Блокировка обновлений windows и Mac?

Question

[kiranananda]

В связи с сложившейся ситуацией надо обезопасить себя и свою работу от возможных блокировок со стороны разработчиков операционных систем. Думаю самым надёжным способом будет блокировка по dns именам. Так как можно можно сразу и для всех блокирнуть адреса обновлений. С точки зрения подсетей тут помему менее надёжно. Вот и вопрос. Кто заморачивался подскажите какие адреса для этого используются или как лучше реализовать сию возможность?

Comments

[ewgenc]

Intel® Management Engine гуглите - если кому-то потребуется, заблокируют железо еще до этапа загрузки ОС.

[kiranananda]

ewgenc, Ага железо найдет выход в интернет, само подключится, получит нужные команды от туда? :), а может в него уже встроена спутниковая двусторонняя антенна которая и свяжется с белым домом? :)

[Сергей Кузнецов]

Отсутствие обновлений это гарантированный способ открыть компы для взлома любыми хакерами, а не только разработчиками.

А вот резервное копирование спасёт от подобных проблем.

[kiranananda]

Сергей Кузнецов, ну тут надежда на антивирус :)

Answer 1

[Kenny00]

В своё время решал задачу обратную.
Нужно было закрыть всё, кроме обновлений...

http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
http://stats.microsoft.com
https://stats.microsoft.com

Делал именно через proxy.

Answer 2

[Zolg]

1) блокируете весь сетевой трафик (и входящий и исходящий)
2) адресно разрешаете доступ в сеть только необходимым вам приложениям

Под виндой это все можно сделать средствами штатного фаервола, но надстройки над ним типа WFC, simplewall, или tiniwall серьезно упрощают задачу

Теоретически это естественно не устраняет возможности наличия бэкдоров, но длительное (около месяца) наблюдение за подопытной песочницей левого трафика не выявило.

Comments

[kiranananda]

Да это вообщем то неплохая мысль. Но слишком парк большой. Ухайдохаешься делать…

[Zolg]

ну если более-менее однородный, то основную массу правил спускаете политикой, ну и конкретные исключения - по месту.

ps:
главное в этом процессе не забыть правила, разрешающие общаться с контроллерами домена )

[pfg21]

kiranananda, нафига вам компуктеры.
поставить на роутере меж локалкой и интернетом фаервол, хотя там он обычно уже есть. настроить его и ок.

[Zolg]

На сетевом фаерволе немного сложновато фильтровать трафик конкретных приложений

[kiranananda]

Zolg, там микроты стоят и штук 40 надо законфигурить. Та ещё шиза. Сделали через днс

Answer 3

[Dmitry Roo]

Мне кажется, с большей вероятностью, устройства, находящиеся на территории РФ, отключат от обновлений.

Comments

[kiranananda]

Ну тут надеятся на то что за нас сделают это не выход. А если нет, то потом полтыщи виндов ручками бегать переустановить? :)

[Drno]

kiranananda, Вы не поеяли. Отключат от обновлений сами майкрософт и аппл. Собственно уже походу делают)

[kiranananda]

Drno, аа, ну это лучше )). Но все же риск того что могут тормознуть уже работающие версии есть и надо подстраховаться.

[Drno]

kiranananda, не тормознут. Лиц договор это запрещает

[AVKor]

Drno,

Лиц договор это запрещает

:)

[antonwx]

AVKor, это американская компания мирового уровня, делать такую подляну - стрелять себе же в ногу

[AVKor]

antonwx,

это американская компания

Вот именно.

[Алексей Р]

И что! Каким образом изолировать их? Что только даст блокировка по DNS? Вы реально считаете что там нет бэкдора на такой случай?

[kiranananda]

Алексей Р, надо сделать хоть что то. Блокирнут перейдём на альт линух и все. Помучаются пользюки слегка зато старое железо можно попридержать не списывая :)

Answer 4

[Drno]

У них и без этого доступ есть к системе. У аппл так точно
А мне сегодня на винду с отключенными 2 года обновами прилетела кнопка - срочный апдейт... вопрос как))
Вот и думайте сами))

У меня просто прога стоит. Отключатель обнов. Как сервис работает

Блокируйте днс имена на шлюзе. Список их есть в инете

Comments

[ambisinister One]

Вам сюрприз от мелкософта)
Уже пару часов как)

[Drno]

ambisinister One, утром буду проверять на виртуалке. Интересно чё там))

[antonwx]

Drno, компания такого масштаба не будет опускаться до принудительных блокировок по территории. Максимум оставят без поддержки и не дадут купить

[Drno]

antonwx, да я и не говорил что будут блокировать)

[kiranananda]

Drno, если что то интересное отпишитесь :)

Answer 5

[CityCat4]

У маков - никак, у них постоянное подключение к ябблу. У винды - не знаю, разве только инет отрубить :) Но я думаю, это скоро станет неактуально, потому что начнется повальный исход на линух. Да, там будет неудобно, страшно, стремно, тоскливо и без красивых картиночек. Но просто выбора другого не будет.

Comments

[Zolg]

У маков - никак

Теоретически у маков под капотом BSD'шный packet filter. С фильтрацией по процессам там сложнее, чем в винде, но есть фильтрация по uig:gid
Такчто запрещаем весь трафик, кроме как от своей учётной записи и уз необходимых для работы демонов.

[Алексей Р]

Пффф. И чем Вам линукс страшен не красив? И что там очень сложного? Ставьте KDE Neon о всё будет хорошо, красиво, удобно!!!

[CityCat4]

Алексей Р, Ну давай, сделай мне на самбе полную имитацию админских прав винды :) Чтобы я мог зайти по сети на диск C$ и изменить любой файл (кроме тех, что заблокированы).
А юзерам все равно будет стремно и тоскливо. Потому что не так все.

[kiranananda]

Да гитхаб и прочее тоже под вопросом. Крым же заблочили. Вот вам и опенсоурс :). Придётся альт наш ставить :)

[Роман]

CityCat4, так правами и пользователями это разруливается очень легко.

[Алексей Р]

CityCat4, ну во первых не давай а давайте. А во вторых что бы вы знали права администратора нужны только администратору. Весь функционал самбы меня лично устраивает на 90%. А если Вы идеологически делаете херню то система правильно вам концы рубит. И с юзерами нужно работать. Мои лично проблем не видят. За исключением файлов для эксель со встроенными макросами.

[Алексей Р]

kiranananda, А альт не опенсорс? Какая разница между заблокированными Ubuntu и Alt? Обновлений не будет не там и не там. А то что блокируют гитхаб так это правильно. Своё надо было делать! Время и деньги были.

[CityCat4]

Алексей Р,

ну во первых не давай а давайте.

Добро.

А во вторых что бы вы знали права администратора нужны только администратору

Ой, а мужики-то и не знали...

Весь функционал самбы меня лично устраивает на 90%.

Меня он и на сто устраивает, но речь не обо мне, я с UNIX работаю с 1995 года. Речь об обычных виндоюзерах и обычных виндоадминах, которые привыкли, что он может в любое время подключиться к шаре C$ и скинуть (или прочитать) любой файл, если конечно он системой не залочен.