Двухуровневая защита

[SIZE=1][B]Модераторам:[/B] если сочтете, что этой теме место в другом разделе - перенесите, плз.[/SIZE]

Всем привет!

[I]Вкратце: есть некая концепция. Интересно, реализована ли эта концепция как готовый программный пакет.[/I]

[B]Подробно.[/B]
Есть известная проблема: чем лучше защищена система, тем больше ресурсов тратится системой на средства защиты. Другими словами, по-настоящему надежный антивирус нехило нагружает систему своими задачами, порой и вовсе оттягивая львиную долю ресурсов на себя. Это по понятным причинам напрягает. Да, есть более "легкие" пакеты, но... после нескольких случаев, когда подобные "защитники" лажали, доверия к ним больше нет (известно, что полная незащищенность лучше, чем защищенность [I]кажущаяся[/I]).

То есть, получается извечный компромисс, когда мы должны смириться с тем, что отдаем половину мощности своей системы как плату за (относительную) безопасность.

[B]Внимание, вопрос.[/B]
Можно ли сделать так:
0. Есть две загрузки - "Рабочая" и "Инквизиция".
1. В "Рабочей" конфигурации стоит "дежурный" пакет, сильно систему не обременяющий (напр., NOD32).
2. Периодически (или по необходимости) мы [B]перегружаемся в скрытый раздел на жестком диске, на котором стоит своя (урезанная) винда и "тяжелый" антивирус, обновляем базы и устраиваем "зачистку местности"[/B] - эту среду назовем "Инквизиция".
[SIZE=1](Примечание: подобный принцип реализован в другой области - Акронис ТруИмедж использует скрытый раздел для восстановления системы после инцидентов)[/SIZE]

Преимущества очевидны:
1. Задействованы два разных антивиря, которые друг другу не мешают, т.к. живут "в параллельных пространствах", но - [B]ВЗАИМОДОПОЛНЯЮТ[/B].
2. В "Рабочей" среде у пользователя не отжираются ресурсы.
3. В ЛЮБОЕ время можно быть уверенным в том, что систему можно вылечить (если это в принципе возможно)
4. Фактически, это реализация двухуровневой защиты: "легкий" антивирус выполняет роль грубого сита, отлавливающего основной мусор, "тяжелый" - своеобразный "истребительный отряд", не оставляющий вирусне вообще никаких шансов, поскольку скрытый раздел "основной" системой НЕ ВИДИТСЯ ВОВСЕ, т.е. заразить его невозможно.

В сочетании с разумной политикой резервного копирования получаем неубиваемую среду, которой отныне не страшны ни вирусы, ни проблемы с железом.

Отдельно: присутствие в "Рабочей" среде [B]фаервола[/B] оставляем за скобками (например потому, что можно использовать "железный").

[B]Что, есть такие решения?[/B]

Если есть, хотелось бы узнать о них поподробнее.

Дополнение.
Эта тема была поднята мной ранее на тхг.ру (использую русское наименование дабы не было обвинений в рекламе сторонних ресурсов), но, как мне показалось, тамошняя аудитория несколько... гм... нецелевая для адекватного анализа. Тем не менее, оттуда было вынесено полезное на мой взгляд мнение, что [B]"Инквизицию" лучше ставить не на винду, а на линукс[/B] (основное достоинство решения - принципиальная невозможность повреждения данной системы виндузовыми зловредами)

Если таковых "коробочных" (поставил-и-заработало) решений нет, может, эта мысль покажется достаточно интересной, чтобы её воплотить в жизнь?

[QUOTE=facehunter;334781]
Если таковых "коробочных" (поставил-и-заработало) решений нет, может, эта мысль покажется достаточно интересной, чтобы её воплотить в жизнь?[/QUOTE]

В вашей системе зашиты, есть некоторые недочеты, как мне кажется:
1. Против "утекания" в сеть паролей будут предприняты дополнительные меры?
2. "Зачем лечить, если проще предотвратить заражения?" Ссылки в подписи смотрите.
3. Даже мощный антивирус может "не увидеть" что-то.

P.S: Многие люди, прочитав надпись, что они покапают "Самую защищенную ОС" не задумываются, что безопасностью нужно ещё научиться пользоваться.

В случае "инквизиции"
Насколько часто будут перегружаться в скрытый раздел
Насколько часто будут обновляться антивирусные базы,
Где гарантия что "тяжелый" антивирус (интересно это какой?) увидит зловредов,
"тяжелый" антивирус почистит файлы - останется мусор в реестре.
Этот способ немного отличается от лечения с загрузочного CD, но вряд ли имеет какие-то преимущества (расход места на винте)
И ещё, как правильно выше сказали, легче предотвратить заражение, кроме "легкого" антивируса есть весьма достойные решения (кроме настройки безопасности самой ОС), например применение HIPS не требует большого кол-ва ресурсов.

[quote=facehunter;334781][SIZE=1][B]М[/B][/SIZE] Тем не менее, оттуда было вынесено полезное на мой взгляд мнение, что [B]"Инквизицию" лучше ставить не на винду, а на линукс[/B] (основное достоинство решения - принципиальная невозможность повреждения данной системы виндузовыми зловредами)[/quote]
Это мнение мягко говоря некоректно ... так как существует тьма деструктивных зверей, которые просто уничтожают данные на диске (так называемые диск-киллеры), и им совершенно нет разницы, видимый это раздел или невидимый, Windows там или Linux. Аналогично с руткитами - если руткит-драйвер перехватывает работу с диском и в его деятельности возникает косяк, то он может поубивать и покорежить данные на всем диске на логическом уровне. В остельном метод крайне кривой именно из-за того, что описано выше - он не спасет от утечки паролей, а лечение из другой системы нередко убивает основную из-за того, что зловреды могут хитро прописаться в реестре и без его зачистки лечение превратится в убиение системы. В остально загрузка с CD или флешки в данном случае выигрывает ввиду того, что это отчуждаемый носитель, в случае с CD еще и ReadOnly

Если уж так озаботился защитой, [post=324049]то[/post]

[B]zerocorporated[/B]
ознакомился со ссылками в подписи. "много думал" (с)

интересно, что настройка политики безопасности - реальный способ отказаться от присутствия антивируса в системе. неудивительно, что этот подход не популяризуется (произвоидителям антивирусных пакетов это как нож по горлу). с другой стороны, чтобы воспользоваться этим способом, необходимо:
1. [B]желание[/B] найти решение проблемы с безопасностью
2. [B]некоторый объем знаний[/B], чтобы задавать правильные вопросы
поэтому производители антивирусов в ближайшие 100 лет без работы не остануться, к сожалению.

[B]Pili[/B]
[QUOTE]Насколько часто будут перегружаться в скрытый раздел[/QUOTE]
периодически (настраивается индивидуально, в зависимости от уровня паранойи в крови) либо по требованию (например, если по графику автоматически система ребутнется в "Инквизицию" только в пятницу, а система ведет себя странно уже сейчас)

[QUOTE]Насколько часто будут обновляться антивирусные базы[/QUOTE]
при каждой загрузке системы. соответственно, "Рабочая" конфигурация обновляется согласно установленным настройкам антивируса, а "Инквизиция" - каждый раз, когда в нее загружаются.

[QUOTE]Где гарантия что "тяжелый" антивирус (интересно это какой?) увидит зловредов[/QUOTE]
100% гарантий нет в любом случае, но разве два отдельных Геракла не вычистят Авгиевы конюшни лучше, чем один?
под "тяжелым" лично я понимаю Касперского. впрочем, у каждого могут быть свои соображения на этот счет.

[QUOTE]способ немного отличается от лечения с загрузочного CD, но вряд ли имеет какие-то преимущества[/QUOTE]
[B]лично для меня[/B] этот способ имеет кардинальные преимущества:
1. в отличие от "волшебного ЦД", ВСЕГДА есть под рукой (разумеется, при условии, что мы воспользовались моим алгоритмом)
2. в отличие от "волшебного ЦД", антивирусные базы всегда самые свежие
4. в отличие от "волшебного ЦД", [B]НЕТ НУЖДЫ ГРУЗИТЬСЯ ИЗВНЕ[/B]: далеко не на всех машинах установлен лоток СД/ДВД привода, грузиться с флешки умеют далеко не все машины (а иногда эти явления совпадают!)

этот способ как раз и придумался, чтобы избавиться от необходимости работать с внешними носителями информации.
(про "расход места на винте" - не буду говорить, ибо по нынешнем временам [B]это просто смешно[/B])

[B]Зайцев Олег[/B]
в целом - согласен, что в случае проникновения деструктивного вируса внешний носитель надежнее. но в этом случае, кмк, систему лучше вообще переставить. да и не в системе дело, а в данных. вот их бы спасти... но для этих целей нужно пользоваться бэкапом.

вообще, после переосмысления подхода к настройке безопасности необходимость городить огород из двух ОС вроде бы отпадает.

буду думать.

[QUOTE]"Инквизицию" лучше ставить не на винду, а на линукс (основное достоинство решения - принципиальная невозможность повреждения данной системы виндузовыми зловредами)[/QUOTE]
што таки вы хотите сказать что при желании из под винды я не снесу ext3 ?
а во вторых представим ситуейшн что есть таки раздел с линюхом на котором есть авп а-ля "убойный отдел" с супер пупер авп, теперь вопрос вы пробовали настроить под самым свежим линюхом USB INTERNET KEY который я к примеру использую для конекта со всемирной глобальной сетью )))? флаг вам в руки и барабан на шею но извините без регулярных апдейтов авп не авп.

[B][500mhz][/B]
я в линухе разбираюсь как свинья в апельсинах, поэтому и [I]транслировал[/I] сюда это мнение. признаюсь, оно мне показалось здравым, хотя изначально я думал скорее о скрытом (и зашифрованном, если нужно) диске. Но это все равно не спасет от деструктивного вируса, который работает напрямую с железом, а не с логикой - не так ли?

в любом случае, почитав приведенные материалы, я теперь и сам склоняюсь к подобному методу (настройка профилей пользователей и разграничение доступа).

facehunter
[QUOTE]Но это все равно не спасет от деструктивного вируса, который работает напрямую с железом, а не с логикой - не так ли?[/QUOTE]
ну в теории проактивка должна пресекать попуки доступа к физическим девайсам типа диска, на практике хз.
да и права админа нада иметь для этого, но с учетом того что 90% юсеров именно под админом и сидят то пол работы как бы уже сделано )))
на мой взгляд на данный момень развития цивилизации - загрузочный девайс со свежими базами единственная панацея.

[B][500mhz][/B]
а мне чрезвычайно импонирует метод, рекомендованный выше - если грамотно отстроить систему, то и антивирус (резидентный) в системе не нужен.

facehunter
не забывайте про человеческий фактор - МарьВанна бугалтер которая запросто запустит gift.exe который ей свалился на мыло
ну и естественно баги в ПО, их тоже со счетов скидывать нельзя

[B][500mhz][/B]
а вы читали материалы по ссылкам из подписи [B]zerocorporated[/B]? там этот момент подробно разобран.

[QUOTE=facehunter;335590][B][500mhz][/B]
а мне чрезвычайно импонирует метод, рекомендованный выше - если грамотно отстроить систему, то и антивирус (резидентный) в системе не нужен.[/QUOTE]

На домашних ПК если один пользователь использует его, то может помочь, а вот если несколько пользователей используют ПК и/или это корпоративный ПК, то антивирус как минимум незаменим.

facehunter какую именно из 4? )

[B][500mhz][/B]
первую

[B]zerocorporated[/B]
никакой разницы, один человек работает или 10
главное, чтобы были прописаны политики и пользователи были разведены по своим учетным записям.
даже если "тётя клава из бухгалтерии" наступит на левый экзешник, ничего непоправимого не произойет - админский пригляд ведь никто не отменял.

[QUOTE]даже если "тётя клава из бухгалтерии" наступит на левый экзешник, ничего непоправимого не произойет [/QUOTE] произойдет если ехешник по какимто нам неизвестным причинам получет сустем права

[B][500mhz][/B]
ну как же он их получит, если
а) юзер работает в своей учетке
б) на все известные экзешники есть разрешения, неизвестные запрещены

вообще, ртфм.

[QUOTE=facehunter;335613]
[B]zerocorporated[/B]
никакой разницы, один человек работает или 10
главное, чтобы были прописаны политики и пользователи были разведены по своим учетным записям.
даже если "тётя клава из бухгалтерии" наступит на левый экзешник, ничего непоправимого не произойет - админский пригляд ведь никто не отменял.[/QUOTE]

Причины, по которым при нескольких учетных записях стоит держать антивирус:
1. Данные пользователя могут зашифровать/удалить.
2. Могут использовать уязвимости системы, чтоб обойти ограничения пользователя.
3. Антивирус известные вредоносы удаляет автоматически - администратор физически не сможет 2 и более учетные записи проверять постоянно.
4. Конфиденциальные данные могут отослать в сеть.

P.S: Хотя как посмотреть - политика ограниченного использования программ не даст запустить .exe файл :megalol:

[B]zerocorporated[/B]
сразу с конца -
[QUOTE]политика ограниченного использования программ не даст запустить .exe файл[/QUOTE]

так и я о том же (только не понял, что в этом смешного)
соответственно, остается только проникновение через уязвимость системы - а против этого разве антивирус не бессилен?

[QUOTE=facehunter;335633][B]zerocorporated[/B]
сразу с конца -


так и я о том же (только не понял, что в этом смешного)
соответственно, остается только проникновение через уязвимость системы - а против этого разве антивирус не бессилен?[/QUOTE]

Как показывает практика бывает бессилен, да и вылечить не может например:
[url]http://virusinfo.info/showthread.php?t=37252[/url]
[url]http://virusinfo.info/showthread.php?t=37131[/url]
[url]http://virusinfo.info/showthread.php?t=37308[/url]
[url]http://virusinfo.info/showthread.php?t=37220[/url]
Кстати в в зараженной локалке все пользователи естественно под учеткой.