Comments 71
Система виртуализации не входит в домен
Система резервного копирования не входит в домен
Система хранения резервных копий не входит в домен
Достаточно спорное требование ? Особенно вкупе с :
Доступ для локальных учётных записей с административными правами по сети запрещён
Покажите, если не сложно, как это совместить на реальных СРК и платформе виртуализации.
Капец захоливарили вы :) штат IT и штат ИБ интересно глянуть у такой компании, где такая база :)
Собрать все возможные рекомендации от ИИ по теме - больших усилий не надо.
Он точно будет меньше, чем в компании, где нет этой базы.
У нас очень много из этого выполняется. Администрирование систем - боль в таких условиях
Согласен что куда проще сидеть под учетной записью администратора домена и дотягиваться со своего компьютера до всего. Только это проще как для вас, так и для злодеев. Так что да, безопасность требует в том числе и некоторых самоограничений.
У меня в основном вопросы входа в систему, неприлично много времени тратится на ввод отдельных уз и отп по несколько десятков раз в день, а также саму работу удаленных систем управления при использовании всяких СХИ, особенно отечественных. Как например kesl - тот ещё фрукт, на моей памяти из-за него несколько крупных аварий произошло, уложил всю инфру
Пароли пользователей меняются не реже одного раза в полгода
Что-бы что?
Пароль утёк на второй день как его сменили и налепили на монитор или клавиатуру.
Администраторы домена (T0) могут входить только на контроллеры домена, не могут — на серверы и рабочие станции и не имеют там привилегий
Создать нужную учётку они то же не могут?
МФУ находятся в изолированном от пользователей VLAN
А печатать и сканировать как?
SMBv1 отключён
Зачем тогда МФУ покупали, если ими не пользоваться?
Настроены оповещения о блокировке учетной записи
Оповещения о создании новых учётных записей настроены
И пофиг, что их прочитают только в понедельник или 10 января.
Доступ для локальных учётных записей с административными правами по сети запрещён
Как тогда реализовать хранение копии в удалённой локации, кататься туда? Или я тупой совсем?
Как на NAS'ы попадать, когда надо поменять настройки?
Клиентские ПК обновляются раз в квартал
Вот тут я совсем не понимаю. А как-же ежемесячные обновы от Майкрософта? Или чаще если найдена совсем дыра-дыра?
WSUS работает по https
Его-же нет уже?
Настроены оповещения при обнаружении вируса
Запрет, на карантин и оповещение или только оповещение?
Центр управления антивирусом находится не в домене
Раскатывать на клиентов как? Обновы?
И это тоже база.
База не полная, забыли написать про всякие банковские приложения, закупки и прочие госуслуги.
Видимо, их надо в отдельное подразделение выносить.
А ещё есть приложения, которые без админских прав - никак. Пусть и локальных. С ними что делать?
Не все злодеи мира имеют возможность посмотреть на монитор. А вот загрузить расчет хэша пароля на одну видеокарту на год - это недорого, особенно если приз - это пароль генерального директора. Пароли у пользователей меняем раз в полгода, чтобы ограничить окно для брута пароля по хэшу и чтобы пользователи в конечном итоге установили уникальный пароль на свою учетную запись, а не тот, который используется в десяти внешних сервисах.
По МФУ - сканировать в папку на файловом сервере или в почту. Печатать - через сервер печати.
Ви таки предлагаете: дойти до сетевого МФУ. Настроить на нужные параметры сканирования. Отсканировать десяток документов. В личную папку. В списке из пары десятков и более папок. Вернуться. Зайти на файлопомойку. Открыть каждый из десятка документов. Переименовать. Загрузить в нужную программу по именам.
Цикл повторить, ибо в определенный момент нужны иные параметры сканирования.
Ах да. Ограничитель времени на все - у вас 15 минут. (Там понятно, не только сканирование)
Вроде бы файл-серверы обычно настраивают так, что ты заходишь сразу в свою папку, так что не очень понятно о какой паре десятков и более папок речь. Нужные параметры сканирования тоже настраиваются один раз, дальше только соответствующую кнопку нажать. Остальные манипуляции - обычная рабочая рутина независимо от вариантов подключения МФУ.
Все так и есть - Access Based Enumeration и пользователь видит только свои папки.
Зайдите в обычный МФЦ. Самый обычный кейс - все МФУ сетевые. Ибо если какой-то сдох, долго не думают, а печатают на соседний. И сканируют с него. Сотрудник сидит сегодня на окне 1, а завтра на окне 30. Привязать к месту его не получится.
(да кстати, почему сотрудник сегодня сидит на окне 1, а потом на окне 30? Количество сотрудников ограничено. Количество окон - ограничено. Только сотрудник работает упрощенно 40 (36) часов в неделю. А окно упрощенно 66 часов в неделю. И задача руководства МФЦ обеспечить максимальное заполнение окон на максимальное время. При этом не допуская переработку и недоработку сотрудника. И бюджет нерезиновый, чтобы прибавить сотрудников, дабы точно закрывать все время работы окна)
Loopback processing и GPO для подключения принтеров и пользователю всегда будет подключаться с принт-сервера ближайший к компьютеру принтер.
Как он его вычисляет?
Все принтеры подключены к одному коммутатору, все компьютеры подключены к тому-же коммутатору. Т.е., любое рабочее место -> коммутатор -> любой принтер. Про разные VLAN'ы пока не будем, как у Вас в рекомендациях, там будет или то же самое, если коммутатор достаточно умный, или просто больше промежуточных узлов на пути туда и обратно (но чётное количество, т.к. в итоге путь приведёт на тот-же коммутатор).
Просто настройте политику, которая всем входящим на данный компьютер пользователям будет подключать определенный набор принтеров.
Так в этом случае на 10 компов надо подключить 5 принтеров, если на каждые два компа один принтер, и все 10 если у каждого компа свой принтер. Как это разруливать?
Если-же на каждый комп подключен только соседний принтер - то у каждого пользователя будет всего два принтера, а в них сложнее запутаться, чем в 5 или 10.
А в случае отдельного принт-сервера вариантов нет, кроме как все принтеры подключать всем? И это только один отдел по работе с клиентами, а там ещё есть отделы, как-бы.
Таким путём мы куда-то не туда придём, надо упрощать работу пользователя, а не устраивать ему полосу препятствий.
А сервер печати где? Вместе с МФУ? Тогда он изолирован, а если вместе с пользователями значит МФУ изолированы... Что-то тут плохо сходится теория с практикой... Если у сервера есть доступ до МФУ, не важно откуда, значит МФУ уже не изолированы... Вот мы и пришли к сингулярности...
Не все злодеи мира имеют возможность посмотреть на монитор.
Но 80% злодеев находятся не за периметром, а внутри него.
А вот загрузить расчет хэша пароля на одну видеокарту на год - это недорого,
Почему на картинке с xkcd пишут про три дня для 11 символов, а не год?
особенно если приз - это пароль генерального директора.
Ну да, приз, конечно, такой себе: сможете на котиков посмотреть и несколько черновиков новых документов почитать (возможно, даже секретных!), которые ещё не успели на оформление и согласование отдать в делопроизводство. Хотя, нет, можно в Максе Телеге попросить у всех в долг или организовать ВКС с подчинёнными.
Отвечая на ваш обновленный комментарий: если вы не понимаете почему SMB1 нужно отключать в инфраструктуре, уверены что WSUS уже не существует, не представляете как установить антивирус и как он раздает обновления, то для начала я бы рекомендовал вам курсы по основам системного администрирования.
Ну. Вы прикидываетесь человеком, который не видел японские рикоши с куасерами и хероками, которые нас с вами переживут и будут по SMB1 файлы класть на сервер. Просто сервер надо укрепить и сделать передаточным звеном к более безопасному.
Чтобы отключить SMB1 на Киосерах (точнее, включить на них поддержку SMB2.0) достаточно обновить на них прошивки.
Ну и в целом на Kyocera следует обновить прошивки хотя бы по этой причине: https://t.me/depit_ru/57
SMBv1 никак не укрепить: https://t.me/depit_ru/36
Вам-бы курсы реальности не помешали, раз уж к рекомендациям перешли.
У меня Киосеры уже по несколько миллионов отпечатали и периодически переживают новые Бразеры, которые полгода-год - и на свалку, при тех же объёмах печати, а Вы про отключение SMB1. (Хотя, если найдётся спонсор на закупку Бразеров каждые полгода, вместо имеющихся Киосер - то можно и отключить SMB1)
Про не существует WSUS, это я дал маху, согласен. Всего лишь:
СЛУЖБЫ WSUS устарели и больше не добавляют новые функции.
Развёртывать и пользоваться можно, даже на 25-м сервере.
Антивирус у меня стоит и всё раздаёт, проблем нет, а вот после Ваших рекомендаций (всех связанных, а не только той, что я процитировал выше) они явно появятся.
В https://habr.com/ru/companies/globalsign/articles/923138/ упоминается в том числе NIST SP 800-63, чьи требования несколько противоречат вашим.
У меня нет требований - у меня рекомендации. Если в компании нет регулярной смены паролей, то для меня это означает что можно брутить пароль до победного. Но никто не мешает вам верить в то, что если у пользователя будет один пароль, то он обязательно сделает его сложным и не будет нигде больше использовать.
Так пользователь к своему обычному паролю добавит год или просто добавит счётчик. Сбрутили старый пароль - почти вручную сбрутили любой новый за пять минут.
Если всё настолько серьёзно - проще поставить сканер отпечатков или RFID-карт, которые можно менять хоть ежедневно. Для топов и мелких начальников это не сильно большие финансовые затраты будут. Посетите Сбер, например, где так у каждого сотрудника. Заодно решается проблема забывания паролей и их никто не узнает, даже админы.
Интересно, насколько это распространённый пароль?
На картинке 11 символов и 3 дня пишут - врут?
В статье я описал требования начиная от которых лично мне будет лень взламывать инфраструктуру через этот аспект. В целом, я не любитель брутить пароли и играть в угодайки, когда есть другие более доступные методы. Но да, аутентификация по сертификатам - это топ, но это уже не база.
А если компания например на 1000 рабочих мест? Сканер отпечатков который нормально работает стоит в районе 5-7 тысяч руб, даже без учёта лицензий и внедрения это уже 5-7 миллионов руб. Если добавить серверную часть, внедрение, поддержку и тд, уже ближе к 8-10 миллионам будет. Назвать такие затраты "не сильно большими" не очень получается.
Достаточно будет покрыть админов для начала :)
Во-первых, речь про топов и мелких начальников.
Во-вторых, есть вариант с RFID, которые для входа-выхода могут использоваться.
В-третьих, Сбер - не бедная контора.
А как установка сканеров топам и начальникам решит проблему добавления пары циферек к старому паролю рядовых пользоваталей?
Сбер и не единственная контора.
Никак, но начальству будет приятно - а это премия, как минимум.
Ну и начальство когда на себе прочувствует плюсы - может и всем установить распорядится.
Мое понимание, что система хорошая и конечно в крупной компании - обязательная к применению, как и SOC и MFA и прочее штуки.
Просто эта вещь теряет смысл если в сети все еще включен SMB1, NTLM, можно использовать arp-spoofing и прочее - в этом случае все эти аутентификации по сертификатам, SOC и MFA просто не играют никакой роли.
Блин, ну вы даёте.. PT NGFW ставите, выделяете контур, правила настраиваете и хоть там по FTP файлы передавайте. Устаревшие протоколы всегда будут и мир не стоит на месте. То, что надёжное сегодня завтра уже с Zerologonом. На знамя вешать отключение всего устаревшего - хорошая идея, но и затратная и во многих случаях не оправданная. Жесткие ограничения для старых систем - это ок. Я поэтому и интересовался на какие компании ваша база рассчитана..
8млн для компании на 1000 сотрудников это копейки
Очень странный список требований. Во многом противоречит требованиям ФСТЭК.
Не могли бы вы привести ссылку на нормативную документацию откуда они взяты?
Очередной чувак попросил чат gpt выписать ему основы ИБ и теперь чувак думает, что познал дзен))) Как у него умещаются противоположные рекомендации или, как правильно заметили «а печатать ты как будешь?» видимо у него даже в голове не екнуло: чукча не читатель, чукча писатель - вся суть безопасников (в теории все дартаньяны, а на практики - унылое 💩)
Вот вы меня и раскусили
Рациональное зерно в статье есть, безусловно. Просто в ИБ так получается, что либо вы конкретику качественную делаете, либо холиварите.
Рациональное зерно будет даже там, где нет сотрудника ИБ, но админ понимает, что пароль 12345678 - это не пароль))) для этого не надо быть уникумом, который просит ИИ выписать основные тезисы, но вот в чем проблема, чтобы тебя не ломанули - так то можно принтер совсем не покупать, чтобы не включать в сеть… а админу организации лучше охрану выдать, а то еще украдут и пароли выведают, через ректальнвй анализатор)))) ну и из дома лучше тогда совсем не выходить… пищу тоже принимать не советую - вредная, короче автору лучше аП стену убиЦа, а то нервы и нервные клетки не восстанавливаются
Просто очередное чудо решило взять не стандарты, а «свои какие то принципы работы» и при этом даже не понимает, что если я окажусь в защищенном контуре любой организации, то разницы нет 5 минут я там просижу и ломану сеть или 25 часов, но я все равно сломаю сеть - для этого не надо стоять с ноутом в коридоре и копировать БД на ноут! Правда, как клоун туда попадёт, почему его не проверит СБ, куда в целом смотрит охрана на объекте и как чудо подключится к внутренней сети - чувак вообще не задумывается… ну а зачем, главное вооружиться знаниями искусственного интеллекта и вешать лапшу руководителю фирмы, что все плохо, а вы сделайте лучше, по РЕКОМЕНДАЦИЯМ от ИИ, а не стандартам и ГОСТам))))
Конкретику я делаю в телеграмм-канале в меру сил и возможностей. Ссылка в статье есть - можете почитать. Холиварить никакого желания - кто хочет, тот учится, кто не хочет - того не научишь.
Оу оу оу стопэ братиш с рекламой - иди в сад, садовод ты наш дорогой
Ты так бы и начал помогите раскрутить тг, ютубчик, тикток))))) а то начал издалека - скопипастил то что напридумывал «чат-gpt”, а он еще тот фантазер, прям, как ты, вот вы и нашли друг друга - два одиночества))) ты бы для начала изучил матчасть по ИБ, а потом бы помощи просил в раскрутке своих каналов, но ты как истинный уникум начал через попу… рукалицо
Люблю открывать глаза людям, если на них розовые очки и считают, что умней других - кушайте на здоровье, не подавитесь
Почти все указано для ms инфы, уже неактуально, у многих гибрид или nix. А у кого ms, все давно сделано.
Даже отвратительный ГОСТ 57580-2017 говорит о том что защита должна быть соразмерна защищаемой инфраструктуре. Не знаю как будут страдать админы в конторах на 100+ машин, соблюдая вышеперечисленное, но и в парке с менее 50 машин это уже большой головняк, особенно если админ это человек оркестр. Спору нет, есть и толковые рекомендации. Но все целоком это ту мач.
Имхо попасть в сеть это уже 90% дела. И всякие некст гены не помогут от рукастого и знающего свое дело.
Времена нынче такие, что можно хоть обзащищаться и ввалить в защиту бюджет маленького городка, а обычный юзер откроет ссылку из письма и распространит вредонос по всей сети или зашифрует годовой баланс. А уж если замотивировать админа, то и глубокие познания в хакерских технологиях не нужны. Социальная инженерия видала все эти ваши DLP, SIEM и прочие Endpoint на половом члене) Только отдел ИТ упорится о такую базу)
Поэтому и нужно настроить SRP/Applocker, чтобы ссылки из письма не срабатывали. Вроде же это база :)
srp конечно имба, без спору... но правила все таки создает админ. И тут на сцену выходит социнженерия. И кстати даже не обязательно финансово мотивировать, возможны различные варианты, от запугивания и угроз до натуральной физики... От двоечки srp не выручает, к сожалению
Ну чтобы злодеи дошли до уровня ректального криптоанализа, нужно не только базу из моей статьи настроить, но и действительно внедрить "DLP, SIEM и прочие Endpoint" - тогда да, у них не останется другого выбора :)
А когда у вас в инфраструктуре SRP не настроен, то никто не будет даже фамилию сисадмина узнавать.
Как же задолбала эта смена пароля каждые пол года. Поднимите руку те, кто берет старый пароль и добавляет к нему вослитцательный знак раз в пол года.
Нет времени объяснять — это БАЗА: чек-лист защиты корпоративной инфраструктуры