Разбирая последствия работы вирусов WannaCry и Petya, а так же то, как они повлияли на наших клиентов, представляем здесь выводы и советы, которые мы можем дать уважаемому сообществу. В основном эти советы будут относится к системным администраторам Windows, а они, как известно, и пострадали от этих вирусов.
1. Сервера:
- Уровень леса Active Directory должен быть не менее 2012r2, а пользователи должны находится в группе защищенных пользователей, в этом случае перехват паролей mimikatz невозможен.
- Доступ к общим файлам должен быть реализован через систему с поддержкой версионности или снапшотов, например, Sharepoint + OneDrive Pro
- На гипервизорах должен быть включен secure boot, шифровальщик не сможет запуститься вместо родной ОС.
- Настройки почтовых серверов должны запрещать получение исполняемых файлов и неоткрываемых архивов, крайней мерой можно сделать изменение формата писем на plain text, что исключит ссылки в теле писем.
- Обновления должны ставится регулярно, не реже раза в две недели. Проведение регламентного обновления ОС серверов, драйверов, прошивок. Это один из самых важных пунктов ИБ, один он очень серьезно усилит вашу защиту. У вас должен быть четкий план выполнения обновлений с указанием даты последнего выполнения и ответственного.
- Вынесение системы резервного копирования вне границ текущей среды. Настройка репликации на резервную площадку.
2. Рабочие станции:
- Клиентские компьютеры должны работать на Windows 10 LTSB. LTSB имеет меньше потенциально опасных компонентов и, теоретически, не следит за пользователем, хотя запретить телеметрию все равно не помешает.
- Включить UEFI и secure boot. Как и на серверах шифровальщик не сможет запустится вместо родной ОС. Вирус Petya перегружает машину для начала шифрования. Эти две настройки не дадут ему запустится. Есть большой шанс, что будущие шифровальщики будут использовать эту стратегию.
- Обновления должны автоматически ставится не только на саму операционную систему, но и на все приложения, особенно на офис. С WSUS или напрямую с серверов Микрософт - не принципиально. Этот пункт не нуждается в комментариях: если на серверах обновления надо ставить вручную, контролируя процесс чтобы не остановить работу, то на рабочих станциях надо ставить автоматически.
- Системные администраторы не должны работать на рабочих станциях с правами доменного администратора.
3. Общее:
- Разделение рабочей среды и интернет серфинга, разделение разных направлений/отделов компании в изолированные среды, например, как указанно здесь
- Разделение инфраструктурных сред по VLAN, между которыми должна быть настроена фильтрация трафика. В этом случае перекрыв доступ по определённым портам можно остановить сетевое распространение зловреда, как в случае Petya блокируют 135, 139, 445 TCP-порты (служб SMB и WMI)
- Желательно не пользоваться серверными программами требующим сетевой доступ к общим папкам. Бизнес софт, такой как 1С должен быть на SQL Server.
- На пользовательский станциях и серверах должен быть настроен сетевой фильтр на запрещение исходящего доступа всем приложениям кроме необходимых. Подробная информация как и зачем в статье
- На серверах и рабочих станциях должен быть выключена SMBv1, а по возможности и SMBv2
- Специализированные и редкие программы, типа M.E.doc интернет банкинг(особенно на Java), должны запускаться на отдельной виртуальной машине с жестко настроенным фаерволом.
- Не полагайтесь на антивирусы, они создают ложное ощущения безопасности, пример последних вирусов и реакции на них ведущих производителей. Например даже стандартный Windows Defender обновился одними из первых.
- Способствуйте получению технических сертификатов вашего IT штата. Аутсорсера выбирайте с действующими профессиональными сертификатами по требуемым вами направлениям.
- Проводите семинары и другие мероприятия для повышения уровня IT осведомленности и IT культуры всех сотрудников, с обязательным приведением реальных примеров и последствий.
Замечания, дополнения рады обсудить в комментариях.
Остальные наши статьи http://servilon.ru/stati/
Комментарии (55)
Igorjan
29.06.2017 18:43+1Клиентские компьютеры должны работать на Windows 10 LTSB
Любой билд или последний?
Обновления должны автоматически ставится
Вот тут весьма спорно. Далеко не все имеют возможность быстро восстановить работу пары сотен машин после чего-то типа MS14-045.
Разделение инфраструктурных сред по VLAN, между которыми должна быть настроена фильтрация трафика. В этом случае перекрыв доступ по определённым портам можно остановить сетевое распространение зловреда, как в случае Petya блокируют 135, 139, 445 TCP-порты (служб SMB и WMI)
тут тоже нужно прикладывать голову. При неверно подобранном оборудовании можно положить всю сеть копированием файла с сервера в другой подсети через маршрутизатор.
Специализированные и редкие программы, типа M.E.doc интернет банкинг(особенно на Java), должны запускаться на отдельной виртуальной машине с жестко настроенным фаерволом.
если есть возможность пробросить электронную подпись. Вдруг еще не все банки от ключевых дискет отошли
Проводите семинары и другие мероприятия для повышения уровня IT осведомленности и IT культуры всех сотрудников, с обязательным приведением реальных примеров и последствий.
есть такие сотрудники, на которых и публичные казни не повлияют :-)MazayZaycev
30.06.2017 00:01Любой билд или последний?
Вот тут весьма спорно. Далеко не все имеют возможность быстро восстановить работу пары сотен машин после чего-то типа MS14-045.
Второй вопрос содержит ответ на первый — вот для этого и желательна 10, что бы риск сбоя от нового обновления был меньше
А зачем старые билды ставить?
imbasoft
29.06.2017 21:15+2«Как начинать тушить огонь до пожара» — а смысл? так даже картошку себе не пожаришь.
Приведенные рекомендации по ИБ для очень хорошо подойдут для сферического коня в вакууме. Применительно к реальной жизни безопасность все таки строится от существующей инфраструктуры.
Пересаживать всех на Win10 при условии, что Win7 работает и обновляется выглядит сомнительной идей. Более того, много «чудо»-софта наколенной разработки но бизнес-критически важного перестанет работать совсем, что тогда?
Обновления должны ставится регулярно, не реже раза в две недели.
Обновления нужны это факт, но просто ставить апдейты — путь к остановке системы. Примеры «плохих» апдейтов уже приводили выше. Ставить апдейт без теста нельзя.
Я думаю реальной скоростью будет не реже раза в месяц для апдейтов ОС в инфраструктур компаний среднего бизнеса 1000+ человек, при условии, что у ИТ будет специально выделенное время для тестирования апдейтов, если его не будет, то не реже раза в квартал. Для апдейтов других систем (СУБД, драйвера, ...) лаг только увеличится.
Критикам предлагаю составить в уме перечень действий, которые нужно предпринять для обновления BIOS на ферме гипервизора с сотней виртуалок, часть которых работает 24/7. Ну и соответственно составить roll-back план.Daimos
30.06.2017 09:39Пересаживать всех на Win10 при условии, что Win7 работает и обновляется выглядит сомнительной идей. Более того, много «чудо»-софта наколенной разработки но бизнес-критически важного перестанет работать совсем, что тогда?
Win7 имеет дыру для кражи пароля через Mimikatz и MS не будет ее закрывать в принципе, чтобы подтолкнуть людей к переходу на Win10.
navion
30.06.2017 13:55+1Критикам предлагаю составить в уме перечень действий, которые нужно предпринять для обновления BIOS на ферме гипервизора с сотней виртуалок, часть которых работает 24/7. Ну и соответственно составить roll-back план.
Эмм,запусить One-Click Upgradeвывести железку в maintenance mode и обновить?
Dreyk
29.06.2017 22:55-3если что, Medoc оказался ни при чем
и можно же запретить выполнение из папки Temp, тогда напрямую из письма будет ничего не открыть
и ещеьььььььььььььььььь
я вам тут отсыпал, пользуйтесь
Escsun
30.06.2017 02:37Было через m.e.doc это факт, у меня комп комп бухгалтера лег после обновы, ничего другого не было запущено.
AngryGamer
29.06.2017 23:58Обновления должны автоматически ставится не только на саму операционную систему, но и на все приложения, особенно на офис.
Не согласен. Безопасники вздернуть могут за такое… Сначала патчи на тестовую среду потом их апрув и лишь потом в продакшн. 0-day же.MazayZaycev
30.06.2017 00:14+2спорный момент, написано было в контексте на пользовательских машины, потеря которой в результате «кривого» обновления зачастую не приводит к потере данных, но в свою очередь уменьшает риск заражения 0day уязвимостью. В случае с серверами, конечно, только через тестовые среды, все это должно быть в плане и стратегии обновлений.
biowoolf
30.06.2017 00:04А разве политика srp по хэшу не спасает от 80% малвари?
На win10 я так понимаю все равно придется переходить? Апдейты на новые процессоры ставятся со скрипом. Или я не прав?
soshnikov
30.06.2017 00:15Сделали давным давно хорошую штуку — автоматический откат настроек монитора если юзверь за n секунд не подтвердил, что все ОК.
При нынешних *-лизациях для обновлений такое бы запили. А то каждое обновление как на мину наступить. Рванет или пронесет?
А то автор прописных истин рекомендует пару раз в месяц по минному полю прогуливаться с идиотской улыбкой на небритой роже.
PaulAtreides
30.06.2017 01:48Про установку обновлений раз в пару недель — выше уже сказали. Правильный путь — тестовая среда, потом все остальные. То же самое с рабочими станциями. Удачно расставленное по рабочим станциям кривое обновление может остановить работу компании гораздо надёжнее, чем полёгшие сервера. Что, собственно, и демонстрируют нам шифровальщики.
Инфраструктура крупных компаний — сцуко сложная, разветвлённая и неоднородная. Есть такие, казалось бы, богатые и озабоченные своей безопасностью организации, которые до сих пор продолжают долго и мучительно переходить с Windows XP. И проблема не в лени, а в том, что компьютеров, которые кроме XP ничего не тянут — ещё многие сотни, если не тысячи. Такая же история с серверами. Местами встречаются ещё сервера под 2003. Не потому, что лень, а потому, что переход на 2012/16 сопряжен с существенными трудозатратами (а то и финансовыми). Поэтому ещё лет 5-7 мимикац будет надёжным средством добывания учёток.
На самом деле, в контексте шифровальщиков, во всём вышеперечисленном самое важное — бэкапы и наличие дизастер рекавери плана. Причём, DRP должен быть отработан теоретически, а потом подтверждён учениями. Хотя бы один раз.
Во всех других контекстах, надо строить серьёзный и сложный мониторинг происходящего. Потому, что вероятность того, что вы не единственный хозяин своей сети — очень и очень велика.
Jef239
30.06.2017 04:55Могу дать рецепт полной безопасности. :-)
Обновления ставить? Не нафиг. Все проще. Обновления не ставим, соответственно инет и не нужен. Локалка — исключительно локальная, только на несколько машин и без выхода в инет. Никаких новый программ, работает только то, что поставлено разработчиком. Никаких антивирусов с их требования интернета для обновления. Кто софт принесет — получит выговор. Но в общем-то там и не запустится ничего постороннего. Политиками зажато.
Вот так и живет оно 15 лет на Win2K с 256 метрами памяти.
Понятно, что это АСУТП и для офиса не применимо. Зато — надежно.mrobespierre
30.06.2017 08:13Могу дать рецепт полной безопасности. :-)
давайте, а мы послушаем
Обновления не ставим, соответственно инет и не нужен. Локалка — исключительно локальная, только на несколько машин и без выхода в инет. Никаких новый программ, работает только то, что поставлено разработчиком...
и не слова про USB — Вы, при всём уважении, просто не знаете, что принесли/унесли Ваши сотрудники, а отсутствие локеров/шифровальщиков не равно безопасностиJef239
30.06.2017 08:48+1Видите в чем дело. Стан дает продукции примерно на миллион долларов в сутки. И любой, кто сел за эти компы, может сломать стан очень надолго. Например, взорвать печку, работающую на водороде. Она как раз под двумя серверами находится.
Так что дураков там нет. Тем более, что премия равна окладу, а снимают её за 3 часа простоя в месяц по вине службы. И со всей службы. А не только с виновника.
Что унесли — не важно, там технологические данные, ониникому нетолько эксплуатанционщикам интересны.
А что принесли… Лет за 5 до ввода этой системы (на предыдущей системе) пытались приносить игрушки. Получили по первое число. Так что простого запрета из политик + логгирования хватило, чтобы больше не пытались.
geher
30.06.2017 08:54Все внешние порты (занятые с предотвращением извлечения, незанятые наглухо), дисководы, CD приводы опечатывать.
Если все же приспичит, внешний носитель предварительно детально проверяется комиссией специалистов в присутствии админа, безопасника и начальника на изолированной машине.
Снятие печати в присутствии той же компании с немедленным восстановлением печати и после установки, и после извлечения носителя.Jef239
30.06.2017 09:02А это уже работать мешает. Например — ставить новые прошивки на контроллеры во время ППР. Угрозы уголовного наказания (см. ниже) вполне хватает.
Jef239
30.06.2017 09:00Для понимания.
УК РФ, Статья 217. Нарушение правил безопасности на взрывоопасных объектах
1. Нарушение правил безопасности на взрывоопасных объектах или во взрывоопасных цехах, если это могло повлечь смерть человека либо повлекло причинение крупного ущерба, -
Крупный ущерб — это любая, даже на 30 секунд, остановка стана. Он вроде от миллиона рублей начинается.
Так что желающих попасть под уголовку — нету. Любая авария (как и вообще все, происходящее на стане) записывается этой самой системой. И далее анализируется с выяснением виновной службы (автоматчики, электрики, приводчики, гидравлики, химики, технологи, операторы..)
Ну нету среди инженеров людей, желающих подставить свою голову под статью.
MazayZaycev
30.06.2017 10:01+1Да, наши рекомендации не могут быть применены в лоб к инфраструктуре управляющей прокатным станом или атомной станцией. Для всех остальных — ночной maintenance window для части инфраструктуры вполне приемлем. Хотя наша выборка и нерепрезентативна, таких клиентов, у которых загрузка днем и ночью одинаковая, у нас нет.
Среднестатистический офис имеет минимум 12 ночных часов, в течении которых можно все оттестировать и установить.Jef239
30.06.2017 10:16-2Не, это не управление (кто же доверит управление IBM PC!!!), это диагностика, то есть запись того, что сделали управляющие контроллеры. Серверов два, так что один вполне можно и вывести для обновления. Поломка одного сервера во время обновления другого — экзотика.
Просто не нужно обновлять то, что работает. Когда нет интернета, локалки, а новые программы не приносятся — никакого смысла в обновлениях нет. Работает — не трогай. Сломать при обновлении — можно. Улучшить — вряд ли.
Вы у себя дома на стиральной машине прошивку обновляете? Нет? Вот и тут не надо.ls1
01.07.2017 10:38-1Когда нет интернета, локалки, а новые программы не приносятся — никакого смысла в обновлениях нет. Работает — не трогай. Сломать при обновлении — можно. Улучшить — вряд ли.
Потомки Stuxnet читают ваш пост с воодушевлениемJef239
01.07.2017 12:42-1Стиральную машину давно обновляли? А домашний роутер? А мобильник?
Stuxnet — средство государственного терроризма. Намного дешевле подкупить уборщицу пронести бомбу. И эффекта больше будет.
Spewow
30.06.2017 19:16До первой зараженной флешки? Stuxnet ничему не учит?
Jef239
01.07.2017 01:57Цена разработки Stuxnetа — от 3 миллионов долларов. За тысячу долларов можно попросить уборщицу пронести сумку с бомбой и оставить её в определенном месте. В итоге — стане не будет подлежать восстановлению.
Мораль — борьба с государственным терроризмом — это дело спецслужб. И кибератака — это самый мягкий вариант терракта. В отличие от взрыва бомбы, при кибератаке хотя здание цеха не разрушается. :-)
Хотите страховаться «от всего» — рассотрите прежде всего сьрос термоядерной бомбы прямо на ваш объект. Потом — обычные взрывные устройства. А уж потом — редкие и дорогие атаки с использованием специально написанного ПО.
Ну а ваш комп как защищен от флэшки, которая его аппаратно сжигает? А от 500 грамм пластида с радиовзывателем вы как защитились?Spewow
01.07.2017 07:03Stuxnet запускался автоматом при подключении флешек из за уязвимости в ОС. Потом было ещё несколько подобных уязвимостей, которую уже использовала вполне обычная вирусов.
Ваши добропорядочные киповцы сами того не зная воткнутся флешкой в какой нибудь внешний зараженный комп и получат недокументированный автозапуск.
Часто вирусня делает ещё проще.
Порядочный дед Петро думал, что заходил в папочку с прошивками на флешке, а оказалось что это вирусня подменила иконку на желтенькую и обманула честного гражданина. Запустил то он в итоге «Мой каталог микропрограмм.scr». :)Jef239
01.07.2017 20:28-1Stuxnet запускался автоматом при подключении флешек из за уязвимости в ОС
Это неверно. Для его запуска нужно открыть флэшку (или дискету) в проводнике. У всех нормальных инженеров автозапуск проводника отключен уже больше 20 лет. А со флэшки копирование идет через far (или DN или windows commander). Это причина номер раз, почему такие вирусы не страшны.
Ваши добропорядочные киповцы сами того не зная воткнутся флешкой в какой нибудь внешний зараженный комп и получат недокументированный автозапуск.
Внешние для нашей системы компы на заводе — с обновлениями, антивирусом и так далее. Использование учетной (номерной) заводской флжшки за пределами завода — это ЧП независимо от того, занесли ли вирус. Вообще, проход с флэшкой через проходную — оформляется специально.
Тут наибольшая угроза — я сам. Вот я, когда устанавливал и настраивал систему — ходил через проходную с собственной флэшкой. Но это или разрешение с кучей печатей или — тяжелый процесс по упрятыванию флэшки (с устного разрешения начальства).
Это вторая причина.
Третья причина — флэшку явно проще воткнуть в более доступный комп, чем идти в машзал за 700 метров.
В целом — наша система будет одной из последних на заводе, кто получит вирус.
Порядочный дед Петро
Деду Петро в машзале проще 15 киловольт отрубить. Или ещё что-то сделать. В машзале размером с футбольное поле — полно опасных рубильников.
А идти в запертую комнату с сигнализацией и открывать шкаф с аппаратурой — совсем невероятно. Зачем возиться с двумя замками, если под в самом машзале вагон менее защищенной техники.
В целом, вы мне очень напоминаете хакера в столовой. Это точно не розыгрыш?Spewow
02.07.2017 08:27--Внешние для нашей системы компы на заводе — с обновлениями, антивирусом и так далее.
Ну тогда я спокоен, у вас есть еще грамотные админы, которые не прислушиваются к вашим «рецептам» из начала ветки аля ;)
---Никаких антивирусов с их требования интернета для обновления.---Jef239
02.07.2017 13:18Слава богу, что «грамотных» админов на наши компы не пустят.
Вы не понимаете главного — изолированная машина сама по себе заразиться не может. Если нету ни локалки, ни интернета, ни приноса программ на дискетке или USB — откуда возьмется вирус?
Да, есть тоненький канал приноса и забора данных. Тоненький — это не чаще раза в месяц.
Если по этому каналу носить обновления — риск заразиться увеличиться в тысячу раз. Как минимум потому, что придется разрешить запуск произвольных файлов. А среди обновления на флэшке легко может притаиться вирус.
Более того, вспомните, насколько часто обновления вызывают проблемы? Ну так пример раз в 5 лет приходится откатываться после неудачного обновления. То есть в среднем за 15 лет работы системы, обновления бы вызвали три отказа в работе. А сейчас — ноль.
Нравятся обновления — начните с собственного мобильника и стиральной машины. Давно на своем андроиде ядро обновляли? А ведь мобильник в интернете, ему ядро обновлять надо.
P.S. Единственное, что родилось полезного — на таких машинах вместо Explorer надо ставить более простую оболочку.
pnetmon
30.06.2017 09:27Клиентские компьютеры должны работать на Windows 10 LTSB. LTSB имеет меньше потенциально опасных компонентов и, теоретически, не следит за пользователем, хотя запретить телеметрию все равно не помешает.
Вот только MS в своих материалах не рекомендует использовать LTSB на рабочих компьютерах. Версия LTSB предназначена для использования в специализированных устройствах.
https://docs.microsoft.com/ru-ru/windows/deployment/update/waas-overview
Long-term Servicing Branch
Специализированные системы, такие как ПК, контролирующие медицинское оборудование, POS-терминалы и банкоматы, часто требует более длительного цикла обслуживания в силу своего назначения. Эти устройства, как правило, выполняют одну важную задачу, и им не требуются обновления компонентов так часто, как другим устройствам в организации
…
Ветвь обслуживания LTSB не предназначена для развертывания на всех (или большинстве) ПК в организации и должна использоваться исключительно на специализированных устройствах. ПК с Microsoft Office — это универсальное устройство, которое, как правило, используется специалистом по работе с данными. Для такого устройства больше подойдет ветвь обслуживания CB или CBB.
....VahMaster
30.06.2017 09:57+2что написано в приведенной ссылке
Гораздо важнее обеспечить стабильность и безопасность этих устройств, а не установить на них последние изменения пользовательского интерфейса. Модель обслуживания LTSB блокирует получение устройствами LTSB с Windows 10 Корпоративная стандартных обновлений компонентов и отправляет на них только исправления, чтобы поддерживать систему безопасности в актуальном состоянии.
что важнее стабильность или новый интерфейс думаю комментировать не надо
Smithson
30.06.2017 10:37-2Вы предлагаете очень громоздкое и дорогое решение.
На самом деле можно сделать проще: Novell (ныне скрывается за псевдонимом Microfocus).
И всё. Порты 135,137,138,139,445,1027 запрещены на свичах, потому как netbios в сети не нужен. Инфраструктура не подвержена атаке в принципе (там нет домена, винды и самбы).
Вот сейчас сижу ем попкорн и смотрю комедию «как мы боролись с эксплойтами АНБ», уже третья серия пошла. И все такие серьезные, шарпоинт им для сетевых ресурсов нужен, отдельный ПК для работы и отдельный ПК для связи с внешним миром. Экономия, однако.
В нашем случае даже если какой талант через два антивируса (на почте, на прокси и на рабочей станции) чего поймает — ну потеряем эту рабочую станцию, развернуть новую — вопрос одного часа. Заражения по сети не будет.
paranoya_prod
30.06.2017 17:13Отсутствует пункт 4. Замените такое устаревшее оборудование, как МФУ, которое использует только SMB1.
dmxrand
03.07.2017 10:40+1Еще добавлю. Проводите раз в пол года аудит. Бывает так, что сисадмин уверен, что все Ок (а у него задняя стена отвалилась).
По поводу МФУ. Советую всю печать развести через CUPS.paranoya_prod
03.07.2017 11:37Протокол SMB нужен для того, чтобы сканы складывать. Если МФУ понимает только smb1, то сканы складывать станет некуда при отключении smb1. Для пяти-десяти страниц можно пользоваться и почтой, а если под 400-500 страниц?
Daimos
03.07.2017 12:43Это что за древние девайсы? У нас МФУ гнусмас уже под 5 лет пашут, и то SMBv3 есть.
Прошелся по ним и перенастроил с smb1 месяц назад на smb3 с авторизацией.paranoya_prod
03.07.2017 13:02Есть много МФУ, которые стоят от 150К рублей.
Daimos
03.07.2017 18:42Например? Вы уверены, что там только smb1?
Ну и не вижу проблем даже если и так — один сервер с smb1 с ограничением только с IP адреса принтера, остальные ходят по smb3.paranoya_prod
04.07.2017 10:34Если мне не изменяет память, то smb1 включенный на сервере, будет включен для всех, потому как все версии smb работают на одном порту. А это значит, что будет дыра.
Daimos
04.07.2017 10:38Ну нет же! Не такой тупой firewall на винде.
Он включается на каждом сервере отдельно и как клиент и как сервер, плюс в файрволе может ограничить принимать по 139 порту только с IP принтера.
Ну или сделайте отдельный сервер на Ubunte какой с SMB1 шарой и никаких дыр.paranoya_prod
04.07.2017 10:52Дело не в том, что делать, а в самой статье, где даны советы по защите от вируса Петя. И любое использование smb1 является дырой, даже если сделать Убунту с smb1, потому как не важно что стоит, важна только версия smb, если есть первая версия, то есть и дыра.
По поводу фаервола — smb1 работает на 445 порту, так же как и smb2. Порт 139 — это порт netbios.Daimos
04.07.2017 11:21Не говорите глупостей — разрешенный smb1 на убунте — никакая не дыра в системе.
вы не сможете заразить убунту никаким петей.paranoya_prod
04.07.2017 11:40smb1 используется тем-же Петей для получения паролей. Получив пароль, дальше можно хоть через smb3 копироваться в доступные по этому паролю места.
Таким образом, Ваше предложение по установке Убунты вполне нормальное решение, но с дополнениями — отдельный влан для убунты и МФУ. С доступом к отсканированным файлами либо через флешку, что ухудшит удобство работы людей, либо через ftp.Daimos
04.07.2017 13:59Ну когда вы покакажете, как Петя сможет взломать убунту да еще и для получения паролей — продолжим разговор.
А так видно, что вы в теме не разбираетесь.paranoya_prod
04.07.2017 15:02Убунту никто не будет взламывать. Предположим, что МФУ через смб1 используя логин/пароль обычного юзера на Убунте кладёт отсканированные файлы на файловую помойку Убунты. Далее, настоящему юзеру нужно забрать эти файлы с Убунты на свой компьютер, как он это будет делать? Через СМБ1 или через СМБ2-3? Используя чьи учётные данные юзер будет подключаться к Убунте?
ascheck
04.07.2017 12:52MazayZaycev, спасибо за ценные наводки.
Если говорить, о пожеланиях/замечаниях, в таком виде чек-лист (Вы ведь к этому формату стремитесь?) потеряет актуальность через полгода-год. Может стоит вместо конкретных версий говорить «последний», «предпоследний», «устаревший» и т.п.?
С WSUS или напрямую с серверов Микрософт — не принципиально
— возможно, ринципиально. Даже если обновления не хранятся на WSUS, они должны через него проходить, чтобы об ошибках установки обновлений узнавать оперативно — из консоли или отчётов WSUS.
Системные администраторы не должны работать на рабочих станциях с правами доменного администратора.
— не лучше ли сразу говорить о принципе наименьших привилегий? с правами доменного администратора даже на серверы заходить не всегда нужно.
•Специализированные и редкие программы, типа M.E.doc интернет банкинг(особенно на Java), должны запускаться на отдельной виртуальной машине с жестко настроенным фаерволом.
— для большинства это слишком сложный пункт, но если уж его затронули, то стоит здесь говорить не только о фаерволе, но вообще о специальных политиках безопасности для таких компьютеров. Кроме того, не обязательно это должна быть ВМ. Кто-то даже скажет, что ВМ уязвима из хост-системы.
navion
Нет домена — нет проблем?
Тогда никто не сможет подключиться по RDP с недоменного компьютера и полностью спасёт лишь Credential Guard из Windows 10 Enterprise, где LSASS работает в виртуалке.
Secure Boot от шифровальщиков тоже не спасёт, большинство из них работает в юзерспейсе и не требуют перезагрузки для начала шифрования. В этот раз повезло из-за криворукости авторов малвари.
При этом ничего не сказано про SRP/AppLocker, LAPS и политики ACT для приложений, требующих прав админа.
MazayZaycev
есть, но другого характера.
можно подключится через RDG
согласен, следовало бы добавить