exo: я вас всё ещё не понял.

Компьютерная аппаратура приобретается за деньги. Точно так же, как за деньги приобретается автомобильная аппаратура.
Навыки вождения, равно как навыки безопасной работы, тоже приобретаются за деньги. Каким образом вы связываете бесплатность программного обеспечения с заданным вами же вопросом о бесплатности компьютеров (то есть, аппаратуры)?
Кстати, всё же что вы думаете на предмет заданных трёх автомобильных вопросов, касающихся безопасности, так и не понял тоже.

Однако, в ваших словах наконец-то найдено то, о чём все мечтали. То есть, панацея всё же найдена, 20 лет борьбы не прошли бесславно? Ставишь бесплатный антивирус — и всё, можно забыть о вирусах навсегда? К чему тогда вся эта дискуссия, если найдена самая лучшая программа, которая стопроцентно ликвидирует всю вирусную угрозу? Найдена магическая кнопка "сделайте мне зашибись", и безопасность достижима нажатием одной кнопки лицом, в безопасности не понимающим и не желающим понимать?

сейчас как бы уже 5-ая... »
Да, вы правы. Но про то, почему конкретно я собираюсь переводить машины сети на 4 версию рассказывать не буду, так как долгая история...

На автомобилях все вопросы безопасности, которые в настоящий момент являются сложными для пользователей компьютеров, пройдены уже давно. »

Интересно, почему тогда до сих пор не справились с ДТП полностью?

Во многом вы правы, но ИМХО делать полную аналогию с авто не совсем корректно

или надо изменить политики, тогда надо бегать по всему офису и обновлять политики локально »
вот для этого и есть доменная инфраструктура.
К чему тогда вся эта дискуссия, если найдена самая лучшая программа, которая стопроцентно ликвидирует всю вирусную угрозу? »
к тому
1. Вина в вирусном поражении всегда целиком и полностью лежит на системном администраторе. Не на пользователях, ибо они неграмотны. »
я зачеркнул кое-какие слова, т.к. сис админ - тоже пользователь ПС.
что мне хватает бесплатного антивируса, что бы содержать свой комп в рабочем состоянии. А кому-то нет.
Кто-то знает, для чего знак 40 - тот и едет 40.
Кто-то купил антивирус, но не умеет им пользоваться - даже не установил... дело не в антивирусе.
1. Если владелец автомобиля — частное лицо, обязан ли он пристёгиваться и соблюдать ПДД в целом?
2. Если владелец автомобиля — частное лицо, обязан ли он выполнять сервисное обслуживание сам, самолично?
3. Если автомобилем желает управлять частное лицо, должно ли оно пройти соответствующее обучение и сдать экзамен? »
1) да
2) нет
3) да
и всё тоже самое для юр лиц.

хотя стоп. я не внимательно прочитал.
1) нет
2) нет
3) да

Еще вопрос к WindowsNT. А зачем тогда в крупных корпорациях отключают доступ к флешкам на компах? Их безопасники, что не разбираютсч в своем деле?

А зачем тогда в крупных корпорациях отключают доступ к флешкам на компах? »
один из самых распространённых способ заразить систему вирусом.
У меня на прошлой работе вообще было две сети: общая и для бухгалтерии.
Так вот для бухгалтерии вообще была гальванически не связана ни с чем... Но вот главбух через флешку KIDO туда и засунула.................

ещё забыл добавить. к бесплатному MSE (которого нет в голосовании) использую в добавок бесплатную AnvirTaskManager. И всем, кто ловил винлокер его ставлю - больше они этой проблемы не знают.

exo и WindowsNT
так вы советуете использовать политики и не покупать никакой антивирус?

так вы советуете использовать политики и не покупать никакой антивирус? »
есть такой вопрос из мира Linux: какой Linux ставить? ответ: тот, который знаешь.

Я не знаю настолько групповые политики, что бы обойтись только ими.

VictorSh:
1. Откуда вы знаете за крупные корпорации? Сколько крупных корпораций, которые ТОЧНО отключают флешки, вы лично видели, знаете?
Из своего опыта скажу, что во всех без исключения компаниях, где заявляли об отключенных флешках, это оказывалось неправдой. То есть, ложью. Так или иначе, у достаточно большой группы пользователей либо на достаточно большой группе машин отключение не было реализовано. Будь то директор или коммерческий отдел, машина самого администратора либо мобильный компьютер, всегда находилось оправдание для необходимости применения флеш-носителей.

Нельзя быть "немножко беременной". Либо доступ есть, либо его нет. "Частично" означает, что ничего не отключено, и это уже больше является правдой.

2. Соображений по отключению два. Первое — запрет на вынос/принос информации. Второе — якобы защита от вирусов, и это тоже неправда. Да, именно так и есть, зачастую их безопасники некомпетентны. Они на самом деле не знают своего дела и не могут отличить Blacklisting от Whitelisting-а.

Типичный разбор мы можем провести на примере бухгалтерши тов. exo и заражения червём Conficker/Kido. Этот вирус использует три метода распространения:
- уязвимость в службе Server, номер патча MS08-067 (то есть, патч против уязвимости был выпущен осенью 2008 года). Если патч не установлен — стопроцентная вина администратора;
- атака угадыванием паролей через сетевой логон. Блокируется моментально правильной политикой паролей + политикой безопасности Account Lockout. При нескольких неудачных попытках угадать пароль учётная запись блокируется. Если эти политики не были отконфигурированы — стопроцентная вина администратора;
- запуск через Autorun или даже вручную с флешки. Пользователи иной раз промахиваются и запускают вирус вручную, даже если Autorun отключён. Защита на 100% легко осуществляется с помощью SRP или AppLocker. Несконфигурированная политика Application Whitelisting — стопроцентная вина администратора.

На случай, если вы вдруг не в курсе, — в отличие от играющих в "русскую рулетку" антивирусных программ (угадал/не угадал), Whitelisting блокирует абсолютно всё, что не было заведомо заявлено как разрешённое. Тем самым, невозможно запустить с флешки ни единого исполняемого файла. Документы открыть — пожалуйста. Но exe или dll — никак, и не имеет никакого значения, вирус это или нет. Оно не запустится никак.

Как видите, вина за заражение Kido стопроцентно и безоговорочно всегда лежит на администраторе. Однако, некоторые всё равно склонны пытаться переложить свою вину на кого угодно — бухгалтершу, депутатов, марсиан, но не на себя. Тем не менее, проверка компетентным аудитором безопасности стопроцентно покажет, кто в действительности несёт отвественность за это заражение.

3. Обладая определённым опытом в проникновениях (CEHv7) и защите, да, я утверждаю, что настроенные политики защищают гораздо и гораздо лучше любых без исключения антивирусных программ. И, в отличие от антивирусных программ, ни грамма не тормозят систему, не снижают надёжность работы. Если вы до сих пор не знаете и не умеете их настраивать, то, сколь бы парадоксально это ни звучало, нужно УЧИТЬСЯ. Номера экзаменов, которые помогут вам найти правильные учебники: 70-640, 70-680, 70-685. Начните хотя бы с них. Если вы работаете в области технической поддержки, этот материал как минимум вы знать обязаны. Материал Software Restriction Policies и Applocker рассматривается в 70-685, если что.

Microsoft Certified Trainer; Cisco Certified Systems Instructor; CEHv7 »
вот я так и чувствовал...
Тем не менее, проверка компетентным аудитором безопасности стопроцентно покажет, кто в действительности несёт отвественность за это заражение. »
вот-вот. так всё и было. пришла проверка - и админа того уволили после проверки.
уязвимость в службе Server, номер патча MS08-067 (то есть, патч против уязвимости был выпущен осенью 2008 года) »
кстати, когда у нас это случилось, то во время "лечение" оказалось, что 2003 без SP спокойно работал во время буйства KIDO на компьютерах XP SP2. Как только накатил на сервер SP2 - завалился как миленький. Хорошо, адейты уже были готовы к установке.

Можно понять VictorSh - далеко не во всех компаниях начальство придерживается жёстких ограничений пользователей во всём и вся. Далеко не всё начальство готово потратиться на лицензионное ПО, а использовать нелицензионное ПО - чревато для админа, использовать аналоги ПО - порой чревато огромным геморроем и временными затратами при внедрении.

Я бы предложил всё же остановиться на продукции ЛК (но желательно было бы услышать конфигурацию среднестатистического ПК) - в новой версии KSC и KES есть возможности по блокированию запуска программ различными способами, блокированию внешних устройств, централизованное управление, установка/удаление различного ПО и многое-многое другое - этого может оказаться достаточно для обеспечения определённого уровня безопасности вашей компании (и для частичной замены доменной структуры). Почитайте описание и решите нужно оно вам или нет - http://www.kaspersky.ru/work_space_security

P.S. Я не рекламирую ЛК, а просто пользуюсь их продукцией не первый год и знаю как её сильные, так и слабые стороны.

P.P.S. И да - было бы странно не задействовать механизмы безопасности, имеющиеся в Windows 7, при таком небольшом количестве компьютеров в сети.

просто пользуюсь их продукцией не первый год и знаю как её сильные, так и слабые стороны. »
а мне вот не удалось подружить NAP сервер с Бизнес-касперским... сервер просто начинал закрываться от всех, в том числе и от себя...
Тоже самое было с Norton 10 (или 9)

WindowsNT,
Откуда вы знаете за крупные корпорации? Сколько крупных корпораций, которые ТОЧНО отключают флешки »
В московских представительствах Intel и Samsung.

Про остальных не скажу, однако читал в интернете много рекомендаций для компаний по организации безопасности, чтобы они отключали у себя USB порты в том числе.

Из своего опыта скажу, что во всех без исключения компаниях, где заявляли об отключенных флешках, это оказывалось неправдой. То есть, ложью. Так или иначе, у достаточно большой группы пользователей либо на достаточно большой группе машин отключение не было реализовано. »
Какова цель этого вранья тогда? может они были в процессе реализации?

По поводу второго пункта. Да и так вы уже раньше убедили нас (во всяким случае меня, хотя я и до этого знал насчет whitelistа!) в правильности подхода с настройкой политик доступа. Я думаю, нет смысла дальше обсуждать эту тему.

Только не у всех есть деньги на покупку лицензий на Windows Server и Windows 7 Ultimate. Вы мыслите так, что
правильная точка зрения только ваша: покупайте Windows Server, поднимайте AD, ставьте систему максимальную и тогда у вас только появится возможность ей управлять. Но почему-то кто-то устанавливает Linux, UNIX и обеспечивают безопасность по-своему.
AppLocker на Windows 7 Pro неактивен насколько я знаю.

По поводу ответственности админа. Как можно обеспечить нормальную безопасность, если нет нормальных инструментов?
Нет ни антивируса нормального (платного), ни Windows Server с Active DIrectory + лицензии на подключения к серверу, ни глобальных политик? кто-то наверное это должен купить? неужели админ сам?

Вы так прямо и не ответили на вопрос: вы считаете, что при должном управлении политиками на предприятии не нужно покупать антивирус?

По поводу третьего пункта спасибо за номера экзаменов.

Можно понять VictorSh - далеко не во всех компаниях начальство придерживается жёстких ограничений пользователей во всём и вся. Далеко не всё начальство готово потратиться на лицензионное ПО, а использовать нелицензионное ПО - чревато для админа, использовать аналоги ПО - порой чревато огромным геморроем и временными затратами при внедрении. »
Совершенно верно. Так у нас как раз и было. Юзали OpenOffice - были постоянные проблемы с заказчиками, когда присылали файлы из ворда, а наши юзеры открывали в новом OO, совместимом с новыми форматами WORD - это был еще тот гемморой.

Потом начальник все-таки разорился на Office.

но желательно было бы услышать конфигурацию среднестатистического ПК »
Intel Core i5-2500 3.3 Ghz, 4 или 8GB RAM, Video ZOTAC или NVidia Quadro 600 1024 GB, MB ASUS или GIGABYTE чипсет P67, жесткие диски WD 1TB таких штук 11, есть еще штук 7 старых Dell Optiplex 740 и 210L на некоторые из них даже нет драйверов под Windows 7. Так что компы разные. Есть новые и быстрые, а есть абсолютные тормоза

Соблюдая указанные методы работы, лучшим антивирусом считаю его отсутствие. »
ага, самый лучший антивирус - это наличие мозга. и не тыкать куда попало. А думать, что делаешь. Однажды скачал файл дома (пару-тройку месяцев назад), так вместо книги djvu объемом пару мегабайт, оказалось exe файл весом 16 МБ. Оказался файл с двойным расширением и значком архива RAR (rar.exe), но в RAR не открывался. Причем на этом сайте любые файлы были весом 16 МБ, независимо от описания. Ради интереса скачал его и не запуская его натравил на него касперского с самыми последними базами - все чисто!
пошел в онлайн антивирус - кто-то нашел, а кто-то нет. Посмотрел на сайт домен был непонятного названия абракадабра из букв, посмотрел через whios - создан пару дней назад =)
Я написал толи в касперский толи еще куда - не помню (что-то типа сообщить о вредоносном сайте) и через полдня каспер начал ловить этот вирус, а сайт через пару дней закрыли.

Но почему-то кто-то устанавливает Linux, UNIX и обеспечивают безопасность по-своему. »
Как-то один коллега WindowsNT специалист по Linux сказал, что официально зарегистрировано 7 вирусов для Linux...
AppLocker на Windows 7 Pro неактивен насколько я знаю »
корпоративная и максимальная (http://technet.microsoft.com/ru-ru/library/ee619725(v=ws.10).aspx#BKBK_WhichOSeditions)
Только не у всех есть деньги на покупку лицензий на Windows Server »
500 евро вроде SBS сервер - на 75 пользователей. а если компания больше - деньги точно есть...
Video ZOTAC или NVidia Quadro 600 1024 GB »
это не среднестатистический...
Причем на этом сайте любые файлы были весом 16 МБ, независимо от описания. »
а ещё бывают сайты - это файл сейчас качают 854 пользователей... а искал какую-то древнюю программу для ХР :) и кому она понадобилась...

От себя: сейчас несколько разнообразил защиту клиентов. Не привязываясь к лицензиям и прочему ОПК, использую следующие программные комплексы и их сочетания:
Антивирусы:
KAV6WKS - нет проблем с блокировкой ключей, умеренно ресурсоемок, многоступенчатая защита;
NOD32 - наилучший вариант по части ресурсоемкости;
MSE - нет проблем с ключами по определению. Пока ОС считает себя лицензионной, разумеется.
Все имеют свои недостатки.

Вспомогательные средства зашиты:
на Win7 - UAC включен, без вариантов.
на дохлых машинах - Shadow Defender для С:, без антивируса.
на ХР - SandBoxie
Могу сказать следующее: при наличии любого из озвученных вспомогательных защитных комплексов большинство скриптовирусов ака попрошайки (смс-вымогатели), черви, трояны етс. - идут в лес и закапываются заживо. Исключение - MBR'щик для варианта b - но что мешает использовать ab? :)

VictorSh:
Отвечаю на ваш вопрос чуть более внятно: да, при должном уровне настройки политик считаю покупку антивирусных программ выброшенными на ветер деньгами вне зависимости от того, домашняя это система либо предприятие. Обратите внимание, что в описанном вами случае с djvu антивирусная программа спасовала, а политики защитили бы на 100%. Более того, это вы за себя можете говорить "наличие мозга", а у меня 1000 пользователей. За каждого вы не сможете поручиться головой, что они не будут тыкать куда попало. А политики помогут.

Не нужно цепляться за Active Directory всё время. Делайте настройки локально на каждой машине, раз уж все деньги спущены на нехилую аппаратуру, далеко не среднестастистическую. В настоящий момент, типичная машина в моём окружении — P4-2.4GHz, 1Gb RAM или, скажем, DualCore 2 Gb RAM. Люди вообще парадоксально мыслят иной раз. Купят крутые машины, а на SBS Server денег, оказывается, нет. Или купят откровенную дешёвку Home Edition, затем спускают деньги на дополнительные антивирусы и фиреволы, что в трёхлетней перспективе превышает по цене не только нормальную Professional, но даже Enterprise-версию системы.

Кстати, о какой конкретно версии UNIX вы говорите? Это же на порядки дороже, чем Windows Server? Слышал, что на Solaris аналог Active Directory стоит десятки тысяч долларов.

И даже раз AppLocker работает только в Enterprise/Ultimate, в Professional имеется SRP, чем оно плохое?

Слышал, что на Solaris аналог Active Directory стоит десятки тысяч долларов. »
Солярка (http://ru.wikipedia.org/wiki/Solaris) - это ОС, а AD - это "приложение". Не нужно их сравнивать. цены (https://shop.oracle.com/pls/ostore/f?p=dstore:2:2736204226327812::NO:RIR,RP,2:PROD_HIER_ID:6916016290451192110906) как видите, максимальная стоимость лицензии 3000 "зелёных". Винда Datacenter от 2500... и о каком порядке идёт речь?

Пользовался Касперским уже много лет, пользуюсь и менять не буду.
Пробовал ради эксперимента ставить продукты от других производителей,
но всегда сразу же сносил.

Исключение - MBR'щик для варианта b - но что мешает использовать ab? »
MBR"щики тоже легко отсылаются в лес. Достаточно прог MBR Guard или Malware Defender. Последний педпочтительней, т.к. им можно полностью заблокировать изменение физического диска, включая mbr и все остальные сектора, а вот MBR Guard бдит лишь за mbr (нулевой сектор).

Как-то один коллега WindowsNT специалист по Linux сказал, что официально зарегистрировано 7 вирусов для Linux... »
Ну это смотря что понимать под словом вирус:
http://www.securelist.com/ru/descriptions?words=linux&behavior=1%2C11%2C13%2C2%2C5%2C7%2C9&Search=%CF%EE%E8%F1%EA&search_type=3
http://www.securelist.com/ru/descriptions?words=linux&behavior=&Search=%CF%EE%E8%F1%EA&search_type=3