Комментарии 21
Сложные пароли это, конечно хорошо, но ещё лучше – доступ по сертификату. Да, это сложнее в развёртывании, местами неудобно, но это безопасно. Подумайте над этим, возможно стоимость внедрения PKI инфраструктуры, будет меньше чем стоимость восстановления данных, потерянных в ходе хакерской атаки.
Двумя руками за. И этот же сертификат использовать, например, для защиты электронной почты.
Набор банальностей.
Всё просто: исходить из того, что с компьютером пользователя может случиться что угодно в любую секунду. Нечаянно или специально — неважно.
А ноутбук удаленного сотрудника вообще может находиться в данную секунду в кабинете тащмайора. И никто об этом не знает (кроме самого удаленного сотрудника, но ему уже не до того).
Всё остальное делается из этих предположений.
Да что уж там, пусть у товарища полковника в подвале сразу Enterprise Admin сидит со всеми OTP ключами. Причем вчера его сняли на камеру по особо тяжкой и теперь у него выбор либо сотрудничать, либо сидеть. Business Continuity Plan = продолжаем работать с другого юрлица, может быть даже из другой страны. Никто не должен знать, что у вас весь бизнес троекратно резервирован, а пепси, кококола и байкал — лишь прикрытие и видимость разнообразия.
Давайте это проговорим ещё раз – длина от восьми символов, обязательное использование букв верхнего и нижнего регистра, цифр и спецсимволов.
А xkcd с вами не согласен
не совсем понял, ПК дизайнера торчал в инет с белым ip?
Однажды это может случится с каждым системным администратором – он придёт утром на работу, станет проверять работу инфраструктуры и обнаружит, что на файловом сервере вместо данных пользователей лежит архив и текстовый файл с требованием выкупа.
Это не может случиться с каждым! Есть компании, например, наша, которые используют dropbox, Google Doc, где хранятся все версии файлов. То есть там в принципе такого не может случиться.
Критические бэкапы данных нужно писать на отдельные сервера куда есть только право добавлять новые файлы, но не удалять и не перезаписывать старые.
А так да, случиться может и пожар. И всё сгорит. И блэкаут случается. Чего только не бывает.
У нас географически два разных дата-центра и связаны они разными маршрутами по оптике.
Но если Москву будут бомбить, порвут два разных оптических кабеля, то печалька придёт и к нам.
Ну злоумышленник может накидывать с /dev/yrandom пока не забьет хранилище бекапов или Dropbox'a. А вообще хотел спросить, чем закончилось противостояние?
Может. Но это же не приведёт к потери данных как в страшилке. Замучается он dropbox забивать. Эти проблемы уже решаемы.
Чем-то закончилось. 6 лет же прошло. Я не знаю. Как-то они там значит договорились про меж себя судя по тому, что до каких-то судебных или уголовных разборок дело не дошло, ну или нас к этому не привлекали, с нами они не судились. Мы действовали согласно документам и законам. А уж кто из них там реальный, а кто номинальный собственник — не нашего ума дело.
Чем-то закончилось. 6 лет же прошло. Я не знаю. Как-то они там значит договорились про меж себя судя по тому, что до каких-то судебных или уголовных разборок дело не дошло, ну или нас к этому не привлекали, с нами они не судились. Мы действовали согласно документам и законам. А уж кто из них там реальный, а кто номинальный собственник — не нашего ума дело.
Это не может случиться с каждым! Есть компании, например, наша, которые используют dropbox, Google Doc, где хранятся все версии файлов. То есть там в принципе такого не может случиться.
Угумс… Стоит клиент облачного сервиса на компе — это просто папка, файлы в ней шифруются как остальные, причем с синхронизацией на всех устройствах. Если есть поддержка версий, как в Dropbox — есть возможность спасти, если нет — то всё.
Критические бэкапы данных нужно писать на отдельные сервера куда есть только право добавлять новые файлы, но не удалять и не перезаписывать старые.
Резервное копирование и архивирование — вообще-то разные вещи.
Неужели ктото в наше время еще использует пиратские сборки?
Да прямо тут же, на Хабре, под новостями о Windows 10 регулярно всплывают личности с пропагандой отключения обновлений.
Такие же личности клюют и на сборки васянов с нонейма, где все «оптимизировано» по принципу «если это не нужно васяну, который считает себя умнее инженеров Microsoft, то отключаем» (в 100% случаев васян, на самом деле, ничего не знает и лишь тиражирует популярные мифы)
Такие же личности клюют и на сборки васянов с нонейма, где все «оптимизировано» по принципу «если это не нужно васяну, который считает себя умнее инженеров Microsoft, то отключаем» (в 100% случаев васян, на самом деле, ничего не знает и лишь тиражирует популярные мифы)
На ПК одного из дизайнеров был локальный пользователь Kelly с административными правами и в его папке загрузок лежал дистрибутив WinRar’а с помощью которого были заархивированы данные и тут же лежал Eraser для затирания.
А как узнали, что находится в его папке загрузок?
И какая ОС была установлена у этого сотрудника?
Rdp порт открытый, пускай и на нестандартном порте — это главная дыра. Пароли, обновления и прочее — это все второстепенное и за всеми не уследить, если столько прямых проходов открыто. Используйте порт кнокинг — и будет вам счастье и аналогичных проблем описанных в статье не будет.
Обновления в операционных системах не только добавляют функционал, но и закрывают уязвимости, которые могут использовать злоумышленники.
Угу, а также добавляют новые дыры, в т.ч. специально чтобы т-щ майор не перетрудился в получении доступа к содержимому машины.
По возможности разверните вход по сертификатамВход куда? Windows не поддерживает аутентификацию по сертификатам ни для SMB, ни для RDP.
Уж если так хочется развернуть пиратчину, то это надо делать на виртуальной машине :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
История одного взлома или учитесь на чужих ошибках