Десктопный антивирус… для чего он нужен
Введение
Мы все живем в мире, где нам продают приложения безопасности на каждом шагу. Нам говорят, что нашим настольным компьютерам нужны защитные приложения для защиты от вирусов, вредоносных программ, рекламного ПО, червей и другого вредоносного кода, который может нанести ущерб, если у нас нет защиты. Однако, если ваша компания подверглась атаке червя Conficker, вируса Here You Are или любого другого вредоносного кода, вы не понаслышке знаете, что это не всегда так. Итак, как можно контролировать это поведение, если антивирус не решает проблему?
Почему антивирус не 100%
Антивирусные приложения основаны на известном списке приложений, о которых известно, что они являются вредоносными. Антивирусные решения могут проверять сигнатуры файла, записи реестра, типы файлов, существующие файлы и т. д. Это делается путем поиска известных проблем, которые вредоносный код размещает на вашем компьютере. Приложение AV настолько хорошо, насколько хорошо список известных проблем, на которые оно должно ссылаться.
Вот где AV терпит неудачу. Если есть новое вредоносное приложение или код, антивирусное приложение не знает об этом. Таким образом, вирусы могут распространяться, прежде чем вы об этом узнаете, и все ваши компьютеры могут быть заражены в течение нескольких минут, даже если у вас запущено антивирусное программное обеспечение.
Что хорошего тогда в антивирусном программном обеспечении?
Программное обеспечение AV полезно, но не для того, для чего большинство людей считают его полезным. Антивирусные приложения хороши не столько для обеспечения вирусной атаки, сколько для того, чтобы гарантировать отсутствие вредоносных приложений на вашем компьютере. Например, я запускаю антивирусное программное обеспечение на своем компьютере, где я храню Cain, DumpSec и т. д. Эти инструменты кажутся антивирусному программному обеспечению вредоносными приложениями из-за характера того, что эти приложения могут делать. Таким образом, антивирусное программное обеспечение помечает эти приложения и спрашивает, хочу ли я их удалить.
Антивирусное программное обеспечение также может сканировать сигнатуры, файлы, записи файлов, записи реестра и т. д. Когда вредоносный код «паркуется» на компьютере, он может в это время не выполнять никакой работы, но антивирусное программное обеспечение заметит это и примет меры. Тем не менее, вы должны поддерживать базу данных известных проблем в актуальном состоянии, чтобы антивирус работал.
Если антивирус ненадежен, как мне защитить свой компьютер?
Поскольку антивирусное программное обеспечение не так уж надежно для всех вредоносных кодов и приложений, вам необходимо использовать дополнительные решения. Моя лучшая рекомендация — удалить права локального администратора для пользователей. Почти все вредоносные приложения требуют прав локального администратора для выполнения «работы». Таким образом, вредоносный код берет на себя те же привилегии вошедшего в систему пользователя, чтобы выполнять свою работу. Если пользователь является обычным пользователем, большинство приложений не будут стоить многого, просто храня их на компьютере.
Конечно, это справедливо для компьютеров, которыми управляют обычные пользователи. Отнять права локального администратора у администратора может быть непростой задачей. Если у вас есть компьютеры, которые вы хотите защитить, где пользователь должен иметь контроль, это можно решить несколькими способами.
Во-первых, вы можете изначально лишить права локального администратора, удалив пользователя из группы локальных администраторов. Это, конечно, приведет к тому, что многие вещи потерпят неудачу. Однако затем вы можете вернуться с помощью UAC (см. ниже) или стороннего инструмента повышения прав. Сегодня существуют сторонние инструменты, с помощью которых любой пользователь может повысить любую задачу до уровня администратора, при этом пользователь не является локальным администратором. Это создает защищенный рабочий стол во многих отношениях. Во-первых, поскольку пользователь является стандартным пользователем, все задачи, не требующие прав администратора, будут выполняться с ограниченными правами. Когда пользователю нужно запустить процесс от имени администратора, простой щелчок правой кнопкой мыши… повышение уровня решает проблему!
Во-вторых, вы можете включить управление учетными записями пользователей (UAC) для настольных компьютеров с Windows Vista и 7, а также для серверов и контроллеров домена под управлением Windows Server 2008 и Server 2008 R2. UAC ВСЕГДА будет обнаруживать, когда защищенные (система защищена только для администраторов) файлы и значения реестра изменяются. Пока вы включаете UAC как для обычных пользователей, так и для администраторов, а администраторы получают запрос при попытке записи, вы всегда будете уведомлены о вирусе, записывающемся в вашу систему.
В-третьих, вы можете использовать виртуальные машины для тестирования и поиска в Интернете в защищенной и изолированной среде. Из-за того, что виртуальные машины могут быть изолированы друг от друга, эта среда создает барьер безопасности для поиска в Интернете и запуска приложений для тестирования. Когда вы затем закроете виртуальный компьютер, просто не сохраняйте изменения, чтобы «начать заново» с исходной средой, которая была у вас еще до того, как вы начали тестирование и поиск. Это удалит весь вредоносный код и приложения, которые были там размещены, поскольку вредоносная информация удаляется, когда система не сохраняется.
Резюме
AV полезен, но не для обнаружения всех вредоносных приложений и кода. Антивирус отлично подходит для поиска вредоносных приложений на компьютере, если приложение задокументировано в базе данных антивируса. Чтобы ваш компьютер был полностью защищен, вы должны удалить все права локального администратора. Это легко сделать, исключив пользователя из группы локальных администраторов. Кроме того, вы должны использовать все версии Windows, поддерживающие UAC, которые будут выдавать запрос каждый раз при попытке записи в любой защищенный файл или значение реестра. Безопасность похожа на очередь в буфет, вам нужны различные варианты защиты от всего вредоносного кода, который может проникнуть на ваш компьютер.