Перейти к содержанию
broker

лидер в области

Recommended Posts

Михаил Кондрашин
Вообще, очень важна - отказоустойчивость самого антивируса, ведь не для кого не секрет, что антивирус - это такое же приложение, при определённых правах на системе, его работа полностью блокируется..

Грустно :( иногда ощутимым признаком заражения является порча Антивируса..

В Trend Micro OfficeScan есть специальный процесс "Watchdog", который перезапускает антивирусный монитор, если он падает. Это защищает и от вирусов типа Nimda, которые выгружают монитор. Разумеется, что ничто не мешает авторам будущих вирусов разобраться с тем, как отключить сначала сам "Watchdog"...

Кроме этого, есть технология Cisco NAC, которая позволяет обеспечить сетевую блокировку компьютеров с незагруженным монитором, а если к Cisco NAC прикрутить Cisco SIMS/MARS, то можно в реальном времени это отслеживать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А существует ли специальный продукт для защиты именно терминальных сессий?

Специального продукта я не знаю, был такой McAfee VirusScan TC, но сейчас его нет.

Не всегда цена продукта проворциональна "наворотам", да и вообще цена --- не самый главный критерий. Проблема в другом, "навороты" эти лишний источник "глюков", и если вы не планируете использовать какой-либо "наворот", то не стоит рассматривать его наличие, как однозначный плюс продукта.

Согласен, часто навороты - это скорее негатив, чем полезные фичи.

У всех консолей есть свои преимущества/недостатки, которые могу определить предпочтение того или иного продукта.

Пример: Trend Micro OfficeScan управляется только из Веб-консоли. Преимущества очевидны, но браузером должен быть только IE 5.5 и выше. Кому-то может понравиться какой-нибудь продукт (KAV?), который управляется просто GUI - поставил и пользуйся. Никаких тебе проблем с куками, ActiveX'ами...

Кроме этого есть ньюансы архитектуры системы управления, которая определяет масштабируемость, надежность, скорость...

Несомненно это именно так, играет роль все вышеперечисленное. Мне просто не хотелось вдаваться в подробности, ветка и так довольно объемная получилась, в первом приближении перечисленные мной продукты по возможностй администрированию (именно рабочих станций) более мнее равны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
win 2003 terminal server, пусть 100 сессий одновременных, какой антивирус поставить, чтоб НЕ ТОРМОЗИЛО :)

В данном случае лучше наверное взять решение кого-то из большой тройки (Symantec, McAfee, Trend Micro). У Касперского неважный серверный продукт, кроме того денег стоит много, Доктор веб ... не знаю, не тестировал его на серваке.

Кстати, впомнил еще одну тему для обсужения: переход Trend Micro с ServerProtect на OfficeScan SE, мне лично тут не все ясно ...

Михаил, предлагаю это выделить в отдельную ветку, где в кратце объяснить что к чему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

f-secure по их утверждению является единственным продуктом для terminal 2003.

Не знаю как с инсталляцией и обслуживаением, но часть известных вирусов он-лайн проверка с их сайта не обнаруживает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
f-secure по их утверждению является единственным продуктом для terminal 2003.

Не знаю как с инсталляцией и обслуживаением, но часть известных вирусов он-лайн проверка с их сайта не обнаруживает.

Я не знаю, насколько хорошо представлен в России F-secure, но если их этот продукт "заточен" под terminal-сервер, то имеет смысл присмотреться, так как удобство работы может оказаться важнее, чем какие-то там непойманые вирусы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

в данном случае имеет ли вообще смысл ставить антивирус на терминал.. можно поставить защиты на 80 и 21 порты на роутере перед терминалом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Кстати, впомнил еще одну тему для обсужения: переход Trend Micro с ServerProtect на OfficeScan SE, мне лично тут не все ясно ...

Михаил, предлагаю это выделить в отдельную ветку, где в кратце объяснить что к чему.

Специально для вас:

http://www.anti-malware.ru/phpbb/viewtopic.php?p=721#721

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
в данном случае имеет ли вообще смысл ставить антивирус на терминал.. можно поставить защиты на 80 и 21 порты на роутере перед терминалом...

Я думаю, возможно оба варианта, какой лучше зависит от возможностей компании.

Спасибо! :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
в данном случае имеет ли вообще смысл ставить антивирус на терминал.. можно поставить защиты на 80 и 21 порты на роутере перед терминалом...

Как так?! Без защиты на самом сервере нельзя!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Коллега Михаил, я говорил о страховке 2,3 вируса на одном сегменте и эта модель себя оправдывает.

Какие у вас на руках факты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А давайте посмотрим как изменилась ситуация с детекшенем этого вируса сейчас, когда прошло уже пару дней.

Интересно посмотреть, кто его еще не берет :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

3 дня прошло скорей всего отлавливают все, сейчас проверю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Так же хочу отметить, что статистики по f-secure и trend micro тут нет, а хотелось бы увидеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

вообще конечно это не реклама.. но радуют показанания nod32..

что же касается symantec - то обзывание вирусов категориями.. просто вводит в заблуждение..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
вообще конечно это не реклама.. но радуют показанания nod32..

Да, он его проактивно взял еще 23-го (так же как BitDefender), а сейчас уже сигнатурами уже берут.

Кстати, Доктор веб еще в первый день взял, молодцы.

Сейчас действительно почти все уже берут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

По времени внесения в базы..

Уверен, что в базах каспера он был уже ночью 23

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Факт, пришёл новый вирус и половина сильных антивирусов не готовы его обнаружить... А это со всей известностью весьма серьёзный вирус.

Это не факт, это больше чем факт --- так оно и было на самом деле. (с) сами знаете от куда.

Нельзя оценивать скорость лыжника, дав ему проскакать на одной лыжне, а потом на другой. После этого сложить скорости. Нельзя отдельно тестировать detection rate (левая нога лыжника), а "обвязку" (правая нога лыжника) игнорировать, или рассматривать отдельно.

На сегодняшинй день хорошая антивирусная защита не сводится только к лучшему detection rate. вот если бы был антивирус, который обеспечивает 100%, то вопрос был бы снят.

Антивирус --- это не чудо-средство, а инструмент обеспечения антивирусной безопасности. Инструмент может быть широкого и узкого профиля.

Теперь предметно о Trend Micro. Так как Trend Micro нет на сайтах www.vitustotal.com и virusscan.jotti.org, то мы не знаем в первых ли он рядях по этому вирусу или в отстающих, но будем исходить из предполажения, что в отстающих, иначе не интересно.

Итак, чем поможет Trend Micro (как все работает вместе):

1. У Trend Micro есть сервис NASS, который не примет письма с подозрительного адреса, то есть не то что вирус, а само письмо не будет принято.

2. Сервис оценки уязвимости обеспечит, что пользователи, у которых нет заплаты, на остутвие которой надеется автор вируса, не получат почты до ее установки.

3. Вирус использует уязвимость Microsoft для автозапуска. Этот HTML-код обнаруживается, как вирус (например HTML_BAGLE.AI) и письмо блокируется на уровне шлюза.

4. В шлюзовом продукте InterScan Messaging Security Suite есть специальная эвристическая технология IntelliTrap, которая предназначена для блокировки почтовых червей. Ее эффективность нам не известна, так как пока нет независимых тестов. Тестеры, как привило все сводят к тестированию файловых антивирусов.

5. В InterScan MessagingSecurity Suite можно сделать (и рекомендуется) настройку, которая будет блокировать все EXE-файлы, что обеспечит защиту от всех подобных угроз.

6. При появлении этого вируса в сети, лоборатории Trend Micro [может быть] опубликовали политику предотвращения эпидемии, которая прописала блокиовать файлы foto_5321.exe в SMTP и POP3-почте, на серверах Exchange и Domino, а так же запись этого файла на локальные диски пользователей.

7. На рабочих станциях в OfficeScan можно внедрить жесткую политику исходящих соединений, что исключит использование бота, который идет с этим вирусом.

8. Когда придет обновление (мы рассматриваем именно такой сценарий --- сначали вирус потом обнвление) система policy enforcement обеспечит гарантию, что все рабочие станции обновились и вирус будет заблокирован

9. Сервис по очистке DCS после публикации обновлений удалит этот вирус/бот с рабочих станций (не заметно для пользователя!). Администратору остается только смотреть статистику.

Ко мне попадает информация об серьезных инцедентах у клиентах. В подавляющем числе случаев, это сучается когда у клиента либо не стоит антивирус, либо не настро практически ничего из того, что описано выше). Для меня именно это "факт", а не результат проверки одного вируса на сайте www.virustotal.com.

P.S.

Все что описано выше, это Enterprise Protection Strategy приминительно к данному вирусу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Именно в свете последнего поста Михаила, очередной раз можно констатировать, что защита на уровне домашнего пользователя и защита на уровне предприятия - отличаются в корне ... Для организации антивирусной защиты на уровне предприятия надо рассматривать проблему в комплексе, а не только detection rate...

Хоть NOD32 и показывает хорошие результаты, но на уровне Enterprise по количеству сервисов и возможностей - ему далековато пока до первой тройки ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я в целом согласен, что организации для сравнения надо рассматривать весь комплекс защиты от вирусов, но чтобы провести такое комплексное сравнение сначала надо сравнить каждые параметр по отдельности, в том числе и детекшен.

Как только мы накопим качественные сравнения по различным параметрам, которые обсуждались в дургих ветках, то можно будет сделать некий общий анализ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

коллеги, вам не кажется.. что мало участников форума..

из вендоров участие принимает только тренд-микро.. :(

что негативно сказывается на информативности, на выборе..

можно заподозрить не ладное :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин

Что Trend проплачивает этот ресурс ? Хорошая идея кстати :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

аналоги подобных ресурсов в интернете есть, в рунете оч мало..

секуритилаб, хакер и т п не берём во внимание, там долбят одно и тоже .., ресус типа сек.нов больше об уязвимостях..

разделы вредоносного кода весьма не развиты.., понятное дело, черви используют уязвимости (сек.нов) или реализуют атаки (сек лаб, бак трак, хак зона), но нужны срочные решения по одному из видов угроз.. тут можно освящать..

Anti-Virus

Anti-Spam

Anti-Spyware

Anti-Adware

Anti-Phishing

Громко, но можно..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
коллеги, вам не кажется.. что мало участников форума..

из вендоров участие принимает только тренд-микро.. :(

что негативно сказывается на информативности, на выборе..

можно заподозрить не ладное :)

Это не так, есть и представители других компаний, есть еще такие, которые не афишируют свою принадлежность (надеюсь пока).

Участников, действительно пока не много, уверен это скоро изменится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

тогда может надо запретить отровенную рекламу в стиле МЫ ЛУЧШЕ..

если предлагается решение, то оно должно быть предложено, а не навязано..

Споры на тему, кто не с нами тот против нас, тоже не красят форум..

В общем надо обдумать, концепцию даже поменять надо..

Но, опять же авторы проекта НА ГРЕБНЕ -- РЕСПЕКТ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
тогда может надо запретить отровенную рекламу в стиле МЫ ЛУЧШЕ..

если предлагается решение, то оно должно быть предложено, а не навязано..

Споры на тему, кто не с нами тот против нас, тоже не красят форум..

В общем надо обдумать, концепцию даже поменять надо..

Но, опять же авторы проекта НА ГРЕБНЕ -- РЕСПЕКТ :)

А вы видели тут откровенную рекламу ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×