Можно ли работать в Windows без антивируса

Тема в разделе "Защита от взлома", создана пользователем akok, 15 дек 2014.

  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Этот вопрос неоднократно всплывал в форуме и комментариях блога, а на прошлой неделе мне задал его в почте читатель Игорь. Причем письмо пришло в тот момент, когда я читал свежий отчет по безопасности Microsoft за вторую половину 2012 года. Это совпадение примечательно тем, что именно аспект работы без актуальной антивирусной защиты попал в фокус специалистов компании на сей раз.

    Я предлагаю вам посмотреть на большую картину работы без антивируса в Windows, а также разобраться, нужен ли антивирус опытным пользователям.

    Статистика заражений различных ОС Windows
    Постоянные читатели блога уже знакомы с записями, в которых я разбирал любопытные факты из отчетов по безопасности Microsoft, например, за вторую половину 2011 года и первую половину 2012 года. По сравнению со вторым из них мало что изменилось:

    • Уязвимости в Java и Adobe эксплуатируются в разы активнее, чем уязвимости ОС Windows.
    • Страсть к халяве не идет на спад, и самым популярным семейством вредоносных программ остается Win32/Keygen.
    • Россия прочно удерживает четвертое место в мире по количеству зараженных ПК, а уровень вредоносных и фишинговых сайтов на территории страны превышает среднемировой в 1.5 раза.
    И даже статистика заражений ОС Windows не преподносит сюрпризов, несмотря на появление в списке Windows 8. Скачок уровня заражений Windows XP в четвертом квартале 2012 года связан со взрывным ростом активности фальшивого антивируса Win32/OneScan в Корее. Напомню, что уровень означает число ПК с обнаруженными вредоносными программами на каждую тысячу компьютеров, просканированных MSRT.

    [​IMG]

    Столь низкий уровень заражений Windows 8 объясняется в первую очередь тем, что пока на нее перешли, в основном, энтузиасты, обладающие более высоким уровнем компьютерной грамотности. Они же склонны сознательно выбирать 64-разрядные системы, снабженные защитными технологиями, недоступными в 32-разрядных ОС.

    [​IMG]

    Но есть и еще один фактор, который поспособствует тому, что в будущем Windows 8 продемонстрирует уровень заражений ниже, чем у Windows 7. Это – встроенный антивирус Windows Defender, обладающий тем же интерфейсом, движком и базами обновлений, что и Microsoft Security Essentials, предназначенный для предыдущих версий Windows.

    Статистика заражений ОС Windows сквозь призму наличия антивируса
    В принципе, Капитан Очевидность подсказывает, что с антивирусом вероятность заражения ниже, чем без оного. Однако разве не любопытно посмотреть на конкретные статистические данные, собранные с помощью MSRT с миллионов ПК?

    В своем отчете Microsoft использует термин «незащищенные ПК», относя к таковым системы, на которых антивирус не установлен или работает с устаревшими базами. Как выяснилось, во второй половине 2012 года в эту категорию попадал каждый четвертый ПК!

    [​IMG]
    Увеличить рисунок


    Неудивительно, что незащищенные ПК (красный график) заражались в среднем в 5.5 раз чаще, чем системы с обновленными антивирусами (зеленый график).

    [​IMG]
    Увеличить рисунок


    Любопытен также расклад незащищенных ПК по операционным системам. Честно говоря, я ожидал даже более высокого уровня заражений на Windows XP. Но зато совсем не удивился тому, что владельцы Windows 7 без SP1 относятся безответственно не только к обновлению ОС, но и наличию антивирусной защиты.

    [​IMG]
    Увеличить рисунок


    Обратите внимание, что на Windows 8 зафиксирован самый низкий уровень незащищенных ПК, благодаря наличию Windows Defender.

    Тем не менее, 7-8% людей умудряются отключать встроенную антивирусную защиту Windows 8, не устанавливая ничего взамен!

    Наконец, взгляните на расклад по операционным системам и разрядностям в контексте наличия актуального антивируса. Незащищенные ПК обозначены штриховкой, а защищенные – сплошной заливкой.

    [​IMG]
    Увеличить рисунок


    Ожидаемо, системы без должной защиты заражаются чаще вне зависимости от версии и разрядности. В частности:

    • Windows XP в 4.7 раза
    • Windows 7 SP1 в 9.4 раза (х86) и 7.3 раза (х64)
    • Windows 8 x64 в 13.5 раз
    Адепты Windows XP вряд ли удержатся от вывода, что старая ОС почти в три раза устойчивее к заражениям при работе без антивируса, нежели Windows 8. Однако я вижу два фактора, делающие такое суждение несколько поверхностным.

    1. Заражение – это обнаруженная вредоносная программа, но вовсе не факт, что она может нанести вред конкретной операционной системе. Классический пример – семейство INF/Autorun, включенное во все наборы для атаки, но не представляющее никакой угрозы для Windows 7 и более новых ОС (впрочем, как и для Windows XP с установленным обновлением).
    2. Windows 8 только что вышла, т.е. установлена начисто на всех ПК. А что люди делают после установки ОС? Правильно, устанавливают программы. Теперь вспомните про неуемную страсть к халяве, и все встанет на свои места.
    Win32/Keygen и INF/Autorun являлись самыми широко распространенными семействами вредоносных программ на протяжении 2012 года (за исключением скачка рекламного «вредоноса» DealPly на территории Бразилии в четвертом квартале).

    [​IMG]
    Увеличить рисунок


    В таблице ниже те же семейства выстроены по ранжиру для каждой ОС. Обратите внимание, что Keygen и Autorun оккупируют места в первой тройке на Windows 8.

    [​IMG]


    Нужен ли антивирус опытным пользователям
    Приведенные выше данные наглядно подтверждают, что наличие актуальной антивирусной защиты в разы снижает уровень заражений по экосистеме Windows в целом. Другими словами, подавляющему большинству пользователей антивирус абсолютно необходим.

    Следуйте рекомендациям Microsoft
    Я всегда подчеркивал пользу от следования рекомендациям Microsoft, которые в данном случае выражены в
    центре поддержки. Однако есть категория людей, считающих себя достаточно опытными, чтобы избежать заражения без резидентного антивируса (ну, может, только один раз за год словить вымогателя) .

    В этом одном разе и заключается более высокая вероятность потери персональных данных, что может нанести ущерб финансам или репутации.

    Безусловно, ни один антивирус не обеспечивает 100% защиты от вредоносных программ. Даже если исключить серьезные уязвимости 0-day, которые вероятнее используются для целевых атак типа Aurora, производители защитного ПО с задержкой реагируют на любые новые угрозы.

    контроль учетных записей
    Я считаю, что опытный пользователь использует весь защитный арсенал, не пренебрегая никаким оружием.

    Впрочем, существует один подход, которым можно оправдать работу без антивируса.

    SRP и AppLocker сводится к тому, что запуск программ и скриптов разрешен только из расположений, в которые у вас нет права на запись (например, Windows и Program Files), а попытки выполнить их из других папок тихо блокируются полностью.

    Однако эти технологии даже не включены в состав младших изданий Windows, поскольку рассчитаны на применение в организациях. Из этого в домашней среде вытекает пара моментов:

    1. Требуется высокая квалификация пользователя. По-настоящему опытный пользователь, конечно, разберется с настройкой в графическом интерфейсе. Но квалификация подразумевает также и понимание принципов работы технологий, что в свою очередь требует более высокой дисциплины. Заманчиво же вывести из-под действия политик, например, папки Downloads и Scripts, но при таком подходе нечего и огород городить.

    2. Требуется отключать ограничения на время установки и обновления приложений. С точки зрения SRP или AppLocker эти действия эквивалентны, поэтому для их успешного выполнения приходится временно деактивировать защиту. Проблема в том, что происходит это в самый важный для безопасности Windows момент – запуск исполняемого кода с полными правами!

    Исключение составляют лишь программы, обновление которых реализовано с помощью служб, выполняющихся от имени учетной записи «Система», на которую политики не распространяются (таковыми являются, например, Adobe Reader и Firefox). Минимизировать случаи отключения политик также можно, создавая для конкретных подписанных программ правила сертификатов, как это делаетВадимс Поданс, в чьем блоге вы найдете достаточно материалов для грамотной настройки SRP и AppLocker.

    Так или иначе, я затрудняюсь рекомендовать всем читателям своего блога SRP или AppLocker, но настоятельно рекомендую эти технологии тем, кто считает себя достаточно опытными, чтобы работать без антивируса :)

    EMET — это бесплатный инструмент для управления защитными технологиями Windows. EMET блокирует или затрудняет эксплуатацию уязвимостей, для которых еще нет исправлений. Другими словами, он значительно снижает вероятность ущерба от уязвимостей типа 0-day. Подробности о EMET вы можете почерпнуть из статей Руслана Карманова:

    Источник
     
    Последнее редактирование модератором: 19 дек 2014
    machito нравится это.
  2. kmscom
    Оффлайн

    kmscom Пользователь

    Сообщения:
    271
    Симпатии:
    43
  3. Сергей
    Оффлайн

    Сергей Активный пользователь

    Сообщения:
    254
    Симпатии:
    120
    Я не пользуюсь антивирусами уже несколько лет, и не жалуюсь. Без них можно прекрасно обходиться.
    Только однажды подцепил с Интернета. (ну и несколько раз присылали мне с целью, чтобы узнать как удалить)
     
    machito нравится это.
  4. dzu
    Оффлайн

    dzu Активный пользователь

    Сообщения:
    957
    Симпатии:
    543
    ну, не знаю .., как забуду : mbam "включить" - так что нибудь , да "словлю" ))
     
  5. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Хм.. Лично я для себя, АВПО считаю ненужным баластом, который жрет ресурсы. Всем знакомым советую их использовать, а сам для себя пользы в них не вижу. Небыло бы в восьмерке защитника, вообще бы без антивируса сидел. Хотя, и тот 2 месяца в отключке.
    Ну не лезу я туда, где всякие зловреды тусуются. Хотя, прекрасно понимаю, что это не панацея. Сам, тогда еще с включенным защитником, поймал пару адварьных расширений в хром. Что и привело меня на этот сайт.
     
  6. dzu
    Оффлайн

    dzu Активный пользователь

    Сообщения:
    957
    Симпатии:
    543
    а что, это заведомо известно ,разве ?
     
  7. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    dzu,
    Хм.. Сложно объяснить, но я знаю, куда стоит соваться, а куда - нет. У меня есть подборка основных сайтов, в котороых я уверен. Я редко выхожу за их пределы, а, если и выхожу, то наблюдаю за поведением.
    Я уже писал, основная проблема в невнимательности. Если невнимательно что-либо использовать, то возрастает возможность ошибки. Это правило справедливо для всех аспектов жизни. Внимание, наше главное оружие/защита. Остается только узнать, как его применять.
     
  8. Dark_knight12
    Оффлайн

    Dark_knight12 Пользователь

    Сообщения:
    171
    Симпатии:
    38
    Без антивируса 5 месяц сижу, с того момента, как на этот сайт зашел, проверяю Cureit раз в неделю и авз через исследование системы, ни одного не словил за это время. Понятное дело, что вероятность словить повысилась, но пока был Dr Web и сейчас, никакого разницы не почувствовал, у знакомых очень часто ловят со спама и файлопомоек с кейгенами мнимыми им устанавливаю антивирусы.
     
    Viksa72 и ScriptMakeR нравится это.
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    "Без антивируса" более года. В кавычках т.к. используется стандартный защитник windows и немного перенастроенный фаерволл.
     
    machito, fseto и ScriptMakeR нравится это.
  10. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    Отвечая на сабж, сказал бы, что можно обойтись без АВПО, но не желательно. Ибо можно тем людям, которые следят за своими телодвижениями.
    Лично я использую, т.к. "не хочется" брать защиту пк под тотальный контроль. Да и мало ли куда попадешь в процессе обучения в поисках инфы.
     
    -BiG-BAPBAP нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    :Biggrin: Какие-то ленивые вы компьютерщики.
    Поставили себе одну систему с одной ОС без особо важной инфы и куркулите на токовище.
    ---
    XP c MSE (1 ноутбук 8-летней давности)
    XP c NIS (с десяток на разных работах, включая ноутбуки и нетбуки)
    XP c SNS (3 собств., теперь тестерские)
    ---
    Win7 c MSE (дома и несколько на разных работах)
    Win7 c NIS (дома и несколько на разных работах)
    Win7 c SNS (3 собств., теперь тестерские)
    ---
    Win8.1 c Windows Defender (несколько на разных работах)
    Win8.1 c NIS (дома и несколько на разных работах)
    Win8.1 c SNS (1 себе и 3 тестерам)

    Несколько с XP, 7, 8.1 конкретно без никакого антивируса, переносные, самонастраиваемые.

    Итог: можно работать как с базовым встроенным антивирусом, так и без классического антивируса, как с комплексной защитой, так и без неё, прибегая к альтернативным защитным средствам, так и не используя их принципиально (читай: самонадеянно!).
    Но если на компьютере есть важные личные или корпоративные данные, то круглые сутки (денно и нощно, с бодуна и по трезвянке, с устали и с бодрячка) полагаться на собственное я, пусть и имеющее по собственному разумению 777 пядей во лбу, наивно и откровенно глупо.
    Человек слишком слабое и зависимое от многих факторов и рисков существо, хоть раз, но даст слабину, а вредоносы и их создатели непременно этим воспользуются.

    Если что, вспомните сказку про трех поросят. :Biggrin:
     
    akok, fseto, ScriptMakeR и ещё 1-му нравится это.
  12. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    возможно.., а может не очень нужно.
     
    SNS-amigo нравится это.
  13. Сергей
    Оффлайн

    Сергей Активный пользователь

    Сообщения:
    254
    Симпатии:
    120
    Я тоже раньше по пятницам проверялся Cureit-ом, чтобы не сохранить вирус в резервную копию, которую делаю по субботам. ННо отказался от АВ, ведь все равно ниразу не нашлось бяки. Осталось лишь субботнее резервирование.
     
  14. petr-ru
    Оффлайн

    petr-ru Пользователь

    Сообщения:
    62
    Симпатии:
    31
    Автор статьи как-то вообще плохо смотрел на свои таблички и не делал по тем данным совсем никаких выводов. Для каких-то данных для сравнения подобные угрозы вообще надо исключить, т.к их количество вообще никак не показывает степерь угрозы для какой-либо ОСи.

    Поясню:
    1. Распространенность Inf/autorun говорит только об одном - в комп суют зараженные флешки. Локальные малвари с таким методом автозагрузки в ОС настолько редки, что ими можно пренебречь, так что этот детект убирать надо - от оси это никак не зависит.
    2. win32/keygen - просто кряки и кейгены, при чем тут ОС никак уяснить не выходит.
    3. OpenCandy, dealply - адварь, пользователь ее сам качает и сам же мышкой двойным кликом запускает, поставит оно ему какой-нибудь тулбар, поменяет стартовые страницы. В любой ОСи, если у прогеров руки не из Ж росли.
    4. JS/Iframe - детект на контент веб-страниц - подозрение на скрытый зловредный iframe на каком-то сайте. То, какие сайты посещает юзер ОС не влияет - такой детект будет при заходе с любой ОСи.
    5. Blacole - полностью аналогично пп4 (только детект не на iframe, а на набор скриптов из этого кита)
    6. pdfjsc - детект на pdf-эксплоиты - они либо по почте, либо выпадают с пунктов 4-5 (когда детектилка не обнаружит на уровнях 4-5 может получится, что схватит сам вредоносный контент). От ОСи тоже не зависит.
    7. Obfuscator - обычно это ложный детект на нечто упакованное - имхо.
    8. dorkbot - червяк с флешек и по входящим каналам (социалки, мессенджеры), ОС безразлична.

    Вот это поворот! Оказывается все зверьки из таблички вообще не имеют к теме никакого отношения. Круто, господа :)
     
    Severnyj нравится это.
  15. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    Нет антивируса, но и Defender MSE не антивирус - Он что обновляться не умеет ?! И это после обновления его причин-дал на 150 мб.
    de-fender.png
    Так что ответ на вопрос - Можно ли работать в Windows без антивируса - ДА!. Вы и так без него, так что ставьте файл хостов http://winhelp2002.mvps.org/ и вам почти тепло и уютно. Из расширений uBlock.
     
    Последнее редактирование: 11 май 2015
    akok нравится это.
  16. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    я вот тоже, то бастую то снова ставлю антивирусник, но в последнее время убеждаюсь что не обязательно, по своей неосторожности
    ловил только рекламные хреновины, до серьёзного дело не доходило, но всё ж, рекомендую АнПО использовать, "авось" обычно подводит))
     
    akok и Phoenix нравится это.
  17. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    У меня однокурсник с касперским лицензией адвари наловил. Только вчера чистил ему комп.
     
  18. kmscom
    Оффлайн

    kmscom Пользователь

    Сообщения:
    271
    Симпатии:
    43
    наличие страхового полиса, не означает что вы никогда не попадете в аварию (при условии, что вы единственный владелец транспортного средства на планете и единственный её житель).
    Антивирус, это инструмент, которым надо уметь пользоваться, но он не панацея от плохо осознаваемых пользователем, своих действий
     
    mike 1, E100 и Phoenix нравится это.
  19. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Без Ав-продукта могу представить только бабушку, которой внук настроил Брандмауэр и Политики: не писать туда, откуда запускаешь; не запускать оттуда, куда пишешь. Остальные и так нахватаются что с АВ что без него (SNS-Amigo не в счет) и адвари и шифровальщиков. А так посмотрите форум, где мы начали лечить, что не без АВ - то файловое заражение, я вживую у друзей и знакомых такого уж года 4 не видел, да и то на компах с крякнутым необновленным АВ.
     
    SNS-amigo нравится это.

Поделиться этой страницей