Pull to refresh

Comments 55

блокируют 135, 139, 445 TCP-порты (служб SMB и WMI)

а по возможности и SMBv2

Нет домена — нет проблем?
а пользователи должны находится в группе защищенных пользователей, в этом случае перехват паролей mimikatz невозможен

Тогда никто не сможет подключиться по RDP с недоменного компьютера и полностью спасёт лишь Credential Guard из Windows 10 Enterprise, где LSASS работает в виртуалке.

Secure Boot от шифровальщиков тоже не спасёт, большинство из них работает в юзерспейсе и не требуют перезагрузки для начала шифрования. В этот раз повезло из-за криворукости авторов малвари.

При этом ничего не сказано про SRP/AppLocker, LAPS и политики ACT для приложений, требующих прав админа.
Нет домена — нет проблем?

есть, но другого характера.
Тогда никто не сможет подключиться по RDP с недоменного компьютера

можно подключится через RDG
При этом ничего не сказано про SRP/AppLocker, LAPS и политики ACT для приложений, требующих прав админа

согласен, следовало бы добавить
UFO just landed and posted this here
Любой билд или последний?
Вот тут весьма спорно. Далеко не все имеют возможность быстро восстановить работу пары сотен машин после чего-то типа MS14-045.


Второй вопрос содержит ответ на первый — вот для этого и желательна 10, что бы риск сбоя от нового обновления был меньше
А зачем старые билды ставить?
«Как начинать тушить огонь до пожара» — а смысл? так даже картошку себе не пожаришь.

Приведенные рекомендации по ИБ для очень хорошо подойдут для сферического коня в вакууме. Применительно к реальной жизни безопасность все таки строится от существующей инфраструктуры.

Пересаживать всех на Win10 при условии, что Win7 работает и обновляется выглядит сомнительной идей. Более того, много «чудо»-софта наколенной разработки но бизнес-критически важного перестанет работать совсем, что тогда?

Обновления должны ставится регулярно, не реже раза в две недели.

Обновления нужны это факт, но просто ставить апдейты — путь к остановке системы. Примеры «плохих» апдейтов уже приводили выше. Ставить апдейт без теста нельзя.
Я думаю реальной скоростью будет не реже раза в месяц для апдейтов ОС в инфраструктур компаний среднего бизнеса 1000+ человек, при условии, что у ИТ будет специально выделенное время для тестирования апдейтов, если его не будет, то не реже раза в квартал. Для апдейтов других систем (СУБД, драйвера, ...) лаг только увеличится.

Критикам предлагаю составить в уме перечень действий, которые нужно предпринять для обновления BIOS на ферме гипервизора с сотней виртуалок, часть которых работает 24/7. Ну и соответственно составить roll-back план.
Пересаживать всех на Win10 при условии, что Win7 работает и обновляется выглядит сомнительной идей. Более того, много «чудо»-софта наколенной разработки но бизнес-критически важного перестанет работать совсем, что тогда?

Win7 имеет дыру для кражи пароля через Mimikatz и MS не будет ее закрывать в принципе, чтобы подтолкнуть людей к переходу на Win10.
Критикам предлагаю составить в уме перечень действий, которые нужно предпринять для обновления BIOS на ферме гипервизора с сотней виртуалок, часть которых работает 24/7. Ну и соответственно составить roll-back план.

Эмм, запусить One-Click Upgrade вывести железку в maintenance mode и обновить?

если что, Medoc оказался ни при чем


и можно же запретить выполнение из папки Temp, тогда напрямую из письма будет ничего не открыть


и еще

ьььььььььььььььььь


я вам тут отсыпал, пользуйтесь

Было через m.e.doc это факт, у меня комп комп бухгалтера лег после обновы, ничего другого не было запущено.
Обновления должны автоматически ставится не только на саму операционную систему, но и на все приложения, особенно на офис.

Не согласен. Безопасники вздернуть могут за такое… Сначала патчи на тестовую среду потом их апрув и лишь потом в продакшн. 0-day же.
спорный момент, написано было в контексте на пользовательских машины, потеря которой в результате «кривого» обновления зачастую не приводит к потере данных, но в свою очередь уменьшает риск заражения 0day уязвимостью. В случае с серверами, конечно, только через тестовые среды, все это должно быть в плане и стратегии обновлений.
А разве политика srp по хэшу не спасает от 80% малвари?
На win10 я так понимаю все равно придется переходить? Апдейты на новые процессоры ставятся со скрипом. Или я не прав?

Сделали давным давно хорошую штуку — автоматический откат настроек монитора если юзверь за n секунд не подтвердил, что все ОК.
При нынешних *-лизациях для обновлений такое бы запили. А то каждое обновление как на мину наступить. Рванет или пронесет?
А то автор прописных истин рекомендует пару раз в месяц по минному полю прогуливаться с идиотской улыбкой на небритой роже.

Конфиги откатывать проще, чем бинарные патчи.
Про установку обновлений раз в пару недель — выше уже сказали. Правильный путь — тестовая среда, потом все остальные. То же самое с рабочими станциями. Удачно расставленное по рабочим станциям кривое обновление может остановить работу компании гораздо надёжнее, чем полёгшие сервера. Что, собственно, и демонстрируют нам шифровальщики.

Инфраструктура крупных компаний — сцуко сложная, разветвлённая и неоднородная. Есть такие, казалось бы, богатые и озабоченные своей безопасностью организации, которые до сих пор продолжают долго и мучительно переходить с Windows XP. И проблема не в лени, а в том, что компьютеров, которые кроме XP ничего не тянут — ещё многие сотни, если не тысячи. Такая же история с серверами. Местами встречаются ещё сервера под 2003. Не потому, что лень, а потому, что переход на 2012/16 сопряжен с существенными трудозатратами (а то и финансовыми). Поэтому ещё лет 5-7 мимикац будет надёжным средством добывания учёток.

На самом деле, в контексте шифровальщиков, во всём вышеперечисленном самое важное — бэкапы и наличие дизастер рекавери плана. Причём, DRP должен быть отработан теоретически, а потом подтверждён учениями. Хотя бы один раз.

Во всех других контекстах, надо строить серьёзный и сложный мониторинг происходящего. Потому, что вероятность того, что вы не единственный хозяин своей сети — очень и очень велика.
Могу дать рецепт полной безопасности. :-)

Обновления ставить? Не нафиг. Все проще. Обновления не ставим, соответственно инет и не нужен. Локалка — исключительно локальная, только на несколько машин и без выхода в инет. Никаких новый программ, работает только то, что поставлено разработчиком. Никаких антивирусов с их требования интернета для обновления. Кто софт принесет — получит выговор. Но в общем-то там и не запустится ничего постороннего. Политиками зажато.

Вот так и живет оно 15 лет на Win2K с 256 метрами памяти.

Понятно, что это АСУТП и для офиса не применимо. Зато — надежно.
Могу дать рецепт полной безопасности. :-)

давайте, а мы послушаем

Обновления не ставим, соответственно инет и не нужен. Локалка — исключительно локальная, только на несколько машин и без выхода в инет. Никаких новый программ, работает только то, что поставлено разработчиком...


и не слова про USB — Вы, при всём уважении, просто не знаете, что принесли/унесли Ваши сотрудники, а отсутствие локеров/шифровальщиков не равно безопасности
Видите в чем дело. Стан дает продукции примерно на миллион долларов в сутки. И любой, кто сел за эти компы, может сломать стан очень надолго. Например, взорвать печку, работающую на водороде. Она как раз под двумя серверами находится.

Так что дураков там нет. Тем более, что премия равна окладу, а снимают её за 3 часа простоя в месяц по вине службы. И со всей службы. А не только с виновника.

Что унесли — не важно, там технологические данные, они никому не только эксплуатанционщикам интересны.

А что принесли… Лет за 5 до ввода этой системы (на предыдущей системе) пытались приносить игрушки. Получили по первое число. Так что простого запрета из политик + логгирования хватило, чтобы больше не пытались.

Все внешние порты (занятые с предотвращением извлечения, незанятые наглухо), дисководы, CD приводы опечатывать.
Если все же приспичит, внешний носитель предварительно детально проверяется комиссией специалистов в присутствии админа, безопасника и начальника на изолированной машине.
Снятие печати в присутствии той же компании с немедленным восстановлением печати и после установки, и после извлечения носителя.

А это уже работать мешает. Например — ставить новые прошивки на контроллеры во время ППР. Угрозы уголовного наказания (см. ниже) вполне хватает.
Для понимания.

УК РФ, Статья 217. Нарушение правил безопасности на взрывоопасных объектах

1. Нарушение правил безопасности на взрывоопасных объектах или во взрывоопасных цехах, если это могло повлечь смерть человека либо повлекло причинение крупного ущерба, -


Крупный ущерб — это любая, даже на 30 секунд, остановка стана. Он вроде от миллиона рублей начинается.

Так что желающих попасть под уголовку — нету. Любая авария (как и вообще все, происходящее на стане) записывается этой самой системой. И далее анализируется с выяснением виновной службы (автоматчики, электрики, приводчики, гидравлики, химики, технологи, операторы..)

Ну нету среди инженеров людей, желающих подставить свою голову под статью.
Да, наши рекомендации не могут быть применены в лоб к инфраструктуре управляющей прокатным станом или атомной станцией. Для всех остальных — ночной maintenance window для части инфраструктуры вполне приемлем. Хотя наша выборка и нерепрезентативна, таких клиентов, у которых загрузка днем и ночью одинаковая, у нас нет.
Среднестатистический офис имеет минимум 12 ночных часов, в течении которых можно все оттестировать и установить.
Не, это не управление (кто же доверит управление IBM PC!!!), это диагностика, то есть запись того, что сделали управляющие контроллеры. Серверов два, так что один вполне можно и вывести для обновления. Поломка одного сервера во время обновления другого — экзотика.

Просто не нужно обновлять то, что работает. Когда нет интернета, локалки, а новые программы не приносятся — никакого смысла в обновлениях нет. Работает — не трогай. Сломать при обновлении — можно. Улучшить — вряд ли.

Вы у себя дома на стиральной машине прошивку обновляете? Нет? Вот и тут не надо.
Когда нет интернета, локалки, а новые программы не приносятся — никакого смысла в обновлениях нет. Работает — не трогай. Сломать при обновлении — можно. Улучшить — вряд ли.

Потомки Stuxnet читают ваш пост с воодушевлением
Стиральную машину давно обновляли? А домашний роутер? А мобильник?

Stuxnet — средство государственного терроризма. Намного дешевле подкупить уборщицу пронести бомбу. И эффекта больше будет.
До первой зараженной флешки? Stuxnet ничему не учит?
Цена разработки Stuxnetа — от 3 миллионов долларов. За тысячу долларов можно попросить уборщицу пронести сумку с бомбой и оставить её в определенном месте. В итоге — стане не будет подлежать восстановлению.

Мораль — борьба с государственным терроризмом — это дело спецслужб. И кибератака — это самый мягкий вариант терракта. В отличие от взрыва бомбы, при кибератаке хотя здание цеха не разрушается. :-)

Хотите страховаться «от всего» — рассотрите прежде всего сьрос термоядерной бомбы прямо на ваш объект. Потом — обычные взрывные устройства. А уж потом — редкие и дорогие атаки с использованием специально написанного ПО.

Ну а ваш комп как защищен от флэшки, которая его аппаратно сжигает? А от 500 грамм пластида с радиовзывателем вы как защитились?
Stuxnet запускался автоматом при подключении флешек из за уязвимости в ОС. Потом было ещё несколько подобных уязвимостей, которую уже использовала вполне обычная вирусов.

Ваши добропорядочные киповцы сами того не зная воткнутся флешкой в какой нибудь внешний зараженный комп и получат недокументированный автозапуск.

Часто вирусня делает ещё проще.

Порядочный дед Петро думал, что заходил в папочку с прошивками на флешке, а оказалось что это вирусня подменила иконку на желтенькую и обманула честного гражданина. Запустил то он в итоге «Мой каталог микропрограмм.scr». :)
Stuxnet запускался автоматом при подключении флешек из за уязвимости в ОС

Это неверно. Для его запуска нужно открыть флэшку (или дискету) в проводнике. У всех нормальных инженеров автозапуск проводника отключен уже больше 20 лет. А со флэшки копирование идет через far (или DN или windows commander). Это причина номер раз, почему такие вирусы не страшны.

Ваши добропорядочные киповцы сами того не зная воткнутся флешкой в какой нибудь внешний зараженный комп и получат недокументированный автозапуск.

Внешние для нашей системы компы на заводе — с обновлениями, антивирусом и так далее. Использование учетной (номерной) заводской флжшки за пределами завода — это ЧП независимо от того, занесли ли вирус. Вообще, проход с флэшкой через проходную — оформляется специально.

Тут наибольшая угроза — я сам. Вот я, когда устанавливал и настраивал систему — ходил через проходную с собственной флэшкой. Но это или разрешение с кучей печатей или — тяжелый процесс по упрятыванию флэшки (с устного разрешения начальства).

Это вторая причина.

Третья причина — флэшку явно проще воткнуть в более доступный комп, чем идти в машзал за 700 метров.

В целом — наша система будет одной из последних на заводе, кто получит вирус.

Порядочный дед Петро

Деду Петро в машзале проще 15 киловольт отрубить. Или ещё что-то сделать. В машзале размером с футбольное поле — полно опасных рубильников.

А идти в запертую комнату с сигнализацией и открывать шкаф с аппаратурой — совсем невероятно. Зачем возиться с двумя замками, если под в самом машзале вагон менее защищенной техники.

В целом, вы мне очень напоминаете хакера в столовой. Это точно не розыгрыш?
--Внешние для нашей системы компы на заводе — с обновлениями, антивирусом и так далее.

Ну тогда я спокоен, у вас есть еще грамотные админы, которые не прислушиваются к вашим «рецептам» из начала ветки аля ;)

---Никаких антивирусов с их требования интернета для обновления.---
Слава богу, что «грамотных» админов на наши компы не пустят.

Вы не понимаете главного — изолированная машина сама по себе заразиться не может. Если нету ни локалки, ни интернета, ни приноса программ на дискетке или USB — откуда возьмется вирус?

Да, есть тоненький канал приноса и забора данных. Тоненький — это не чаще раза в месяц.

Если по этому каналу носить обновления — риск заразиться увеличиться в тысячу раз. Как минимум потому, что придется разрешить запуск произвольных файлов. А среди обновления на флэшке легко может притаиться вирус.

Более того, вспомните, насколько часто обновления вызывают проблемы? Ну так пример раз в 5 лет приходится откатываться после неудачного обновления. То есть в среднем за 15 лет работы системы, обновления бы вызвали три отказа в работе. А сейчас — ноль.

Нравятся обновления — начните с собственного мобильника и стиральной машины. Давно на своем андроиде ядро обновляли? А ведь мобильник в интернете, ему ядро обновлять надо.

P.S. Единственное, что родилось полезного — на таких машинах вместо Explorer надо ставить более простую оболочку.
Клиентские компьютеры должны работать на Windows 10 LTSB. LTSB имеет меньше потенциально опасных компонентов и, теоретически, не следит за пользователем, хотя запретить телеметрию все равно не помешает.

Вот только MS в своих материалах не рекомендует использовать LTSB на рабочих компьютерах. Версия LTSB предназначена для использования в специализированных устройствах.


https://docs.microsoft.com/ru-ru/windows/deployment/update/waas-overview

Long-term Servicing Branch


Специализированные системы, такие как ПК, контролирующие медицинское оборудование, POS-терминалы и банкоматы, часто требует более длительного цикла обслуживания в силу своего назначения. Эти устройства, как правило, выполняют одну важную задачу, и им не требуются обновления компонентов так часто, как другим устройствам в организации

Ветвь обслуживания LTSB не предназначена для развертывания на всех (или большинстве) ПК в организации и должна использоваться исключительно на специализированных устройствах. ПК с Microsoft Office — это универсальное устройство, которое, как правило, используется специалистом по работе с данными. Для такого устройства больше подойдет ветвь обслуживания CB или CBB.
....

что написано в приведенной ссылке
Гораздо важнее обеспечить стабильность и безопасность этих устройств, а не установить на них последние изменения пользовательского интерфейса. Модель обслуживания LTSB блокирует получение устройствами LTSB с Windows 10 Корпоративная стандартных обновлений компонентов и отправляет на них только исправления, чтобы поддерживать систему безопасности в актуальном состоянии.


что важнее стабильность или новый интерфейс думаю комментировать не надо

Думаю вам нужно внимательно прочитать. LTSB более уязвима.

LTSB более уязвима.

беру свои слова обратно

Вы предлагаете очень громоздкое и дорогое решение.
На самом деле можно сделать проще: Novell (ныне скрывается за псевдонимом Microfocus).
И всё. Порты 135,137,138,139,445,1027 запрещены на свичах, потому как netbios в сети не нужен. Инфраструктура не подвержена атаке в принципе (там нет домена, винды и самбы).
Вот сейчас сижу ем попкорн и смотрю комедию «как мы боролись с эксплойтами АНБ», уже третья серия пошла. И все такие серьезные, шарпоинт им для сетевых ресурсов нужен, отдельный ПК для работы и отдельный ПК для связи с внешним миром. Экономия, однако.
В нашем случае даже если какой талант через два антивируса (на почте, на прокси и на рабочей станции) чего поймает — ну потеряем эту рабочую станцию, развернуть новую — вопрос одного часа. Заражения по сети не будет.
Как всегда история про неуловимого Джо у вас написана.
Отсутствует пункт 4. Замените такое устаревшее оборудование, как МФУ, которое использует только SMB1.
Еще добавлю. Проводите раз в пол года аудит. Бывает так, что сисадмин уверен, что все Ок (а у него задняя стена отвалилась).

По поводу МФУ. Советую всю печать развести через CUPS.
Протокол SMB нужен для того, чтобы сканы складывать. Если МФУ понимает только smb1, то сканы складывать станет некуда при отключении smb1. Для пяти-десяти страниц можно пользоваться и почтой, а если под 400-500 страниц?
Это что за древние девайсы? У нас МФУ гнусмас уже под 5 лет пашут, и то SMBv3 есть.
Прошелся по ним и перенастроил с smb1 месяц назад на smb3 с авторизацией.
Есть много МФУ, которые стоят от 150К рублей.
Например? Вы уверены, что там только smb1?

Ну и не вижу проблем даже если и так — один сервер с smb1 с ограничением только с IP адреса принтера, остальные ходят по smb3.
Если мне не изменяет память, то smb1 включенный на сервере, будет включен для всех, потому как все версии smb работают на одном порту. А это значит, что будет дыра.
Ну нет же! Не такой тупой firewall на винде.
Он включается на каждом сервере отдельно и как клиент и как сервер, плюс в файрволе может ограничить принимать по 139 порту только с IP принтера.

Ну или сделайте отдельный сервер на Ubunte какой с SMB1 шарой и никаких дыр.
Дело не в том, что делать, а в самой статье, где даны советы по защите от вируса Петя. И любое использование smb1 является дырой, даже если сделать Убунту с smb1, потому как не важно что стоит, важна только версия smb, если есть первая версия, то есть и дыра.

По поводу фаервола — smb1 работает на 445 порту, так же как и smb2. Порт 139 — это порт netbios.
Не говорите глупостей — разрешенный smb1 на убунте — никакая не дыра в системе.
вы не сможете заразить убунту никаким петей.
smb1 используется тем-же Петей для получения паролей. Получив пароль, дальше можно хоть через smb3 копироваться в доступные по этому паролю места.

Таким образом, Ваше предложение по установке Убунты вполне нормальное решение, но с дополнениями — отдельный влан для убунты и МФУ. С доступом к отсканированным файлами либо через флешку, что ухудшит удобство работы людей, либо через ftp.
Ну когда вы покакажете, как Петя сможет взломать убунту да еще и для получения паролей — продолжим разговор.
А так видно, что вы в теме не разбираетесь.
Убунту никто не будет взламывать. Предположим, что МФУ через смб1 используя логин/пароль обычного юзера на Убунте кладёт отсканированные файлы на файловую помойку Убунты. Далее, настоящему юзеру нужно забрать эти файлы с Убунты на свой компьютер, как он это будет делать? Через СМБ1 или через СМБ2-3? Используя чьи учётные данные юзер будет подключаться к Убунте?
Почту Petya заблокировали? Теперь выкуп не перевести если файлы заражены?
MazayZaycev, спасибо за ценные наводки.
Если говорить, о пожеланиях/замечаниях, в таком виде чек-лист (Вы ведь к этому формату стремитесь?) потеряет актуальность через полгода-год. Может стоит вместо конкретных версий говорить «последний», «предпоследний», «устаревший» и т.п.?
С WSUS или напрямую с серверов Микрософт — не принципиально
— возможно, ринципиально. Даже если обновления не хранятся на WSUS, они должны через него проходить, чтобы об ошибках установки обновлений узнавать оперативно — из консоли или отчётов WSUS.
Системные администраторы не должны работать на рабочих станциях с правами доменного администратора.
— не лучше ли сразу говорить о принципе наименьших привилегий? с правами доменного администратора даже на серверы заходить не всегда нужно.
•Специализированные и редкие программы, типа M.E.doc интернет банкинг(особенно на Java), должны запускаться на отдельной виртуальной машине с жестко настроенным фаерволом.
— для большинства это слишком сложный пункт, но если уж его затронули, то стоит здесь говорить не только о фаерволе, но вообще о специальных политиках безопасности для таких компьютеров. Кроме того, не обязательно это должна быть ВМ. Кто-то даже скажет, что ВМ уязвима из хост-системы.
Sign up to leave a comment.

Articles