Архив за месяц: Октябрь 2008

>Farewell ненадолго…

>

Так как начинается горячая пора, связанная с подготовкой к Платформе, то я вынужден буду на этот месяц несколько сократить объем публикаций. Собственно, хорошо, если они вообще будут. Чтобы читатель не скучал, дам ссылки на последнее, что остановило мой взгляд за последние несколько дней и заставило что-то почитать, отличное от Design Guide по технологиям, которые я буду представлять на Платформе =)

Вторая часть переведенной мной статьи про свободное место на диске и NTFS:

http://blogs.msdn.com/ntdebugging/archive/2008/10/31/ntfs-misreporting-free-space-part-2.aspx

Переведен на русский язык Windows Server 2008 Security Guide: http://blogs.technet.com/iwalker/archive/2008/10/26/windows-server-2008-wssg.aspx

Выпущен Windows Server 2008 R2 Reviewers Giode: http://download.microsoft.com/download/F/2/1/F2146213-4AC0-4C50-B69A-12428FF0B077/Windows_Server_2008_R2_Reviewers_Guide_(BETA).doc

Началась (а не закончилась ли уже) конференция PDC, на которой представлены Azure, Windows 7 и еще много всего интересного:

http://www.microsoftpdc.com/

Пока хватит, благо, до Платформы осталось не так уж и много времени ;)

Я вернусь. Обязательно. Но пока ждут меня виртуальные машины, Design Guide и Architecture всяких вкусностей. До встречи.

>“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 10.

>

UAC

image Один из моментов, в которых я коснусь конкретной технологии. Просто потому, что это та самая технология, шумиха вокруг которой поднята из-за неверного понимания ее предназначения, ее возможностей и сценариев ее использования. Непонимание это, как мы полностью согласились с Вадимсом Подансом, вина целиком и полностью компании Microsoft. Они не смогли донести до общественности простые достаточно истины. Впрочем, и обчественность хороша. Лишь бы обгадить светлое дело коммунизма защиты информации. =) Потому на данный момент сложились два радикальных мнения на UAC:

1)      UAC это то, что необходимо выключить немедля.

2)      UAC защищает от взломов, хулиганов, тайфунов, землетрясений и бородавок, а так же помогает в любви.

Я постараюсь, как всегда, плюнуть посередине, так что получайте мой взгляд. Данный функционал не защищает Ваш компьютер. У него нет такого назначения. Так же, как нет такого назначения у NAP – он не несет с собой никакой активной защиты. Наличие UAC просто-напросто позволяет наиболее удобным пока способом из всех, мне известных, реализовать принцип наименьших привилегий. Плюс к этому даже администратору оно по умолчанию обрезает привилегии (что вовсе не является оправданием работы из-под оного администратора). Плюс к этому наблюдаются некоторые побочные эффекты. Например, на момент публикации вот этого моего сообщения не было известно ни одного руткита, который устанавливался бы при включенном UAC. А если посмотреть на последний бюллетень по безопасности от MS, то выяснится еще такая картинка (кликабельно):image Как видим, уязвимость везде, кроме Vista и Server 2008 оценена как Critical. При чем, если почитать оный бюллетень внимательно, то выяснится, что именно UAC’у Vista и Server 2008 обязаны снижением уровня опасности до Important. Так что штука достаточно полезная и сама по себе.

Однако, в этой серии я взял за правило ругать технологии, а не хвалить их. Продолжаем в том же духе. Итак, недостатки.

1)      если его отключить, он не будет работать. «так это… того… если антивирус отключить, то он тоже не будет работать»,- возразите Вы. Да так-то оно так. Только когда я гуглю название антивируса, то первым выскакивает сайт компании, а в случае с UAC первым идет

image 

дадада, первыми идут разные “взломщики UAC”. На втором месте UAC Step By Step Guide от Microsoft, на третьем информация о том, что UAC создан для того, чтобы раздражать пользователей. На 4м почетном месте та самая моя статья. А дальше в перемешку советы как эту функцию отключить и почему этого делать вроде бы как и нельзя. Учитывая, сколько пользователей попало ко мне на блог по различным сочетаниям слов “Vista”, “UAC” и “отключить”…

Мало того, ативирусы научились быть практически незаметными, а UAC нет. Потому неподготовленному пользователю он якобы мешает, отчего он и начинает попадать на мой блог ;)

2)      в случае, когда UAC работает по стандартной схеме, а не так как предложил Артем Проничкин в одном из комментариев к моему прошлому сообщению на тему UAC, то есть у пользователя есть доступ к учетной записи с административными привилегиями… короче, в этом случае именно пользователь определяет, что разрешить запускать, а что не разрешать. А пользователь, как мы давно уже выяснили, это обычно слабое звено. То есть вполне может решить, что вот именно эту музыкальную открытку в формате .exe ему следует запустить.

3)      Если вредоносная программа уже на компьютере и работает, то, насколько я понял из объяснений того же Артема, ей ничего не стоит влезть в административную сессию с повышенными привилегиями, когда пользователь ее начнет.

Итак, я пока закончил свою серию публикаций про недостаточность многих технических и прочих средств обеспечения безопасности самих по себе. Вроде бы ничего не забыл. Если забыл – дайте знать – исправлюсь. =)

 

Ссылки на публикации серии:

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

>“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 9.

>

Шифрование данных.

image Предположим, что Ваши данные все-таки украли. После этого, если Вас волнует, конечно, конфиденциальность данных больше, чем их доступность, возможны два варианта:

1) Вы зашифровали данные

2) Эти данные перестали быть конфиденциальны.

Есть, правда третий вариант – украденный носитель вору интереснее, чем то, что на нем записано. Но нам этот вариант неинтересен, в этом случае потери минимальны.

В данный момент я бы различал три типа средств шифрования:

1) Шифрование отдельных файлов/папок (а-ля EFS).

2) Шифрование всего диска/раздела (BitLocker).

3) Создание зашифрованного виртуального диска внутри ОС (SafeDisk).

В принципе, все три метода имеют свои преимущества и недостатки. Давайте на них взглянем пристальнее.

1) Наши файлы шифруются на индивидуальной основе.

a. +

image i. Файлы, которые не являются конфиденциальными, не подвергаются шифрованию, потому производительность системы затронута по минимуму.

ii. В случае утери ключа данные можно восстановить при помощи агента восстановления (это про EFS, но у других производителей также реализованы свои методы восстановления)

iii. Можно предоставлять общий доступ к данным нескольким пользователям.

iv. Файл от копирования на другой носитель не перестает быть зашифрованным (UPD: В случае EFS это не так, если мы копируем на другую файловую систему. Скажем, FAT. За примечание спасибо Вадимсу Подансу =) ).

v. Если повреждена часть файла, то поврежден только этот файл.

b. –

i. Пользователю необходимо решать, какие данные нуждаются в шифровании. Не всегда он способен это решить правильно.

ii. Если не задан агент восстановления (стандартный случай при отсутствии домена, скажем), то многие простые, казалось бы, ситуации (переустановка Windows, удаление профиля, etc…), грозят утерей данных.

iii. Любой из пользователей, которым предоставлен доступ, может им злоупотребить.

2) Шифрование раздела

a. +

i. Шифруется все. То есть подлезть к конфиденциальным данным путемimage изменения неконфиденциальной части и/или ОС не получится.

ii. Так же есть способы резервирования ключей шифрования. Потеря оных не страшна, если задуматься над ней заранее.

iii. Некоторые технологии позволяют контролировать целостность данных на Вашем винчестере и, в случае попыток подделки просто не дадут Вашему компьютеру загрузиться.

iv. При повреждении кластера на диске пропадет только тот файл, который там записан. Все остальное останется неизменным.

b. –

i. Так как шифруется все, то есть некоторое падение производительности. На деле, с тем же самым BitLocker – обычно не более 5%.

ii. Если не побеспокоиться заранее, то разрушение ключевой информации будет фатальным. Не сможете восстановить ничего.

iii. Файлы, скопированные с такого компьютера на любой носитель, будут расшифрованы.

iv. Требует определенной культуры поведения. Например, Ваш ноутбук должен быть настроен как минимум на режим гибернации при закрытии крышки. И на уход в него же при длительном простое. Просто потому, что защита срабатывает только в том случае, если компьютер выключен.

3) Виртуальный зашифрованный диск

a. +

image i. Шифруется только то, что нужно – падение производительности так же, как и в первом случае, минимальное.

ii. Обычно бывают какие-то решения по хранению ключей, но сказать подробнее не могу, потому виртуально запишем в плюс =)

iii. В некоторых случаях позволяет переносить с одного компьютера на другой весь контейнер целиком.

iv. Не требует особых навыков от пользователя.

b. –

i. В случае повреждения файла контейнера обычно теряется вся информация, содержащаяся в нем.

ii. Пользователь опять же должен решать, что нужно, а что не нужно шифровать.

Плюс к этому есть еще пара общих факторов, влияющих на эффективность шифрования: если пользователь ушел и оставил рабочее место незалоченным, а виртуальный шифрованный диск еще и не размонтированным… Что ж. То же касается вирусов на Вашем компьютере. Если Вы расшифровали файл и используете его, то вирус тоже может его использовать.

Ссылки на публикации серии.
Часть 1: вводная
Часть 2: антивирус
Часть 3: Firewall
Часть 4: SSL
Часть 5: VPN + обновления
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Часть 8: контроль доступа и биометрия
Часть 9: шифрование
Часть 10: UAC

>Поисковые запросы, PoSh, размер файлов и поиски решения.

>

Иногда просматриваю поисковые запросы, приводящие на мой блог. Иногда там есть подсказки на небольшие новые темы. Так было и вчера. Поисковый запрос выглядел так: “подсчитать размер всех файлов powershell”.

Собственно, задачка совсем простая и не стал бы я особо даже заморачиваться с написанием статей. Однако, когда я просто интереса ради дописал строчку

Get-ChildItem C:test -recurse | Measure-Object -property length -sum

я немного задумался и понял, что такой простой вопрос не мог не возникать у кучи людей. И потому вполне может быть (и даже должно) решение давным давно выложено там, где я всегда искал ответы на заре той эпохи, когда я только начинал писать скрипты (я все еще учусь, но уже не по каждому поводу прибегаю к чьей-то помощи. Так… Через раз… Прогресс =) ). Таким местом для меня всегда был и остается Microsoft Script Center, который не подвел и в этот раз, выдав целую статью по искомому поводу.

Почему я решил написать об этом так много букв? Да потому, что до сих пор очень часто вижу запросы на написание каких-то мелких скриптов, когда для их написания достаточно того самого Script Center и спинного мозга. А иногда и просто можно найти ответ прямо там. То есть смело гуглим по сайту http://www.microsoft.com/technet/scriptcenter и находим то, что нужно первой строчкой:

image 

Хотел развернуть эту тему дальше – на то, как собирать скрипты из кусочков (точнее, как это делаю я), но передумал и решил предложить Васе Гусеву развить эту тему. А моралью данной статьи будем считать просто необходимость сначала искать примеры или куски скриптов в наиболее крупных репозиториях, а потом уже по всему интернету =)

>“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 8.

>

Контроль доступа.

image «Мы установили лучшую систему контроля доступа, самую дорогую систему видеонаблюдения и наняли лучшее охранное агентство для обеспечения физической безопасности»

Вау!!! Круто. Нет, правда. Я тоже хочу такие. Только что толку? Карточки доступа оставляются на рабочих местах, потому что заботливая душа подперла уже давно дверь кирпичом. Охранник курит каждые 10 минут (а курение в офисе запрещено, потому он, как законопослушный гражданин бегает через все здание на улицу…).

А система видеонаблюдения ничего никуда не пишет, увы. И даже не просматривается. Вывод: в лучшем молоке оборудовании не всегда таится лучшая защита.

Биометрия

Сканеры отпечатков пальцев, сетчатки глаза и прочие средства биоаутентификации являются, увы, так же малым утешением. Да, их все труднее и труднее обмануть, но… Есть одно маленькое но. Трудно это сделать, имея крайне ограниченные сроки, нежелание разломать ноутбук, на котором хранятся защищенные данным средством данные и не хочется, чтобы кто-то догадался, что произошел взлом. Короче, от любопытных домочадцев или еще более любопытных сослуживцев. На худой конец, от случайного воришки, для которого ценность самого ноутбука неизмеримо выше, чем стоимость данных на нем. Но от злоумышленника, который целенаправленно «увел» именно Ваш ноутбук (а потому уже давно владеет Вашими отпечатками пальцев – это несложно, если оно ему нужно), обладает определенными временными, финансовыми и техническими ресурсами, а главное – головой…. От такого вора эти технологии не спасут. Просто потому, что ему не нужно будет сохранять целостность устройства, а потому он может обманывать не датчик, который обмануть моет быть и впрямь не просто, а те imageустройства и программы, которые сверяют полученный от устройства сигнал с зашитым образцом. И это уже будет, возможно, намного проще. Я уже не говорю о возможности просто подключиться к винчестеру, если он не зашифрован и просто удалить эту систему защиты нафиг… Или даже просто прочитать данные.

Остается, правда, одна область, в которой биометрия очень даже поможет и указанные мной «уязвимости» ни на что в этой ситуации не влияют – стационарные пункты доступа к информации и/или пропускные пункты – тут уже особо не поразбираешь ничего.

Ссылки на публикации серии.
Часть 1: вводная
Часть 2: антивирус
Часть 3: Firewall
Часть 4: SSL
Часть 5: VPN + обновления
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Часть 8: контроль доступа и биометрия
Часть 9: шифрование
Часть 10: UAC

>PBT – правда ли это кранты дамперам?

>

 image Сегодня ходил на пилотный экзамен 70-113. Можно не бросаться искать в каталоге – там его нет (то ли пока, то ли вообще). Реально это 70-640 с измененным способом тестирования. И это именно пилотный экзамен. Не бета. На деле за этот экзамен не выдадут сертификата, его цель просто понять, как и что нужно делать в Performance Based Testing (PBT), чтобы экзамен действительно оценивал уровень специалиста его сдающего.

Что представлял из себя сам экзамен и каковы мои ощущения от него? Сейчас расскажу. Только прошу учесть, что то, что я видел даже не бета версия, потому и цифры и прочие факты могут в последствии без всяких предупреждений измениться в любую сторону.

Экзамен делится на две части: лабораторные работы и стандартный multiple-choice тест. Про multiple-choice и сказать нечего – абсолютно все стандартно. Стандартный экзамен 70-640 (наверное ;) ) и стандратные “Вопрос — ответы”. А вот лабы… Лабы это то новое, чем собираются пугать дамперов и прочую нечисть… Лабы представляют из себя не привычные многим “симуляшки”, в которых зачастую можно было что-то сделать тольоко одним способом, а виртуальные машины, с созданной предварительно инфраструктурой, сетью, доменами и прочим барахлом. А ко всему этому хозяйству Вам дается несколько заданий. И Вы должны их выполнить, задания эти.

По моим ощущениям я бы предпочел сдавать экзамен, полностью состоящий из такого PBT. Почему? Отвечаю: в этих виртуалках доступен Help And Support Center!!! Нет, Вы только подумайте, есть задание, которое Вы не знаете как делать или забыли, куда конкретно лезть. Проблема? Отнюдь – спокойно идете в помощь, ищете, что нужно и читаете. Времени на это предостаточно, если большинство заданий сделано быстро. По моим наблюдениям, если знать ответы на все задания, что предложены этими лабами, то лаба выполняется за 20-30 минут. Остальное время можно потратить на самоусовершентсвование. В частности, из 18ти заданий лаб я с ходу не смог пройти 3. Итого, на решение двух задач у меня было около получаса, а на решение одной – почти сорок минут. Что не плохо, согласитесь (хотя если бы там еще библиотека TechNet была подмаунчена… Хых… Мечты… =)))) ) В общем, я не знаю, есть ли на свете идиоты, которые имея базовые знания по сдаваемой теме завалят всю лабу. Совсем дамперы без мозгов, наверное, поймаются. Более менее внятные люди должны пройти.

По поводу глюков: хоть происходило все это действие в софте Prometric глюков отмечено решительно не было. Возможно, повезло, возможно, ситуация меняется к лучшему.

И еще немного статистики. Я точно знаю, что она не помогает готовиться, но так же точно знаю, что некоторым помогает просто эмоционально настриться на экзамен:

1) Было две лабы и 37 вопросов в стандартной части теста.

2) На каждую часть выделялось по часу. Итого – три часа. Хватило с лихвой, потратил чуть больше полутора часов и то только потому, что в одном вопросе очень долго не был уверен. image

3) Заданий в первой лабе было 10, во второй – 8.

И последнее. Есть возможность испытать то, о чем я рассказываю самим. Регистрация на пилотную серию открыта до 17 декабря. Для этого нужно просто зарегистрироваться на экзамен 70-113 с промо-кодом H640. Зачем Вам это нужно? Ну, во-первых, интересно. А во вторых – первые 3000 кандидатов получат по три ваучера на бесплатные экзамены ;) На сей раз нормальные. Так что торопитесь =)

P.S. исходную информацию забыл: http://blogs.technet.com/mslcommunity/archive/2008/10/25/braindumps-schmaindumps.aspx

>Из жизни. SQL, Mirror & все-все-все.

>

Многие, думаю, знают, что такое зеркалирование в MS SQL Server. Я тоже в курсе, мало того, часто приходится с этой технологией работать. Спасает она меня регулярно, но и подводные камни иной раз подставляет такие, что мама не горюй.

Например, в какой-то момент случилась такая вот оказия:

Перестает отвечать сервер principal. Мы его перезагрузили, но переключение зеркала не произошло, хотя и присутствовал witness. Мало того, после перезагрузки основного сервера у меня на руках оказалось два Principal… Да-да. Именно так мне и писалось. Увы, скриншот снять не догадался – не до того было ;)

Но на одном хосте состояние всех баз было “Principal, Disconnected”, а на втором “Principal, Disconnected/In Recovery” , по-моему.

Ужасная ситуация. Я начал с одной самой маленькой базы – удалил ее с основного хоста и стал восстанавливать зеркало. Восстановил базу на сервер с NORECOVERY и попытался запустить зеркало. Мастер Configure Security отработал на ура, но при попытке запустить зеркалирование я получил ошибку…

image_4

Опа… Какие-такие endpoints… Не брал. И Астрахань-то с Казанью вместе не брал, а уж endpoints… И вовсе не трогал. Начинаем ковыряться и находим статейку, с помощью которой видим, что все отлично работает:

image

Совсем упс… Пинговаться все пингуется, никаких внезапных файрволлов между узлами за те несколько минут, что все лежит тоже не появилось… Ужас. Совершенно непонятная ситуация, а время идет. Дальнейшее расследование нужного результата не давала. Даже нужный порт слушался на обоих серверах. Все было бессмысленным, надежда на премию таяла… И тут где-то промелькнула мысль, что, о ужас, строка, показанная на предыдущем скриншоте, может выдавать неверную информацию не только в случае, указанном в разделе Using The Error Log File For Diagnosis в последней ссылке. Итак, срочно запускаем

alter endpoint mirror state = started

на обоих серверах и – вуаля! Как только я это сделал, все старые базы просто-напросто заработали в штатном режиме зеркала, а та, где я успел убить зеркало дала его восстановить.

Глубинные причины происшедшего мне непонятны пока – расследование все еще ведется, но сам результат уже почти устраивает ;)

>“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 7.

>

Резервное копирование.

image Как говорится – последняя надежда. Да, если Вас взломали, уничтожили серверную или просто пользователь легким движением руки отправил важные для бизнеса документы в утиль («совершенно случайно нажал shift и delete одновременно сразу после ctrl+A…» (c)), то остается один шанс – резервная копия, она же уже прочно вошедшее в нашу лексику слово бекап. Казалось бы, чего проще, залил раз в неделю (в месяц, в день, в час, в 15 минут…) резервную копию на ленту, CD, DVD, винчестер и живи спокойно. Однако и тут выясняется, что есть над чем подумать – неправильная стратегия может привести к тому, что последняя надежда может оказаться кладбищем самой себя. Прямо таки скажем, могилой. Как? Легко!

Пример 1: Вы просто заливаете бекапы, не проверяя их, и забываете на своем рабочем столе. В итоге, в момент, когда приходит час «Ч» Ваши носители оказываются залиты кофе или потеряны. А еще на них нет меток что и на чем записано, и, пока Вы перетряхиваете их содержимое, Ваш бизнес медленно, но верно умирает вместе с надеждами встретить старость на этом теплом месте. =(

Пример 2: Вы ни разу не пытались произвести тестовое восстановление систем. А когда пришло время восстанавливать их «в бою» выяснилось, что:

1) нужной копии нет под рукой, и никто не знает, как ее найти.

2) Когда копия находится, Вы понимаете, что никогда не читали «disaster recovery guide» к этой системе и уж точно никто не написал инструкцию.

3) И как только нужный документ проштудирован (а время идет…) становится ясно, что именно нужная копия либо испорчена кофе, или имеет ошибки записи, или бекап производился по схеме, которая не дает возможности отката на нужное время.image

Пример 3: Ваши бекапы украдены (ага, с того самого стола). И только после обнаружения пропажи выясняется, что копирование производилось без шифрования. А то и вовсе пропажа не обнаружится. А что может сделать злоумышленник с резервной копией Вашего контроллера домена, рассказать может Саша Станкевич.

Ссылки на публикации серии.
Часть 1: вводная
Часть 2: антивирус
Часть 3: Firewall
Часть 4: SSL
Часть 5: VPN + обновления
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Часть 8: контроль доступа и биометрия
Часть 9: шифрование
Часть 10: UAC

>“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 6.

>

Очередное продолжение нескончаемой серии…

Процедуры и регламенты.

«если запретить пользователям все плохое, то сеть станет неуязвимой». Ага. Прямо сразу. Вот только носки погладит… Что, Ваша сеть не умеет гладить носки? Ну так и неуязвимой она тоже быть не умеет. И в любом случае, запреты сами по себе ничего не решают. У нас запрещено нарушать правила дорожного движения, и что? =(

Правила, запреты, регламенты и прочая бумажная белибердень очень важны. Без них не может быть безопасности. Пусть они не всегда оформлены в виде документов (что на самом деле хорошо бы), но там где нет правил — там нет безопасности. Однако и сказать, что наличие правил от чего-то защищает само по себе — тоже ерунда. Правила нужно:

  1. Написать (еще здорово бы хорошо написать, но это тема отдельного разговора).

  2. Донести до пользователей и научить, как их выполнять (легко сказать «каждый пользователь должен менять пароль раз в месяц», но баба Клава может не знать, как это делается).

  3. Проследить за выполнением, а еще лучше, обеспечить выполнение техническими средствами.

Вот после этого комплекса мероприятий политика безопасности, если она была написана разумно, будет работать на благо безопасности Ваших данных.

Принцип наименьших полномочий.

«А вот мы пользователю админских прав не дадим и можно антивирус даже не ставить»… Защититься от дурака — можно. От изобретательного дурака — тоже, но на порядки сложнее. Защиты от пользователя, имеющего полный физический доступ к своему компьютеру задачи архисложная. И лучше уж и права ограничить и антивирус поставить и вообще не расслабляться. Для компьютеров, на которых обрабатывается суперважная информация, можно и нужно еще и отдельный контроль надо всем и вся, а вот за обычными порой так пристально не следят.

Ссылки на публикации серии.

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

Часть 10: UAC

>“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 5.

>

Продолжение серии. Итак…
VPN.
Еще одна мегаполезная штука. Обеспечивает защиту данных при транзите. Отличная вещь и, при правильной реализации почти наверняка не подкопаешься. Однако, защищает только от того, чо я уже сказал: от перехвата и подделки данных в транзите. Если у Вас скомпрометирован один из узлов, участвующих в обмене, то в транзите данные будут в безопасности, но, как только они придут в пункт назначения, то тут же уйдут дальше — куда не надо. А еще, если лежит или заDOSен канал, то данные просто не передать, так что вопросы доступности эта технология так же не решает.

Обновления.
Есть радикальное мнение, что обновления — фигня. Сами Вы… =) впрочем, обратное мнение, что, мол, ставьте обновления сразу, как только они выходят и никто Вас не взломает… Увы, это тоже очевидная ересь и глупость. Во-первых, установка обновлений без тестирования на хоть сколько-нибудь значимое число компьютеров рано или поздно приведет к вполне предсказуемым (и неприятным, если кто не понял) последствиям. А во-вторых цикл разработки обновлений безопасности начинается (Вы не поверите) с того, что кто-то нашел уязвимость. И совсем не факт, что этот кто-то не ломает сейчас чью-то запатченную по самое не былуйся систему. Впрочем, таких талантов немного, к счастью для пользователей, потому обновления все-таки существенно снижают шансы на взлом.

Ссылки на публикации серии.

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

Часть 10: UAC