Назад | Перейти на главную страницу

Conficker: Следует ли сохранить шаги, предпринятые в групповой политике для защиты от вирусов?

Две недели назад нас пригнал Conficker, я пробежал 26 шагов контрольный список от Mircrosoft на моем компьютере, а также на нашем доменном сервере. Ближе к концу написано, что нужно отменить все изменения, но мне эти изменения нравятся (отключает автозапуск и некоторые другие настройки).

Есть ли что-нибудь в этом исправлении, что вернется, чтобы преследовать меня по дороге?

Кроме того, возможно, групповая политика никогда не вступила в силу, я не мог точно сказать. Должны ли ваши политики быть размещены на компьютерах или пользователях (или это имеет значение?) Для этого исправления?

Да, существуют групповые политики, которые помогают остановить распространение Conficker.

Есть статья поддержки Microsoft: Оповещение вируса о черве Win32 / Conficker.B. Ищите раздел «Профилактика».

Эта процедура не удаляет вредоносное ПО Conficker из системы. Эта процедура только останавливает распространение вредоносного ПО. Вы должны использовать антивирусный продукт, чтобы удалить вредоносную программу Conficker из системы. Или выполните действия, описанные в разделе «Действия по удалению варианта Conficker.b» этой статьи базы знаний, чтобы вручную удалить вредоносное ПО из системы.

Можете ли вы уменьшить свою защиту от Conficker?

В статье, на которую вы ссылаетесь, есть много хороших практик, которые, по моему скромному мнению, вам следует придерживаться. Изоляция старых хостов от злого Интернета, установка обновлений антивирусных программ и отключение автозапуска - хорошие идеи. Надежные правила паролей с регулярной ротацией, вероятно, являются наиболее спорным изменением, если вы этого еще не делаете, поскольку это потребует институциональных изменений. Но автоматическое исправление является поведением по умолчанию в Windows с WinXP SP2, а автоматический запуск по умолчанию будет отключен в Win7.

Решение о том, пора ли деактивировать групповую политику, зависит от того, считаете ли вы, что в вашей среде все еще есть потенциально зараженные системы. Если вы все перестроили и пропатчили, возможно, пришло время.

Если вам нужна хорошая защита от Conficker, вы можете настроить свой компьютер или маршрутизатор для использования OpenDNS. Они ведут список сайтов, распространяющих конфикеры, и сразу же их блокируют.

Вы также можете заблокировать с его помощью многие другие вещи, такие как большинство шпионских сайтов, мошенничество, фишинг и т.

Это очень полезно и добавляет основной уровень безопасности в вашу сеть.

Подразделение, над которым я работаю в нашей компании, никогда не пострадало от Conficker, вот почему:

  • Клиенты используют Windows 2000, и политики запрещают им устанавливать карты памяти USB.
  • ИТ-специалисты быстро выполнят установку USB-накопителей. Используются только USB-накопители, предоставленные ИТ-отделом, и пользователей просят не использовать их за пределами корпоративной сети / систем.
  • Сканирование электронной почты происходит на родительском почтовом сервере. Если в нашу компанию попал Conficker, то она оставалась на высшем уровне.

Я не могу придумать ни одной причины, по которой пользователям будет разрешено устанавливать свои собственные периферийные устройства USB. Поэтому я советую оставить объекты групповой политики, когда вы их активировали во время распространения Downadup / Conficker.

Автовоспроизведение / автозапуск не обязательно должно быть решением «все или ничего».

У нас есть разумное решение: разрешить автовоспроизведение / автозапуск на приводах CD-ROM, но не разрешить его с любого записываемого носителя, жесткого диска.

Этот параметр доступен через GPO.