Тестирует каждое Антивирусное определение перед выполнимым развертыванием?
Относительно того, почему Ваша smarthost конфигурация не работала - у Вас есть премиальная версия Google Apps?
Вы не можете использовать бесплатную версию в качестве исходящего реле. Попытка сделать так могла бы появиться как "пользователь, не найденный", потому что допустимый диапазон адресов ограничен доменами тот Google Apps хосты.
http://www.google.com/support/a/bin/answer.py?hl=en&answer=60730
"У Вас должны быть Образование или Главный Выпуск для использования Google Apps исходящая функция шлюза".
Это не должно быть много проблемы, настраивающей тестовую среду, которая получает определения сначала (на час или независимо от того, что возможно с Вашим поставщиком AV), и безотносительно предупреждений AV, это генерирует остановы общекорпоративное развертывание, пока кто-то не подтверждает это.
Установка этого для ручного тестирования обязана перестать работать, как кто-то сказал, из-за скуки, не потому что это не возможно.
Но только включать некоторую перспективу в "дебаты", при разговоре Windows, переключателя к чему-то как политики Ограничения программного обеспечения или в Windows 7 / 2008 R2, очень улучшенной версии под названием AppLocker - это проявляет более сформировавшийся подход только разрешения указанных программ работать, не наоборот...
... можно сделать это с сертификатами кода также, так скажите, что все приложения Microsoft позволяются, и внутренне разработанные приложения позволяются - не имея необходимость указывать отдельные исполняемые файлы.
Когда правильно реализовано, никакое программное обеспечение AV не необходимо.
Я не могу думать ни о каких брандмауэрах сегодня, который начинается с, "позволяют все кроме указанного вредоносного трафика". Если кто-то не сделал плохое задание, они - весь "блок все кроме конкретно позволенного трафика".
-
1' когда правильно implemented' никогда не будет происходить потому что Вы просто can' t удаляют все ошибки и векторы атаки, просто посмотрите на то, как полностью заблокированный вниз системы как консоли взламываются для выполнения, пользователь сгенерировал код. Все это действительно делает поврежден законный пользователь и затраты на поддержку увеличения в ответе на их изменяющиеся требования – JamesRyan 26 April 2010 в 12:19
-
2Как не делает пользователей разрешения для выполнения произвольного кода " увеличьтесь поддерживают costs"? Вы попробовали AppLocker в четко определенной среде? Это практически настраивает себя. Несомненно, если Вы don' t имеют каждую систему, подавленную с владельцем и администратором и зарегистрированными стандартными программами изменения, которыми это будет черт, но если Вы имеете те другие проблемы, затем должны иметься дело с первым так или иначе. Я просто думаю, что это - подход, который многие находят неудобными потому что it' s другой подход, не потому что было бы более трудно реализовать по сути. Если пользователи не могут установить случайное программное обеспечение, почему позволенный их запустить случайное программное обеспечение? – Oskar Duveborn 26 April 2010 в 12:48
-
3Это добавляет усилие по поддержке для нас из-за политики пользователей, которые имеют ноутбуки и запрашивают произвольные программы быть выполненными, которые по сути небезопасны и в нашей среде, мы can' t отклоняют запросы, и у нас есть несчастные пользователи если ноутбуки don' t прокладывают себе путь they' ре ожидало к тому, когда пользователи активны, и we' ре, уже неукомплектованное для числа людей, мы поддерживаем теперь. Некоторые среды, вероятно, wouldn' t имеют эту проблему, если у них есть полномочия к общей блокировке все к виртуальным киоскам. – Bart Silverstrim 26 April 2010 в 13:01
-
4Хорошо, очевидно, это только относится к вниз заблокированным средам, где пользователи являются not' t владеющий административным доступом к их рабочим инструментам и управлению уже утвердил нормальные политики IT. Белый список является просто инструментом, который осуществляет политику намного лучше, чем помещение в черный список AV, но сначала у Вас должны быть та политика и поддержка рабочего процесса. Возможно, Ваша среда doesn' t даже прокладывают себе путь, что делает я знаю, но там уверенный среды, которые делают. – Oskar Duveborn 26 April 2010 в 15:06
-
5@Oskar: Несомненно заблокированный вниз и высоко отрегулированные среды там (я надеюсь, что мой банк является одним из них...), но я действительно думаю they' ре, превзойденное численностью средами тот aren' t ;-) – Bart Silverstrim 27 April 2010 в 12:57
Используя собственный ePo McAfee (ePolicy Orchestrator) клиентский сервер управления AV можно сделать просто это - комбинацией планирования при загрузке Dats с McAfee и установки тестовых машин для получения обновлений перед населением в целом, можно испытать dats в течение дня или 2 прежде, чем развернуть их. Я предполагаю, что большая часть "предприятия' решения AV будет иметь подобные механизмы.
У меня есть 2 проблемы с этим однако:
1) Вы будете скучать - 1 единственный dodgey dat из нескольких тысяч в какой 5-6 лет?
Это сводится к простому уравнению экономической выгоды - если несколько сотен "человеко-часов" тестирования каждый год стоят меньше, чем потеря прибыли, вызванная прерыванием обслуживания от изворотливого обновления (Coles Supermakets, например), то, конечно, делают это.
2) Что еще более важно, действительно действительно важно вывести новые определения Вашим пользователям как можно скорее. Проиллюстрировать; только на прошлой неделе мне вручили, Карта памяти, зараженная Автозапуском, вводят вредоносное программное обеспечение - это не было в текущем dat и было взято со следующим дневным набором определений (я только обнаружил его, поскольку я использовал Mac и видел подозрительные файлы).
Существенно McAfee никогда не должна была выпускать DAT, который имел ложь, положительную относительно системного файла Windows! Мы платим McAfee значительную денежную сумму каждый год и ожидаем, что их контроль качества будет лучше, чем это!
Править----
Как в стороне, сделал кто-либо еще думает об этом xkcd, когда они видели, что кассовые аппараты запустили программное обеспечение AV...
Вещь помнить является этим, чем дольше Вы ожидаете для развертывания определений, тем дольше удобный момент для новых заражений для пускания корней.
Поставщик AV, как предполагается, тестирует вещи, и McAfee подтвердила, что они завинтили свои внутренние тесты.
Для Вас для тестирования его у Вас должна была бы быть моделируемая среда, которая выполняет машину каждого Вашего развертывания с точной dll установкой, комбинациями приложения, комбинациями обновления, и т.д.
... так в основном у Вас, вероятно, не было бы гарантии, что Вы поймаете пограничные случаи.
НО можно управлять эффектом при помощи резервных копий. Вы не можете мешать авариям произойти, но можно управлять результатом; наличие доступных резервных копий означает, что можно вернуть их и онлайн, и Вы можете откатывать изменения (обычно, последней проблемой McAfee была счастливая случайность, которая выстрелила квадрату Windows в мозг то время, но после того как люди знали то, что вызвало его, по крайней мере, файл мог быть скопирован с диском начальной загрузки Linux от звука его...),
Таким образом в конце Вы просите копировать большую работу с небольшой выплатой больше риска для Ваших пользователей. Вы были бы более обеспеченной проверкой, что Вы сохраняете периодические резервные копии, таким образом, можно восстановить пользовательские системы и защитить их данные.
Если Вы полагаетесь, прежде всего, на эвристическое обнаружение, а не подписи затем существует меньше обновления. Существует поэтому меньше обновлений теста. Я хотел бы думать, что мы медленно перемещаемся в это направление.
С тем основным эвристическим обнаружением на месте, у Вас есть больше времени для тестирования обновлений. И можно довольно легко выполнить те обновления на Непрерывной Интеграции или создать сервер как разработчики, делают. Однако это взяло бы довольно много инфраструктуры, особенно если Вы тестируете против каждой возможной установки, у Вас есть выполнение на Вашем предприятии.
Вы могли подготовить к подмножеству, говорят что 10% на намного более частой основе. Если Ваш телефон начинает звонить, хорошо по крайней мере только 10% Ваших компьютеров имеют проблему. Мы использовали этот метод для развертывания обновлений окон, мы сделаем 10% в течение 2 дней и затем остальной части компьютеров. Вы могли также найти av поставщика, который имеет лучшую репутацию в не промывании Ваших систем.