| IT |
| Админ |
17.04.19
✎
09:36
| 1. Windows 10 Prof достаточно | 0% (0) |
|
| 2. Нужна Windows 10 Enterprise | 0% (0) |
|
| 3. Не определился | 0% (0) |
|
| 4. Свой вариант | 0% (0) |
|
Доброго времени суток! Имеет ли смысл приобретать в организацию Windows 10 Pro или же при существовании Enterprise версии корректнее приобретать именно ее? Есть ли распространенные задачи, которые версия Pro не позволяет решить и требуется версия Enterprise ?
17.04.19
✎
09:40
для экселя и ворда зачем энтерпрайз?
17.04.19
✎
09:42
(0) уже сделали работу за тебя в разделе сравнения
https://ru.wikipedia.org/wiki/Windows_10
https://ru.wikipedia.org/wiki/Windows_10
17.04.19
✎
09:47
(1)речь про базовые задачи, под защитой учетных данных и устройств что имеется ввиду?
https://windowsprofi.ru/win10/kakimi-byvayut-versii-windows-10.html
"В корпоративной появляется прямой доступ, AppLocker, BranchCache, управление начальным экраном групповыми политиками и детальное управление пользовательским интерфейсом. Также здесь добавляется защита учетных данных и устройств."
https://windowsprofi.ru/win10/kakimi-byvayut-versii-windows-10.html
"В корпоративной появляется прямой доступ, AppLocker, BranchCache, управление начальным экраном групповыми политиками и детальное управление пользовательским интерфейсом. Также здесь добавляется защита учетных данных и устройств."
17.04.19
✎
09:47
(2)спасибо огромное за таблицу!
17.04.19
✎
09:50
(3)возможно Enterprise с базовой функциональностью рациональнее, чем Prof+дополнительное ПО, решающее задачи базовой функциональности версии Enterprise ?
17.04.19
✎
10:46
то есть ключевое отличие Enterprise для небольших фирм - это повышенная безопасность? что может помочь при выходе очередного вируса? в какой степени их компенсирует антивирусный пакет от того же Касперского или DrWeb? тот-же белый список программ существует в антивирусных решениях, другое дело, что его ручками формируешь, а в Enterprise Майкрософт сами формируют этот список?
https://habr.com/ru/company/microsoft/blog/280332/
"Device Guard – набор программно-аппаратных технологий защиты, доступный для устройств с Windows 10. Статья посвящена одной из компонент Device Guard – политике Code Integrity (CI). С деталями настройки и применения CI можно познакомиться здесь.
Классическое решение основывается на трех основных условиях: установленные обновления, обновленный антивирус и отсутствие административных привилегий. Это уже давно сложившийся подход. Однако, совершенно легальная с точки зрения антивируса программа может выполнять нежелательные действия и не использовать при этом уязвимости ПО. Такой взгляд на безопасность ставит под подозрение любую программу. Уже нельзя полагаться на список сигнатур антивируса, а анализировать действия всех программ довольно трудно.
Новые угрозы требуют новых решений безопасности, и в Windows 10 они уже имеются. Одно из решений – запускать только одобренное программное обеспечение. Такой подход успешно опробован на мобильных платформах Windows и Apple. В них абсолютно все ПО проходит проверку и имеет цифровую подпись, на основании которой устройство разрешает его запуск. В Windows эту функцию обеспечивает механизм проверки целостности кода – Code Integrity (CI)."
https://datbaze.ru/windows/zashhita-uchyotnoy-zapisi-credential-guard.html
"Защита учётной записи (Credential Guard) изолирует секреты с помощью основанных на виртуализации технологий, так что только привилегированные системы могут получить к ним доступ.
Обычно в Windows, секреты хранятся в памяти Local Security Authority(LSA). С Credential Guard, LSA сообщается с новым компонентом, называемым изолированным LSA. Этот изолированный LSA основан на виртуализации и недоступен остальной ОС. На рисунке ниже показана изоляция, обеспечивающая безопасность на основе виртуализации для процесса LSAIso от процесса LSASS."
https://habr.com/ru/company/microsoft/blog/280332/
"Device Guard – набор программно-аппаратных технологий защиты, доступный для устройств с Windows 10. Статья посвящена одной из компонент Device Guard – политике Code Integrity (CI). С деталями настройки и применения CI можно познакомиться здесь.
Классическое решение основывается на трех основных условиях: установленные обновления, обновленный антивирус и отсутствие административных привилегий. Это уже давно сложившийся подход. Однако, совершенно легальная с точки зрения антивируса программа может выполнять нежелательные действия и не использовать при этом уязвимости ПО. Такой взгляд на безопасность ставит под подозрение любую программу. Уже нельзя полагаться на список сигнатур антивируса, а анализировать действия всех программ довольно трудно.
Новые угрозы требуют новых решений безопасности, и в Windows 10 они уже имеются. Одно из решений – запускать только одобренное программное обеспечение. Такой подход успешно опробован на мобильных платформах Windows и Apple. В них абсолютно все ПО проходит проверку и имеет цифровую подпись, на основании которой устройство разрешает его запуск. В Windows эту функцию обеспечивает механизм проверки целостности кода – Code Integrity (CI)."
https://datbaze.ru/windows/zashhita-uchyotnoy-zapisi-credential-guard.html
"Защита учётной записи (Credential Guard) изолирует секреты с помощью основанных на виртуализации технологий, так что только привилегированные системы могут получить к ним доступ.
Обычно в Windows, секреты хранятся в памяти Local Security Authority(LSA). С Credential Guard, LSA сообщается с новым компонентом, называемым изолированным LSA. Этот изолированный LSA основан на виртуализации и недоступен остальной ОС. На рисунке ниже показана изоляция, обеспечивающая безопасность на основе виртуализации для процесса LSAIso от процесса LSASS."
17.04.19
✎
10:50
ну и еще возможно DirectAccess как альтернатива ВПН? так как не все провайдеры с ВПН дружат?
https://habr.com/ru/post/325458/
"Наиболее частым, применяемым способом удаленного доступа к внутренним ресурсам организаций является настройка VPN-соединения. Данная технология имеет ряд минусов таких как:
необходимость установки на клиентский компьютер дополнительного программного обеспечения, что не всегда удобно, в некоторых случаях невозможно;
необходимость прохождения пользователем дополнительной процедуры аутентификации;
отсутствие возможности контролировать клиентский компьютер службами, отвечающими за техническую поддержку и информационную безопасность организации;
отсутствие возможности контролировать своевременное обновление системного и прикладного ПО, наличие на нем антивирусного ПО и актуальности антивирусных баз;
при перемещении удаленный пользователь должен перевозить не всегда легкий ноутбук.
Я предлагаю рассмотреть замену VPN технологией, разработанной компанией Microsoft – DirectAccess. Это позволит расценивать удаленный компьютер в качестве компонента вычислительной сети организации, благодаря чему можно будет выполнять следующие операции по обеспечению информационной безопасности:
применять к удалённому компьютеру групповые политики;
подключаться к компьютеру, используя штатные средства – RDP, mmc, удаленный помощник;
контролировать интернет трафик;
применять DLP-системы;
использовать централизованное управление антивирусной защитой;
и другие средства доступные внутри домена."
https://habr.com/ru/post/325458/
"Наиболее частым, применяемым способом удаленного доступа к внутренним ресурсам организаций является настройка VPN-соединения. Данная технология имеет ряд минусов таких как:
необходимость установки на клиентский компьютер дополнительного программного обеспечения, что не всегда удобно, в некоторых случаях невозможно;
необходимость прохождения пользователем дополнительной процедуры аутентификации;
отсутствие возможности контролировать клиентский компьютер службами, отвечающими за техническую поддержку и информационную безопасность организации;
отсутствие возможности контролировать своевременное обновление системного и прикладного ПО, наличие на нем антивирусного ПО и актуальности антивирусных баз;
при перемещении удаленный пользователь должен перевозить не всегда легкий ноутбук.
Я предлагаю рассмотреть замену VPN технологией, разработанной компанией Microsoft – DirectAccess. Это позволит расценивать удаленный компьютер в качестве компонента вычислительной сети организации, благодаря чему можно будет выполнять следующие операции по обеспечению информационной безопасности:
применять к удалённому компьютеру групповые политики;
подключаться к компьютеру, используя штатные средства – RDP, mmc, удаленный помощник;
контролировать интернет трафик;
применять DLP-системы;
использовать централизованное управление антивирусной защитой;
и другие средства доступные внутри домена."
гуру
17.04.19
✎
11:23
(7) Ты же уже прочитал, что DirectAccess это IPv6 и не все программы могут в IPV6? ну 1с то точно мимо...
18.04.19
✎
15:45
(8) если нет белого ip,то какой direct?
(7)опять же,если пользователю выдали готовый ноутбук,то все хорошо,а если у пользователя ноутбук свой?
опять же,вся защита базируется на том,что операционная система работает напрямую с железом,а если уже включена виртуализация?из guest системы не всегда можно узнать,что делает host,а host может иметь полный доступ к guest системе,тогда как для нее это будет между тактами от процессора.
(7)опять же,если пользователю выдали готовый ноутбук,то все хорошо,а если у пользователя ноутбук свой?
опять же,вся защита базируется на том,что операционная система работает напрямую с железом,а если уже включена виртуализация?из guest системы не всегда можно узнать,что делает host,а host может иметь полный доступ к guest системе,тогда как для нее это будет между тактами от процессора.