Bezpečnost OS Windows 7
Ahoj jak je na tom 7 z firewallem Jak dobrý je je ten integrovaný ?
OS: Microsoft Windows 7 Ultimate 6.1.7600 (Win7 RTM)
Zpět do poradny Odpovědět na původní otázku Nahoru
poradna.net
Neregistrovaný Přihlásit Registrovat
"Dobrý" je tak, jak sním umíš pracovat a jak dalece pochopíš jeho ovládání-nastavení.
(je to o tom, jako se vším zabezpečením, není nic platné pokud nečteš co ti hlásí a jenom klik,klik a hotovo)
Dlouho používám jenom, ze všech těch "AV programů", COMODO Firewall a žádné problémy nemám.
Pokud se budeš na internetu chovat slušně, nebudeš odklikávat všelikají reklamy, že seš 100000000000. člověk na této stránce atp., nebudeš stahovat pochybné programy / krást programy (viry a spyware jsou v key*enech atd. - nechci, aby si google pro poradnu "zapamatoval" tohle slovo, proto v něm je hvězdička), nepotřebuješ žádné speciální zabezpečovací prostředky, stačí windows firewall. Pokud ti stačí jen základní funkce (povolit určitým programům přístup na internet), stačí ti. Totéž platí i o antivirech, stačí mít omezený účet a jeden free antivir (třeba Avast), popř. jde to i bez něj, ale musíš vědět, na co klikáš a jestli v tom 100% nic nebude.
Prostě normálnímu člověku stačí firewall, co je ve Windows.
Paranoia?
zbytečnost
www.google.cz
Aha, tak už na to taky budu asi kašlat
.
Určitě - google třeba naservíruje jiný reklamy - zajímavější.
No tak tady se teda člověk dozví věci. Můžeš specifikovat jak budeš předem vědět tohle?
Pán je asi genius, ne? Oni to neví ani antiviry, ale ty jo
Běž tu svoji genialitu zpeněžit. Pokud bys tohle znal, mohl by ses stát velice bohatým.
Celý vtip je v tom, jak máš nastaveno zabezpečení samotného systému. Pracuješ-li pod neadminosvským účtem, tak i v případě zavirování je odvirování otázkou přehlášení se do admin účtu a výmazu všech EXE (popř. jiných spustitelných) souborů z profilu zasaženého uživatele, jakož i odstranění všech škodlivin z jeho větve registrů a nabídky start. Celé to je otázka max. cca 3 minut.
Takže bych radil velmi opatrně s tou "zpeněženou genialitou"
Jo, je dobře použitelnej a má výhodu pro bezmyšlenkový odklikávače hlášek - je v češtine, není problém si tu hlášku přečíst a pochopit.
IMHO nevidím důvod používat jinej firewall, pokud nemáš speciální nároky. Taky ho používám, v kombinaci s uživatelským účtem, bez antiviru.
účty mám taky
mám admina zaheslovat
takže to vidím tak že prostě to nechám jak to je možná dám antivir - nějaký zakladní
Nestrkej tam antivir. Stačí ti neprivilegovaný účet. Pokud se na Netu nebudeš chovat jak ošípané (viz Drtičova odpověď) a nebudeš stahovat podivuhodné cizí maily, nic ti nehrozí. Antivir (jakýkoliv) ti zpomalí systém až strašidelným způsobem.
ok nedám a toho admina na heslo ?
Nemusíš. Pokud nemáš děti (manželku, tchýni, psa,...), které by ti lezly do admina, nehesluj.
Raději heslovat, nebo mít ještě jeden účet s administrátorskými právy, protože když bude chtít něco z usera instalovat, tak se to zeptá na heslo a to heslo musí k něčemu být.
tuším že kolega myslel runas.
ostatně omezený účet by neměl žádný smysl, kdyby 12letý nezodpovědný zavirovávač místo svého účtu používat nezaheslovaný adminský.
Ale na to jsem se přece ptal. V jiných případech (single user) použití admin hesla nechápu. Asi su blbé...
viz onen runas. Já zásadně hesla adminovi nastavuji, abych se nemusel přehlašovat a bylo možné "spouštět jako" admin.
Jo, to je přesně ono. Navíc se mi ve Win7 líbí, že pokud to chce aministrátorský přístup kamkoliv, tak to automaticky vyžádá heslo k nějakýmu admin účtu, tedy runas. A nejde jen o instalace, ale i o nastavení systému.
No jo, to je to všemi proklínaný UAC, který měla už prastará Vista. Superadmini prostě nechápali, že musej něco navíc odklikávat, ale když má člověk omezenej účet, tak je to sakra zrychlení oproti používání RunAs u XPček.
Problém u Visty byla neovladatelnost, např. ono potemnění obrazovky je dost opruz, pokud používáš nějaký SW na vzdálenou správu.
Což je, pokud se nemýlím, u Seven stále stejné. Aspoň TeamViewer to nedokáže zobrazit UAC požadavek.
ano, ale narozdíl od Visty (kde šlo UAC jen vypnout), lze u W7 pomocí "táhla" snížit "bezpečnost" o jeden stupeň a obrazovka už nepotemní (a myslím, že mnoho SW se s tím pak už dokáže vyrovnat (nevím jestli zrovna TeamViewer))
Win Vista jsem viděl, dalo by se říct, z rychlíku, z XP jsem přesedlal rovnou na Win 7 64bit.
Ale toto UAC mi naprosto vyhovuje - mám všechny instalace pod kontrolou, nic se nemůže samo (jen tak snadno) potichu nainstalovat bez mýho vědomí a přitom můžu měnit nastavení systému bez přepínání do adminúčtu. Vůči WinXP je to obrovskej posun dopředu. Ačkoliv v linuxu toto byla běžná věc, Microsoftu to trvalo pěknou řádku let.
Nebud naivny ze by microsoft nieco urobil dobre.
http://pc.poradna.net/f/view/534116-pozor-na-zastu pcov-lnk-bezpecnostna-diera-vo-windows
nepyta sa to na nic.
UAC je totalna kravina (je to asi ako dvere zamknute na 150 zamkov ktore musis pri kazdom vchode do bytu odomykat, a vedla nich diera v stene pre zlodejov
UAC by bolo dobre vtedy keby s pravami system bezlo LEN to uplne najdolezitejsie a 100% bezpecne. V MS ale o takom niecom mozu len snivat, studentoprogramatori.
Konieckoncov podobny sposob jak UAC pouziva MacOS roky, akurat to MS ukradol a nevedia to ani poriadne naprogramovat.
Až mi to UAC selže a zaviruje se mi systém, dám ti vědět. Zatím si nemohu stěžovat.
Nijak jsem nad tím nebádal, jsem jen prostý uživatel, dal jsem si tedy hned po instalaci vytvořit uživatelský účet a občas to po mě chce heslo, když lezu do oblasti nastavení, či něco instaluji. Jako obyčejný BFU jsem spokojen.
Jak toho chceš docílit? Drivery budou pod userskými účty? To jako ovladač grafiky bude mít každý svůj?
100% bezpečný ovladač grafiky či jakýkoliv je utopie. MS zapracoval na izolaci jádra a boot drivery se integrují jako pluginy(jdou odstřelit bez následků), zapracovali a důsledně využívají hiearchie oprávnění (narozdíl od aplikací, u kterých programátoři neví která bije), "sandboxu" a izolace aplikací. Pochopitelně je spousta bugů (tak jako jinde) , průzkumník nevyjímaje.
To je proto, že nevíš mechanismus toho okna. UAC je pouze userská hláška. S mechanismem to nemá nic do činění.
Systém se řídí při přístupu především účty a oprávněním. Vše je zdokumentováno a systém nabízí tyto mechanismy i ostatním programům.
Jeden příklad za všechny:
IE8 prakticky vůbec "nepřistupuje" uživatelsky na disk v chráněném režimu. IE předá požadavky socketu, trident zrenderuje - prostě standardka, ALE pokud chceš uložit nějaký soubor, stránku, nebo kešování, tak se mechanismem zdegraduje na nejposlednějšího usera, který může pouze do předem povolených adresářů- nikam jinam.
Jak to funguje:
Už ze starodávných dob existují mandatory label (nejsou na kartě oprávnění- není to pro home admins), který je pořádně využit až od Vist. ML určuje oprávnění přístupu a spuštění. Proces s ML střední může spustit nebo přistupovat k ML střední či nízká, ne vysoká. IE s ML střední (lokální bezpečná síť) + ML nízká (internet) při ukládání zavolá proces IELowutil s nízkou ML = IELowutil nemůže ukládat do sys. adresářů, root c:, prg files a 90% sys. adresářů, něco spouštět - všude je vyšší ML. Tzn. že útočník nemá šanci se dostat k systému přes okno i kdyby měl účet papež, jeho mandatory label je totiž nízké. Systém umožňuje využití i programům třetích stran. Proč ho nevyužívá třeba Firefox a nectí systém?
----
Tímhle dlouhým monologem chci říct, že UAC (ne okýnko, ale mechanismus) má smysl. Smysl nemají ignorace a prasečiny ostatních programátorů, kteří dají nálepku pro W7 a konfigurák si naivně pašují do program files.
UAC (tak jak je to implemenovane vo Windows) zmysel nema. Da sa to urobit tak aby to bolo bezpecnejsie. Nie, ovladace nemusia bezat pod userom, uplne staci ked sa tam urobi bezpecny interface od aplikacie (na ovladac sa vzdy ide cez WinAPI - IoControl)
Ked sa da obist UAC kliknutim na .lnk, tak je to absolutny srot bez zmyslu. Zmysel by to malo len vtedy ak by bol urobeny spravne cely koncept OS, viz linux, MacOS, Unix, a vsetky ostatne.
P.S. ziaden renderer ani explorer ani spracovavac .lnk nesmie mat moznost obist UAC ani keby tam bola diera v tom programe. Ak ma moznost, znamena to ze koncept OS je srot (a nieco z toho co som menoval bezi s pravami system).
Ne, ovladače MUSÍ bežet pod systémem - nebudu řešit, že user MM.. není logován, já kmochna chci taky grafiku. Mluvím o ovladačích, ne GUI- to je snad standard.
---
explorer má smutné privilegium, že je primární správce souborů, který může svým způsobem vše - zbytek je skryt za využívání API - tzn. tvůj TC je omezen a bezpečný. A je omezen hodně- a ty víš co.
ved presne to pisem. Ale aplikacia neleze na ovladac priamo ale cez WinAPI a tam moze byt do urcitej miery zarucena bezpecnost tykajuca sa ovladacov.
problem s .lnk neni problem ziadnych ovladacov, problem s .lnk je cisto problem debilizmu a neschopnosti ludi v MS. Ano kazdy spravca suborov a kazda gui aplikacia a vsetko okrem kernel a ovladacov ma bezat pod userom, stejne ako TC. Vysvetli to dementom v MS. Ja by som Windows zakazal.
Ovladače jsou primárně všech= System - ne 100% bezpečné
Ovládání je na každém userovi = User - pokud aplikace leze přímo = obchází systém, ale je to možné - ne moc na nových systémech - systém donutí k použití rozhraní
WinAPI je k dispozici každému - o tom snad válčit nebudeme
---
lnk by měl být ve formátu xml ne binárně- uznávám netransparentnost.
---
Znovu píšu: MS to má dobře (v kontextu dotazu: W7, podchycenost a vůbec)aplikace= nejsou dobrý. Další odpověď bude znamenmat můj přístup k SUAnalyzer a konkrétní aplikaci a přesvědčíš se o prasečinách.
Můj slovosled je rozvrkočený.
Nechapes vobec koncept OS v protected mode. Aplikace nemoze obist OS. Je to technicky nemozne, okrem pripadu ze to dovoli OS, t.j. microsoft, svojou debilitou.
P.S. V spravne urobenom OS sa moze aplikacia aj pokrajat a aj tak nemoze nic nedovolene sposobit. Technicky nema sancu. Na dnesnych x86/x64 CPU s protected mode. Aplikacia ma vyhradenu svoj vlastny kus pamati a nikam inam sa nedostane, CPU ju nepusti. Nedostane sa priamo na HW. CPU ju nepusti (privilegovane instrukcie). Je to proste technicky nemozne. Aplikacia v dobre urobenom OS si moze akurat tak trhnut nohou.
psal jsem o protect mode v IE - tam si můžou trhnout všichni. o OS jsem psal o větším "škatulkování".
Ta "debilita" je trošku rána pod pás. Máš snad něco super imunní? Všechno má chyby a neznamená, že teď není chyba, že vývojem času se chybou nestane.
Vraťme se na UAC - ten koncept je podle mého dobrý. W7 si chrání své záležitosti a vůbec není jednoduché (čti vir explorer.com v sys. nejvyšším adresáři c:\) ho obelstít- má tam obranu.
vsetky ostatne OS su super imunni ptz pouzivaju protected mode tak jak ho pouzivat maju.
Protected mode je v CPU a nie v ziadnom IE. OS ma CPU vyuzivat tak, aby zamedzil aplikaciam akokolvek obist to UAC. Potom by UAC malo vyznam.
To mluvíš o DEP? - umí.
--
Na systémové úrovni se brání , JaFi promiň, takto:
ale koukám, že jeden o koze, druhý o voze.... UAC
DEP je nieco uplne ine. Nemas znalosti o architekture CPU a OS, protected mode, nema to vyznam. Samozrejme ze Win pouziva vsetko mozne, ale robi to zle. Derave aplikacie (od MS) bezia s vysokymi pravami ako sucast systemu, atd. Dokaz je prave to spracovanie .lnk, ktore vie obist UAC. Tipujem ze vnnik je explorer.exe zamontovany do systemu, co je v bezpecnom OS NEPRIPUSTNE.
Nemám a ani se jich to netýká. čtu si to hlášení o lnk a pif:
hm, ale tahle chyba se týká Windows Shell (kolekce knihoven a spouštěčů), ne procesu explorer(což je chybně interpretováno i na wiki). Podívej, pokud ti MS OS nevyhovuje, tak ho nepoužívej. Tuhle chybu přeřazuji k chybě wmf, kdy shell místo zobrazení wmf ji chtěl zpracovat (wmf není obrázek, ale program/ instrukce), nebo k chybě v id tagu, kdy tuším winamp byl zneužitelný, bo zneužit megasplitter quartz
Smiř se stím, že Explorer bude mít vždy větší přístup než obyčejné aplikace třetích stran.
Ja sa s tym zmierit mozem mne je to uplne fuk, ale prave preto k dotazu o bezpecnosti OS (tento dotaz) nebudem vypisovat ze jak je W7 bezpecny a jak je UAC super, ked kliknutie na .lnk nainstaluje vir ktory skryva subory a obchadza UAC (nepyta si admin prava a na nainstalvanie viru a skryvania suborov snad admin prava treba, nie?). Naco potom u stejneho usera otravuje UAC zakazdym, ale u viru u stejneho usera zrazu UAC neotravuje? To uz zrazu stejny user ma admin prava ked ich pred 3 sekundami nemal a otravoval ho UAC? Co to je za ko**ina? UAC. Vyborne.
Právě proto je to označeno jako chyba.
Není to chtěné chování.
pif jsem použil ještě tak na w95 a lnk pouze svoje - nepoužívám volbu instalátoru z pochybných zdrojů "na plochu". Mi se chyba pravděpodobně třeba netýká
Je to chyba, ale v mozgovych pochodoch v MS. Ptz takato chyba sa da vylucit ak sa navrhne OS spravne. o tom tu cely cas pisem. Shell ma bezat s user pravami (izolovany od systemu - potom nebude vadit ze ma chyby) a nie instalovat viry a skryvat subory.
Tu http://www.zive.sk/spravy/na-windows-systemy-sa-da -utocit-cez-zastupcov/sc-30-a-289124/default.aspx si pozri video kde jasne vidis ze nakazil PC zastupcom ked bol ako obycajny user. Takze necitaj klamstva od nejakeho dementa na wiki, ale sleduj fakty.
P.S. a nemusis pouzivat .lnk aktivne, staci ze s dementnym explorerom si preskumas vlozeny USB stick, kde je nejaky nakazeny .lnk. Dokonca sa to udajne nakazi uz pri autorun prehladavani USB sticku.
tahle reklama neukázala nějaké napadení- to se někam zkopírovalo, nebo spustilo? dej link na infikovaný lnk, zkusím.
na konci to vsetko zmizlo samo od seba to znamena vir sa aktivoval a aktivoval skryvanie sameho seba (subory tam su ale v demetoexploreri ich nevidno). Vychadzal som z toho co tam chalan komentoval ja som to neskusal. Link nemam nepotrebujem, ja tomu videu verim :)
To video je od SOPHOS.
Priklad: mas v zariadeni draty, s izolaciou, ale na 20cm ta izolacia chyba a len tak visia odizolovane draty v lufte. Vybuchne to ale ty ako vyrobca sa budes brani "nieee, ja som predsa pouzil izolaciu!!!"
Lebo ano pouzil si ju na pol metri kabla, ale bola tam uplne nahovno ked 20cm ostane odizolovane. Tak asi funguje MS 
Pouziva aj protected mode, aj UAC, aj DEP, aj vsetko pouziva :)
inac tvoja argumentacia "já kmochna chci taky grafiku." je nezmysel. Aj keby boli na PC dvaja useri naraz, mohlo by to byt spustene viackrat pod userom. Neplet si spolocny subor s tym ze pod cim je to spustene.
Ovladac musi bezat ako kernel (ring 0 alebo 1) preto lebo pristupuje na hardware (musi vykonavat privilegovane instrukcie CPU). Vseobecne to neni problem ptz a)hacker nebude napadat ovladac ptz kazdy ma iny ovladac t.j. napadol by male percento PC, b)ovladac neposkytuje velku moznost bezpecnostnych dier (lebo pristup cez WinAPI). Blby ovladac moze sposobit BSOD, moze sposobit padanie systemu apod, ale nie je to velke bezpecnostne riziko co sa tyka napadnutia PC virom.
A další pan chytrý, pravděpodobně pohádkář. Prosím tě, jak se předem pozná, že právě příchozí email není podivuhodný? Antivir zpomaluje PC strašidelným způsobem? Možná tak 5 let starej AV na 10 let starým PC. Dnešní AV (samozřejmě ne všechny) - ty lepší, v žádném případě PC strašidelně nezpomalují a o některých dokonce ani nevíš, ale to jich chce pár vyzkoušet a ne tlachat a omílat několik let staré bludy. Ani na netbooku s Atomem není téměř poznat vliv celýho bezpečnostního balíku některých výrobců, natož AV.
"o některých dokonce ani nevíš"
Správně, protože nic nenajdou, nanejvýš vyhlásej planý poplach a každý program spouštěný po startu,
systém více či méně zatěžuje.
AV jsou tím proslulé.
Pár jsem jich vyzkoušel a rychle z PC vyházel.
Sem tam kontrola HiJackThis je pro mne dostačující.
Ale pokud se někdo cítí bezpečnější ze všelikými "100%" krámy tak mu to neberu.
(stejně nakonec většina skončí s rozdrbaným OS)
tvůj problém je, že si nedokážeš představit jiný model fungování, než práci pod účtem s admin právy a kopou bezpečnostního SW.
Já naopak zastávám tento přístup:
1. je-li PC za routerem/NATem, není třeba firewall
2. je-li použito správně neprivilegovaných účtů (a user není totální dřevo), není třeba ani antivir (resp. jeho funkce se stává čistě preventivní)
k bodu 1.
jsem za routerem a router me chrani proti prurazu zvenci, ale ochranu proti navazani komunikace zevnitr mi dela personal firewall, nechci totiz ani firmam jako MS, Adobe atd. o sobe posilat zadne informace, nebot programy i "serioznich" firem rady informace po netu posilaji.
Podle me je na tohle nejlepsi pouzivat onen PF a filtrovat si tak sam, co chci z PC odeslat a co ne.
k bodu 2.
ale proste meli zavirovany PC a vir se jim nahraval na vsechny flashky co strcili do compu. Trvalo mi asi 15 minut, nez jsem vira ze sveho systemu smazal, predpokladam, ze kdybych na tom compu mel antivirus, tak bych vira vubec nespustil. 
ja myslim, ze antivir obcas potreba je, napriklad jsem dostal od obchodniho partnera neco na flashce, hodil jsem ji do compu a omylem jsem si spustil vira, ktery na flashce byl, ten vir tam samozrejme nedali umyslne
K problematice administrator versus omezeny ucet - podle me je MS natolik "uchylny", ze to snad dela zamerne a snazi se donutit uzivatele, aby pracovali pod Administratorskym uctem. Aspon teda ja proste nehodlam po spusteni temer jakehokoliv programu vyplnovat runas (admin heslo), takze co mam Visty a Sedmicky, tak proste pracuju rovnou pod Administratorem. Ja vim, ze je to spatne, ale proste mi nic jineho nezbyva, nebot pod omezenym uctem polovina programu nechodi, posledni system, kde se dalo pracovat i pod omezenym uctem byly XPecka.
stačí správně nastavit práva na FS a registry a už to fičí..
Odchozí komunikaci neuměl obhospodařovat firewall v XP. Ve Vistách už to umí, lze zakazovat OUT i jednotlivým aplikacím (jak to funguje třeba v Keriu a spol). W7 na tom budou stejně.
Tak, že přijde od někoho, koho znáš, nikoliv ze společnosti, prodlužující penisy.
Ano. Každý. Aby měl AV nějaký smysl, musí být jeho rezidentní štít nastaven poněkud agresivnějším způsobem (aby "prohrkával" každý otevřený soubor).
Hmmm... Kdo je tu teda pohádkář, chytrý pane Hansi Christiane?
No ja se k tomu taky trosku vyjadrim. Email muze mit zfalsovanou hlavicku a muze ti prijit i od zcela bezneho ceskeho jmena treba honza@centrum.cz a su zvedavej, jak budes normalnim lidem (pro vas lamam) vysvetlovat, jak najit hlavicku atd. Takze bys asi vsem poradil, aby neotvirali ani emaily ze seznamu atd. ne? Chapes cos napsal za blbost? Bohuzel v cesku je navic porad jeste i spousta firem, ktery maji email na seznamu, atlasu, email.cz, centrumu apod. a treba ti z nej posilaji pracovni nabidky, zakazky, cenovy nabidky atd.
Rezident u par lepsich AV muzes nastavit na nekolik stupnu a dale vubec nemusis mit spusten rezident, ktery hlida cisty pc a kuprikladu jeho soubory. Pokud totiz mas ciste pc (navic nektery AV si pc oskenuji, soubory si podle vybranych kriterii oznaci nebo "zapamatuji" a uz je priste neskenuji, takze zatez pc s kazdym skenem pada niz a niz i u rezidentu, ktery je nastaven na paranoiu), staci ti pouzivat rezident pouze na web a pak o Av nevis skoro vubec. Shodou okolnosti jem minuly rok daval na netbook od Lenova, asi s Atomem NIS 2010 a zpomaleni nepocituju. Na mym ntb zpomaleni nepoznma ani s kasperskym, kteryho nastavim skoro na paranoiu. O setinach sekundy se ale nebavim. Ty nevnimam a jsou mne jedno. Kdyz mluvim za sebe, tak na zadnym z mych pc okem neni mozne zpozorovat zpomaleni systemu pri zzapnutym AV. Navic ja pouzivam cely baliky, ktery by podle vas meli pc pomalu zastavit. Presto se tak nedeje.
W7 uz maji konecne pouzitelny FW. Lze nastavovat pravidla pro IN a OUT a to vcelku jednoduse - pro scope portu, pro urcity sitovy adapter, pro urcity profil site (jestlize jsem na "Work" siti neco jineho povol a na "Public" to nepovol) apod.
Osobne pouzivam Comodo na svem stroji, ale W7 s integrovanym firewallem mam nasazene a zatim v klidu.
Ja osobne mam Avira ako antivirovy program. A este mam comodo firewall security a to mam spybotom ukoncene. V mozille firefox mam notscript, a virus som nevidel ani nepametam. To je najlepsia moznost.
dobry vir ani neuvidis ptz o nom ani nebudes vediet. Ja nemam vobec ziaden antivirak a FW vo Win a vir som nemal ani nepamatam. Vypoveda to o kvalite mojho none antiviru? :)