Нужен ли антивирус, если включена политика ограниченного использования программ?

Question

[Григорий Бондаренко]

Срок расширенной поддержки Windows 7 истекает в следующем году. Правильно ли я понимаю, что обновления антивируса Security Essentials станут недоступны? А нужен ли вообще нам антивирус на рабочих станциях? Дело в том, что на нашем предприятии все пользователи работают под ограниченными учётными записями, а также включена политика ограниченного использования программ. Таким образом, пользователи не могут запускать исполняемые файлы и подключать библиотеки кроме тех, которые находятся в папках Windows и Program Files. Кроме того запрещено выполнение макросов, не подписанных доверенным издателем. Ну и, разумеется, обновления операционной системы и браузеров накатываются автоматически. По-этому мне трудно придумать ситуацию, в которой компьютер заразится вирусом. Или такая ситуация возможна?

Answer 1

[АртемЪ]

А нужен ли вообще нам антивирус на рабочих станциях?

Это вам решать.
Зависит от ситуации, от задач, от политики организации, и.т.п.
Я например наличие антивируса не считаю обязательным - во многих случаях без него можно обойтись. Как и без обновлений безопасности.
Но кроме моего мнения есть такие вещи как корпоративная политика безопасности например, или желание клиента.

Или такая ситуация возможна?

Разумеется возможна.Любые меры защиты, в том числе и антивирус никак не гарантируют невозможность заражения вирусом. Они лишь уменьшают вероятность возникновения этого события.
Поэтому главная задача - адекватно оценить риски, вероятность и исходя из этого уже считать какие методы противодействия будут наиболее эффективны и какие уложатся в бюджет.

Answer 2

[Антон Матушкин]

Ваша политика покрывает большой спектр каналов, по которым зловреды бы могли проникнуть, так что в большой части случаев этого может быть достаточно, если запускается только ПО из доверенных директорий без съёмных носителей, исполняемые файлы имеют подпись, права пользователей ограничены.

Однако сходу приходит в голову сценарий в котором в доверенном браузере, имеющем подпись, запускается вредоносный Javascript. Или, например используется java environment, который может выполнить jar с вредоносным кодом. Или любой другой похожий сценарий, в котором некое доверенное ПО выполняет некий код третьей стороны. В условиях ограниченных учёток это, скорее всего, не приведёт к неработоспособности системы, но вот данные в папках, доступных пользователю, можно потерять. Насколько для вас это критично -- нужно смотреть по вашей модели угроз и оценивать риск. Может быть и так, что, условно, при ежедневном резервном копировании данных пользователя риск потери данных, накопленных за день, ниже, чем затраты на антивирус.

Ну и риски уязвимостей в механизмах безопасности ОС, разумеется, тоже никто не отменял.

Comments

[Григорий Бондаренко]

Я тоже думал о ситуации с вредоносным javascript, но разве Microsoft Security Essentials защищает от подобных атак? Вот что написано в википедии: "...it was not able to stop all Internet-based attacks because it lacks personal firewall ..."

[Антон Матушкин]

Григорий Бондаренко, мониторинг сетевой активности и мониторинг активности приложений -- разные вещи. В указанном вами фрагменте говорится именно о первом случае.
Я же описываю сценарий, который можно предотвратить мониторингом активности приложений. Вообще, антивирус без мониторинга активности, с одним только файловым сканером выглядит как одноногий и не предназначенный для использования на рабочих станциях. Это уже скорее какое-то решение для файловых серверов или утилита для удаления вируса (наподобие KVRT).

Answer 3

[lubezniy]

Нужен ли антивирус, дело всегда хозяйское. Но способов проникновения в систему у вредоносного ПО столько, что политики их все не перекроют (правда, не всегда перекроет и антивирус). Поэтому методы защиты нужно комбинировать и не забывать про бэкапы, которые ни в коем разе не должны быть связаны с компьютерами и сетью.