Развод на новые компьютеры

← →
ocean (2010-01-29 11:55) [0]

Сабж происходит давно и интенсивно. Тех же графиков разводят объективно, дают новые возможности, игрочил держат на игле, MS держит за горло всех сразу. Сейчас я хочу сказать про антивирусы. Наболело. Работать в Интернете без могучей антивирусной системы нельзя, канал широкий, вирусы и спам шлют роботы (чем вам не Скайнет). У меня в ЛВС есть слабенькие тачки, типа Cel 2/512 DDR1. Ну слабенькие, но служебные программы летают. Но нужен Инет. Фирма купила новый антивирус, я проставил, и эти бедняги просто встали. Напр. чтобы открыть ворд-документ можно подождать минут 10. Касперский примерно так же, SAV несколько добрее, но тоже заметно тормозит. Хорошо только с Avast, но этого явно недостаточно. Мало того, что приходится покупать технику в угоду Б.Гейцу, теперь надо еще удовлетворить Касперского! Не желаю!
У кого есть достойный опыт построения защиты станции без тяжеловесов?

← →
Jeer © (2010-01-29 11:59) [1]

Intranet.

← →
tesseract © (2010-01-29 12:07) [2]

> У кого есть достойный опыт построения защиты станции без
> тяжеловесов?

Squid + DansGuardian + ClamAv + SpamAsassin на гейте, chrome/Opera на машинах, блокировка USB флэшек. С интернета само ничего не приходит.

← →
ocean (2010-01-29 12:13) [3]

> chrome/Opera на машинах
Открывают не все. И что, станции вообще без защиты? Кроме того, есть еще ява и, к сожалению, корпоративный софт.
> блокировка USB флэшек
Нереально.

← →
tesseract © (2010-01-29 12:17) [4]

> И что, станции вообще без защиты? Кроме того, есть еще ява
> и, к сожалению, корпоративный софт.

Java вирусов не так много.

> Открывают не все.

Да лан. Всё открывают, ты из какого тысячелетия?

> И что, станции вообще без защиты?

Без админских прав и без explorer.

> > блокировка USB флэшек
> Нереально.

Не нереально - а "канал утечки информации и притечки вирусов".

← →
stas © (2010-01-29 12:23) [5]

1. Инет через прокси, на нем же фаервол, антивирус, список доступных сайтов.
2. Инет на терминальном сервере.
3. Все на мощном терминальном сервере.

← →
БарЛог © (2010-01-29 12:23) [6]

ocean (29.01.10 11:55)
тоже купили каспера. тоже проблемы со слабыми компами :)
Приезжали спецы от него - сказали, надо делать для слабых компьютеров отдельную группу и накладывать щадящую политику (откл. вебантивирус, антишпион и т.п., автопроверки пореже).

← →
ocean (2010-01-29 12:24) [7]

Я немного на взводе. Но идея понятна. Усилить защиту на прокси и военную дисциплину на станциях. Кстати, Squid многие хвалят, я сам не пробовал. Что-то останавливает. Открытое сообщество, крутые ребята... долго ли им еще ходить без работодателей? Действительно перспективная штука?

← →
ocean (2010-01-29 12:29) [8]

> Инет через прокси, на нем же фаервол, антивирус, список > доступных сайтов.
Без спецмер как [2] не поможет.
> 2. Инет на терминальном сервере.
> 3. Все на мощном терминальном сервере.
Вот про терминалы не надо, господа. Это - развод разводов, видимо предстоит многим рос.гос.конторам.

← →
tesseract © (2010-01-29 12:33) [9]

> Это - развод разводов, видимо предстоит многим рос.гос.конторам.

Абсолютно согласен. Ограничение на доступ к файлам - сильно снижают нагрузку. UAC в принципе тоже немного помогает, ограничить запуск exe и всё. Что не так - к админам, они через RDP разрешат. В принципе это нормальная политика безопасности в любой более-менее крупной организации.

← →
Дмитрий Белькевич (2010-01-29 13:25) [10]

Развод на хорошего админа.

← →
Smile (2010-01-29 13:51) [11]

Не обсуждая "тяжеловесов", замечу, однако, что складывается определенное мнение о руководстве вашей фирмой (слабенькие тачки, типа Cel 2/512 DDR1).
:(

← →
ocean (2010-01-29 13:52) [12]

> Развод на хорошего админа.
Ты про что, голубь? Про меня, про себя, про терминалы? Во всяком случае таких хороших админов как ты есть только один, а что делать остальным конторам?
А попался бы мне сейчас, вообще бы ни одного не осталось.
Сама идея терминалов хороша, недаром она реализована еще в 60-х. Не здесь бы об этом спорить, есть тут много соображений и мнений. Я считаю, перевод пользователей на терминалы отнимет у пользователя многие возможности, а задача того же Белькевича как админа - предоставить пользователю все, что дает современная техника. Почему-то многих, особенно слабограмотных людей, имеющих отношение к спецтоделам и службам, очень привлекает идея ограничить права пользователя. Тогда уж сажайте его сразу в тюрьму, чего мелочиться.

← →
Делфиец (2010-01-29 15:06) [13]

> БарЛог © (29.01.10 12:23) [6]
> ocean (29.01.10 11:55) тоже купили каспера. тоже проблемы
> со слабыми компами :)Приезжали спецы от него - сказали,
> надо делать для слабых компьютеров отдельную группу и накладывать
> щадящую политику (откл. вебантивирус, антишпион и т.п.,
> автопроверки пореже).

Что значит со слабыми только, там и сильные загибаются не хуже, дочего уж напичкано внем!!! "каспер" чуть ли не свое ядро предлагает.

← →
БарЛог © (2010-01-29 15:11) [14]

Делфиец (29.01.10 15:06) [13]

Из нескольких тысяч пользователей жаловалось человек 50-75. Из них 30 - по делу (со слабыми компами). У меня ко компьютере (1Гб, кор2) всё отлично работает наряду с аутлуком, вордом, несколькими терминальными сессиями и т.п. (не говоря уже о торренте :))

← →
KilkennyCat © (2010-01-29 15:44) [15]

я работаю в интернете без антивируса, и ниче. просто мытье рук не спасает от глистов, если говно жрать.

← →
KSergey © (2010-01-29 16:10) [16]

> ocean (29.01.10 13:52) [12]
> идея ограничить права пользователя. Тогда уж сажайте его
> сразу в тюрьму, чего мелочиться.

Давайте определимся для начала с простыми вещами: вам работу работать или как? Т.е. что в первую очередь пользоватлю должно быть удобно: заходить на одноклассников или запустиь 1С с вордом? Если уж и связана работа с интернетом - это это явно один-два сайта, собственных. До них по интранету достучаться можно или по спецовому маршруту под это заточенному.
Это первый, самый важный вопрос.
Давайте с ним олпределимся, расставим приоритеты - а потом дальше пойдем. Без эмоций и голубей.

← →
mare sveticvm (2010-01-29 16:10) [17]

Тема так пафосно названа... развод... и т.д...

Развод, это мошенничество - в данном случае ни какого развода нету, будто бы кто-то заставляет покупать новые машины.
Вы бы еще висту туда втулили...

У нас прекрасно работают еще Cel433/64.
Да. Каспера туда никто ставить не додумался. Ибо слава богам, нету каспера под ДОС. Но работают и о таком старье как у вас мечтают...

PS: Как говорят - зажрались вы там в своей маскве...

← →
0x00FF00 (2010-01-29 16:10) [18]

(в порядке бреда, a.k.a. троллинга:)

...никсы?

← →
KSergey © (2010-01-29 16:11) [19]

> Smile (29.01.10 13:51) [11]

Вообще не понял. Потрудитесь разьяснить.

← →
KilkennyCat © (2010-01-29 16:11) [20]

> Да. Каспера туда никто ставить не додумался.

Тогда мы идем к вам! :)

← →
KSergey © (2010-01-29 16:12) [21]

> 0x00FF00 (29.01.10 16:10) [18]
> ...никсы?

Да! И с MS Вордом, пожалуйста! :)

← →
0x00FF00 (2010-01-29 16:12) [22]

WINE спасёт отца русской демократии, вестимо =)

← →
0x00FF00 (2010-01-29 16:15) [23]

...Заодно и в быдлоказуальщину на рабочем месте поменьше будут играть, в силу потенциального незнания процедуры установки.

← →
Павел Калугин © (2010-01-29 16:17) [24]

> > блокировка USB флэшек
> Нереально.

Реально. скусываются проты кусачками и все.

← →
0x00FF00 (2010-01-29 16:18) [25]

> Павел Калугин © (29.01.10 16:17) [24]

Ого. Сурово!

← →
БарЛог © (2010-01-29 16:33) [26]

> Реально. скусываются проты кусачками и все.

А если гарантия?

← →
KSergey © (2010-01-29 16:36) [27]

> БарЛог © (29.01.10 16:33) [26]
> А если гарантия?

На Cel 2/512 DDR1.

← →
KSergey © (2010-01-29 16:37) [28]

> 0x00FF00 (29.01.10 16:12) [22]
> WINE спасёт отца русской демократии, вестимо =)

А мне вот всегда интересно: как WINE помогает от вирусов? Ну т.е. раз вирус может работать в Win, а WINE эту Win эмулирует - то и вирус должен работать?

← →
Дмитрий Белькевич (2010-01-29 16:42) [29]

>особенно слабограмотных людей, имеющих отношение к спецтоделам и службам, очень привлекает идея ограничить права пользователя

Как голубь голубю говорю. Мухи - отдельно. Котлеты - отдельно. И антивирус на каждой машине не нужен будет.

← →
tesseract © (2010-01-29 16:46) [30]

> Ну т.е. раз вирус может работать в Win, а WINE эту Win эмулирует
> - то и вирус должен работать?

Там ограниченный фрэймворк. Но если приложение требует IE например то да УСТАНАВЛИВАЮТСЯ :-) С 1.1.3 вроде.

> Реально. скусываются проты кусачками и все.

Ну это слишком. Просто отбираются права админа. Флэшка не определится.

← →
KSergey © (2010-01-29 16:59) [31]

> tesseract © (29.01.10 16:46) [30]
> Просто отбираются права админа. Флэшка не определится.

Да ну нафик?! Серьёзно?? (я, не уверен, что не тыкал в комп новой флешкой под неадмином, но мерещится, что всегда определяется).

Вообще на сколько я понимаю все зло флешек - в автозапуске. Его как раз надежно заблокировать можно.

← →
Делфиец (2010-01-29 17:07) [32]

> KSergey © (29.01.10 16:37) [28]
> > 0x00FF00 (29.01.10 16:12) [22] > WINE спасёт отца русской
> демократии, вестимо =)А мне вот всегда интересно: как WINE
> помогает от вирусов? Ну т.е. раз вирус может работать в
> Win, а WINE эту Win эмулирует - то и вирус должен работать?
>

А вот и не "вси" зверьки в эмуляторах работают, щас такая мода пошла у них
"антиотладка", "антиЭмуляция", "Isdebugpresent" ну и самое главное "детект виртуальных машин" \m/ дабы под виртуалками не работало, а если этого всего нет, то можно сказать это "детишки балуются"

← →
tesseract © (2010-01-29 17:12) [33]

> Да ну нафик?! Серьёзно?? (я, не уверен, что не тыкал в комп
> новой флешкой под неадмином, но мерещится, что всегда определяется).
>

Power User <> User. Группы посмотри, в каких пользователи находятся.

← →
tesseract © (2010-01-29 17:14) [34]

> а если этого всего нет, то можно сказать это "детишки балуются"

jScript вирусняки и троянцы по этому варианту не поймаешь.

← →
KSergey © (2010-01-29 17:17) [35]

> Делфиец (29.01.10 17:07) [32]
> то можно сказать это "детишки балуются"

Это так, но пользователю, у которго "детский сад" завелся - не легче ведь :) Равно как и админу, все едино вычищать.

А вот интересно, есть ли такой протокол общего хранилища (файлов, документов), который бы позволял прозрачно документы открывать/править/сохранять, но был недоступен вирусам? Ну или хотя бы непопулярен?

Ну т.е. я о чем. Можно вместо антивирусов просто хранить образы установленных систем и быстро их перенакатывать, почти в автоматическом режиме и за малое время при любых проблемах.
Но что делать с данными, документами (вордовскими, например)? Как их хранить/править?

← →
KSergey © (2010-01-29 17:20) [36]

> tesseract © (29.01.10 17:12) [33]
> Power User <> User. Группы посмотри, в каких пользователи находятся.

Я дома User. Про это и рассказываю. Но, правда, я "случайные" флешки не пихал (не приходилось просто), только пару своих, известных заранее, т.к. с них софт под админом устанавливал. Потому определятся или нет другие - не знаю.
Одна беда - время не дают править по дефолту юзеру, пришлось допиливать :)

← →
GDI+ (2010-01-29 17:36) [37]

> ocean (29.01.10 11:55)
>
> Сабж происходит давно и интенсивно. Тех же графиков разводят
> объективно, дают новые возможности, игрочил держат на игле,
> MS держит за горло всех сразу. Сейчас я хочу сказать про
> антивирусы. Наболело. Работать в Интернете без могучей антивирусной
> системы нельзя, канал широкий, вирусы и спам шлют роботы
> (чем вам не Скайнет). У меня в ЛВС есть слабенькие тачки,
> типа Cel 2/512 DDR1.

Какой-то из Линуксов + OpenOffice + FF + Wine для тех программ которые нужны под виндой + DosBox(если осталось такое зверьё). На Cel2/512 будет летать, если в KDE гламур отключить (ползунком).

Большинство не заметит отличия от XP, а за попытки запуска игрушек на этих машинах - штрафовать.

← →
Дмитрий Белькевич (2010-01-29 17:42) [38]

> Вообще на сколько я понимаю все зло флешек - в автозапуске.
> Его как раз надежно заблокировать можно.

Всё зло - что могут что угодно принести и что угодно унести. И не только непосредственно с флэш - любой масс сторейдж (у меня, например, телефон как масс сторейдж работает).

http://www.nowa.cc/showthread.php?t=51978
http://support.microsoft.com/kb/823732

И вообще - в гугле "отключить OR запретить флэшку". Не думайте, что проблема такая уж уникальная.

> Дмитрий Белькевич (29.01.10 17:42) [38]
> И вообще - в гугле "отключить OR запретить флэшку".

Душитель, "малообразованный" агент и все такое, ага :)

Я на днях на Cel 1100 256 ОЗУ поставил Убунту, разумеется, с опенофисом..
Как ни странно, но сотрудница, которой предстояло на ней работать, осталась весьма довольна.. Она воткнула свою рабочую флэшку, скопировала doc"и и таблицы екселя, даже формат не меняет, так в MS"вских доках и работает..)

> KSergey (29.01.2010 17:20:36) [36]

Я время не правлю, я его получаю с доверенного источника времени, про протоколу NTP

> Дмитрий Белькевич (29.01.2010 17:42:38) [38]

Особенно страшно унести, например могут унести ноутбук

← →
Дмитрий Белькевич (2010-01-31 12:53) [43]

> Душитель, "малообразованный" агент и все такое, ага :)

Ага :)

На домашних компах - всё, что угодно. На рабочих - всё, что разрешено. Ну а если всё разрешено на рабочих - то зачем обижаться на Гейтса и Касперского. ССЗБ.

> Особенно страшно унести, например могут унести ноутбук

Могут и по интернету слить - кто же спорит. Я вообще не представляю, как тому же Майкрософту удаётся защищать сырцы, что они ни разу за историю целиком не были слиты.

← →
Дмитрий Белькевич (2010-01-31 13:16) [44]

Вообще, когда админу предлагают нормально отстроить права в сети на что он отвечает "Почему-то многих, особенно слабограмотных людей, имеющих отношение к спецтоделам и службам, очень привлекает идея ограничить права пользователя." то это явная профнепригодность. Гнать метлой.

← →
asails (2010-01-31 19:38) [45]

> KSergey © (29.01.10 17:17) [35]

> Можно вместо антивирусов просто хранить образы установленных
> систем и быстро их перенакатывать, почти в автоматическом
> режиме и за малое время при любых проблемах.
> Но что делать с данными, документами (вордовскими, например)?
> Как их хранить/править?

Да не вопрос! Данные хранить как положенно - на сервере. А вот на нем уже на антивирях не экономить!!!

> Я вообще не представляю, как тому же Майкрософту удаётся
> защищать сырцы, что они ни разу за историю целиком не были
> слиты.

а что с ними делать-то ?

> а что с ними делать-то ?

Rouse до сих пор не смог нормально реализовать вывод сплайнов. А между тем взяв те исходники что все таки утекли я переписал алгоритм вывода spline на delphi. Но в процессе изучения алгоритма я наткнулся на, то что алгоритм который использует виндоус выводит лучше чем тот который утек.

> Pavia © (31.01.10 20:29) [47]
> Rouse до сих пор не смог нормально реализовать вывод сплайнов

Пардон, что я пытался реализовать?:

Я вот про это.
http://rouse.drkb.ru/other.php#bezier

> Pavia © (31.01.10 20:51) [49]
>
> Я вот про это.

Бох ты мой, откуда появилась фраза "Rouse до сих пор не смог нормально реализовать"? :))))
По ней склабывается впечатление, что я начиная с 5 апреля 2007 года (дата опубликования исходника) целыми днями корплю над кодом и пытаюсь как-то что-то там подправить :)))
Смешно, действительно :)

ЗЫ: вообщето это демка была написана для кого-то на форуме исходников в 2006-ом, а когда я прибирался на компе наткнулся на сей код и решил выложить на сайт, а уж с учетом того что я графикой практически не занимаюсь то разыскивать алго реализации Безье, мне как-то в голову не приходило.

ЗЗЫ: по поводу вот этого: "алгоритм который использует виндоус выводит лучше чем тот который утек" - как происходило сравнение?
Кто-то придумал другой вариант реализации отображения кривой Безье?

Хотя в принципе завтра это легко проверить, на работе стоит W2K и семерка последняя, завтра сделаю скриншот вывода PolyBezier и там и там и поглядим. Если они не будут идентичны, то видимо да, что-то произвошло в этой жизни не так :)

Ну и заобно свою функцию проверю, до кучи :)

Ну чтож, провел я эксперименты и по их результатам могу с уверенностью заявить что все высказанное товарищем Pavia является неверной информацией.

Во первых в утекших исходниках, на которые было указание нет реализации функции PolyBezier, таким образом фраза "А между тем взяв те исходники что все таки утекли я переписал алгоритм вывода spline на delphi" выглядит очень странно.

Во вторых вот такой код создает и под Windows 2000 и под Windows XP и под Windows 7 абсолютно идентичную картинку с контрольной суммой 0х066AF657.

procedure TForm1.MakePolyBezier(const Path: string); const Points: array [0..3] of TPoint = ( (X: 303; Y: 10), (X: 53; Y: 159), (X: 404; Y: 236), (X: 47; Y: 268)); var B: TBitmap; begin B := TBitmap.Create; try B.Width := 450; B.Height := 270; B.PixelFormat := pf8bit; PolyBezier(B.Canvas.Handle, Points[0], 4); B.SaveToFile(Path); finally B.Free; end; end;

Таким образом фраза "процессе изучения алгоритма я наткнулся на, то что алгоритм который использует виндоус выводит лучше чем тот который утек" выглядит опять-же непонятно.

После чего провел испытания на своем коде, следующий код создает так-же под всеми тремя ОС аналогичную картинку, единственное различие ее от оригинальной - отсутствие сглаживания.

procedure TForm1.MakeCustomPolyBezier(const Path: string); function GetBezierPoint(P0, P1, P2, P3: TPoint; Resolution, Index: Integer): TPoint; var T, C0, C1, C2, C3: Extended; begin T := Index / Resolution; C3 := T * T * T; C0 := C3 * -1 + T * T * 3 + T * -3 + 1; C1 := C3 * 3 + T * T * -6 + T * 3; C2 := C3 * -3 + T * T * 3; Result.X := Trunc(C0 * P0.X + C1 * P1.X + C2 * P2.X + C3 * P3.X) + 1; Result.Y := Trunc(C0 * P0.Y + C1 * P1.Y + C2 * P2.Y + C3 * P3.Y); end; const Points: array [0..3] of TPoint = ( (X: 303; Y: 10), (X: 53; Y: 159), (X: 404; Y: 236), (X: 47; Y: 268)); var B: TBitmap; I: Integer; P: TPoint; begin B := TBitmap.Create; try B.Width := 450; B.Height := 270; B.PixelFormat := pf8bit; for I := 0 to 1000 do begin P := GetBezierPoint(Points[0], Points[1], Points[2], Points[3], 1000, I); B.Canvas.Pixels[P.X, P.Y] := clBlack; end; B.SaveToFile(Path); finally B.Free; end; end;

Таким образом фраза "Rouse до сих пор не смог нормально реализовать вывод сплайнов" так-же была пор всей видимости ни о чем.

За сим все.
Возражения?

Развод на новые компьютеры Найти похожие ветки