Я видел несколько сайтов, предлагающих «Университет вредоносных программ», обучающие курсы по избавлению от вредоносных программ. Считаете ли вы, что время от времени необходимо обновлять свои навыки удаления вредоносных программ (или арсенал)? Как вы становитесь более эффективными в борьбе с этой растущей, очень сложной угрозой?
Ответы:
Вы не «чистите вредоносное ПО». Вы выравниваете машины и начинаете все сначала. Все, что меньше, является плохой услугой для вашего Клиента и вызывает проблемы.
Что касается «угрозы», вы не разрешаете пользователям работать с учетными записями уровня администратора (в Windows) и не устанавливаете ненадежное программное обеспечение (насколько это возможно). Это кажется довольно простым для меня. У меня и моих клиентов нет проблем с вредоносным программным обеспечением.
Помимо практики sysadmin, запрещающей пользователям запускать учетные записи на уровне администратора и т. Д., На вас ложится большая ответственность, чтобы вы всегда были в курсе угроз в дикой природе. Прочитайте предупреждения, которые появляются при обнаружении новой угрозы. Имейте политику обновления для вашего программного обеспечения.
Ничто не может разрушить безопасность быстрее, чем определенный пользователь, поэтому информируйте их об опасностях нажатия на случайные ссылки в электронной почте или установки приложений, если они не уверены в источнике (и т. Д.), Убедившись в том, что это для безопасности. сети и их домашних компьютеров.
Если вы будете в курсе новостей и держите своих пользователей в курсе событий, то вы резко сократите свое воздействие.
Что касается «обучения работе с вредоносными программами», само по себе название - это слишком маркетинговое модное слово, чтобы вызывать большую веру. Возможно, я слишком скептик, но я чувствую, что любые конкретные «темы о вредоносных программах» устареют до начала занятий.
Конечно, применяются некоторые базовые навыки, но если администратор (или техник поддержки) еще не знает эти вещи, я бы предпочел отформатировать машину (по причинам, указанным Эваном Андерсоном) вместо того, чтобы рисковать своими навыками очистки ,
Autoruns и Process Explorer от Sysinternals (теперь принадлежащие MS) - ваши лучшие друзья. 1-2 заражения, которые я вижу за неделю, когда пользователь открыл вложение или посетил страницу, которую не должен был иметь, а (последняя версия!) AV не полностью заблокировала его, обычно можно очистить в 30 минут работы только с этими двумя утилитами. Они довольно просты, и после первых нескольких очисток вы поймете, что знаете, что нужно убить / удалить, чтобы избавиться от вредоносного ПО.
Тем не менее, время от времени вы сталкиваетесь с кусочком вредоносного программного обеспечения, которое не написано идиотом, поэтому, если вы не можете добиться успеха через 30 минут, пришло время для полной очистки / перезагрузки.
Имейте в виду, это больше подходит для малого и среднего бизнеса, где оборудование не стандартизировано. Если у вас есть образ системы и резервные копии файлов пользователя, быстрее будет стереть / перезагрузить при первых признаках заражения.