Терминальные станции

[Werewolf]

Евгений Валентинович, если в планах создание специализированного пакета для тонких клиентов? Они работают за частую под Win CE или Win XPe и соответственно вполне могут заразится (мало того, они это прекрасно делают), но при этом на них отсутствуют ресурсы не только для развертования полноценной защиты, но и для использования Kaspersky Virus Removal Tool после заражения. В результате наиболее быстрый способ борьбы с вирусами на тонком клиенте - развертывание системы по новой из образа. Это, мягко говоря, не очень удобно.

[Werewolf]

Раз уж вы пока не ответили, то я позволю себе дополнить и углУбить этот вопрос вопросом-предложением:

Возможно ли создание для корпоративных пользователей некоего внутреннего корпоративного облачного сервиса? Поясню: на компьютер пользователя ставится чисто сигнатурный антивирус, остальные модули доставляются по желанию отдельно в некоем подобии плагинов. Базы на сервере, а не на клиенте. Это бы позволило защищать и клиентов у которых туго с ресурсами (типа тонких). Внутри корпораций потеря связи не критична. Сервера и сетевые шкафы обычно с упсами, так что скорее клиент выключится, чем сетевой сервис , а в случае обратного - ЧП вселенского масштаба, устраняемого в самые кратчайшие сроки. При этом желательно чтобы такой клиент был подо все начиная DOSа. Ведь вполне экономически оправдано взять древний, но еще работающий какой-нибудь 486, поставить DOS и терминальный клиент под него и терминальная станция готова практически с 0 затратами.

 

Есть еще одно предложение

Почему бы не возродить для терминальных клиентов древний AVP Inspector?

Идея следующая:

Предположим, что идею внутрикорпоративного облачного антивируса поддержали ваши маркетологи, а разработчики создали. На тонкого клиента ставится новая ипостась инспектора. Запускается проверка. Все файлы обрабатываются облачным внутрикорпоративным сервисом. Хэши чистых файлов заносятся в базу на клиенте. Рукотворные изменения происходят крайне редко или вообще не происходят (в виду отсутствия ресурсов). При запуске приложения инспектором сверяется его хэш. Прошел проверку - запускайся. Не прошел - в облачный сервис на детект. + к этому все же на клиенте должен быть какой-то эвристик для детекта заведомо деструктивных действий (ведь есть же бестелые черви и т.п.)

Возможно ли организовать такое? Есть ли шанс на воплощение сего вашей командой? Ведь терминальные решения - одна из ипостасей нынче модной вертуализации. Да и глядя на развитие облачных сервисов недолеко и до стародавней идеи NC (Network Computer - в пику PC), а тут уже не только корпоративный, но и персональный рынок.

Глядишь, РПЦ Вас возведет в ранг святых, а Лужков сменит герб на "Святой Евгений, убивающий злобного вируса"

Изменено 10 июня, 2010 пользователем Werewolf

[hinote]

А почему вам не подходит KAV for Windows Servers Enterprise Edition, работающий на терминальном сервере, в качестве замены такого "облачного" антивируса?

 

Каким именно образом у вас "прекрасно заражаются" терминальные клиенты, если они по сути всего-навсего показывают мультик с терминального сервера? Через какие именно каналы возможного проникновения вирусов?

[Werewolf]

С терминальными серверами проблем нет за исключением отсутсвия веб- антифишинга и почтового модуля (на терминальных серверах это актуально). Терминалы конечно же просто показывают мультики, но золотые времена, когда там практически небыло операционки в прошлом. Сейчас, к примеру у меня, терминалы с Win XPe из под которой запускается либо стандартный RDP-клиент либо цикриксовый. Т.е. там стоит вполне обычная икспя, но урезанная до невозможности и на нее нет возможности (в виду отсутствия того же свободного дискового пространства) поставить заплатки. Понятно, то отключить ее от сети невозможно (как же она с терминальным серверам свяжется ), но Win XPe имеет те же самые уязвимости, которые имеет и полновесная WinXP и следовательно подвержена заражению через эти самые уязвимости. Да и пользователи еще те фортеля выкидывают, что даже "показательные расстрелы" слабо помогают. Причем работа с урезанными до невозможности правами не спасает. Проверено практикой. Вона сейчас на данный момент имеется пара терминалов с кидо (причем у пользователей небыло прав не то что админа, но даже продвинеутого юзера) и быстрее всего их вылечить - развернуть операционку из образа. Естественно ни о каком удаленном лечении вообще речи не идет. А простой (даже небольшой) - это по любому потери для бизнеса.

[Kapral]

А откуда эти 2 станции схватили КИДО?

[Werewolf]

А откуда эти 2 станции схватили КИДО?

По сети бегает. Его естественно истребляем, но не могу же я стоять у всех сразу юзверей за спиной и давать по ушам, когда они тока подумают кликнуть мышкой куда ненадо. Мало того, у меня тока года три назад перестал детектится стародревиний и уже не опасный для HTFS OneHalf (пользователи с каких-то замшелый дискет его доставали

[Kapral]

А что - антивирус на рабочих станциях не блокирует?

 

1. Устанавливайте обновки от Microsoft.

2. файрволл включите

3. Отключите на тех компах где не нужно - сменные носители

[Werewolf]

А что - антивирус на рабочих станциях не блокирует?

 

1. Устанавливайте обновки от Microsoft.

2. файрволл включите

3. Отключите на тех компах где не нужно - сменные носители

 

Проблема в том, что заводишко большой и я отвечаю от силы только за пятую часть компов. Остальное находится в не зоны моей компетенции и повлият на положение я никак не могу. Ровно также я немогу запретить своим юзверям обмениваться инфой с ос остальными четырмя пятыми компов.

А у меня и заплатки ставятся и пароли уникальны и тыды и тыпы. Вот только сменные носители я силу процесса совсем не могу запретить и включить фаервол на терминальных клиентах низя ибо стандартный виндовый там отсутствует как класс, а на сторонний места в обрез.

[Kapral]

включить фаервол на терминальных клиентах низя ибо стандартный виндовый там отсутствует как класс,

А теперь поподробнее - какая ОС там стоит (полностью)

 

Только мне кажется что ваша проблема не в антивирусе, а в распределении прав/обязанностей

[Werewolf]

А теперь поподробнее - какая ОС там стоит (полностью)

 

При загрузке он говорит, что Win XPe, но реально пообрезанная до невозможности Win XP SP2 (билд 2600). Система с клиентами занимает 460 мег из 500 возможных. Материнка обычная интеловская х86, ОЗУ 512 мег, вместо HDD на IDE стоит диск он модуль. В принципе DOM можно и выдрать и поставить нормальный винт с нормальной ОС и тыды, но это не выход.

 

Только мне кажется что ваша проблема не в антивирусе, а в распределении прав/обязанностей

 

Согласен, но повлиять на это я не могу, а защитить свой сегмент могу

но в случае с терминалами нечем

[пользователь]

Вынесите терминалы в какую-нибудь защищенную область сети и сделайте туда маршрутизацию.

[Fasawe]

Раз уж вы пока не ответили, то я позволю себе дополнить и углУбить этот вопрос вопросом-предложением:

Возможно ли создание для корпоративных пользователей некоего внутреннего корпоративного облачного сервиса? Поясню: на компьютер пользователя ставится чисто сигнатурный антивирус, остальные модули доставляются по желанию отдельно в некоем подобии плагинов. Базы на сервере, а не на клиенте. Это бы позволило защищать и клиентов у которых туго с ресурсами (типа тонких). Внутри корпораций потеря связи не критична. Сервера и сетевые шкафы обычно с упсами, так что скорее клиент выключится, чем сетевой сервис , а в случае обратного - ЧП вселенского масштаба, устраняемого в самые кратчайшие сроки. При этом желательно чтобы такой клиент был подо все начиная DOSа. Ведь вполне экономически оправдано взять древний, но еще работающий какой-нибудь 486, поставить DOS и терминальный клиент под него и терминальная станция готова практически с 0 затратами.

У ЛК есть услуга аутсорсинга для удаленного обеспечения безопасности... Подробней тут:

http://www.kaspersky.ru/news?id=207732497

[Werewolf]

Вынесите терминалы в какую-нибудь защищенную область сети и сделайте туда маршрутизацию.

Вы уже это предлагали

Но проблема в том, что территориально это все очень сильно разнесено и по дороге между сервером и станцией встречаются не только активное оборудование и совсем неактивное. Перемонтаж сети из-за антивируса? Интересный вариант. Переложить с больной головы на здоровую В противном случае в эту подсеть попадут и обычные раб.станции, а соответственно и эффекта не будет. Тем более, что usb-накопители я запретить не могу. Я конечно могу отвинтить автозапуск. Но я при всем желании не успею дать пользователю полбу, когда он захочет кликнуть по невесть откуда взявшемуся на его флешке экзишнику.

 

У ЛК есть услуга аутсорсинга для удаленного обеспечения безопасности...

По некоторым причинам неосуществимо. Меня СБ сожрет, если я только рот открою по этому поводу

[пользователь]

Вы уже это предлагали

Не помню, но может быть.

 

Но я при всем желании не успею дать пользователю полбу, когда он захочет кликнуть по невесть откуда взявшемуся на его флешке экзишнику.

Хорошо, а групповые/локальные политики на этих терминалах есть? Можно ли на них применить политики ограниченного использования программ?

[Werewolf]

Хорошо, а групповые/локальные политики на этих терминалах есть? Можно ли на них применить политики ограниченного использования программ?

Можно, но я не совсем понимаю как сие будет различать легальный svchost.exe от поддельного? Така мера естественно поможет и снизит вероятность заражения, но антивирус будет надежнее.