Недавно я заметил увеличение количества вирусов в своих системах. Мы используем CA eTrust 8.1 для защиты от вирусов, и все пользователи являются «пользователями домена» и, следовательно, не должны иметь доступа для установки какого-либо программного обеспечения на свои компьютеры.
Во время случайных компьютерных аудитов я обнаружил вредоносное ПО с Malwarebytes Antimalware, которое eTrust пропустил (сканирование в реальном времени включено) - обнаружены .exe-файлы, которые, как мне кажется, были не установлен, потому что не было никаких правок в реестре. Я предполагаю, что большинство из них приходят с веб-сайтов, потому что они, кажется, находятся в папках IE.5.
Что я могу сделать, чтобы еще больше предотвратить проникновение вирусов в мою сеть? Кажется, что в eTrust совсем немного не хватает сканирования в реальном времени, и я не совсем уверен, что установка всех .exe запрещена (у меня была пара пользователей, которые установили Chrome самостоятельно).
Заранее спасибо.
Я предполагаю, что ваше утверждение «все пользователи являются« пользователями домена »» означает, что ваши пользователи не работают с правами локального администратора. Если они есть, исправьте это, прежде чем делать что-либо еще.
Даже если ваши пользователи работают с ограниченными учетными записями, вредоносное ПО делает здорово работа по запуску с ограниченными правами пользователя сегодня (к сожалению, лучше, чем у многих коммерческих программ). Что-то вроде политики ограниченного использования программ - лучший способ остановить подобные угрозы. Это гонка вооружений, и компании, занимающиеся защитой от вредоносных программ, никогда не смогут за ней поспеть. Вам нужно предотвратить запуск ненадежных исполняемых файлов - точка.
Конечно, политика ограниченного использования программного обеспечения не очень помогает с кодом, выполняемым через переполнение буфера / кучи и т. Д. Сохранение исправлений для вашей ОС и прикладного программного обеспечения тоже хорошо.
Фильтрация HTTP, электронной почты и т. Д. Из сетевого трафика (с помощью «сканера периметра» и т. Д.) Для известного исполняемого содержимого, вероятно, может помочь, но исполняемые файлы могут быть скрыты при передаче, так что это не универсальное решение. Пользователь, который берет USB-накопитель на автостоянке и подключает его к компьютеру, также не будет обнаружен сетевым сканером. Сканирование сетевого трафика - это всего лишь часть глубокой защиты.
Убедитесь, что на ваших компьютерах установлены все критические обновления. Большинство старых эксплойтов были заблокированы обновлениями.
Хотя вы, возможно, заплатили за CA, вы не обязаны его использовать. Как минимум я бы добавил Microsoft Security Essentials к вашему текущему AV-решению.
В основном есть две точки обнаружения вредоносных программ и вирусов, которые проникают в вашу сеть: периметр и рабочий стол / сервер. Не похоже, чтобы у вас периметр каким-либо образом охранялся. Я бы начал с того, что изучил, что возможно. Вообще говоря, периметр охраняется каким-то антивирусным устройством (на ум приходят Cisco, Symantec).
Я бы также, вероятно, отказался от CA в пользу чего-то с «лучшей» репутацией в области обнаружения вирусов.
Надеюсь, под «пользователями домена» вы имеете в виду, что у ваших пользователей нет прав локального администратора на рабочих станциях? Если у них ДЕЙСТВИТЕЛЬНО есть права локального администратора, вы захотите отобрать их у них.