-
Junior Member
- Вес репутации
- 56
Двухуровневая защита
Модераторам: если сочтете, что этой теме место в другом разделе - перенесите, плз.
Всем привет!
Вкратце: есть некая концепция. Интересно, реализована ли эта концепция как готовый программный пакет.
Подробно.
Есть известная проблема: чем лучше защищена система, тем больше ресурсов тратится системой на средства защиты. Другими словами, по-настоящему надежный антивирус нехило нагружает систему своими задачами, порой и вовсе оттягивая львиную долю ресурсов на себя. Это по понятным причинам напрягает. Да, есть более "легкие" пакеты, но... после нескольких случаев, когда подобные "защитники" лажали, доверия к ним больше нет (известно, что полная незащищенность лучше, чем защищенность кажущаяся).
То есть, получается извечный компромисс, когда мы должны смириться с тем, что отдаем половину мощности своей системы как плату за (относительную) безопасность.
Внимание, вопрос.
Можно ли сделать так:
0. Есть две загрузки - "Рабочая" и "Инквизиция".
1. В "Рабочей" конфигурации стоит "дежурный" пакет, сильно систему не обременяющий (напр., NOD32).
2. Периодически (или по необходимости) мы перегружаемся в скрытый раздел на жестком диске, на котором стоит своя (урезанная) винда и "тяжелый" антивирус, обновляем базы и устраиваем "зачистку местности" - эту среду назовем "Инквизиция".
(Примечание: подобный принцип реализован в другой области - Акронис ТруИмедж использует скрытый раздел для восстановления системы после инцидентов)
Преимущества очевидны:
1. Задействованы два разных антивиря, которые друг другу не мешают, т.к. живут "в параллельных пространствах", но - ВЗАИМОДОПОЛНЯЮТ.
2. В "Рабочей" среде у пользователя не отжираются ресурсы.
3. В ЛЮБОЕ время можно быть уверенным в том, что систему можно вылечить (если это в принципе возможно)
4. Фактически, это реализация двухуровневой защиты: "легкий" антивирус выполняет роль грубого сита, отлавливающего основной мусор, "тяжелый" - своеобразный "истребительный отряд", не оставляющий вирусне вообще никаких шансов, поскольку скрытый раздел "основной" системой НЕ ВИДИТСЯ ВОВСЕ, т.е. заразить его невозможно.
В сочетании с разумной политикой резервного копирования получаем неубиваемую среду, которой отныне не страшны ни вирусы, ни проблемы с железом.
Отдельно: присутствие в "Рабочей" среде фаервола оставляем за скобками (например потому, что можно использовать "железный").
Что, есть такие решения?
Если есть, хотелось бы узнать о них поподробнее.
Дополнение.
Эта тема была поднята мной ранее на тхг.ру (использую русское наименование дабы не было обвинений в рекламе сторонних ресурсов), но, как мне показалось, тамошняя аудитория несколько... гм... нецелевая для адекватного анализа. Тем не менее, оттуда было вынесено полезное на мой взгляд мнение, что "Инквизицию" лучше ставить не на винду, а на линукс (основное достоинство решения - принципиальная невозможность повреждения данной системы виндузовыми зловредами)
Если таковых "коробочных" (поставил-и-заработало) решений нет, может, эта мысль покажется достаточно интересной, чтобы её воплотить в жизнь?
Последний раз редактировалось facehunter; 16.01.2009 в 05:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
facehunter
Если таковых "коробочных" (поставил-и-заработало) решений нет, может, эта мысль покажется достаточно интересной, чтобы её воплотить в жизнь?
В вашей системе зашиты, есть некоторые недочеты, как мне кажется:
1. Против "утекания" в сеть паролей будут предприняты дополнительные меры?
2. "Зачем лечить, если проще предотвратить заражения?" Ссылки в подписи смотрите.
3. Даже мощный антивирус может "не увидеть" что-то.
P.S: Многие люди, прочитав надпись, что они покапают "Самую защищенную ОС" не задумываются, что безопасностью нужно ещё научиться пользоваться.
-
-
В случае "инквизиции"
Насколько часто будут перегружаться в скрытый раздел
Насколько часто будут обновляться антивирусные базы,
Где гарантия что "тяжелый" антивирус (интересно это какой?) увидит зловредов,
"тяжелый" антивирус почистит файлы - останется мусор в реестре.
Этот способ немного отличается от лечения с загрузочного CD, но вряд ли имеет какие-то преимущества (расход места на винте)
И ещё, как правильно выше сказали, легче предотвратить заражение, кроме "легкого" антивируса есть весьма достойные решения (кроме настройки безопасности самой ОС), например применение HIPS не требует большого кол-ва ресурсов.
-
Сообщение от
facehunter
М Тем не менее, оттуда было вынесено полезное на мой взгляд мнение, что "Инквизицию" лучше ставить не на винду, а на линукс (основное достоинство решения - принципиальная невозможность повреждения данной системы виндузовыми зловредами)
Это мнение мягко говоря некоректно ... так как существует тьма деструктивных зверей, которые просто уничтожают данные на диске (так называемые диск-киллеры), и им совершенно нет разницы, видимый это раздел или невидимый, Windows там или Linux. Аналогично с руткитами - если руткит-драйвер перехватывает работу с диском и в его деятельности возникает косяк, то он может поубивать и покорежить данные на всем диске на логическом уровне. В остельном метод крайне кривой именно из-за того, что описано выше - он не спасет от утечки паролей, а лечение из другой системы нередко убивает основную из-за того, что зловреды могут хитро прописаться в реестре и без его зачистки лечение превратится в убиение системы. В остально загрузка с CD или флешки в данном случае выигрывает ввиду того, что это отчуждаемый носитель, в случае с CD еще и ReadOnly
-
-
Если уж так озаботился защитой, то
-
-
Junior Member
- Вес репутации
- 56
zerocorporated
ознакомился со ссылками в подписи. "много думал" (с)
интересно, что настройка политики безопасности - реальный способ отказаться от присутствия антивируса в системе. неудивительно, что этот подход не популяризуется (произвоидителям антивирусных пакетов это как нож по горлу). с другой стороны, чтобы воспользоваться этим способом, необходимо:
1. желание найти решение проблемы с безопасностью
2. некоторый объем знаний, чтобы задавать правильные вопросы
поэтому производители антивирусов в ближайшие 100 лет без работы не остануться, к сожалению.
Pili
Насколько часто будут перегружаться в скрытый раздел
периодически (настраивается индивидуально, в зависимости от уровня паранойи в крови) либо по требованию (например, если по графику автоматически система ребутнется в "Инквизицию" только в пятницу, а система ведет себя странно уже сейчас)
Насколько часто будут обновляться антивирусные базы
при каждой загрузке системы. соответственно, "Рабочая" конфигурация обновляется согласно установленным настройкам антивируса, а "Инквизиция" - каждый раз, когда в нее загружаются.
Где гарантия что "тяжелый" антивирус (интересно это какой?) увидит зловредов
100% гарантий нет в любом случае, но разве два отдельных Геракла не вычистят Авгиевы конюшни лучше, чем один?
под "тяжелым" лично я понимаю Касперского. впрочем, у каждого могут быть свои соображения на этот счет.
способ немного отличается от лечения с загрузочного CD, но вряд ли имеет какие-то преимущества
лично для меня этот способ имеет кардинальные преимущества:
1. в отличие от "волшебного ЦД", ВСЕГДА есть под рукой (разумеется, при условии, что мы воспользовались моим алгоритмом)
2. в отличие от "волшебного ЦД", антивирусные базы всегда самые свежие
4. в отличие от "волшебного ЦД", НЕТ НУЖДЫ ГРУЗИТЬСЯ ИЗВНЕ: далеко не на всех машинах установлен лоток СД/ДВД привода, грузиться с флешки умеют далеко не все машины (а иногда эти явления совпадают!)
этот способ как раз и придумался, чтобы избавиться от необходимости работать с внешними носителями информации.
(про "расход места на винте" - не буду говорить, ибо по нынешнем временам это просто смешно)
Зайцев Олег
в целом - согласен, что в случае проникновения деструктивного вируса внешний носитель надежнее. но в этом случае, кмк, систему лучше вообще переставить. да и не в системе дело, а в данных. вот их бы спасти... но для этих целей нужно пользоваться бэкапом.
вообще, после переосмысления подхода к настройке безопасности необходимость городить огород из двух ОС вроде бы отпадает.
буду думать.
-
"Инквизицию" лучше ставить не на винду, а на линукс (основное достоинство решения - принципиальная невозможность повреждения данной системы виндузовыми зловредами)
што таки вы хотите сказать что при желании из под винды я не снесу ext3 ?
а во вторых представим ситуейшн что есть таки раздел с линюхом на котором есть авп а-ля "убойный отдел" с супер пупер авп, теперь вопрос вы пробовали настроить под самым свежим линюхом USB INTERNET KEY который я к примеру использую для конекта со всемирной глобальной сетью )))? флаг вам в руки и барабан на шею но извините без регулярных апдейтов авп не авп.
-
Junior Member
- Вес репутации
- 56
[500mhz]
я в линухе разбираюсь как свинья в апельсинах, поэтому и транслировал сюда это мнение. признаюсь, оно мне показалось здравым, хотя изначально я думал скорее о скрытом (и зашифрованном, если нужно) диске. Но это все равно не спасет от деструктивного вируса, который работает напрямую с железом, а не с логикой - не так ли?
в любом случае, почитав приведенные материалы, я теперь и сам склоняюсь к подобному методу (настройка профилей пользователей и разграничение доступа).
-
facehunter
Но это все равно не спасет от деструктивного вируса, который работает напрямую с железом, а не с логикой - не так ли?
ну в теории проактивка должна пресекать попуки доступа к физическим девайсам типа диска, на практике хз.
да и права админа нада иметь для этого, но с учетом того что 90% юсеров именно под админом и сидят то пол работы как бы уже сделано )))
на мой взгляд на данный момень развития цивилизации - загрузочный девайс со свежими базами единственная панацея.
-
Junior Member
- Вес репутации
- 56
[500mhz]
а мне чрезвычайно импонирует метод, рекомендованный выше - если грамотно отстроить систему, то и антивирус (резидентный) в системе не нужен.
-
facehunter
не забывайте про человеческий фактор - МарьВанна бугалтер которая запросто запустит gift.exe который ей свалился на мыло
ну и естественно баги в ПО, их тоже со счетов скидывать нельзя
-
Junior Member
- Вес репутации
- 56
[500mhz]
а вы читали материалы по ссылкам из подписи zerocorporated? там этот момент подробно разобран.
-
Сообщение от
facehunter
[500mhz]
а мне чрезвычайно импонирует метод, рекомендованный выше - если грамотно отстроить систему, то и антивирус (резидентный) в системе не нужен.
На домашних ПК если один пользователь использует его, то может помочь, а вот если несколько пользователей используют ПК и/или это корпоративный ПК, то антивирус как минимум незаменим.
-
-
facehunter какую именно из 4? )
-
Junior Member
- Вес репутации
- 56
[500mhz]
первую
zerocorporated
никакой разницы, один человек работает или 10
главное, чтобы были прописаны политики и пользователи были разведены по своим учетным записям.
даже если "тётя клава из бухгалтерии" наступит на левый экзешник, ничего непоправимого не произойет - админский пригляд ведь никто не отменял.
-
даже если "тётя клава из бухгалтерии" наступит на левый экзешник, ничего непоправимого не произойет
произойдет если ехешник по какимто нам неизвестным причинам получет сустем права
-
Junior Member
- Вес репутации
- 56
[500mhz]
ну как же он их получит, если
а) юзер работает в своей учетке
б) на все известные экзешники есть разрешения, неизвестные запрещены
вообще, ртфм.
-
Сообщение от
facehunter
zerocorporated
никакой разницы, один человек работает или 10
главное, чтобы были прописаны политики и пользователи были разведены по своим учетным записям.
даже если "тётя клава из бухгалтерии" наступит на левый экзешник, ничего непоправимого не произойет - админский пригляд ведь никто не отменял.
Причины, по которым при нескольких учетных записях стоит держать антивирус:
1. Данные пользователя могут зашифровать/удалить.
2. Могут использовать уязвимости системы, чтоб обойти ограничения пользователя.
3. Антивирус известные вредоносы удаляет автоматически - администратор физически не сможет 2 и более учетные записи проверять постоянно.
4. Конфиденциальные данные могут отослать в сеть.
P.S: Хотя как посмотреть - политика ограниченного использования программ не даст запустить .exe файл
-
-
Junior Member
- Вес репутации
- 56
zerocorporated
сразу с конца -
политика ограниченного использования программ не даст запустить .exe файл
так и я о том же (только не понял, что в этом смешного)
соответственно, остается только проникновение через уязвимость системы - а против этого разве антивирус не бессилен?
-
Сообщение от
facehunter
zerocorporated
сразу с конца -
так и я о том же (только не понял, что в этом смешного)
соответственно, остается только проникновение через уязвимость системы - а против этого разве антивирус не бессилен?
Как показывает практика бывает бессилен, да и вылечить не может например:
http://virusinfo.info/showthread.php?t=37252
http://virusinfo.info/showthread.php?t=37131
http://virusinfo.info/showthread.php?t=37308
http://virusinfo.info/showthread.php?t=37220
Кстати в в зараженной локалке все пользователи естественно под учеткой.
-