Сегодня я хочу рассказать о костыльном способе организации безопасности windows в корпоративной среде и поделиться парочкой своих наблюдений.
"Зеленым" этот пост вряд ли будет интересен, потому что здесь не будет какой-то глубокой проработки методик атак и защиты, а будут банальные рекомендации + способ реализации.
Банальные рекомендации, которые должен усвоить сисадмин с молоком матери
1) Используйте сложные пароли, используйте разные пароли.
2) Всегда делайте бекапы и храните их отдельно. Отдельно, в другом здании, в другом городе, в другой стране. Чем дальше, тем выше шанс, их сохранить. Вы можете разнести их в разные комнаты, досконально продумать и оптимизировать систему бекапа, но вам только посочувствуют, когда их уничтожит пожар.
Не верь никому.
Все знают, что нельзя пользователей делать локальными администраторами. Тем не менее иногда это приходится делать и упаси боже, если администратор зайдет по удаленке к этому компьютеру или просто локально залогинится.
Дело тут вот в чем:
1) Винда хранит пароли последних сессий в файлике и, если этот файлик достать, можно будет узнать пароль, залогиненого юзера.
2) Винда хранит пароли в оперативной памяти, в незашифрованном виде.
Это все дело можно вытащить с помощью отличной утилиты mimikatz.
К счастью, есть один способ относительно безопасного управления таким компьютером:
DameWare - утилита для удаленного управления помогает авторизоваться по доменной учетной записи, не насрав при этом в память пролями.
Существует несколько радикальный способ обойти доменные и антивирусные проблемы:
Была у меня одна организация, в которой все было организовано приблизительно следующим образом:
Был базовый образ с виндой, он разливался на все компьютеры компании. Компьютеров было очень много и разных, в том числе поэтому, они не были в домене. Для централизованного управления, была самописная утилита, которая автоматически выполняла необходимые действия на всех компьютерах, с несколько расширенными возможностями. Впрочем, управлять компьютерами приходилось редко, и вот почему:
Думаю ни для кого, особенно в нашей стране, не удивительно, что зачастую старое оборудование начинают использовать в качестве тонких клиентов.
Замечательность этого подхода базируется на том, что локальные компьютеры вам нафиг не нужны (в большинстве).
И вы можете защитить их замечательной утилитой shadow defender. Суть такая, что оно фиксирует все изменения на жестком диске компьютера и откатывает их при следующей загрузке. Этот день сурка позволяет избежать большого количества неприятных ситуаций,
А нормальная антивирусная защита, с нормально настроенным фаерволом, позволит избежать неприятных ситуаций на терминальном сервере.
Касательно корпоративной безопасности и безопасности виндоус вообще, очень хочу поделиться своими мыслями
Teamwiever
В некотором смысле опасная штука.
С недавнего времени, туда запилили поиск ближайших контактов и устройств. Т.к. обычно тимвьюивер стоит именно на компьютере администратора, а самым сладким для злоумышленника является компрометация компьютера админа\сетевого админа, следуюет всегда руками вводить пароль при подключении. Вас могут скомпрометириовать через имейл или похожим образом.
Злоумышленник так же может получить точное количество компьютеров с тимвьювером в сети, благодаря этой функции. Безумно интересно, кстати, зачем ее запилили. Мне кажется, для определения коммерчское ли использование у вас и, если коммерческое, поиметь с вас деньжат, но это мои умозаключения, мало имеющие отношение к реальности.
HTTPS
Если вы зашли на какой-то сайт и подконнектились по HTTPS, не спешите радоваться. Во-первых, обращайте внимание на желтый треугольник рядом с адресом сайта, существует риск просроченного сертификата, конечно. Но не исключено, что вам действительно подменили сертификат, серьезно,даже керио умеет это делать без проблем.
HTTPS Не шифрует весь траффик, если вы зашли на сайт и на нем находятся девочки анимешки с другого сайта, то вас без проблем могут спалить за просмотром девочек анимешек, тоже касается каких-то фреймов, вы понимаете о чем я.
VPN
Не каждый впн такой уж впн. Обращайте внимание на то, шифруется ли ваше соединение, хотя если вы знаете по какой причине вам понадобилось его шифровать, то скорее всего вам не стоит объяснять этот пункт и рассказывать чем отличается GRE от IPSEC.
Тем не менее, стоит быть осторжнее с его повсеместным примением. Если вы открыли админку на IP адрес вашего впн, то любой кто купит его сможет долбиться на ваш сервер, при определенных условиях, возможно получить контроль над вашим сервером, вы понимаете.
WI-FI
Если вы используете, эту замечаительную технологию, не забывайте отключать SSID, отключать доступ до важных элементов сети через вафлю, и обязательно отключайте WPS. Помните, что опытныму нарушителю будет смешно смотреть на ваши, "скрытые сети", "фильтрации по мак", "пароль".
Если вы поставили вайфай, то вы поставили хрупкую деревянную дверку, которую может открыть верзила с топором (БРУТ ключа) и домушник отверткой со скрепкой(wps, sniff).
По этой причине используйте длинные пароли, символов 12 и лучше, если не будут автоматически сгенерированы.
Теоретически, можно перехватить так называемое "рукопожатие", когда пароль передается в открытом или хешированном виде и тогда вас уже не спасет ничего. Ничего кроме запрета рандомным клиентам wi-fi на доступ ко ключевым корпоративным ресурсам.
БАНК
Если вы хотите использовать какой-то ПК под банк клиент или работу с банками вообще то вы не должны брезговать типичными правилами:
1)
Не использовать этот ПК для любых других целей не связанных с банками.
2)
Не забывайте указывать свой IP адрес как единственный, с которого может осуществляться взаимодействие, используйте рутокены.
3)
Для очень многих задач, на самом деле, существуют узкие утилиты, например, у kaspersky`ого есть возможность безопасных платежей.
Советую смотреть в эту сторону.
В обычной ситуации с ненаправленной атакой, мне кажется, хватит касперского в качестве антивруса, серьезно, не стоит его недооценивать. Хотя переоценивать тоже не стоит, поэтому я бы иногда поглядывал на сетевой траффик с этого ПК, основная опасность это утечка информации и удаленный контроль. Ну и заблокировал бы все, что не нужно, даже с помощью виндового фаерволла, и четко бы знал, что если заблокированный траффик появился в сети, то стоит обратить на него внимание.
Огорчающий факт: компьютеры, которые мне встерчались и работаюли с банками,были самыми менее защищенными, в них открыто все что можно, лишь бы все работало. Я верю, где-то это организовано не так, но таких я пока не встречал, а хотел бы.
