Кстати, у меня Руслан Карманов ответил в комментах.
"> Итак, мы выяснили, что любой, кто попытается открыть какой-то файл или директорию с нашего SMB-сервера из-под Windows, автоматически отправит свои данные либо локального аккаунта, либо аккаунта Microsoft, либо логин и хеш пароля от VPN. Что же мы можем с этим сделать?
Ничего, потому что это дефолтное поведение дефолтных настроек NT 6.0.
Известно это 10 лет, и лечится настройками NTLMv2. EPA, в частности.
http://www.atraining.ru/lm-ntlm-ntlmv2-armoring/
Проверено с 5 серверов и домашней машины — ничего оный тест не видит, ничего ему не отправляется.
Ломать дефолтные настройки винды, которые сделаны для совместимости — удобно и приятно, я понимаю.
Просто реальность такова, что это не дыра — это личный уровень компетентности автора.
Примерно поэтому мы курсы дописываем по материалу сами, а не стандартные Microsoft'овские про Next-next-finish читаем. Потому что натаскивание на «как можно быстрее деплоить дефолтные конфиги» приводит к таким вот постам.
СЕНСАЦИЯ! ВЕНДА ВЗЛОМАНА ПОЛНОСТЬЮ! ПАРОЛЬ МОЖНО ПОДОБРАТЬ ЗА ПОЛСЕКУНДЫ! Ну и так далее. На тему а-ля «по дефолту, оказывается, LM-хэш сохраняется»."
И это мы даже копаем неглубоко, взять тот же PowerWare через макросы MS Office и дальше в powershell. Ну как можно при запрещенном явно ps.exe все равно запускать его через cmd.exe
1. DLP — это не защита от утечек информации, а защита от СЛУЧАЙНЫХ утечек информации.
2. Исходя из п.1 — ваши данные всё равно утекут, когда придёт срок.
Тут заржал, спасибо!
«лично изменившему поиск в Outlook по Ctrl+F на форвардинг письма.»
Вот кстати отличная подборка в ответах и вопросах поддержки MS:
http://www.jazzkeyboard.com/jilly/funny-microsoft-q-articles-from-the-technet-support-knowledge-base/
Откуда вообще вот это миф про бухгалтеров и тем более 123456 в виндовой среде?
Если ИТ и просто менеджмент — вменяемый, то все будет хорошо. Речь конечно про более-менее крупные компании.
Потому что это раздражает уже — каждую неделю появляется новая возможность обмануть встроенные средства безопасности.
PowerWare через cmd -> PS, теперь вот это. Капец.
Круто! Тот редкий момент, когда на Хабре реально полезная статья)
Здесь примерно то же самое: http://windowsitpro.com/security/12-commandments-file-sharing
Единственный нюанс — есть ли смысл распространять ресурсы через ярлыки на рабочем столе, а не mapped drives — ведь свежие шифровальщики вроде Locky вполне самостоятельно сканируют подсети на предмет прав RW.
Отлично, действительно работает.
Капец конечно, запуск через CMD даже спокойно обходит ограничение в прямом виде через SRP )))
Интересно, это не повлияет на запуск всяких встроенных maintenance скриптов в task sheduler на новых системах, там вроде было что-то встроенное, с запуском по расписанию??
))))
"> Итак, мы выяснили, что любой, кто попытается открыть какой-то файл или директорию с нашего SMB-сервера из-под Windows, автоматически отправит свои данные либо локального аккаунта, либо аккаунта Microsoft, либо логин и хеш пароля от VPN. Что же мы можем с этим сделать?
Ничего, потому что это дефолтное поведение дефолтных настроек NT 6.0.
Известно это 10 лет, и лечится настройками NTLMv2. EPA, в частности.
http://www.atraining.ru/lm-ntlm-ntlmv2-armoring/
Проверено с 5 серверов и домашней машины — ничего оный тест не видит, ничего ему не отправляется.
Ломать дефолтные настройки винды, которые сделаны для совместимости — удобно и приятно, я понимаю.
Просто реальность такова, что это не дыра — это личный уровень компетентности автора.
Примерно поэтому мы курсы дописываем по материалу сами, а не стандартные Microsoft'овские про Next-next-finish читаем. Потому что натаскивание на «как можно быстрее деплоить дефолтные конфиги» приводит к таким вот постам.
СЕНСАЦИЯ! ВЕНДА ВЗЛОМАНА ПОЛНОСТЬЮ! ПАРОЛЬ МОЖНО ПОДОБРАТЬ ЗА ПОЛСЕКУНДЫ! Ну и так далее. На тему а-ля «по дефолту, оказывается, LM-хэш сохраняется»."
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
Потом no hash is leaked
Неужто такой хэш брутится??
Ну как можно при запрещенном явно ps.exe все равно запускать его через cmd.exe
— У нас дыра в безопасности!
— Ну хоть что-то у нас в безопасности!!! ©
Новый метод обхода UAC в Windows 10 позволяет подключить вредоносную DLL-библиотеку
http://www.securitylab.ru/news/483201.php
Сколько здесь платят спецам уровня того же Лео Соснина например? При том, что сам Лео в США претендует на суммы вида до 200к$ в год, если я не путаю.
https://www.teamviewer.com/en/company/press/statement-on-potential-teamviewer-hackers/?utm_source=Twitter&utm_medium=social&utm_content=statementonpotentialhackers&utm_campaign=Social&pid=social_tw
А учитывая, что даже с подпиской за 30$ нельзя откликаться на вакансии прямо с Linkedin — очень бесполезная штука.
1. DLP — это не защита от утечек информации, а защита от СЛУЧАЙНЫХ утечек информации.
2. Исходя из п.1 — ваши данные всё равно утекут, когда придёт срок.
«лично изменившему поиск в Outlook по Ctrl+F на форвардинг письма.»
Вот кстати отличная подборка в ответах и вопросах поддержки MS:
http://www.jazzkeyboard.com/jilly/funny-microsoft-q-articles-from-the-technet-support-knowledge-base/
Если ИТ и просто менеджмент — вменяемый, то все будет хорошо. Речь конечно про более-менее крупные компании.
И вот еще любимая картинка:
http://3.bp.blogspot.com/-fwCJdKDZQUc/Uh8axR2QJVI/AAAAAAAAMvQ/-eEyZz1aHlE/s1600/20%20SC.png
Но, как писал arkanoid — ваш домен всё равно поломают, в первую очередь)
PowerWare через cmd -> PS, теперь вот это. Капец.
И твёрдая двойка архитекторам этой самой безопасности в Microsoft.
что это вы написали такое? сами же пишете про стандарты и регламенты) ДИСК О — У ВСЕХ ОДИНАКОВЫЙ.
иначе это либерализм и разброд в инфраструктуре)))
Здесь примерно то же самое: http://windowsitpro.com/security/12-commandments-file-sharing
Единственный нюанс — есть ли смысл распространять ресурсы через ярлыки на рабочем столе, а не mapped drives — ведь свежие шифровальщики вроде Locky вполне самостоятельно сканируют подсети на предмет прав RW.
Капец конечно, запуск через CMD даже спокойно обходит ограничение в прямом виде через SRP )))
Интересно, это не повлияет на запуск всяких встроенных maintenance скриптов в task sheduler на новых системах, там вроде было что-то встроенное, с запуском по расписанию??