Я бачив деякі сайти, що пропонують "Університет шкідливих програм", навчальні заняття щодо позбавлення від шкідливих програм. Як ви вважаєте, час від часу потрібно оновлювати навички видалення зловмисного програмного забезпечення (або арсеналу)? Як ви стаєте більш ефективними в боротьбі з цією зростаючою, дуже складною загрозою?
Відповіді:
Ви не "чистите зловмисне програмне забезпечення". Ви рівняєте машини і починаєте заново. Все, що менше, - це користь для Вашого Клієнта та прохання про проблеми.
Що стосується "загрози", ви не дозволяєте користувачам працювати з обліковими записами на рівні адміністратора (в Windows) і не встановлюєте ненадійне програмне забезпечення (наскільки це можливо). Мені це здається досить простим. У моїх клієнтів і у мене немає проблеми зі шкідливим програмним забезпеченням.
Крім практики sysadmin забороняти користувачам керувати обліковими записами адміністраторського рівня, багато з вас несе відповідальність за те, щоб бути в курсі загроз у дикій природі. Прочитайте попередження, що з’являються, коли буде знайдена нова загроза. Створіть політику оновлення свого програмного забезпечення.
Ніщо не може зруйнувати безпеку швидше, ніж визначений користувач, тому навчіть їх про небезпеку натискання на випадкові посилання в електронній пошті чи встановлення програм, якщо вони не впевнені у джерелі (тощо), переконайтесь, що скажіть їм, що це для безпеки мережі та їх домашніх комп'ютерів.
Якщо ви залишаєтесь в курсі новин і не повідомляєте своїх користувачів, то ви різко зменшите експозицію.
Що стосується "навчання зловмисним програмам", то саме ім'я є занадто занадто маркетинговим словом, щоб вселити віру. Можливо, я занадто скептичний, але відчуваю, що будь-які конкретні "теми зловмисного програмного забезпечення" будуть застарілими до початку заняття.
Звичайно, застосовуються деякі основні навички, але якщо адміністратор (або техніка підтримки) вже не знає цих речей, я б скоріше відформатував машину (з причин, яку вказав Еван Андерсон), а не ризикувати своїми навичками очищення. .
Автори і провідник процесів від Sysinternals (зараз належить MS) - ваші найкращі друзі. 1-2 інфекції, які я бачу на тиждень, коли користувач відкрив додаток або відвідав сторінку, якої не повинно було, а (оновлений!) AV не завершив її заблокування, як правило, можна очистити в 30m-1h зусиль тільки з цими двома утилітами. Вони досить прості, і після перших чистих очищень ви отримаєте спритність для того, щоб знати, що потрібно вбити / видалити, щоб позбутися від зловмисного програмного забезпечення.
Це означає, що раз у раз ви будете натрапляти на шкідливі програми, які не написані ідіотом, тому, якщо ви не зможете просунутись через 30 хвилин, час на повне видалення / перезавантаження.
Майте на увазі, це більше підходить для тих, хто займається середнім бізнесом, де обладнання не стандартизовано. Якщо у вас є системне зображення і резервні копії файлів користувача, при перших ознаках зараження буде швидше стерти / перезавантажити.