Вы задумывались, почему Microsoft выпускает исправления безопасности для всех своих ОС в один день? Бюллетень безопасности Microsoft от 13 мая 2014 года не содержит заплаток для Windows XP, но это вовсе не означает отсутствия новых уязвимостей в этой системе. Сегодня я хочу обсудить риски работы в ОС после окончания срока ее поддержки.
Эта запись продолжает летнюю серию статей о безопасности, начало которой положил рассказ о бюллетенях Microsoft. Поскольку я не пишу об XP, мало кто из постоянных читателей работает дома в этой системе. Предположу, однако, что многие из вас все еще сталкиваются с ней у друзей и знакомых, а также по месту работы или учебы, потому что до сих пор ее доля составляет четверть ОС Windows.
[+] Сегодня в программе
- Почему старые защитные механизмы не являются панацеей
- Почему в новейших продуктах закрывается меньше уязвимостей
- Почему Microsoft выпускает обновления безопасности для всех продуктов в один день
- Как быстро появляются эксплойты
- Будут ли появляться новые эксплойты для Windows XP
- Так ли страшны эксплойты операционной системы
- Стоит ли устанавливать на Windows XP обновления от версий Windows XP Embedded
- Как укрепить защиту старой ОС
- Резюме
- Дискуссия и опрос
Почему старые защитные механизмы не являются панацеей
С течением времени полезность старых защитных механизмов снижается, но не потому, что они становятся менее эффективны сами по себе. Дело в том, что злоумышленники учатся обходить их, адаптируясь к условиям, в которых эти механизмы работают. Хорошим примером этого тезиса служит DEP (Data Execution Prevention), описание которого простыми словами пока еще есть в справке Windows.
На диаграмме выше синим цветом обозначены уязвимости, для которых были выпущены эксплойты, чье действие свелось бы на нет включенным DEP. Зеленым цветом обозначены уязвимости, эксплуатации которых DEP воспрепятствовать не смог.
Эти данные Microsoft показывают, что начиная с 2009 года, все больше и больше уязвимостей эксплуатируется в обход DEP. Компания также наблюдает схожий тренд с механизмом ASLR, который обходится за счет атак на ресурсы, не укрывшиеся под его зонтом.
Почему в новейших продуктах закрывается меньше уязвимостей
В прошлый раз я показал, что за последние 12 месяцев в новейших клиентских операционных системах Microsoft было закрыто значительно меньше уязвимостей, чем в предыдущих. Конечно, новые ОС меньше распространены, а посему не представляют столь острого интереса для злоумышленников.
Однако Microsoft определенно усиливает защиту, принимая во внимание направления атак на свои продукты, что затрудняет эксплуатацию изъянов в безопасности.
Компания классифицирует уязвимости по типу эксплуатации, и на диаграмме ниже представлено распределение этих классов в клиентских ОС, для которых были выпущены эксплойты с 2006 по 2012 годы.
Здесь хорошо видно, что внимание злоумышленников смещается в сторону эксплуатаций уязвимостей двух классов:
- Use after free. Уязвимость эксплуатируется, когда к объекту происходит обращение после его освобождения. Злоумышленники используют такие уязвимости, чтобы вынудить программы использовать свои значения, добиваться падения программ или удаленного выполнения кода. Именно этот класс чаще всего эксплуатируется в атаках на Internet Explorer. В Windows 8 на борьбу с этим отряжена технология Virtual Table Guard.
- Heap Corruption. Уязвимость эксплуатируется путем повреждения состояния данных приложениях, которые хранятся в его куче (heap). Нередко это достигается путем переполнения буфера кучи, что затем позволяет взять под контроль работу программы. В Windows 8 для противодействия таким атакам предусмотрен механизм Heap Hardening.
Вполне очевидно, что новые защитные меры являются следствием гонки вооружений между изготовителями ПО и злоумышленниками.
Использование самой современной ОС в первую очередь снижает риск эксплуатации уязвимостей Zero Day, о которых компании пока неизвестно, либо она еще не успела выпустить исправление системы безопасности.
Подтверждение этому тезису вы увидите дальше. Если же сравнивать защитные механизмы Windows XP и Windows 8, то получится вот такая картина, которую подробно разобрал Руслан Карманов.
Почему Microsoft выпускает обновления безопасности для всех продуктов в один день
Нередко один бюллетень затрагивает все продукты линейки, выпущенные в разные годы (например, от Windows XP до Windows 8). Понятно, что подготовка исправления и его тестирование на разных продуктах могут занимать различное время, но бюллетени и заплатки выходят строго в один день.
Тем самым Microsoft нивелирует эффект от обратной разработки исправлений, которая неизбежно начинается после их выхода в свет.
Другими словами, если выпускать, например, исправления для Windows 7 через месяц после заплаток для Windows 8, то к этому моменту эксплойт для уязвимостей Windows 7 с XI = 1 уже будет давно готов.
У Microsoft есть статистика по уязвимостям, позволяющим удаленное выполнение кода (RCE). На диаграмме ниже расклад появления эксплойтов к таким уязвимостям в различных продуктах Microsoft относительно времени выхода исправления безопасности.
Обратите внимание на два момента:
- Количество уязвимостей Zero Day (целеный цвет на диаграмме). Это прозрачный намек на то, дополнительная защита не помешает, а наиболее эффективна она в новейшем ПО.
- Рост числа эксплойтов после выхода обновления в последние годы. Здесь просматривается влияние обратной разработки обновлений, поэтому устанавливать их нужно как можно скорее.
Как быстро появляются эксплойты
У Microsoft есть чуть более свежие данные по тем же уязвимостям RCE, откуда можно извлечь дополнительные сведения о скорости появления эксплойтов. Красный цвет на диаграмме ниже обозначает уязвимости Zero Day с известными эксплойтами, а оранжевый – эксплойты, появившиеся в течение 30 дней после выхода исправления безопасности. Из рисунка видно, что если эксплойт появляется на свет, то в подавляющем большинстве случаев это происходит в пределах месяца после выхода бюллетеня безопасности (красный и оранжевый цвета в совокупности).
Опросы в предыдущей статье показали, что среди читателей блога автоматически устанавливают обновления 46% владельцев Windows 8.1 и лишь 30% пользователей Windows 7. Остальные выжидают и выбирают….
Если вы не установили исправление в течение месяца после его выхода, с большой вероятностью уже существует вредоносный код, позволяющий проэксплуатировать уязвимость в вашей ОС.
Исходя из своего опыта, могут сказать, что ручной контроль над процессом даже в случае использования Windows Update ведет к задержкам с установкой обновлений. Система-то вовремя показывает уведомление о свежих обновлениях, но мало кто сразу же подрывается их устанавливать…
Будут ли появляться новые эксплойты для Windows XP
Всенепременно! Поскольку Windows XP больше не будет фигурировать в бюллетенях безопасности, мы уже не услышим из уст Microsoft, подвержена ли система той или иной уязвимости. Однако можно косвенно оценить этот аспект. Напомню, что за последние 12 месяцев Windows XP отметилась в 45 бюллетенях, а Windows 7 и 8 / 8.1 в 46.
Windows XP фигурировала в одном бюллетене с Windows 7 и/или Windows 8/8.1 в 38 случаях!
Эти данные свидетельствуют о том, что большинство уязвимостей ОС Windows обнаруживается в коде, унаследованном из предыдущих ОС. Так, Windows 7 и Windows 8/8.1 одновременно присутствовали в одном бюллетене в 44 случаях из 46.
В случае же с конкретными исправлениями безопасности можно очень легко и с минимальной погрешностью определить, подвержена ли Windows XP той или иной уязвимости.
- Откройте бюллетень безопасности (например, MS14-027).
- Раскройте узел «Подвержены и не подвержены уязвимости». Под каждой ссылкой есть семизначный номер статьи базы знаний (в этом примере – 2926765).
- Откройте IE, перейдите в каталог центра обновлений Windows и выполните поиск по номеру статьи базы знаний.
Если в списке продуктов присутствует Windows XP Embedded, вероятность уязвимости в Windows XP будет близка к 100% ввиду общего кода этих ОС.
Я думаю, что сейчас XP является привлекательной мишенью для атак – пользовательская база еще весьма велика, официально обновления уже не выпускаются, а обнаруженные уязвимости поможет проэксплуатировать обратная разработка обновлений.
Так ли страшны эксплойты операционной системы
Не стоит переоценивать значение уязвимостей в операционных системах для злоумышленников. Да, эксплойты ОС включаются в наборы для атаки (это фактически теневое платное ПО), но превалируют в них атаки на уязвимости Java. Специалисты Microsoft проанализировали данные из стороннего источника Contagio Exploit Pack Table и свели их в диаграмму.
У Microsoft есть и свои данные, укладывающиеся в этот тренд, а я уже давно советую читателям блога вовремя обновлять сторонние программы, а Java не ставить без производственной необходимости. По данным Лаборатории Касперского, в 2013 году среди эксплойтов, заблокированных продуктами компании на всех устройствах, 90% были нацелены на уязвимости Java.
Специалисты ЛК утверждают в своем отчете применительно к атакам через Интернет:
Основной способ атаки – через эксплоит-паки – дает злоумышленникам практически гарантированную возможность заражения компьютеров, если на них не установлена защита и имеется хотя бы одно популярное и уязвимое (не обновленное) приложение.
Обратите внимание, что по данным ЛК, процент эксплойтов для ОС Windows и ее компонентов вовсе не нулевой, а если отбросить Java, Windows лидирует в качестве цели для атак. Это значит, что только установка обновления для приложения или ОС гарантирует конструктивное устранение уязвимости и защиту от ее эксплуатации.
Стоит ли устанавливать на Windows XP обновления от версий Windows XP Embedded
Недавно Интернет захлестнула волна сообщений о простом твике реестра, позволяющем устанавливать на Windows XP исправления системы безопасности от различных версий Windows XP Embedded. Соответственно, вопросы на эту тему возникли в комментариях и почте.
Здесь есть два аспекта – лицензионный и технический. С первым все понятно – лицензия такого не позволяет, но это мало волнует домашних пользователей, сидящих на сборках XP. С технической точки зрения общий код XP и версий Embedded действительно позволяет установить исправление и, наверное, даже закрыть уязвимость.
Но надо учитывать, что исправления не проверялись на XP. Microsoft могла тестировать аналогичные исправления для XP, которые она распространяет для корпоративных клиентов, заплативших за дополнительную поддержку. Но, конечно, обсуждаемый сценарий не проверялся, поэтому что-нибудь может пойти не так, и вы действуете исключительно на свой страх риск.
Я давно и последовательно придерживаюсь принципа, что для безопасной и стабильной работы нужно действовать в соответствии с рекомендациям изготовителя ПО, а не вопреки им.
Поэтому я не могу посоветовать вам такой подход. Избрав его, вы все равно будете защищены хуже, чем на Windows 7 или Windows 8.1.
Как укрепить защиту старой ОС
Даже если вы устанавливаете все обновления, при использовании старых программных продуктов очень полезно не ограничиваться минимальным уровнем рекомендуемой защиты. Дальше я разберу несколько типичных заявления на тему защиты ПК.
А мне наплевать на защиту
Василий Гусев недавно рассказывал, как во время поездки в такси не смог убедить водителя в необходимости иметь антивирус. У того на все был готов ответ: ценных данных у меня нет, винду проще переставить, а мои друзья не дураки – сами распознают подозрительные ссылки или вложения в моих письмах. Перспектива стать частью ботнета его тоже не смущала.
Я уверен, что логически убедить такого человека невозможно, но я бы предложил аналогию в понятной ему плоскости – плюешь на ПДД, ездишь как баран и гордишься этим :) Кстати, об антивирусе.
А у меня есть антивирус
И это правильно! Но нужно понимать, что антивирусы вообще не гарантируют 100% защиту от вредоносных программ, а о новых угрозах узнают с задержкой. Кроме того, бесплатные антивирусы, работающие на стороне клиента, обеспечивают минимальный уровень защиты, включаясь в дело уже после того, как «зловред» проник на ПК.
В условиях недостаточной защиты ОС нужно применять более широкий арсенал средств для борьбы с вредоносными программами, особенно распространяемыми через Интернет. В идеале их загрузка и запуск должны блокироваться еще до срабатывания резидентного антивируса.
За это у Microsoft отвечает фильтр Smart Screen. В Internet Explorer он использует сочетание базы вредоносных ссылок и репутации файлов, а в Windows 8 способен препятствовать запуску исполняемых файлов, загруженных в любых браузерах. В ЛК тоже уделяют большое внимание развитию веб-антивируса, опирающегося на возможности Kaspersky Security Network. В 2010 году с его помощью блокировалось 60% распространяемых через Интернет «зловредов», в 2012 – 87%, а в 2013 году уже 93%.
Мораль в том, что недостаточную защиту системы нужно усиливать не бесплатным антивирусом, а комплексным защитным решением, которое с помощью облачных технологий блокирует эксплойты еще до их запуска.
А у меня есть голова на плечах
Вообще, голова служит для разных целей – например, некоторые ей просто едят. Конечно, авторы таких заявлений имеют в виду, что они достаточно опытны, чтобы избежать компрометации системы и личных данных. Нередко такие высказывания можно услышать от людей, не пользующихся антивирусом.
Я считаю, что если у человека есть голова на плечах, то он должен понимать слабость защиты устаревшей системы, т.е. предпринимать адекватные меры для ее усиления или переходить на более защищенную ОС.
Например, голову стоит приложить к настройке SRP или установке EMET (для XP – EMET 4.1). SRP исключает запуск запрещенного кода, но надо разбираться в настройке. EMET значительно повышает планку защиты ОС и даже обладает графическим интерфейсом.
Специальный выпуск: О роли головного мозга в защите операционной системы
Резюме
В заключение я хочу повторить некоторые тезисы этой статьи:
- злоумышленники научились обходить старые защитные механизмы
- ко многим уязвимостям эксплойты выходят в течение месяца после выпуска исправлений, чему способствует их обратная разработка
- новые эксплойты для XP обязательно будут включаться в наборы для атаки
- защищать старую систему нужно не бесплатным антивирусом, а как минимум комплексным защитным решением (еще лучше — SRP или EMET)
В новых ОС закрывается меньше уязвимостей, потому что их защитные механизмы совершенствуются с учетом направлений атак. Я всегда пользуюсь новейшими программными продуктами Microsoft, в том числе и потому, что считаю это более безопасной практикой. Однако любую ОС и все популярное ПО необходимо обновлять максимально быстро. У меня включено автоматическое обновление Windows, а Java и Adobe Reader я не устанавливаю, чтобы уменьшить поверхность атаки.
При подготовке статьи я использовал эту литературу:
- Microsoft: Software Vulnerabilities Exploitation Trends (PDF)
- Microsoft Security Intelligence Report: Exploitation Trends
- Kaspersky Security Bulletin 2013. Основная статистика за 2013 год
Дискуссия и опрос
Мой последний опыт работы в XP два года назад закончился публикацией записи 10 причин, по которым я не могу работать в Windows XP и одним из самых жестких холиваров в блоге, а уж оценки комментариев особенно доставляют :) С тех пор я живую XP видел лишь несколько раз, но думаю, что многие из вас сталкиваются с ней чаще, хотя в качестве основной домашней ОС используют единицы (содержимое блога определяет его аудиторию).
Расскажите в комментариях, где вы сталкивались с XP в последний месяц, и какие меры предпринимаются там для ее защиты по окончании срока поддержки. В опросе можно выбирать несколько вариантов ответа, но последний не сочетается с остальными.
Результаты голосования утеряны в связи с прекращением работы веб-сервиса опросов.
У нас на работе почти на всех компах стоит, поэтому, как исполняющий и функции сисадмина, сталкиваюсь постоянно. Для защиты стоит симантек, применяются корпоративные политики, на прокси и почтовом сервере какие-то ограничения вроде невозможности загрузки исполняемых файлов (я работаю в большой конторе и централизованные сервисы не админю, поэтому точных настроек не знаю). В общем-то ничего вроде не пролазит, пару раз только пользователи хватали смс-локеры, но, т.к. работают из-под ограниченных учёток, удалить заразу было легко.
ЗЫ. Когда приходится ставить ХР, блевать тянет от умолчальных обоев, они мне ещё в далёком начале нулевых сразу же не понравились, а сейчас и вовсе на дух не переношу :)
В XP юзеры работают с ограниченными правами? Редко такое слышу вообще, а уж про ХР тем более.
Ну а чего неожиданного? :) Такая политика ИТ, правильная и результативная. Все пользователи являются локальными простопользователями, в т.ч. и я, для админства мне выдана отдельная учётка с правами локального администратора.
В мелких конторах и дома конечно вряд ли кто-то так делает: императив такой, да и установщик системы сам включает первоначального пользователя в группу администраторов, а в первом случае ещё и эникейщику, даже если он что-то там про права слышал, лень мучаться с перелогином при необходимости что-то поставить или настроить.
Неожиданно то, что все бизнес ПО корректно работает в таких условиях.
А, ну случалось всякое, но нынче у нас всё больше как-то ПО или стоит на терминальном сервере, или пользуется через веб-морду, которой надо только разве что яву. Так-то ещё полшага осталось до того, что и винда-то будет необязательна :)
Да, Remote App решает много проблем с несовместимостью ПО.
Ну видать админам платят не зря :-)
Я уже давно так работаю. ПО приспособилось к работе с ограниченными правами благодаря висте и далее с УАЦ и прочим, поэтому проблем нет. Разве что календарь не вызвать- настройка времени запрещена, и даже посмотреть нельзя)))
Виталий, я говорил о бизнес ПО, а не домашнем.
Есть много вариантов для бизнес ПО как автоматизировать запуск от имени администратора под пользователем (AutoIT и т.п.) :)
Вот у моих на XP тоже права обрезаны, кроме бухгалтерских компьютеров. Из-за криворуких программистов, которые пишут клиент-банки и прочую бухгалтерскую ерунду. А вообще уже конечно тошнит от этой системы с её багами, заморочками и ограниченностью. А чего стоит десяток дистрибутивов под каждое поколение серийных номеров…
На работе порядка пятнадцати ПК с Windows XP, но в ближайшее время ничего не изменится и люди продолжат ими пользоваться. Причем дело даже не в том что нет денег на ОС, сколько в том, что начальство не желает ставить новую Ось на старые компьютеры, которые при поломке скорее всего просто утилизируют. К тому же придется останавливать рабочий процесс. И еще столкнулись с тем, что на win 8 отказалась ставиться старая версия офиса (пришлось купить версию 2013). А это уже гораздо бОльшие затраты на лицензионное ПО. Вообщем, не помешало бы какое-то комплексное предложение-программа перехода на новое ПО от Microsoft, чтобы снизить затраты. До тех пор вряд-ли что-то сдвинется. Будут ждать смерти железа и менять по схеме «Современное железо+Новая ОС+Новый офисный пакет».
Юрий, т.е. в идеале Майкрософт должна оплатить новое железо? :)
Просто сделать поддержку старых версий продуктов в новых. А то получается смешно, когда 2007 офис не понимает документы от 2003 :)
В смысле «не понимает»? Office 2007+ поддерживает DOC.
Если я правильно понял, Юрий писал о том, что хотелось бы от Микрософта Windows+Office вместе и со скидкой, чтобы было дешевле, чем покупать поотдельности.
Отметил другое. Я всё ещё держу ХР(про + домашняя) в виртуальных машинах для answers.microsoft.com.
А необходимость в этом какая, можно поинтересоваться?
Илья, очевидно, Влад помогает владельцам XP на форумах.
Я такого не писал. Очевидно что никто не требует такого от MS, зачем передергивать? Программа перехода на новое ПО, подобная той, когда предлагали с существующих лицензий переходить по льготным ценам на windows 8, вот о чем речь.
Юрий, аналогичная программа была и при окончании срока поддержки XP — скидка $100 при покупке нового ПК (наверное, не во всех странах). Но это все для домашних пользователей.
Ну ок, допустим, вам сделают скидку на ПО. Вы поставите 8.1 на железо, смерти которого ждете?
Вадим, никто не будет ставить на старое железо, будет куплено новое. Я не понимаю почему вы вцепились в это железо, cуть не в нем, это же мой частный случай. Речь о том, что после завершения поддержки win XP нет никакой инициативы от Microsoft простимулировать переход на новую ОС. Они предлагают брать по полному ценнику заново, поэтому бизнес продолжит сидеть на XP.
Юрий, я не вцепился в железо, но я считаю это важным фактором, потому что у вас старые ПК, а вы собрались на Windows 8.1. Мне неизвестно, есть ли скидки, но я попробую узнать у маркетологов. Отмечу в скобках, что ваша организация и так неплохо сэкономила, поскольку не обновляла ОС уже лет 10 :)
А при чём тут, собственно, экономия за 10 лет? «Оно» работает! Для начальства нужна мотивация и очень весомая, что бы сменить ОС (а за ним и ПО). Но за эти ваши 10 лет, кроме 7ки альтернатив особых не было, так что работа Win XP отлажена и отшлифована, порой сами админы не хотят что-то менять (нафига на ровном месте создавать геморой?). Причём железо, кстати, меняется чаще, так что вместо пеньков и целеронов работают их более продвинутые особи, ввиду удешевления оперативки, её объём вырос, что повысило общую производительность (как паример). Админ скорее уломает начальство на хороший хард для бэкапов, чем на замену лицензионной винды… А про защиту скажу так: нет и не будет хорошо защищённой ОС (да, да и уникс тоже, хотя рулит без вариантов), есть хорошо защищённая сеть. Здесь применимы гораздо большие возможности защиты и по ограничению прав, трафика, скриптов и пр… вплоть до аппаратной защиты данных. Всё что вы пишите — актуально только для домашнего пользователя! Но. Именно парк офисных машин держит ту часть ХР, которая ещё осталась в живых…
Справедливости ради, скажите, вы реально верите, что мерилом надёжности является время, эти 10 лет? Логичнее было бы усовершенствовать код, пусть это и стоило бы клиенту неких расходов. Но выбрасывать работающую вещь и покупать новую только потому что «модно и современно» (как там? в тренде?)… Особенно актуально для ПО, где апгрейдом может служить простое исправление ошибок. Другое дело новые возможности (которые край как нужны, но к старому коду их не прикрутить ну никак…), тогда взвесив все, можно решиться на апгрейд системы. Или купить ПК с предустановленной 8кой… :) А так, для обычного офиса — ХР пока что вполне годная система. Кстати, очень многие программы научились работать, удалённо на серверах (на которых вообще не винда). Для клиентской части достаточно браузера… ну и на фига козе баян?
Так я и пишу для домашних пользователей, здесь и вообще. Это вы доставляете мне аргументы с колокольни организаций :)
Юрий, а почему никто не станет ставить на старое железо? Если потом железо полетит, то можно же потом эту лицензию переставить на другое железо (неоднократно ставил). Восьмерка поддерживает старое железо очень даже хорошо ( у самого материнка 2007 года). Да и можно же поставить сначала без лицензионного ключа — проверить совместимость железа, а потом прикупить ключ!
Но соглашусь, что преференции легальным пользователем старых версии перед простой покупкой новой ОС надо давать.Так при выходи Восьмерки (первые три месяца), переход на нее стоил 1100 рублей для всех, и около 500 рублей для недавно купивших Семерку. Что странно: покупка в компьютерном магазине лицензии сейчас немного дешевле чем через сайт Mайкрософта.
Познавательно, хотя с XP никогда не сталкивался, первый домашний компьютер брал с семёркой на борту. Как только появилась возможность купил Win 8 и сразу же после выхода 8.1 обновился. Любому здравомыслящему человеку ясно, что новые ОС хоть и не без недостатков, но надёжнее и безопаснее, если не использовать компьютер только в качестве игровой консоли, тогда да, проще не заморачиваться в случае чего, а сразу переустановить XP :). Предпочитаю не обращать внимания на холивары и прочие -вары в отношении новых ОС, поскольку в подавляющем большинстве случаев они касаются изменений в интерфейсе, а серьёзной аналитики нет(точнее не было на момент покупки 8, а сейчас в принципе не интересно). Давайте будем ездить на ВАЗ, потому что привычно, даже если есть возможность купить Тойоту.
Вот и выросло поколение пользователей, которые никогда не сталкивались с XP :)
На работе два ПК с Windows XP. И установлена эта версия ОС потому, что мы используем специфический софт написанный для определенного специализированного оборудования. Новых версий этого ПО не выходит, естественно пользуемся тем что есть. Понятно, что защита для таких ПК нужна. Используем такую связку: ограниченная учетка пользователя + SRP + антивирус + запрещены все USB носители кроме разрешенных ( настройка GPO) и ПК с Windows XP не подключены к Интернет. Домашние пользователи XP, с которыми я сталкиваюсь, это определенный психотип. Аргументы в пользу ОС: меня все устраивает, не глючат определенные игрули и программы, 7-ка глючная (!), 8-ка «конченая» и не для людей. И еще 98% пользователей ХР пользуются мегасборками (зверь, факюбилл и т.д), а если что-то не работает (собственно почему зовут меня), то обвиняют во всем Microsoft.
Андрей, описанная вами защита вполне может компенсировать отсутствие исправлений. Фактически, угрозы идут из локальной сети и, возможно, почты, но SRP с этим должно справиться.
Данные ПК даже к корпоративной почте не подключены. Так, узкоспециализированные «машинки». У нас на работе другой холивар был среди пользователей: Windows 7 vs Windows 8. Все решилось загрузкой Рабочего стола по умолчанию и «кнопочкой ВЫКЛ.» и «перезагрузка». После выхода 8.1 Update 1 все затихло и умолкло
Зачем так пугать молодёж,»хрюша» вполне хорошая ОС. Нетребовательна к железу,занимает меньше места,а со всякой заразой можно бороться,если умеешь следить за своей системой.
Картинка к разделу «у меня есть голова» попала «в яблочко».
Спасибо, Артем, я старался :)
Александр, ну, рассказывайте, как вы ухаживаете за своей свиньей. Только ставьте пробелы после знаков препинания, это в правилах обсуждений написано.
Если верить тестам, опубликованным в инете, то 8 как минимум не нагрузнее ХР, разве что места на диске больше просит, а плане переустановки так она пожалуй даже проще будет (если сравнивать ванильные установочные образы), меньше ручных телодвижений и все они происходят в самом начале, потом всё крутится само.
Плюс мракетологическая политика МС такова, что новые DX подразумевают новые винды, поэтому игроманы (по крайней мере любители свежатины) на самом деле самая огороженная категория пользователей :)
ЗЫ. Использую винду именно для игровой консоли.
Согласен, но XP я привёл просто в качестве примера, среди тех кто использует компьютер в основном для игр и соцсетей достаточно тех, кто использует XP-лицензию и сборки и не будут заморачиваться покупкой 7, 8 и 8.1, если только создатели их любимых игрушек не откажут в поддержке XP. Я хотел сказать, что для многих из них вопрос безопасности совсем не актуален и они не заморачиваются обновлениями, их своевременной установкой… И тут уже не важно XP, семёрка, восьмёрка, 95…
Ну игры понятно, поставил и играешь, а вот соцсети вроде как раз неплохой рассадник всякой заразы, разве нет? :)
Верно. Вы это понимаете, я понимаю, и посмотрите каким количеством тех, кто подхватил всякую заразу как раз в соцсетях заполнены с просьбами о помощи разнообразные компьютерные и около- форумы? И их количество не уменьшается, среди них полно тех о ком говорилось в статье, мол голова на плечах, антивирус есть, я сам с усам, XP-форева, обновления нафиг не нужны, лишний раз боимся компьютер включить-выключить-перезагрузить, а потом ой что это? Вконтактик не входит, денежку требует, игра тормозит, провайдер говорит о каком-то левом трафике и грозит санкциями, а виновата кто? Это бесконечная история, такие люди были, есть и будут, они подобных блогов не читают, а если читают-суждения у них как у того таксиста.
Кирилл, хорошее замечание. Я как-то спрашивал у коллег с safezone.cc (выпускники их школы лечат на OSZone), каково соотношение новых и старых ОС у бедолаг. Ответ был не в пользу XP.
Конечно, гадость в браузеры ловят все, да и не в браузеры можно поймать. И статистики конкретной нет, но специалистам расклад очевиден.
Не совсем так, тестировал я демки 8-ки тажеловесней она хрюшки будет, даже 7 стартер была немного тяжеловата, хотя я не настраивал (не отключал) ничего в 8-ке
На данный момент, «сижу» на семерке, о чем не однократно говорил :-)
Но статью в целом поддерживаю. Сидеть на XP дома, это только если железо очень старое, и не играешь. Но таких людей мало.
Потому хочешь не хочешь, покупать новые комплектующие или полностью комп, все равно придется.
Ну и ждем выхода девятки. Чтобы полностью соответствовать теме статьи :-)
Использую такую связку: Голова + ограниченная учётка пользователя + SRP + EMET + ХР х64. Вирусов на эту версию ОС не выпускают в виду мизерной доли на рынке, а прочие меры не дадут работать тем, что есть. В последний раз с вирусом сталкивался достаточно давно, до настройки SRP с EMET и ограниченной учётки, вирус поразил 32 битные исполняемые файлы, самой ОС он ничего не смог сделать из- за своей 32 битности. Вылечил бесплатной утилитой от доктора веба и настроил связку вначале.
Виталий, да, это максимальная защита для XP, т.е. голова не для галочки :)
ХР можно защитить и без майкрасофта.
Установить гугл хром для интернета и антивирус (аваст или эсет)
**
Почитал про антивирусы, посмеялся.) Ещё есть люди которые пользуются двумя антивирусами одновременно!
Так же знаю людей которых не переубедить перейти на новую ОС, до сих пор на ХР работают играют.
***
Что касается меня лично, пользуюсь ХР для старой игры, в интернет на ХР не выхожу, для интернета использую 8.1.
Саня, ваших мер защиты недостаточно :)
Есть, на моей памяти было и больше (касперский+аваст, + не удаленный есет-нод)
Работать в ХР под учётной записью обычного пользователя всегда было безопасно, другое дело, что это практикуется в местах, где руководство и ИТ-персонал понимают, как должно быть. В большинстве же случаев проблемы из-за лени и раздолбайства как пользователей, так и программистов. Первые хотят «полный контроль над машиной», вторые не хотят разбираться, как правильно писать код с учётом уровней доступа, и требуют «админские» права для работы своих «шедевров». За более чем 20-ти летнюю практику общения с программными продуктами под линейку ОС от Майкрософта лишь очень небольшой процент ПО от большого количества, прошедшего «через руки», изначально корректно работал в условиях ограниченной учётной записи. Остальные обязательно требовали разнообразных дополнительных настроек и «костылей», чтобы всё заработало. Кстати и продукты самой Майкрософт не всегда «правильно» себя вели… Корпорация большая и левая рука не знает, что пишет правая нога :-).
Что касается новых ОС, то тут Майкрософт «кинул» много пользователей разной периферии — принтеров, сканеров и т.п., драйверов к которым в новых ОС нет и не предвидится. А существует весьма дорогое оборудование и оно работоспособно. Это помимо затрат на модернизацию РС (или вообще новые РС).
Классический пример — ИБП (UPS), сообщающийся с РС по последовательному порту: начиная с Vista, убрали поддержку… А блок то работает, и будет работать, только батарейки меняй. Но состояния питания уже не получишь, сигнал отказа тоже…
Так что корпоративный сговор: новый РС для новой ОС, да новый принтер, да ИБП совместимый, да (далее по списку)…
Типичное заблуждение. Microsoft не пишет эти драйверы, их создают изготовители оборудования, которые логично стремятся продавать новые модели устройств. В записи есть ссылка на каталог WU, поищите там драйверы и посмотрите, кто их создатель. Между тем, в Windows 7 гигабайт драйверов.
Что же касается принтеров, то модель V4 в Windows 8+ позволяет вообще обходиться без драйверов для базовой печати.
Собственно тут вина самой МС. В досе и виндах 9х система безопасности была никакая, как и в FAT (что сильно взаимосвязано). Это в достаточной степени развратило виндово-программистскую среду, чтобы это было не просто так вытравить даже в самой корпорации. Бойцы старой школы закостенели в своих привычках и передают их по наследству, молодняк неизбежно автоматически ориентируется на их мнение (даже многие из тех, что пытаются изображать бунтарство).
Серьёзные операционные и файловые системы имеют контроль доступа с тех времён, когда 95й винды не существовало (например, ext2 начали разрабатывать в 1993 года и там сразу внедряли ACL, как само собой разумеющееся). Сейчас 100% из тех, с какими я сталкивался, прикладных программ под линукс, запущенные от пользователя, пишут свои файлы только в его домашний каталог либо во временный каталог. Вот просто там традиция такая изначально, с давних времён, когда в процессе разработки случайных людей не было, и средний уровень интеллекта был в разы выше нынешнего.
Вы не представляете, КАК я их ненавижу. Любое «говноподелие», которые в массовом порядке идут в школы, требует «работы от администратора, отключения UAC, антивируса и брандмауэра», обязательно тащит с собой флеш 5-й версии, отказываясь видеть другие, вопит об отсутствии IE 6-й версии и самостоятельно ставит 4-й эдоб ридер. Мне 99% такого софта поступает.
Кстати, в школы до сих пор идёт софт «с поддержкой новейшей ОС Windows XP».
Солидарен с первым комментатором.
В парке осталось около 10 машин с XP из 80. Стоит симантек, уведомления по почте при наличии зловреда, уведомлялки, если кто скачает исполняемый файл. Права урезаны, а групповой политикой в локальные админы автоматом идет группа домен-админов. Все нормально, никто не жалуется. А мне не лень подойти и обновить флеш плеер или скайп какой-нибудь.
Полностью перейти на новую ОС думаю в ближайший год. Но сейчас это упирается в бюджет.
Илья, не лень ходить обновлять Flash м.б. на десяти ПК, а если их 100? :)
«Когда-нибудь я позволю флешплееру получать обновления автоматически…» :-D
Выбрал, как ни странно, домашний компьютер, сейчас объясню почему.
Есть дома древние компьютеры (2 шт.) которые жалко выбрасывать и лень попробовать продать на барахолке (такой вот я Плюшкин), для одного из них потолок — Windows Vista, для другого — XP (тупят, тормозят, но работают). Из соображений ностальнии на одном из них сейчас стоит Windows ME, что поставить на другой — пока не знаю (возможно налеплю недавно купленные OEM-наклейки от Windows 98 SE и Windows 2000 и поставлю упомянутые оси в дуалбут). В общем, XP на каждом из них имеет шанс оказаться. Вопросы безопасности для данных компьютеров меня никак не интересуют по понятным причинам (ценных данных не держу, переустановить не проблема).
На основном компьютере у меня Windows 8.1 с обновлением, на нём есть виртуалка Hyper-V с Windows 7, на которой уже есть Windows XP Mode. В эту матрёшку залазаю очень редко, из безопасности только включённые обновления и MSE (кстати для него под XP недавно выпущено «вредное» обновление, делающее значок в трее всегда красным — дескать ОС уже не поддерживается, а значит компьютер всегда под угрозой независимо от состояния антивируса).
Кстати, где-то полтора-два года назад работал узел Windows Update для 9x и 2000, сейчас уже не работает.
В чем тайный смысл гамбургера? XP можно поставить прямо на Hyper-V (на первое поколение ВМ).
Windows 7 получена путём миграции P2V, так что Windows XP Mode в нём просто унаследована. Установить XP на Hyper-V нет никаких проблем, я так делал не раз. Кстати, у меня зародилось сомнение, что на виртуальной машине у меня на данный момент установлен XP Mode, я его там неоднократно то создавал, то удалял. Домой приду — посмотрю. Просто на XP Mode я обычно устанавливал MSE, чтобы в трее красный значок не выскакивал.
Впрочем в виртуальной семёрке почти наверняка осталась виртуальная машина Windows ME в том же Windows Virtual PC, впрочем она мне тоже там не нужна. К слову, Windows 9x на Hyper-V не работает, хотя DOS работает.
У меня дома один из компьютеров с XP. :)
Правда, используется только в качестве сетевого хранилища данных. Была куча старого железа и несколько HDD. Собрал простенький комп, только блок питания новый купил, и помощнее. Нашлась, также, в ящике и WinXP HE (лиц.). Не пропадать же добру? Но, следует отметить, что к интернету он не подключается, только HDD «расшарены». Включается только когда надо туда что-нибудь закинуть, или взять оттуда.
На остальных (десктоп и два ноутбука) — «семёрка» (лиц.).
По наблюдениям — на домашних компьютерах, в основном, «семёрка», XP мало осталось, а вот в организациях — напротив, XP существенно больше. Ну, это у нас, в провинции (Вологда), а в крупных городах (и уж, тем более, Москва/Питер) статистика, конечно, другой будет.
У меня лично и практически на 90% компах на работе XP стоит, на новых стоят 7ка. В основном компьютеры старые поэтому и не меняется ничего. Касперский простой стоит. Руководство даже не задумывается об опасностях и т.п.
Честно говоря, полная анархия. а сисадмин приходящий ему тоже особо лень в это влазить.
«применяются корпоративные политики, на прокси и почтовом сервере какие-то ограничения вроде невозможности загрузки исполняемых файлов» наш сисадмин таких слов то не знает))
а дома у меня 7ка проф стоит, встроенный антивирусник
Либо деньги маленькие крутятся, либо не клюнуло до сих пор. Но в новостях время от времени проскакивает такое, что понимаешь, что даже в больших и денежных конторах таковая анархия бывает :)
Собственно на маленькие деньги наводит мысль факт приходящего админа. Большая обычно либо держит своего в штате, либо заключает договор со специализированной конторой. Впрочем ни то, ни то не гарантирует админа-непофигиста :)
Ну, видимо, да, не клюнуло. Насчет денег — не Газпром конечно, но и не маленькая контора. Я бы сказал так, компания за 7 лет, что я там работаю, очень выросла и по объемам и по количеству кадров, но подход остался прежним: в офисе уже 22 компа, а в инет выход через прокси на 1 компе, скорость у нас просто зашибись, бухгалтерам вот только недавно выделили отдельный комп под сервер для 1С, все имеющиеся принтеры подсоеденены к рабочим станциям, (к моему вот, например, самый используемый, достало постоянно видеть всплывающие окна о замятии бумаги или переверните и т.п.). На каждом из этих компов, я думаю, обновления программ и съедают половину трафика конторы. Менеджеру по продажам, чтобы выставить счет нужно идти на поклон в бухгалтерию, потому что чего-то там не стыкуется сеть, 1С и прокси-сервер, который стоит у него на компе, кто-то кого-то видит в сети, кто-то кого-то не видит, к кому-то можно зайти, к кому-то нельзя и т.п. И таких вещей полно, сам я в этом не профессионал, поэтому может быть и ошибаюсь, но ощущение, что что-то не так не покидает меня. И этот сисадмин уже там работал в то время. Компы и софт кстати тоже 7 лет назад поменяли после визита отдела «К».
Друг у меня работает в одной влиятельной фирме по софту в сфере ИТ безопасности, как-то с ним общались. После разговора с ним я понял, что у нас проходной двор в этом плане.
Замена XP на что-то новое приведет нас к полному коллапсу
Ну если этот офис всё, что есть — то таки контора невеликая (без обид, просто констатация факта).
Перевёл в себя почти все принтеры на ethernet и вздохнул спокойно, насколько меньше геморроя стало сразу.
У вас банальный бардак и проистекающий из этого крайне неоптимальный производственный процесс. Про безопасность я молчу, похоже её нет, а отсутствие проблем в этом направлении обусловлено тем, что есть что-то вроде безопасности через неясность, которая, буде ей столкнуться со злоумышленником, никогда никого ещё не защитила :)
Ну невеликая и ладно, я только про офис написал, есть еще несколько начальников строительных участков, производственный цех, рабочие, там компьютером пользуются единицы, про документооборот промолчу. Итого где-то человек 100 набирается.
«Перевёл в себя почти все принтеры на ethernet и вздохнул спокойно, насколько меньше геморроя стало сразу.»
Я правильно понял, что ты про сетевые принтеры? Если да, то я давно это предлагаю, но у нас решения о покупке чего-либо компьютерного принимаются через ж..у. Вон мастеру купило снабжение ноутбук в одном месте, софт в другом месте, пришел сисадмин настраивать — ноут на линуксе, софт на винде)))
Про бардак и остальное согласен
Ну да, просто понятие «сетевой принтер» часто понимается и в смысле расшаренного по сети локального принтера, поэтому выразился более конкретно.
Хоть у нас организация в прошлом регионального, ныне всероссийского уровня, но ситуация та же, не один год занял этот переход, но к этому стоило стремиться ибо как любой нормальный админ ленив в отношении вещей, которые можно оптимизировать либо автоматизировать :)
Где-то сразу была возможность, только провод протяни, где-то выбил сетевые карты, если в принтере было куда поставить. А где-то пришлось ждать, когда принтер износится до степени замены.
у нас в бухгалтерии 10 компов, все уровня пентиум 4 с 256мб оперы, в нет почти не лазят, только почту посмотреть и в одноклассниках посидеть)) думаю что если переходит на виндовс 8, то нужно и менять парк компьютеров, на что директор завода ответит отказом.
У меня на ноутбуке (второй ПК дома) стоит XP без обновлений и антивирусов, работает прекрасно и ничего менять не собираюсь.
1. Работает прекрасно + есть вторая ОС Ubuntu Studio.
2. Ноут относительно старый и именно на XP работает отлично: для прослушивания аудиокниг + интернет
3. Зачем новая ОС и выкинутая на ветер сотня-две $, если все мои функции выполняет старая? я даже обновления как поставил первый раз (если ставил вообще), а потом сделал резервный снимок системы — могу восстановить в любой момент.
Все, что вы говорите — это называется маркетинговая завлекуха. Если у меня есть велосипед и я по выходным езжу по делам, то мне не нужен тот же лисапед с дополнительными усовершенствованиями за дополнительные деньги. Мы живем в эпоху потребления и поэтому это наш бич (побольше новых вещей). Если человеку действительно нужна новая ОС, то пожалуйста, а если его полностью устраивает старое, то все ваши доводы не имеют никакого значения.
А аналогия упомянутая для таксиста абсолютно некорректна. Умышленное нарушение ПДД — это зло и может привести к горю и случайных прохожих и самого водителя, т.е. к греху и против людей и против Бога. А вот отказ от инсталляции навязываемого антивирусного ПО или обновлений — это личная воля каждого, здесь нет зла.
Вы лучше напишите кому выгодна разработка вредоносного ПО с графиками и диаграммами. Мода как и вредоносное ПО только усиливает вот эту эйфорию потребления и абсолютно не нужна потребителям (только отнимает время и средства), а является навязанной извне.
Артур, прокомментирую некоторые моменты.
Меня беспокоит ваше зрение — вы не заметили статистику.
А я предпочитаю ашанбайку хороший велосипед за дополнительные деньги :)
Здесь полно зла, потому что попав в ботнет, вы распространяете вредносные программы на компьютеры хороших людей и атакуете сайты добропорядочных граждан, повинуясь приказам злоумышленников.
Это интересная тема, кстати. Я подумаю, а вы пока подумайте, кому это выгодно.
К сожалению, парой сотен вечнозеленых не обойдешься.
Win 8.1 SL (коробочная) + MS Office 2013 Home and Business (коробочный) суммарно обойдется по стоимости средней офисной машинке (системному блоку) на i3-i5 процессоре. Два счетчика, шеф, два счетчика (с) :)))
Валерий, я думаю, что покупать коробочные версии несколько расточительно. Но если хочется накрутить цену в угоду своим аргументам, то таки да.
Ну да, ну да… MS же выпускает коробочные версии исключительно для новых русских. Прочих же же простаков, любителей халявы, но вынужденных в итоге платить дважды, они потчуют ОЕМ’ами…
Валерий, я не улавливаю смысл ваших утверждений за кучерявой риторикой. Выражайтесь проще и по делу, плиз.
Есть еще варианты, но в моем городе с таким проблема, дистирибюторов я не нашол, а покупать через сайт возможности нет — по крайней мере пока. А вот ОЕМ предлагают сейчас — вместе с … мышкой.
А почему ты слушаешь аудиокниги и лазишь в интернет именно через XP, а не Убунту? Нелогично как-то. Шарить в интернете без антивирусов и обновлений — только заразу собирать. Под Линуксом есть и разнообразные аудиопроигрыватели, и почти все браузеры (Хром, Файрфокс, Опера точно есть, на счёт Сафари — не интересовался).
Кстати улавливаю, почему Убунту Студио. На ней XFCE, которая, как утверждается, ест меньше ресурсов, а ноут, как ты говоришь, старый.
XFCE — вроде меньше но комфортная работа от 1 гига оперативки (браузер+ аська + pdf читалка + дропбокс = 660 Мб оперативки)
Количество уязвимостей Zero Day (целеный цвет на диаграмме).
Виктор, это к чему?
Все проблемы Microsoft и ее клиентов тут же закончатся, когда разработчики разрешат устанавливать любую графичискую оболочку (читай, интерфейс) без насилия ОС и снизят аппаратные требования системы. Линукс он и обновляется бесплатно, и оконный менеджер можно любой поставить без долгих ковыряний в системе. Я больше чем уверен, что если бы под Линукс писалось столько софта, сколько под Окошки, Microsoft давно бы обанкротилась со своими принципами 20-летней давности.
Может, новейшие системы во сто крат более функциональны и защищенны, но наш брат пользователь встречает ее в первую очередь по одежке.
Дмитрий, аппаратные требования ОС Windows не увеличивались уже 8 лет, и даже продолжают снижаться.
процы ниже SSE2 уже не поддерживаются. так что с аппаратными требованиями — промах. рекламируйтесь, но не так увлеченно.
Имеются в виду требования ОС к ресурсам ПК в ответ на ↓
а не поддержка старого железа. Уже можно вылезать из танка.
Более того, там централизованно обновляется не только операционная система и приближённые к ней приложения, но и вообще все приложения. Подход совершенно другой.
Ситуация медленно, но меняется. Даже разработчики игр всё чаще обращают свои взгляды в эту сторону.
Лишь бы не получилось так, что к тому времени, как она переломится, настольные компьютеры, какими мы их знаем, уйдут в прошлое принудительным образом.
А разгадка одна — централизованный репозиторий. В Windows теперь тоже есть такой, слышали?
Нет, не слышал, если он повторяет линуксовую реализацию. Я могу через него поставить скажем гимп?
Не повторяет, но обновляется регулярно. Gimp под WinRT пока не перенесли, а вот в пасьянс поиграть можно. http://apps.microsoft.com/windows/en-us/app/microsoft-solitaire-collection/1a36fd17-5161-4651-ae2d-13384e427ea8
Для интереса зашёл, поискал приложения, которые использую под вендой. Не нашёл ни одного. Это ваистену замечательный репозиторий, пасьянс же меня просто покорил, ради него я и ставил виндовс 8 :)
Только ради бога не надо начинать обещать, что всё будет потом, потом много чего где будет, обсуждаем-то сейчас. И сейчас мои слова по-прежнему правдивы.
При этом, как я понимаю, системные компоненты и приближенные к телу программы вроде офиса обновляются через виндовс апдейт, а приблуды из магазина каким-то своим порядком, не так ли? Уже видно отсутствие единообразия, что несколько нарушает сройность системы по сравнению с пакетным менеджером любого дистрибутива, обновляющего его целиком от первейшей прикладной программы до последнего системного пакета.
Ну и взлетит ли эта идея в целом, будут ли там все программы, как в линуксовых? Время покажет, но на данный момент всё печально и констатировать можно лишь наличие идеи, а не практической пользы.
Надо понимать, что Windows RT — исключительно планшетный вариант, хотя ее можно использовать для работы. Если смотреть шире (а ОС Windows RT, очевидно, не жилец), то остается платформа WinRT, но под тач все равно другие приложения, у них другая философия, в том числе управления.
Я не вижу смысла напрямую сравнивать их с GIMP, портированным из Linux и тоже обладающим далеко не самым внятным интерфейсом (и да, я достаточно пользовался им). Но они могут обладать интересными функциями — у меня на WP стоит Fantasia Painter, там много чего можно сделать пальцами.
Приложения обновляются не через центр обновлений, но я не вижу в этом проблемы. У меня сейчас на WP 8.1 стоит полностью автоматический режим обновления приложений, я иногда просматриваю лог, но можно даже этого не делать. Просто у вас всегда актуальная версия (и да, я знаю, что есть любители старых версий, но такая модель все равно не для них).
Ну да, этот магазин аналог понятно чего, таких же магазинов у андроида и эппла. Это не аналог линуксовых репозиториев, как утверждает Александр [Маздайщик].
Я и не пытался сравнивать какие-то приложения из этого магазина для работы с растровой графикой, просто назвал первое приложение, пришедшее мне в голову, которое я использую в обоих операционных системах. В винде его приходится ставить установщиком или распаковывать, но в любом случае ручками, в линуксе же он обновляется среди всех прочих пакетов одним скопом.
Возможно вы не видели появившийся там с недавних пор режим однооконного интерфейса :) Он, как мне кажется, более удобен для тех, кто не пользуется гимпом действительно профессионально и тем более под вендой, где нет возможности раскидать панели по разным рабочим областям.
У классических программ для Windows нет единого репозитория, конечно, но в корпоративной среде его вполне можно организовать на базе System Center или стороннего ПО.
Однооконный интерфейс видел, с ним стало чуточку менее тяжко :)
У нас такой есть для некоторых программ. Мягко говоря не то же самое :)
Вроде к тому идет, центр програм уже есть, ждем разных оконных менеджеров
В пятом абзаце видимо ASLR, а не DSLR.
И чем вы смотрите первую позицию из вашего списка литературы, если не ставите Adobe Reader?
Верно, ASLR, см. стр. 11 в первой позиции списка литературы, которую я смотрю в современном приложении Reader или Google Chrome (движок PDFium).
Вы на самом деле считаете, если msft позволит такую же вакханалию с гуями, как в никсах, сей мудрый шаг решит все проблемы? Не в бровь, а в глаз прям.
И куда же ещё снижать аппаратные требования системы то? Понятно конечно, страна у нас бедная, не каждый может позволить себе хардкорный писюк. Но неужто в 2014-м году ещё не перевелись на земле русской ультра-нищеброды, переполняемые искромётными идеями оттопыриться, глазея как Windows 8 бодро шуршит на третьих-четвёртых пнях и 512-ти мегабайтах мозгов? Аппаратные требования никсов, особенно десктоп-ориентрированных дистров, в последние годы тоже не стесняясь обросли большими цифирями, если что.
Да и на счёт обновлений, естественно, Линукс обновляется бесплатно. И софт обновляется в нём бесплатно. Бесплатный софт естественно. Но вот незадача: не припомню ни одного дистрибутива Линукс, который на халяву обновлялся больше десяти лет к ряду, в отличие от той же Windows XP. Жизненный цикл никсовых дистров — он краток и ограничен годом-двумя в среднем. С обновлением софта же и там, и там вполне идентично.
И да, я больше чем уверен, если бы вы призадумались по каким причинам много софта писалось именно под Windows, но не Linux, у вас поутихло бы желание называть Windows Окошками, бодро пророчить банкротство её создателям и списывать более чем двадцатилетние успехи компании чуть ли не на всего лишь везение.
А то, что ваш брат пользователь встречает новейшие системы в первую очередь по одёжке совсем не делает их менее функциональными и защищёнными.
Вау, мощный ответ, и по делу :)
На работе у меня старая машина, четвёртый пень, всё крутится отлично. Если не баловаться гномокедами, то требования весьма низки.
Рекомендую для расширения кругозора ознакомиться с моделью обновления rolling release. Вы не поверите, но Archlinux обновляется с 2002 года по сей день. Моей домашней системе семь лет, ни разу не переустанавливал, обновляется регулярно. После такого опыта релизная модель винды и подобных ей дистрибутивов линукса кажется чем-то потусторонним :)
И по каким же причинам?
Гм… давайте все-таки не будем превращать обсуждение в холивар Windows vs. Linux. Тема XP сама по себе более чем холиварна. Спасибо.
Тем не менее причины хотелось бы услышать, он меня прям заинтриговал :)
Основная причина — удачный захват Мелкософтом рынка дешёвых персоналок сначала DOS’ом, потом и Windows’ом.
Разнообразие программ — не причина, а следствие популярности Windows. Не повезло *nix-системам захватить рынок дешёвых персоналок. 8086 реального режима несовместим с *nix, а когда появился 286, 386 с защитой памяти и бо́льшими объёмами оперативки, *nix-системы не смогли бы поддерживать обратную совместимость с досовскими программами, как это делала Windows 95 (и, отчасти NT). Кстати, если бы не разосрались бы в своё время Microsoft и IBM, сейчас бы в этом блоге обсуждали бы уязвимости несвежих полуосей.
Скорее и причина, и следствие одновременно, взаимная положительная обратная связь.
Я бы ещё отметил ту же самую ситуацию с драйверами, которые иногда не менее, а даже более важны.
Кстати, тоже самое можно наблюдать и в других областях, например в области мессенджеров это ICQ, которая повсеместно распространена потому, что повсеместно распространена. Но это не делает её априори лучше конкурентов.
Маркетинговый успех винды безусловен.
Не совсем так, там можно обновиться со старого на новый почти нещзаметно — например я с убунту 9 перешел на убунту потратив несколько часов (пока закачивалось обновление — нет медленный)
Нащет строков http://ru.wikipedia.org/wiki/Debian#.D0.A0.D0.B5.D0.BB.D0.B8.D0.B7.D1.8B — стабильный релиз — 5 лет (2011-2016).
И поставить я его могу на 128 метров оперативки.
Но это все офтопик, мы же о другой ОС :)
Нащот скорости работы, субэктивно мне 8-ка работает вроде быстрей, но на более новом железе (сравнительно с 7-кой), вот если б прикруть туда упрощенный интерфейс уверен пользователей было б больше… ИМХО конечно
А зачем обязательно «хардкорный писюк»? Вот смотрите. Возьмём один мой компьютерный кабинет. Что в нём делают на компах? Выходят в инет на страницы учебных сайтов, рисуют простые картинки, делают презентации к урокам. Один раз в году компилируют максимум десяток строчек кода.
Все эти потребности можно удовлетворить на третьем пентиуме. За год пользовательских файлов на компьютере бывает максимум пара гигабайт, однако там стоят полутерабайтные винчестеры, современные процессоры, видеокарты. Зачем? Пользователю не нужен «мощный компьютер», это маркетинговая ложь.
Пользователю нужен компьютер, удовлетворяющий его потребности. Не больше ни меньше. Секретарю в директорской приёмной не нужен четырёхядерник. И куча оперативы ему не нужна. Да, можно купить современный комп по той же цене, как когда-то стоили первые пентюхи. Но лучше бы купить «слабый компьютер» (не путать с б/у) за 10 рублей и иметь на нем все, что нужно.
Мне для работы потребовалось несколько флешек. На каждой нужно было сохранить ровно один текстовый файл. Один-единственный. Я не нашел в продаже ни одной флешки меньше 2 гигабайт.
Вот рядом про велосипеды речь пошла и Вадим сказал, что ему нужен хороший велосипед. А я на велосипеде на рынок езжу. И мне его велосипед не нужен вообще. Мне нужен простой велосипед, с высокой посадкой, с корзинкой-багажником. А мне маркетологи продают «отличный велосипед с 200 скоростями».
Почему глупые пользователи держатся за XP? Да потому, что им не нужно другого. Их заставляют сменить ось и железо, а при этом ничего нового они не получают, фактические потребности-то у них прежние.
Моей любимой куртке 25 лет. Красивая, удобная, тёплая. Один раз менял замок, один раз покрасил. Она удовлетворяет мои «потребности в куртке» полностью, я не хочу другую.
Я так понимаю, в Windows с обновлением стороннего софта неразрешимые проблемы?
Игры медленно, но верно уходят на консоли. Где кстати майкрософтовский коробокс чувствует себя конечно не фаворитом, но чуть более чем уверенно.
И никуда настольные компьютеры не денутся. Спад продаж на фоне увеличившего количества проданных мобильных девайсов постепенно сменяется замиранием насытившегося рынка планшетов и увеличившимся количеством пользователей Windows 7 в результате апрельского окончания поддержки Windows XP
http://www.3dnews.ru/821331
http://4pda.ru/2014/06/02/161075/
Что, возможно слегка подхлестнёт рынок.
О, это как-то следует из моих слов?
Туда слава богу по большей части уходят игры, которые меня не интересуют. А некоторые разработчики интересных мне игр прямо заявляют, что на консолях их игр не будет.
Дай-то бог.
По теме если…
За последние года два сталкиваюсь с Windows XP исключительно на виртуальных хостах, предназначенных для различных тестов. Защитой не озадачиваюсь особо (ибо необходимость отстствует). Кроме обновлений ОС и софта естественно.
Vadim, судя по данным из Вашей статьи причиной уязвимостей часто являются Java и ПО Adobe, у меня такой вопрос: Java устанавливаю часто (для любителей Minecraft) и тоже с Adobe Reader (для организаций), отключаю java и adobe в службах, в планировщике и браузерах, приносит ли это пользу безопасности или вирусописателям нужно только присутствие этих программ в системе?
В службах и планировщике, на сколько я знаю, модуль обновления, и его отключать наоборот не нужно. А вот в браузере отключать эти плагины полезно и необходимо.
С заразными PDF я не встречался, поэтому много сказать о них не могу. На сколько понимаю, в них может быть встроен код на javascript, примерно как макросы в MS Word. (Кстати современные Office блокируют работу с документами, скачанными из интернета — доступно только чтение). О том, что с этим связаны уязвимости (как и с макросами офиса), я краем уха слышал.
А вот Adobe Flash Player и Java — плагины браузера, которые исполняют (интерпретируют) сторонний код, полученный из интернета, соответственно, аплеты и флешки (видеопроигрыватели, реклама). По идее, такой код должен исполняться в «песочнице», но в периодически в них находятся дырки, позволяющие коду из песочницы выбраться и навредить. Есть также и Silverlight, который тоже плагин браузера и запускает сторонний код, но им никто не пользуется и его никто не ставит и вообще, он обновляется вместе с Виндой (если установлен).
Конечно, Java — это не только плагин, это универсальная среда исполнения программ, на которых пишут и десктопные (Eclipse, например), и мобильные, и серверные приложения, особенно популярна в тырпрайзе. Но для домашних пользователей риск получить проблему от запуска десктопной программы на Яве неисчислимо меньше, чем от аплета в web-странице (запустить вручную .class- или .jar-файл сложнее, чем тыкнуть по .exe-шнику). Можно также вспомнить и мобильные приложения, среди которых попадаются зловреды, но тут Ява ни при чём: нет большой разницы между установкой левых мидлетов для телефона и запуском левых .exe-шников на персональном компьютере.
Валентин, службы этих программ обеспечивают автоматическое обновление. Отключая их, вы оставляете беззащитными ПК, на которые вы устанавливате Adobe и Java. Первый же эксплойт поимеет их по самые помидоры…
Применительно к браузерам, см. Закройте форточку своего браузера, do it!
— На работе
Я работаю в техподдержке девелоперской компании. При тестировании собственного ПО (и его апдейтов) приходится держать тестовые площадки на Windows XP SP3 (а также х64 версия). А связано это в первую очередь с тем, что на крупных предприятиях по стране до сих пор львиную долю занимают клиентские АРМ на Windows XP.
И хотя мы свой софт уже давно оптимизировали под новейшие ОС, много наших заказчиков не торопятся с переходом (куда уже дальше тянуть, не понимаю).
Кстати, один из аргументов: переход на новую ОС «неминуемо» приведет к замене старых ПК на более производительные, что, конечно же, выливается в копеечку. Второй аргумент: да мы уже все так привыкли, что нафиг нам нужны ваши плитки :)
PS. А мне это всё напоминает лозунг: Ленин жил, Ленин жив, Ленин будет жить! (с)
Странно, что нет аргумента, что и сам переход на новую ОС неминуемо выльется в копеечку уж точно без кавычек.
Ну, в области QA старая ОС нужна до тех пор, пока клиенты на ней работают. Но очень многие аспекты можно тестировать на ВМ (зависит от специфики ПО).
Что касается P.S., смотрите подзаголовок записи :)
Итак, тема интересная, решил таки не полениться и ответить. Работаю в компьютерной мастерской, поэтому с XP периодически сталкиваюсь, точнее со старыми машинами, на которые только ХР и приходится ставить. Ставлю чистую систему, на которую устанавливаю различные программы и пакет обновлений, вышедшие после третьего пака. В общем всё, что могу со своей стороны. В реестре ничего не правлю, ну его нафиг, я же и буду потОм виноват. Так же ставлю и джаву потому, что для клиентов важнее, что на странице кнопочка будет видна, а не какая-то там безопасность. Ну а мне важнее, что они ко мне снова придут, даже ценой дыры в джаве. Но, справедливости ради, всегда последней версии.
Ещё хотелось бы сообщить не по теме. Я получаю новые статьи с блога по rss, но, чтобы получить книгу, мне пришлось подписаться ещё и на почтовые уведомления, что уже для меня избыточно и, прямо скажем, неприятно. Чувствуется некое ущемление.
Виктор, главное, чтобы вы не отключали обновление Java :)
К сожалению, по RSS я доставить книгу не могу, но вы можете отписаться от почтовой рассылки в любой момент.
Это само собой. Ява, адобе плеер и другие проги, а в семёрке и обновления — всё оповещается. Правда автоматическую установку обновлений не выставляю после того случая, когда винда не работала после установки обновления. Только запрос и оповещение. А то я тогда у некоторых оказался в этом виноват.
Виктор, честно говоря, я не помню, какие там настройки по умолчанию, но ставить нужно именно их. Прочтите этот фрагмент, начиная прямо с эпиграфа :)
По умолчанию всегда стоИт запрос новой версии, тут я ничего не меняю. А то, что люди не обновляют, когда есть запрос на новую версию, то это уже не мой головняк. Со своей стороны я сделал всё необходимое для клиента, но говорить, что нужно обязательно ставить новую версию я не могу по простой причине — если из-за этого опять что-то с системой случится, виноват буду я, а оно мне не надо.
О чём тут говорить, если когда я предлагаю клиенту бесплатный аваст или ключ на каспера, объясняя, что с каспером безопаснее, а почти всегда он выбирает бесплатный аваст. Пока люди не потеряют важную инфу и не выложат за её добычу круглую сумму или вообще безвозвратно, ничему не научатся.
[off] а я потерял книгу, как получить копию? На новости подписан. [/off]
Юрий, ваш адрес отсутствует в списке подписчиков. Подпишитесь заново.
Это настраивается в групповых политиках
Теперь по теме:
1) XP стоит на валяющемся в тумбочке ноутбуке, который периодически используется для чтения или разных мелких экспериментов. Желающим поставить туда Win7/8/8.1 сообщаю конфигурацию: Celeron 1133, 256 RAM, 20 GB HDD. Вы всё ещё считаете, что туда срочно надо ставить новую ОС? )
2) XP стоит на большинстве компьютеров одной знакомой небольшой организации, которой изредка помогаю. Парк железа тоже староват, например, в одном из компьютеров стоит Duron 700, и сотрудник за ним вполне спокойно работает…90% времени проводя в терминале на сервере ). Никаких особых мер по защите не предпринималось, поскольку на большинстве компьютеров нет доступа в интернет, установлен корпоративный Касперский, да и люди работают в основном, а не по сайтам шляются. Для тех, кому надо лазить в интернет, установлен Firefox. Вирусы в организации видели с год назад, один внешний сотрудник принёс на своём ноутбуке, на рабочих машинах их не видно давно.
У себя давно перешёл на 7-ку х64 с XP x64, XP как система для обычного ПК своё уже отжила и у неё осталась только ниша спецприменений вроде упоминавшихся выше написанных под заказ программ с поддержкой только XP или уникального железа, но я вполне понимаю пользователей, которые не хотят менять привычную систему на недоразумение в виде 8/8.1. По мере отмирания железа они будут мигрировать на Win7, ну а там возможно в MS наконец-то возьмутся за ум, некоторые признаки чего наблюдаются в 8.1 Update 1 и превьювах Win 9 )
Хороший комент плюсую, а где вы видели новую 9-ку? Кстати автор блога можео открыть некоторый «секреты» что готовит новая ось?
Сейчас этого никто не знает, но автор блога все равно не может писать об утечках, т.к. связан NDA.
Пока в сеть утекли только слухи и скриншоты, один из примеров можно глянуть тут — http://www.trustedreviews.com/news/windows-9-release-date-beta-preview-start-menu-screenshots, в частности, в разделе «Windows 9 Start Menu: What will it look like?» можно увидеть некое меню Старт, которое может уменьшить количество недовольных. Если догадаются добавить функцию отключения показа недоприложений справа, количество недовольных ещё уменьшится )
Да, можно:
Find-Package -Name gimp | Install-Package -Force
Верней, можно будет скоро :) PowerShell 5, OneGet.
Сейчас уже доступен PowerShell 5 Preview.
Скоро и у линукса будет более 90% пользователей :)
Т.е. ещё один механизм, теперь имеем центр обновлений, магазин приложений, и вот ещё и oneget (уж не калька ли с apt-get? :) ). Количество рычажков в кабине этого самолёта меня уже пугает :)
Скорее дело в не совсем лицензионности
Железо нет, а вот выпустить форк для старого железа или сделать скидки при переходе со старого ЛИЦЕНЗИОНННОГО ПО на новое — было б неплохо.
Юрий, да, скидки было бы неплохо, но это бизнес в конце концов. У меня пока нет ответа от маркетологов по поводу скидок, но я смотрю на сайте Volume Licensing и вижу, что Microsoft предлагает специальные программы финансирования:
• ежемесячные, квартальные или полугодовые платежи от года до пяти лет
• отсрочка первого платежа до полугода
• скользящие платежи — сначала меньше, потом больше
Если у вас серьезный бизнес, то изучение таких программ может иметь смысл. Если шарашкина контора, продолжайте ждать скидок.
К сожалению у меня бизнеса нету, но большинство фирм у нас как раз и есть шарашкина контора, наверное потому и пираткой пользуются :(
Собственно мне сейчас интересно более предложение с ноутбуками, оно уже есть, но вот жду — что будет в 9-ке — может лутше подождать и поставить ее — или с 8,1 можно будет обновить систему?
Если ноутбук сертифицирован для 8.1, 9 на него встанет, но идеальной совместимости в этом случае изготовитель ПК не гарантирует, за исключением особо оговариваемых случаев.
Кстати а серйозность бизнеса это количество компов или качество услуг? Может быть что это не корелируется, тоесть маленькая конторка (семейный подряд) может вести довольно серйозный бизнес, но иметь всего несколько компютеров, хотя это в идеальном мире наверное.
факюбил ЕЩЕ есть? там же даже не СР3
All,
Я второй и последний раз прошу закончить обсуждение Linux в этой записи. Дальнейшие комментарии на эту тему буду удалять, а в случае клинической непонятливости закрою обсуждение.
Вадим, а кто и как может получить доступ к этой инфе?
Сотрудники подразделения Windows — разработчики, менеджеры
Почитал и статью, и бюллетень безопасности MS, и задумался «о своем, о женском» )))
Вот если компьютер не такой старый, как давний, и не тянет «семерку» или «восьмерку» по железу, то, как я понимаю, надо ставить систему, начиная с Windows Server 2003 или Vista? Для них и заплатки делают, и поддержка не закончилась. Да и для тех, кто ностальгирует по внешнему оформлению, Vista тоже как бы подходит… А когда у Висты примерно поддержка закончится?
Может, мои мысли были бы смешны, когда бы не было так грустно. На работе машины слабые, и света в конце тунеля как-то не видно. А работать надо. И коллеги вирусы таскают пачками. В Висте хоть какой-то встроенный Defender есть. Кстати, эффективен ли он (именно в Висте)?
Вот такие у меня вопросы.
Вадим, ПК скорее потянет 8, чем Vista. Срок поддержки Vista указан в статье про бюллетени.
Спасибо!
Не всё так просто. Казалось бы, 1¼ Гбайт оперативки, хард можно поставить на пару сотен Гб, процессор 1 ГГц, DirectX, правда, только 8.1. Но в камне нет ни PAE, ни NX — из современных ОС
идётползёт только Vista. Можно ли будет воткнуть в этот компьютер на место Pentium 4 (без HT) более свежий процессор — не интересовался. Возможно, под данные слоты процессоров с PAE (NX) просто нету.Когда-то хотел на эту машину поставить Windows 7, не вышло по той же причине (без PAE зависает при загрузке).
Александр, заметьте, что я не говорил «ваш ПК» или «старый ПК». Автор вопроса не указал конфигурацию, а я не гадаю на кофейной гуще.
Проц — 1,7 Ггц, оперативка — 1 Гб, винт — 256 Гб. Спокойно, без проблем идет Windows 8.1 — несколько дней назад переустановил по Вашей рекомендации. Спасибо!
На мой взгляд, уязвимости есть и в обновляемых системах, их не мало. Антивирус, ограниченная учетка и разговорчивый фаерволл, конечно, не каждому подойдут, как и дополнения для браузера, но такие системы достаточно стойкие и получше 8-ки с самыми свежими обновлениями и настройками по умолчанию. Я от XP отказался лишь в связи с обновлением железа, меня та система всем устраивала.
Да, прекращена поддержка XP, но если нет иных причин — не повод переходить на новые версии ОС, привыкать к новому интерфейсу. И уж точно не нужно ставить обновления предназначенные для других версий.
Как это не странно звучит, но порой вовсе лучше отказаться от обновлений — это вовсе не означает снизить свою безопасность.
Да-да. Где-то я это уже слышал. «Лозунг у них был такой: „Познание бесконечности требует бесконечного времени“. С этим я не спорил, но они делали из этого неожиданный вывод: „А потому работай не работай — все едино“».
Не менее подходящее:
— А мыться не пробовал?
— Пробовал. Через месяц снова чешусь.
:)
Пропущу флейм товарищей выше и отвечу с технической точки зрения.
Есть, об этом и статья, но в новых ОС их закрывается меньше.
Вот и главное заблуждение:
1. Антивирус есть в Windows 8, a еще и SmartScreen (см. статью).
2. Стандартная учетная запись тоже. Более того, вы работаете с ограниченными правами, даже являясь администратором. Между тем, стандартная учетка — не панацея. Рекомендую поискать здесь Elevation of Privilege.
3. Разговорчивый фаервол вам сообщит, об исходящем подключении к серверам ботнета, да. Но это уже после заражения. А с червями и стандартный справляется.
Это звучит странно, потому что именно и означает снижение уровня защиты системы.
В вузе на полигоне (АСУ) на компах две операционки — Windows 7 и XP уже на протяжении более года. Но вот в основном используется XP, так как много устаревшего да самописного софта есть, который не работает в новых версиях (особенно в 64-битных).
У тёти есть ХР. Я ставил. Комп — печатная машинка 2004г. Целерон 2000 Нортвуд + 256 мб(2700). Используется Опера 12, как браузер наименее требовательный к ОЗУ . Антивирус Аваст фрии очень тормозит систему, хоть и рассчитан на 126 мб памяти. Но ещё ни разу не пригодился, поскольку тёте 72 г и по сомнительным сайтам не лазит. Одноклассники, Яндекс, видео Майл.ру. Ютуб не смотрит, видео на нём сильно тормозит .
Думаю скорректировать реестр . На виртуальной машине, копирующей комп тёти, всё сработало. Или поставить заморозку.
Разумеется всё это не от хорошей жизни.
Недавно на виртуалку поставил «Microsoft Windows Embedded POSReady 2009 SP3 x86 Multi Retail Box», пришлось самому ставить кодек МРЗ C00D10D1-MP3-MPEG-Layer-3-55 , иначе ничего не было слышно на предустановленным WMP 11. И с интернета сам не ставился. Хотя в обычных Виндах есть по умолчанию.
Наверно скоро появятся новые очередные ГС на основе Embedded, типа имеющихся ХР Микро.
Станислав, скорее, сборки будут модифицировать, чтобы ставились обновления.
Все зависит от железа, для старого — windows xp (самый оптимальный вариант), более-менее современном -windows 7 +
Ну а ставить xp на современный компьютер — мазохизм… ))
Кину свои пару копеек. Есть мнение, что 95% населения планеты — идиоты. Насчёт 95 канеш преувеличение, но в общем склонен с этим утверждением согласится.
Являюсь владельцем небольшой фирмы по ремонту и обслуживанию всего кампутерного. За 18 лет деятельности чего только не насмотрелся :)) Всех пользователей можно условно разделить на:
— Пользователь домашний. Вот здесь про 95% чистая правда! Они зачастую и слова такого, windows, не знают. Комп для них — это одноклассники, косынка и скайп. Многих инфа о том, что за ПО нужно ещё и платить, вгоняет в прострацию. Вирусня может пожрать многолетний фотоархив? Этого не может быть! У меня же АНТИВИРУС!
— Организации. Их девиз — экономия должна быть экономной. До сих пор приходится ремонтировать и обслуживать пни два. Работает и чудненько. Вопрос тормозов и безопасности не волнует в принципе. Вирусы похерили результат годовой работы бухгалтерии? Печально, но не смертельно. Отдел будет работать без выходных, пока всё не восстановят с бумаги.
— Буддисты. Их принцип — от судьбы не уйдёшь. Суждено потерять инфу, знач так тому и быть, неча зря напрягаться.
Хватает и подкатегорий, но в рамках одного камента их расписывать не буду. Общая канва и так понятна.