To není o Windows, to je o uživatelích. Na nějaký cryptovir není třeba žádná zranitelnost, pokud donutíte uživatele něco spustit, tak je vymalováno. Na zašifrování osobních dat nejsou potřeba nějaká speciální oprávnění, či díry v OS.Admin sítě toto může minimalizovat vhodnými zabezpečeními :
- filtrace webu přes transparentní proxy a přístup ven jedině přes proxy
- dobrá kontrola mailů (zákaz spustitelných příloh/skriptů, kontrola archivů, zákaz vnořených archivů atd.)
- vhodně nastavený AV na stanicích, ve kterém je nastavený aplikační firewall (např. zakázat, aby procesy office spouštěly procesy jako vbscript, rundl32 atd.), takže kdo otevře infikovaný dokument, tak tomu se nic nestane, protože se škůdce nedokáže spustit. Nap.ř ESET tomu říká HIPS filter a má pro něj přednastavený profily a zveřejněny jednoduché step2step postupy
- nasazený ověřování 802.1x, aby si do sítě nemohl nikdo připojit cokoli chce
- nasazený sondy a kontrolu, co po síti běhá, v podobě, tzv. IDS (Snort/Suricata apod.)My jsme třeba Wannacry a další věci prošly bez úhony, což si myslím, že je hlavně díky dobrému antispamu na mailech + vhodně nastavenému AV (aspoň podle toho, co vidím v logách za hnusoty).
Zdar Max