его часть, но поставляться может отдельно. И в этом нет никакого криминала. Вообще нет смысла спорить, это часть ОС или нет. Важен его функционал, а не название и способ поставки.
                                          –1
                                          Минимально-необходимое — это ядро

                                          Верно, так что мешает запилить антивирус (или изменить ядро так, чтоб потребность в нем отпала) прямо в ядро? Без него ведь ядро «заболеет» и «умрет».
                                            0
                                            Вообще-то такие ядра уже есть. :) Это UNIX.
                                            Мало того, у Microsoft тоже была подобная ОС — Xenix — правда, быстро закончилась.
                                  +2
                                  Тогда по вашей логике все обновления ОС тоже будут «сторонними». Да даже если бы антивирь был встроен в родной установочный образ, то какой от него прок без обновлений, когда ему уже было бы почти 5 лет (в случае с Windows 7 SP1).
                                    0
                                    Мне интересен вопрос не встраивания антивируса в ОСь, мне больше интересно почему если для функционирования одной системы требудется другая система, но обе поставляются отдельно?
                                      +1
                                      Вы выше писали
                                      Почему не вшить некоторое средство, которое делает работу с объектом более безопасной, прямо в объект? Ну это как минимум логично, не считаете?

                                      Я указал, что 1) такая возможность есть и 2), смысла встраивать АВ из коробки нет, он устаревает с каждым днем.
                                      У нас ни одна софтина не ставится из собственной «говносборки». В нашу внутреннюю сборку входят только апдейты ОС и драйвера на сеть, сборка обновляется раз в 1-3 месяца для ускорения установки. Весь софт, драйвера и свежайшие апдейты прилетают через WSUS максимально актуальными.
                                        –1
                                        смысла встраивать АВ из коробки нет, он устаревает с каждым днем

                                        А что мешает его обновлять вместе с обновлениями ОСи?
                                          +1
                                          Вы не поверите, но все так и происходит :)
                                            0
                                            Почемуже, охотно поверю, но вопрос остается открытым: почему если для функционирования одной системы требудется другая система, обе поставляются отдельно?
                                              +1
                                              Вы не хотите меня слышать, видимо.
                                              Вместе они поставляются, просто по дефолту антивирь прилетает с обновлениями. Я писал:
                                              Смысла встраивать АВ из коробки нет, он устаревает с каждым днем.

                                              По вашему SSH в линухе поставляется вместе или отдельно? Если я на этапе установки не поставил тычку «OpenSSH server», Но потом вбил «apitude install ssh», то это «сторонняя» утилита, а если галку поставил, то «поставляется вместе»? Adobe Flash плеер — сторонняя утилита, а Microsoft Secutity Essentials — вполне себе встроенная. И то, что она на стоит из коробки — правильно, т.к. в любом случае 5-летний антивирь на необновленной винде врят ли чем-то поможет
                                                0
                                                Вы не хотите меня слышать, видимо.

                                                Возможно, а возможно и вы меня.

                                                Смысла встраивать АВ из коробки нет, он устаревает с каждым днем.

                                                А что мешает его обновлять вместе с обновлениями ОСи?

                                                Вы не поверите, но все так и происходит :)

                                                Так зачем же вы приводите это в качестве аргумента, если он обновляется и это не проблема?

                                                По вашему SSH в линухе поставляется вместе или отдельно?

                                                Без ssh в линухе вы не заболеете «венерическими заболеваниями».

                                                И то, что она на стоит из коробки — правильно, т.к. в любом случае 5-летний антивирь на необновленной винде врят ли чем-то поможет

                                                А что мешает его обновлять вместе с обновлениями ОСи?

                                                Вы не поверите, но все так и происходит :)

                                                Так обновляется он или не обновляется?
                                                  0
                                                  Обновляется, обновляется )))
                                                  Но в момент установки ОС, MSE вы не увидите. Прилетит со всеми обновлениями. Fess в принципе все верно сказал, эта же ерунда была с IE, когда МС обязали на 5 лет выдавть окно при запуске с предложением скачачать альтернативный браузер. Я же сознательно не стал упирать на ФАС и прочие ведомтсва, т.к. мы про техническую часть говорили.
                                                +1
                                                Есть такая организация: ФАС. Она считает, что втраивание АВ в винду убивает конкуренцию. И MS с этим согласно. При установке смотрит, есть ли АВ? Если нет, то предлагает воспользоваться бесплатной альтернативой. Всё просто. И, кстати, легко догадаться, если поднапрячься, а не долбить один и тот же вопрос в комментариях.
                                                  0
                                                  Ок, задам вопрос по другому. Представьте что появилось лекарство от рака. Его использовать можно двумя способами: либо вакцинировать детей, что позволит им не болеть раком никогда; либо каждый месяц вкалывать это средство микродозами, что позволит отсрочить заболевание еще на один месяц. Так же представим, что это лекарство производится тремя разными компаниями. Химический состав везде один, отличается только наклейка на шприце и стоимость. Если сравнить стоимость первого и второго варианта использования, второй выходит в десяток раз дороже и вы, как рационально-мыслящий человек решаете вакцинировать вашего ребенка, но внезапно узнаете, что вакцинация детей запрещена, так как ФАС считает это монополией и применение этого подхода обанкротит три компании, выпускающие вакцину. Более того, сами компании с этим полностью согласны. Как считаете, это нормально?
                                                    +4
                                                    Дочитав дискуссию до середины, удивился, насколько yosemity стрессоустойчив :) Но что ж, раз уж такая пьянка, давайте пофлеймим: Представьте, что появляется лекарство от рака. Его можно использовать сразу, что будет означать, что ваши дети больше не будут восприимчивы известным штаммам фируса. Или же можно обновлять каждый месяц, добавляя иммунитет к новым штаммам. Я выберу второе. И да, химический состав везде разный, но нацелен на борьбу с одними и теми же клетками, каждый выбирает своё.

                                                    А теперь про вторую часть: если не будет конкуренции — не будет качества. Останется один единственный антивирус — начнётся деградация качества, мол «аналогов-то нет, никто от нас не откажется». А вообще, какая вам разница, сколько компаний это производит? Или вы хотите получить серебрянную пулю за бесплатно?
                                                      0
                                                      Я написал Delphinum в личку, чтобы как раз не разводить флейм. И вроде бы он меня понял. Если захочет, выложит нашу небольшую переписку сюда, я не против. И да, я действительно спокоен, когда речь касается ИТ-среды. Я вот даже же ко всем юзерам снисходителен ))
                                                        0
                                                        Проблема здесь как раз в том, что ситуация такая, какой описал ее я, а не такая, какой описали ее вы.
                                                          0
                                                          Я не могу понять зачем данный вопрос задавать автору статьи? Автор описал по пункта меры по обеспечению информационной безопасности в корпоративной сети. Причем здесь вопрос почему встраивают почему не встраивают АВ. Это вопрос к поставщикам ОС и ПО.
                                                            +1
                                                            Мне сдаётся, всё же не совсем так. В поставки различных систем встраиваются регулярно различные средства защиты, которые вполне эффективны против старых и известных угроз. Чисто для примера — DEP или UAC. Антивирус же — это комплексное программное решение, адаптирующееся к новым угрозам быстрее самой системы, т.к. работает «поверх» неё и не связан кучей хаков и обратных совместимостей. Можно ли жить без него — можно. С ним безопаснее — да. А что касается честных или не очень методов конкуренции — тут все хороши, и производители систем, и производители антивирусов. Положительным результатом работы ФАС является защита конечного потребителя от навязывания услуги и возможность конкуренции, что двигает индустрию вперёд.
                                                              0
                                                              Первый объективный коммент в этой бессмысленной ветке.
                                          0
                                          В 10-ке Defender установлен по дефолту, изначально.
                                  0
                                  А вам встречались атаки, которые отловил бы антифирус, но пропустила бы грамотно настроенная винда?
                                    0
                                    Как таковые атаки нет, не встречались. Бывало наоборот. Просматривая логи, видел в отчетах SRP попытку запуска файла, начал разбираться, выяснилось, что файл был убит антивирем спустя аж три дня после получения по почте и соответственно попытки запуска. Если бы не SRP, все могло бы быть печально.
                                    Но тот же веб-антивирус ловит опасные скрипты и не дает ходить на левые сайты, что уже снижает риск словить 0-day. К тому, же я знаю как достаточно просто обойти SRP, но это должны быть 99% деструктивные действия со стороны самого пользователя. В этом случае антивирус очень даже может помочь, вряд ли злой юзер принесет и будет специально запускать неизвестный вирус.
                                    Да и, банально, если у юзера уведут его вконтактик, то пусть это будет не в корпоративной сети.
                                      0
                                      В этом случае антивирус очень даже может помочь, вряд ли злой юзер принесет и будет специально запускать неизвестный вирус.

                                      Помнится в детстве мне так сильно хотелось поиграть в новую игрушку, что я не обращал внимание на необходимость предварительной проверки дискеты антивирусом (тогда они еще не были сильно распространены и приходилось таскать дискеты к друзьям для проверки).
                                        0
                                        Я вот периодически спрашиваю разных людей, 0day вживую никто не видел. А может ну их нафиг эти антивирусы?
                                        SRP + Secunia PSI + AutoUpdate + не ставить не из официальных мест и безопасность будет такая же и без лишних ресурсов?

                                        Пока мне на это возразили что может приехать челоек из командировки с непропатченной вендой на ноуте и сразу после включения полезть в веб и словить свежак.
                                          0
                                          SRP можно обойти злонамеренно, при том достаточно тривиально. В случае отсутствия антивируса, зараза будет выполнена гарантированно.
                                            0
                                            В случае отсутствия антивируса, зараза будет выполнена гарантированно

                                            Вы не против, если я на эти слова буду ссылаться в спорах о безопасности ОСей семейства Windows?
                                              +1
                                              Не против, если вы будете ссылаться не на кусок, а на фразу целиком:
                                              SRP можно обойти злонамеренно, при том достаточно тривиально. В случае отсутствия антивируса, зараза будет выполнена гарантированно.

                                              Вот только почему именно ОСей Windows? Что, в другой ОС, запуская вредоносный код, пусть даже из под обычного юзера он не нанесет деструктивных действий? Да точно так же прекрасно выполнится, саму ось не убьет, а до данных так же легко доберется. Собственно как и в винде.
                                                0
                                                Вот только почему именно ОСей Windows

                                                Обычно споры о безопасности всегда касаются только этих ОСей. В чем причина, не знаю )
                                                до данных так же легко доберется

                                                И удачи ему в этом )
                                                  0
                                                  Я думаю, на настоящий момент причина в настройках по умолчанию, которые дают легко выполнять программы из неавторизованных источников + большая распространенность.
                                                    0
                                                    В этом, и еще в низкой компетенции и осведомленности пользователей.
                                              0
                                              Злонамеренно со стороны кого — узера или разработчика малвари (можете дать ссылку на способ обхода?)
                                              Можно ли воспользоваться чем-то кроме SRP для запрета запуска приложений из мест куда пользователь может писать (там же впроде в ACL есть право на исполнение)
                                                –1
                                                Право на исполнение из ACL может быть легко изменено владельцем файла.
                                                  0
                                                  Я так понял, заищаемся от ситуации запуска «Фактура.docx.exe» полученной по почте, а не от злонамеренного пользователя. Последний вполне может запустить афганский вирус на любой системе.
                                                  0
                                                  Юзер может обойти SRP. Вумный вирь тоже. Ссылку не дам:
                                                  Скрытый текст
                                                  По дефолту все могут писать в %Windir%\temp
                                                    0
                                                    А если запретить выполнять из temp? И еще как заставить браузер и почтовый клиент записывать что-то в temp?
                                                      0
                                                      Если запретить выполнять из Temp, часть софта не заработает. Надо придется разбирать каждый случай отдельно.
                                                        0
                                                        1) теоретически для такого софта можно сделать шим, который будет подставлять другую папку вместо temp
                                                        2) Ок. опустим мы разрешаем запись в temp — как мне, как автору вируса добиться чтобы мой выполнимый файл записался в tmp.
                                                          0
                                                          Я щас еще раз прикинул… Как вирусу записаться в темп без помощи пользователя, сходу сказать не могу.
                                                          0
                                                          Я помню один видеокодировщик, который для каждой группы кадров генерировал уникальный EXE-шник и запускал его… пришлось антивирус отключить временно чтобы хоть нормально докодировалось.
                                                            +2
                                                            Подозреваю, что такой кодировщик лучше выкинуть, благо их навалом.
                                                              –1
                                                              В генерацию кода в памяти я еще поверю (популярный трюк) — но чтобы EXE-файл генерировать и запускать… Это было сделано точно не для ускорения.
                                                                0
                                                                Как раз для ускорения кодирования, адаптивный алгоритм какой-то, что-то было написано про оптимизацию на уровне инструкций под конкретный процессор и содержимое кадра… один запуск небольшого EXE на 2-3 секунды работы это не такой уж большой оверхед. Короче, этот кодировщик после первого использования и выкинул.
                                                                А! Там еще писалось что кодирование можно было распараллелить и выполнять на N хостах, видимо за счет этого и достигалось распараллеливание.
                                                    0
                                                    Я видел дважды.
                                                      0
                                                      А можно деталей — в прошлый раз, когда разбирали такой случай, оказалось что предполагаемый 0Day лечится патчем, выпущенным за полгода до заражения.

                                                      А еще был ли он в сигнатурах антивирусов?
                                +1
                                Толково. Только как убедить «простых» пользователей, если даже АйТишники не все понимают необходимость подобных мер? (Вопрос риторический)
                                  0
                                  Простых юзеров не надо убеждать. Надо обеспечить им комфортную и безопасную среду с минимумом «прав на ошибку». К примеру, из браузеров мы поддерживаем Хром, Оперу, Лису ну и ИЕ само собой. Кто чем хочет, тот тем и пользуется и указанные программы всегда актуальны.
                                  Ниже список производителей софта, который поддерживается у нас. Под каждым пунктом может быть несколько приложений, при этом временные затраты на обновление минимальны. А если софт есть в MSI, то вообще чуть ли не далее-далее-далее-готово.
                                  Скрытый текст
                                  0
                                  15) Настроить KeePass на автоблокировку при сворачивании и смене пользователя
                                    –7
                                    UAC генерирует слишком много шума и спотыканий. Задумка хорошая, но пока он не станет поинтеллектуальнее, работать с ним уж очень неудобно.
                                      +7
                                      Лично у нас в работе пользователи иногда встречают запрос UAC только по двум случаям:
                                      1) от обновлялки хрома, она настырная, даже отключение службы гугл апдейт не помогает. Хотя, возможно они снова изменили название службы, надо будет проверить.
                                      2) юзер пытается залезть туда, куда не надо. Это абсолютно оправданное поведение UAC.
                                        0
                                        1) А вот это не работает?
                                          0
                                          Я знаком с тем, что конкретно у google есть встроенные механизмы обновления для корп. пользователей. Не использую по той простой причине, что создавать новую сущность только для обновления хрома смысла нет, тем более хром есть в msi из коробки
                                      –2
                                      Здорово написано, но искренне обидно за такие нападки в адрес того_кого_нельзя_называть.
                                      Самые жесточайшие малвари, на которые попадал, были азиатские.
                                      Вы и сами упоминает шифровальщики и прочую дрянь.
                                      Кидать на фоне этого камни в «обожемой, браузер установился» — по меньшей мере не объективно.
                                        +1
                                        Не понял о чем или ком вы говорите про «того_кого_нельзя_называть». А, Амиго, чтоль? Да фиг с ним. Я просто для примера привел, т.к. он упоминался в первоначальной статье. Яндекс.Браузер себя так же точно ведет, как и еще вагон такого софта. Мы В саппрт Яндекса даже писали, что, дайте же выбор, ставиться в %programFiles% и полноценно поддерживать в корп среде. Ответа не получили.
                                        Камни не кидаю, Амиго тут не при чем. Любой софт, который может встать «втихую» в %AppData% — это потенциалное зло. Дома — да пожалуйста, на работе — ни в коем случае.
                                          0
                                          Это вам не Яндексу нужно было писать а Дартаньянам из гугла решившим поговнокодить.
                                            +1
                                            А что не так у гугла? Хром прекрасно разворачивается в корп. среде и имеет нативный msi
                                              0
                                              Так установка бинарников в AppData это их «изобретение» и «правильный» способ установки и обновления насаждаемый всем потомкам Хромиума. Может они и молодцы, что делают нормальный установщик для тех, кому надо, но какого чёрта не исправят этот дефект глобально?
                                                –1
                                                Ну, их способ установки и обновления все же адекватнее того, что творит Java
                                                  0
                                                  JRE так же находится в msi. Запускаете exe и в «темпе» ищете файл установки, для обеих x32 и x64. Ранее, вместе с msi был отдельный «data.cab». Надо было оба файла в LUP добавлять.
                                                    0
                                                    Я не про msi, а про их автообновлятор. Который, найдя обновление, сначала выдает запрос UAC, после чего, получив права админа, тихонько и незаметно появляется в трее с просьбой обновиться. Рядовой пользователь даже не понимает, что обновление он не запустил (как так, я же «Да» нажал!)

                                                    В итоге, свежая версия джавы на компе обычного пользователя становится чем-то из области фантастики. А ведь достаточно было поменять шаги местами…
                                            0
                                            Некрокомментарий, но важный. Яндекс сильно исправился. Сейчас поддерживаю его в своей среде наравне со всеми и даже рекомендую дома. browser.yandex.ru/corp
                                            Удобная штука. Очень! Генерится msi с нужными настройками и дополнениями. Особенно меня радует наличие русейвфромнет из коробки, т.к. специфика работы коллег требует возможности скачивания видео с ютубчиков и прочих вконтактиков.
                                          0
                                          надо просто чтобы софт был сам себе песочницей, чем то средним как в android, и mac os.
                                          Только реализовать не через всплывающие сообщения. *
                                          * — ставили мы как то для сестры программку одну на сотовый. Так программа имитирует внешний вид родного установщика. и примерно на 50% установки начинает спрашивать всякую ересь. И для пользователя выход то только 1 — упорно нажимать на далее, вот только загвоздка в том что на 4-ый запрос выскакивает настоящее системное сообщение о предоставлении полного доступа для этой проги. Исход в общем то очевиден — hard reset.
                                            0
                                            Есть много этих всяких «надо, было бы, чтобы...» Но имеем то, что имеем и решать задачу повышения безопасности Windows-среды надо сейчас.
                                            +1
                                            по шагам выяснять, че ж очередной кривой заразе надо для нормальной работы.

                                            Насколько я знаю у MS есть тул для автоматической генерации шимов, прям в доку ткнуть не могу но где-то тут
                                              0
                                              Спасибо. Не был знаком с этим инструментом, посмотрю.
                                              +1
                                              Далее, вы запрещаете запуск программ отовсюду, кроме %WinDir%, %ProgramFiles%, %ProgramFiles%(x86).
                                              Хм, мне теперь без отладки программы писать?..
                                                0
                                                Поясните свой вопрос.
                                                  +2
                                                  Я скомпилировал программу. Как мне ее запустить, если админ запретил запуск программ всюду, кроме %WinDir%, %ProgramFiles% и %ProgramFiles%(x86)?
                                                    +2
                                                    Ответ прост — вы достаточно редкий случай в общей среде Windows-пользователей и подход должен быть соответствующий. Я не пытаюсь утрировать до фанатизма, везде есть исключения. В вашем случае, отладкой рекомендуется заниматься под отдельной учеткой, собственно об этом указано в статье, хоть и не применительно к разработчику.
                                                      +3
                                                      Отладкой надо заниматься под той же учеткой, что и разработкой. Просто потому что Студия иначе не умеет. Разве что удаленную отладку на своем же компьютере настраивать… И far manager надо запускать под этой же учеткой, потому что его я использую либо при разработке, либо при отладке.

                                                      И еще куча программ попадает в ту же кучу — ведь кроме разработки и отладки я ничем и не занимаюсь. Так что мне под «обычной» учеткой запускать тогда? Браузер? Клиент к СУБД? В этом есть смысл, но как это сделать так, чтобы не набирать свой пароль каждые 10 минут?

                                                      Кстати, иногда мы пишем программы для использования аналитиками. Что делать с ними?
                                                        +2
                                                        Повторюсь, везде есть нюансы, всех подводить под одну гребенку не надо. Но согласитесь, что ваш случай и аналогичные, при прочих равных исключение, а не правило. Если вам нужна Студия и far под админом — пожалуйста. Запустите под админом фар, из него студию, а так же любой необходимый софт, при этом пароль нужно ввести 1 раз, для far`а. А вот браузер как раз в обязательном порядке следует запускать с ограниченными правами.
                                                          0
                                                          А аналитикам надо тоже что-то компилировать?
                                                            –1
                                                            Им надо запустить программу, которую для них сделали программисты. Значит, нужен либо простой и понятный способ выпуска таких программ, либо опять нужны права на запуск полученных по скайпу файлов или файлов с сетевого диска.
                                                              +2
                                                              На выбор
                                                              1) Обратиться к администратору, чтобы он развертывал программы/организовал канал развертывания
                                                              2) Добавить ровно еще ровно одну папку куда можно писать программы и выполнять оттуда (тогда аналитик не заразится, случайно запустив «Фактура.doc.exe»)
                                                              3) [Не уверен что сработает] кажется в SRP было что-то про сертификаты — добавить свой в список доверенных
                                                              4) Если аналитики не склонны запускать «Фактура.doc.exe» сделать для них исключение, а полный запрет оставить только для секретарши и бабы Машы из бухгалтерии
                                                          +2
                                                          У нас в компании 3000 человек таких редких случаев?
                                                          Что делать компаниям, в которых основная деятельность — разработка?

                                                          В общем статья неплохая, но упоминание про амиго в конце каждого абзаца — не очень…
                                                            0
                                                            В общей доле рабочих станций по всему миру, ваши 3000 человек одних разработчиков (вы видимо крупная компания), как и среди прочих таких компаний — действительно редкий случай.
                                                            Про амиго — стеб, «на его месте мог быть каждый». Да и мне самому надоело к середине.
                                                              0
                                                              Но речь идет не о рабочих станциях по всему миру, а о рабочих станциях, которые настраивает один конкретный админ. И для этого админа половина советов могут оказаться вредными — а вы их так безапелляционно высказываете.
                                                                0
                                                                Вы правы, добавил пункт «0)»
                                                              +5
                                                              Мне кажется, если у вас админ исполняет не думая как скрипт содержание поста хабра, в любом случае у вас проблема :)
                                                            0
                                                            обычно для разработки есть своя виртуалка, которую хоть раз в день из образа на чистую разворачивай
                                                              0
                                                              И каждый день заново настраивать рабочее окружение?
                                                                0
                                                                А зачем? что мешает влить в образ все настройки, кроме паролей на сайты?
                                                                У меня так, например клонируются виртуальные машины — в образе зашито всё. 10 минут и садись, логинься, работай
                                                                  0
                                                                  Затем, что необходимые настройки могут меняться два раза в день, потому что являются такой же частью разрабатываемого проекта, как и код.

                                                                  Затем, что доработкой окружения могут заниматься несколько человек одновременно — как вы будете сливать изменения, внесенные в образ?

                                                                  Скрипты не предлагайте — на начальной стадии проекта вполне может быть ситуация, когда никто из команды не умеет писать скрипты для настройки требуемого окружения.
                                                                    0
                                                                    Необоходимые настройки чего? Сервера? Сервера БД? IDE? Проекта? Репозитория?
                                                                    Git/csv/svn/mercurial для трёх последних, с отслеживаением изменений как необходимое средство контроля «что там вообще происходит».
                                                                    Впрочем, на /home/$user или c:\Users\$user тоже можно распространить что git, что сетевой/перемещаемый доменный профиль в зависимости от ОС, не вижу проблем.
                                                                      0
                                                                      Необходимые настройки СУБД, шарепоинта, сторонней службы для работы с MQ, самой шины MQ, Talend…

                                                                      Впрочем, это я уже увлекся. На компах разработчиков стоят только первые два пункта. Но не беспокойтесь, второго пункта хватит на полгода непрерывных настроек и доработок…
                                                                        0
                                                                        Вы, видимо свалили в кучу рабочую станцию где нет ничего лишнего и машину где это все разворачивается и тестируется. У меня это чётко разделённые роли и рабочую станцию, как и тестовое окружение из шаблона можно развернуть достаточно быстро, как и продакшен, в общем-то. Но да, развлечений с SP хватит не на один год.
                                                                          0
                                                                          Во-первых, кроме тестирования есть еще и отладка. В том числе и пошаговая отладка, которая требует монопольного и быстрого доступа к окружению — поэтому его все равно понадобится разворачивать на рабочей станции (либо в виртуалке на рабочей станции).

                                                                          Во-вторых, студия требует, чтобы при разработке решений под шарик сам шарик был установлен на том же самом компьютере.

                                                                          В-третьих, образ виртуалки с шариком между офисами по VPN передается всю ночь (днем его передавать нельзя, потому что это помешает работе). Вы все еще считаете, что обновление этого образа два раза в день — такая хорошая идея? :)
                                                                            0
                                                                            Я считаю, что у каждого инструмента есть свои плюсы и минусы, и у каждого разработчика или компании может быть своя инфраструктура, под которую этот инструмент подойдет или не подойдет.
                                                                            В вашем случае не подошло, но не значит, что другим он не экономит кучу усилий.
                                                                            И дело даже не в том, у кого рабочее окружение продумано лучше или хуже. Все мы в поисках.
                                                        +3
                                                        Годный обзор на мой взгляд. Правда пара мелких неточностей есть :)

                                                        Пункт 1 — Windows 7 нельзя поставить на FAT/FAT32 раздел. Установщик вам не даст этого сделать и затребует NTFS.

                                                        Пункт 11 — Легко сказать, но трудно и дорого реализовать :) Включение аудита файловых серверов это только первый шаг. Парсинг событий вызовет взрывной рост лога и его частую ротацию, а их группировка займет у вас куда больше времени, и без стороннего софта с реалтаймом будет совсем все плохо.

                                                        Пункт 12 — Ну требовать что бы wifi был исключительно в dmz в современном мире это варварство. Просто разделяйте гостевые WiFi сети и корпоративные. Вторые должны работать по доменной авторизации и/или сертификатам.

                                                        Так же 8 пункт прокомментирую, поскольку логика автора не совсем полна. Обычно по требованию смены паролей делается акцент, мол если много пользователей с доступом через vpn и/или почтовый сервер доступен из вне и аутентификация на нем доменная то менять нужно относительно часто. Собственно по этой причине автор статьи не видит смысла менять пароли в своей инфраструктуре: vpn'щиков мало, почта на Яндексе имеет отдельную авторизацию и сдается мне что пользователи даже не знают паролей от своей почты. Но пароли меняются не только потому что, где то за периметром, есть злобные хакеры. Внутренние разборки и кулуарные игры могут иметь куда больший разрушающий эффект чем несанкционированный доступ от стороннего человека.

                                                        Если доступ к ресурсам завязан на доменной учётке и повсеместно используется SSO, то зная пароля коллеги, это позволяет творить от его имени страшные вещи. А пароль может утечь в силу очевидных и вполне часто встречающихся причин, когда пароль передают технарям для выполнения работ, коллегам для оперативного доступа к документам сохраненным на рабочем столе (потому что ты сорвался в садик к ребенку который там стукнулся об забор сильно, а отчет руководителю нужен прямо сейчас), передал пароль руководителю по тем же причинам, кто то мог подслушать пока пароль диктовали, либо поймать логику пароля, который у группы людей формируется на основе некоторого шаблона внутри коллектива, кто то кому то помог что-нить в базе учетной системы поправить, и т.д. и т.п.

                                                        Если пароль периодически не меняется принудительно, то вполне может быть ситуация когда, кто то накапливает пароли и в конфликтной ситуации использует потом это знание во вред организации.

                                                        Маленький дружелюбный коллектив, где все друг друга знают и совместно бухают на всех праздниках совершенно ничего не означает. Подлость некоторых людей не знает границ, когда они считают, что их незаслуженно обидели или ущемили их права.

                                                        Так что заставляйте менять пароль с периодичностью в 30-45 дней. Народ стал куда продвинутее чем 15 лет назад, и сейчас количество тикетов с забытым паролем ничтожно мало, по отношению к тому, что было в 200х годах.

                                                        И важен оперативный мониторинг неудачных попыток входа. Это позволяет взять на галочку некоторых сотрудников, а так же оперативно выявить ситуации, когда все становится плохо, как например было с kido.
                                                          0
                                                          Вы во всем правы, но я описал общие базовые рекомендации, которые могут быть максимально действенными. Причесывать можно бесконечно. Так же я старался не вводить неискушенных читателей в заблуждение и не перегружать не нужной до поры до времени информацией.

                                                          1) Поставить нельзя, использовать на разделах можно.
                                                          11) Виндовые файловые сервера действительно почти не реально отслеживать без сторонних средств, но я и не говорил обратного. Можно включить для начала аудит, а уж парсить когда понадится. Линуховую самбу — очень даже легко мониторить из коробки, по текстовым логам.
                                                          12) Полностью согласен, если есть необходимость. У нас ее просто нет, пусть все будет в DMZ.
                                                          8) По паролям вы во многом правы, но использование сложных паролей с постоянной сменой может принести и вред, из-за упомянутых стикеров. Дополню свой совет «никому не сообщайте свой пароль, при подозрении на компрометацию — меняйте.»
                                                            +2
                                                            | из-за упомянутых стикеров
                                                            Массовые стикеры говорят лишь о том, что пароли меняются слишком часто. Единичные, что у человека недостаток понимания, т.е. не выполнен полноценно пункт 8.

                                                            Стикеры народ клеит, ровно до первого инцидента. Инцидент можно сэмулировать совместно с отделом безопасности. Это безопаснее и дешевле чем ждать, когда случится ахтунг. Это избавит руководство от необходимости рубить головы и не деморализует коллектив. А еще это ооочень эффективно, сарафанное радио усилит эффект.

                                                            Слышал от коллег историю о подкидывании шифратора. Потерь ноль, простоя ПК жертвы минимум, последующая бдительность в коллективе относительно непонятных писем просто занебесная. Когда письма ИТшники, да ИБшник шлют с «Внимание, опасность!» это все хихи, а когда Ольга Викторовна чуть не лишилась всех документов наработанных за годы на её компе, а в месте с ними и работы, не говоря уже про штрафы для организации за отсутствие отчетности в установленные сроки, то каждый успевает почувствовать холодок где то внутри.

                                                            Социальная инженерия ж.
                                                              0
                                                              Не даром я упомянул пункт про работу с пользователями, но не рассчитываю на их сознательность и тем более компетентность. Если что-то можно решить техническими средствами, то нужно обязательно так и решать. Если требуются организационные, то и действовать соответственно.
                                                                +1
                                                                Ага. Особенно хорош совет, «о подкидывании шифратора» если есть головная организация или если утечет по почте, к партнерам или еще куда. Или просто найдется ответственный сотрудник и напишет в ФСБ. То-то там порадуются.
                                                                Да, к слову, с 90% вероятностью ваш «план проверки безопасности путем подкидывания» будет в уголовном деле основным отягчающим, доказывающим умысел. Кроме шуток.
                                                                  0
                                                                  Наверное надо подкидывать псевдошифратор который работает строго в домене организации и шифрует по XOR 1 :) или вообще не шифрует а только пугает.

                                                                  Кстати, если рекомендации автора выполнить, его заблокирует SRP — то есть это должна быть тренировка для админов скорее :).
                                                                    +2
                                                                    Да. И получить к «распространению» еще и «создание».
                                                                    Народ, будьте очень аккуратны в этой сфере. С точки зрения закона очень многие обыденные вещи выглядят совсем по другому. И это «по другому» с логикой и здравым смыслом ничего общего не имеют, поверьте.
                                                                      0
                                                                      Участие админов в данном тесте на позиции исследователей совсем не обязательно.
                                                                      Служба безопасности может это сделать и без их участия. Как следствие проверка не только адекватности пользователей, но так же и возможностей инфраструктуры по противостоянию актуальным видам атак, т.е. проверка как админы делают свою работу, и как ИТ начальники планируют и реализовывают ИТ инфраструктуру.
                                                                      0
                                                                      Самопал наказуем, это да.
                                                                      Я же говорю про пинтест с участием специалистов по информационной безопасности, и естественно с согласования руководства.
                                                                      Кастомный самосборный шифратор, который работает исключительно там, где должен работать.

                                                                      Ну уйдёт письмо к партнеру, а ему файл по ссылке из письма не доступен для скачивания,… и что? Повод надрать уши сотруднику, который отправил такое письмо не в мусорку, а куда то.

                                                                      Ну отправят в ФСБ/КГБ/АНБ/etc… ну придут. Ну спросят. А тут документально оформленный пинтест. И вне контролируемой среды шифратор не работает. И ущерба нет. Ииии?

                                                                      Поэтому все ваши страшилки про уголовщину, это элементарное отсутствие продуманного подхода к организации процесса.
                                                                        +1
                                                                        Вы внимательно читали мои комментарии?
                                                                        Я ничего не писал о профессионалах, которые занимаются пентестами. А написал, что:
                                                                        1. Просто написать и подкинуть кому-то шифратор — уголовно наказуемое деяние
                                                                        2. Правильное оформление такого рода тестов — крайне не простая вещь, требующая очень специфических юридических познаний и обычной логикой и простым прочтением УК тут не обойтись. Не правильно составленная бумага, о проведении такого рода тестов, с точки зрения логики являющаяся доказательством тестов — с точки зрения закона может стать доказательством умысла. Простой пример — вы ошиблись в коде. ПоXORрили реальные данные. Ваш же начальник вас этой же бумагой и утопит, чтобы прикрыть жопу от акционеров, сдав Вас в ФСБ.
                                                                        3. Собственно — мой коммент — предостережение от самодеятельных экспериментов в этой области.
                                                                          +4
                                                                          Следите за общей логикой моих рассуждений:

                                                                          1. До первых руководителей доводится необходимость пинтеста. Получается их согласование.
                                                                          2. Приказом создается рабочая группа для проведения пинтеста, где на каждую душу расписывается роль, все подписываются.
                                                                          3. Рабочая группа оформляет необходимую документацию.
                                                                          4. К какому нить фриварному легальному шифровальщику прикручивается обертка, которая заранее сгенерированным ключем шифрует файлы в приделах ПК. В обертке можно задать миллион правил, когда оно срабатывает, а когда нет, куда лезет, а куда нет.
                                                                          5. Недошифратор располагается на вебресурсе, доступ к которому есть только у сотрудников на которых производится тестирование. Хоть вплоть до индивидуальной одноразовой ссылки.
                                                                          6. Производится тестовое заражение. По результатам теста формируется документация подробно описывающая технологию заражения, риски.
                                                                          7. Высшее руководство по результатам тестирования согласовывает процедуру пинтеста.
                                                                          8. Пинтест производится, собираются результаты. Виновные наказываются, отличившиеся тоже.
                                                                          9. Доклад руководству, премия безопасникам, опыт сотрудникам.

                                                                          Внимание, Вам вопросы: Какое нафиг ФСБ? Какой нафиг начальник прикрывающий свою жопу бумажкой в которой он же и расписался? Какой ХОR, при заранее сгенерированном приватном ключе? Что за чушь вы порете?

                                                                          Внутри организации по согласованию первых руководителей можно удалить прям все, если они тебе приказ бумажкой дадут, ты выполнишь и никуда не денешься. Акционеры снашают исключительно первых руководителей.

                                                                          Недошифратор не является вредоносным ПО. Это внутренняя разработка компании с определенным функционалом, который реализуется только на сторого определенных ПК в этой компании. Причём тут ФСБ? =)
                                                                  0
                                                                  Поддерживаю точку зрения насчет паролей. Надо менять.
                                                                  А проблема забывания и стикеров с паролями сейчас решается просто.
                                                                  Я просто требую забивать пароль в мобилу. При мне. И сразу отбираю листик. Всё. проблема решена.
                                                                    0
                                                                    Норм. При каждой ротации пароля у пользователей, обходите каждого и контролируете запись нового пароля в мобилу? =)
                                                                    А пароль может быть записан только на один листик? =)
                                                                      0
                                                                      Я уже давно привык к такой практике, ставится какой-нибудь стандартный пароль «123456», например, и галочка «Сменить пароль при следующем входе в систему». Если пользователь забыл пароль, алгоритм выше.
                                                                        0
                                                                        т.е. требования к сложности пароля вы к пользователям не предъявляете?
                                                                          0
                                                                          Вы так говорите, как будто это политиками не задается.
                                                                            0
                                                                            Да в том, то и дело, что задается требование к стойкости пароля по умолчанию. А ваш стандартный пароль под эти требования не подходит. Т.е. у вас требования к стойкости отключены.
                                                                              0
                                                                              Ну выдам на бумажке какой-нибудь «12345Qw%», какая разница?
                                                                                0
                                                                                Разница. Разница в стойкости. Sergey-S-Kovalev об этом и пишет. При политике сложных паролей вы не сможете назначить «123456». Выдавайте всем при вступлении в должность как раз «12345Qw%»
                                                                        –2
                                                                        Есть отличное хардварное решение. Пароль меняется ежеминутно. Его кража через минуту уже не даст ничего. И на листиках хранить бессмысленно.
                                                                        Просто нужно с собой носить брелок с SecurID
                                                                        https://ru.wikipedia.org/wiki/SecurID.
                                                                          0
                                                                          Как будто SecurID украсть нельзя… Или вообще положить на системник сверху и так оставить.
                                                                            0
                                                                            Так вроде в этих брелках кроме всего прочего надо пин-код вводить.
                                                                              0
                                                                              Если крадут само устройство, звонишь и блокируешь аккаунт. Но ты при этом точно знаешь что у тебя украли доступ, и действуешь соответственно. Если же украли пароль, им могут пользоваться годами, а ты ничего и не узнаешь.

                                                                              Пин-код вводить не надо, но в принципе тоже можно замутить устройство с дополнительным кодом, чтобы дать время обнаружить что украли.

                                                                              Насчет положить на системник — это позволяет злоумышленнику не подсмотреть пароль и уйти, а пользоваться здесь и сейчас, потому что через минуту, этот пароль уже будет неактуален. То есть нельзя подсмотреть, поехать к себе домой и злоупотребить — нужно чтобы устройство было в доступности в момент ввода пароля.
                                                                        –2
                                                                        В принципе все правильно, но складывается впечатление, что автор работает в какой-то «стирильной» организации, где кроме 1С ничего нет. Да даже в этом случае, кто и как обновляет прикладное программное обеспечение. Вот ни за что не поверю, что у вас годами не обновляются шаблоны отчетов, запросов и т.д. Если автор не в курсе, то основной вредоносный код содержится не в экзешнике, а в скромненьком файлике (файликах), например, template1.dat, а экзешник всего-лишь создает процесс, загружает дат-файл в память, а потом передает управление скрытому коду (ну это так упрощенно). В таких случаях разницы между Windows 98 и 7 нет никакой, как и нет никакого смысла в ваших способах защиты — криптолокер словите за милую душу. Кстати, семерка тоже считается уже устаревшей с точки зрения безопасности. А вот про работу с пользователями — в самую точку. Я бы поставил это первым пунктом. Остальные пункты также важны, но важнее всего понимание угроз, которые на данный момент актуальны, а для этого нужно быть не только сисадмином, а еще и безопасником. Это отдельная специальность от системного администрирования, на которой в нашей стране экономят.
                                                                          0
                                                                          >>>Если автор не в курсе, то основной вредоносный код содержится не в экзешнике, а в скромненьком файлике (файликах), например, template1.dat,

                                                                          Это вообще про что? Не могли бы развернуть сценарий атаки? Как код из template1.dat получает управление?
                                                                            +1
                                                                            Прошу прощение, что неясно выразился. Не хотелось бы опускаться до конкретных примеров, потому как их придется долго описывать, объяснять «в чем тут прикол». В чем состоит уязвимость ПО? В том что разработчики не предусмотрели какую-то нестандартную ситуацию, при которой, например, (подчеркиваю, вариантов масса) приложение начинает выполнять код, находящийся в документе (запросе, по определенному адресу в памяти и т.д.). Мысль, которую я хотел выразить, состоит в том, что трояны — это необязательно экзешники, запускаемые из пользовательской папки.
                                                                            Ну для убедительности, как пример, сценарий атаки: бухгалтеру приходит вызов в суд в виде pdf-файла, он (бухгалтер, даже если это она) открывает этот файл. Создается новый процесс, который инициируется adobe reader, в котором есть уязвимость, позволяющая выполнить участок бинарного кода после определенной инструкции в документе pdf (еще раз повторю — это пример).
                                                                            Каким средством вы собираетесь избежать этой угрозы?
                                                                              0
                                                                              Каким средством вы собираетесь избежать этой угрозы?

                                                                              Вероятно, регулярным обновлением этого самого Adobe Reader. Ну и EMET еще может помочь от 0day.
                                                                                0
                                                                                Вы опять правы, но не совсем. Во-первых, надо понимать, что весь интернет, включая почту, является потенциально опасным. Точно также как при покупке автомобиля, надо осознавать, что он потенциально опасен, и в первую очередь для вас. Исходя из этого утверждения, обязательно надо объяснить всем пользователям почты, что «не все йогурты одинаково полезны». И первое, что должен сделать пользователь, работая с почтой, включить голову. Задайте вопрос бухгалтеру: «Может ли по электронной почте придти повестка в суд?». В 99,9% случаев это попадалово! А остальные 0,1% дурацкая шутка. Второй инструмент это «песочница». Как это сделать — это отдельная тема, но выводы из этого словоблудия совсем другие:
                                                                                1. первым (после сисадмина или безопасника) должен понять всю опасность ситуации руководитель организации;
                                                                                2. пользователи должны понимать всю опасность своей работы (можно и это поставить на первое место);
                                                                                3. на компьютере пользователя должны стоять только те программы, которые ему нужны (ну плюсом еще которые необходимы для обеспечения администрирования, безопасности и т.д.);
                                                                                4. если может произойти какая-то гадость, то почему вы к этому не готовы? Например, обновление — зер гут, автообновление — зер шлехт;
                                                                                5. и только вот тут будут какие-то технические средства.
                                                                                  0
                                                                                  Я не понимаю что вы хотите донести. Вы считаете, что описанные в статье меры не действенны?
                                                                                    0
                                                                                    Если в результате регулярного использования презерватива ваша подруга залетела есть много объяснений этому, например, с кем-то она занимается сексом без презерватива. Значит ли это что вы зря использовали презерватив? Нет не зря, но подруга все равно залетела.
                                                                                      +1
                                                                                      Хорошо, хорошо. Залетела. (Кстати, как вы узнали?)

                                                                                      Вопрос по теме топика все равно остается открытым
                                                                                        0
                                                                                        Честное пионерское, я тут не при чем. А если серьезно, то нельзя быть уверенным, что у тебя всё прикрыто. Для каких-то контор достаточно запретить запись в определенный каталог, а где-то нужно реализовывать защиту от инсайдерских угроз, включая журналирование печати на принтере. С помощью ваших рецептов можно защититься от многих угроз, но не от всех. Для кого-то и этого будет достаточно. Подводя итог, можно сказать, что ваши меры действительно эффективны, но есть еще ряд угроз, от которых они бессильны.
                                                                                          0
                                                                                          Несколько раз упомянул в топике и устал повторять в комментариях. Я описал основу, минимально необходимый набор. Естественно это не панацея от всех бед, но это то, с чего чаще всего стоит начинать.

                                                                                          P.S. Я пошутил, нет у меня девушки. Жена не разрешает =(
                                                                                0
                                                                                Этот пример — из жизни? Был ли обновлен Adobe Reader?
                                                                                  0
                                                                                  Вот так я и думал: приведу пример и 100% получу вопрос на тему «Как это сделать?». Если вас это интересует, то почему бы вам не найти эту информацию в интернет? А если хотите дальше пребывать в состоянии уверенности полной защиты, то мне вас не переубедить.
                                                                                    0
                                                                                    Я разве спрашиваю как это сделать? Я спрашиваю пример из жизни или из головы выдуман. И была ли закрыта уязвимость в Adobe Reader — т.е. оно сработало из за кривых рук администратора, или 0day действительно так распространен, что с ним есть большая вероятность встретиться, если вы не иранская ядерная программа.
                                                                                      0
                                                                                      Я же ясно сказал — это пример. Только вы положите руку на отсечение, что это не возможно?
                                                                                        +1
                                                                                        Примеры бывают реально случившегося и умозрительные. Нам не надо делать, чтобы такое было невозможно. Нам надо сделать, чтобы вероятность этого была такова, что для атакующего вероятнее получить то же самое терморектально.
                                                                                          0
                                                                                          Этим и отличаются сисадмины от безопасников
                                                                                            0
                                                                                            Интересно посмотреть, какой в вашей организации регламент противометеоритной защиты.
                                                                                              0
                                                                                              Не поверите — резервное копирование!
                                                                                                0
                                                                                                Не поверю — во-первых, там наверняка про метеориты ничего не написано (этак и я могу обозвать это антивирусом) — а во-вторых, а если они попаут во все резервные копии?
                                                                                                  0
                                                                                                  Если вас это действительно интересует, а не просто постебаться, то наводнения, землетрясения, народные гуляния и прочее относятся к форс-мажору, то есть действиям непреодолимой силы (по определению от них защититься нельзя, но можно снизить потери при их возникновении). Дальше, я думаю, пояснять не стоит, что именно написано.
                                                                                                    0
                                                                                                    Нет, я именно постебаться. Просто делать дверь из броневого листа в квартире с тонкими стенами немного смешно.
                                                                                                      0
                                                                                                      Вы абсолютно правы: стоимость защиты не может превышать стоимость защищаемых данных. Ну а резервные копии вполне адекватный ответ нашествию зеленых человечков, тем более и от пожара может сгодиться.
                                                                                                        0
                                                                                                        Я не про стоимость защищаемых данных, а про существование альтернативных путей обхода защиты.
                                                                                                        Дверь -> Антивирусная политика
                                                                                                        Стены -> Терморектальный криптоанализ
                                                                                                    0
                                                                                                    Для таких ситуаций используется резервное копирование в облако или в электронный банк. А для организаций, у которых есть несколько собственных офисов в разных локациях, просто перекрестное копирование. Основная суть — резервное копирование за пределы помещения.

                                                                                                    На прошлой работе мы использовали электронный банк. Нечасто, но регулярно по определенной процедуре заливались бэкапы в банк, который гарантировал хранение нашей информации в защищенном от внешнего воздействия датацентре.
                                                                                                      0
                                                                                                      Вопрос резервного копирования в облако уже не раз поднимался. Я продолжаю настаивать, что такой подход является самой большой дыркой в безопасности — практически все ваши данные хранятся незнамо где и без всякого контроля доступа.
                                                                                                      Поясните, пожалуйста, чем ваш электронный банк отличается от обычного облачного хранилища?
                                                                                                      Датацентр защищен от внешнего ФИЗИЧЕСКОГО воздействия (и то, вы это не проверите), но это не означает, отсутствие внешнего доступа. Это как лечение кашля пургеном, не находите? В качестве примера, была совсем недавно статья с фотографиями про «студенческий» датацентр.
                                                                                                        0
                                                                                                        Так шифрование же. Данные в облаках обязательно должны быть зашифрованы.
                                                                                                          0
                                                                                                          Шифрование это хорошо, но это если размер резервных копий, позволяют хранить в облаке. А то некоторые личности любят делать резервные копии всего диска всех систем, вместо резервных копий данных. Одним словом в некоторых случаях это хорошо, но это не универсальное решение.
                                                                                                          0
                                                                                                          Электронный банк это датанцентр, с которым есть договоренность об обеспечении и физического хранения и определенного уровня безопасности. И это как раз включает в себя отсутствие лишнего внешнего доступа, кроме как уполномоченным людям.
                                                                                                          В нашем случае взять то, что мы положили в банк по сети было невозможно — необходимо было в случае проблем приехать лично за носителем.

                                                                                                          Собственно проект использовался в крупной компании, которая хотела себя обезопасить на случай, если мы вообще исчезнем по какой-то причине. Таким образом, в случае разрыва отношений между нами и заказчиком, заказчик после определенной процедуры мог получить исходники продукта, который мы для него разрабатывали и найти другого «подрядчика», но до выполнения этой процедуры, ни мы ни заказчик взять то, что мы туда уже положили не мог.
                                                                                                          Электронные банки весьма гибкие, если платишь ;)

                                                                                                          Ну и как верно сказали, в облако или в электронный банк можно класть уже шифрованные данные.
                                                                                  +2
                                                                                  Я работаю в крайне «нестерильной» организации — телекомпания.
                                                                                  Про dat-файл не врубился. Какая разница в каком файле содержится код? Его надо выполнить, а указанные в статье средства запрещают выполнение левого софта.
                                                                                  Windows 7 не считается устаревшей, она на поддержке и будет таковой еще 4 с лишним года.
                                                                                    0
                                                                                    Выполнение софта они запрещают а не кода. Этот самый .DAT файл может оказаться плагином приложения, по сути перемаркированным DLL. У приложения есть права на запуск, оно запускается подтягивает плагин и запускает код находящийся в нём…
                                                                                    Это может быть и не DLL, а собственный формат файла, в котором находится код предназначенный для выполнения.
                                                                                      +1
                                                                                      Так я это и написал, по сути. Надо же сначала запустить софт, который выполнит левый код. Я собственно такой подход сам использую для кастомного лаунчера Miranda.
                                                                                        0
                                                                                        Ну так адоб ридер запускается, вы сами разрешили его выполнение. А то что он решил сам выполнить часть непонятного файла как код — на это повлиять уже довольно сложно.
                                                                                          0
                                                                                          Все верно, но речь о том, чтобы сначала выполнить этот код. Если вы посмотрите выше по ветке комментариев, то поймете, что речь о уязвимости в продукте/системе не идет.
                                                                                          Точно так же можно словить VBS в «плохом» .xls, который наделает делов.
                                                                                  0
                                                                                  В какой-то момент я понял, что являюсь, по сути главной дырой безопасности

                                                                                  В этом-то и фишка всех основных концепций безопасности постороенных на иерерхии прав.
                                                                                  в добавление к софтверному закрытому периметру надо иметь и физически существующий периметр безопасности — либо комната без доступа посторонних или по крайней мере сейф или тайник.
                                                                                  на самом деле любая безопасность — неважно софтверная или физическая — это задача увеличения времени для противника для преодоления препятствия — чтобы было время посидеть-подумать-принять решение и потом противодействовать. а противодейтвовать может только человек.
                                                                                    0
                                                                                    Прочитал статью. В принципе согласен с автором во многом. Мне пришлось принять меры в домене, а точнее запретить запуск любых программ с любых мест, кроме как из Windows и Program Files, плюс у всех ограниченные учетки. А то пользователи любили Tor настолько, что откуда только его не качали и куда только его не спихивали. От Tor'a только так и избавились
                                                                                      +1
                                                                                      SRP — это инструмент, способный противостоять неизвестным вирусам, или тем, которые пропустит антивирус. «Письмо из налоговой» не зашифрует все базы 1с к чертовой матери, юзер просто не сможет запустить вложение «Накладная №1231233 от 26.10.2015.doc.exe».


                                                                                      Разрешены ли в вашей настройке SRP запуск программ c:\windows\system32\cscript.exe и c:\windows\system32\wscript.exe, а также программы c:\windows\system32\cmd.exe? Я встречался с троянами в виде скриптов JS и BAT.
                                                                                        0
                                                                                        Просто запустить левый bat-ник или JS-скрипт не выйдет, это дефолтное поведение. Разве что выполнить специально обход SRP который достаточно просто реализуется, если знать как. Это уже чистой воды внутренний саботаж.
                                                                                          0
                                                                                          Там есть список разных расширений, которые считаются исполнимыми js и BAT среди них

                                                                                          image
                                                                                          0
                                                                                          Как автор предыдущего поста буду оправдываться: 90% того что вы написали у нас используется, все доведено мной до автоматизма и совершенства. Если внимательно читать мой пост и комментарии, то можно понять что дело происходит в школе, где рабочему контингенту кроме одного браузера и ворда требуется самостоятельно устанавливать некоторый софт, вы не поверите по сколько дисков со старыми программами хранится у наших учителей (который просто так не скачать), и все ими пользуются. И дабы не обламывать их с такими установками, права настроены особым образом. (При штате в 400 человек ставить всем в индивидуальном порядке невозможно). Так что ситуация в моем случае специфична, и использование spr будет крайне неудобным. Вот и вышла статья, в которой я не углублялся в подробности, а лишь дал общее представление как об одном из способов для решения проблемы. Насчет каталога apps скажу — опять же в нашем случае там не хранится абсолютно ничего необходимого для работы — проверил почти все 500 машин. Ведь если бы по правилам нашей организации было запрещено пользоваться чем либо кроме ослика — и в мой черный список попал хром, меня бы тоже заминусовали? Голова на плечах есть у каждого, и как пользоваться увиденной информацией решать каждому. Это как рассуждать о том что кроме пузырьковой сортировки есть и более выгодные в отдельных ситуациях алгоритмы, и ничего кроме пузырька использовать нельзя/плохой тон (для примера привел)
                                                                                            +1
                                                                                            Лично я вас не минусовал и перед собственной публикацией даже выждал чтобы срок голосования за топик кончился, во избежание так сказать. Я объяснил в начале своего поста почему ваше решение может бы вредным при прочих равных.
                                                                                              0
                                                                                              Спасибо что дождались, честно говоря не ожидал такой реакции от сообщества… в общем вы внесли здравый смысл за меня)
                                                                                              0
                                                                                              1. нельзя ли развертывать программы скриптами?
                                                                                              2. нельзя ли сделать так, чтобы пользователи не могли запускать программы не из чего кроме дисков?
                                                                                              3. нельзя ли вести реестр доверенных сертификатов и позволить запускать программы только подписанные ими?
                                                                                              4. сколько раз в день эти пользователи устанавливают свои программы?
                                                                                              5. нельзя и скопировать диски в фалопомойку и ставить оттуда?
                                                                                                0
                                                                                                1. Все что массовое развертываю через sccm
                                                                                                2. Нельзя, есть не только диски но еще программы с курсов повышения квалификации, которые скачиваются, и прочий мусор которым им приходится пользоваться раз в год
                                                                                                3. За зарплату бюджетника нереально
                                                                                                4. Много. На 1 админа и 2 эникейщиков, и 500 голов в 12 зданиях очень много.
                                                                                                5. У всех разные, повторы случаются крайне редко.
                                                                                                  0
                                                                                                  Пока приходят в голову такие варианты:

                                                                                                  1) Завести папку с именем «Сюда я переписываю программы которые мне действиетельно нужноустановить для работы, и пусть я подвергнусь групповому изнасилованию своими товарищами, если я запишу сюда что-то еще» и пусть он может выполнять только оттуда
                                                                                                  2) Всякий одноразовый мусор развертывать на виртуалку
                                                                                                  3) Давать права на установку «раз в год» на ограниченное время по заявке с указанием обоснования

                                                                                                  И еще, как получается, что они ловят агента, но не ловят шифровальщиков.
                                                                                              +2
                                                                                              Не знаю, откуда такой смешной троллинг про антивирусы и патчи выше, но если бы 80-90% администраторов да даже в крупных компаниях придерживались этих правил — площадь возможной атаки со стороны уменьшалась бы на порядок!!!

                                                                                              Очень хорошая статья.
                                                                                                +1
                                                                                                Согласен. Когда у нас закупили лицензии на Win8, решил сразу же отстроить GPO так, чтобы не запускать js, bat, и запускать программы только из Windows и Program Files. Ессно правила разнятся для многих людей, кому-то нужны bat'ники, они в отдельной группе. В общем после таких вот правил резко увеличилась стабильность всего парка ПК в целом, а это порядка 400 ПК по всем филиалам. Ну и про шифровальщики забыли. Антивирусы стоят, но они максимум отлавливают бяку на флешках
                                                                                                0
                                                                                                В первую очередь это может быть крайне сложного реализовать именно из-за организационного противостояния, но надо уметь доказывать. Мне это удалось, на примере самых опасных вредоносов — шифровальщиков.
                                                                                                Но ведь отбирание прав администратора от шифровальщиков не спасает… Вирус замечательно зашифрует всё, до чего сможет дотянуться, и под обычным пользователем.
                                                                                                  +1
                                                                                                  Если следовать всем советам из этой статьи, то он просто не запустится.
                                                                                                  0
                                                                                                  Я бы про антивирусы всё-таки поспорил… Я чисто как домашний, не корпоративный пользователь, внесу свои 5 копеек. Ни разу не подхватывал вирус уже с 2011-2012 года (при том, что сайты посещаю довольно разные и особо себя не ограничиваю). Работаю только под админом. Считаю, что антивирусы действительно очень сильно тормозят работу системы, особенно Касперский.

                                                                                                  Собственно, мои правила:

                                                                                                  Никогда не запускаю экзешники, скачанные с сайтов, обещающих бесплатный софт, и весящие подозрительно мало;
                                                                                                  Не скачиваю никакие вложения с почты (хотя я таких уже и не видел сто лет, спам иногда приходит, но без вложений);
                                                                                                  Если по глупости запустил что-то, и понял, что это малварь — тут же снимаю процесс через диспетчер задач, пока он на стартовом экране установки висит;
                                                                                                  Если гадость уже установилась — поиском нахожу все недавно созданные exe файлы через Total Commander, смотрю название файла, каталог размещения, всё, что не выполняется и является зловредом или мусором — убиваю, то, что в данный момент выполняется — пытаюсь остановить и затем убить. На крайний случай, если после остановки зараза перезапускает саму себя — у меня на той же машине ещё две ОС стоит более новых версий, в случае чего, можно зайти и удалить зловреда из-под них.

                                                                                                  И ещё раз повторю, я за 4-5 лет всего 2-3 раз попадал в ситуацию, что запустил какой-то файл, и он нагадил. И даже в этих случаях зловред не убил ОС полностью.

                                                                                                  Если бы у меня стоял антивирус, он бы произвёл быстрое лечение с перезагрузкой (потому что, скорее всего, я бы всё равно временно отключил защиту ради запуска интересного экзешника, который на тот момент казался не очень опасным), и это сэкономило бы немного времени, но куда больше этого времени я бы терял каждый день, получая тормоза от его фоновой работы. Игра не стоит свеч, имхо.
                                                                                                    +1
                                                                                                    Александр, простите, Ваши методы устарели и стали неэффективными где то в 2005-2007 годах, просто потому что:
                                                                                                    — Уязвимости в браузерах и веб компонентах позволят скачать, установить и запустить зло на Вашем компьютере, совершенно без Вашего участия. Это может быть легальный, регулярно посещаемый Вами сайт, в движке которого нашли дыру и сайт взломали, а на Ваш браузер еще не вышло обновление.
                                                                                                    — Вирусня может запускаться не только через EXE файлы, а атрибуты файла меняются столь легко, что этот метод поиска через ТС выглядит просто издевкой над здравым смыслом. Хотя если у меня ребенок накодит вирус в Скратче, я думаю Вы таким методом сможете его поймать :)

                                                                                                    | Ни разу не подхватывал вирус уже с 2011-2012 года
                                                                                                    | И ещё раз повторю, я за 4-5 лет всего 2-3 раз попадал в ситуацию, что запустил какой-то файл, и он нагадил.
                                                                                                    А эти 4-5 были до 2011-2012? Или у Вас генерация истории жизни не учитывает параметры предыстории, что вызывает впоследствии логические конфликты.

                                                                                                    | у меня на той же машине ещё две ОС стоит
                                                                                                    Все, я уверен, что Вы в 2005. Советую копить деньги, и через четыре года начать покупать биткоины и ждать когда они будут по 1200, тогда сбрасывайте, как будут меньше 100 покупайте на все, затем ждите второй половины 2017, когда будет по $20к сбрасывайте. Дальше инфы пока нет. А еще у нас сейчас используют резервное копирование и WinPE, это что то вроде LiveCD/DVD у Вас там, но покомфортнее. Про домашнюю виртуализацию, снапшоты/чекпоинты я вообще пока молчу.

                                                                                                    | Игра не стоит свеч, имхо.
                                                                                                    Указанным Вами правилам точно следовать не стоит. Не учите людей плохому.

                                                                                                    И не обижайтесь, Вы домашний пользователь полный предрассудков и мифов без взвешенного взгляда на ИТ технологии. Сейчас Ваш ПК заражают не для того что бы Вам нагадить (ну за исключением шифровальщиков или вайперов), а для того что бы на Вас заработать (рассылка спама, часть ботнета, майнинг), или у Вас украсть (платежные, банковские реквизиты, контакты для социнжиниринга). Поэтому все для Вас будет максимально незаметно.
                                                                                                      0
                                                                                                      Шифровальщики, собственно, тоже преследуют цель заработать. При чем достаточно умны чтобы грузить систему грамотно.
                                                                                                        0
                                                                                                        После череды эпидемий и широкого резонанса, уже только совсем ленивые не имеют внешнего жесткого диска куда скидывают то, что считают ценным. Самая последняя моя встреча с шифровальщиком выглядела так:
                                                                                                        Шифровальщик
                                                                                                        From: andrei.ukr@openmailbox.org [mailto:andrei.ukr@openmailbox.org]
                                                                                                        Sent: Wednesday, December 13, 2017 7:23 AM
                                                                                                        To: Приемная
                                                                                                        Subject: Важно!!!

                                                                                                        ПЕРЕДАЙТЕ ПИСЬМО ТОМУ КТО ИМЕЕТ ВАЖНОЕ ЗНАЧЕНИЕ В ВАШЕЙ ОРГАНИЗАЦИИ!!! Меня зовут Андрей я хакер, который может серьезно испортить жизнедеятельность вашей организации. Вы потеряете буквально все – доходы, работу, репутацию и спокойную жизнь.
                                                                                                        Скажу честно, что вышел на вас я очень просто – у меня есть некоторые связи по которым я узнал, что ваша организация прибыльная, отрасль доходная, так сказать, рентабельность имеете, в убыток не работаете, а это значит, что вам есть, чем платить, тем более, много я не прошу.
                                                                                                        Я потратил несколько дней чтобы подробно изучить всю имеющуюся про вашу организацию информацию, информацию про ваших сотрудников и их близких и нашел ваши слабые места и понял, куда следует бить в случае вашего отказа от сотрудничества.
                                                                                                        Моя просьба проста – заплатите мне 3 BTC на Bitcoin кошелек [ 1QFipQchirygnQhTot29npW28w7FFLiorh ] и живите дальше спокойно. Иначе я сделаю несколько действий, которые серьезно парализуют деятельность вашей организации.
                                                                                                        В том случае, если вы не оплатите до 15.12.17, я применю все перечисленные меры с многократным увеличением суммы за их остановку:
                                                                                                        1. Переведу на расчетный счет Вашей организации платежи с незаконными назначениями, типа «за наркотики», а также «грязные» деньги, что приведет к блокировке ваших счетов банком по 115-ФЗ, попаданию вашего ИНН в черный список всех банков, ЦБ и Росфинмониторинга. Вы на очень длительное время потеряете возможность совершать безналичные расчеты и открывать новые счета, будут проблемы с банками.
                                                                                                        2. В моем гараже стоит специальный станок для изготовления печатей методом лазерной гравировки на силиконе. Я изготовлю печать вашей организации, после чего сделаю недостоверную годовую отчетность за 2017 г. (с завышенными и неправильными цифрами), которую заверю вашей печатью и отправлю по бумажной почте в ИФНС, ФСС, ПФР, РОСТАТ и прочие надзорные органы. Это приведет к очень серьезным проблемам с этими органами – вам приостановят операции и деятельность, назначат выездные проверки, потом уйдут месяцы, чтобы сдать скорректированную отчетность и решить все проблемы. А пока вы будете терпеть убытки.
                                                                                                        3. Я оставлю о вашей организации кучу негативных отзывов на всех возможных ресурсах и отправлю несколько десятков жалоб на вас во все возможные инстанции. Вас, и так к данному моменту с приостановленной деятельностью будут обходить стороной и бесконечно проверять.
                                                                                                        4. Я могу сделать какой-то поддельный документ и куда-либо направить его опять же, от имени вашей организации и серьезно ее подставить. Могу внести во все возможные черные списки организацию и т.п. Могу организовать DDoS-атаки на информационные системы организации, вывести из строя все телефоны автоматическими звонками, забить почтовый ящик и отключить организацию от коммуникаций. Могу провести хакерскую атаку и зашифровать всю информацию на компьютерах.
                                                                                                        5. Дальше у меня есть куча мер, как можно создать неприятности неэкономическими мерами. Они очень жестоки, но я бандеровец и вас не пощажу если вы не заплатите. Ваши персональные данные у меня есть. Я могу зарегистрировать на имена сотрудников вашей организации и ваших близких страницы, на которых размещу детскую порнографию и распространять ее от ваших имен по жителям города. Вы даже представить не можете, какая будет на это реакция и проблемы. В вашей стране к этому очень негативное отношение. Есть группы молодых крепких и агрессивно настроенных людей, которые любят действовать физически без разбора. И, конечно же, это попадет к ним и ваша спокойная жизнь навсегда закончится – от этого отмыться нереально, а россияне жестоки и разбирать кто прав, а кто нет, не будут.
                                                                                                        6. Аналогично есть куча сфер, в которых вас можно очернить и серьезно подставить так, что вы никогда не отмоетесь – на ваши имена, реквизиты и контакты можно разместить объявления о продаже запрещенных товаров и навлечь на вас гнев тех же агрессивных крепких ребят, которых не интересуют никакие доводы, и правоохранительные органы. Могу разместить левое объявление о сборе денег на благотворительность с ваших имен и реквизитов и вас просто завалят жалобами.
                                                                                                        7. Вообще, у меня в арсенале есть еще 10 методов гарантированного уничтожения бизнеса, про которые даже говорить не хочется из-за их жестокости. Радует только то, что до них обычно не доходит, т.к. все прекрасно понимают с первого раза.
                                                                                                        Я думаю, вы, как все разумные люди понимаете, к каким необратимым последствиям приведут мои дистанционные атаки на ваш бизнес. Ваш бизнес будет серьезно затруднен, вы понесете огромные убытки и репутационные потери. Защиты от этого нет. Чтобы прекратить все это, вам придется платить уже в 5-10 раз больше первоначально запрошенной цены. Согласитесь, проще заплатить за спокойствие 3 BTC, чем потом платить сотни тысяч за решение возникших проблем.
                                                                                                        Оплатить следует до 15.12.17. За просрочку платежа сумма удваивается, таким образом, если вы не оплатите до указанной даты, то после нее перечислять нужно уже 10 BTC. Если я так и не увижу от вас ни первоначально запрошенной суммы, ни доплаты за просрочку, я начну атаку, стоимость остановки которой будет уже в 5-10 раз превышать назначенную ранее сумму.
                                                                                                        Со своей стороны я гарантирую полное уничтожение вашего бизнеса в случае неоплаты и его бессрочную неприкосновенность в случае оплаты в установленный срок.
                                                                                                        Способов разрешить эту ситуацию, кроме как оплатить по указанной процедуре, не существует.
                                                                                                        Итак, чтобы нам с вами договориться, нужно выполнить следующее.
                                                                                                        Вы должны пополнить мой Bitcoin кошелек [ 1QFipQchirygnQhTot29npW28w7FFLiorh ] Итак, после того, как совершите перевод, можете спать спокойно. Также, я надеюсь, вы понимаете, что это обращение конфиденциально и не должно уйти за пределы вашей организации под санкцией самых негативных последствий. В перспективе, после оплаты его следует удалить и забыть.
                                                                                                        Данное сообщение нужно показать руководителю или собственнику предприятия, или непосредственному начальнику, который должен выделить личные средства и назначить ответственного или выполнить указанные в письме действия самостоятельно.
                                                                                                        Также хочу обратить ваше внимание, что я гражданин Украины, и, как вы знаете, дипломатические отношения между нашими странами разорваны. У нас нет работы, накопить на еду можно только пойдя убивать ваших сограждан в карательном батальоне или таким методом воздействия на разжиревших и сытых владельцев бизнеса. Получить деньги с зажравшихся русских, которые владеют компаниями ворочающими миллионами это героический поступок, одобряемый обществом. Это значит, что жаловаться на меня юридически бесполезно: я просто не подчиняюсь законам вашей страны, а если вы безумны и это сделаете – то не поможет никакой откуп – весь комплекс мер будет осуществлен показательно, чтобы сомнений не возникало у других. Никто вам не поможет, сотрудники правоохранительных органов прекрасно знают, что их похитят при пересечении границы и они сюда не поедут, законов своей страны я не нарушаю (их просто нет), а вот моя кара будет сурова, если вы не заплатите или пожалуетесь.
                                                                                                        Это сообщение одностороннее и обратная связь со мной невозможна, кроме денежного перевода на выделенный индивидуально для вас адрес по строго описанной процедуре до 15.12.17.
                                                                                                        Время работает против вас. Время пошло.
                                                                                                        Я даже слезу умиления пустил.
                                                                                                        По моему личному рабочему опыту запросов в сервисдеск к нам на восстановление файлов после «ой пропало/случайно удалил/рука дрогнула» примерно 6-8 в год, а «документы не открываются и иконки поменялись» за 2017 год было один раз всего в подконтрольной инфраструктуре, и два раза сторонних запросов. Вдвое меньше чем в 2016. Зато запросов на проверку подозрительных писем сильно количество возросло. При том что антивирусный мониторинг по почтовым агентам и вебфильтру за последние полгода я не припомню что бы был пустым хотя бы за последние сутки.
                                                                                                          0
                                                                                                          Ну против таких угроз, которыми пугает автор письма, грамотная настройка политик безопасности ничем не поможет…
                                                                                                          законов своей страны я не нарушаю (их просто нет)

                                                                                                          Вот это конечно улыбнуло. Ага, нет.
                                                                                                            0
                                                                                                            Там нет ни одной реально реализуемой угрозы. Мамкин хакер понятия не имеет, как делается и сдается отчетность, как проходит реализация товаров и услуг. Не говоря уже о порядке проверки организаций надзорными органами, переоценивает влияние интернетов на реальную жизнь.

                                                                                                            Но судя по Вашим комментариям Вы из тех кто в такие сказки верит, хотя бы чуточку.
                                                                                                        0
                                                                                                        Очень смешно) Нет, я на сто процентов готов ручаться, что у меня нет вирусов. Могу дать вам удалённый доступ, сканьте чем угодно)

                                                                                                        Про атрибуты — согласен, но вирусня даже не заморачивает себя их подменой (например, подменой даты создания). Забавно, правда?

                                                                                                        Эти случаи были после. Кстати, когда антивирус был, в среднем случаев заражения было больше, по моим наблюдениям. Просто вот так совпало. Возможно, сейчас действительно становится меньше вирусов, и интернет в целом безопаснее.

                                                                                                        Про браузеры Вы зря так. Современные браузеры достаточно надёжны, уже года с 10-11 как раз. Ничего там без участия пользователя не запустишь (кроме эксплуатации уязвимостей в плагинах вроде Flash и Adobe Reader (который уже кстати не используется, да и Flash почти мёртв). Как раз путём изоляции процесса, исполняющего скрипт всё достигается. Кстати, вы же знаете, что скрипты не имеют доступа к файловой системе? Это IE версий 6-7 был дырявый, и там можно было творить чёрт-те что. Сейчас не та ситуация.

                                                                                                        Сейчас Ваш ПК заражают не для того что бы Вам нагадить (ну за исключением шифровальщиков или вайперов), а для того что бы на Вас заработать (рассылка спама, часть ботнета, майнинг), или у Вас украсть (платежные, банковские реквизиты, контакты для социнжиниринга). Поэтому все для Вас будет максимально незаметно.


                                                                                                        Я в курсе. И всё же, почему мой комп ничего не майнит, и от меня не рассылается спам? Может, всё-таки это Вы не правы?

                                                                                                        Кстати, не надо говорить «это потому что у вас старая ОС, под неё вирусы писать не выгодно». Я и на семёрке вирусов уже года два-три не видел, хотя там тоже нет антивируса, кроме штатного (и тот ни разу не срабатывал), а интернетом я там пользуюсь не так редко.

                                                                                                        это что то вроде LiveCD/DVD у Вас там, но покомфортнее

                                                                                                        И то и другое ни разу не комфортно, имхо. В случае полного краха системы (последний раз такое было не из-за вируса, а потому что я испортил реестр, весной 2013) я обычно использую образ, сделанный в Norton Ghost 2003. Очень надёжная и быстрая штука :)

                                                                                                        Про домашнюю виртуализацию

                                                                                                        Серьёзно? Зачем?.. Я знаю, что такое виртуалка. Но использовать это ежедневно, особенно если хочется на целевой системе ещё и в игры поиграть иногда, а не только использовать браузер и музыкальный проигрыватель… Хм.
                                                                                                          0
                                                                                                          Я не говорил, что Вас старая ОС :)

                                                                                                          Про браузеры Вы зря так. Современные браузеры достаточно надёжны, уже года с 10-11 как раз. Ничего там без участия пользователя не запустишь (кроме эксплуатации уязвимостей в плагинах вроде Flash и Adobe Reader (который уже кстати не используется, да и Flash почти мёртв). Как раз путём изоляции процесса, исполняющего скрипт всё достигается. Кстати, вы же знаете, что скрипты не имеют доступа к файловой системе? Это IE версий 6-7 был дырявый, и там можно было творить чёрт-те что. Сейчас не та ситуация.
                                                                                                          Август 2017, это же где то после 2010-2011? А Chrome это современный браузер?
                                                                                                          SSD Advisory – Chrome Turbofan Remote Code Execution
                                                                                                          С примерами кода как запустить калькулятор. Калькулятор лежит где то посреди системных файлов операционной системы. Без флеша и адоб ридера. Ничего подтверждать не нужно, просто посетить вредоносную страницу.

                                                                                                          Кстати, когда антивирус был, в среднем случаев заражения было больше, по моим наблюдениям.
                                                                                                          Вполне логично. Антивирус находил зло и сообщал Вам об этом, а так бы жили со злом и знать не знали.

                                                                                                          Возможно, сейчас действительно становится меньше вирусов, и интернет в целом безопаснее.
                                                                                                          <сарказм>Даа. С каждым годом все безопаснее, конечно же!</сарказм>

                                                                                                          Полагаю, дальнейшее обсуждение в данной ветке не продуктивно.
                                                                                                            –1
                                                                                                            а так бы жили со злом и знать не знали

                                                                                                            Сейчас зла, кажется, нет. :)

                                                                                                            Кстати, почитал статью по вашей ссылке. Очень интересно :)
                                                                                                            Но у меня данная уязвимость не работает. Она видимо работала только в версии 59, может ещё в 58-ой. А у меня 45-ая.
                                                                                                            0
                                                                                                            У вас устаревшие сведения про виртуалки, нынче процессоры аппаратно поддерживают виртуализацию и оверхед на виртуализацию составляет порядка процентов. Так что и в игры, и многое другое практически без потери производительности.
                                                                                                              0
                                                                                                              Мой практический опыт не совпадает с Вашей теорией :(
                                                                                                              Смотрите, вот есть у меня например старая игра, которая не запускается из-за того, что видеоадаптер слишком новый. «Дальнобойщики-2» называется. Я попытался запустить её на VMware, 10 кажется версии, 2014 года. Разные режимы настроек аппаратного ускорения в виртуальной машине пробовал. В итоге в игре вступительный ролик запустился, звук пошёл, а дальше — чёрный экран. Или это проблема багов игры, а не проявление неспособности виртуально установленной системы работать с видеоадаптером в 3D режиме? Поясните чайнику :)
                                                                                                                0
                                                                                                                Нет, это не проблемы производительности виртуальной машины, это проблема поддержки виртуалкой оборудования. Скорей всего именно виртуальной видеокарты, а не физической. Игра по всей видимости довольно старая, у неё случайно нет отдельного приложения для настройки? Если ничего не помогает, пробовали гуглить проблему по форумам? Я вот глянул, игра кроме всего прочего не любит работать в системе с объёмом ОЗУ>2Гб.
                                                                                                                  0
                                                                                                                  Я тоже читал форумы… Люди пробовали урезать память до 1 Гб. Не помогало. Я вроде даже сам пробовал часть памяти отключать программно, но не вышло ничего. Это именно видеоадаптер. Возможно, стоило попытаться на Intel HD Graphics её запустить. Правда fps был бы 10-15 кадров, возможно. Но хоть работала бы.
                                                                                                        0
                                                                                                        Ни разу не подхватывал вирус уже с 2011-2012

                                                                                                        Откуда вы знаете?
                                                                                                        особенно Касперский.

                                                                                                        Сейчас уже миф. Шлейф, который за ним тянется из 2000х.
                                                                                                        И ещё раз повторю, я за 4-5 лет всего 2-3 раз попадал в ситуацию, что запустил какой-то файл, и он нагадил

                                                                                                        Вы выше написали, что у вас целый комплекс мер, когда сдуру что-то запускаете.
                                                                                                        Уж не обижайтесь, но с высокой вероятностью, вы — бот. Не тот, который в комментариях поддержку/хейт пишет, а тот, который этериум майнит.