Každé ráno čerstvá nezavirovaná Windows

Odkazy na zajímavé články ze světa Linuxu.
Zamčeno
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Každé ráno čerstvá nezavirovaná Windows

Příspěvek od xsouku04 »

Jak udržet Windows v dobré kondici bez virů?
Jsou dvě možnosti jak :
  • Instalovat a udržovat antiviry, poučovat a omezovat uživatele - Antiviry zpomalují systém a nikdy nefungují na 100%, školení uživatele (neklikat na vše, co přijde mailem) je zdlouhavé a neúčinné, omezování uživatele je pro něj nepříjemné a zdržuje od práce nejen jeho ale i admina systému. Jediné, na co je třeba si dát v praxi pozor, je to, aby někdo nevypnul počítač, když obnovuje.
  • Každé ráno mít čistý fungující obnovený Windows ze zálohy - bez všech virů a smetí, co se do něj dostalo předchozí den. Počítač není třeba zbytečně zpomalovat antiviry, uživatel může být kdokoli a dělat cokoli. Má plnou svobodu toho, co může dělat, spustit, zkoušet a instalovat.
Celé Windows včetně základních programů (12 GB dat - v komprimovaném obrazu má cca 4,9 GB), lze s SSD diskem na obstarožním počítači obnovit za pouhé 4 minuty. Používáme to již roky na našich pobočkách (začali jsem Windows XP) na počítačích pro zákazníky a velmi se to osvědčilo.

Nyní k příležitosti přechodu na Windows 10 jsem naše skripty vylepšil a zveřejňujeme je pro potřeby kohokoli zde.
K obnovení systému na uloženou optimálního konfiguraci dojde kdykoli po zmáčknutí "tajné kombinace kláves". Jako např. CTRL+win+shift+F1 - kterou jen tak náhodou někdo nezmáčkne. Systém Windows se restartuje, naběhne Linux, který provede obnovu a poté se počítač vypne. Tedy jediná změna oproti běžnému stavu - počítač se vypíná jinak. Obnova trvá cca 4 minuty.
Tedy pokud by si někdo chtěl např. koupit letenku a mít relativní jistotu, že v počítači není žádný keylogger, může kdykoli během dne zmáčknout tuto kombinaci a počkat 4 minuty.

Že tento šílený způsob, jak udržovat Windows v kondici, má velkou "tržní hodnotu", ukazuje třeba proprietární projekt DeepFreeze. DeepFreeze tvrdí, že tímto způsobem lze předejít až 63% it problémům a že prodali 9 miliónů licenci do 150 různých zemí. Cenu ale neuvádí, očekávám totiž, že bude hodně vysoká. Zbavit se 63% problému přece musí být drahé...

Samozřejmě tento přístup má i své ne úplně dobré stránky. Např. pokud uživatel pracuje s cennými daty, vykrást data může nebezpečný kód stihnout i za jediný den. Tedy úplný všelék na všechny situace to není.
Pokud ale chcete držet v dobré kondici počítač, se kterým pracuje větší množství různých lidí, kteří nepracují s příliš cennými firemními daty, je to způsob podle mne naprosto ideální. Pokud s cennými daty pracují, chce to ještě kombinovat s jinou ochranou, ale i tak to může být užitečné.

A co obnáší instalace? Ve zkratce. Uděláte dualboot s Windows a linuxem. Do linuxu si stáhnete skript /backup/backup.sh a zeditujete další dva konfigurační soubory, aby se spustil po startu. Ve Windows nainstalujeme malinký program ext2fsd pro přístup na ext3 souborový systém a též minimalistický AutoHotKey, s jehož pomocí spustíme hlavní skript (několikařádkový winbatch soubor) po zmáčknutím zvolené kombinace kláves. Máte-li již dualboot a nevyskytnou-li se komplikace, předpokládám práce tak na čtvrt hodiny.
Přílohy
Rozhraní které poskytuje bash skript v Linuxu,  tohle rozhraní je přístupné jen po zadání hesla po ručním nabootování do Linuxu. Tedy také pro BFU ale řádně poučené.
Rozhraní které poskytuje bash skript v Linuxu, tohle rozhraní je přístupné jen po zadání hesla po ručním nabootování do Linuxu. Tedy také pro BFU ale řádně poučené.
Windows_backup.jpg (246.49 KiB) Zobrazeno 9318 x
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: Každé ráno čerstvá nezavirovaná Windows

Příspěvek od mobilemanic »

teorie..

Tak v konkrétní implementaci osakaných windows např. pouze na internetový kiosek by se tohle dalo udělat po každém restartu a nastavit pc aby se po odhlášení restartoval... Pak by to každý odcházející uživatel za sebou jednoduše vyčistil...

//teorie..

Ale Linux + Firefox a nebo Windows RDP jsou taky řešení...
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Každé ráno čerstvá nezavirovaná Windows

Příspěvek od xsouku04 »

mobilemanic píše:teorie..
Já myslím, že je to jediný způsob, jak docílit bezpečného a bezúdržbového kiosku s Windows. Jen ta nutnost čekat několik minut po odhlášení může být jaksi nepříjemná. Díval jsem se, jak to má udělané onen DeepFreez, a ten to řeší jinak. Má jakoby speciální souborový systém, kdy změny s zapisují na jiný oddíl disku. Tedy pak opravdu stačí jen obyčejný restart.
Obnovení jednou denně, kdy nějaký zaměstnanec dostane pokyn večer počítače vypnout speciálním způsobem "zmáčknutím oné zvláštní kombinace kláves", mi přijde jako dostatečně dobrý kompromis.
Jiná možnost je obnovu provádět automaticky v jistou hodinu. Tam je ale třeba si pohlídat, aby počítač nebyl v danou dobu ve stavu spánku a čas vhodný na obnovu tak neprospal. Ale na to možná bude nějaká služba Windows, co by snad zvládla počítač probudit a onen winbatch spustit v nastavenou dobu.
Ale Linux + Firefox a nebo Windows RDP jsou taky řešení...
Co se týče Linuxu, aby to bylo bezpečné, je potřeba vždy po odhlášení vyčistit či přepsat domovský adresář uživatele "návštěva". Koukal jsem, že někteří experti jsou schopni si tak dlouho hrát s nastavením GUI rozhraní či některých jiných aplikací, až jej přivedou do téměř nepoužitelného stavu. Nehledě na fakt, že by mohli nainstalovat nějaký keylogger, který by běžel pod daným uživatelem a špehoval všechny ostatní, co by pod uživatelem "návštěva" pracovali.

S možnostmi Windows RDP nemám zkušenost, ale počítám že to není vhodné pro aplikace ala Skype či hry a hodně to omezuje uživatele v tom, co smí dělat. A nějaká ta bezpečnostní chyba, která by mohla ohrozit celý Windows server být může také. Nejde o to, že by Windows a jeho aplikace byly řádově méně bezpečné než ty pod Linuxem. Jde ale o to, že na Windows je řádově více útoků a různých pokusů přimět BFU uživatele spustit škodlivý kód. Jsou jich doslova mraky, a že se na to nějaký nachytá, je celkem jistota. Naopak nejistota je v tom, že jej zachytí antivir, který naopak zachycuje bezpečné aplikace. A že některý z těchto virů a záškodnických aplikací získá kontrolu nad celými Windows tím, že využije nějakou chybu Windows, je naprosto reálné.

Mnou navržené řešení je myslím ideální pro školy, klubovny, ubytovny a jiná veřejná či poloveřejná místa, kde se uživatelé střídají. Ale i pokud se nestřídají. Politika mít data bokem a občas provést velmi jednoduchým způsobem "návrat do optimální konfigurace" nemusí být špatná.
alfi
Příspěvky: 718
Registrován: čtv 03. led 2013 15:31:10

Re: Každé ráno čerstvá nezavirovaná Windows

Příspěvek od alfi »

Možná mi to někde uniklo - jak se na takovém systému řeší aktualizace? Pokud jsem postup správně pochopil, potom nijak? To by ale znamenalo provozovat min. od následujícícho M$ patch day děravý systém, kde bych se jako uživatel docela bál dělat cokoliv serióznějšího (vč. přístupů do banky..) a je to ideální kandidát na červíky a viry (po resetu sice zmizí, ale do dalšího dne/dnů budou zase zpátky).

Já bych se díval spíše po nějakém sandboxingu - pro jednotlivé aplikace funguje výborně, pro celého uživatele jsem to ještě nezkoušel/nehledal. Na pozadí ale musí bežet aktualizace systému i prohlížečů :-)
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Každé ráno čerstvá nezavirovaná Windows

Příspěvek od xsouku04 »

alfi píše:Možná mi to někde uniklo - jak se na takovém systému řeší aktualizace? Pokud jsem postup správně pochopil, potom nijak? To by ale znamenalo provozovat min. od následujícícho M$ patch day děravý systém, kde bych se jako uživatel docela bál dělat cokoliv serióznějšího (vč. přístupů do banky..) a je to ideální kandidát na červíky a viry (po resetu sice zmizí, ale do dalšího dne/dnů budou zase zpátky).

Já bych se díval spíše po nějakém sandboxingu - pro jednotlivé aplikace funguje výborně, pro celého uživatele jsem to ještě nezkoušel/nehledal. Na pozadí ale musí bežet aktualizace systému i prohlížečů :-)
Aktualalizace se dělá jednou za čas ručně. Tedy ráno, když je systém čerstvý, ručně provedu veškeré aktualizace, případně přidám či opravím nastavení aplikací podle požadavků uživatele - např. přidám další tiskárnu. Následně restartuji systém do Linuxu a vytvořím zálohu již aktualizovaného systému. K tomu je právě to textové menu na obrázku. Od toho dne se bude obnovovat již aktualizovaná verze všech aplikací. Nemusím být žádný linuxový ani počítačový guru, abych tohle zvládl - tedy úkol lze zadat kdekomu, kdo se umí držet pár jednoduchých zásad, jako aktualizovat výhradně a pouze jen čerstvě obnovený systém.

Ano, zakázat si aktualizace vypadá nebezpečně, ale není to ve skutečnosti tak hrozné. Nebezpečné je, pokud byste šel nejdříve na porno stránky a potom teprve do banky. Tam by fakt, že nemám čerstvě aktualizováno, nebezpečí opravdu o něco zvýšil.
Totiž webové stránky banky Vás jistě nenakazí, i kdybyste měl systém neaktualizovaný deset let.
Fakt, že žádný vir či trojský kůň nepřežije do následujícího dne, bezpečnost zvýší podstatně více, než fakt, že aktualizace nejsou úplně aktuální. Ostatně věřím tomu, že Microsoftu často trvá měsíce, než aktualizaci vydá... Nebo než změní názor, to mu může trvat roky. Např jim trvalo roky, než přišli na to, že bezhlavě spouštět obsah jakékoli zasunuté flashky (soubor autorun) není dvakrát dobrý nápad. V dnešní době je největší nebezpečí způsobeno chováním uživatele a na to aktualizace moc nezabírají.

Tedy ano, aktualizace jsou slabé místo tohoto přístupu, výhody ale stále převažují.
Čím větší riziko, že se by se uživatel počítače mohl chovat nezodpovědně, tím vhodnější je tento způsob. Pokud prostě někdo instaluje kde co a klikne na každou přílohu, co mu přijde emailem, těžko hledat jiné spolehlivější řešení. Nemám zkušenost, jak moc lze bezpečnosti zvýšit různým omezováním a antiviry, ale z principu myslím, že je to chabé řešení, které navíc uživatele omezuje a zpomaluje počítač.
alfi
Příspěvky: 718
Registrován: čtv 03. led 2013 15:31:10

Re: Každé ráno čerstvá nezavirovaná Windows

Příspěvek od alfi »

xsouku04 píše:Aktualalizace se dělá jednou za čas ručně. Tedy ráno, když je systém čerstvý, ručně provedu veškeré aktualizace...
Ok, tedy do návodu ještě přidat poznámku ala "systém alespoň jednou za čas kompletně aktualizujte" :-)

Šíření virů a malware už dávno není podmíněno surfováním na erotice - už se zadaří i některému slušnému webu nebo, reklamnímu systému...
PHP.net, web šířil trojského koně
Web Trend Micro byl kompromitován a servíroval trojské koně
Web Kaspersky Lab byl kompromitován, šířil falešný antivirus
Nebezpečný virus se šířil Facebookem.
tj. i nějaký realtime skener dává smysl. A pokud je takových PC v síti víc, vidí na sebe a navíc se každý "čistí" jindy, taky si můžou červíky mezi sebou průběžně předávat v LAN, tj. co jednou chytí, už v nich bude žít vlastním životem (viz třeba nedávné šíření motherfucker v AirOS routerech, které by se tímhle postupem vyčistit nikdy nepodařilo :-( )
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Každé ráno čerstvá nezavirovaná Windows

Příspěvek od xsouku04 »

OK, návod jsem aktualizoval, přidal tuhle sekci. http://www.odorik.cz/w/windows:windows_ ... a_aplikaci

Tedy "čerstvá Windows" je pomůcka hlavně proti nevhodně se chovajícím uživatelům samotným s drobnou nepříjemností pro viry. Antivirovou ochranu to nenahrazuje, ale doplňuje.
A přidává to nutnost občasných ručních aktualizací, což je práce navíc. I tak mi to přijde třeba do veřejného internetového kiosku, nebo třeba do škol (kde je třeba si všechno zkusit -i instalaci programů) docela dobré.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Každé ráno čerstvá nezavirovaná Windows

Příspěvek od xsouku04 »

Stejně ale platí, že naprostá většina škodlivého kódu se šíří tak, že jej uživatel sám spustí nebo dokonce nainstaluje. Jen málokterý má schopnosti sám se šířit bez aktivního přispění uživatele. Mediálně jsou samozřejmě zajímavější případy, kdy se něco šíří bez chyby a naivity uživatele. Statisticky ale věřím, že jsou to spíše nějaká promile... Tedy "Čerstvá Windows" jsou v boji proti škodlivému kódu mnohem užitečnější, než by se mohlo na první pohled zdát. Samozřejmě hodně to záleží na schopnostech konkrétního uživatele, který používá konkrétní počítač.

Jinak objevil jsem další novou velmi zajímavou vlastnost Windows 10, o které se nikde jen tak nepíše.

Windows 10 lze snadno klonovat - přenášet z počítače na počítač bez nové instalace

Tedy nainstalovat a nakonfigurovat Windows a všechny používané programy (co jsou zdarma) stačí jen jednou, pak už mohu jen klonovat.
Zamčeno