Есть два варианта:

1) Поставить линукс

2) Сделать директора глухим.

Третьего не дано.

Ну, допустим, дирекор погорячился и его вполне устроит очень редкое упоминание о вирусах... Как же всё-таки профилактику наладить?

Поставить антивирусы, профилактическое сканирование, прекрыть доступ к сменным носителям, скачиванию всякой фигни из инета, и доступ к шарам компов.

+1. Сначала пойти к директору и сказать "вирусов не будет, но бухгалтерши будут на меня жаловаться, ибо их вольной жизни придет пушной зверек".

У юзверей права на тачках не выше обычного пользователя, залочить сидиромы, флоппи, флешки, на каждую машину купленный антивирус. На проксю антивирусный сканер.

А поподробнее можно рассказать, как устроить бухгалтерии пушного зверька?

Вот, например, в инете есть несколько упомианий, как прикрутиь clamav к squid. Что можете про это сказать?

> Вот, например, в инете есть несколько упомианий, как прикрутиь clamav к squid. Что можете про это сказать?


В инете действительно есть несколько упоминаний как прикрутить clamav к squid.

> А поподробнее можно рассказать, как устроить бухгалтерии пушного зверька?

Если у них винды (что скорее всего) - запихать их всех в домен и выдавать им права на разные действия по мере необходимости. Права на установку софта отобрать раз и навсегда. Права на доступ к сменным носителям - туда же. В общем, закрутить гайки.

> Что можете про это сказать?

А что об этом можно сказать? Прикрутить надо. "Вот и все, что я могу сказать о войне во Вьетнаме" (с)

Порки, ежедневные порки пользователей розгами.

А если честно, то убери всех юзеров из группы "Администраторы" и настрой политику ограничения запуска софта (запрети запуск софта из Documents and Settigs). Лучше всего для этих целей поднять AD. Локального администратора или блокирни или хотя бы переименуй.

Аськи, мэйл-агенты - фтопку, даже у биг босса. Обосновать угозой распространения зловредов.

Винду обязательно патчить. Установить ворд 2007 (ооо! это словами не опишешь, это надо видеть).

Убрать 99% софта с компов: кодеки, выжыгалки дисков, кисок-гасителей экрана, кодеки, оптимизаторы и т.п.

Софт необходимый для работы хранить на сетевых дисках. То же самое сделать с профилем пользователей.

Жестко контроллировать доступ в инет. Хотя бы какое-то время.

Завести себе: а) Бейсбольную биту б) Длинную отвертку (30 см) в) Паяльник (а лучше лудильник) ватт на 100. Из своей берлоги не выходить без хотя бы одного вышеперечисленного технического средства.

Всегда иметь с собой обжималку для RJ45, на случай если технические средства из предыдущего пункта отберут.

Не бояться их применять на практике.

В конце концов вкурить что ОИБ это НЕ только ТЕХНИЧЕСКИЕ, а еще и ОРГАНИЗАЦИОННЫЕ меры.

ЗЫ: Группа "Опытные пользоватлеи" - зло.

Купи директору беруши.

> Группа "Опытные пользоватлеи" - зло.

Небольшой камент: Эта группа, если все-таки необходимо, создается под ответственность и под контролем самого директора, админ не несет ответственности ни за кого в ней, как и за последствия действия "опытных" для остальной сетки.

Ой что это я! И еще свинтить все дисководы CD-ROМ'ы и заблокировать порты USB. Отключить авторан. Флешки и прочие съемные девайсы по служебным запискам, с инвентарным номером и многостраничной инструкцией по пользованию. Если USB заблокировать не удается через выключение в BIOS'е, то поставить специальную программу. Они обычно денег стоят, но не так чтобы очень много.

Для начала - перестать работать пользователем с правами администратора.

>Если USB заблокировать не удается через выключение в BIOS'е, то поставить специальную программу. Они обычно денег стоят, но не так чтобы очень много.

заглушку поставить - намного более практичное решение. ну или службу там какую-нибудь в венде вырубить, которая отвечает за автомонтирование флешек.

Действительно, и почему это гугл первой ссылкой на запрос WIN FAQ выдаёт ЛОР?

Чтобы о вирусах я больше не слышал!

Ну придумайте отговорку пооригинальнее, делов-то...

Давать профилактические подшейники работникам фирмы.

Macil> Если USB заблокировать не удается через выключение в BIOS'е, то поставить специальную программу. Они обычно денег стоят, но не так чтобы очень много.

Жвачки стоят недорого ;)

И заткнул уши ватой.

с помощью gpo можно закрыть любой сменный носитель.

понижаешь всех юзверей по пользователей, ставишь любой антивирус (я поставил бесплатный AVAST), на проксю антивирь.

Найди лучше нормальную контору с линуксовыми десктопами(хотябы частично)

зы.Сам ищу подобную, с зимы.

> Ну, допустим, дирекор погорячился и его вполне устроит очень редкое упоминание о вирусах... Как же всё-таки профилактику наладить?

Хочешь трахаться с виндой, ставь антивирусы. Хочешь, чтобы небыло вирусов, ставь GNU/Linux. Чтобы трафика апдейты много не жрали, сделай локальный репозитарий на сервере.

>Действительно, и почему это гугл первой ссылкой на запрос WIN FAQ выдаёт ЛОР?

зато на запрос "линнах" - ЛОР!

>Аськи, мэйл-агенты - фтопку, даже у биг босса. Обосновать угозой распространения зловредов.

ну для начала можно хотя бы пересадить на альтернативные клиенты вроде крысы или миранды без плагинов (чтобы не скачивалось). В перспективе на жаббер пересадить. А то продажники такому админу огромаднейшее спасибо скажуть.

>Убрать 99% софта с компов: кодеки, выжыгалки дисков, кисок-гасителей экрана, кодеки, оптимизаторы и т.п.

>Софт необходимый для работы хранить на сетевых дисках. То же самое сделать с профилем пользователей.

ага, ещё и пользователей хранить в сейфе, и компьютеры разобрать и тоже ф сейфе хранить. Самая безопасная система будет. :))

>Всегда иметь с собой обжималку для RJ45, на случай если технические средства из предыдущего пункта отберут

сходить к дантисту и сформировать правильный прикус :)))

Закупите 30 Apple компьютеров с MacOS, ну или Линукс на все :-))

>с помощью gpo можно закрыть любой сменный носитель.

Нетривиально чуть менее, чем полностью. Ибо, by default, Group Policy does not offer a facility to easily disable drives containing removable media, such as USB ports, CD-ROM drives, Floppy Disk drives and high capacity LS-120 floppy drives (c) мелкософт.

>бесплатный AVAST

Админ локалхоста? man EULA. Он бесплатен только для домашнего персонального использования.

>Жвачки стоят недорого ;)

Дык, если политика конторы была недальновидна, и используются USB принтеры и сканеры. Юзера гениальны. Им ничего не стоит вытащить вышеназванные девайсы, подключить флешку, занести с нее уйму пакости (это не шутки, в последнее время файловые вирусы переживают второе рождение), забыть восстановить "как было" да еще потом ходить орать, что у него нифига не работает.

О такой штуке, как принт-сервер и в лучших конторах никто слышать не хочет, а в быдлофирмах вообще насмех поднимут.

А GPO штука хорошая, но ненадежная. Да и более-менее серьезные подвижки по ограничению съемных устройств появились в Svr2008/Vista, но пока это еще далеко не мейнстрим. Лицензионную XP бы поставить...

Раз пошла такая пьянка: бездисковые рабочие станции, тонкий терминальный клиент.

Ставишь или сам делаешь административные шаблоны на gpo и всё там нормально закрывается. Даже на win2000 srv.

Попробуй генерального директора на терминалку пересадить :)

А как правило руководство больше всех вирусы таскает.

>бездисковые рабочие станции, тонкий терминальный клиент

Очень позитивно, но не панацея. Можно позаражать какой-нибудь пакостью недопропатченный или 0-day уязвимый терминал сервак.

Из терминал серваков необходимо строить кластер, патчить, тестировать и т.п. Да и машинки нужны не слабые. Не для мелких контор.

>Действительно, и почему это гугл первой ссылкой на запрос WIN FAQ выдаёт ЛОР?

не правда... http://www.google.com/search?q=WIN+FAQ&ie=utf-8&oe=utf-8&aq=t&...

автор проще убиться... ну и порезать юзерам права и мозгши потрахать...

ограничь инет только просмотром сайтов но не скачиванием чего -либо...уже проще будет..

Проще сделать директора глухим, чем это все реализовывать :D

как показывает практика административные меры самые действеные

1. Панацеи в природе нет (ну разьве что отключить компьютеры от сети 220 вольт)

2. Работа пользователей винды под непривилегированным пользователем снижает риск заражения системы на порядок (большая часть вирусов пытается ставиться в системные каталоги и прописывать себя в системную автозагрузку), но некоторые программы работают под пользовательской учетной записью криво (2000/XP). В vista мелкософт рекламировал наличие какой-то обертки, эмулирующей пользовательским программам доступ в некоторые ветки общесистемного реестра, но я результатов не знаю (спросите. у народа). Диски (хотя бы системный) должны быть под NTFS (иначе бессмысленно).

3. Если приходится все-таки кому-то давать работать под привилегированными логинами - есть обертка для IE и Outlook Express, которая называется amust 1defender. Была еще утилита psexec от Руссиновича. Хотя лучше научить пользователей использованию RunAs.

4. На роутер прозрачный прокси p3scan. Возможно на прямую отправку clamsmtp.

5. Мониторить изменения ключей реестра, отвечающих за автозагрузку на машинах.

6. Хорошо бы перелезть с ms office на OOo. Он не умеет исполнять макровирусы для word/excel. Впрочем сие сопряжено с необходимостью переучивать пользователей.

7. Проверять антивирусом места, куда могут писать пользователи, возможно чаще (но так, чтобы не мешало пользователям). Отчеты о вирусах - админу в почту.

САМОЕ ПЕРВОЕ - И САМОЕ ГЛАВНОЕ В ОРГАНИЗАЦИИ ИЗДАТЬ ДОКУМЕНТ - "ПРАВИЛА ИСПОЛЬЗОВАНИЯ КОМПЬЮТЕРНОЙ И ОФИСНОЙ ТЕХНИКИ" И УТВЕРДИТЬ ЕГО РУКОВОДСТВОМ

ГДЕ СКАЗАТЬ ЧТО НА КОМПАХ МОЖНО ДЕЛАТЬ, А ВСЕ ОСТАЛЬНОЕ - НЕЛЬЗЯ И КАКИЕ МЕРЫ НАКАЗАНИЯ ЗА НАРУШЕНИЕ ПРЕДУСМОТРЕНЫ

А ПОТОМ УЖЕ ПРИСТУПАТЬ К ТЕХНИЧЕСКИМ ВОПРОСАМ

>САМОЕ ПЕРВОЕ - И САМОЕ ГЛАВНОЕ В ОРГАНИЗАЦИИ ИЗДАТЬ ДОКУМЕНТ - "ПРАВИЛА ИСПОЛЬЗОВАНИЯ КОМПЬЮТЕРНОЙ И ОФИСНОЙ ТЕХНИКИ" И УТВЕРДИТЬ ЕГО РУКОВОДСТВОМ ГДЕ СКАЗАТЬ ЧТО НА КОМПАХ МОЖНО ДЕЛАТЬ, А ВСЕ ОСТАЛЬНОЕ - НЕЛЬЗЯ И КАКИЕ МЕРЫ НАКАЗАНИЯ ЗА НАРУШЕНИЕ ПРЕДУСМОТРЕНЫ А ПОТОМ УЖЕ ПРИСТУПАТЬ К ТЕХНИЧЕСКИМ ВОПРОСАМ

Или так.

Документы это бесполезно. В больших нормальных конторах все это и так имеется. А в мелких хоть ты изведи тонну бумаги, ничего с места не сдвинется.

Любой глобальный проект рискует провалиться, если он не исходит от высшего руководства. А донести до директора мысль, что проблема зловредных программ решается в первую очередь организационными мерами, практически нереально. Да иногда и опасно: "А зачем ты мне тогда нужен?".

Вряд ли директор сможет вести последовательную жесткую политику: многолетний опыт показывает, что ИТшники в первую голову выпадают за "круг подобия" руководителей, а значит можно не только не "портить" отношения с остальным "коллективом" из-за каких-то "компьютерных гениев", не только вмешиваться в их работу, а еще и подлить сколько угодно.

"Официальный путь" он изначально дохлый... Неофициально можно получить гораздо больше возможностей для осуществления задуманного. Пойдет скандалить к директору глупый юзер, а админ спокойно воспользуется административной шарой c$ или admin$ или очень крутой утилитой psexec.

>бесплатный AVAST

аваст бесплатный только для личного использования. для фирм - за бабло! а за бабло это не самый хороший вариант в смысле цена/качества.