broker

лидер в области

В этой теме 94 сообщений

Вообще, очень важна - отказоустойчивость самого антивируса, ведь не для кого не секрет, что антивирус - это такое же приложение, при определённых правах на системе, его работа полностью блокируется..

Грустно :( иногда ощутимым признаком заражения является порча Антивируса..

В Trend Micro OfficeScan есть специальный процесс "Watchdog", который перезапускает антивирусный монитор, если он падает. Это защищает и от вирусов типа Nimda, которые выгружают монитор. Разумеется, что ничто не мешает авторам будущих вирусов разобраться с тем, как отключить сначала сам "Watchdog"...

Кроме этого, есть технология Cisco NAC, которая позволяет обеспечить сетевую блокировку компьютеров с незагруженным монитором, а если к Cisco NAC прикрутить Cisco SIMS/MARS, то можно в реальном времени это отслеживать.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А существует ли специальный продукт для защиты именно терминальных сессий?

Специального продукта я не знаю, был такой McAfee VirusScan TC, но сейчас его нет.

Не всегда цена продукта проворциональна "наворотам", да и вообще цена --- не самый главный критерий. Проблема в другом, "навороты" эти лишний источник "глюков", и если вы не планируете использовать какой-либо "наворот", то не стоит рассматривать его наличие, как однозначный плюс продукта.

Согласен, часто навороты - это скорее негатив, чем полезные фичи.

У всех консолей есть свои преимущества/недостатки, которые могу определить предпочтение того или иного продукта.

Пример: Trend Micro OfficeScan управляется только из Веб-консоли. Преимущества очевидны, но браузером должен быть только IE 5.5 и выше. Кому-то может понравиться какой-нибудь продукт (KAV?), который управляется просто GUI - поставил и пользуйся. Никаких тебе проблем с куками, ActiveX'ами...

Кроме этого есть ньюансы архитектуры системы управления, которая определяет масштабируемость, надежность, скорость...

Несомненно это именно так, играет роль все вышеперечисленное. Мне просто не хотелось вдаваться в подробности, ветка и так довольно объемная получилась, в первом приближении перечисленные мной продукты по возможностй администрированию (именно рабочих станций) более мнее равны.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
win 2003 terminal server, пусть 100 сессий одновременных, какой антивирус поставить, чтоб НЕ ТОРМОЗИЛО :)

В данном случае лучше наверное взять решение кого-то из большой тройки (Symantec, McAfee, Trend Micro). У Касперского неважный серверный продукт, кроме того денег стоит много, Доктор веб ... не знаю, не тестировал его на серваке.

Кстати, впомнил еще одну тему для обсужения: переход Trend Micro с ServerProtect на OfficeScan SE, мне лично тут не все ясно ...

Михаил, предлагаю это выделить в отдельную ветку, где в кратце объяснить что к чему.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

f-secure по их утверждению является единственным продуктом для terminal 2003.

Не знаю как с инсталляцией и обслуживаением, но часть известных вирусов он-лайн проверка с их сайта не обнаруживает.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
f-secure по их утверждению является единственным продуктом для terminal 2003.

Не знаю как с инсталляцией и обслуживаением, но часть известных вирусов он-лайн проверка с их сайта не обнаруживает.

Я не знаю, насколько хорошо представлен в России F-secure, но если их этот продукт "заточен" под terminal-сервер, то имеет смысл присмотреться, так как удобство работы может оказаться важнее, чем какие-то там непойманые вирусы.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в данном случае имеет ли вообще смысл ставить антивирус на терминал.. можно поставить защиты на 80 и 21 порты на роутере перед терминалом...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати, впомнил еще одну тему для обсужения: переход Trend Micro с ServerProtect на OfficeScan SE, мне лично тут не все ясно ...

Михаил, предлагаю это выделить в отдельную ветку, где в кратце объяснить что к чему.

Специально для вас:

http://www.anti-malware.ru/phpbb/viewtopic.php?p=721#721

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в данном случае имеет ли вообще смысл ставить антивирус на терминал.. можно поставить защиты на 80 и 21 порты на роутере перед терминалом...

Я думаю, возможно оба варианта, какой лучше зависит от возможностей компании.

Спасибо! :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в данном случае имеет ли вообще смысл ставить антивирус на терминал.. можно поставить защиты на 80 и 21 порты на роутере перед терминалом...

Как так?! Без защиты на самом сервере нельзя!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Коллега Михаил, я говорил о страховке 2,3 вируса на одном сегменте и эта модель себя оправдывает.

Какие у вас на руках факты?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А давайте посмотрим как изменилась ситуация с детекшенем этого вируса сейчас, когда прошло уже пару дней.

Интересно посмотреть, кто его еще не берет :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

3 дня прошло скорей всего отлавливают все, сейчас проверю

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так же хочу отметить, что статистики по f-secure и trend micro тут нет, а хотелось бы увидеть.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вообще конечно это не реклама.. но радуют показанания nod32..

что же касается symantec - то обзывание вирусов категориями.. просто вводит в заблуждение..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
вообще конечно это не реклама.. но радуют показанания nod32..

Да, он его проактивно взял еще 23-го (так же как BitDefender), а сейчас уже сигнатурами уже берут.

Кстати, Доктор веб еще в первый день взял, молодцы.

Сейчас действительно почти все уже берут.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По времени внесения в базы..

Уверен, что в базах каспера он был уже ночью 23

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Факт, пришёл новый вирус и половина сильных антивирусов не готовы его обнаружить... А это со всей известностью весьма серьёзный вирус.

Это не факт, это больше чем факт --- так оно и было на самом деле. (с) сами знаете от куда.

Нельзя оценивать скорость лыжника, дав ему проскакать на одной лыжне, а потом на другой. После этого сложить скорости. Нельзя отдельно тестировать detection rate (левая нога лыжника), а "обвязку" (правая нога лыжника) игнорировать, или рассматривать отдельно.

На сегодняшинй день хорошая антивирусная защита не сводится только к лучшему detection rate. вот если бы был антивирус, который обеспечивает 100%, то вопрос был бы снят.

Антивирус --- это не чудо-средство, а инструмент обеспечения антивирусной безопасности. Инструмент может быть широкого и узкого профиля.

Теперь предметно о Trend Micro. Так как Trend Micro нет на сайтах www.vitustotal.com и virusscan.jotti.org, то мы не знаем в первых ли он рядях по этому вирусу или в отстающих, но будем исходить из предполажения, что в отстающих, иначе не интересно.

Итак, чем поможет Trend Micro (как все работает вместе):

1. У Trend Micro есть сервис NASS, который не примет письма с подозрительного адреса, то есть не то что вирус, а само письмо не будет принято.

2. Сервис оценки уязвимости обеспечит, что пользователи, у которых нет заплаты, на остутвие которой надеется автор вируса, не получат почты до ее установки.

3. Вирус использует уязвимость Microsoft для автозапуска. Этот HTML-код обнаруживается, как вирус (например HTML_BAGLE.AI) и письмо блокируется на уровне шлюза.

4. В шлюзовом продукте InterScan Messaging Security Suite есть специальная эвристическая технология IntelliTrap, которая предназначена для блокировки почтовых червей. Ее эффективность нам не известна, так как пока нет независимых тестов. Тестеры, как привило все сводят к тестированию файловых антивирусов.

5. В InterScan MessagingSecurity Suite можно сделать (и рекомендуется) настройку, которая будет блокировать все EXE-файлы, что обеспечит защиту от всех подобных угроз.

6. При появлении этого вируса в сети, лоборатории Trend Micro [может быть] опубликовали политику предотвращения эпидемии, которая прописала блокиовать файлы foto_5321.exe в SMTP и POP3-почте, на серверах Exchange и Domino, а так же запись этого файла на локальные диски пользователей.

7. На рабочих станциях в OfficeScan можно внедрить жесткую политику исходящих соединений, что исключит использование бота, который идет с этим вирусом.

8. Когда придет обновление (мы рассматриваем именно такой сценарий --- сначали вирус потом обнвление) система policy enforcement обеспечит гарантию, что все рабочие станции обновились и вирус будет заблокирован

9. Сервис по очистке DCS после публикации обновлений удалит этот вирус/бот с рабочих станций (не заметно для пользователя!). Администратору остается только смотреть статистику.

Ко мне попадает информация об серьезных инцедентах у клиентах. В подавляющем числе случаев, это сучается когда у клиента либо не стоит антивирус, либо не настро практически ничего из того, что описано выше). Для меня именно это "факт", а не результат проверки одного вируса на сайте www.virustotal.com.

P.S.

Все что описано выше, это Enterprise Protection Strategy приминительно к данному вирусу.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Именно в свете последнего поста Михаила, очередной раз можно констатировать, что защита на уровне домашнего пользователя и защита на уровне предприятия - отличаются в корне ... Для организации антивирусной защиты на уровне предприятия надо рассматривать проблему в комплексе, а не только detection rate...

Хоть NOD32 и показывает хорошие результаты, но на уровне Enterprise по количеству сервисов и возможностей - ему далековато пока до первой тройки ...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я в целом согласен, что организации для сравнения надо рассматривать весь комплекс защиты от вирусов, но чтобы провести такое комплексное сравнение сначала надо сравнить каждые параметр по отдельности, в том числе и детекшен.

Как только мы накопим качественные сравнения по различным параметрам, которые обсуждались в дургих ветках, то можно будет сделать некий общий анализ.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

коллеги, вам не кажется.. что мало участников форума..

из вендоров участие принимает только тренд-микро.. :(

что негативно сказывается на информативности, на выборе..

можно заподозрить не ладное :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что Trend проплачивает этот ресурс ? Хорошая идея кстати :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

аналоги подобных ресурсов в интернете есть, в рунете оч мало..

секуритилаб, хакер и т п не берём во внимание, там долбят одно и тоже .., ресус типа сек.нов больше об уязвимостях..

разделы вредоносного кода весьма не развиты.., понятное дело, черви используют уязвимости (сек.нов) или реализуют атаки (сек лаб, бак трак, хак зона), но нужны срочные решения по одному из видов угроз.. тут можно освящать..

Anti-Virus

Anti-Spam

Anti-Spyware

Anti-Adware

Anti-Phishing

Громко, но можно..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
коллеги, вам не кажется.. что мало участников форума..

из вендоров участие принимает только тренд-микро.. :(

что негативно сказывается на информативности, на выборе..

можно заподозрить не ладное :)

Это не так, есть и представители других компаний, есть еще такие, которые не афишируют свою принадлежность (надеюсь пока).

Участников, действительно пока не много, уверен это скоро изменится.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

тогда может надо запретить отровенную рекламу в стиле МЫ ЛУЧШЕ..

если предлагается решение, то оно должно быть предложено, а не навязано..

Споры на тему, кто не с нами тот против нас, тоже не красят форум..

В общем надо обдумать, концепцию даже поменять надо..

Но, опять же авторы проекта НА ГРЕБНЕ -- РЕСПЕКТ :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тогда может надо запретить отровенную рекламу в стиле МЫ ЛУЧШЕ..

если предлагается решение, то оно должно быть предложено, а не навязано..

Споры на тему, кто не с нами тот против нас, тоже не красят форум..

В общем надо обдумать, концепцию даже поменять надо..

Но, опять же авторы проекта НА ГРЕБНЕ -- РЕСПЕКТ :)

А вы видели тут откровенную рекламу ?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • alamor
      PR55.RP55, извиняюсь, про исполняемые недосмотрел, подумал вы .pf файлы предлагаете чистить. Сейчас у многих это "модно".
       
    • PR55.RP55
      alamor У меня порой возникает такое впечатление, что я пишу одно - а люди читают, что-то совсем другое. Ещё раз. Каталог: PREFETCH   в норме не содержит исполняемых файлов. он содержит файлы\информацию по запуску исполняемых файлов. Никто не предлагает очищать сам каталог. ------------------------ SourceMonitor Возможно, что-то в таком духе будет полезно для анализа файла, при добавлении этой информации в Инфо. http://soft.oszone.net/program/5829/SourceMonitor/
    • alamor
      PR55.RP55, не надо всякой фигнёй страдать. И поменьше читайте разные байки в интернете про очистку файлов префетчера. Тем более в контексте uVS после такой очистки вы потеряете часть файлов в образе которые запускались неявно или вручную и будете потом обвинять demkd, что новая версия видит меньше вирусни чем старая.
       
    • AM_Bot
      Антивирусная компания ESET провела опрос, посвященный онлайн-платежам. Респондентам предложили перечислить товары и услуги, которые они оплачивают в Сети, и меры предосторожности. Пользователи могли указать несколько вариантов ответа. Читать далее
    • AM_Bot
      Минкомсвязи собирается ограничить число удостоверяющих центров, которые сегодня имеют право выдавать квалифицированную электронную подпись, двумя государственными структурами. Соответствующий законопроект уже внесен ведомством. Читать далее