Default Deny в антивирусах от чего защищает сервер, а от чего нет?

Question

[nameqaw]

Речь про ПО для безопасности (антивирусы, контроль программ...). Принцип Default Deny - приложениям запуск вообще запрещён, если они не находятся в списке доверенных у антивируса. Для неразбирающегося в безопасности это звучит как полная защита сервера от вирусов, шифровальщиков, но не защитит от уязвимостей самого ПО.
1) Default Deny полностью защищает сервер от исполняемого вредоносного кода?
2) Или если доверенное ПО открывает зараженный файл то вредоносный код файла выполнится от имени доверенного ПО?
3) Принцип Default Deny не защищает от уязвимостей нулевого дня, от ДДОС-атаки, и ещё от чего не защитит?

Comments

[Алексей Уколов]

Если речь про фаервол, то он не имеет никакого отношения к исполнению кода. Если нет, то нужен контекст.

[Василий Банников]

"уязвимость нулевого дня" говорит только о том "когда" была раскрыта уязвимость и ничего не говорит о характере самой уязвимости.

[Saboteur]

Default Deny переводится как запрет по умолчанию.
Запрет по умолчанию ЧЕГО?

необходим контент.
Если запрет в файрволе, это относится только к фаерволу, а не к исполнению кода.
Если это настройки по умолчанию в антивирусе, то относится к антивирусу.
Просто два слова рядом без контента ничего не скажут.

[nameqaw]

Алексей Уколов, Saboteur, Речь про ПО для безопасности (антивирусы, контроль программ...). Принцип Default Deny -приложениям запуск вообще запрещён, если они не находятся в списке доверенных у антивируса. Для неразбирающегося в безопасности это звучит как полная защита сервера от вирусов, шифровальщиков, но не защитит от уязвимостей самого ПО.

[Ziptar]

nameqaw, зачем насиловать сервер анивирусом, когда можно настроить белые списки приложений? Да и, в зависимости от назначения сервера, даже это может быть не нужно, просто потому, что может не быть путей для попадания зловреда на сервер (а от удаленного запуска исполняемого кода путём эксплуатации уязвимостей в драйверах или используемых сетевых службах это все равно не защитит, как и антивирус в большинстве случаев).

[nameqaw]

Ziptar,

может не быть путей для попадания зловреда на сервер

Как это настроить на Debian? Есть инструкции или какую тему изучить для этого?

Answer 1

[Василий Банников]

У вас каша в понимании терминологии.

1. Default Deny / "Запрещено всё, что не разрешено" - это подход к формированию политик, а не средство защиты. Противоположность Default Allow.
Сделать достаточную защиту можно при использовании любого подхода из этих двух, вопрос только в том, какой будет удобнее и уместнее в конкретной ситуации.

2. "Уязвимость нулевого дня" - это только про момент раскрытия уязвимости и её исправления, но не про её характер.

3. От ddos это точно защитит, если ты применишь Default Deny подход и запретишь ИС вообще любые способы общения с внешним миром - к тебе в дом не проберутся воры, если у тебя в доме нет дверей, окон, да и самого дома тоже.

Или если доверенное ПО открывает зараженный файл то вредоносный код файла выполнится от имени доверенного ПО?

Как настроишь, так и будет.