Обсуждение книги " Безопасный Интернет. Возможно ли это?"

[Vadim Sterkin]

p2u
Ок, хорошо, что мы сходимся в том, что книгу можно улучшить Признателен за содержательные ответы.

Мне прекрасно известно расписание выхода обновлений МС - я на протяжении достаточно длительного времени вел список обновлений pre-SP3, после чего забросил это дело, ибо давно работал в Vista. Но опять же, те инструкции по включению служб, которые вы даете в сообщении, можно прямо так в книгу и вставлять. Читателю будет понятно, что именно нужно сделать для проверки обновлений. В текущем варианте это не так очевидно. Можно пойти дальше и написать батник, но это уже может быть сложно, в зависимости от целевой аудитории.

С работой под ограниченным пользователем против работы под админом понятно. Я в курсе, что работа под админом - общепринятая практика. МС сама виновата в этом - так проектировали NT-системы, но в Vista уже сделаны позитивные шаги в этом направлении. Да, как всегда через... UAC Но все же... под ним можно работать (если все настроено и весь софт установлен ), и вам было бы даже проще, раз вы под ограниченным пользователем в ХР работаете. А кому, как не экспертам по безопасности продвигать более безопасные концепции работы с ОС?

Что же касается статистики, то я не питаю иллюзий по поводу того, какой лживой она может быть. И тем не менее, я не считаю, что Microsoft Security Intelligence Report является маркетинговым средством. Да, выдержки из него могут использовать маркетологи, но в целом он предназначен для специалистов. Фактически МС собирает информацию для улучшения собственных сервисов и ПО. Поскольку компании очень не нравится образ "дырявой винды", она за последние годы выпустила несколько продуктов, нацеленных на предотвращение заражений и/или устранение их последствий. Статистика собирается на основе работы защитника и MSRT, например. А потом компания анализирует ее и делится результатами с общественностью. Конечно, нельзя исключить возможность подтасовки цифр, но... попасться на этом будет стоит очень дорого, а от утечек информации никто не застрахован. Если сравнивать защитные механизмы Vista и XP (пусть даже только видимые для пользователя), преимущество более новой системы весьма заметно. Поэтому когда в отчете говорится, что количество заражений в Vista в 2.8 раза ниже чем в XP SP2 (данные собирались до выходов последних SP), меня это не удивляет. Можно ставить под сомнение конкретную цифру, но сути это не изменит.

Я не могу согласиться с тем, что Vista - переходная ОС, как Me. Просто так получилось, слишком долго разрабатывали. Да, 7 относительно скоро выйдет, но и ХР после 2к вышла с относительно небольшим разрывом, что ознаменовало пересаживание домашних пользователей на NT-систему. 7 во многом будет основана на Vista - скорее, это будет работа над ошибками Я понимаю, почему вы не очень хотите тратить время на описание Vista, но на 7 тоже не все сразу пересядут. Начнутся обычные разговоры на тему "сырая, дырявая, подожду СП1".

Я знаю, что UAC перерабатывают... Я дважды лично общался с командой разработчиков на саммитах ("несчастные" люди, на них сыпется больше всего шишек ), но ничего нового я им сообщить не мог. Они и так прекрасно осведомлены, что кол-во запросов отталкивающе велико - люди отключают систему безопасности, которая позиционировалась, как одна из наиболее значимых в новой ОС. Они, между прочим, что-то там подкрутили в SP1, уменьшив кол-во запросов в некоторых сценариях, но это слишком незначительная доработка. Все основные силы брошены на 7, и не только в плане UAC.

Поэтому если говорить о книге, то, возможно, будет иметь смысл сделать отсечку на XP, а Vista / 7 уже рассматривать в качестве следующего поколения, но не думаю, что по отдельности. Я не оспариваю полезность книги - я сразу об этом сказал в первом посте, и это была не дежурная фраза. Если человек будет следовать рекомендациям, у него будет очень безопасная система (хотя и неудобная ). В ней много общих советов, которые применимы к работе в любой NT-системе. Однако, после почти двух лет работы в Vista, мне странно видеть, как рекомендации по XP автоматически переносятся на следующую ОС. Отсюда и поднятое обсуждение.

То, что Николай Головко сделал для русскоязычных пользователей в развитии представления о реальных принципах безопасности в XP (в отличия от того, что обычно предлагается) - БЕСЦЕННО.

Нисколько не оспариваю этот факт. Я с огромным уважением отношусь к людям, которые делятся своим знанием с другими. Однако, Николай, явно читающий тему, ни как не прокомментировал ни один из моих постов... Даже не знаю, что и думать

Попробую подвести промежуточный итог тех вопросов по откл. служб, которые я поднимал. Конечно, излагаю свою позицию по ним (и в конктесте Vista, поскольку я все-таки с этой колокольни смотрел). Уверен, что меня поправят в случае фактических ошибок

Вторичный вход в систему
Рекомендация, теоретически повышающая безопасность компьютера, согласен. На практике же, если работа ведется с правами админа (большая часть целевой аудитории книги), фактически не нужна. Если же работа ведется под ограниченным пользователем, создает определенные неудобства в работе и, возможно, будет таким пользователем проигнорирована. Короче говоря, рекомендация для людей, крайне озабоченных безопасностью компьютера.

Служба восстановления системы
Отключение не повышает безопасность компьютера, а лишь упрощает устранение последствий заражения. Однако лишает пользователя механизма отката к работоспособному состоянию системы в случаях, не связанных заражениям. Механизма неидеального, не являющегося заменой бэкапа образами, но работоспособного в тех случаях, для которых он предназначен - драйверы, ПО, твики.

Служба индексирования
В контексте ХР с рекомендацией согласен. В контексте Vista - уязвимостей не продемонстрировано, а заявления о том, что без индекса скорость поиска не снижается, неприменимы ввиду различия поисковых механизмов двух ОС.

Автоматическое обновление
С аргументацией по поводу уязвимостей BITS, нбх для работы АО, согласен. Однако не убежден, что наличие включенной BITS потенциально опаснее работы в непропатченной системе. Признаю, что в книге нстоятельно рекомендуется включать обновление ежемесячно, но акцента на том, что включать нужно еще и BITS, не сделано. Продолжаю считать, что эта рекомендация для очень ответственных и организованных пользователей По этому поводу, видимо, каждый останется "при своих", поскольку статистических данных найти невозможно, а рекомендации экспертов по безопасности нацелены на обеспечение как можно более полной безопасности отдельно взятого компьютера, но не снижения общего количества заражений огромного числа компьютеров. В плане использования АО, по рез-татам опроса вырисовывается небольшая, но интересная статистика в зависимости от используемой ОС. Но хотелось бы увидеть побольше голосов, так что пока не буду ее приводить.

MDM
Изначально я не поднимал вопрос о ней, т.к. согласен с тем, что служба попросту не нужна подавл. большинству пользователей. Когда всплыл вопрос об обосновании в плане безопасности, согласился с аргументацией, которой не было в книге.


All
Похоже, что обсуждение вопроса переименования встроенной учетной записи, а заодно и длины пароля, достойно отдельной большой темы Возможно, такие уже есть... это уже к модераторам. Мне кажется, что этот вопрос больше актуален для любой корпоративной среды, чем для среднего домашнего пользователя... На эту тему, кстати, есть очень интересная статья Великий спор: безопасность через маскировку.

[XP user]

И тем не менее, я не считаю, что Microsoft Security Intelligence Report является маркетинговым средством.

Если вас интересует его реальная ценность для безопасности:
В США не только люди тестируются на IQ, но и системы, политики всякие, и т.д. Отчёт от Майкрософта получил очень низкий бал по данным параметрам - там одна большая 'дымовая завеса'. Статья - РАЗРУШИТЕЛЬНА для имиджа Майкрософта в качестве хозяина нашей с вами безопасности!
Наслаждайтесь (к сожалению на английском):
Microsoft Security Intelligence Report scores low IQ

= = = = = = = = = = = = = Офф-топ, Vadim Sterkin это знает, но некоторым будет очень интересно

Подключ: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
Параметр: DontReportInfectionInformation
Тип: REG_DWORD
Значение: 1

Может кому-то годится - так можно предотвращать передачу данных в Майкрософт если вы не хотите участвовать невольно в сборе инфы по никому неизвестным параметрам. Если вы свято верите, что это всё делается для нашего же блага, то тогда можно не напрягаться. Может быть стоит это тоже добавить в Книге, а?

Раздел 'MRT', естественно, не существует - его надо создать вручную в дереве слева. Выделим раздел 'Microsoft', правой кнопкой мыши - выбрать 'Создать Раздел'. Введём 'MRT' (без кавычек) и нажимаем 'Enter'.
Параметр DWORD: 'DontReportInfectionInformation' создаётся в окне справа (Правой кнопкой мыши на любое свободное места в окне - выбрать 'Создать Параметр DWORD'). В окошке 'Название' ввести 'DontReportInfectionInformation' (без кавычек), 'Значение' задать '1' (без кавычек). Нажимаем 'Enter' и... 'Власть народу!' Выглядит это так:



Хотя новый раздел при создании стоит в конце раздела, как только вы закрываете редактор реестра и снова открываете его, MRT будет уже стоять за Messenger'ом (то есть - автоматически по алфавиту встроется).

Происходит эта передача данных для Microsoft Security Intelligence Report во время.... Автоматического Обновления Windows. (Вы ещё не передумали оставить эту службу на 'Авто' каждый день? Вместе со службой 'Индексирование' это у Майкрософта очень мощный инструмент для сбора чёрт знает чего... )
Вы не замечаете сбор и отправку данных, и ваши программы по 'защите от похищения данных' тем более...

Это так в XP. Что в Висте ещё встроили - это уже не ко мне...

P.S.: Любопытная подробность состоит в том, что MRT ещё расшифруется как Mission Readiness Test, система отслежки, которая используется 'органами' США, но клянусь, это чистое совпадение...

= = = = = = = = = = = = = Конец Офф-топа

Я не могу согласиться с тем, что Vista - переходная ОС, как Me.

На самом деле я действительно так думаю. Единственные, которые не будут иметь свободу выбора - те, которые хотят купить себе новую железу. Там же предустановлена Виста. Вот в чём часть ложного впечатления в цифрах о продаже и популярности данной ОС. Количество пользователей, которые решают на даунгрейд (то есть - шаг назад на XP) - выше, чем вы себе представляете. Естественно внимание уже не будет пристальным к Висте со стороны Майкрософта раз они уже начала с Win7. Это плохой знак, и я не стал бы покупать такую ОС.

Если человек будет следовать рекомендациям, у него будет очень безопасная система (хотя и неудобная ).

Дело вкуса. Никто из моих не жалуется на неудобство, серьёзно.

Однако, Николай, явно читающий тему, ни как не прокомментировал ни один из моих постов... Даже не знаю, что и думать

Я более, чем уверен, что он обдумывает свой ответ до того, как его опубликовать, и может быть он доволен тем, как сейчас обсуждение идёт. Он очень занятой молодой человек, у которого и здесь много административных дел. Участвовать в споре в разных темах ему часто некогда. Если он вам явно ничего ещё не писал, значит - вы его не обидели.


По отключению служб - там, где вы приводите аргумент 'неудобство' - я лично не согласен. Вам так кажется. Для того, чтобы оценить насколько на практике реально неудобно, вы должны сначала некоторые время так работать. Потом ещё поговорим. Повторяю - от тех, у которых я систему так настроил, жалоб до сих пор НЕ поступило...

На эту тему, кстати, есть очень интересная статья Великий спор: безопасность через маскировку.

Спасибо за действительно очень интересную ссылку.

Paul

[Alex Plutoff]

...Происходит эта передача данных для Microsoft Security Intelligence Report во время.... Автоматического Обновления Windows. (Вы ещё не передумали оставить эту службу на 'Авто' каждый день? Вместе со службой 'Индексирование' это у Майкрософта очень мощный инструмент для сбора чёрт знает чего... )
Вы не замечаете сбор и отправку данных, и ваши программы по 'защите от похищения данных' тем более...

Paul

-не вижу ощутимой разницы между способами запуска системной службы Автоматического Обновления Windows, Automatic or Manual, ведь передача данных для Microsoft Security Intelligence Report будет иметь место в любом случае... с той лишь разницей, что в первом случае инфа передаётся в день по чайной ложке, а во втором - раз в месяц... в результате Майкрософт всё равно получит то что хочет... иначе автоматически получить обновлений не даст
-а вот идея с новым разделом 'MRT', мне кажется интересной... не уверен
только что это сработает на Vista... нужно будет пробовать

[XP user]

ведь передача данных для Microsoft Security Intelligence Report будет иметь место в любом случае... с той лишь разницей, что в первом случае инфа передаётся в день по чайной ложке, а во втором - раз в месяц... в результате Майкрософт всё равно получит то что хочет... иначе автоматически получить обновлений не даст

Делайте как я - обновляйте вручную с технета. В каждом бюллетене даются ссылки. Там можно загрузить обновления с двух источников - страница для Home User и страница для IT Professional. Я делаю вид, что я - IT Professional, и скачаю оттуда. Проблем ещё не было...

Paul

[NRA]

ИТОГО:
штатными средствами нельзя защититься от угроз, можно только уменьшить риск через ЛикБез, что в общем и является целью наших авторов-экспертов

В споре рождается Истина... или оффтоп

[XP user]

-а вот идея с новым разделом 'MRT', мне кажется интересной... не уверен
только что это сработает на Vista... нужно будет пробовать

Работает. Только что узнал у своих американских коллег.

можно только уменьшить риск через ЛикБез

'Только' это много сказано, но вообще: +1

Paul

[Alex Plutoff]

Делайте как я - обновляйте вручную с технета. В каждом бюллетене даются ссылки. Там можно загрузить обновления с двух источников - страница для Home User и страница для IT Professional. Я делаю вид, что я - IT Professional, и скачаю оттуда. Проблем ещё не было...

Paul

-мы ведь говорим не о нас с вами, а об рядовом среднестатистическом пользователе, или нет?..
-если да, то такой способ поддержания ОС в актуальном состоянии может оказаться трудно реализуемым для рядового пользователя... следовательно, очень субъективным, поскольку является, уместным и приемлемым для одного пользователя, и в тоже время, может быть совершенно НЕуместным и абсолютно НЕприемлемым для другого... в общем случае не релевантным

[XP user]

-мы ведь говорим не о нас с вами, а об рядовом среднестатистическом пользователе, или нет?..
-если да, то такой способ поддержания ОС в актуальном состоянии может оказаться трудно реализуемым для рядового пользователя...

Вы, естественно - правы (я сказал бы - как всегда )
Стоит добавить в книгу инфу о том, чтобы по крайне мере добавили этот ключ - возможно надо даже дать им рег файл...

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT]
"DontReportInfectionInformation"=dword:00000001

Paul

[Зайцев Олег]

Злостный оффтоп: я вот читаю обсуждение и все больше прихожу к выводу, что должно быть как минимум два уровня:
1. Книга - для продвинутых юзеров, желающих прочитать, понять, придти сюда поспорить/подискутировать наконец о каких то позициях и т.п. Главная мораль в том, что изучать книгу (и выполнять указанные там рекомендации, размышлять и спорить о них и т.п.) будет только продвинутый юзер, причем не просто продвинутый, но и желающий всесторонне защитить свой ПК от разных напасей
2. Скрипт AVZ и (или) небольшая программулина (написать которую несложно, а еще проще сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность". И после двадцати подверждений (того, что юзер не пил, не курил и не нюхал ничего галюциногенного, и внимательно прочитал доку, и это не компьютер в сети со злобным админом) производить бекап текущих настроек, а далее автоматом делать настройку системы - отключать потенциально уязвимые службы, создавать политики безопасности и т.д., и т.п. по мотивам того, что описано в книге. Это именно то, что нужно среднему пользователю - чтобы что-то автоматом сделало настройку.

[Alex Plutoff]

...
сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность"...

-кого попросим, а может подождем и она(большая кнопка) сама в AVZ образуется?..

P.S. оффтопом на оффтоп

[XP user]

Злостный оффтоп:

Не злостный оффтоп, а прямо в точку!
Хотел как раз попросить... Когда будет свободное время (ну, ночью где-нибудь ), сделайте, пожалуйста...

Paul

[NRA]

Олег, как всегда порадовал Было бы здорово
Да, можно придираться у сути, можно к форме.
Одни хотят "большую красную кнопку" с контрольными тестовыми заданиями, а другие хотят доколупаться "что", "почему" и "почему нет" ?
Ну, а совсем продвинутые могут задать что-то вроде "а что если" ?

Лишь бы на пользу. В любом случае это всего лишь основа безопасности и всё зависит от "стиля" работы пользователя и его навыков ИМХО.

[Зайцев Олег]

-кого попросим, а может подождем и она(большая кнопка) сама в AVZ образуется?..

P.S. оффтопом на оффтоп

А чтобы появилась кнопка, нужно для начала формализовать то, что конкретно можно фиксить/настраивать/прописывать и т.п. - списком, по пунктам. Далее дело техники - делается визард (типа визардов, как в AVZ/KIS2009), который будет по каждой позиции анализировать, есть потребность в модификации или нет ее. Если есть - предлагать фиксить. Причем визард может быть умным и предлагать некие действия в зависимости от ранее выбранного типа ПК и режима (повышение быстродействия, повышение защищенности и т.п.), задаваемому уровню параноидальности (как в AVZ), или по категориям (как в KIS) - настоятельно рекомендуемые фиксы, рекомендуемые, и малозначительные

[Vadim Sterkin]

p2u

Если вас интересует его реальная ценность для безопасности:
В США не только люди тестируются на IQ, но и системы, политики всякие, и т.д. Отчёт от Майкрософта получил очень низкий бал по данным параметрам - там одна большая 'дымовая завеса'. Статья - РАЗРУШИТЕЛЬНА для имиджа Майкрософта в качестве хозяина нашей с вами безопасности!
Наслаждайтесь (к сожалению на английском):
Microsoft Security Intelligence Report scores low IQ

Спасибо за ссылку, англ. предпочитаю читать в оригинале

Конечно, МС нельзя рассматривать как последню инстанцию в объективной оценке отчетов о безопасности Любая компания будет стараться представить цифры так, как выгодно ей. А какие отчеты вы порекомендуете? Я вообще-то говорил лишь об одной конкретной статистической выкладке - сравнение кол-ва заражений в ХР и Vista на основе данных MSRT. Это очень простая статистика, переврать ее можно, пожалуй, лишь подтасовкой цифр. Берется набор зловредов, которые известны MSRT и смотрится, на скольки системах они обнаружены. Остается нормализовать по ОС, в процентном отношении. Я внимательно прочел критика отчета - в одном месте он высмеивает данные MSRT, но в другом контексте (я, кстати, смотрел отчет на полгода старше, но сути это не меняет). Если верить тому, что цифры правдивые, то получается, что на Vista количество заражений известным набором зловредов в N раз ниже, чем в XP. Означает ли это, что Vista безопаснее? Нет. Но это может служить один из аргументов в пользу такого заявления.

Может кому-то годится - так можно предотвращать передачу данных в Майкрософт если вы не хотите участвовать невольно в сборе инфы по никому неизвестным параметрам. Если вы свято верите, что это всё делается для нашего же блага, то тогда можно не напрягаться. Может быть стоит это тоже добавить в Книге, а?

Я думаю, что это вопрос не столько безопасности, сколько конфиденциальности.

На самом деле я действительно так думаю. Единственные, которые не будут иметь свободу выбора - те, которые хотят купить себе новую железу. Там же предустановлена Виста. Вот в чём часть ложного впечатления в цифрах о продаже и популярности данной ОС. Количество пользователей, которые решают на даунгрейд (то есть - шаг назад на XP) - выше, чем вы себе представляете. Естественно внимание уже не будет пристальным к Висте со стороны Майкрософта раз они уже начала с Win7. Это плохой знак, и я не стал бы покупать такую ОС.

Я вроде и не говорил ничего о продаже и популярности ОС, но раз уж вы коснулись темы внимания МС к ОС и того, следует ли ее не покупать из-за этого... Я смотрю на это так. Нужно учитывать, что вам нужно от ОС - насколько она соответствует вашим задачам, есть в ли в ней привлекательные фичи и т.д. (конечно, железо должно быть подходящим, это даже не вопрос). Вы, наверное, смотрите еще на то, насколько она безопасна по сравнению с имеющейся сейчас. Второе - это срок поддержки ОС (и к безопасности это имеет прямое отношение). Vista будет поддерживаться до 2012 года. http://support.microsoft.com/lifecycle/?p1=11734 А вы планируете установить 7 как только она выйдет или будете выжидать до SP1? Во втором случае вы еще года три на XP будете сидеть (думаю, что она вас вполне устраивает).

По отключению служб - там, где вы приводите аргумент 'неудобство' - я лично не согласен. Вам так кажется. Для того, чтобы оценить насколько на практике реально неудобно, вы должны сначала некоторые время так работать. Потом ещё поговорим. Повторяю - от тех, у которых я систему так настроил, жалоб до сих пор НЕ поступило...

Расходиться во мнениях - нормально. Я верю, что не жалуются ваши юзеры. Но может они просто не знают, как может быть удобно? Простой пример с избитой службой автообновлений, но в другом контексте. Куплена новая железяка и радостно воткнута в компьютер. Система пошуршит и поставит драйвер, который в ней шел на момент сборки. На диске драйвер - старье. Надо идти на сайт производителя, искать там. Это очень долго и неудобно (ибо я вижу, сколько вопросов задают в поиске драйверов у нас на форуме). В Vista обновлять драйверы через АО очень удобно. И многие из них вовсе не майкрософтовские, как некоторые думают. Просто АО - это канал доставки драйверов, предоставленных вендором по результатам совместной работы с МС. Ну да, можно пойти, включить службы, запустить диспетчер устройств, найти устройство и инициализировать обновление драйвера... неудобно это

Злостный оффтоп: я вот читаю обсуждение и все больше прихожу к выводу, что должно быть как минимум два уровня:
1. Книга - для продвинутых юзеров, желающих прочитать, понять, придти сюда поспорить/подискутировать наконец о каких то позициях и т.п. Главная мораль в том, что изучать книгу (и выполнять указанные там рекомендации, размышлять и спорить о них и т.п.) будет только продвинутый юзер, причем не просто продвинутый, но и желающий всесторонне защитить свой ПК от разных напасей

Не оффтоп вовсе, мы же книгу обсуждаем А целевая аудитория книги - это один из ключевых моментов. Он определяет подбор материала и уровень сложности в подаче информации. Я однако не полностью согласен с тезисом, что только продвинутые пользователям может понадобиться поразмышлять, понять и т.д. Продвниутость во многом нужна в том, чтобы знать, как это сделать. Возможно, большинству целевой аудитории не нужно знать, почему той или иной рекомендации нужно следовать. Но существует достаточно кол-во мыслящих людей, которым будут интересны аргументы за и против той или иной рекомендации. Они нужны для принятия взвешенного решения. Если говорить об отключении служб, например, то должны быть не только обоснование отключения, но и описание тех действий, которые станут недоступными пользователю.

2. Скрипт AVZ и (или) небольшая программулина (написать которую несложно, а еще проще сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность". И после двадцати подверждений (того, что юзер не пил, не курил и не нюхал ничего галюциногенного, и внимательно прочитал доку, и это не компьютер в сети со злобным админом) производить бекап текущих настроек, а далее автоматом делать настройку системы - отключать потенциально уязвимые службы, создавать политики безопасности и т.д., и т.п. по мотивам того, что описано в книге. Это именно то, что нужно среднему пользователю - чтобы что-то автоматом сделало настройку.

Мастер настройки безопасности - отличная идея! Именно мастер, а не твикер по принципу большой красной кнопки "применить все". Опять же, потребуется взвешенная подача информации для этих 20 предупреждений И, конечно, нужно предусмотреть возможность обратных изменений, на случай сильного закручивания гаек.

нужно для начала формализовать то, что конкретно можно фиксить/настраивать/прописывать и т.п. - списком, по пунктам

Это одна из самых трудных задач Возможно, нужно сначала определиться с категориями настроек безопасности, т.е. каждая должна относиться к той или иной категории, чтобы пользователю было понятнее.

[NickGolovko]

Злостный оффтоп: я вот читаю обсуждение и все больше прихожу к выводу, что должно быть как минимум два уровня:
1. Книга - для продвинутых юзеров, желающих прочитать, понять, придти сюда поспорить/подискутировать наконец о каких то позициях и т.п. Главная мораль в том, что изучать книгу (и выполнять указанные там рекомендации, размышлять и спорить о них и т.п.) будет только продвинутый юзер, причем не просто продвинутый, но и желающий всесторонне защитить свой ПК от разных напасей
2. Скрипт AVZ и (или) небольшая программулина (написать которую несложно, а еще проще сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность". И после двадцати подверждений (того, что юзер не пил, не курил и не нюхал ничего галюциногенного, и внимательно прочитал доку, и это не компьютер в сети со злобным админом) производить бекап текущих настроек, а далее автоматом делать настройку системы - отключать потенциально уязвимые службы, создавать политики безопасности и т.д., и т.п. по мотивам того, что описано в книге. Это именно то, что нужно среднему пользователю - чтобы что-то автоматом сделало настройку.

Замечу, что это уже третье предложение написать настройщик по мотивам книги. Первое было отклонено, второе было начато, но автор его не закончил (не знаю, почему). Вся надежда на вас

[chap]

Прочитал,и обрадовался-появилась таки надежда,что появится "большая красная кнопка", или программа,которая повысила бы общую безопасность.И не надо будет рыскать по форумам о безопасности ,выискивая чего надо отключить. Вы не представляете,сколько простых юзеров,было благодарно её создателю.Ведь обычному пользователю,все равно в какой ветке реестра что прописано,куда копируются файлы и т.д.,т.п.ИМХО конечно.

[zerocorporated]

Причем визард может быть умным и предлагать некие действия в зависимости от ранее выбранного типа ПК и режима (повышение быстродействия, повышение защищенности и т.п.)

Было бы хорошо сделать ползунок (Или что то подобное с упоминанием этого) "Безопасность - Удобства(Пока не привыкнешь)", чтоб пользователь осознавал с какими трудностями он столкнется, переходя на новые настройки. Ведь главное не как осуществить настройку, а как к ней привыкнуть потом.

[XP user]

Если верить тому, что цифры правдивые, то получается, что на Vista количество заражений известным набором зловредов в N раз ниже, чем в XP.

Они разного рода. Да, на Висте не будут вирусы, которые могут разрушить систему полностью, это, скорее всего так. Но преимущество XP в том, что её можно настроить так, что и конфиденциальность не страдает. Этого на Висте нельзя делать - НЕЛЬЗЯ. Не забудем при этом, что отправка данных разного рода можно осуществить со сами низкими привилегиями. Это особенно важно так как люди банкируют в он-лайне, и передают разные личные данные. Упоминаю, что если алертов о зловредах не было, что это ещё не значит, что система не заражена чем-нибудь! Не забываем также, что хакнуть систему - это НЕ разрушить или угрожать её! Это НЕЗАМЕТНО управлять, желательно без следов. Интересно становится, когда вы начинаете исследовать исходящий трафик с помощью сниффера. Но и это скоро нельзя будет делать по закону, я уже чувствую, куда двигаемся...

А какие отчеты вы порекомендуете?

Во всяком случае не отчёты MSRT, который не может обнаружить и/или удалить даже ничего, что во время проверки не активно. Я рекомендовал бы (с осторожностью и с оговоркой) - отчёты ресурсов, где люди приходят 'лечиться'. Ваш ресурс тоже в эту группу входит. Однако, то, что больше пациентов приходят с XP ещё не значит, что поэтому Виста - более безопасна. Можно лишь сравнивать ТИП ЗАРАЖЕНИЯ. К нам и с Вистой приходят, если я правильно понял. Статистик у меня нет по этому поводу. Есть личная практика - удалить на Висте (с установленной UAC, Windows Defender, и другими приблюдами) 'ручками' приходится обычно
1) Флеш-червей (хорошо ли это? Безопасные ли они, если они до самой системы не дотрагиваются?) UAC, Windows Defender, и предустановленный обновлённый Norton при этом молчат и последний мечтает о том, как пройти следующий VB100%... ) и
2) вредные тулбары всякие, которые сами по себе не предоставляют опасность для самой системы, но зато здорово раздражают. Скрипты работают в IE на Висте так же 'хорошо', как и на XP. У племянника видел - он на что-то щёлкнул, и потом не мог избавиться от девушек всяких... UAC, Windows Defender, и предустановленный обновлённый Norton молчали, кстати. Угроз для системы же не было?

= = = = = = = = = = = = = = = = = = = = Опять офф-топ, но достаточно важный:

Update: Нашёл всё-таки статью про статистику заражения Висты (16 мая этого года), которая более, чем серьёзно отличается от отчётов Майкрософта:
Почти 70% компов с установленной Вистой заражены - PCTools обвиняет UAC; Microsoft обвиняет юзеров. К сожалению для многих - на английском:

Out of every 1,000 Vista machines, 639 were infected by malware at some stage in the past six months, compared with 586 infections for PCs running Windows 2000.

То есть: из 1000 машин с Вистой 639 были заражены (то есть 6-7 из 10!).
Даже если это маркетинг со стороны PCTools, и надо отнимать 50%, то тогда всё равно у меня одна только реакция ->
Вы представляете, что там говорится?! Больше заражений на Висте, чем на Win2000, которую Microsoft уже давно бросила?! Естественно скоро 'ещё лучше' будет...

P.S.: Посмотрим на 'fight-or-flight reaction' от Майкрософта. Аргумент, что юзеры все, допустим, отключают UAC (не верю, но допустим) ничего такого не доказывает - на Win2000 тоже все сидят под Админа, щёлкуют на те же вещи в он-лайн, устанавливают те же ActiveX штучки, - я в этом не сомневаюсь. Выходит, что если UAC убрать, то тогда Виста опаснее, чем её 'младшая сестра'? Даже аргумент о том, что, скорее всего, не пропатчили Висту не состоится - для Win2000 ниже сервис пак 4 уже давно не выдаются обновления. Сравнительно больше пиратских версий Висты, может быть? Нет, нет... На Win2000 вообще WGA не распространяется и требуется проверка лицензионности только для определённых некритических обновлений; если где-то пираты должны быть, то тогда там...

И если эти отчёты PCTools так различаются от отчётов Майкрософта, с какой цели Майкрософт тогда шпионит у нас на компе? Правильно, MRT = Mission Readiness Test, и работает не совсем как заявлено; это даже не маркетинговая тулза, и отчёты о зловредах 'законопослушной' Microsoft 'тупому народу' лишь - цирк небольшой...
P.S.1: Одобряю цель - презираю методы (= широкомасштабный обман народа таким образом).
P.S.2: Кто хочет меня обвинить в излишней параное должен знать, что pcworld.com достаточно серьёзный ресурс; я это не сам придумал.

= = = = = = = = = = = = = = = = = = = = Конец офф-топа

Ещё раз насчёт XP-Vista:
Сама Майкрософт, естественно, говорит, что в этот раз всё 'ещё лучше' стала - эту пластинку они уже годами крутят. Но в итоге получается как всегда. Кто хочет, тот и найдёт высказывания экспертов о том, что Vista НЕ лучше, чем XP с точки зрения безопасности. Как только Майкрософт 'абортирует' XP, ещё увидим, какая она, эта Виста... На ней настройки управления так глубоко спрятанны, не могу прямо. А знаете почему? 'Бедный Юзер во всём виноват'. Его как элемент надо было убрать. Слов нет для такого мышления. Не там надо искать решения проблем дефективной ОС. Смотрели на Линукс, и недопоняли, как там сделано всё...

(про MRT) Я думаю, что это вопрос не столько безопасности, сколько конфиденциальности.

1) Безопасность и конфиденциальность во многом неразрывно связаны. Я простестую против разделения этих двух понятий. Если нет конфиденциальности, то тогда часто и безопасности нет.
2) Всё хорошо, пока никто 'под MRT не косит' и не отправляет данные куда-нибудь в другое место. Я готов ДОБРОВОЛЬНО даже делиться своими данными с Майкрософтом, но давайте всё-такие договориться о том, что и как. Когда они начинают играть на дураков, и даже не предоставляют обычным юзерам кнопку для отмена Игры, то тогда они в меня нашли своего врага.

Я вроде и не говорил ничего о продаже и популярности ОС, но раз уж вы коснулись темы внимания МС к ОС и того, следует ли ее не покупать из-за этого...

Это сама Майкрософт делает постоянно, поэтому и был вынужден об этом начинать.

Я смотрю на это так. Нужно учитывать, что вам нужно от ОС - насколько она соответствует вашим задачам, есть в ли в ней привлекательные фичи и т.д. (конечно, железо должно быть подходящим, это даже не вопрос).

А Майкрософт же это сама не позволяет? Она подталкивает, вынуждает. Мне Виста как новшество не нужна, это я сразу понял. Я там скорее всего 2/3 функциональности отключу или удаляю (900 МБ на поддержку китайского языка вам разве нужна? ), и всё равно буду неуверен, что мои данные не куда-нибудь уходят. Я даже не понимаю, что людей это не волнует. Теперь, как только я буду вынужден купить себе новый компьютер, у меня выбора не будет - либо купишь Висту, либо переходишь на Линукс или Мас. Одновременно, организации по обслуживанию компов делают хороший бизнес, кстати - они даже включили 'даунгрейд' на XP как бизнес, и делают на это хорошие деньги. Спасибо Майкрософту, или как? Может быть всё-таки не все пользователи - дураки?

Вы, наверное, смотрите еще на то, насколько она безопасна по сравнению с имеющейся сейчас. Второе - это срок поддержки ОС (и к безопасности это имеет прямое отношение). Vista будет поддерживаться до 2012 года.

Я смотрю на то, насколько она УПРАВЛЯЕМАЯ. Нет управления, нет безопасности - точка.
Безопасность и конфиденциальность не разделяю как понятия. Если я должен ПОЛНОСТЬЮ ДОВЕРЯТЬ либо Майкрософту, либо какому-нибудь вендору по продуктам безопасности (получают свой статус в Редмонде же) из-за того, что некоторые вещи системно просто не настраиваются, то тогда это для меня сигнал, что надо переходить на что-нибудь другое. Я слишком часто видел, что Security Center какого-нибудь 'решения по безопасности' обозначает всё зелённым, пока спамбот какой-нибудь отправляет с бешенной скоростью спам с этой же 'полностью безопасной системы'. Такая 'защита' мне не нужна.

А вы планируете установить 7 как только она выйдет или будете выжидать до SP1? Во втором случае вы еще года три на XP будете сидеть (думаю, что она вас вполне устраивает).

Нет, я в процессе выбора ОС другого производства. Майкрософт и самые крупные вендоры продуктов безопасности для Windows врут по инерции - они меня как клиента потеряли навсегда.

Но может они просто не знают, как может быть удобно?

Естественно - я не особо стермляюсь к удобсту и к настройкам по умолчанию. Я выше уже излагал почему. Драйвера надо иногда установить, но это же не каждый день, правильно? Вы входите под админ, и такие сложные сценарии, как вы описали вовсе не происходят. Дважды щёлкать на установщик драйвера, и всё. Какие проблемы? Через систему RunAs, однако, действительно могут быть проблемы неправильной установки из-за смешения пользовательских профилей.

Если говорить об отключении служб, например, то должны быть не только обоснование отключения, но и описание тех действий, которые станут недоступными пользователю.

Возможно. Но обычно описание той или иной функциональсности как страшный чёрный ход для зловредов более, чем достаточно для обычного юзера для того, чтобы отказаться от такой функциональности, какой удобной она ни была бы. В таких аргументах, естественно, легче верить, когда вы уже прошли этап, где вы надеялись на программы защиты, и они вас не спасли от беды.

*****

Общее замечание - Я очень рад, что вы начали данное обсуждение - это и меня заставляет заново формулировать (но вовсе не отменить!) некоторые вещи в голове.
Естественно, такие экстремальные твики как, например 'Как обезвредить Internet Explorer?' я в такой книге не пропагандировал бы никогда. Хотя - у меня на компьютере зловред должен таскать с собой IE, для того, чтобы хоть что-нибудь делать в системе. Здорово, не так ли? И то, что можно ВСЕ ликтесты Матусека проходить без файрвола и/или HIPS для многих тоже удивительное открытие, я предполагаю. При этом, КАЖДЫЙ может эффективно работать на моём компе, я в этом более, чем уверен; функциональность не страдает, и удобство не страдает. Некоторые вещи, возможно, непривычны, но 'непривычно' и 'неудобно' - разные вещи.

Paul

[Alex Plutoff]

...(или) небольшая программулина (написать которую несложно, а еще проще сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность"...

-всё время не покидало смутное ощущение, что мне уже встречалось некое подобие такой "программулины"... и вот нашёл...

"Shutdown Windows' servers" is a program, which makes Microsoft Windows XP Home, Microsoft Windows XP Professional and Windows 2000 much more secure from attacks from the network...

-Shutdown Windows' servers отключает ненужные службы, правда, кажется только сетевые, но всё же...

[XP user]

-всё время не покидало смутное ощущение, что мне уже встречалось некое подобие такой "программулины"... и вот нашёл...
-Shutdown Windows' servers отключает ненужные службы, правда, кажется только сетевые, но всё же...

Да. Это любимый инструмент Rene-Gad. Он неоднократно уже дал ссылку на форуме в разных темах. Хорошо, что упомянули. Надо бы в ФАК ... гм... простите , в Чаво поместить...

Paul