Считаете ли вы такую защиту надежной?
 

Два запароленных аккаунта Админа и Пользователя. Агрессивно настроенный AppLocker, разрешивший запуск админу чего угодно, а пользователю только с program files и windows и программ, подписаных парой издателей. Естественно, сижу я только под пользователем. Таким образом я думаю обходиться без антивируса. Безопасно ли это? По идее, гадость лаже не должна запускаться.

И да, UAC зверствует на максимуме

Зараза может попасть в систему из интернета. К чему такие извращения, не проще ли поставить антивирус? Тот же MSE, например.

Этого достаточно чтобы все ваши труды на смарку. Наверняка ещё и интернет подключен.
Вот только один пример временный патч, закрывающий уязвимость AppLocker, а сколько ещё будет?
Это не панацея. Нет универсальных таблеток от всех болезней сразу.

2Phoenix
попасть-то попадет, а что без прав сможет сделать? и запуститься никак не сможет, кроме как из програмфайлз и виндоус, на которые не хватит прав

интернет естесственно подключен. только в них еще надо попасть сквозь UAC. обновы регулярно ставлю, должно помочь.

jamesraynor, да, это очень надежно (за исключением моментов, когда вы отключаете AppLocker для обновления версий ПО). Для полного счастья в AppLocker следует включить проверку библиотек.

Думаю, вам также будет любопытна дискуссия Домашний ПК: антивирус или SRP.

Утверждение неверно из-за непонимания принципов работы AppLocker. По правилам исполняемые файлы запускаются только из расположений, в которые у пользователя нет права на запись. Подумайте над этим...

Мне, как обычному малолетнему нубу Очень приятно слышать, спасибо=) А я его не отключаю: всё, что нужно запускаю с админ правами (они-то ничем не ограничены). Ну библиотеки это на десерт.

Ну вот в этот момент вы и остаетесь без контроля AppLocker при отсутствующем антивирусе...

Так точно, но дать админ права можно только умышленно. А если я это делаю, то программе полностью доверяю и не даю на нее влиять любому антивирусу. На всякий случай имеется cureit, который подскажет. Тем более, абсолютной защиты не ищу.

Экспериментировать всегда интересней. Тем более, неопробованная фича не даст мне покоя.

Цитата:

Цитата Vadikan Утверждение неверно из-за непонимания принципов работы AppLocker. »

Дело совсем не в этом. Просто нет идеально написанных программ, которые "выскакивают из пера" в последней и окончательной редакции.
Хорошо если тестер первым обнаружит дыру, а если это окажется "человек с чёрными мыслями"?
Огульно полагаться на какой то один вариант (в чём угодно), не совсем логично. Даже, казалось бы, самые надёжные источники, в один момент могут оказаться провальными.
Эксперимент, это хорошо и если у вас всё получится, как вы и хотели, я буду только рад за вас.

yurfed, технически AppLocker не является границей защищенной зоны, но при правильной настройке это решение обеспечивает более высокую степень защиты, чем антивирус. Разница в том, что антивирус блокирует запуск кода только в том случае, если считает его небезопасным. AppLocker блокирует всегда.

Угу, именно поэтому вероятность попасть под 0-day намного выше с антивирусом, ибо может эксплуатироваться любая уязвимость, а не конкретно уязвимость AppLocker.

В описании не указаны ещё пара пунктов:
- вовремя устанавливаются обновления на операционную систему, приложения и аддоны;
- разрешения NTFS не позволяют стандартному пользователю писать в папки приложений;
- чистые руки Администратора, который не скачивает абы что абы откуда.
Впрочем, вы полное описание настроек уже читали.

Мой опыт работы в указанной вами конфигурации: 10+ лет (да, Апплокеру меньше 10, но SRP встроено в XP с конца 2001 года). На объёме сети около 1000 компьютеров вирусов нет. Но я защищаю Апплокером и Администратора тоже, ведь администратор — самый опасный пользователь!

За отдельно взятые дыры Апплокера я бы пока не стал бояться. Почитал описание — для эксплуатации конкретно той уязвимости требуются "специальные манипуляции". Таких макросов in the wild ещё никто не регистрировал ни разу, полагаю. Зато макросы по умолчанию уже давно не запускаются.

У антивирусных программ дыр на порядки порядков больше, а процент успешного отлова новых вирусов традиционно крайне низок. Практически все громкие эпидемии прошлись по компьютерам, на которых был антивирус, но не было whitelisting, это факт.

Спасибо за хорошие слова, трудностей действительно оказалось много...

Например?

Спасибо за ценную информацию. Я считаю себя уверенным пользователем, варезом не пользуюсь, порнушкой не балуюсь =)
Ну например- я собираюсь защитить и администратора, и мне как-то надо для определенных папок Пользователю разрешить только чтение, а админу полный доступ (чтобы их можно было считать безопасными и запускать с них файлы), но не могу его человечески настроить: так я хочу,чтоб эти папки выглядели (мне удалось задать разрешения самому):

А вот так выглядит, и НУЖНЫМ изменениям не поддаются:

Пробовал даже присвоить владение этими папками (добавил пункт в контекст take ownership), но не возымело действия..

Ну это всего лишь показывает, что разрешения назначены не на требуемую папку, а наследуются сверху.
Прервите наследование вышестоящих разрешений в кнопке Дополнительно и назначайте разрешения по вкусу.

Единственное, я бы делал несколько иначе, а именно:
- доступ с системы снимать нежелательно (должен остаться Full Control)
- доступ пользователям поштучно назначать нежелательно, для этого есть группы (например, группа Users)
- доступ пользователям не должен превышать Modify. Full Control - для администраторов.

Просёк фишку, спасибо.
-А как систему снова добавить туда?
-Я правильно понимаю, что группы предпочитаются из-за UID и после переустановки системы нынешние разрешения останутся неудел? В группе users меня смущают пара личностей, предлагаемых на скрине (гость тоже относится к прошедшим проверку, что удручает) их можно удалить??
-Пользователь чтением обойдётся =)

уже сам просёк

Группы предпочитаются потому, что раздача разрешений пользователю в дальнейшем сводится к "добавить в группу Бухгалтеров", и он получает все (все) права группы Бухгалтеров. Если же щёлкать права каждому пользователю поштучно, то это можно делать до утра.

Гостя в группе Прошедших проверку нет. А у вас что, включён Гость? Для чего?

С гостем я попутал..Включал как-то для проверки. У меня пользователя два, так что добавление много время не займёт. А вот после переустановки и правда возникают проблемы. В общем-то все проблемы решены и AppLocker стал обеспечивать небходимый уровень защиты. Правда есть у меня к Вам несколько вопросов:
-Неужели windows стала обеспечивать нормальное разделение прав, которое не так просто преодолеть? Неужели хоть на шаг в этм приблизилась к линуксу?
-Слышал, что есть вирусы, которые заражают комп, когда винда считывает свойства файла(зараженного) или что-то подобное (когда файл находится под курсором). спасет ли здесь локер?
-Как быть с другими потенциально опасными объектами (swf и пр)?

Это всегда было границей безопасности Windows.

Вас спасет Windows Update.

Обновляйте программы, и будет вам счастье.

Не совсем так. Именно про такой вирус я не слышал, а вот эксплоит для IconHandler существовал. Теоретически, конечно, может быть и такой, который будет эксплуатировать уязвимость в функциях, осуществляющих чтение свойств файла (тех, которые выводятся во всплывающей подсказке). И в том, и в другом случае — это эксплоиты, использующие определённые уязвимости в функциях библиотек. Как правило, в первую очередь сие связано с языком, использованным при создании кода, а также и с банальным отсутствием проверок или недоработками в алгоритмах. Что делать — см. выше:

Понятно, всё по методичкам мелкософта =)

Спасибо, обновляюсь.