![]() |
Считаете ли вы такую защиту надежной?
Два запароленных аккаунта Админа и Пользователя. Агрессивно настроенный AppLocker, разрешивший запуск админу чего угодно, а пользователю только с program files и windows и программ, подписаных парой издателей. Естественно, сижу я только под пользователем. Таким образом я думаю обходиться без антивируса. Безопасно ли это? По идее, гадость лаже не должна запускаться.
|
И да, UAC зверствует на максимуме
|
Зараза может попасть в систему из интернета. К чему такие извращения, не проще ли поставить антивирус? Тот же MSE, например.
|
Цитата:
Вот только один пример временный патч, закрывающий уязвимость AppLocker, а сколько ещё будет? Это не панацея. Нет универсальных таблеток от всех болезней сразу. |
2Phoenix
попасть-то попадет, а что без прав сможет сделать? и запуститься никак не сможет, кроме как из програмфайлз и виндоус, на которые не хватит прав Цитата:
|
jamesraynor, да, это очень надежно (за исключением моментов, когда вы отключаете AppLocker для обновления версий ПО). Для полного счастья в AppLocker следует включить проверку библиотек.
Думаю, вам также будет любопытна дискуссия Домашний ПК: антивирус или SRP. Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
Хорошо если тестер первым обнаружит дыру, а если это окажется "человек с чёрными мыслями"? Огульно полагаться на какой то один вариант (в чём угодно), не совсем логично. Даже, казалось бы, самые надёжные источники, в один момент могут оказаться провальными. Цитата:
|
yurfed, технически AppLocker не является границей защищенной зоны, но при правильной настройке это решение обеспечивает более высокую степень защиты, чем антивирус. Разница в том, что антивирус блокирует запуск кода только в том случае, если считает его небезопасным. AppLocker блокирует всегда.
Цитата:
|
В описании не указаны ещё пара пунктов:
- вовремя устанавливаются обновления на операционную систему, приложения и аддоны; - разрешения NTFS не позволяют стандартному пользователю писать в папки приложений; - чистые руки Администратора, который не скачивает абы что абы откуда. Впрочем, вы полное описание настроек уже читали. Мой опыт работы в указанной вами конфигурации: 10+ лет (да, Апплокеру меньше 10, но SRP встроено в XP с конца 2001 года). На объёме сети около 1000 компьютеров вирусов нет. Но я защищаю Апплокером и Администратора тоже, ведь администратор — самый опасный пользователь! За отдельно взятые дыры Апплокера я бы пока не стал бояться. Почитал описание — для эксплуатации конкретно той уязвимости требуются "специальные манипуляции". Таких макросов in the wild ещё никто не регистрировал ни разу, полагаю. Зато макросы по умолчанию уже давно не запускаются. У антивирусных программ дыр на порядки порядков больше, а процент успешного отлова новых вирусов традиционно крайне низок. Практически все громкие эпидемии прошлись по компьютерам, на которых был антивирус, но не было whitelisting, это факт. |
Цитата:
|
Например?
|
Вложений: 3
Цитата:
Ну например- я собираюсь защитить и администратора, и мне как-то надо для определенных папок Пользователю разрешить только чтение, а админу полный доступ (чтобы их можно было считать безопасными и запускать с них файлы), но не могу его человечески настроить: так я хочу,чтоб эти папки выглядели (мне удалось задать разрешения самому): |
Вложений: 4
Цитата:
|
Пробовал даже присвоить владение этими папками (добавил пункт в контекст take ownership), но не возымело действия..
|
Ну это всего лишь показывает, что разрешения назначены не на требуемую папку, а наследуются сверху.
Прервите наследование вышестоящих разрешений в кнопке Дополнительно и назначайте разрешения по вкусу. Единственное, я бы делал несколько иначе, а именно: - доступ с системы снимать нежелательно (должен остаться Full Control) - доступ пользователям поштучно назначать нежелательно, для этого есть группы (например, группа Users) - доступ пользователям не должен превышать Modify. Full Control - для администраторов. |
Вложений: 1
Цитата:
-А как систему снова добавить туда? -Я правильно понимаю, что группы предпочитаются из-за UID и после переустановки системы нынешние разрешения останутся неудел? В группе users меня смущают пара личностей, предлагаемых на скрине (гость тоже относится к прошедшим проверку, что удручает) их можно удалить?? -Пользователь чтением обойдётся =) |
Цитата:
|
Группы предпочитаются потому, что раздача разрешений пользователю в дальнейшем сводится к "добавить в группу Бухгалтеров", и он получает все (все) права группы Бухгалтеров. Если же щёлкать права каждому пользователю поштучно, то это можно делать до утра.
Гостя в группе Прошедших проверку нет. А у вас что, включён Гость? Для чего? |
Цитата:
-Неужели windows стала обеспечивать нормальное разделение прав, которое не так просто преодолеть? Неужели хоть на шаг в этм приблизилась к линуксу? -Слышал, что есть вирусы, которые заражают комп, когда винда считывает свойства файла(зараженного) или что-то подобное (когда файл находится под курсором). спасет ли здесь локер? -Как быть с другими потенциально опасными объектами (swf и пр)? |
Цитата:
Цитата:
Цитата:
|
Цитата:
Цитата:
|
Цитата:
Цитата:
|
Время: 15:08. |
Время: 15:08.
© OSzone.net 2001-