А сейчас я буду говорить о банальных, скучных вещах.
О том, что нужно делать, чтобы предотвратить заражение сети вирусами. Правила эти просты, давно известны, но отчего-то практически во всех сетях, с которыми я столкнулся, не выполняются.
Правило первое. Разделяй и властвуй.
Пользователь должен работать только под урезанной учётной записью, если нет предельно веских причин для обратного. Администраторская учётная запись обязательно должна быть защищена паролем. Пароль должен быть сложнее, чем, например, 123qwe или 12345.
Для чего? Всё просто, даже если пользователь подхватит вирус, этот вирус останется только в пределах его домашнего каталога, а не заразит всю систему. Простые администраторские пароли подбираются вирусами (тем же Kido, он же Conficer) на раз-два.
Если пользователь работает с программой, требующей администраторских прав используйте
sudo сервисный скрипт, позволяющий запустить именно эту программу с администраторскими правами.
Правило второе. Обновляйтесь
Microsoft выпускает заплатки не для собственного удовольствия, а чтобы облегчить вам жизнь. Если у вас безлимитное подключение к интернету - просто настройте автоматическое обновление на всех машинах. Если подключение лимитированное - попробуйте узнать, возможно ваш провайдер предоставляет бесплатные обновления со своего сайта, либо настройте прокси, чтобы он кэшировал обновления, либо поднимите локальный WSUS. Если интернет вообще отсутствует - хотя бы раз в месяц скачивайте
кумулятивные наборы обновлений и устанавливайте их.
Большая часть вирусных эпидемий происходит из-за того, что системный администратор поленился и не прикрыл дырки, патчи на которые давно вышли.
Правило третье. Антивирус.
Необновляемый антивирус хуже, чем отсутствующий антивирус, так как даёт ложное ощущение защищённости. Пиратский антивирус - то же, что необновляемый, т.к. либо он сам содержит вирус, либо рано или поздно переходит в разряд необновляемых, потому что энтузиазм в деле поиска незабаненных ключей иссякает довольно быстро. Не говоря уже о том, что подставляться под уголовную статью из-за куска кода - просто глупо.
Если есть возможность защитить антивирус паролем от отключения - защищайте обязательно. ВСЕГДА находится талант, который отключает антивирус. ВСЕГДА это именно тот человек, которому не хватит квалификации не нахватать при этом вирусов.
Хорошим дополнением к антивирусу будет любая утилита, которая сидит в трее и проверяет все подключенные диски (флэшки или сетевые) на наличие файлов вида autorun.*, а при нахождении таковых - убивает их или убирает в карантин.
Увы, ничто не совершенно, и вполне возможно, что сигнатуры именно этого вируса не окажутся в базах вашего антивируса. Поэтому стоит перестраховаться. Как говаривал один палач, отрубая голову - "не дайте перхоти ни малейшего шанса".
Правило четвёртое. Файрволл и прокси.
Моё личное мнение - достаточно файрволла на границе локальной сети и интернета. Впрочем, вполне можно добавить wipfw, в котором разрешить только нужные порты. Большого эффекта ожидать не приходится, т.к. windows firewall одна из первых служб, становящихся жертвой вируса, но, с учётом правила первого, это может защитить от последствий.
Увы, я совершенно не верю в то, что локальный файрволл поможет защитить компьютер рядового пользователя от заражения вирусом.
Имеет смысл раздавать интернет только через прокси (кроме тех программ, которым требуется прямое подключение). Прокси даёт возможность не только фильтровать сайты по контенту (не секрет, что на порно- или варёзных ресурсах зачастую и ловятся вирусы), но и проверять интернет-трафик антивирусом. Также имеет смысл подумать об использовании OpenDNS (хотя этот метод не всегда применим).
Правило пятое. Не теряйте бдительности.
Периодически просматривайте пользовательские компьютеры. Будет ли это анализ сетевой активности или просто выборочное втыкание LiveCD с антивирусом на время обеда - дело десятое. Поймать и излечить вирусы на ранней стадии гораздо проще, чем пролечивать всю локальную сеть, заражённую обширным зверинцем.
Итоги.
На самом деле ничего сложного тут нет. Вирусы могут попасть в компьютер по большому счёту тремя путями: с дисков (флэшки и/или сетевые диски), из интернета и по локальной сети (атака скомпрометированных служб).
Всё сводится к предупреждению заражения и минимизации ущерба в случае, если это самое заражение всё же произошло.
Успехов, коллеги.
