LINUX.ORG.RU

Корпоративный саботаж

 


4

3

Доброго времени суток всем.

Мой вопрос может показаться малость нубским, в общем я знаю куда копать, но раньше с этой темой вплотную не сталкивался, поэтому буду рад любым практическим советам.

Нужно проверить сеть с примерным количеством рабочих мест - 50 на возможное наличие разного рода закладок, скрытых устройств, скрытых процессов и прочего всего, что может навредить организации.

Сеть довольно проста - на воротах аппаратный маршрутизатор, на рабочих местах повсюду винда, пара виндосерверов. Я понимаю, что в идеале, ну разумеется смена паролей - само собой, проверить каждое рабочее место, на наличие всяких тимвьюверов и прочего, но время очень сжато, а там даже AD нету, а у пользаков адм доступ.

Словом, как бы вы поступили, если бы была поставлена задача проверить локалку на разного рода вредности? А вот какие они могут быть - хз, хз. Любые - несанкционированный вход, удаление ценной инфы, ее копирование, шифрование, поиск скрытых устройств и тд. Буду рад, если еще этот список будет дополнен.

Заранее пасип)



Последнее исправление: Ledicon (всего исправлений: 1)
Ответ на: комментарий от Ledicon

)

И мотивации к нарушению безопасности меньше будет.

torvn77 ★★★★★
()
Ответ на: комментарий от erfea

Странным, это внезапное перечисление вами своих высоких компетенций при совете TC «сносить всё к чертям».

UNiTE ★★★★★
()
Ответ на: комментарий от UNiTE

Ну да, я заметил что нынче считается странным делать работу качественно и экономить средства работодателя. В общем мне то лично всегда срать на средства работодателя, но самоуважение не позволяет делать работу спустя рукава. В работе админа надо все взвешивать и обеспечивать за минимальные деньги максимальную надежность, диалектичная задача.

erfea ★★★★★
()
Ответ на: комментарий от anonymous

да вообще там все поотключать к собакам, пусть на счетах считают...

Ledicon
() автор топика

Начать с того, что убрать у всех юзеров админский доступ, а тем кому он нужен для каких-то убогих приложух тонко настроить именно для этих приложений.

Дальше поковырять гейт на предмет запрета любого ненужного конторе трафика.

Прогнать все раб станции простецким руткит детектором. Купить и поставить везде нормальный антивирь (не каспера!) и настроить автоматическое обновление.

50 рабочих станций на винде в рабочей группе, это хрень какая-то, которую можно с пол тычка админить удалённо тратя на это часа 4 в неделю.

Сделай всё это еще и счёт выстави руководству, за аудит тк сказать. Заодно поковыряешься и разберёшься в анализаторах на руткиты. Это всегда полезно.

И не слушай тут всяких гопнегов. Конечно, переставить всё с нуля и под домен было бы не плохо, но есть ли у тя на это время и платят ли тебе за это соответствующе?

Если нет то не парься.

anonymous
()
Ответ на: комментарий от anonymous

Купить и поставить везде нормальный антивирь

В десяточке же, афайк, из коробки идёт какой-то. Плохой? Кто хороший? Из-за чего касперский плохим стал? Не защищаю кав\кис, просто интересно. Со времён семёрки их не видел.

mogwai ★★★★★
()
Ответ на: комментарий от mogwai

Да, вот у меня тоже такой вопрос напрашивается. К слову, кто-нибудь юзал ClamWin + ClamSentinel? Есть еще какой-то Immunet, только я тут так и не понял - резидентный монитор в нем есть или нет.

Ledicon
() автор топика
Ответ на: комментарий от mogwai

Дома юзаю уже лет 8 точно аваста. Щас под 10кой работает в купе со штатным антивирем. Конечно, я на стороне той идеи, что лучший антивирус - пользователь, поэтому все ровно всегда было. По крайней мере загрузочный касперыч при сканировании никогда ничего не находил, а сам аваст сообщает о вредоносных сайтах.. хз

Ledicon
() автор топика
Ответ на: комментарий от Ledicon

работает в купе со штатным антивирем

Как? О.О Они же по идее должны друг-друга убивать регулярно, или дефендер аваст, как минимум.

Аваст в исключениях?

Файлы\процессы постоянно проверяет сначала один, потом второй? Не тормозит?

По крайней мере загрузочный касперыч при сканировании никогда ничего не находил, а сам аваст сообщает о вредоносных сайтах.. хз

Не распарсил. Как лайвсиди должен сообщить о плохой репутации сайта, который ты не посещаешь сейчас?

Аваст у тебя mitm сидит? Не страшно? Как аутентичность сайтов проверяешь?

mogwai ★★★★★
()
Ответ на: комментарий от mogwai

Никто никого не трогает, ни в 7ке не трогали, ни в 10ке. Никаких исключений - поставил винду, поставил аваст, всё. Не тормозит, по крайней мере - видимо.

Имелось в виду - лайфсиди не находит ничего на жестком диске после работы аваста. А сайты выявляет аваст во время работы.

Ledicon
() автор топика
Ответ на: комментарий от Ledicon

Не тормозит, по крайней мере - видимо

Значит аваст просто выключает дефендер при установке.

лайфсиди не находит ничего на жестком диске после работы аваста.

Значит что ты не ловил ничего, что не ловит аваст)

А сайты выявляет аваст во время работы.

Quis custodiet ipsos custodes? Антивирусу в браузере ничего делает, чего бы не делал браузер сам. Только впустую вмешивается в твой трафик.

mogwai ★★★★★
()

повсюду винда, пара виндосерверов. Я понимаю <...>
Security
LINUX.ORG.RU

Жаль не понимаешь, что минимум, ты ошибся разделом (максимум - сайтом)

anonymous
()
Ответ на: комментарий от Ledicon

Шифровальщик к вам не прилетал? Тогда мы идем к вам!

ClamWin на шлюз если только... ИМХО

из бесплатных для организаций на 7ке юзаю Comodo...

хотя и комодо и встроенный в 10ку - гогно для отечественных реалий...

anonymous
()
Ответ на: комментарий от anonymous

К нам? Нет. А в этой организации увольняется сисадмин, который все это «строил» и увольняется, надо отметить, не совсем гладко, а меня просто по-дружески руководство, а по совместительству - мои родственники, попросили провести что-то вроде аудита. В остальном я к этому болоту никакого отношения не имею.

Ledicon
() автор топика
Ответ на: комментарий от Ledicon

для такого болота, имхо, шифровальщики и есть главная угроза.

причем рецепты «отбери админ-права и установи антивир» устарели.

«закладка» от старого админа, как понимаю этого боятся, спокойна может работать без админских прав, без доступа к инету и антивирус на нее может не среагировать...

поэтому еще жестко ограничивать запускаемые приложения юзерам, только белым списком доверенных приложений... а как это органировать - вопрос уже второй...

anonymous
()
Ответ на: комментарий от Ledicon

Говорят от админских закладок неплохо бэкапы помогают.

Deleted
()

Свой сертификат на все машины, в инет только через прокси с открытыми 80 и 443 портами, на 443 MitM со своим сертификатом.
По логам смотришь, что там кроме обычных сайтов. Но грамотная закладка будет слать DNS запросы как минимум.

Shadow ★★★★★
()
Последнее исправление: Shadow (всего исправлений: 1)
Ответ на: комментарий от Ledicon

а меня просто по-дружески руководство, а по совместительству - мои родственники, попросили провести что-то вроде аудита.

Ну да, ТЫЖПРОГРАММИСТ!

af5 ★★★★★
()

Все переустановить. Всем минимальные права. Белый список ПО. Белый список в firewall.

anonymous
()
Ответ на: комментарий от Ledicon

Я пришел сюда в надежде за техническими рекомендациями, а не субъективными мнениями о смыслах, в том то и дело)

Дело не в том за чем ты пришел, а в том что можно в описанной тобой ситуации сделать.

А то фактически ты пришел и спрашиваешь совета как сделать так чтобы автомобиль всегда оставался чистым. Вот тебе и советуют оба варианта:

1. Регулярно мыть.

2. Не ездить.

Ну сам посуди, что еще можно посоветовать даже если очень хочешь помочь?

Сама постановка твоего вопроса такова, что любому человеку знакомому с методологией аудита становится ясно что ты с этой методологией не знаком. Изучить методологию, да еще и грамотно применить за два дня НЕ РЕАЛЬНО. Скорее всего два дня не хватит даже на то чтобы прочитать и осознать основные документы по аудиту.

В твоей ситуации можно посоветовать только понять чего именно от тебя хочет начальство и какие у него (начальства) цели. А дальше действовать по обстановке.

AfterWork
()
Ответ на: комментарий от Ledicon

в этой организации увольняется сисадмин, который все это «строил» и увольняется, надо отметить, не совсем гладко, а меня просто по-дружески руководство, а по совместительству - мои родственники, попросили провести что-то вроде аудита. В остальном я к этому болоту никакого отношения не имею.

Сочувствую. Ты в ()(), вне зависимости от результата. 1. Потому что родственники. 2. Потому что гарантии ты дать не сможешь в любом раскладе.

Могу только посоветовать ЗАРАНЕЕ сказать что никаких гарантий ты дать не можешь. Может хоть это тебя немного спасет от гнева родственников когда что-то гикнется.

Ну и как минимум стоит сделать полный холодный бакап всей ценной инфы со всех машин на случай конкретного саботажа. Если хоть не родственники, то следующий админ тебе чуть благодарен будет.

AfterWork
()
Ответ на: комментарий от erfea

автор писал что ему еще и сроки дали типа «два дня и чтоб всё сверкало».

ну и работодатель должен был об этом задуматься не когда жаба за жопу укусила, а раньше и какой-то план составить, график. выработать подход и так далее.

ckotinko ☆☆☆
()
Ответ на: комментарий от Ledicon

скажем так.

родственники это хорошо, в том плане что им можно объяснить, что задача наскоком не решается.

далее, родственники тебя попросили аудит сделать не потому что они резко решили соответствовать стандарту, а именно потому что сисадмин увольняется не гладко и он может оставить закладку.

значит, тебе не нужно всё сделать так чтоб сверкало. ты ищешь закладку от админа. первое что ты должен сделать это БЭКАП. немедленно и каждый день вечером на автомате в течении месяца на отделяемый носитель.

ckotinko ☆☆☆
()
Ответ на: комментарий от Ledicon

то есть на двери вешается объявление, что все документы лежат строго в определённых папках на сервере. сервер делает бэкапы. потому что у тебя может ждать своего часа троянчик и тебе надо минимизировать потери. каждый день бэкапы нужны только на угрожаемый период - 2-3 месяца. далее раз в три дня.

самое простое что можно сделать - принести и установить еще один сервак, который будет заходить и дампить к себе на диск документы из выбранных папок. хоть скриптом по крону. обратно он ничего не отдает, никаких портов не открыто.

ckotinko ☆☆☆
()

Нужно проверить сеть с примерным количеством рабочих мест - 50 на возможное наличие разного рода закладок, скрытых устройств, скрытых процессов и прочего всего, что может навредить организации.
время очень сжато
а там даже AD нету
а у пользаков адм доступ.

Задача нерешаема. Как минимум без отбирания административного доступа, а то и реинсталла всех машин с вводов в AD, который тоже нужно поднять, на полтинник машин то уже поди можно организовать НОРМАЛЬНОЕ управление.

Словом, как бы вы поступили, если бы была поставлена задача проверить локалку на разного рода вредности?

Запросил бы МНОГО денег и МНОГО времени. Не или, а именно «И», потому что просто баблом тут задача не решается, тут работать надо.

Pinkbyte ★★★★★
()
Ответ на: комментарий от erfea

В общем мне то лично всегда срать на средства работодателя, но самоуважение не позволяет делать работу спустя рукава

А так и надо. Не надо жаться и экономить, просто выдаешь варианты начиная с идеального и по убывающей. И в каждом варианте расписываешь насколько красочен может быть факап.

А уж на каком варианте остановится работодатель - это его проблемы. Кому-то и критическую по важности БД хранить на PC с целероном 2008 года выпуска без RAID-а и бэкапов - это «приемлимо».

Pinkbyte ★★★★★
()
Ответ на: комментарий от Ledicon

clamav и его производные - это максимум по факту удалить вирьё. Режим «монитора» в них убогий чуть более чем полностью.

Pinkbyte ★★★★★
()

Для начала включить Защитник Windows на всех компах и настроить автообновление вирусных баз, регулярные сканирования (во время обеденного перерыва, например). Дальше разработать план на случай возможных саботажей со стороны пользователей в попытках отключения автообновлений и предотвращения внешнего управления и административно-технического обслуживания оборудования компании.

iZEN ★★★★★
()
Последнее исправление: iZEN (всего исправлений: 1)
Ответ на: комментарий от iZEN

Для начала включить Защитник Windows

Я даже не подумал, что это маздай, настолько от него отвык.

разработать план на случай возможных саботажей со стороны пользователей в попытках отключения автообновлений

А там все компы с маздаем не перестанут загружаться после очередного автообновления?

Вообще, слышал однажды давно такую историю. Нужно было максимально эффективно и дёшево защитить небольшую сетку с компами на ещё в то время хрюшке. Работникам фирмы нужно было подключаться по работе только к одному единственному ресурсу. Был поставлен самый дешёвый роутер DLink, на компах отключено автообновление (чтоб не тормозили), никаких антивирусов (по той же причине), но... в роутере был прописан единственный разрешённый ip'шник на заданный ресурс, а на компах — запрет подключать по usb любые устройства, кроме мышки и клавы. Ну и dvd-приводов/кард-ридеров/дискеток там тоже не было. Дёшево, сердито и эффективно.

aureliano15 ★★
()
Ответ на: комментарий от Deathstalker

Зачем отключать автообновление, если на маршрутизаторе разрешён только один IP-адрес?

Для скорости, которая там тоже была важна. Чтоб хрюшка не запускала в самый неподходящий момент проверку обновлений и не начинала стучаться на сайт маздая.

aureliano15 ★★
()
Ответ на: комментарий от vaddd

В свое время многие банки только так и делали

Очень может быть. Эта контора тоже с банком работала.

aureliano15 ★★
()
Ответ на: комментарий от Deathstalker

Так ведь он заблокирован.

Но он-то об этом не знает, пока не убедится, что маздай.ком недоступен. Соответственно, запускается проверка, начинает стучаться на маздай.ком, это ничем не заканчивается, но ресурсы расходуются. Если в этот момент происходит важная транзакция с банком, то она может на пол секунды притормозиться, и поезд может уехать (в смысле, другой перехватит сделку или цена изменится). Там на этих их биржах боты работают, поэтому всё надо делать быстро, каждая доля секунды дорога.

aureliano15 ★★
()
Ответ на: комментарий от aureliano15

Дёшево, сердито и эффективно.

я бы приперся со своим tl-mr3020 и сидел бы в этих ваших интернетах...

anonymous
()
Ответ на: комментарий от aureliano15

ну когда мне будет невтерпеж желаться поработать, я так и быть отключу свой девайс и подключу к компу rj-45 коннектор от офисной сетки...

anonymous
()
Ответ на: комментарий от iZEN

Вредные советы. Антивирусы полное барахло в случае шифровальщиков + сжирают ресурсы пк. Выход - выкинуть все это тормозное уг и начать настраивать систему - никаких админских прав, белый список ПО(пользователь не сможет запустить вложение в письмах, установить по с разных помоек).

anonymous
()
Ответ на: комментарий от anonymous

Антивирусы полное барахло в случае шифровальщиков + сжирают ресурсы пк.

Ни разу не попадал в историю с шифровальщиком в Windows при включенном Windows Defender (Windows XP) и Защитнике Windows (7/8.1/10).

Вредные советы.

У тебя — сильно трудоёмкие и невыполнимые в большинстве случаев, если в организации нет системы на основе контроллера домена.

iZEN ★★★★★
()
Ответ на: комментарий от iZEN

Ни разу не попадал в историю с шифровальщиком в Windows при включенном >Windows Defender (Windows XP) и Защитнике Windows (7/8.1/10).

просто повезло. Шифровальщик ничем не отличается от обычного ПО - не будет в базах - запустится и все зашифрует. Сам видел, как обновленный касперский не заблокировал шифровальщик.

У тебя — сильно трудоёмкие и невыполнимые в большинстве случаев, если в >организации нет системы на основе контроллера домена.

Тут ты прав. Есть правда еще дурацкий способ - собрать образ со ОС и всем ПО, и настройками, прописать загрузку дров и просто клонировать диски. Но проблема обновлений стороннего софта остается.

anonymous
()
Ответ на: комментарий от anonymous

просто повезло.

обновленный касперский не заблокировал шифровальщик

Не пользуйтесь этим. Он далеко отстал от Защитника Windows.

iZEN ★★★★★
()
Ответ на: комментарий от iZEN

Не пользуйтесь этим. Он далеко отстал от Защитника Windows.

вообще никаким не пользуюсь. На домашнем компе не проблема за вечер все настроить. Родителям тоже настроил - уже полгода полет нормальный, никакой малвари.

anonymous
()

Я бы действовал так: [li]

  • Определился с быстро, качественно, дешего
  • Определяемся с бюрократическими деталями, создаем новый «свод правил» для сотрудников.
  • Если быстро - то купить или сделать на тяпляп (предварительно предупредив об этом руководство). Если дорого - то покупаем аудиторов. Если дешего и быстро - ставим анализатор трафика, бьем тех, кто создает «плохой» трафик.
  • Если удается выбить медленно - создаем новую инфраструктуру. Без админ.полномочий у юзеров, с групповыми политиками, а лучше вообще без форточек (Форточки - если полностью обелить, с саппортом и обновами, антивирью, набором ПО. Но это дорого). [/li]

    Утопия не получится, нужно объяснить это руководству.

Crystal_HMR ★★★
()

Нужно проверить сеть с примерным количеством рабочих мест - 50 )
Заранее пасип)

Забавный гендир

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.