Blbuvzdorne reseni zabezpeceni PC pro Laika.

[Matysek]

Dobry den.

Nemam prilisnou zkusenost s sw pro Win, protoze jsem Linuxove zamereny (MS znam z pohledu fireminho admina), ale jistou predstavu mam i zde. Pozaduji pro svou pritelkyni opravdu blbuvzdorne a velmi tezko sestrelitelne reseni na jeji PC s WinXP Home, ktere si odveze na koleje. Predem rikam, ze ona je laik a kdzy ji prijde mail "I Love You", ci uvidi banner "Zadej cislo kreditky a vyhrajes" tak mi na to klikne at ji to budu vysvetlovat jak chci. Dale musi byt veskery OS legalni nebo GNU/GPL, FreeWare licence, nebo specialni licence pro studenty, protoze kdyz to neco zahlasi, tak mi klikne na podporu vyrobce a opravdu neminim platit pokuty. Vsichni dobre vime, co se deje na kolejich, co se pouziva a jak moc je u nas "crack" hledanym pojmem. Toto jsou proste hola fakta a budu rad, kdyz mi je pomuzete vyresit, ci se rozhodnout.

Antivir - vyborna heuristika, inet/p2p/lan/mail/im residenty. Musi byt automaticky aktualizovatelny bez zasahu uzivatele a to nejlepe tak, aby uzivatel nepoznal, ze se s nim neco deje - resp pozna to vzdy, ale musi to byt minimalisticke. Musi umet pracovat s MS Outlook a milerad bych, aby umel automaticky sejmout kazdy podezrely e-mail a ohlasit problem na mail/icq ci sms spravci - me.
Tady me napada Avast Prof Edice (nastaveni, ktere tam provedu v home licenci nejsou) ci NOD32.
Spyware - Detekce a resident. Minimalni riziko nakazy a pocitam stim, ze tady to bude hodne tezke rici neklikat a pouzivat zdravy rozum. Musi byt co nejjednodussi pokud jde o kontrolu a upgrade uzivatele ci byt plne automaticky. Residentni stit by byla perlicka spolecne s administracnim heslem.
Spyboot S&D - zdarma a kvalitni. Jdou na nej dat administracni scripty.
Spyblaster - doplenk S&D
SpyGuard - resisdent registru
MS AntiSpyware - Mno mam o tom sve mineni, ale obcas se hodi. Minimalne je automaticky.
AD-Ware od Lavasoftu - pro nekomercni uziti zdarma, ale to neobsahuje residenta a tudis nepouzitelne, stejne jako nemam jistotu v autoupdate, coz bude asi jen v placene verzi. Takze se musi zakoupit. Smula, ale lepsi, nez to davat doporadku 2x mesicne, coz by pri cestach vyslo xkrat draz.
...
AntiXP ci jak se ten sw jmenuje pro zakazovani funkci Win XP.

FireWall - musi byt temer neprustrelny a nesmi obtezovat. Blokovani reklam, citlivych inforamci musi delat primo FW ci Antivirus. Kerio Personal FW mi prijde jako reseni, ale nema tusim password pri home verzi a tedy opet koupit. O jeho kvalitach mam trosku pochybnosti, preci jen to PF/Iptables ci Winroute neni. Obecne bude z aLinuxovym FW na koleji a tedy utok bude za FW a ze tam urcite nejaky utok bude, nebot je na stejne koleji jak MUNI. Ocenil bych, kdyby umel pri jakemkoliv pokusu krome update okamzite dat bann ip adrese, ktera se pokusi ji sahnout na hdd, nastaveni ci scannout porty apod. P2P ma vymezeny prostor. Idelane by mel umet identifikovat pokus sahnout napr StrongDC++ jinam, nezli je vyhrazeny diskovy oddil a okamzite tento pokus odstrelit. Moc dobre vim, co se tam deje a PC spolubydla bylo skvele odkladiste prostoru nebo uzasny verejny FTP server....

Tady nevim, mozna, ze Kerio nebo Outpost.

V kazdem pripade musi byt blokovany systemem citliva data jako cicla kreditni karty apod. E-Banking musi byt pres MSIE, protoze komercni Banka bohuzelnehodla s FireFoxem spolupracovat, cili udelatko pro MSIE a jen dovolit stranky KB a WinUpdate. Prohlizec je FireFox. Postovni klient bude bohuzel MS Outlook (jednak se ji libi a jednak jsem s nelibosti zakoupil MS Office).

Uvazoval jsem i o Norton Internet Security, ktere maji takoveto nastaveni v sobe, ale zase ja si porizuji NTB a tedy bych rad mel SW stejny, jako ma pritelkyne a platil toto souhrne a ne XX prikazu( i kdyz ono to asi jinak nedopadne), jenze del dostupnych informaci mi hodne pridusil NTB (P735M 1.7GHz, 512RAM, 60GH 5400rpm HDD). Kvalitu NIS moc neznam, lec firma S. je spicka v oboru.

Berte v uvahu i fakt, ze ona je uzivatel a opravdu neprehanim, protoze vim moc dobre co dokaze. Studuje marketing a rad bych, abych na posledni 2 rocniky opravdu ten system nemusel cely predelavat. P2P mit bude, protoze ten film co ma "kamaradka od vedle" bude chtit taky mit. Na to je StrongDC++ na samostatnem 80 GB HDD a nikam jinam se toto nebude cpat. Certifikat pro banku ma na USB klici, ktery ma vazbu na bios a nikde jinde se na to nepodiva. Resene je to prio KB a je to reseno pres ID, na ktere je onen klic schopen reagovat - snad aspon od tohoto bude pokoj.

Vim, ze nelze absolutne zamezit vsemu, ale jde toto riziko znacne minimalizovat. V zadnem pripade nesmi nikdo toto nastaveni deaktivovat bez zadani hesla, jinak ji to nejaky dobry "kamaradicek" vypne. Minimalne bych rad, aby uzivatel temer nevidel, co se deje a byl cely chod a problemy logovatelne. Mista ma na HDD, zalohovani bude nastavene a raid je samozrejmosti. Vim, ze toto zni jako prehane, ale jezdit 400km kazdy tyden, protoze ono ji tam neco skace, opravdu levne nebude. Jak jde mazlika, tak se o mazlika musi clovek starat, jinak je bez mazlika nebo ma peklo na zemi. Administraotri dobre vedi co je to uzivatel a problem uzivatele je prioritni a on to tak vidi a podle jedna......

Predem dekuji za vase reakce.

[dj-bobr]

Rozhodně doporučuju nainstalovat VNC a povolit ve firewallu přístup k němu z Vaší domácí IP. Je k nezaplacení, když potřebujete přítelkyni na dálku něco nainstalovat, vysvětlit nebo ukázat. Ve spojení se Skypem či jiným zvukovým internetovým komunikačním nástrojem výborná věc.

[Matysek]

VNC a porty kterych to funguje jsou blokovane. Mimotoho tam bude urcite NAT a lze velmi tezko pristupovat pres kolejni FW na konkretni vnitrni adresu. Tohle meli vzdy blokovane. Tohle bude takrka nepouzitelne. Navigace se zvukem znam a Skype tam mit patrne bude, jinak mi bude vykecavat po telefonu a ja se pak pujdu zastrelit az prijde faktura. VNC je dosti derave, to uz je lepsi SSH, ale nedelam si iluzi a uprime receno po zkusenostech z fi.muni bych ani tohle nerad mel..

[Bubla]

Možná nejlepším řešením by bylo najít si přítelkyni, která nemá IQ houpacího koně...

[LGA]

Možná nejlepším řešením by bylo najít si přítelkyni, která nemá IQ houpacího koně...c/quote]

Tak to jsem chlel puvodne rict taky! Bohuzel to neni reseni.
Pro toho kdo uz s PC dela nejaky ten patek, je vetsina veci uplne automatickych.
Ja treba kdyz stahnu nejaky novy software tak na to taky chvili cucim jak tele.
Dam priklad: Po instalaci XP jsem vypnul firewall, protoze mam Kerio. A ted kdybych ho chtel zapnout tak nevim kde a chvili by me jiste trvalo nez bych to nasel.

> to Matysek:

Tvou pritelskymi bych prirovnal k tomu, kdo by chtel po udelani autoskoly jezdit s F1.

[Matysek]

Umyslne to prehlednu a nebudu to brat jako neco, co se me dotyka.
Jsou lide a jsou i lide, kteri ac jsou velmi vzdelani a v pravem slova smyslu genialni, nedokazi preci jen vse. Existuje mnoho oboru, ktere vyzaduji opravdu hodne inteligence a studia, ale pritom s takovym clovek hledate po telefonu verzi Windows nebo jestli sviti sitova karta, protoze on to proste nevi.
Je uzivatelka a co potrebuje je psat textu, tisknout, pracovat s grafikou, prehravat si hudbu, video, komuniukovat a pouzivat sit internet. Nic vice ona nepotrebuje. Beru to tak, ze nekdo umi tohle jiny zase tohle. Ackoliv mohu rici, ze jsem na podstatne vyssi urovni znalosti v teto oblasti, nemam na jeji znalosti a schopnost prace s grafikou jako je Photoshop a Illustrator ci Corel Draw. Proste ja to neumim, protoze jsem to nikdy nedelal a nikterak me to ani nezajima. Nemam ani to spravne "citeni" pro grafiku. Ona neni radoby prebornik, ji uplne staci, ze umi s pocitacem co umi, ci co se musi naucit a vice nepotrebuje, protoze to bere jinak, nez my. Ji to nebavi jak me, ale ona na tom jen pracuje, vypneto a jde se venovat necemu uplne jinemu, protoze k tomu nema zadny vztah, nez-li je pouze vyuzivat. To jak pracuje system apod ji absolutne nezajima, ze je neco skodliveho je ji jedno, protoze chce jen pouzivat a mit to v poradku .... tak jako vetsina lidi. Proc by mel sekretarku nejakeho podniku zajimat napr. novy mailovy cerv, kdyz je to prace admina. Tohle nikdy dost lidi nepochopi, pritom je jenom dobre, ze se do toho ani neplete, protoze by vice zkazila a je uplne jedno, ze je to zena. Kdzy se podivam nekdy do diskusi, jaci prebornici radi, tak je mi zle.

Sam mam sve predstavy o tom, co tam mit bude, ale snazim se ziskat vice informaci a predevsim by me zajimal nazor nekoho, kdo by toto jiz resil v praxi.
Takoveto mini reseni jsem nikdy nerealizoval, protoze jsem zvykly na masivnost Mail server se spamassasin, vse co neni potreba praci je zakazano a v komunikaci si uzivateli jsem spise jen s temi pokrocilejsimi, kteri i neco vedi.

-----
Nezajimaji me narazky na inteligenci, protoze je to hloupost a dosti mi to vadi. Prirovnal bych Vasi narazku: narodi se Vam postizene dite, ktereho se proste zbavite tim, ze ho date do ustavu a poridite si jine.... jenze tohle neni zadne reseni a dosti tvrde se Vam v tomto smeru postavim, pokud bude neco podobneho jeste padat na jeji adresu.

[Levlard]

V tomto případě by nejspíš bylo nejlepší zvolit nějaký kompletní balík.
Doporučuji F-Secure Internet Security.
Tady je i možnost objednat si zdarma půlroční licenční klíč.

Antivir je to výborný - obsahuje jádra a aktualizace Kasperskyho i F-Protu. Heuristika dobrá díky Kasperskymu, s Outlookem pracuje a má i automatické aktualizace.
Antispyware - obsahuje vlastní verzi Ad-Aware a opět díky Kasperskymu s jeho rozsáhlou databází nevirových hrozeb je to perfektní ochrana.
Firewall i rodičovský dohled jsou také na vysoké úrovni.

[oooooooooo]

V prve ředě bych pomocí nlite vytvořil instalační cd windows v němž by potencionálně nebezpečné služby vůbec nebyly, tím pádem může dělat co chce a nezapne je to je základ,navíc projdu volby během vytváření a v security nastavím další věci které tam potom zůstanou natvrdo a rovněž je nelze měnit.No a samozřejmě poté řeším ostatní AV,Fw -zde jsem spíš pro jednotlivé aplikace místo komplexního řešení pokud už mám upravené cd v nlite.Kerio,antivir dle možností zdarma asi avast placený zřejmě nod.Poté bych kombinoval asi Spy bot a protowall který bych nastavil na automatický start při spuštění OS a blokování trojan site-těch možností je spousta v kombinaci s blocklist managerem a je to dost spolehlivé i když netradiční řešení.

[Matysek]

Zeptam se jinak, jaky je rozdil mezi balikem NIS2006 a F-Secure 2006 ?
Cenu necham byt, protoze to stejne koupim, aby to vydrzelo ony 2 roky.

[Levlard]

Oba jsou to výkonné bezpečnostní systémy, jen Norton se všeobecně nedoporučuje z hlediska až moc velké zaintegrovanosti do Windows a také zpomalení počítače.
Dalo by se říci, že F-Secure je celkově o něco dál v zabezpečení, možnostech, jednoduchosti. Jinak toto Vás celkově provede možnostmi F-Secure Internet Security.

[Matysek]

Diky.
oooooooooo s tim jsem tak trosku pocital. Primarne mi slo o to, jaky SW, v tom jsi nejsem jist. Sluzby atd jsou samozrejmost. Jeste premyslim, zda nevytvorit recovery CD, ktere by dalo zpet do deafultu to, co ji tam nastavim. Tedy s veskerym sowftem a nastavenim - prakticky jako ISO.

Projit hlavou si jeste necham, jake reseni FW, AV, SPY atd. Prohlednu si ruzna fora a zhodnotim si, co se tam koupi. Proakticky mohu zkusit pul rocni klic a pokud se neosvedci, tak si koupim neco jineho.

Jeste jednou diky.

[a]

EDIT:
na 98% to vyriesi antivir(nod, nastaveny tak aby sa nedal vypnut), firewall(okrem povolenych vsetko zakazat - hlavne vypnut learning mode, pretoze so skusenosti so sestrou, uzivatelia zvdy klikaju na prve tlacitko a to bohuzial vzdy byva yes/install/permit), mozilla(adblock + zablokovat popup okna) a prava na users(nainstalovat jej vsetky programy ktore by za ten rok mohla potrebovat, aby nemusela nic instalovat a nastavovat).

[Matysek]

Jde mi o SW....ne o to, co tam bude jak nastavene. Hlavne ja to potrebuji blbuvzdorne, coz asi iptablesy, cisco, spamassasin, clamav atd tady nepujde
U vnc ... hm mozna tunel, i tak ssh je lepsi.

[Eva_M]

Umyslne to prehlednu a nebudu to brat jako neco, co se me dotyka.
Jsou lide a jsou i lide, kteri ac jsou velmi vzdelani a v pravem slova smyslu genialni, nedokazi preci jen vse. Existuje mnoho oboru, ktere vyzaduji opravdu hodne inteligence a studia, ale pritom s takovym clovek hledate po telefonu verzi Windows nebo jestli sviti sitova karta, protoze on to proste nevi.
-----
Nezajimaji me narazky na inteligenci, protoze je to hloupost a dosti mi to vadi. ... dosti tvrde se Vam v tomto smeru postavim, pokud bude neco podobneho jeste padat na jeji adresu.

Matýsku, hezky jsi to napsal Nedej se! Mám kupu kamarádek, pro které je počítač buď pouhý pracovní nástroj (kterému nerozumějí ani rozumět nechtějí) nebo se dokonce PC téměř bojí. A přesto to jsou skvělé ženské, fantastické matky, výborné kuchařky, některé jsou fakt dobré umělkyně, jiné pečují o handicapované lidi a jsou tak trpělivé a laskavé, že se divím, že ještě nemají okolo hlavy svatozář... A nemusíme jít do extrémů... stačí mít doma dvě až příliš čiperná dítka a umět se o ně postarat 24 hodin denně 7 dní v týdnů, i když jsou mrzuté, nemocné... Kdo z "ajťáků", kteří se tu vyvyšují nad Matýskovu přítelkyni, by tohle dlouhodobě zvládl?

Každý jsme jiný a to je krásné, ne? Kdybychom byli všichni stejní, byla by to dost otrava Vzájemné odlišnosti obohacují nás všechny

[oooooooooo]

na 98% to vyriesi antivir, dobre nastaveny firewall, mozilla a prava na users.

nato ze si firemny admin a poznas principy bezpecnosti z linuxu sa mi to zda divny dotaz..

No jo prava na users to vyresi bohuzel pokud ten dotycny bude potrebovat delat neco pod adminem bud je znaly a prepne se nebo nechape proc to nejde,spis minimalizovat skody ktery neznaly clovek muze napachat ,nebo muzou jemu pokud pracuje jako admin.Rek bych ze kdo vi ze vubec existuje neco jako admin a user nepotrebuje aby mu nekdo konfiguroval PC ohledne bezpecnosti.