Развод на новые компьютеры

← →
ocean (2010-01-29 11:55) [0]

Сабж происходит давно и интенсивно. Тех же графиков разводят объективно, дают новые возможности, игрочил держат на игле, MS держит за горло всех сразу. Сейчас я хочу сказать про антивирусы. Наболело. Работать в Интернете без могучей антивирусной системы нельзя, канал широкий, вирусы и спам шлют роботы (чем вам не Скайнет). У меня в ЛВС есть слабенькие тачки, типа Cel 2/512 DDR1. Ну слабенькие, но служебные программы летают. Но нужен Инет. Фирма купила новый антивирус, я проставил, и эти бедняги просто встали. Напр. чтобы открыть ворд-документ можно подождать минут 10. Касперский примерно так же, SAV несколько добрее, но тоже заметно тормозит. Хорошо только с Avast, но этого явно недостаточно. Мало того, что приходится покупать технику в угоду Б.Гейцу, теперь надо еще удовлетворить Касперского! Не желаю!
У кого есть достойный опыт построения защиты станции без тяжеловесов?

← →
Jeer © (2010-01-29 11:59) [1]

Intranet.

← →
tesseract © (2010-01-29 12:07) [2]

> У кого есть достойный опыт построения защиты станции без
> тяжеловесов?

Squid + DansGuardian + ClamAv + SpamAsassin на гейте, chrome/Opera на машинах, блокировка USB флэшек. С интернета само ничего не приходит.

← →
ocean (2010-01-29 12:13) [3]

> chrome/Opera на машинах
Открывают не все. И что, станции вообще без защиты? Кроме того, есть еще ява и, к сожалению, корпоративный софт.
> блокировка USB флэшек
Нереально.

← →
tesseract © (2010-01-29 12:17) [4]

> И что, станции вообще без защиты? Кроме того, есть еще ява
> и, к сожалению, корпоративный софт.

Java вирусов не так много.

> Открывают не все.

Да лан. Всё открывают, ты из какого тысячелетия?

> И что, станции вообще без защиты?

Без админских прав и без explorer.

> > блокировка USB флэшек
> Нереально.

Не нереально - а "канал утечки информации и притечки вирусов".

← →
stas © (2010-01-29 12:23) [5]

1. Инет через прокси, на нем же фаервол, антивирус, список доступных сайтов.
2. Инет на терминальном сервере.
3. Все на мощном терминальном сервере.

← →
БарЛог © (2010-01-29 12:23) [6]

ocean (29.01.10 11:55)
тоже купили каспера. тоже проблемы со слабыми компами :)
Приезжали спецы от него - сказали, надо делать для слабых компьютеров отдельную группу и накладывать щадящую политику (откл. вебантивирус, антишпион и т.п., автопроверки пореже).

← →
ocean (2010-01-29 12:24) [7]

Я немного на взводе. Но идея понятна. Усилить защиту на прокси и военную дисциплину на станциях. Кстати, Squid многие хвалят, я сам не пробовал. Что-то останавливает. Открытое сообщество, крутые ребята... долго ли им еще ходить без работодателей? Действительно перспективная штука?

← →
ocean (2010-01-29 12:29) [8]

> Инет через прокси, на нем же фаервол, антивирус, список > доступных сайтов.
Без спецмер как [2] не поможет.
> 2. Инет на терминальном сервере.
> 3. Все на мощном терминальном сервере.
Вот про терминалы не надо, господа. Это - развод разводов, видимо предстоит многим рос.гос.конторам.

← →
tesseract © (2010-01-29 12:33) [9]

> Это - развод разводов, видимо предстоит многим рос.гос.конторам.

Абсолютно согласен. Ограничение на доступ к файлам - сильно снижают нагрузку. UAC в принципе тоже немного помогает, ограничить запуск exe и всё. Что не так - к админам, они через RDP разрешат. В принципе это нормальная политика безопасности в любой более-менее крупной организации.

← →
Дмитрий Белькевич (2010-01-29 13:25) [10]

Развод на хорошего админа.

← →
Smile (2010-01-29 13:51) [11]

Не обсуждая "тяжеловесов", замечу, однако, что складывается определенное мнение о руководстве вашей фирмой (слабенькие тачки, типа Cel 2/512 DDR1).
:(

← →
ocean (2010-01-29 13:52) [12]

> Развод на хорошего админа.
Ты про что, голубь? Про меня, про себя, про терминалы? Во всяком случае таких хороших админов как ты есть только один, а что делать остальным конторам?
А попался бы мне сейчас, вообще бы ни одного не осталось.
Сама идея терминалов хороша, недаром она реализована еще в 60-х. Не здесь бы об этом спорить, есть тут много соображений и мнений. Я считаю, перевод пользователей на терминалы отнимет у пользователя многие возможности, а задача того же Белькевича как админа - предоставить пользователю все, что дает современная техника. Почему-то многих, особенно слабограмотных людей, имеющих отношение к спецтоделам и службам, очень привлекает идея ограничить права пользователя. Тогда уж сажайте его сразу в тюрьму, чего мелочиться.

← →
Делфиец (2010-01-29 15:06) [13]

> БарЛог © (29.01.10 12:23) [6]
> ocean (29.01.10 11:55) тоже купили каспера. тоже проблемы
> со слабыми компами :)Приезжали спецы от него - сказали,
> надо делать для слабых компьютеров отдельную группу и накладывать
> щадящую политику (откл. вебантивирус, антишпион и т.п.,
> автопроверки пореже).

Что значит со слабыми только, там и сильные загибаются не хуже, дочего уж напичкано внем!!! "каспер" чуть ли не свое ядро предлагает.

← →
БарЛог © (2010-01-29 15:11) [14]

Делфиец (29.01.10 15:06) [13]

Из нескольких тысяч пользователей жаловалось человек 50-75. Из них 30 - по делу (со слабыми компами). У меня ко компьютере (1Гб, кор2) всё отлично работает наряду с аутлуком, вордом, несколькими терминальными сессиями и т.п. (не говоря уже о торренте :))

← →
KilkennyCat © (2010-01-29 15:44) [15]

я работаю в интернете без антивируса, и ниче. просто мытье рук не спасает от глистов, если говно жрать.

← →
KSergey © (2010-01-29 16:10) [16]

> ocean (29.01.10 13:52) [12]
> идея ограничить права пользователя. Тогда уж сажайте его
> сразу в тюрьму, чего мелочиться.

Давайте определимся для начала с простыми вещами: вам работу работать или как? Т.е. что в первую очередь пользоватлю должно быть удобно: заходить на одноклассников или запустиь 1С с вордом? Если уж и связана работа с интернетом - это это явно один-два сайта, собственных. До них по интранету достучаться можно или по спецовому маршруту под это заточенному.
Это первый, самый важный вопрос.
Давайте с ним олпределимся, расставим приоритеты - а потом дальше пойдем. Без эмоций и голубей.

← →
mare sveticvm (2010-01-29 16:10) [17]

Тема так пафосно названа... развод... и т.д...

Развод, это мошенничество - в данном случае ни какого развода нету, будто бы кто-то заставляет покупать новые машины.
Вы бы еще висту туда втулили...

У нас прекрасно работают еще Cel433/64.
Да. Каспера туда никто ставить не додумался. Ибо слава богам, нету каспера под ДОС. Но работают и о таком старье как у вас мечтают...

PS: Как говорят - зажрались вы там в своей маскве...

← →
0x00FF00 (2010-01-29 16:10) [18]

(в порядке бреда, a.k.a. троллинга:)

...никсы?

← →
KSergey © (2010-01-29 16:11) [19]

> Smile (29.01.10 13:51) [11]

Вообще не понял. Потрудитесь разьяснить.

← →
KilkennyCat © (2010-01-29 16:11) [20]

> Да. Каспера туда никто ставить не додумался.

Тогда мы идем к вам! :)

← →
KSergey © (2010-01-29 16:12) [21]

> 0x00FF00 (29.01.10 16:10) [18]
> ...никсы?

Да! И с MS Вордом, пожалуйста! :)

← →
0x00FF00 (2010-01-29 16:12) [22]

WINE спасёт отца русской демократии, вестимо =)

← →
0x00FF00 (2010-01-29 16:15) [23]

...Заодно и в быдлоказуальщину на рабочем месте поменьше будут играть, в силу потенциального незнания процедуры установки.

← →
Павел Калугин © (2010-01-29 16:17) [24]

> > блокировка USB флэшек
> Нереально.

Реально. скусываются проты кусачками и все.

← →
0x00FF00 (2010-01-29 16:18) [25]

> Павел Калугин © (29.01.10 16:17) [24]

Ого. Сурово!

← →
БарЛог © (2010-01-29 16:33) [26]

> Реально. скусываются проты кусачками и все.

А если гарантия?

← →
KSergey © (2010-01-29 16:36) [27]

> БарЛог © (29.01.10 16:33) [26]
> А если гарантия?

На Cel 2/512 DDR1.

← →
KSergey © (2010-01-29 16:37) [28]

> 0x00FF00 (29.01.10 16:12) [22]
> WINE спасёт отца русской демократии, вестимо =)

А мне вот всегда интересно: как WINE помогает от вирусов? Ну т.е. раз вирус может работать в Win, а WINE эту Win эмулирует - то и вирус должен работать?

← →
Дмитрий Белькевич (2010-01-29 16:42) [29]

>особенно слабограмотных людей, имеющих отношение к спецтоделам и службам, очень привлекает идея ограничить права пользователя

Как голубь голубю говорю. Мухи - отдельно. Котлеты - отдельно. И антивирус на каждой машине не нужен будет.

> Ну т.е. раз вирус может работать в Win, а WINE эту Win эмулирует
> - то и вирус должен работать?

Там ограниченный фрэймворк. Но если приложение требует IE например то да УСТАНАВЛИВАЮТСЯ :-) С 1.1.3 вроде.

> Реально. скусываются проты кусачками и все.

Ну это слишком. Просто отбираются права админа. Флэшка не определится.

> tesseract © (29.01.10 16:46) [30]
> Просто отбираются права админа. Флэшка не определится.

Да ну нафик?! Серьёзно?? (я, не уверен, что не тыкал в комп новой флешкой под неадмином, но мерещится, что всегда определяется).

Вообще на сколько я понимаю все зло флешек - в автозапуске. Его как раз надежно заблокировать можно.

← →
Делфиец (2010-01-29 17:07) [32]

> KSergey © (29.01.10 16:37) [28]
> > 0x00FF00 (29.01.10 16:12) [22] > WINE спасёт отца русской
> демократии, вестимо =)А мне вот всегда интересно: как WINE
> помогает от вирусов? Ну т.е. раз вирус может работать в
> Win, а WINE эту Win эмулирует - то и вирус должен работать?
>

А вот и не "вси" зверьки в эмуляторах работают, щас такая мода пошла у них
"антиотладка", "антиЭмуляция", "Isdebugpresent" ну и самое главное "детект виртуальных машин" \m/ дабы под виртуалками не работало, а если этого всего нет, то можно сказать это "детишки балуются"

> Да ну нафик?! Серьёзно?? (я, не уверен, что не тыкал в комп
> новой флешкой под неадмином, но мерещится, что всегда определяется).
>

Power User <> User. Группы посмотри, в каких пользователи находятся.

> а если этого всего нет, то можно сказать это "детишки балуются"

jScript вирусняки и троянцы по этому варианту не поймаешь.

> Делфиец (29.01.10 17:07) [32]
> то можно сказать это "детишки балуются"

Это так, но пользователю, у которго "детский сад" завелся - не легче ведь :) Равно как и админу, все едино вычищать.

А вот интересно, есть ли такой протокол общего хранилища (файлов, документов), который бы позволял прозрачно документы открывать/править/сохранять, но был недоступен вирусам? Ну или хотя бы непопулярен?

Ну т.е. я о чем. Можно вместо антивирусов просто хранить образы установленных систем и быстро их перенакатывать, почти в автоматическом режиме и за малое время при любых проблемах.
Но что делать с данными, документами (вордовскими, например)? Как их хранить/править?

> tesseract © (29.01.10 17:12) [33]
> Power User <> User. Группы посмотри, в каких пользователи находятся.

Я дома User. Про это и рассказываю. Но, правда, я "случайные" флешки не пихал (не приходилось просто), только пару своих, известных заранее, т.к. с них софт под админом устанавливал. Потому определятся или нет другие - не знаю.
Одна беда - время не дают править по дефолту юзеру, пришлось допиливать :)

← →
GDI+ (2010-01-29 17:36) [37]

> ocean (29.01.10 11:55)
>
> Сабж происходит давно и интенсивно. Тех же графиков разводят
> объективно, дают новые возможности, игрочил держат на игле,
> MS держит за горло всех сразу. Сейчас я хочу сказать про
> антивирусы. Наболело. Работать в Интернете без могучей антивирусной
> системы нельзя, канал широкий, вирусы и спам шлют роботы
> (чем вам не Скайнет). У меня в ЛВС есть слабенькие тачки,
> типа Cel 2/512 DDR1.

Какой-то из Линуксов + OpenOffice + FF + Wine для тех программ которые нужны под виндой + DosBox(если осталось такое зверьё). На Cel2/512 будет летать, если в KDE гламур отключить (ползунком).

Большинство не заметит отличия от XP, а за попытки запуска игрушек на этих машинах - штрафовать.

← →
Дмитрий Белькевич (2010-01-29 17:42) [38]

> Вообще на сколько я понимаю все зло флешек - в автозапуске.
> Его как раз надежно заблокировать можно.

Всё зло - что могут что угодно принести и что угодно унести. И не только непосредственно с флэш - любой масс сторейдж (у меня, например, телефон как масс сторейдж работает).

http://www.nowa.cc/showthread.php?t=51978
http://support.microsoft.com/kb/823732

И вообще - в гугле "отключить OR запретить флэшку". Не думайте, что проблема такая уж уникальная.

> Дмитрий Белькевич (29.01.10 17:42) [38]
> И вообще - в гугле "отключить OR запретить флэшку".

Душитель, "малообразованный" агент и все такое, ага :)

Я на днях на Cel 1100 256 ОЗУ поставил Убунту, разумеется, с опенофисом..
Как ни странно, но сотрудница, которой предстояло на ней работать, осталась весьма довольна.. Она воткнула свою рабочую флэшку, скопировала doc"и и таблицы екселя, даже формат не меняет, так в MS"вских доках и работает..)

Развод на новые компьютеры Найти похожие ветки