EN
RUЛицом к лицу лица не увидать, большое видится на расстоянии.
Сергей Есенин.
Борьбу с вирусами можно осуществлять не только специализированными средствами.
Так в локальной сети можно сильно усложнить жизнь вирусам.
Для этого можно завести сеть класса A 10.0.0.0/255.0.0.0 (не жадничайте!:-)
это 16 777 214 адресов и ничего не ограничивает такую сетку создать для 5 компов и
разбросать их IP-шники по всему адресному полю. Обычно случайно залетевший на
комп вирус начинает тупо сканировать все адресное пространство прописанное на
сетевой карте. Для того что бы случайно натолкнуться на одиноко стоящие адреса
машин ему понадобится около года!:-) Да кстати, наиболее подвержены атакам компы
с начальными адресами, ну потому что сканирование с них начинается.
Ну и еще компы вечером отключаются, а с утра включаются и процесс сканирования
начинается сначала (итак десять раз :-), так что конца адресной сети достигают
только самые упорные вирусы на серверах :-). Замечу, что пользовательские
компы вообще (NB!) должны вечером отключаться не из-за вирусов конешно, а потому
что пока еще пожары бывают в офисах по причине большого распространения дешевых
китайских компов, да и грозы тоже бывают иногда на огромных просторах нашей
бескрайней родины.
Так же один из инструментов атак вирусов на сети и компьютеры в сети
это широковещательные пакеты NETBIOS/SMB.
Во-первых, используя SMB пакеты
вирусы находят жертвы в сети.
Во-вторых используя дыры в NETBIOSе вирусы
заражают компы.
В-третьих, просто могут уложить сетку, используя SMB броадкастинг.
Сильно можно уменьшить вирусную опасность в сети, просто запретив SMB пакеты
UDP и TCP 137,138,139,445. На Cisco Catalyst это делается через access-list.
После этого вы перестанете видеть имена компов в Сетевом окружении, ну и вирусы
тоже перестанут их видеть. Так же компы перестанут авторизоваться в Active
Directory. Ну AD я бы вообще не рекомендовал использовать, т.к. в маленькой
сетке он вообще нафик не нужен, да и в большой он тоже не сильно нужен и требует
немереных серваков.
А если же использовать TCP/IP версии 6, а он есть уже на шлюзах и компьютерах, то сеть уже получается в 281 474 976 710 656 адресов! Короче, вирусы затрахаются искать ваш комп.
PS. Тут прикол!: я так и сделал в одном универе (назовем его ГУ-ГУ:-)
и текущий системный администратор об этом знает, потому что сам access-list прописывал но уже полгода пытается запустить AD. Вот уж точно: левая половина мозга не знает
что делает правая половина, а спинной мозг вообще только про секс думает:-D
Еще по имени перестанут определяться IPшники и по IPшникам компы
Ну для этого надо просто завести локальный DNS сервер и прописать соответствие
ручками.
Кстати, соответствие IP компа и его имени определяется следующим
порядком: C:WINDOWSsystem32driversetchosts, NETBIOS, DNS.
Могут еще отвалится сетевые принтеры. Просто надо настроить соеднинение
с принтерами по IP, а не через NETBIOS: ftp, http, etc.