Корпоративный саботаж

)

И мотивации к нарушению безопасности меньше будет.

Странным, это внезапное перечисление вами своих высоких компетенций при совете TC «сносить всё к чертям».

Ну да, я заметил что нынче считается странным делать работу качественно и экономить средства работодателя. В общем мне то лично всегда срать на средства работодателя, но самоуважение не позволяет делать работу спустя рукава. В работе админа надо все взвешивать и обеспечивать за минимальные деньги максимальную надежность, диалектичная задача.

удалить винду... это же очевидно...

да вообще там все поотключать к собакам, пусть на счетах считают...

Начать с того, что убрать у всех юзеров админский доступ, а тем кому он нужен для каких-то убогих приложух тонко настроить именно для этих приложений.

Дальше поковырять гейт на предмет запрета любого ненужного конторе трафика.

Прогнать все раб станции простецким руткит детектором. Купить и поставить везде нормальный антивирь (не каспера!) и настроить автоматическое обновление.

50 рабочих станций на винде в рабочей группе, это хрень какая-то, которую можно с пол тычка админить удалённо тратя на это часа 4 в неделю.

Сделай всё это еще и счёт выстави руководству, за аудит тк сказать. Заодно поковыряешься и разберёшься в анализаторах на руткиты. Это всегда полезно.

И не слушай тут всяких гопнегов. Конечно, переставить всё с нуля и под домен было бы не плохо, но есть ли у тя на это время и платят ли тебе за это соответствующе?

Если нет то не парься.

Купить и поставить везде нормальный антивирь

В десяточке же, афайк, из коробки идёт какой-то. Плохой? Кто хороший? Из-за чего касперский плохим стал? Не защищаю кав\кис, просто интересно. Со времён семёрки их не видел.

Да, вот у меня тоже такой вопрос напрашивается. К слову, кто-нибудь юзал ClamWin + ClamSentinel? Есть еще какой-то Immunet, только я тут так и не понял - резидентный монитор в нем есть или нет.

Дома юзаю уже лет 8 точно аваста. Щас под 10кой работает в купе со штатным антивирем. Конечно, я на стороне той идеи, что лучший антивирус - пользователь, поэтому все ровно всегда было. По крайней мере загрузочный касперыч при сканировании никогда ничего не находил, а сам аваст сообщает о вредоносных сайтах.. хз

работает в купе со штатным антивирем

Как? О.О Они же по идее должны друг-друга убивать регулярно, или дефендер аваст, как минимум.

Аваст в исключениях?

Файлы\процессы постоянно проверяет сначала один, потом второй? Не тормозит?

По крайней мере загрузочный касперыч при сканировании никогда ничего не находил, а сам аваст сообщает о вредоносных сайтах.. хз

Не распарсил. Как лайвсиди должен сообщить о плохой репутации сайта, который ты не посещаешь сейчас?

Аваст у тебя mitm сидит? Не страшно? Как аутентичность сайтов проверяешь?

Никто никого не трогает, ни в 7ке не трогали, ни в 10ке. Никаких исключений - поставил винду, поставил аваст, всё. Не тормозит, по крайней мере - видимо.

Имелось в виду - лайфсиди не находит ничего на жестком диске после работы аваста. А сайты выявляет аваст во время работы.

Не тормозит, по крайней мере - видимо

Значит аваст просто выключает дефендер при установке.

лайфсиди не находит ничего на жестком диске после работы аваста.

Значит что ты не ловил ничего, что не ловит аваст)

А сайты выявляет аваст во время работы.

Quis custodiet ipsos custodes? Антивирусу в браузере ничего делает, чего бы не делал браузер сам. Только впустую вмешивается в твой трафик.

Ясно, спасибо.

повсюду винда, пара виндосерверов. Я понимаю <...>
Security
LINUX.ORG.RU

Жаль не понимаешь, что минимум, ты ошибся разделом (максимум - сайтом)

Хорошо, спасибо.

Шифровальщик к вам не прилетал? Тогда мы идем к вам!

ClamWin на шлюз если только... ИМХО

из бесплатных для организаций на 7ке юзаю Comodo...

хотя и комодо и встроенный в 10ку - гогно для отечественных реалий...

К нам? Нет. А в этой организации увольняется сисадмин, который все это «строил» и увольняется, надо отметить, не совсем гладко, а меня просто по-дружески руководство, а по совместительству - мои родственники, попросили провести что-то вроде аудита. В остальном я к этому болоту никакого отношения не имею.

для такого болота, имхо, шифровальщики и есть главная угроза.

причем рецепты «отбери админ-права и установи антивир» устарели.

«закладка» от старого админа, как понимаю этого боятся, спокойна может работать без админских прав, без доступа к инету и антивирус на нее может не среагировать...

поэтому еще жестко ограничивать запускаемые приложения юзерам, только белым списком доверенных приложений... а как это органировать - вопрос уже второй...

Говорят от админских закладок неплохо бэкапы помогают.

Свой сертификат на все машины, в инет только через прокси с открытыми 80 и 443 портами, на 443 MitM со своим сертификатом.
По логам смотришь, что там кроме обычных сайтов. Но грамотная закладка будет слать DNS запросы как минимум.

а меня просто по-дружески руководство, а по совместительству - мои родственники, попросили провести что-то вроде аудита.

Ну да, ТЫЖПРОГРАММИСТ!

Все переустановить. Всем минимальные права. Белый список ПО. Белый список в firewall.

Я пришел сюда в надежде за техническими рекомендациями, а не субъективными мнениями о смыслах, в том то и дело)

Дело не в том за чем ты пришел, а в том что можно в описанной тобой ситуации сделать.

А то фактически ты пришел и спрашиваешь совета как сделать так чтобы автомобиль всегда оставался чистым. Вот тебе и советуют оба варианта:

1. Регулярно мыть.

2. Не ездить.

Ну сам посуди, что еще можно посоветовать даже если очень хочешь помочь?

Сама постановка твоего вопроса такова, что любому человеку знакомому с методологией аудита становится ясно что ты с этой методологией не знаком. Изучить методологию, да еще и грамотно применить за два дня НЕ РЕАЛЬНО. Скорее всего два дня не хватит даже на то чтобы прочитать и осознать основные документы по аудиту.

В твоей ситуации можно посоветовать только понять чего именно от тебя хочет начальство и какие у него (начальства) цели. А дальше действовать по обстановке.

в этой организации увольняется сисадмин, который все это «строил» и увольняется, надо отметить, не совсем гладко, а меня просто по-дружески руководство, а по совместительству - мои родственники, попросили провести что-то вроде аудита. В остальном я к этому болоту никакого отношения не имею.

Сочувствую. Ты в ()(), вне зависимости от результата. 1. Потому что родственники. 2. Потому что гарантии ты дать не сможешь в любом раскладе.

Могу только посоветовать ЗАРАНЕЕ сказать что никаких гарантий ты дать не можешь. Может хоть это тебя немного спасет от гнева родственников когда что-то гикнется.

Ну и как минимум стоит сделать полный холодный бакап всей ценной инфы со всех машин на случай конкретного саботажа. Если хоть не родственники, то следующий админ тебе чуть благодарен будет.

автор писал что ему еще и сроки дали типа «два дня и чтоб всё сверкало».

ну и работодатель должен был об этом задуматься не когда жаба за жопу укусила, а раньше и какой-то план составить, график. выработать подход и так далее.

скажем так.

родственники это хорошо, в том плане что им можно объяснить, что задача наскоком не решается.

далее, родственники тебя попросили аудит сделать не потому что они резко решили соответствовать стандарту, а именно потому что сисадмин увольняется не гладко и он может оставить закладку.

значит, тебе не нужно всё сделать так чтоб сверкало. ты ищешь закладку от админа. первое что ты должен сделать это БЭКАП. немедленно и каждый день вечером на автомате в течении месяца на отделяемый носитель.

то есть на двери вешается объявление, что все документы лежат строго в определённых папках на сервере. сервер делает бэкапы. потому что у тебя может ждать своего часа троянчик и тебе надо минимизировать потери. каждый день бэкапы нужны только на угрожаемый период - 2-3 месяца. далее раз в три дня.

самое простое что можно сделать - принести и установить еще один сервак, который будет заходить и дампить к себе на диск документы из выбранных папок. хоть скриптом по крону. обратно он ничего не отдает, никаких портов не открыто.

Нужно проверить сеть с примерным количеством рабочих мест - 50 на возможное наличие разного рода закладок, скрытых устройств, скрытых процессов и прочего всего, что может навредить организации.
время очень сжато
а там даже AD нету
а у пользаков адм доступ.

Задача нерешаема. Как минимум без отбирания административного доступа, а то и реинсталла всех машин с вводов в AD, который тоже нужно поднять, на полтинник машин то уже поди можно организовать НОРМАЛЬНОЕ управление.

Словом, как бы вы поступили, если бы была поставлена задача проверить локалку на разного рода вредности?

Запросил бы МНОГО денег и МНОГО времени. Не или, а именно «И», потому что просто баблом тут задача не решается, тут работать надо.

В общем мне то лично всегда срать на средства работодателя, но самоуважение не позволяет делать работу спустя рукава

А так и надо. Не надо жаться и экономить, просто выдаешь варианты начиная с идеального и по убывающей. И в каждом варианте расписываешь насколько красочен может быть факап.

А уж на каком варианте остановится работодатель - это его проблемы. Кому-то и критическую по важности БД хранить на PC с целероном 2008 года выпуска без RAID-а и бэкапов - это «приемлимо».

clamav и его производные - это максимум по факту удалить вирьё. Режим «монитора» в них убогий чуть более чем полностью.

Ещё на наличие пассивных снифферов можно проверить. См., например, эту старенькую статью: https://www.opennet.ru/base/sec/detect_sniff.txt.html .

Для начала включить Защитник Windows на всех компах и настроить автообновление вирусных баз, регулярные сканирования (во время обеденного перерыва, например). Дальше разработать план на случай возможных саботажей со стороны пользователей в попытках отключения автообновлений и предотвращения внешнего управления и административно-технического обслуживания оборудования компании.

Для начала включить Защитник Windows

Я даже не подумал, что это маздай, настолько от него отвык.

разработать план на случай возможных саботажей со стороны пользователей в попытках отключения автообновлений

А там все компы с маздаем не перестанут загружаться после очередного автообновления?

Вообще, слышал однажды давно такую историю. Нужно было максимально эффективно и дёшево защитить небольшую сетку с компами на ещё в то время хрюшке. Работникам фирмы нужно было подключаться по работе только к одному единственному ресурсу. Был поставлен самый дешёвый роутер DLink, на компах отключено автообновление (чтоб не тормозили), никаких антивирусов (по той же причине), но... в роутере был прописан единственный разрешённый ip'шник на заданный ресурс, а на компах — запрет подключать по usb любые устройства, кроме мышки и клавы. Ну и dvd-приводов/кард-ридеров/дискеток там тоже не было. Дёшево, сердито и эффективно.

Вообще, слышал однажды давно такую историю.

В свое время многие банки только так и делали

Зачем отключать автообновление, если на маршрутизаторе разрешён только один IP-адрес?

Зачем отключать автообновление, если на маршрутизаторе разрешён только один IP-адрес?

Для скорости, которая там тоже была важна. Чтоб хрюшка не запускала в самый неподходящий момент проверку обновлений и не начинала стучаться на сайт маздая.

В свое время многие банки только так и делали

Очень может быть. Эта контора тоже с банком работала.

Так ведь он заблокирован.

Так ведь он заблокирован.

Но он-то об этом не знает, пока не убедится, что маздай.ком недоступен. Соответственно, запускается проверка, начинает стучаться на маздай.ком, это ничем не заканчивается, но ресурсы расходуются. Если в этот момент происходит важная транзакция с банком, то она может на пол секунды притормозиться, и поезд может уехать (в смысле, другой перехватит сделку или цена изменится). Там на этих их биржах боты работают, поэтому всё надо делать быстро, каждая доля секунды дорога.

Дёшево, сердито и эффективно.

я бы приперся со своим tl-mr3020 и сидел бы в этих ваших интернетах...

я бы приперся со своим tl-mr3020 и сидел бы в этих ваших интернетах...

А как бы к банку подключался с его ip'шника?

ну когда мне будет невтерпеж желаться поработать, я так и быть отключу свой девайс и подключу к компу rj-45 коннектор от офисной сетки...

Вредные советы. Антивирусы полное барахло в случае шифровальщиков + сжирают ресурсы пк. Выход - выкинуть все это тормозное уг и начать настраивать систему - никаких админских прав, белый список ПО(пользователь не сможет запустить вложение в письмах, установить по с разных помоек).

Антивирусы полное барахло в случае шифровальщиков + сжирают ресурсы пк.

Ни разу не попадал в историю с шифровальщиком в Windows при включенном Windows Defender (Windows XP) и Защитнике Windows (7/8.1/10).

Вредные советы.

У тебя — сильно трудоёмкие и невыполнимые в большинстве случаев, если в организации нет системы на основе контроллера домена.

Ни разу не попадал в историю с шифровальщиком в Windows при включенном >Windows Defender (Windows XP) и Защитнике Windows (7/8.1/10).

просто повезло. Шифровальщик ничем не отличается от обычного ПО - не будет в базах - запустится и все зашифрует. Сам видел, как обновленный касперский не заблокировал шифровальщик.

У тебя — сильно трудоёмкие и невыполнимые в большинстве случаев, если в >организации нет системы на основе контроллера домена.

Тут ты прав. Есть правда еще дурацкий способ - собрать образ со ОС и всем ПО, и настройками, прописать загрузку дров и просто клонировать диски. Но проблема обновлений стороннего софта остается.

без шансов

просто повезло.

обновленный касперский не заблокировал шифровальщик

Не пользуйтесь этим. Он далеко отстал от Защитника Windows.

Не пользуйтесь этим. Он далеко отстал от Защитника Windows.

вообще никаким не пользуюсь. На домашнем компе не проблема за вечер все настроить. Родителям тоже настроил - уже полгода полет нормальный, никакой малвари.

Я бы действовал так: [li]

• Определился с быстро, качественно, дешего
• Определяемся с бюрократическими деталями, создаем новый «свод правил» для сотрудников.
• Если быстро - то купить или сделать на тяпляп (предварительно предупредив об этом руководство). Если дорого - то покупаем аудиторов. Если дешего и быстро - ставим анализатор трафика, бьем тех, кто создает «плохой» трафик.
• Если удается выбить медленно - создаем новую инфраструктуру. Без админ.полномочий у юзеров, с групповыми политиками, а лучше вообще без форточек (Форточки - если полностью обелить, с саппортом и обновами, антивирью, набором ПО. Но это дорого). [/li]

  Утопия не получится, нужно объяснить это руководству.

Нужно проверить сеть с примерным количеством рабочих мест - 50 )
Заранее пасип)

Забавный гендир