Прочитав пост про удаление ненужного софта мне в который раз стало очень грустно. Автор предлагает «эффективное решение» по избавлению от всякого нежелательного софта, вроде упомянутого «амиго». И если некоторые части скрипта еще можно назвать, ну хотя бы безвредными, то удаление и запрет на запись "%username%\AppData\Local\Apps" выглядит как откровенный саботаж. Плохо еще и то, что такой или аналогичный по механике «полезный скрипт» некоторые всерьез считают действенной мерой. Это далеко не первая статья, от которой у меня сводит скулы, вижу что многие не понимают с чего вообще нужно начинать настройку безопасности в Windows-среде.
Представляю читателям мое видение списка минимально необходимых настроек и действий (в первую очередь для Windows-домена), чтобы никогда не видеть непонятных браузеров и свести риск вредоносного ПО к абсолютному минимуму. Некоторые описанные решения могут показаться спорными, и мало того, они таковыми и являются. Но заранее прошу, увидев первое предложение какого-то пункта, не спешите писать комментарий, прочитайте мысль до конца, возможно у вас отпадут вопросы.
Конечно я наверняка видел этот самый Амиго несколько раз, но исключительно на домашних машинах пользователей, а вот как выглядит вспомнить не могу.
Пункты отсортированы по степени важности и первоочередности если вы вдруг решите последовать примеру. Для вас может быть странным такой выбор последовательности, но это мое мнение, основанное на собственном опыте. Я опишу обязательную основу, без которой все остальные действия будут бесполезными. И помните, безопасность и удобство чаще всего находятся на разной чаше весов.
0) Всегда сначала думать головой. UPD. Этого пункта не было в изначальной версии поста, но мне здраво объяснили, что часть рекомендаций может быть даже вредна в той или иной ситуации. Не следуйте безрассудно каждому хау-ту и туториалу, грамотно взвешивайте все за и против, оцените риски. Возможно, время на восстановление инфраструктуры или ее узла будет в разы менее затратно, чем внедрение и поддержка жестких мер по обеспечению безопасности. Но к подавляющему большинству Windows-пользователей в организации советы вполне применимы.
1) Файловая система NTFS. Вряд ли вы ожидали увидеть ее на первом месте, но это так. Почему-то этот пункт абсолютное большинство просто пропускает. Это основа безопасности Windows. Если у вас где-то в организации остались Win98, я вам искренне сочувствую. Всегда очень ответственно относитесь к настройке NTFS-прав. Например, к startup-скрипту требуется доступ по чтению только учеткам «Компьютеры домена», так и выдайте по чтению только им. Помню случай в одной конторе, когда в каталог \\domain.ru\NETLOGON у всех был доступ на запись. Кто именно принес заразу уже не выяснить, но эпидемия была эпичной.
Если на Windows 7 вы по непонятной причине используете FAT, то идите пишите скрипт удаления Амиги.
2) Отсутствие прав администратора у ВСЕХ, от слова совсем, включая генерального. В первую очередь это может быть крайне сложного реализовать именно из-за организационного противостояния, но надо уметь доказывать. Мне это удалось, на примере самых опасных вредоносов — шифровальщиков. Кому охота стать причиной массовой эпидемии зашифрованных данных и в лучшем случае спровоцировать длительный простой связанный с восстановлением данных из бекапа, а в худшем попасть на серьезные бабки и вероятность безвозвратной потери данных? Никому не охота, генеральному как раз в первую очередь, а все остальные пойдут паровозом. Кстати, ИТ-специалисты тоже, но об этом ниже.
Следующий аспект связанный с ограниченными правами — некоторый софт хочет писать не в профиль юзера, а в каталог установки. В первую очередь, решите, а нужен этот софт вообще? Если сильно нужен, например это бухгалтерия, то придется поколдовать. Любой, повторяю, любой софт можно заставить работать под юзером. Иногда достаточно просто разрешить права на какой-то ини-файл конфигурации, а иногда придется взять в руки «ProcessMonitor» и скрупулезно, по шагам выяснять, че ж очередной кривой заразе надо для нормальной работы.
Если вы первым делом после установки отключаете UAC, то пишите скрипт удаления Амиги дальше.
3) Актуальная версия Windows. Уже вполне очевидный момент. К сожалению, ХР закончилась, но все еще продолжает работать на крупной доле станций по всему миру. Я понимаю, что не все могут позволить переход на современную ОС по разным причинам — финансовым, техническим, или даже организационным. Но к этому нужно обязательно стремиться. Нужно избавляться при первой возможности. Мне в этом плане, можно сказать повезло, удалось унифицировать парк десктопов одними семерками. Под актуальной версией ОС я понимаю, в том числе, наличие последних обновлений. Это обязательное правило. Некоторые могут возразить, что обновления ломают систему. Раз в год и палка стреляет, это верно. Но что мешает обкатывать новые апдейты на 10-15% парка ПК в течении нескольких дней? Это несколько замедлит деплой обновлений, но позволит протестировать до основного вывода в продакшен.
Если вы вторым делом после установки ОС выключаете Windows Update, то не отвлекайтесь от скрипта для Амиги.
4) Постоянная поддержка софта в актуальном состоянии. Лично я слишком ленив, чтобы руками обновлять пользовательское ПО и слишком беспокоюсь о возможных проблемах, чтобы оставлять пятилетние версии продуктов. Все точно так же, как и с пунктом выше. Это может показаться сложным, но я устал уже повторять, есть бесплатное решение на базе LUP, позволяющее разворачивать любой софт средствами WSUS. Один раз разобраться и наступает счастье, ничего сложного. Есть, программы, например Unreal Commander версии 0.96, который не умел корректно писать данные о версии в реестр и по умолчанию пытался вставать в корень системного диска. Такую прогу правильно поддерживать через LUP не выйдет. Ну ничего, можно потратить чуть-чуть времени и обернуть софт в собственный инсталлятор. Кстати, с версии 2.x UC исправился, можно ставить из коробки.
Если вы разворачиваете софт при первой установке, вместе со ZVER DVD, то прошу прощения за потраченное время, Амиго ждет!
5) Политика ограниченного использования программ (SRP). Мощнейший инструмент обеспечения безопасности. Фактически, единственное средство для борьбы со всякими Мейлрушечками и прочим. Как и любой другой инструмент, требует времени на изучение и реализацию, но оно того стоит. Принцип прост — т.к. у пользователя нет админских прав он не может писать в системные директории. Далее, вы запрещаете запуск программ отовсюду, кроме %WinDir%, %ProgramFiles%, %ProgramFiles%(x86). Теперь, если юзер в сладостном предвкушении качает и пытается запустить очередной оптимизатор реестра, его ждет болт. SRP регистрирует попытки несанкционированного запуска в evenlog, что может помочь для отладки ошибок запуска некоторого ПО. А самая мякотка не в этом.
SRP — это инструмент, способный противостоять неизвестным вирусам, или тем, которые пропустит антивирус. «Письмо из налоговой» не зашифрует все базы 1с к чертовой матери, юзер просто не сможет запустить вложение «Накладная №1231233 от 26.10.2015.doc.exe». Кстати, я в курсе про Applocker, но он физически отсутствует в ХР, а функционал почти идентичен. Сейчас у нас нет машин ниже 7ки, но исторически существует SRP и что-то переписывать смысла не вижу.
Если для вас это слишком сложно, то допишите в скрипт удаление «Спутник.Мейлру»
6) Антивирус. Вот так скромненько, в середине списка. Я давно не считаю АВ-средства панацеей от всех бед. Но и не отношусь к радикально настроенным АВ-хейтерам «работаю без антивируса 5 лет, все супер». Звучит как «никогда не пользовался презервативом, все супер!» А я бы на их месте сходил в кожвен, ну и за одним с ЛайвСД камп проверил. Антивирус должен быть и работать. Актуальный, с обновляющимися базами, централизованной админкой и отчетами. Последнее полезно, в плане выявления злостных юзеров, постоянно приносящих вирусы на флешке и посещающих подозрительные сайты. Сделать таким а-та-та.
Если для вас «антиврус зло и замедляет компьютер», то… отложите скрипт для Амиги. Сходите к венерологу.
7) Про админские права Админа. Если вы залочили все до такой степени, что без вашего ведома юзер ипер чихнуть не может, пора найти бревно в своем глазу. В какой-то момент я понял, что являюсь, по сути главной дырой безопасности. Да, я вполне компетентен, чтобы не ползать куда попало и не запускать что попало, но про «палку и раз в год» уже писал выше. Принял решение работать под юзером и обнаружил, что права админа лично на мой комп нужны редко, а для входа на компы пользователей просто запускаю тот же Unreal Commander под отдельной учеткой. Кстати. Заведите отдельную группу «Локальные Админы» и включите в группу «Администраторы» на клиентских машинах. Не надо к юзерам ходить под тем же админом домена. Для админки серверов используется терминальный доступ. Если это КД — то вход осуществляю под Админом Домена. Если это какой-то сервер 1с, то просто под амдином того сервера. Пароли должны быть везде разные и пусть их запоминанием занимается какой-нибудь хранитель задниц KeepAss KeePass
Если регулярная необходимость ввода пароля доставляет вам дичайшие неудобства, то тут очередная петросянка про Амигу.
8) Работа с пользователями. Тоже важный аспект. Стоит провести профилактическую беседу, почему, например, вводить учетные данные для прокси не надо, если окно ввода пароля появилось неожиданно и вы браузер не запускали. С учетом принятых выше мер компьютер это вряд ли заразит компьютер, но действия подозрительны и потенциально могут привести к утечке данных.
Сюда же, в пункт про юзеров добавлю спорный момент о «политике паролей». У нас есть требования о длине и сложности пароля, но я не требую обязательной регулярной смены. Абсолютное большинство не имеет доступа из вне, а оставшиеся 2,5 юзера сидят через OpenVPN, и если уж у них «ушел» пароль, то он явно был не сбручен или перехвачен средствами MITM. В итоге, сложный, постоянно меняющийся пароль никак не поможет, если он перехватывается с домашнего компа через кейлоггер. С другой стороны, все остальные будут жутко мучиться каждый раз придумывая сложный пароль и чтобы не забыть, лепить его на стикере к монитору. За это можно бить, лишать премии и еще всячески измываться над пользователями, но в действительности это чаще всего не повышает безопасность. Нужно просто довести до юзера «никому не сообщайте свой пароль», ну и чтобы пароль не бы вида «1234567». Повторяю, момент очень спорный, но в моем случае доступа снаружи, кроме как через РДП в ОпенВПН, нет.
UPD. Рекомендую осилить весь пост, а потом вернуться к грамотному комментарию от Sergey-S-Kovalev и прочитать веточку.
Еще я никогда не понимал часто встречающееся мнение «Админов» — «ну юзеры тупыыыыыые». Да, бывают недалекие, бывают откровенно тупые, но таким ничего не поможет. Они тупые по жизни. Такие бегают через дорогу на красный и если огородить их от тяжких телесных невозможно, то от опасных действий за компьютером очень даже реально.
Любите юзеров, они же как дети, несмышленые просто.
Все, мне надоела Амига.
9) Служебные учетные записи. Я стараюсь на каждую нестандартную службу делать свою ограниченную учетку. К примеру, серверу приложений 1с нафиг не нужны админские права где-бы то ни было. Генерим новую учетку, сохраняем в KeePass, вводим в 1с. Забываем эту учетку, до поры. Это относится к подавляющему большинству сервисов и служб. Иногда требуется чуть расширить права, но в любом случае это будет ограниченная учетная запись.
10) Резервное копирование. Плавно подходим к прочим вещам, обеспечивающим безопасность данных. Указанные далее пункты уже не относятся исключительно к Windows-домену, но так же должны быть грамотно настроены. Если, не смотря на все усилия все пропало, или юзер сам себе злобный буратино, грохнул квартальный отчет, то ваша любимая система резервного копирования поможет все вернуть. Не важно чем вы пользуйтесь, важно, что бекапы есть и целостные, проверяйте это периодически в холостую. Кстати, бекапилке, чаще всего нужны права read only на защищаемых машинах, так что вспомните пункт выше. Сделайте ограниченную учетку, под которой сервис будет ходить по тачкам и забирать данные. Потом пробегитесь по этим тачкам и выдайте учетке резервного копирования права на чтение.
11) Централизованный мониторинг. В отличие от пункта выше — полноценный элемент безопасности. Вы обязаны четко представлять что у вас происходит в конкретный момент времени. Так же обязательно настройте аудит файловых серверов, поможет при разборе полетов.
12) Правильная защита периметра. Шлюз, в котором вы хорошо разбираетесь, все внешние сервисы в DMZ. Не забывайте про WiFi. У нас он тоже в DMZ, необходимости доступа внутрь периметра нет. Кстати, лучше, если в роли шлюза будет выступать не какой-нибудь TI или UG.
13) К следующему косвенному пункту я бы отнес использование «облачных сервисов». Тоже очень спорный момент, но попытаюсь объяснить почему я его решил упомянуть. К примеру, мы используем ПДД от Яндекса и нас это полностью устраивает. Собственный почтарь внутри или на хостинге был бы на порядок более гибкий, но моем случае необходимости в этом нет. И лишний собственный сервис мне ни к чему. К тому же, несмотря на опыт поддержки почтарей, я трезво считаю, что почта от того же Яндекса более надежна и лучше защищена от вирусов и спама, чем бы я сам смог настроить. Кстати, ДНС у нас тоже от Яндекса. Тот который «Безопасный» и ограждает от вредоносных сайтов, но позволяет заходить на redtube.
14) Удаленный доступ. Старайтесь, по возможности, оборачивать доступ снаружи в VPN. Да, это менее удобно, но намного более безопасно, чем RDP голым задом на мороз.
Вот в принципе и все. Это далеко не полный список, продолжать его можно бесконечно. Из основных моментов я бы еще добавил EMET (используем) и 802.1х для доступа к сети (не используем). Наверняка, я что-то забыл упомянуть из таких же «фундаментальных» вещей, пишите в комментариях.
Представляю читателям мое видение списка минимально необходимых настроек и действий (в первую очередь для Windows-домена), чтобы никогда не видеть непонятных браузеров и свести риск вредоносного ПО к абсолютному минимуму. Некоторые описанные решения могут показаться спорными, и мало того, они таковыми и являются. Но заранее прошу, увидев первое предложение какого-то пункта, не спешите писать комментарий, прочитайте мысль до конца, возможно у вас отпадут вопросы.
Конечно я наверняка видел этот самый Амиго несколько раз, но исключительно на домашних машинах пользователей, а вот как выглядит вспомнить не могу.
Пункты отсортированы по степени важности и первоочередности если вы вдруг решите последовать примеру. Для вас может быть странным такой выбор последовательности, но это мое мнение, основанное на собственном опыте. Я опишу обязательную основу, без которой все остальные действия будут бесполезными. И помните, безопасность и удобство чаще всего находятся на разной чаше весов.
0) Всегда сначала думать головой. UPD. Этого пункта не было в изначальной версии поста, но мне здраво объяснили, что часть рекомендаций может быть даже вредна в той или иной ситуации. Не следуйте безрассудно каждому хау-ту и туториалу, грамотно взвешивайте все за и против, оцените риски. Возможно, время на восстановление инфраструктуры или ее узла будет в разы менее затратно, чем внедрение и поддержка жестких мер по обеспечению безопасности. Но к подавляющему большинству Windows-пользователей в организации советы вполне применимы.
1) Файловая система NTFS. Вряд ли вы ожидали увидеть ее на первом месте, но это так. Почему-то этот пункт абсолютное большинство просто пропускает. Это основа безопасности Windows. Если у вас где-то в организации остались Win98, я вам искренне сочувствую. Всегда очень ответственно относитесь к настройке NTFS-прав. Например, к startup-скрипту требуется доступ по чтению только учеткам «Компьютеры домена», так и выдайте по чтению только им. Помню случай в одной конторе, когда в каталог \\domain.ru\NETLOGON у всех был доступ на запись. Кто именно принес заразу уже не выяснить, но эпидемия была эпичной.
Если на Windows 7 вы по непонятной причине используете FAT, то идите пишите скрипт удаления Амиги.
2) Отсутствие прав администратора у ВСЕХ, от слова совсем, включая генерального. В первую очередь это может быть крайне сложного реализовать именно из-за организационного противостояния, но надо уметь доказывать. Мне это удалось, на примере самых опасных вредоносов — шифровальщиков. Кому охота стать причиной массовой эпидемии зашифрованных данных и в лучшем случае спровоцировать длительный простой связанный с восстановлением данных из бекапа, а в худшем попасть на серьезные бабки и вероятность безвозвратной потери данных? Никому не охота, генеральному как раз в первую очередь, а все остальные пойдут паровозом. Кстати, ИТ-специалисты тоже, но об этом ниже.
Следующий аспект связанный с ограниченными правами — некоторый софт хочет писать не в профиль юзера, а в каталог установки. В первую очередь, решите, а нужен этот софт вообще? Если сильно нужен, например это бухгалтерия, то придется поколдовать. Любой, повторяю, любой софт можно заставить работать под юзером. Иногда достаточно просто разрешить права на какой-то ини-файл конфигурации, а иногда придется взять в руки «ProcessMonitor» и скрупулезно, по шагам выяснять, че ж очередной кривой заразе надо для нормальной работы.
Если вы первым делом после установки отключаете UAC, то пишите скрипт удаления Амиги дальше.
3) Актуальная версия Windows. Уже вполне очевидный момент. К сожалению, ХР закончилась, но все еще продолжает работать на крупной доле станций по всему миру. Я понимаю, что не все могут позволить переход на современную ОС по разным причинам — финансовым, техническим, или даже организационным. Но к этому нужно обязательно стремиться. Нужно избавляться при первой возможности. Мне в этом плане, можно сказать повезло, удалось унифицировать парк десктопов одними семерками. Под актуальной версией ОС я понимаю, в том числе, наличие последних обновлений. Это обязательное правило. Некоторые могут возразить, что обновления ломают систему. Раз в год и палка стреляет, это верно. Но что мешает обкатывать новые апдейты на 10-15% парка ПК в течении нескольких дней? Это несколько замедлит деплой обновлений, но позволит протестировать до основного вывода в продакшен.
Если вы вторым делом после установки ОС выключаете Windows Update, то не отвлекайтесь от скрипта для Амиги.
4) Постоянная поддержка софта в актуальном состоянии. Лично я слишком ленив, чтобы руками обновлять пользовательское ПО и слишком беспокоюсь о возможных проблемах, чтобы оставлять пятилетние версии продуктов. Все точно так же, как и с пунктом выше. Это может показаться сложным, но я устал уже повторять, есть бесплатное решение на базе LUP, позволяющее разворачивать любой софт средствами WSUS. Один раз разобраться и наступает счастье, ничего сложного. Есть, программы, например Unreal Commander версии 0.96, который не умел корректно писать данные о версии в реестр и по умолчанию пытался вставать в корень системного диска. Такую прогу правильно поддерживать через LUP не выйдет. Ну ничего, можно потратить чуть-чуть времени и обернуть софт в собственный инсталлятор. Кстати, с версии 2.x UC исправился, можно ставить из коробки.
Если вы разворачиваете софт при первой установке, вместе со ZVER DVD, то прошу прощения за потраченное время, Амиго ждет!
5) Политика ограниченного использования программ (SRP). Мощнейший инструмент обеспечения безопасности. Фактически, единственное средство для борьбы со всякими Мейлрушечками и прочим. Как и любой другой инструмент, требует времени на изучение и реализацию, но оно того стоит. Принцип прост — т.к. у пользователя нет админских прав он не может писать в системные директории. Далее, вы запрещаете запуск программ отовсюду, кроме %WinDir%, %ProgramFiles%, %ProgramFiles%(x86). Теперь, если юзер в сладостном предвкушении качает и пытается запустить очередной оптимизатор реестра, его ждет болт. SRP регистрирует попытки несанкционированного запуска в evenlog, что может помочь для отладки ошибок запуска некоторого ПО. А самая мякотка не в этом.
SRP — это инструмент, способный противостоять неизвестным вирусам, или тем, которые пропустит антивирус. «Письмо из налоговой» не зашифрует все базы 1с к чертовой матери, юзер просто не сможет запустить вложение «Накладная №1231233 от 26.10.2015.doc.exe». Кстати, я в курсе про Applocker, но он физически отсутствует в ХР, а функционал почти идентичен. Сейчас у нас нет машин ниже 7ки, но исторически существует SRP и что-то переписывать смысла не вижу.
Если для вас это слишком сложно, то допишите в скрипт удаление «Спутник.Мейлру»
6) Антивирус. Вот так скромненько, в середине списка. Я давно не считаю АВ-средства панацеей от всех бед. Но и не отношусь к радикально настроенным АВ-хейтерам «работаю без антивируса 5 лет, все супер». Звучит как «никогда не пользовался презервативом, все супер!» А я бы на их месте сходил в кожвен, ну и за одним с ЛайвСД камп проверил. Антивирус должен быть и работать. Актуальный, с обновляющимися базами, централизованной админкой и отчетами. Последнее полезно, в плане выявления злостных юзеров, постоянно приносящих вирусы на флешке и посещающих подозрительные сайты. Сделать таким а-та-та.
Если для вас «антиврус зло и замедляет компьютер», то… отложите скрипт для Амиги. Сходите к венерологу.
7) Про админские права Админа. Если вы залочили все до такой степени, что без вашего ведома юзер и
Если регулярная необходимость ввода пароля доставляет вам дичайшие неудобства, то тут очередная петросянка про Амигу.
8) Работа с пользователями. Тоже важный аспект. Стоит провести профилактическую беседу, почему, например, вводить учетные данные для прокси не надо, если окно ввода пароля появилось неожиданно и вы браузер не запускали. С учетом принятых выше мер компьютер это вряд ли заразит компьютер, но действия подозрительны и потенциально могут привести к утечке данных.
Сюда же, в пункт про юзеров добавлю спорный момент о «политике паролей». У нас есть требования о длине и сложности пароля, но я не требую обязательной регулярной смены. Абсолютное большинство не имеет доступа из вне, а оставшиеся 2,5 юзера сидят через OpenVPN, и если уж у них «ушел» пароль, то он явно был не сбручен или перехвачен средствами MITM. В итоге, сложный, постоянно меняющийся пароль никак не поможет, если он перехватывается с домашнего компа через кейлоггер. С другой стороны, все остальные будут жутко мучиться каждый раз придумывая сложный пароль и чтобы не забыть, лепить его на стикере к монитору. За это можно бить, лишать премии и еще всячески измываться над пользователями, но в действительности это чаще всего не повышает безопасность. Нужно просто довести до юзера «никому не сообщайте свой пароль», ну и чтобы пароль не бы вида «1234567». Повторяю, момент очень спорный, но в моем случае доступа снаружи, кроме как через РДП в ОпенВПН, нет.
UPD. Рекомендую осилить весь пост, а потом вернуться к грамотному комментарию от Sergey-S-Kovalev и прочитать веточку.
Еще я никогда не понимал часто встречающееся мнение «Админов» — «ну юзеры тупыыыыыые». Да, бывают недалекие, бывают откровенно тупые, но таким ничего не поможет. Они тупые по жизни. Такие бегают через дорогу на красный и если огородить их от тяжких телесных невозможно, то от опасных действий за компьютером очень даже реально.
Любите юзеров, они же как дети, несмышленые просто.
Все, мне надоела Амига.
9) Служебные учетные записи. Я стараюсь на каждую нестандартную службу делать свою ограниченную учетку. К примеру, серверу приложений 1с нафиг не нужны админские права где-бы то ни было. Генерим новую учетку, сохраняем в KeePass, вводим в 1с. Забываем эту учетку, до поры. Это относится к подавляющему большинству сервисов и служб. Иногда требуется чуть расширить права, но в любом случае это будет ограниченная учетная запись.
10) Резервное копирование. Плавно подходим к прочим вещам, обеспечивающим безопасность данных. Указанные далее пункты уже не относятся исключительно к Windows-домену, но так же должны быть грамотно настроены. Если, не смотря на все усилия все пропало, или юзер сам себе злобный буратино, грохнул квартальный отчет, то ваша любимая система резервного копирования поможет все вернуть. Не важно чем вы пользуйтесь, важно, что бекапы есть и целостные, проверяйте это периодически в холостую. Кстати, бекапилке, чаще всего нужны права read only на защищаемых машинах, так что вспомните пункт выше. Сделайте ограниченную учетку, под которой сервис будет ходить по тачкам и забирать данные. Потом пробегитесь по этим тачкам и выдайте учетке резервного копирования права на чтение.
11) Централизованный мониторинг. В отличие от пункта выше — полноценный элемент безопасности. Вы обязаны четко представлять что у вас происходит в конкретный момент времени. Так же обязательно настройте аудит файловых серверов, поможет при разборе полетов.
12) Правильная защита периметра. Шлюз, в котором вы хорошо разбираетесь, все внешние сервисы в DMZ. Не забывайте про WiFi. У нас он тоже в DMZ, необходимости доступа внутрь периметра нет. Кстати, лучше, если в роли шлюза будет выступать не какой-нибудь TI или UG.
13) К следующему косвенному пункту я бы отнес использование «облачных сервисов». Тоже очень спорный момент, но попытаюсь объяснить почему я его решил упомянуть. К примеру, мы используем ПДД от Яндекса и нас это полностью устраивает. Собственный почтарь внутри или на хостинге был бы на порядок более гибкий, но моем случае необходимости в этом нет. И лишний собственный сервис мне ни к чему. К тому же, несмотря на опыт поддержки почтарей, я трезво считаю, что почта от того же Яндекса более надежна и лучше защищена от вирусов и спама, чем бы я сам смог настроить. Кстати, ДНС у нас тоже от Яндекса. Тот который «Безопасный» и ограждает от вредоносных сайтов, но позволяет заходить на redtube.
14) Удаленный доступ. Старайтесь, по возможности, оборачивать доступ снаружи в VPN. Да, это менее удобно, но намного более безопасно, чем RDP голым задом на мороз.
Вот в принципе и все. Это далеко не полный список, продолжать его можно бесконечно. Из основных моментов я бы еще добавил EMET (используем) и 802.1х для доступа к сети (не используем). Наверняка, я что-то забыл упомянуть из таких же «фундаментальных» вещей, пишите в комментариях.
Delphinum
Вы сравниваете работу в среде Windows с незащищенным сексом? Смело )
yosemity
Нет, я хочу сказать, что даже презерватив не дает 100% защиту, а уж без него, так вообще может быть крайне опасно. Так же и с антивирусом. Это не панацея, а один из способов «контрацепции» ;)
Delphinum
Ну если презерватив так необходим, почему бы не пришить его к детородному органу или заткнуть дырдочку намертво, чтоб никакая зараза не попала? (прошу прощение за «фи»)
yosemity
Я не готов пойти на такие меры, уж лучше как-нибудь по-старинке :)
Delphinum
Вы ведь виндой детей делать не будите, а подхватить «венерические заболевания» можете, так почему бы не вшить средства защиты прямо в систему или не поправить ее так, чтобы они вообще не требовались? Не считаете это странным?
yosemity
Я потерял вашу мысль. Давайте отойдем от КВЗ. Средства защиты уже вшиты в ОС, но их надо правильно приготовить. В начале статьи у меня была оговорка, что удобство и безопасность зачастую противоположны друг другу.
Delphinum
Вы же говорите, что лучше с антивирусом, чем без антивируса. Мне интересно, почему так?
yosemity
При прочих равных, в корпоративной Windows-среде с антивирусом лучше, чем без него. АВ-средство, один из рубежей защиты, далеко не первый, но местами действенный. Давайте не будем углубляться в АВ-холивар.
Delphinum
Да какой тут холивар, мне просто интересно, не более того. Почему не вшить некоторое средство, которое делает работу с объектом более безопасной, прямо в объект? Ну это как минимум логично, не считаете?
yosemity
Так в современной винде антивирус «вшит». Он прилетает через Windows Update, если нет стороннего средства.
Delphinum
То есть это все таки стороннее средство с автоматической установкой при первом update?
yosemity
Да почему… Оставим в стороне качество и пр., но родной антивирус от МС — это microsoft security essentials. Прилетает через WU как рекомендуемое обновление, если винда не видит других средств. Так же к встроенным механизмам защиты относятся Windows Defender и «Средство удаления вредоносных программ»
Delphinum
Под словом «стороннее» я подразумиваю, что это ПО устанавливается, а не является частью ОСи.
eaa
А где проходит это грань — «часть ОСи» и «сторонее»?
Delphinum
Все что требует инсталляции, есть «сторонее».
eaa
Т.е. все апдейты ОС — это стороннее?
Delphinum
Ок, давайте уточню терминологию — все что требует инсталляции и расширяет функциональные возможности системы сверх минимально-необходимых для функционирования ОСи.
eaa
Минимально-необходимое — это ядро. Все что дальше — это уже не минимум. Тем не менее некоторые утилиты считаются частью ОС, хоть и работают в user space, а некоторые драйверы ядра — это вполне себе сторонниый софт, хотя и работает на уровне kernel.
Так что тут нет четкой границы. Тем не менее, АВ работает на уровне ядра, по крайней мере его часть, но поставляться может отдельно. И в этом нет никакого криминала. Вообще нет смысла спорить, это часть ОС или нет. Важен его функционал, а не название и способ поставки.
Delphinum
Верно, так что мешает запилить антивирус (или изменить ядро так, чтоб потребность в нем отпала) прямо в ядро? Без него ведь ядро «заболеет» и «умрет».
froller
Вообще-то такие ядра уже есть. :) Это UNIX.
Мало того, у Microsoft тоже была подобная ОС — Xenix — правда, быстро закончилась.
yosemity
Тогда по вашей логике все обновления ОС тоже будут «сторонними». Да даже если бы антивирь был встроен в родной установочный образ, то какой от него прок без обновлений, когда ему уже было бы почти 5 лет (в случае с Windows 7 SP1).
Delphinum
Мне интересен вопрос не встраивания антивируса в ОСь, мне больше интересно почему если для функционирования одной системы требудется другая система, но обе поставляются отдельно?
yosemity
Вы выше писали
Я указал, что 1) такая возможность есть и 2), смысла встраивать АВ из коробки нет, он устаревает с каждым днем.
У нас ни одна софтина не ставится из собственной «говносборки». В нашу внутреннюю сборку входят только апдейты ОС и драйвера на сеть, сборка обновляется раз в 1-3 месяца для ускорения установки. Весь софт, драйвера и свежайшие апдейты прилетают через WSUS максимально актуальными.
Delphinum
А что мешает его обновлять вместе с обновлениями ОСи?
yosemity
Вы не поверите, но все так и происходит :)
Delphinum
Почемуже, охотно поверю, но вопрос остается открытым: почему если для функционирования одной системы требудется другая система, обе поставляются отдельно?
yosemity
Вы не хотите меня слышать, видимо.
Вместе они поставляются, просто по дефолту антивирь прилетает с обновлениями. Я писал:
По вашему SSH в линухе поставляется вместе или отдельно? Если я на этапе установки не поставил тычку «OpenSSH server», Но потом вбил «apitude install ssh», то это «сторонняя» утилита, а если галку поставил, то «поставляется вместе»? Adobe Flash плеер — сторонняя утилита, а Microsoft Secutity Essentials — вполне себе встроенная. И то, что она на стоит из коробки — правильно, т.к. в любом случае 5-летний антивирь на необновленной винде врят ли чем-то поможет
Delphinum
Возможно, а возможно и вы меня.
Так зачем же вы приводите это в качестве аргумента, если он обновляется и это не проблема?
Без ssh в линухе вы не заболеете «венерическими заболеваниями».
Так обновляется он или не обновляется?
yosemity
Обновляется, обновляется )))
Но в момент установки ОС, MSE вы не увидите. Прилетит со всеми обновлениями. Fess в принципе все верно сказал, эта же ерунда была с IE, когда МС обязали на 5 лет выдавть окно при запуске с предложением скачачать альтернативный браузер. Я же сознательно не стал упирать на ФАС и прочие ведомтсва, т.к. мы про техническую часть говорили.
Fess
Есть такая организация: ФАС. Она считает, что втраивание АВ в винду убивает конкуренцию. И MS с этим согласно. При установке смотрит, есть ли АВ? Если нет, то предлагает воспользоваться бесплатной альтернативой. Всё просто. И, кстати, легко догадаться, если поднапрячься, а не долбить один и тот же вопрос в комментариях.
Delphinum
Ок, задам вопрос по другому. Представьте что появилось лекарство от рака. Его использовать можно двумя способами: либо вакцинировать детей, что позволит им не болеть раком никогда; либо каждый месяц вкалывать это средство микродозами, что позволит отсрочить заболевание еще на один месяц. Так же представим, что это лекарство производится тремя разными компаниями. Химический состав везде один, отличается только наклейка на шприце и стоимость. Если сравнить стоимость первого и второго варианта использования, второй выходит в десяток раз дороже и вы, как рационально-мыслящий человек решаете вакцинировать вашего ребенка, но внезапно узнаете, что вакцинация детей запрещена, так как ФАС считает это монополией и применение этого подхода обанкротит три компании, выпускающие вакцину. Более того, сами компании с этим полностью согласны. Как считаете, это нормально?
xamd
Дочитав дискуссию до середины, удивился, насколько yosemity стрессоустойчив :) Но что ж, раз уж такая пьянка, давайте пофлеймим: Представьте, что появляется лекарство от рака. Его можно использовать сразу, что будет означать, что ваши дети больше не будут восприимчивы известным штаммам фируса. Или же можно обновлять каждый месяц, добавляя иммунитет к новым штаммам. Я выберу второе. И да, химический состав везде разный, но нацелен на борьбу с одними и теми же клетками, каждый выбирает своё.
А теперь про вторую часть: если не будет конкуренции — не будет качества. Останется один единственный антивирус — начнётся деградация качества, мол «аналогов-то нет, никто от нас не откажется». А вообще, какая вам разница, сколько компаний это производит? Или вы хотите получить серебрянную пулю за бесплатно?
yosemity
Я написал Delphinum в личку, чтобы как раз не разводить флейм. И вроде бы он меня понял. Если захочет, выложит нашу небольшую переписку сюда, я не против. И да, я действительно спокоен, когда речь касается ИТ-среды. Я вот даже же ко всем юзерам снисходителен ))
Delphinum
Проблема здесь как раз в том, что ситуация такая, какой описал ее я, а не такая, какой описали ее вы.
KepJIaeda
Я не могу понять зачем данный вопрос задавать автору статьи? Автор описал по пункта меры по обеспечению информационной безопасности в корпоративной сети. Причем здесь вопрос почему встраивают почему не встраивают АВ. Это вопрос к поставщикам ОС и ПО.
Zveroloff
Мне сдаётся, всё же не совсем так. В поставки различных систем встраиваются регулярно различные средства защиты, которые вполне эффективны против старых и известных угроз. Чисто для примера — DEP или UAC. Антивирус же — это комплексное программное решение, адаптирующееся к новым угрозам быстрее самой системы, т.к. работает «поверх» неё и не связан кучей хаков и обратных совместимостей. Можно ли жить без него — можно. С ним безопаснее — да. А что касается честных или не очень методов конкуренции — тут все хороши, и производители систем, и производители антивирусов. Положительным результатом работы ФАС является защита конечного потребителя от навязывания услуги и возможность конкуренции, что двигает индустрию вперёд.
AlexBin
Первый объективный коммент в этой бессмысленной ветке.
ApeCoder
А вам встречались атаки, которые отловил бы антифирус, но пропустила бы грамотно настроенная винда?
yosemity
Как таковые атаки нет, не встречались. Бывало наоборот. Просматривая логи, видел в отчетах SRP попытку запуска файла, начал разбираться, выяснилось, что файл был убит антивирем спустя аж три дня после получения по почте и соответственно попытки запуска. Если бы не SRP, все могло бы быть печально.
Но тот же веб-антивирус ловит опасные скрипты и не дает ходить на левые сайты, что уже снижает риск словить 0-day. К тому, же я знаю как достаточно просто обойти SRP, но это должны быть 99% деструктивные действия со стороны самого пользователя. В этом случае антивирус очень даже может помочь, вряд ли злой юзер принесет и будет специально запускать неизвестный вирус.
Да и, банально, если у юзера уведут его вконтактик, то пусть это будет не в корпоративной сети.
Delphinum
Помнится в детстве мне так сильно хотелось поиграть в новую игрушку, что я не обращал внимание на необходимость предварительной проверки дискеты антивирусом (тогда они еще не были сильно распространены и приходилось таскать дискеты к друзьям для проверки).
ApeCoder
Я вот периодически спрашиваю разных людей, 0day вживую никто не видел. А может ну их нафиг эти антивирусы?
SRP + Secunia PSI + AutoUpdate + не ставить не из официальных мест и безопасность будет такая же и без лишних ресурсов?
Пока мне на это возразили что может приехать челоек из командировки с непропатченной вендой на ноуте и сразу после включения полезть в веб и словить свежак.
yosemity
SRP можно обойти злонамеренно, при том достаточно тривиально. В случае отсутствия антивируса, зараза будет выполнена гарантированно.
Delphinum
Вы не против, если я на эти слова буду ссылаться в спорах о безопасности ОСей семейства Windows?
yosemity
Не против, если вы будете ссылаться не на кусок, а на фразу целиком:
Вот только почему именно ОСей Windows? Что, в другой ОС, запуская вредоносный код, пусть даже из под обычного юзера он не нанесет деструктивных действий? Да точно так же прекрасно выполнится, саму ось не убьет, а до данных так же легко доберется. Собственно как и в винде.
Delphinum
Обычно споры о безопасности всегда касаются только этих ОСей. В чем причина, не знаю )
И удачи ему в этом )
ApeCoder
Я думаю, на настоящий момент причина в настройках по умолчанию, которые дают легко выполнять программы из неавторизованных источников + большая распространенность.
Delphinum
В этом, и еще в низкой компетенции и осведомленности пользователей.
ApeCoder
Злонамеренно со стороны кого — узера или разработчика малвари (можете дать ссылку на способ обхода?)
Можно ли воспользоваться чем-то кроме SRP для запрета запуска приложений из мест куда пользователь может писать (там же впроде в ACL есть право на исполнение)
mayorovp
Право на исполнение из ACL может быть легко изменено владельцем файла.
ApeCoder
Я так понял, заищаемся от ситуации запуска «Фактура.docx.exe» полученной по почте, а не от злонамеренного пользователя. Последний вполне может запустить афганский вирус на любой системе.
yosemity
Юзер может обойти SRP. Вумный вирь тоже. Ссылку не дам:
ApeCoder
А если запретить выполнять из temp? И еще как заставить браузер и почтовый клиент записывать что-то в temp?
yosemity
Если запретить выполнять из Temp, часть софта не заработает. Надо придется разбирать каждый случай отдельно.
ApeCoder
1) теоретически для такого софта можно сделать шим, который будет подставлять другую папку вместо temp
2) Ок. опустим мы разрешаем запись в temp — как мне, как автору вируса добиться чтобы мой выполнимый файл записался в tmp.
yosemity
Я щас еще раз прикинул… Как вирусу записаться в темп без помощи пользователя, сходу сказать не могу.
Alexeyslav
Я помню один видеокодировщик, который для каждой группы кадров генерировал уникальный EXE-шник и запускал его… пришлось антивирус отключить временно чтобы хоть нормально докодировалось.
yosemity
Подозреваю, что такой кодировщик лучше выкинуть, благо их навалом.
mayorovp
В генерацию кода в памяти я еще поверю (популярный трюк) — но чтобы EXE-файл генерировать и запускать… Это было сделано точно не для ускорения.
Alexeyslav
Как раз для ускорения кодирования, адаптивный алгоритм какой-то, что-то было написано про оптимизацию на уровне инструкций под конкретный процессор и содержимое кадра… один запуск небольшого EXE на 2-3 секунды работы это не такой уж большой оверхед. Короче, этот кодировщик после первого использования и выкинул.
А! Там еще писалось что кодирование можно было распараллелить и выполнять на N хостах, видимо за счет этого и достигалось распараллеливание.
grumbler66rus
Я видел дважды.
ApeCoder
А можно деталей — в прошлый раз, когда разбирали такой случай, оказалось что предполагаемый 0Day лечится патчем, выпущенным за полгода до заражения.
А еще был ли он в сигнатурах антивирусов?
onix74
Толково. Только как убедить «простых» пользователей, если даже АйТишники не все понимают необходимость подобных мер? (Вопрос риторический)
yosemity
Простых юзеров не надо убеждать. Надо обеспечить им комфортную и безопасную среду с минимумом «прав на ошибку». К примеру, из браузеров мы поддерживаем Хром, Оперу, Лису ну и ИЕ само собой. Кто чем хочет, тот тем и пользуется и указанные программы всегда актуальны.
Ниже список производителей софта, который поддерживается у нас. Под каждым пунктом может быть несколько приложений, при этом временные затраты на обновление минимальны. А если софт есть в MSI, то вообще чуть ли не далее-далее-далее-готово.
marc13
15) Настроить KeePass на автоблокировку при сворачивании и смене пользователя
VioletGiraffe
UAC генерирует слишком много шума и спотыканий. Задумка хорошая, но пока он не станет поинтеллектуальнее, работать с ним уж очень неудобно.
yosemity
Лично у нас в работе пользователи иногда встречают запрос UAC только по двум случаям:
1) от обновлялки хрома, она настырная, даже отключение службы гугл апдейт не помогает. Хотя, возможно они снова изменили название службы, надо будет проверить.
2) юзер пытается залезть туда, куда не надо. Это абсолютно оправданное поведение UAC.
ApeCoder
1) А вот это не работает?
yosemity
Я знаком с тем, что конкретно у google есть встроенные механизмы обновления для корп. пользователей. Не использую по той простой причине, что создавать новую сущность только для обновления хрома смысла нет, тем более хром есть в msi из коробки
Nidere
Здорово написано, но искренне обидно за такие нападки в адрес того_кого_нельзя_называть.
Самые жесточайшие малвари, на которые попадал, были азиатские.
Вы и сами упоминает шифровальщики и прочую дрянь.
Кидать на фоне этого камни в «обожемой, браузер установился» — по меньшей мере не объективно.
yosemity
Не понял о чем или ком вы говорите про «того_кого_нельзя_называть». А, Амиго, чтоль? Да фиг с ним. Я просто для примера привел, т.к. он упоминался в первоначальной статье. Яндекс.Браузер себя так же точно ведет, как и еще вагон такого софта. Мы В саппрт Яндекса даже писали, что, дайте же выбор, ставиться в %programFiles% и полноценно поддерживать в корп среде. Ответа не получили.
Камни не кидаю, Амиго тут не при чем. Любой софт, который может встать «втихую» в %AppData% — это потенциалное зло. Дома — да пожалуйста, на работе — ни в коем случае.
batyrmastyr
Это вам не Яндексу нужно было писать а Дартаньянам из гугла решившим поговнокодить.
yosemity
А что не так у гугла? Хром прекрасно разворачивается в корп. среде и имеет нативный msi
batyrmastyr
Так установка бинарников в AppData это их «изобретение» и «правильный» способ установки и обновления насаждаемый всем потомкам Хромиума. Может они и молодцы, что делают нормальный установщик для тех, кому надо, но какого чёрта не исправят этот дефект глобально?
mayorovp
Ну, их способ установки и обновления все же адекватнее того, что творит Java
yosemity
JRE так же находится в msi. Запускаете exe и в «темпе» ищете файл установки, для обеих x32 и x64. Ранее, вместе с msi был отдельный «data.cab». Надо было оба файла в LUP добавлять.
mayorovp
Я не про msi, а про их автообновлятор. Который, найдя обновление, сначала выдает запрос UAC, после чего, получив права админа, тихонько и незаметно появляется в трее с просьбой обновиться. Рядовой пользователь даже не понимает, что обновление он не запустил (как так, я же «Да» нажал!)
В итоге, свежая версия джавы на компе обычного пользователя становится чем-то из области фантастики. А ведь достаточно было поменять шаги местами…
Sergey6661313
надо просто чтобы софт был сам себе песочницей, чем то средним как в android, и mac os.
Только реализовать не через всплывающие сообщения. *
* — ставили мы как то для сестры программку одну на сотовый. Так программа имитирует внешний вид родного установщика. и примерно на 50% установки начинает спрашивать всякую ересь. И для пользователя выход то только 1 — упорно нажимать на далее, вот только загвоздка в том что на 4-ый запрос выскакивает настоящее системное сообщение о предоставлении полного доступа для этой проги. Исход в общем то очевиден — hard reset.
yosemity
Есть много этих всяких «надо, было бы, чтобы...» Но имеем то, что имеем и решать задачу повышения безопасности Windows-среды надо сейчас.
ApeCoder
Насколько я знаю у MS есть тул для автоматической генерации шимов, прям в доку ткнуть не могу но где-то тут
yosemity
Спасибо. Не был знаком с этим инструментом, посмотрю.
mayorovp
yosemity
Поясните свой вопрос.
mayorovp
Я скомпилировал программу. Как мне ее запустить, если админ запретил запуск программ всюду, кроме %WinDir%, %ProgramFiles% и %ProgramFiles%(x86)?
yosemity
Ответ прост — вы достаточно редкий случай в общей среде Windows-пользователей и подход должен быть соответствующий. Я не пытаюсь утрировать до фанатизма, везде есть исключения. В вашем случае, отладкой рекомендуется заниматься под отдельной учеткой, собственно об этом указано в статье, хоть и не применительно к разработчику.
mayorovp
Отладкой надо заниматься под той же учеткой, что и разработкой. Просто потому что Студия иначе не умеет. Разве что удаленную отладку на своем же компьютере настраивать… И far manager надо запускать под этой же учеткой, потому что его я использую либо при разработке, либо при отладке.
И еще куча программ попадает в ту же кучу — ведь кроме разработки и отладки я ничем и не занимаюсь. Так что мне под «обычной» учеткой запускать тогда? Браузер? Клиент к СУБД? В этом есть смысл, но как это сделать так, чтобы не набирать свой пароль каждые 10 минут?
Кстати, иногда мы пишем программы для использования аналитиками. Что делать с ними?
yosemity
Повторюсь, везде есть нюансы, всех подводить под одну гребенку не надо. Но согласитесь, что ваш случай и аналогичные, при прочих равных исключение, а не правило. Если вам нужна Студия и far под админом — пожалуйста. Запустите под админом фар, из него студию, а так же любой необходимый софт, при этом пароль нужно ввести 1 раз, для far`а. А вот браузер как раз в обязательном порядке следует запускать с ограниченными правами.
ApeCoder
А аналитикам надо тоже что-то компилировать?
mayorovp
Им надо запустить программу, которую для них сделали программисты. Значит, нужен либо простой и понятный способ выпуска таких программ, либо опять нужны права на запуск полученных по скайпу файлов или файлов с сетевого диска.
ApeCoder
На выбор
1) Обратиться к администратору, чтобы он развертывал программы/организовал канал развертывания
2) Добавить ровно еще ровно одну папку куда можно писать программы и выполнять оттуда (тогда аналитик не заразится, случайно запустив «Фактура.doc.exe»)
3) [Не уверен что сработает] кажется в SRP было что-то про сертификаты — добавить свой в список доверенных
4) Если аналитики не склонны запускать «Фактура.doc.exe» сделать для них исключение, а полный запрет оставить только для секретарши и бабы Машы из бухгалтерии
saboteur_kiev
У нас в компании 3000 человек таких редких случаев?
Что делать компаниям, в которых основная деятельность — разработка?
В общем статья неплохая, но упоминание про амиго в конце каждого абзаца — не очень…
yosemity
В общей доле рабочих станций по всему миру, ваши 3000 человек одних разработчиков (вы видимо крупная компания), как и среди прочих таких компаний — действительно редкий случай.
Про амиго — стеб, «на его месте мог быть каждый». Да и мне самому надоело к середине.
mayorovp
Но речь идет не о рабочих станциях по всему миру, а о рабочих станциях, которые настраивает один конкретный админ. И для этого админа половина советов могут оказаться вредными — а вы их так безапелляционно высказываете.
yosemity
Вы правы, добавил пункт «0)»
ApeCoder
Мне кажется, если у вас админ исполняет не думая как скрипт содержание поста хабра, в любом случае у вас проблема :)
foxmuldercp
обычно для разработки есть своя виртуалка, которую хоть раз в день из образа на чистую разворачивай
mayorovp
И каждый день заново настраивать рабочее окружение?
Sergey-S-Kovalev
Годный обзор на мой взгляд. Правда пара мелких неточностей есть :)
Пункт 1 — Windows 7 нельзя поставить на FAT/FAT32 раздел. Установщик вам не даст этого сделать и затребует NTFS.
Пункт 11 — Легко сказать, но трудно и дорого реализовать :) Включение аудита файловых серверов это только первый шаг. Парсинг событий вызовет взрывной рост лога и его частую ротацию, а их группировка займет у вас куда больше времени, и без стороннего софта с реалтаймом будет совсем все плохо.
Пункт 12 — Ну требовать что бы wifi был исключительно в dmz в современном мире это варварство. Просто разделяйте гостевые WiFi сети и корпоративные. Вторые должны работать по доменной авторизации и/или сертификатам.
Так же 8 пункт прокомментирую, поскольку логика автора не совсем полна. Обычно по требованию смены паролей делается акцент, мол если много пользователей с доступом через vpn и/или почтовый сервер доступен из вне и аутентификация на нем доменная то менять нужно относительно часто. Собственно по этой причине автор статьи не видит смысла менять пароли в своей инфраструктуре: vpn'щиков мало, почта на Яндексе имеет отдельную авторизацию и сдается мне что пользователи даже не знают паролей от своей почты. Но пароли меняются не только потому что, где то за периметром, есть злобные хакеры. Внутренние разборки и кулуарные игры могут иметь куда больший разрушающий эффект чем несанкционированный доступ от стороннего человека.
Если доступ к ресурсам завязан на доменной учётке и повсеместно используется SSO, то зная пароля коллеги, это позволяет творить от его имени страшные вещи. А пароль может утечь в силу очевидных и вполне часто встречающихся причин, когда пароль передают технарям для выполнения работ, коллегам для оперативного доступа к документам сохраненным на рабочем столе (потому что ты сорвался в садик к ребенку который там стукнулся об забор сильно, а отчет руководителю нужен прямо сейчас), передал пароль руководителю по тем же причинам, кто то мог подслушать пока пароль диктовали, либо поймать логику пароля, который у группы людей формируется на основе некоторого шаблона внутри коллектива, кто то кому то помог что-нить в базе учетной системы поправить, и т.д. и т.п.
Если пароль периодически не меняется принудительно, то вполне может быть ситуация когда, кто то накапливает пароли и в конфликтной ситуации использует потом это знание во вред организации.
Маленький дружелюбный коллектив, где все друг друга знают и совместно бухают на всех праздниках совершенно ничего не означает. Подлость некоторых людей не знает границ, когда они считают, что их незаслуженно обидели или ущемили их права.
Так что заставляйте менять пароль с периодичностью в 30-45 дней. Народ стал куда продвинутее чем 15 лет назад, и сейчас количество тикетов с забытым паролем ничтожно мало, по отношению к тому, что было в 200х годах.
И важен оперативный мониторинг неудачных попыток входа. Это позволяет взять на галочку некоторых сотрудников, а так же оперативно выявить ситуации, когда все становится плохо, как например было с kido.
yosemity
Вы во всем правы, но я описал общие базовые рекомендации, которые могут быть максимально действенными. Причесывать можно бесконечно. Так же я старался не вводить неискушенных читателей в заблуждение и не перегружать не нужной до поры до времени информацией.
1) Поставить нельзя, использовать на разделах можно.
11) Виндовые файловые сервера действительно почти не реально отслеживать без сторонних средств, но я и не говорил обратного. Можно включить для начала аудит, а уж парсить когда понадится. Линуховую самбу — очень даже легко мониторить из коробки, по текстовым логам.
12) Полностью согласен, если есть необходимость. У нас ее просто нет, пусть все будет в DMZ.
8) По паролям вы во многом правы, но использование сложных паролей с постоянной сменой может принести и вред, из-за упомянутых стикеров. Дополню свой совет «никому не сообщайте свой пароль, при подозрении на компрометацию — меняйте.»
Sergey-S-Kovalev
| из-за упомянутых стикеров
Массовые стикеры говорят лишь о том, что пароли меняются слишком часто. Единичные, что у человека недостаток понимания, т.е. не выполнен полноценно пункт 8.
Стикеры народ клеит, ровно до первого инцидента. Инцидент можно сэмулировать совместно с отделом безопасности. Это безопаснее и дешевле чем ждать, когда случится ахтунг. Это избавит руководство от необходимости рубить головы и не деморализует коллектив. А еще это ооочень эффективно, сарафанное радио усилит эффект.
Слышал от коллег историю о подкидывании шифратора. Потерь ноль, простоя ПК жертвы минимум, последующая бдительность в коллективе относительно непонятных писем просто занебесная. Когда письма ИТшники, да ИБшник шлют с «Внимание, опасность!» это все хихи, а когда Ольга Викторовна чуть не лишилась всех документов наработанных за годы на её компе, а в месте с ними и работы, не говоря уже про штрафы для организации за отсутствие отчетности в установленные сроки, то каждый успевает почувствовать холодок где то внутри.
Социальная инженерия ж.
yosemity
Не даром я упомянул пункт про работу с пользователями, но не рассчитываю на их сознательность и тем более компетентность. Если что-то можно решить техническими средствами, то нужно обязательно так и решать. Если требуются организационные, то и действовать соответственно.
foxkeys
Ага. Особенно хорош совет, «о подкидывании шифратора» если есть головная организация или если утечет по почте, к партнерам или еще куда. Или просто найдется ответственный сотрудник и напишет в ФСБ. То-то там порадуются.
Да, к слову, с 90% вероятностью ваш «план проверки безопасности путем подкидывания» будет в уголовном деле основным отягчающим, доказывающим умысел. Кроме шуток.
ApeCoder
Наверное надо подкидывать псевдошифратор который работает строго в домене организации и шифрует по XOR 1 :) или вообще не шифрует а только пугает.
Кстати, если рекомендации автора выполнить, его заблокирует SRP — то есть это должна быть тренировка для админов скорее :).
foxkeys
Да. И получить к «распространению» еще и «создание».
Народ, будьте очень аккуратны в этой сфере. С точки зрения закона очень многие обыденные вещи выглядят совсем по другому. И это «по другому» с логикой и здравым смыслом ничего общего не имеют, поверьте.
Sergey-S-Kovalev
Участие админов в данном тесте на позиции исследователей совсем не обязательно.
Служба безопасности может это сделать и без их участия. Как следствие проверка не только адекватности пользователей, но так же и возможностей инфраструктуры по противостоянию актуальным видам атак, т.е. проверка как админы делают свою работу, и как ИТ начальники планируют и реализовывают ИТ инфраструктуру.
Sergey-S-Kovalev
Самопал наказуем, это да.
Я же говорю про пинтест с участием специалистов по информационной безопасности, и естественно с согласования руководства.
Кастомный самосборный шифратор, который работает исключительно там, где должен работать.
Ну уйдёт письмо к партнеру, а ему файл по ссылке из письма не доступен для скачивания,… и что? Повод надрать уши сотруднику, который отправил такое письмо не в мусорку, а куда то.
Ну отправят в ФСБ/КГБ/АНБ/etc… ну придут. Ну спросят. А тут документально оформленный пинтест. И вне контролируемой среды шифратор не работает. И ущерба нет. Ииии?
Поэтому все ваши страшилки про уголовщину, это элементарное отсутствие продуманного подхода к организации процесса.
foxkeys
Вы внимательно читали мои комментарии?
Я ничего не писал о профессионалах, которые занимаются пентестами. А написал, что:
Sergey-S-Kovalev
Следите за общей логикой моих рассуждений:
1. До первых руководителей доводится необходимость пинтеста. Получается их согласование.
2. Приказом создается рабочая группа для проведения пинтеста, где на каждую душу расписывается роль, все подписываются.
3. Рабочая группа оформляет необходимую документацию.
4. К какому нить фриварному легальному шифровальщику прикручивается обертка, которая заранее сгенерированным ключем шифрует файлы в приделах ПК. В обертке можно задать миллион правил, когда оно срабатывает, а когда нет, куда лезет, а куда нет.
5. Недошифратор располагается на вебресурсе, доступ к которому есть только у сотрудников на которых производится тестирование. Хоть вплоть до индивидуальной одноразовой ссылки.
6. Производится тестовое заражение. По результатам теста формируется документация подробно описывающая технологию заражения, риски.
7. Высшее руководство по результатам тестирования согласовывает процедуру пинтеста.
8. Пинтест производится, собираются результаты. Виновные наказываются, отличившиеся тоже.
9. Доклад руководству, премия безопасникам, опыт сотрудникам.
Внимание, Вам вопросы: Какое нафиг ФСБ? Какой нафиг начальник прикрывающий свою жопу бумажкой в которой он же и расписался? Какой ХОR, при заранее сгенерированном приватном ключе? Что за чушь вы порете?
Внутри организации по согласованию первых руководителей можно удалить прям все, если они тебе приказ бумажкой дадут, ты выполнишь и никуда не денешься. Акционеры снашают исключительно первых руководителей.
Недошифратор не является вредоносным ПО. Это внутренняя разработка компании с определенным функционалом, который реализуется только на сторого определенных ПК в этой компании. Причём тут ФСБ? =)
foxkeys
Поддерживаю точку зрения насчет паролей. Надо менять.
А проблема забывания и стикеров с паролями сейчас решается просто.
Я просто требую забивать пароль в мобилу. При мне. И сразу отбираю листик. Всё. проблема решена.
Sergey-S-Kovalev
Норм. При каждой ротации пароля у пользователей, обходите каждого и контролируете запись нового пароля в мобилу? =)
А пароль может быть записан только на один листик? =)
Maysoft
В принципе все правильно, но складывается впечатление, что автор работает в какой-то «стирильной» организации, где кроме 1С ничего нет. Да даже в этом случае, кто и как обновляет прикладное программное обеспечение. Вот ни за что не поверю, что у вас годами не обновляются шаблоны отчетов, запросов и т.д. Если автор не в курсе, то основной вредоносный код содержится не в экзешнике, а в скромненьком файлике (файликах), например, template1.dat, а экзешник всего-лишь создает процесс, загружает дат-файл в память, а потом передает управление скрытому коду (ну это так упрощенно). В таких случаях разницы между Windows 98 и 7 нет никакой, как и нет никакого смысла в ваших способах защиты — криптолокер словите за милую душу. Кстати, семерка тоже считается уже устаревшей с точки зрения безопасности. А вот про работу с пользователями — в самую точку. Я бы поставил это первым пунктом. Остальные пункты также важны, но важнее всего понимание угроз, которые на данный момент актуальны, а для этого нужно быть не только сисадмином, а еще и безопасником. Это отдельная специальность от системного администрирования, на которой в нашей стране экономят.
ApeCoder
>>>Если автор не в курсе, то основной вредоносный код содержится не в экзешнике, а в скромненьком файлике (файликах), например, template1.dat,
Это вообще про что? Не могли бы развернуть сценарий атаки? Как код из template1.dat получает управление?
Maysoft
Прошу прощение, что неясно выразился. Не хотелось бы опускаться до конкретных примеров, потому как их придется долго описывать, объяснять «в чем тут прикол». В чем состоит уязвимость ПО? В том что разработчики не предусмотрели какую-то нестандартную ситуацию, при которой, например, (подчеркиваю, вариантов масса) приложение начинает выполнять код, находящийся в документе (запросе, по определенному адресу в памяти и т.д.). Мысль, которую я хотел выразить, состоит в том, что трояны — это необязательно экзешники, запускаемые из пользовательской папки.
Ну для убедительности, как пример, сценарий атаки: бухгалтеру приходит вызов в суд в виде pdf-файла, он (бухгалтер, даже если это она) открывает этот файл. Создается новый процесс, который инициируется adobe reader, в котором есть уязвимость, позволяющая выполнить участок бинарного кода после определенной инструкции в документе pdf (еще раз повторю — это пример).
Каким средством вы собираетесь избежать этой угрозы?
yosemity
Вероятно, регулярным обновлением этого самого Adobe Reader. Ну и EMET еще может помочь от 0day.
Maysoft
Вы опять правы, но не совсем. Во-первых, надо понимать, что весь интернет, включая почту, является потенциально опасным. Точно также как при покупке автомобиля, надо осознавать, что он потенциально опасен, и в первую очередь для вас. Исходя из этого утверждения, обязательно надо объяснить всем пользователям почты, что «не все йогурты одинаково полезны». И первое, что должен сделать пользователь, работая с почтой, включить голову. Задайте вопрос бухгалтеру: «Может ли по электронной почте придти повестка в суд?». В 99,9% случаев это попадалово! А остальные 0,1% дурацкая шутка. Второй инструмент это «песочница». Как это сделать — это отдельная тема, но выводы из этого словоблудия совсем другие:
1. первым (после сисадмина или безопасника) должен понять всю опасность ситуации руководитель организации;
2. пользователи должны понимать всю опасность своей работы (можно и это поставить на первое место);
3. на компьютере пользователя должны стоять только те программы, которые ему нужны (ну плюсом еще которые необходимы для обеспечения администрирования, безопасности и т.д.);
4. если может произойти какая-то гадость, то почему вы к этому не готовы? Например, обновление — зер гут, автообновление — зер шлехт;
5. и только вот тут будут какие-то технические средства.
yosemity
Я не понимаю что вы хотите донести. Вы считаете, что описанные в статье меры не действенны?
Maysoft
Если в результате регулярного использования презерватива ваша подруга залетела есть много объяснений этому, например, с кем-то она занимается сексом без презерватива. Значит ли это что вы зря использовали презерватив? Нет не зря, но подруга все равно залетела.
yosemity
Хорошо, хорошо. Залетела. (Кстати, как вы узнали?)
Вопрос по теме топика все равно остается открытым
Maysoft
Честное пионерское, я тут не при чем. А если серьезно, то нельзя быть уверенным, что у тебя всё прикрыто. Для каких-то контор достаточно запретить запись в определенный каталог, а где-то нужно реализовывать защиту от инсайдерских угроз, включая журналирование печати на принтере. С помощью ваших рецептов можно защититься от многих угроз, но не от всех. Для кого-то и этого будет достаточно. Подводя итог, можно сказать, что ваши меры действительно эффективны, но есть еще ряд угроз, от которых они бессильны.
yosemity
Несколько раз упомянул в топике и устал повторять в комментариях. Я описал основу, минимально необходимый набор. Естественно это не панацея от всех бед, но это то, с чего чаще всего стоит начинать.
P.S. Я пошутил, нет у меня девушки. Жена не разрешает =(
ApeCoder
Этот пример — из жизни? Был ли обновлен Adobe Reader?
Maysoft
Вот так я и думал: приведу пример и 100% получу вопрос на тему «Как это сделать?». Если вас это интересует, то почему бы вам не найти эту информацию в интернет? А если хотите дальше пребывать в состоянии уверенности полной защиты, то мне вас не переубедить.
ApeCoder
Я разве спрашиваю как это сделать? Я спрашиваю пример из жизни или из головы выдуман. И была ли закрыта уязвимость в Adobe Reader — т.е. оно сработало из за кривых рук администратора, или 0day действительно так распространен, что с ним есть большая вероятность встретиться, если вы не иранская ядерная программа.
Maysoft
Я же ясно сказал — это пример. Только вы положите руку на отсечение, что это не возможно?
ApeCoder
Примеры бывают реально случившегося и умозрительные. Нам не надо делать, чтобы такое было невозможно. Нам надо сделать, чтобы вероятность этого была такова, что для атакующего вероятнее получить то же самое терморектально.
Maysoft
Этим и отличаются сисадмины от безопасников
ApeCoder
Интересно посмотреть, какой в вашей организации регламент противометеоритной защиты.
Maysoft
Не поверите — резервное копирование!
ApeCoder
Не поверю — во-первых, там наверняка про метеориты ничего не написано (этак и я могу обозвать это антивирусом) — а во-вторых, а если они попаут во все резервные копии?
Maysoft
Если вас это действительно интересует, а не просто постебаться, то наводнения, землетрясения, народные гуляния и прочее относятся к форс-мажору, то есть действиям непреодолимой силы (по определению от них защититься нельзя, но можно снизить потери при их возникновении). Дальше, я думаю, пояснять не стоит, что именно написано.
ApeCoder
Нет, я именно постебаться. Просто делать дверь из броневого листа в квартире с тонкими стенами немного смешно.
Maysoft
Вы абсолютно правы: стоимость защиты не может превышать стоимость защищаемых данных. Ну а резервные копии вполне адекватный ответ нашествию зеленых человечков, тем более и от пожара может сгодиться.
ApeCoder
Я не про стоимость защищаемых данных, а про существование альтернативных путей обхода защиты.
Дверь -> Антивирусная политика
Стены -> Терморектальный криптоанализ
saboteur_kiev
Для таких ситуаций используется резервное копирование в облако или в электронный банк. А для организаций, у которых есть несколько собственных офисов в разных локациях, просто перекрестное копирование. Основная суть — резервное копирование за пределы помещения.
На прошлой работе мы использовали электронный банк. Нечасто, но регулярно по определенной процедуре заливались бэкапы в банк, который гарантировал хранение нашей информации в защищенном от внешнего воздействия датацентре.
Maysoft
Вопрос резервного копирования в облако уже не раз поднимался. Я продолжаю настаивать, что такой подход является самой большой дыркой в безопасности — практически все ваши данные хранятся незнамо где и без всякого контроля доступа.
Поясните, пожалуйста, чем ваш электронный банк отличается от обычного облачного хранилища?
Датацентр защищен от внешнего ФИЗИЧЕСКОГО воздействия (и то, вы это не проверите), но это не означает, отсутствие внешнего доступа. Это как лечение кашля пургеном, не находите? В качестве примера, была совсем недавно статья с фотографиями про «студенческий» датацентр.
yosemity
Так шифрование же. Данные в облаках обязательно должны быть зашифрованы.
Maysoft
Шифрование это хорошо, но это если размер резервных копий, позволяют хранить в облаке. А то некоторые личности любят делать резервные копии всего диска всех систем, вместо резервных копий данных. Одним словом в некоторых случаях это хорошо, но это не универсальное решение.
saboteur_kiev
Электронный банк это датанцентр, с которым есть договоренность об обеспечении и физического хранения и определенного уровня безопасности. И это как раз включает в себя отсутствие лишнего внешнего доступа, кроме как уполномоченным людям.
В нашем случае взять то, что мы положили в банк по сети было невозможно — необходимо было в случае проблем приехать лично за носителем.
Собственно проект использовался в крупной компании, которая хотела себя обезопасить на случай, если мы вообще исчезнем по какой-то причине. Таким образом, в случае разрыва отношений между нами и заказчиком, заказчик после определенной процедуры мог получить исходники продукта, который мы для него разрабатывали и найти другого «подрядчика», но до выполнения этой процедуры, ни мы ни заказчик взять то, что мы туда уже положили не мог.
Электронные банки весьма гибкие, если платишь ;)
Ну и как верно сказали, в облако или в электронный банк можно класть уже шифрованные данные.
yosemity
Я работаю в крайне «нестерильной» организации — телекомпания.
Про dat-файл не врубился. Какая разница в каком файле содержится код? Его надо выполнить, а указанные в статье средства запрещают выполнение левого софта.
Windows 7 не считается устаревшей, она на поддержке и будет таковой еще 4 с лишним года.
Alexeyslav
Выполнение софта они запрещают а не кода. Этот самый .DAT файл может оказаться плагином приложения, по сути перемаркированным DLL. У приложения есть права на запуск, оно запускается подтягивает плагин и запускает код находящийся в нём…
Это может быть и не DLL, а собственный формат файла, в котором находится код предназначенный для выполнения.
yosemity
Так я это и написал, по сути. Надо же сначала запустить софт, который выполнит левый код. Я собственно такой подход сам использую для кастомного лаунчера Miranda.
dprotopopov
В этом-то и фишка всех основных концепций безопасности постороенных на иерерхии прав.
в добавление к софтверному закрытому периметру надо иметь и физически существующий периметр безопасности — либо комната без доступа посторонних или по крайней мере сейф или тайник.
на самом деле любая безопасность — неважно софтверная или физическая — это задача увеличения времени для противника для преодоления препятствия — чтобы было время посидеть-подумать-принять решение и потом противодействовать. а противодейтвовать может только человек.
nagibat0r
Прочитал статью. В принципе согласен с автором во многом. Мне пришлось принять меры в домене, а точнее запретить запуск любых программ с любых мест, кроме как из Windows и Program Files, плюс у всех ограниченные учетки. А то пользователи любили Tor настолько, что откуда только его не качали и куда только его не спихивали. От Tor'a только так и избавились
grumbler66rus
Разрешены ли в вашей настройке SRP запуск программ c:\windows\system32\cscript.exe и c:\windows\system32\wscript.exe, а также программы c:\windows\system32\cmd.exe? Я встречался с троянами в виде скриптов JS и BAT.
yosemity
Просто запустить левый bat-ник или JS-скрипт не выйдет, это дефолтное поведение. Разве что выполнить специально обход SRP который достаточно просто реализуется, если знать как. Это уже чистой воды внутренний саботаж.
ApeCoder
Там есть список разных расширений, которые считаются исполнимыми js и BAT среди них
axeax
Как автор предыдущего поста буду оправдываться: 90% того что вы написали у нас используется, все доведено мной до автоматизма и совершенства. Если внимательно читать мой пост и комментарии, то можно понять что дело происходит в школе, где рабочему контингенту кроме одного браузера и ворда требуется самостоятельно устанавливать некоторый софт, вы не поверите по сколько дисков со старыми программами хранится у наших учителей (который просто так не скачать), и все ими пользуются. И дабы не обламывать их с такими установками, права настроены особым образом. (При штате в 400 человек ставить всем в индивидуальном порядке невозможно). Так что ситуация в моем случае специфична, и использование spr будет крайне неудобным. Вот и вышла статья, в которой я не углублялся в подробности, а лишь дал общее представление как об одном из способов для решения проблемы. Насчет каталога apps скажу — опять же в нашем случае там не хранится абсолютно ничего необходимого для работы — проверил почти все 500 машин. Ведь если бы по правилам нашей организации было запрещено пользоваться чем либо кроме ослика — и в мой черный список попал хром, меня бы тоже заминусовали? Голова на плечах есть у каждого, и как пользоваться увиденной информацией решать каждому. Это как рассуждать о том что кроме пузырьковой сортировки есть и более выгодные в отдельных ситуациях алгоритмы, и ничего кроме пузырька использовать нельзя/плохой тон (для примера привел)
yosemity
Лично я вас не минусовал и перед собственной публикацией даже выждал чтобы срок голосования за топик кончился, во избежание так сказать. Я объяснил в начале своего поста почему ваше решение может бы вредным при прочих равных.
axeax
Спасибо что дождались, честно говоря не ожидал такой реакции от сообщества… в общем вы внесли здравый смысл за меня)
ApeCoder
axeax
1. Все что массовое развертываю через sccm
2. Нельзя, есть не только диски но еще программы с курсов повышения квалификации, которые скачиваются, и прочий мусор которым им приходится пользоваться раз в год
3. За зарплату бюджетника нереально
4. Много. На 1 админа и 2 эникейщиков, и 500 голов в 12 зданиях очень много.
5. У всех разные, повторы случаются крайне редко.
ApeCoder
Пока приходят в голову такие варианты:
1) Завести папку с именем «Сюда я переписываю программы которые мне действиетельно нужноустановить для работы, и пусть я подвергнусь групповому изнасилованию своими товарищами, если я запишу сюда что-то еще» и пусть он может выполнять только оттуда
2) Всякий одноразовый мусор развертывать на виртуалку
3) Давать права на установку «раз в год» на ограниченное время по заявке с указанием обоснования
И еще, как получается, что они ловят агента, но не ловят шифровальщиков.
whiplash
Не знаю, откуда такой смешной троллинг про антивирусы и патчи выше, но если бы 80-90% администраторов да даже в крупных компаниях придерживались этих правил — площадь возможной атаки со стороны уменьшалась бы на порядок!!!
Очень хорошая статья.
nagibat0r
Согласен. Когда у нас закупили лицензии на Win8, решил сразу же отстроить GPO так, чтобы не запускать js, bat, и запускать программы только из Windows и Program Files. Ессно правила разнятся для многих людей, кому-то нужны bat'ники, они в отдельной группе. В общем после таких вот правил резко увеличилась стабильность всего парка ПК в целом, а это порядка 400 ПК по всем филиалам. Ну и про шифровальщики забыли. Антивирусы стоят, но они максимум отлавливают бяку на флешках