Добрый вечер!
Подскажите, я на XP использовал Microsoft Security Essentials, вроде ничего. Вот перешел на 8. Как вы думаете достаточен ли уровень защиты от вирусов и всякой нечисти ПК при использовании Windows Defender + UAC (по умолчанию)? Или вы все-таки посоветуете приобрести антивирус?

Или вы все-таки посоветуете приобрести антивирус? »Антивирус + Фаервол или Антивирус с фаерволом.
UAC это туфта, нельзя на него полагаться, легко обойти и запустить любого зверька без ведома пользователя.

jorikello, ответ на вопрос зависит от вашей квалификации (емнип, вы единственный пользователь ПК). Встроенные технологии защиты и предупреждения (брандмауэр, Defender, SmartScreen, UAC) обеспечивают неплохой уровень безопасности для осторожного или более-менее квалифицированного пользователя. Он выше чем в 7 за счет SmartScreen.

Но эти меры не являются панацеей, равно как и другие защитные решения. Если вы неуверенно себя чувствуете, покупайте более мощное комплексное защитное решение типа KIS или NIS. В общем, как работали в 7, так и работайте дальше. А гарантию против запуска вредоносного кода даст только AppLocker (в Enterprise)

Crazy Noise, интересно. Ну, рассказывайте, как замена UAC на сторонний фаервол снизит риск запуска любого зверька без ведома пользователя »

как замена UAC на сторонний фаервол снизит риск запуска »Да, все таки прав, никак. Насчёт фаервола погорячился. Перепроверил, запустил своего зловреда на втором ПК, тот угробил UAC за пару секунд, и удалил некоторые системнные файлы что KIS даже не пикнул, не смотря на последние обновления, но на второй запускаемый процесс он всё таки обратил внимание.
jorikello, Никак, может спасти Антивирус, но против последних вирусов он бесполезен.

Vadikan, спасибо за вменяемый комментарий. Из сторонних решений склоняюсь к ESET SM.

jorikello, Совсем забыл, если вы не единственный пользователь ПК, то ко всему прочему стоит использовать Родительский контроль, указать что стоит запускать а что нет.

Vadikan, а насколько ситуация, описанная Crazy Noise,
запустил своего зловреда на втором ПК, тот угробил UAC за пару секунд, и удалил некоторые системнные файлы »
типична для 7ки вообще и 8ки в частности?

ShaddyR, я не стал комментировать, ибо там нет конкретики и вряд ли она появится. Но если запустить зловреда с полными правами, то все возможно :)

Думаю, в 8 при запуске такого ПО даже если не отработает Defender (в скобках замечу, что у него не отработал даже KIS), то сначала вылезет SmartScreen (нет подписи), а потом UAC (нет прав). Дальше уже ССЗБ.

Вообще, такой зловред с большой вероятностью должен быть редким или вооще 0-day, иначе он просто ловится по сигнатурам. Откуда у него такие зловреды, я не знаю...

Vadikan, почему спрашиваю... уже раз так третий сталкиваюсь с ситуацией, когда на 7ке, поставленной мной, с изначально включенным до рекомендуемого уровня UAC'ом, нарисовывается зловред, стартующий вместе с системой, что невозможно по-идее. Клиенты божатся, что никаких запросов не было. При этом зловред один и тот же. что и смутило. Есть прецеденты обхода UAC из-под неадминистративно запущенного без вывода подтверждения?
В дополнение: в одном из таких случаев UAC'у явно приходилось несладко - мужик сознательно лазил по гденипопаднишним ;) сайтам, результат - тот же вредонос. При этом мужик также утверждает, что подтверждений чего-либо не было. А главное - мне каждый раз приходилось заново включать UAC - он оказывался выключенным. Прекратилось только с третьего раза, когда поставил на четвертое, паническое, деление шкалы.
Вот такая мистика.
В качестве AV-защиты там использован KAV6WKS. После нейтрализации вредины при входе в систему он сообщает, что обнаружен вредоносный объект. Но, как говорится, уже поздно пить боржоми. Похоже, если антивир что и заподозрит - ему не дается время на среагировать - там же нужно участие пользователя, значит - запрос, на который надо ответить... что невозможно, если окно закрыл вредонос)

ShaddyR, наверное, где-то есть PoC обхода UAC, но я что-то не слышал о реальных уязвимостях - их бы вовсю эксплуатировали.

У тебя юзеры с какими правами работают? При стандартных параметрах для обычного пользователя две верхних настройки фактически одинаковы. Там же разница лишь в подходе к настройке Windows - администратор повышается с запросом на самом верхнем уровне. Пользователю же при любом раскладе требуется ввести пароль администратора.

Если твои юзеры работают с правами админа, то вероятнее всего они просто где-то одобрили запрос. Ведь UAC не надо обходить - достаточно показывать запрос, пока юзер не нажмет "Да" :)

А раз ты зловреда отлавливал антивирусом, он должен быть в энциклопедиях, с описанием его работы.

P.S. Не пиши оффтопом, мне плохо видно.

то сначала вылезет SmartScreen (нет подписи) »Насчёт подписи было продумано с самого начала.
а потом UAC (нет прав) »Для этого была придумана начальная оболочка.

Тот зловред что у меня, надеюсь единственный, т.к ни разу не распространял и не собираюсь, используется исключительно для личного пользования в качестве тестирования на уязвимость защиты, не умеет самозапускаться и не ставится в автозапуск, может только угробить систему но не заразить.

нарисовывается зловред, стартующий вместе с системой »В смысле? Он что самоактивировался что ли?
Такого в принципе быть не может, автозапуск с флешек, дисков может, но чтоб так когда его не трогают, врятли, если конечно не учитывая запуск из под flash на сайтах.

Есть прецеденты обхода UAC из-под неадминистративно запущенного без вывода подтверждения? »Есть, Microsoft упустила этот момент, начиная с банеров. Он может быть деактивирован зайдя на вредоносный сайт.

UAC - он оказывался выключенны »Его можно выключить, да так что даже не оповестит о том что его вырубили, как это обычно бывает.

Crazy Noise, если верно то, о чем ты говоришь, то это есть печальная новость. Был уверен, что в 7ке это невозможно.
>
если конечно не учитывая запуск из под flash на сайтах. »
именно так, думаю - скриптом при загрузке компонентов сайта либо нажатием мыша на активный участок сайта (чаще всего - на крестик всплывающей рекламы, под которым пользователи наивно полагают просто закрытие окна :))
>>
У тебя юзеры с какими правами работают? »
угадай :) Ессно, админ - другое юзера не понимают, а учить каждого грамотной работе с компутером у меня нет ни времени не желания. Многие даже необходимость UAC понимают не с первого раза)
>
Если твои юзеры работают с правами админа, то вероятнее всего они просто где-то одобрили запрос »
это-то и беспокоит: если врут, что не жали - их проблема. А вот если действительно так - это плохо.
>
раз ты зловреда отлавливал антивирусом, он должен быть в энциклопедиях »
прецеденты были, но я не интересовался механизмом. К сожалению, в большинстве своем антивиры в упор не видят данных вредоносов, вне зависимости от своей навороченности и самомнения ;)

Тот зловред что у меня, надеюсь единственный, т.к ни разу не распространял и не собираюсь, используется исключительно для личного пользования в качестве тестирования на уязвимость защиты »
Если есть доказательства обхода UAC, предъявляйте в любой форме. Если нет, заканчивайте пустую болтовню.

ShaddyR, ты сказал, что трижды одинаковый зловред обнаруживался. Значит, ты помнил его название как минимум два раза. А сейчас что, забыл? В след. раз запиши :) А то тема начинает напоминать фантастический фильм. Как потом запускался зловред совершенно неважно, можно и руткит схватить. Но сначала у него должны быть права на изменение системных файлов и параметров (Администратор, Система и т.п.).

это-то и беспокоит: если врут, что не жали - их проблема. А вот если действительно так - это плохо. »
С точки зрения безопасности ОС это неважно. UAC не является границей безопасности, он ни от чего не защищает, а просто предупреждает или требует ввода учетных данных. Предупрежден - значит, вооружен.

А запуск зловредов должен блокироваться либо на корню (Applocker/SRP), либо перехватываться защитным средством. И это должно происходить еще до того, как появился запрос UAC.

Значит, ты помнил его название как минимум два раза. А сейчас что, забыл? »
не сейчас. Сразу забыл - велика честь, шоб я их запоминал :)
Но навскидку сие представляется как Министерство внутренних дел Украины
http://www.computerra.ru/wp-content/uploads/2013/03/MVD_Ukraine-720x506.jpg

ShaddyR, lol. Обычно их классифицируют как Trojan.Ransom (http://www.securelist.com/ru/descriptions/30207776/Trojan-Ransom.Win32.PornoAsset.bpf), и единственная уязвимость, которую они эксплуатируют, находится между креслом и клавиатурой :)

я на XP использовал Microsoft Security Essentials »
Я один не догоняю, как такое возможно? Насколько известно, Microsoft Security Essentials работает, начиная с Vista.

Насколько известно, Microsoft Security Essentials работает, начиная с Vista. »
MSE, если мне не изменяет память был выпущен в 2009 году для Windows XP/Vista/7 - так же распространяется и сейчас. Windows Defender - предшественник MSE также устанавливался на Windows XP.

Насколько известно »
неверно известно.
>
единственная уязвимость, которую они эксплуатируют, находится между креслом и клавиатурой »
угум-с. Мне тоже казалось, что под 7й это и есть единственная уязвимость UAC. Последние данные слегка пошатнули эту уверенность.

неверно известно. »
Да, действительно, установился.....