אנטי וירוס...הזמן לחדש ואולי להחליף מותג? - עמוד 2 - טכנולוגיית מידע - IT - HWzone פורומים
עבור לתוכן
  • צור חשבון

אנטי וירוס...הזמן לחדש ואולי להחליף מותג?


Blue-ThundeR

Recommended Posts

אתה יכול קצת לפרט על איך חסימת עמדות דרך GPO

לא מאפשרות להציל את המחשב אח"כ?

יש אפילו תכונות כמו KillPol או GPRemover שמאפשרות ל helpdesk

להתחבר לתחנה, לעשות מה שצריך בלי GP מוחל על התחנה, להחזיר את הGP ולהתנתק. :nixweiss:

קישור לתוכן
שתף באתרים אחרים

  • תגובות 33
  • נוצר
  • תגובה אחרונה

מי מדבר על GPO?

לצ'ק פוינט מספר פתרונות ENDPOINT משלושה חברות שרכשה והן ZoneLabs, Pointsec, Reflex Magnetics. עכשיו זה כמעט אותן תוכנות תחת שם CP בגרסה R73.

*יש עכשיו גם משהו חדש R80, זה שרת אחד שמאחד את כל התוכנות האלו, שכרגע בשלב Limited Availability לפרטנרים מובחרים בלבד.

למעלה דיברתי על תוכנת Media Encryption. לא על ה-GPO המסכן של Microsoft.

http://www.checkpoint.com/products/media-encryption/index.html

Ports Controlled

Port Types USB, WiFi, Fire Wire, IDE, , PS/2, PCMCIA, SATA, IrDA and SCSI

Devices Controlled

Device Types USB flash drives, floppy drives, external hard drives, tape drives, Mobile Smartphones, PDAs, imaging devices, scanners, iPhones, Blackberrys, modems, other network access devices, iPods, other digital music devices, printers, CD/DVD drives, keyboard, mouse, digital cameras, wireless network interface cards, biometric devices and smart cardreaders

קישור לתוכן
שתף באתרים אחרים

אה, הבנתי. הוא חסם את העמדות באמצעות מוצר ה-Endpoint.

כל חברה כבר יותר מ3 שנים משווקת כבר לא משווקת אנטי ווירוס אלא "Endpoint Security Suite" שמספקת AV מבוסס חתימות, היוריסטי כלשהו, חסימת PUP ומנוע הקשחה ו-Device Control.

המוצרים של Checkpoint רחוקים מלהיות בשלים, הרכישות שלה היו של חברות לא מבוססות בשוק לא מבחינת נתח ולא מבחינה טכנ'. בכל מקרה יכולת הקשחת הציוד ההיקפי ב-GPO ב-Windows 7 היא באותה רמה של רוב הפתרונות היום, כולל של צ'קפויינט, בסה"כ מדובר על מוצרי בקרה מאו בסיסיים שמתבססים על הקשחת נתיבי Registry שאחראים על רישום החומרה, מזהה את הנתיב ואת ה-Device ID ומאפשר או מונע את הכתיבה לאותם Rkeys.

אני מכיר 2 מוצרים בלבד שבאמת מבצעים אכיםה ברמת ה-IRP(בידוק I/O Request Packet ברמת הקרנל) בד"כ זה מוצרים שנועדו לעמדות הלבנה מאוד רגישות שבהן גם אם אתה מרשה למשל חיבור התקן מסויים אתה לא יכול לסמוך עליו ולכן גם כל התעבורה ממנו ואליו נבדקת.

בכל מקרה לבחור מלמעלה, רוב הפתרונות זהים היום, למנוע זיהוי של ווירוס ע"י AV זאת עבודה של 5 דקות בערך גם למישהו שלא יודע אסמבלי וסתם צפה בסרטון ביוטיוב. המנועים של רוב ה-AVים הנפוצים הם על הפנים ברמת חתימה מהסיבה הפשוטה שלרוב הארגונים יותר חשוב חוסר זיהוי מאשר False Positive. אם תעלה את רוב הווירוסים שבהם נדבקת לשירות שבודק במספר מנועים תראה שבין 50 ל-70% מהמנועים המובילים לא מזהים את הווירוסים המציקים. תבדוק את החבילה שתקבל מהיצרניות הגדולות, אם יש לך משאבים לשרת ניהול יעודי זאת לא בעיה יותר מידי, אם אין אז ככל הנראה הסימנטק לעסקים קטנים יהיה ככל הנראה הפתרון האידיאלי כיוון שהוא מאפשר לנהל תחנות מתחנה מסויימת ללא צורך בשרת ניהול יעודי(הוא גם זול להחריד).

אם אתה בכל מקרה רוצה שרת ניהול יעודי אז זה כבר מסתבך יותר, קספרסקי מספקים בעיקר שירותי מחקר וחתימות, החבילה שלהם מאוד בסיסית, ולטעמי על הפנים. ל-TM יש מוצרים סבירים אבל גם רחוקים מלהיות מובילים.. לסימנטק אין ממשק ניהול אחיד לכל המוצרים ואין מנגון הפצה(אלא אם יש לך Altiris). ל-McAfee יש את ה-EPO שמספק פלטפורמת הפצה וניהול מרכזי, אבל מצד שני רוב המוצרים שלה פחות בשלים או מובילים מבחינה טכנ', ה-AVים שלהם זהים, ה-Device Control של מקאפי טיפה יותר טוב, אבל מצד שני מגיע כמוצר נפרד או בחבילת הDLP או בחבילת הDC שלהם. מבחינת מוצר , ה-HIPS של מקאפי הוא דיי בדיחה יחסית ל-SCSP אבל מצד שני הוא עובד OOB, מה שאי אפשר להגיד על SCSP. כמובן שיש עוד גורמים כמו סביבה הטרוגנית או הומוגנית(לסימנק מוצר ה-AV ללינוקס מנוהל ע"י "שרת" נפרד כיוון שזה מוצר נפרד), גרסאות מערכות הפעלה(לא כל המוצרים והפיטשרים למשל עדיין עובדים על 64 ביט) או על גרסאות שרתים וכן הלאה.

קישור לתוכן
שתף באתרים אחרים

SCSP ? מה זה אומר?

אני לא יושב על חברה גדולה ,בארגון הקודם שעבדתי היה TM שטחן ב 600 עמדות הלוגים היו ססגוניים אבל אפשר להגיד שאיכשהו שרדנו איתנו,זאת בהחלט הייתה מפוזרת ברמות המטורפת עם כמה בניינים בלוקיישנים שונים,ומה אגיד עוד לא קרה לנו מחשב שנפל מוירוס.

מעבר לזה כמות הספיוואר\מלוואר\תולעים היו הרבה יותר מלספור אותם על יד אחת.

כנראה שאין פתרון ומוצר משלים לפי מה שסיכמת מעליי אז מה לעזאזל עושים?!?

קישור לתוכן
שתף באתרים אחרים

מתוך ניסיון, NOD32 לא רע כלל.

אין לי המלצה לאנטי וירוס טוב, אבל יש לי המלצה למשהו אחר מעניין..

Panda Vaccine

מגן בפני של משתמשים. התקנתי אותו על מספר עמדות, יש הפחתה של ושאר המזיקין - בקרוב נטמיע אותו.

קישור לתוכן
שתף באתרים אחרים

שלום,

גם בארגון אצלנו אני מנהל שרת של ESET NOD32, חשוב לי לציין שהשירות של COMSECURE מצויין מבחינתי.

יש לי כ-500 עמדות עליהן מותקנת התוכנה.

למרות שלאחרונה היו כמה תקלות עם התוכנה ברמה עולמית, שרתים שנתקעו עד שלא שוחררו חתימות שמתקנות את הבעייה ועוד,

אני סה"כ די מרוצה.

בעבר הרחוק היה לנו SYMANTEC שלא זיהה וירוסים רבים.

לגבי הבחור שרשם מעליי, אפשר לחסום גם דרך POLICY של ESET NOD32 - עשיתי את זה אצלי עובד טוב מאוד.

קישור לתוכן
שתף באתרים אחרים

SCSP ? מה זה אומר?

אני לא יושב על חברה גדולה ,בארגון הקודם שעבדתי היה TM שטחן ב 600 עמדות הלוגים היו ססגוניים אבל אפשר להגיד שאיכשהו שרדנו איתנו,זאת בהחלט הייתה מפוזרת ברמות המטורפת עם כמה בניינים בלוקיישנים שונים,ומה אגיד עוד לא קרה לנו מחשב שנפל מוירוס.

מעבר לזה כמות הספיוואר\מלוואר\תולעים היו הרבה יותר מלספור אותם על יד אחת.

כנראה שאין פתרון ומוצר משלים לפי מה שסיכמת מעליי אז מה לעזאזל עושים?!?

Symantec Critical Systems Protection, מדובר בפתרון הקשחה למ"ע.

שוב העניין היום בחבילת "הגנה" זה מה אתה מקבל\כמה אתה משלם בהתחשב במה שאתה צריך.

רוצה AV טוב שבאמת מזהה דברים תתקין CLAM, רוצה חבילה שנותנת לך מספר מוצרים, ושרת ניהול והפצה תשלם. ושוב 99% מהווירוסים אפשר לחשום במספר מאוד פשוט של דרכים, מניעת חיבור מדיה נתיקה בתחנות קצה, AV בשרת הדואר האלקטרוני, ופתרון גלישה מאובטח בסיסי ביותר, והקשחת מערכת ההפעלה ע"י GPO(ברמת של הרשאות לנתיבי Registry רגישים כמו runX, וחסימת הרשאות כתיבה לroot/system) ולא לתת להם אדמין לוקאלי על התחנה. בפעול אם אתה צריך את זה אתה לא צריך AV, אם הווירוס יכול עדיין לעבוד בסיטואציה כזאת ככל הנראה שום פתרון AV בעולם לא יעזור לך.

קישור לתוכן
שתף באתרים אחרים

יש פה כל מיני המלצות הזויות לחברות שאפילו לא יודע מאיפה ניכנסו לעולם הזה.

בכל אופן יש בעיית הרשאות כי תוכנות ה ERP דורשת גישה של FULL למספר תיקיות וזה יוצר בעיות ,לא אני תיכננתי את הרשת ואת הרכשיה שלה.

מעבר לזאת פוקנציות מגניבות בקספרסקי ENT MP4 זה ה רג'סטרי גארד , ו DISABLE AUTO RUN INF בילד אין במנוע וזה עובד נהדר.

ידוע שאפשר לחסום דרך NOD32 אבל אני מאוכזב ממנה ברמות שגרמה לי לעבוד ימים שלמים לנקות כי לא מזהה אותם ,החלפתי כל מנוע וכל גירסא עם החתימות הכי חדשות ולא עזר התוכנה פשוט לא מזהה.!

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.


×
  • צור חדש...