Comments 122
Из полезных вещей стоит применить FSRM для блокирования создания на общих (и не очень) ресурсах исполняемых (и не очень) файлов.
AppLocker лучше SRP все-таки. SRP только запрещает, а AppLocker разрешает что надо, и запрещает остальное. Кроме того, он достаточно гибок, чтобы не бояться, что обновление ухайдакает систему.
FSRM хорошая штука, кстати.
Проблем не наблюдаю.
и если да — то сработает ли он при обращении на \\?\Volume{id}?
Хватит нежелание (верю, что дело не в неумении) готовить SRP оправдывать непонятно чем. Оно и готовится-то легко.
Облако, которое тупо синхронизирует файлы между собой и пораженной машиной — отличный способ лишиться файлов и в облаке и на других машинах ;-)
Только сегодня опять попросили дать предыдущую версию — «меньше тормозить будет»
+ исключения из проверки типа *.exe, *.dll Исключить из проверки браузеры — чтоб сайты быстрее открывались
+ установить антивирус без превентивки — нечево неизвестные для баз вирусы ловить
+Снять пароль с антивируса — пусть пользователи отключают, когда им нужно
+ разрешить не ставить обновления
Не полный список…
Есть простое и надежное, как кирпич, решение: SVN.
SVN — простое, надёжное, и никак не относящееся к теме поста решение.
В чем-то вы правы, если компания хранит все свои документы в свн с настроенными правами, то дать шифровальщикам потопить компанию будет проблематично.
Ну вот как вы себе представляете работу всей компании в SVN? Юристы, продажники, бухгалтера, кол-центр, все дружно работают с SVN? Базы 1С, базы для CRM, ERP тоже держать в SVN? Outlook и прочий SkypeForBusiness тоже с SVN интегрировать?
Нет, зачем? Трояны-шифровальщики опасны только для содержимого папки "мои документы" доверчивого пользователя + некая "общая шара" которая обычно имеет место быть в организации для обмена документами.
Всё, что вы перечислили, крутится на серверных машинах и для шифровальщиков недоступно, разве что лопухнется лично доменный админ.
В целом, я не понимаю, откуда минусы-то.
содержимого папки "мои документы" доверчивого пользователя + некая "общая шара"
Документы и рабочий стол пользователя и шара, куда у него есть право записи — и являются основной целью шифровальщиков. И через "поправил руками doc-файл — скинул в шару или по почте" идёт пожалуй основной процент ручного документооборота.
Обучать пользователей вместо этого работать в SVN — бессмысленно, этот инструмент совсем не для этого.
Минусы(не мои), вероятно, от людей, которые живо представили себе процесс внедрения SVN:
Здравствуйте, Мария Васильевна. У нас теперь новый более продвинутый документооборот. У вас на рабочем столе теперь есть svn-репозиторий. Вам надо теперь сохранять файлы только туда, и потом коммитить в основную ветку. Если возникнут конфликты — то сравните документы руками, вбейте нужные правки в ваш документ, и после этого вот эти несколько команд помогут их решить. Да, чтобы воспользоваться свежими файлами, надо делать svn update.
Марии Васильевне 55 лет и с компьютером она обращается на уровне "оно мне там что-то написало, я что-то нажала и теперь ничего не работает".
Работал в компании, где это замечательно функционировало на tortoiseSVN. Включая бухгалтерию и продажников.
Мерджить ничего не надо — если в общей шаре старый файл всегда перетирается, то в свн есть выбор. Можно перетереть, можно посмотреть, кто правил, и спросить что именно.
функционировало на tortoiseSVN. Включая бухгалтерию и продажников.
Либо туда брали только после экзамена по основам VCS, либо кто-то из вашего IT-отдела обладал огромным педагогическим талантом и кучей свободного времени.
Я сталкивался с пользователями в разное время и в разных компаниях. И, мягко говоря, не все они владели компьютером даже на начальном уровне. Зачастую механически запоминали нужную последовательность действий, и если иконка изменила местоположение или добавилась пара кнопок — вызывали поддержку. Не говоря о том, что большая часть активно противилась хоть какому-то обучению, под девизом "я не должен(а) в этом разбираться", включая руководящий состав.
При внедрениях такого рода надо начинать как раз с убеждения руководящего состава. И доводы-то есть — разделение прав, невозможность порчи/удаления/потери документов, история правок...
В моем случае руководящий состав и внедрял.
1. Как уже правильно сказали — пользователь ленив и всегда норовит закосить под дурака, «яничегонезнаюизнатьнехочу, и вообще я необучаемая!» Поэтому внедрение чего-либо должно начинаться с продуманного плана для руководства с детально расписанными рисками. После чего руководство мотивирует пользователей баблом и те моментально и замечательно обучаются.
2. Внедряющий, в свою очередь, должен тщательно продумать организацию системы так, чтобы пользователь не сталкивался со словами «коммитить-мержить» итд итп. Для пользователя наружу должна торчать максимум кнопочка «сохранить мои данные», а в идеале — вообще ничего не торчит и запускается само, хотя бы тупо по расписанию. При таком подходе, собственно, нет разницы что используется — какой-нибудь купленный netbackup или что-то еще промышленное с агентами на машине пользователя или их наколеночный эрзац на основе того же svn.
Вы меня, конечно, простите, но...
2017 год
SVN
Может, тогда уж сразу CVS?
Почему бы и нет? В некоторых случаях, в зависимости от рабочего процесса, простой VCS может не хуже или даже удобнее распределённого. Не всякий рабочий процесс, требующий версионирования файлов, является разработкой софта, и не всякий рабочий процесс включает использует бранчи для каждого изменения. В частности, для хранения бинарных файлов, типа doc psd или файлов разных CAD, SVN может быть удобнее(да, я знаю про git-lfs).
Я уже не первый раз сталкиваюсь с идеей, что раз DVCS лучше подходит для разработки софта через общий репозиторий и бранчи, значит обычные VCS вообще больше не нужны. Это не так, каждой задаче — свой инструмент.
Ну… вообще, я сначала хотел привести пример полезности бранчей даже в данном случае, но… В конце концов, пусть кто как хочет так и… как там дальше в поговорке :)
Но, всё же, именно конкретно SVN не просто так с некоторых пор находится в общепризнанном "могильнике" именуемом «Фонд Apache» :)
могильнике
Hadoop, Cassandra, Kafka, Maven, Ant, Spark, ActiveMQ, Tomcat, Zookeeper, APR(Apache Portable Runtime), ...
Да чтоб я так жил после смерти :)
Ну, у каждого из перечисленного есть более современные аналоги, всё прочнее и прочнее занимающие его нишу (ну ок, я не прямо каждого по списку проверял, но у большинства перечисленных точно).
А APR — так и вообще, не сказать чтобы нужная хоть как-то вещь :D Даже Mod_Security и тот от неё отошёл :)
Ну конкуренты есть, но проекты совершенно живые и активно много где используемые, могильником я бы это обзывать не стал. Просто Apache Foundation предоставляет некоторую полезную юридическую и организационную инфраструктуру открытым проектам. На github большинство проектов тоже мёртвые или неактивные, вы же не зовёте его могильником?
Да, посмотрел кто использует APR, их на удивление мало, мне он казался популярнее.
Git не является универсальным решением для всего. Из-за ряда особенностей он непригоден для хранения двоичных документов. Конкретнее:
- git не позволяет сделать checkout отдельного каталога, только репозитория целиком. Для хранилища документов, объем которого легко может перевалить за 10Гб, работа будет очень медленной
- git по умолчанию выкачивает все ревизии, а не только последнюю. Это очень много данных.
- git не позволяет задавать права на конкретные каталоги для разных пользователей
git не позволяет сделать checkout отдельного каталога, только репозитория целиком. Для хранилища документов, объем которого легко может перевалить за 10Гб, работа будет очень медленной
submodules
git по умолчанию выкачивает все ревизии, а не только последнюю. Это очень много данных.
--depth (shallow)
git не позволяет задавать права на конкретные каталоги для разных пользователей
не git, а git-хостинг. Если используете что-то наколеночное, то, возможно и не позволяет. А gitolite — позволяет.
Я сам использую исключительно гит, но плохо быть фанатом.
- submodules очень неудобно использовать даже программистам, а уж предлагать корпоративным юзерам...
- я же написал по умолчанию
- глянул документацию по gitolite. как и ожидалось, его предел — контроль доступа на уровне бранчей
В плане submodules показателен пример твиттера — они используют монорепозиторий, но потратили кучу усилий на патчинг как гитового клиента, так и сервера, лишь бы не связываться с submodules.
Ну, к слову, давайте вернёмся назад по треду и увидим, что я не говорил, что единственной альтернативой subversion является git :)
И это не говоря уже о том, что в субмодулях нет абсолютно ничего сложного :)
vbs кстати встречал реже.
а вот кого вовсе не встречал — так это павершельных.
Так "павершельные" двойным кликом не запускаются же.
Главное не забыть настроить политики для макросов в разрешенных продуктах, вроде Adobe Reader, Office, JRE и т.д.
Вы бы еще bash на линуксе отключили!
bash бухгалтера тоже не используют
Кажется, вы не поняли юмора. Многие десктопные окружения активно используют bash, причем в самых неожиданных местах. Запрет bash для пользователя приведет к тому, что пользователь не сможет войти в систему.
Так вот: вы не можете заранее знать, какие технологии использует бухгалтерская программа в редких случаях. wscript, cscript и powershell — это стандартные системные средства, которые могут быть использованы неявно, без какого бы то ни было отражения в документации, пусть и не настолько широко как bash. Отключая их, вы переводите компьютер из состояния "все работает" в состояние "иногда он глючит, но я не пойму почему — наверное, опять винда виновата".
Я уже устал повторять, а вы предлагаете примерно такой же костыль, который никак не помогает.
Тогда еще «не используйте SIEM-решения для анализа лог файлов сетевого оборудования, систем безопасности, и операционных систем. Не расследуйте подозрительную сетевую активность хостов в сторону TOR-сети, известных командных центров ботоводов и их платежных площадок ».
— Давайте закупим Home-версии Windows, они дешевле!
— …
— Как так нельзя?
— …
— Какая корпоративная лицензия? Какие групповые политики? У нас денег нет!
(из наболевшего)
да и групповые политики можно запилить =)
Очень часто сталкивался с ситуацией когда чуть ли не на энтузиазме хотел пофиксить некоторые проблемы инфраструктуры(уж очень болею душой за то что делаю) но ничего не мог сделать потому что денег не было ни на инструмент, ни на материалы.
Мне кажется что в конторе которая в состоянии нанять на постоянную основу одного более менее вменяемого админа такая ситуация практически не возможна.
Вменяемость очень трудно оценить: начнешь внедрять политики блокирования запуска приложений, «глав бух» не сможет запустить «тетрис». и т.д. и т.п. в итоге во всем будет виновато «гребаное ит».
*Врядли у мелкой которы есть АД.
Даже ит отдел трудно заставить работать в рамках, почти все мои коллеги работают с правами админа на ноутах. Вроде я у всех остальных юзеров это победил но периодически коллеги саботируют безопасность и начинают раздавать права админа юзерам.
бейте себя по рукам когда хочется так сделать. этим вы поможете всем людям на земле.
Люди привыкают к наличию таких энтузиастов и садятся им на шею. Не предоставляя ни материалов, ни инструментов.
А потом другие люди вынуждены пользоваться системами, склепанными на живую нитку без материалов и инструментов.
В то же время третьи люди ищут работу — но не могут найти, потому что все места заняты энтузиастами. Как-то так...
И дело не в эгоизме.
Вообще не стал отвечать и развивать тему, потому что она слишком многогранна. С одной стороны я согласен с тем что нечего потакать и делать халтуру, чужой бизнес чужие проблемы, с другой стороны огромное количество факторов может быть — например лучшему своему другу, в случае если он в беде будет я помогу за спасибо и еще своих ресурсов подкину. Или ситуация когда работы нет(я как житель столицы и айтишник с этим не сталкивался, но от людей не из айти очень много слышу о том какая жопа, сколько сокращений сейчас и т.д.) — там уже хочешь не хочешь будешь потакать и брать дополнительные обязанности и клепать не из качественного материала и не качественным инструментом, а тем что найти сможешь чтобы было что поесть и где жить. И т.д. В сферическом мире в вакууме, где люди работают только там где им нравится, где нет проблем с тем чтобы прокормить себя и свою семью, жить достойно а не существовать — в таком мире да, никто ничего и абы как на энтузиазме делать не будет выходящего за свои обязанности, но реальность несколько иначе устроена и нравится вам или нет — а демпингующие и криво делающие «индусы» были есть и будут по огромному количиству причин.
К счастью для шифровальщиковредкиеадминистраторы
у нас это можно назвать большинство.
Или конторы экономят на всем, даже на самой дешевой б/у серверной стойке.
Оттуда оно и вытекает —
зашкаливающее у большинства ложное представление
Даж из личного пример есть — пришел новый менеджер(М) *чототам*: (все не дословно конечно же)
М- (заявка мне — не печатает принтер — статус критикал «в тасках гипервизоров… почта орет телефон орет все орет, мол алярма нам пес...»)
Я- (wut? wtf?) Вам надо назначать такое на отдел хелпдеска 1 линии
М- Тактыжодмин, почини плиз быренько я работать не могу и еще мышку мне замени плизик эта не работает
Я- (да ты совсем ухи походу переел) Этим занимается специальный отдел, я переназначил заявку на них, в скором времени проверят проблему.
М- Вы какой-то не профессионал! у меня работа встала! мне нужно срочно! ляляляля Вот на прошлом месте нам админ все делал максимум за 15 минут! и еще я уже сам нашел проблему — нужно перезаправить картридж, пожалуйста не забудь сразу тонер (! штаааа)
Я- У нас не перезаправляют картриджи, а новые всегда в наличии в тумбе принтера — обычно сотрудники меняют их сами и по мере расходования дают заявку на отдел эксплуатации.
(тишина минут 20)
Хелдеск(в чатике) — этот яйцезвон зачем-то вынул кассету из копира(на принтере уже стопка его отпечатанного), принес свою мышку и запихнул её в порт e-sata, старую говорит выкинул
Я- у вас теперь все работает? зачем оборудование ломаете?
М- Да, спасибо, но чтобы было быстрее могли бы и сами придти, а еще мне нужен фотошоп.
Тут я уже не выдержал и тупо форварднул тикет его нач отдела :) (нет, не уволили его — заставили регламенты читать и вникать)
И вот честно говоря, такие очень долго лечатся эффективно только тырпрайзом, но я то понимаю откуда у него вот это всё взялось — работал он где-нить в конторке как раз с *мышковтыкателем* который и жнец и на дуде игрец и слово поперек сказать боится, но числился таки как «системный администратор».
Если там изначально нельзя передавать файлы?
в новых версиях рдп протоколах — узб устройства монтируются как локальные — что легко приводит к автозапуску всего что угодно с флешек.
Помню времена, когда простым сканом сети на районе находилось несколько десятков ХР-машин с предустановленным рдп со стандартным логином и паролем. Все это открывало неплохие возможности для тренировки скилов троллинга.
Но не замечал по тому, что через вторю терминальню сессию это не проходит :(
Вчера нарвались, та такое чудо. На одном компе все файлы были зашифрованы, требует 12 к рублей.
Пытаемся расшифровать. Странно по сети никуда не попало пока.
Думаем писать заявление… :(
на в7 и выше файлы передаются, это очень удобно ))) и несколько вложенных сессий не помеха.
а отвечает за это опция перенаправление диска — если она отключена политиками или в свойствах RDS-хоста, то файлики будет не потаскать.
и тут и плюс и минус — копировать файлики здорово, а вот проброшенный в рдп диск уже может выдать проблем.
проверьте — отключите политиками возможность подключения дисков.
текст будет копироваться, файлы — нет.
я сталкивался лично с таким поведенем, вот пруф что я не один такой
клиент вин7, два сервера (не терминальных) — 2008r2 и 2012r2. групповая политика одна, запрещает перенаправление дисков (проверил — диски не монтируются).
2012r2 файлы не копируются (ПКМ — «вставить» — серая). на 2008r2 — копируются. пока в легком недоумении, изыски продолжу.
В буфере обмена хранятся не файлы, а пути к ним.
Я вам больше скажу, у меня часть серверов админится под SRP. Иду к тому, чтобы вообще всё было под SRP.
А мне вот почему-то сложно запускать gpedit.msc после каждой сборки проекта. Да и скачивать программы из интернета неудобно...
работаете под пользовательской учёткой, скачиваете программу из интернета — и осознанно кладёте её в папку — и получаете запрос на ввода админского логина-пароля. считайте sudo.
зато случайно не запустите хрень нездоровую
ну и да, информационная безопасность и удобство не коррелируют, что уж там. усиляете безопасность — снижаете удобство и наоборот.
Мне-то они и могли помочь (но лично мне гораздо проще просто не запускать всякую фигню), но тут обсуждается белый список файлов, а не сертификатов или путей!
Затем, что вы слишком категорично заявили про необходимость SRP во всех случаях.
Вы не объяснили зачем он нужен мне.
Я как-то неправильно понимаю "все случаи"? Мой случай — он уже не всей?
а так белые и черные списки — по путям (помним про temp, spooler и т.п), по сертификатам и хэшам. чисто по имени файла (например как иногда делают для загрузки классификатора bnk.exe) в 1с — совсем не круто.
Например для домашних пользователей вполне нормально делать копии раз в день на разные флешки, а раз в неделю на DVD-R.
DVD не выбрасывать, складывать стопочкой…
Все остальные методы, в тч 2/3 из статьи или сложно реализуемы или не дают гарантии или…
В общем Никогда не полагайтесь на 1-2 метода.
Защита должна быть КОМПЛЕКСНОЙ!!!
Например для домашних пользователей вполне нормально делать копии раз в день на разные флешки, а раз в неделю на DVD-R.
Покажите мне такого пользователя, я его фотографию под стекло поставлю.
Для домашнего пользователя, в лучшем случае, нормально делать резервные копии через VEB следующим способом:
0) создаем юзера backup с обычными правами, со сложным паролем.
1) на отдельнос винте делаем папку VeeamBackup, средствами NTFS убираем с нее все права на запись для всех, включая юзера Система. Даем на эту папку права на запись только юзеру backup.
2) расшариваем папку VeeamBackup, для «Все» — полный доступ, т.к. нет смысла выдавать другие права (не всегда, но в данном случае так)
3) Ставим VEB (VAW буквально на подходе, в нем еще и шифрование из коробки), указываем что бекапить, сколько хранить. Бекапим в шару VeeamBackup, указываем креденшалы от учетки backup.
4) ???
5) PROFIT.
В идеале, юзер еще может бекапить данные в облако, ну а уж совсем сферический, еще там шифрование настроит.
Ну и если уж на то пошло, то VEB умеет бекапить на специально обученный внешний носитель при подключении искомого. Это всяко проще, чем писать на флешки руками (sic!) и уж тем более DVD-R. Кстати, на BD-R дешевле.
Чуть не забыл. Резервное копирование не является защитой от шифровальщиков. Бекап — это защита от безвозвратной потери данных.
То, что описываете вы простой домашний пользователь не осилит. Половина знакомых мне эникейщиков то же.
А что уж говорить о «фирмах», где работает вообще непонятно кто зачастую…
Так что настраивать придётся кому-то. А это не всегда возможно. Просто потому, что рассказать как это сделать я например по телефону не смогу. Или если человек тут, а комп — дома.
Ездить ко всем знакомым или нашим сотрудникам? У меня нет столько времени.
>Резервное копирование не является защитой от шифровальщиков. Бекап — это защита от безвозвратной потери данных.
Еще как является. Когда простой вирус или вирус-шифровальщик попортил файлы, что это, как не безвозвратная потеря?
Или не просто шифровать, а убирать в другие файлы. Собрать потом воедино мешанину будет крайне сложно, практически малореализуемо, если нет таблицы, по которой это происходило…
Спасти может хорошая версионируемость файлов, когда можно откатиться к любому времени.
Вот только и место для хранения вырастет, да и стоит этой проге пропасть под ударами того же вируса и вы потеряете ВСЁ.
В общем резервное копирование самый простой способ.
Причем он защитит еще и от гибели винта.
В общем я с первым вирем-шифровальщиком столкнулся еще в ~1993-96м. OneHalf назывался.
Дешифровка силами ДрВеба занимала примерно 4 часа для 20Мб винта.
Спасибо. С тех пор мне проще восстановить данные с резервного носителя, а тот, где покопался вирус вымести начисто — это проще, чем думать где там он еще что испортил.
Как дать шифровальщикам потопить компанию