Почему писать скрипты для борьбы с «браузером Амиго» — зло?

    Прочитав пост про удаление ненужного софта мне в который раз стало очень грустно. Автор предлагает «эффективное решение» по избавлению от всякого нежелательного софта, вроде упомянутого «амиго». И если некоторые части скрипта еще можно назвать, ну хотя бы безвредными, то удаление и запрет на запись "%username%\AppData\Local\Apps" выглядит как откровенный саботаж. Плохо еще и то, что такой или аналогичный по механике «полезный скрипт» некоторые всерьез считают действенной мерой. Это далеко не первая статья, от которой у меня сводит скулы, вижу что многие не понимают с чего вообще нужно начинать настройку безопасности в Windows-среде.

    Представляю читателям мое видение списка минимально необходимых настроек и действий (в первую очередь для Windows-домена), чтобы никогда не видеть непонятных браузеров и свести риск вредоносного ПО к абсолютному минимуму. Некоторые описанные решения могут показаться спорными, и мало того, они таковыми и являются. Но заранее прошу, увидев первое предложение какого-то пункта, не спешите писать комментарий, прочитайте мысль до конца, возможно у вас отпадут вопросы.

    Конечно я наверняка видел этот самый Амиго несколько раз, но исключительно на домашних машинах пользователей, а вот как выглядит вспомнить не могу.

    Пункты отсортированы по степени важности и первоочередности если вы вдруг решите последовать примеру. Для вас может быть странным такой выбор последовательности, но это мое мнение, основанное на собственном опыте. Я опишу обязательную основу, без которой все остальные действия будут бесполезными. И помните, безопасность и удобство чаще всего находятся на разной чаше весов.

    0) Всегда сначала думать головой. UPD. Этого пункта не было в изначальной версии поста, но мне здраво объяснили, что часть рекомендаций может быть даже вредна в той или иной ситуации. Не следуйте безрассудно каждому хау-ту и туториалу, грамотно взвешивайте все за и против, оцените риски. Возможно, время на восстановление инфраструктуры или ее узла будет в разы менее затратно, чем внедрение и поддержка жестких мер по обеспечению безопасности. Но к подавляющему большинству Windows-пользователей в организации советы вполне применимы.

    1) Файловая система NTFS. Вряд ли вы ожидали увидеть ее на первом месте, но это так. Почему-то этот пункт абсолютное большинство просто пропускает. Это основа безопасности Windows. Если у вас где-то в организации остались Win98, я вам искренне сочувствую. Всегда очень ответственно относитесь к настройке NTFS-прав. Например, к startup-скрипту требуется доступ по чтению только учеткам «Компьютеры домена», так и выдайте по чтению только им. Помню случай в одной конторе, когда в каталог \\domain.ru\NETLOGON у всех был доступ на запись. Кто именно принес заразу уже не выяснить, но эпидемия была эпичной.

    Если на Windows 7 вы по непонятной причине используете FAT, то идите пишите скрипт удаления Амиги.

    2) Отсутствие прав администратора у ВСЕХ, от слова совсем, включая генерального. В первую очередь это может быть крайне сложного реализовать именно из-за организационного противостояния, но надо уметь доказывать. Мне это удалось, на примере самых опасных вредоносов — шифровальщиков. Кому охота стать причиной массовой эпидемии зашифрованных данных и в лучшем случае спровоцировать длительный простой связанный с восстановлением данных из бекапа, а в худшем попасть на серьезные бабки и вероятность безвозвратной потери данных? Никому не охота, генеральному как раз в первую очередь, а все остальные пойдут паровозом. Кстати, ИТ-специалисты тоже, но об этом ниже.

    Следующий аспект связанный с ограниченными правами — некоторый софт хочет писать не в профиль юзера, а в каталог установки. В первую очередь, решите, а нужен этот софт вообще? Если сильно нужен, например это бухгалтерия, то придется поколдовать. Любой, повторяю, любой софт можно заставить работать под юзером. Иногда достаточно просто разрешить права на какой-то ини-файл конфигурации, а иногда придется взять в руки «ProcessMonitor» и скрупулезно, по шагам выяснять, че ж очередной кривой заразе надо для нормальной работы.
    Если вы первым делом после установки отключаете UAC, то пишите скрипт удаления Амиги дальше.

    3) Актуальная версия Windows. Уже вполне очевидный момент. К сожалению, ХР закончилась, но все еще продолжает работать на крупной доле станций по всему миру. Я понимаю, что не все могут позволить переход на современную ОС по разным причинам — финансовым, техническим, или даже организационным. Но к этому нужно обязательно стремиться. Нужно избавляться при первой возможности. Мне в этом плане, можно сказать повезло, удалось унифицировать парк десктопов одними семерками. Под актуальной версией ОС я понимаю, в том числе, наличие последних обновлений. Это обязательное правило. Некоторые могут возразить, что обновления ломают систему. Раз в год и палка стреляет, это верно. Но что мешает обкатывать новые апдейты на 10-15% парка ПК в течении нескольких дней? Это несколько замедлит деплой обновлений, но позволит протестировать до основного вывода в продакшен.

    Если вы вторым делом после установки ОС выключаете Windows Update, то не отвлекайтесь от скрипта для Амиги.

    4) Постоянная поддержка софта в актуальном состоянии. Лично я слишком ленив, чтобы руками обновлять пользовательское ПО и слишком беспокоюсь о возможных проблемах, чтобы оставлять пятилетние версии продуктов. Все точно так же, как и с пунктом выше. Это может показаться сложным, но я устал уже повторять, есть бесплатное решение на базе LUP, WSUSPP позволяющее разворачивать любой софт средствами WSUS. Один раз разобраться и наступает счастье, ничего сложного. Есть, программы, например Unreal Commander версии 0.96, который не умел корректно писать данные о версии в реестр и по умолчанию пытался вставать в корень системного диска. Такую прогу правильно поддерживать через LUP не выйдет. Ну ничего, можно потратить чуть-чуть времени и обернуть софт в собственный инсталлятор. Кстати, с версии 2.x UC исправился, можно ставить из коробки.

    Если вы разворачиваете софт при первой установке, вместе со ZVER DVD, то прошу прощения за потраченное время, Амиго ждет!

    5) Политика ограниченного использования программ (SRP). Мощнейший инструмент обеспечения безопасности. Фактически, единственное средство для борьбы со всякими Мейлрушечками и прочим. Как и любой другой инструмент, требует времени на изучение и реализацию, но оно того стоит. Принцип прост — т.к. у пользователя нет админских прав он не может писать в системные директории. Далее, вы запрещаете запуск программ отовсюду, кроме %WinDir%, %ProgramFiles%, %ProgramFiles%(x86). Теперь, если юзер в сладостном предвкушении качает и пытается запустить очередной оптимизатор реестра, его ждет болт. SRP регистрирует попытки несанкционированного запуска в evenlog, что может помочь для отладки ошибок запуска некоторого ПО. А самая мякотка не в этом.

    SRP — это инструмент, способный противостоять неизвестным вирусам, или тем, которые пропустит антивирус. «Письмо из налоговой» не зашифрует все базы 1с к чертовой матери, юзер просто не сможет запустить вложение «Накладная №1231233 от 26.10.2015.doc.exe». Кстати, я в курсе про Applocker, но он физически отсутствует в ХР, а функционал почти идентичен. Сейчас у нас нет машин ниже 7ки, но исторически существует SRP и что-то переписывать смысла не вижу.

    Если для вас это слишком сложно, то допишите в скрипт удаление «Спутник.Мейлру»

    6) Антивирус. Вот так скромненько, в середине списка. Я давно не считаю АВ-средства панацеей. Но и не отношусь к радикально настроенным АВ-хейтерам «работаю без антивируса 5 лет, все супер». Звучит как «никогда не пользовался презервативом, все супер!» А я бы на их месте сходил в кожвен, ну и за одним с ЛайвСД камп проверил. Антивирус должен быть и работать. Актуальный, с обновляющимися базами, централизованной админкой и отчетами. Последнее полезно, в плане выявления злостных юзеров, постоянно приносящих вирусы на флешке и посещающих подозрительные сайты. Сделать таким а-та-та.

    Если для вас «антиврус зло и замедляет компьютер», то… отложите скрипт для Амиги. Сходите к венерологу.

    7) Про админские права Админа. Если вы залочили все до такой степени, что без вашего ведома юзер и пер чихнуть не может, пора найти бревно в своем глазу. В какой-то момент я понял, что являюсь, по сути главной дырой безопасности. Да, я вполне компетентен, чтобы не ползать куда попало и не запускать что попало, но про «палку и раз в год» уже писал выше. Принял решение работать под юзером и обнаружил, что права админа лично на мой комп нужны редко, а для входа на компы пользователей просто запускаю тот же Unreal Commander под отдельной учеткой. Кстати. Заведите отдельную группу «Локальные Админы» и включите в группу «Администраторы» на клиентских машинах. Не надо к юзерам ходить под тем же админом домена. Для админки серверов используется терминальный доступ. Если это КД — то вход осуществляю под Админом Домена. Если это какой-то сервер 1с, то просто под админом того сервера. Пароли должны быть везде разные и пусть их запоминанием занимается какой-нибудь хранитель задниц KeepAss KeePass

    Если регулярная необходимость ввода пароля доставляет вам дичайшие неудобства, то тут очередная петросянка про Амигу.

    8) Работа с пользователями. Тоже важный аспект. Стоит провести профилактическую беседу, почему, например, вводить учетные данные для прокси не надо, если окно ввода пароля появилось неожиданно и вы браузер не запускали. С учетом принятых выше мер компьютер это вряд ли заразит компьютер, но действия подозрительны и потенциально могут привести к утечке данных.

    Сюда же, в пункт про юзеров добавлю спорный момент о «политике паролей». У нас есть требования о длине и сложности пароля, но я не требую обязательной регулярной смены. Абсолютное большинство не имеет доступа из вне, а оставшиеся 2,5 юзера сидят через OpenVPN, и если уж у них «ушел» пароль, то он явно был не сбручен или перехвачен средствами MITM. В итоге, сложный, постоянно меняющийся пароль никак не поможет, если он перехватывается с домашнего компа через кейлоггер. С другой стороны, все остальные будут жутко мучиться каждый раз придумывая сложный пароль и чтобы не забыть, лепить его на стикере к монитору. За это можно бить, лишать премии и еще всячески измываться над пользователями, но в действительности это чаще всего не повышает безопасность. Нужно просто довести до юзера «никому не сообщайте свой пароль», ну и чтобы пароль не бы вида «1234567». Повторяю, момент очень спорный, но в моем случае доступа снаружи, кроме как через РДП в ОпенВПН, нет.
    UPD. Рекомендую осилить весь пост, а потом вернуться к грамотному комментарию от Sergey-S-Kovalev и прочитать веточку.
    Еще я никогда не понимал часто встречающееся мнение «Админов» — «ну юзеры тупыыыыыые». Да, бывают недалекие, бывают откровенно тупые, но таким ничего не поможет. Они тупые по жизни. Такие бегают через дорогу на красный и если огородить их от тяжких телесных невозможно, то от опасных действий за компьютером очень даже реально.

    Любите юзеров, они же как дети, несмышленые просто.

    Все, мне надоела Амига.

    9) Служебные учетные записи. Я стараюсь на каждую нестандартную службу делать свою ограниченную учетку. К примеру, серверу приложений 1с нафиг не нужны админские права где-бы то ни было. Генерим новую учетку, сохраняем в KeePass, вводим в 1с. Забываем эту учетку, до поры. Это относится к подавляющему большинству сервисов и служб. Иногда требуется чуть расширить права, но в любом случае это будет ограниченная учетная запись.

    10) Резервное копирование. Плавно подходим к прочим вещам, обеспечивающим безопасность данных. Указанные далее пункты уже не относятся исключительно к Windows-домену, но так же должны быть грамотно настроены. Если, не смотря на все усилия все пропало, или юзер сам себе злобный буратино, грохнул квартальный отчет, то ваша любимая система резервного копирования поможет все вернуть. Не важно чем вы пользуйтесь, важно, что бекапы есть и целостные, проверяйте это периодически в холостую. Кстати, бекапилке, чаще всего нужны права read only на защищаемых машинах, так что вспомните пункт выше. Сделайте ограниченную учетку, под которой сервис будет ходить по тачкам и забирать данные. Потом пробегитесь по этим тачкам и выдайте учетке резервного копирования права на чтение. Между тем, обратное тоже верно. К хранилищу бекапов доступ по записи должен быть только у той самой ограниченной учетки и больше ни у кого, от слова совсем. Читать, допустим, админам можно, а писать нет. В случае чего это убережет бекапы от тех же шифровальщиков.

    11) Централизованный мониторинг. В отличие от пункта выше — полноценный элемент безопасности. Вы обязаны четко представлять что у вас происходит в конкретный момент времени. Так же обязательно настройте аудит файловых серверов, поможет при разборе полетов.

    12) Правильная защита периметра. Шлюз, в котором вы хорошо разбираетесь, все внешние сервисы в DMZ. Не забывайте про WiFi. У нас он тоже в DMZ, необходимости доступа внутрь периметра нет. Кстати, лучше, если в роли шлюза будет выступать не какой-нибудь TI или UG.

    13) К следующему косвенному пункту я бы отнес использование «облачных сервисов». Тоже очень спорный момент, но попытаюсь объяснить почему я его решил упомянуть. К примеру, мы используем ПДД от Яндекса и нас это полностью устраивает. Собственный почтарь внутри или на хостинге был бы на порядок более гибкий, но моем случае необходимости в этом нет. И лишний собственный сервис мне ни к чему. К тому же, несмотря на опыт поддержки почтарей, я трезво считаю, что почта от того же Яндекса более надежна и лучше защищена от вирусов и спама, чем бы я сам смог настроить. Кстати, ДНС у нас тоже от Яндекса. Тот который «Безопасный» и ограждает от вредоносных сайтов, но позволяет заходить на redtube.

    14) Удаленный доступ. Старайтесь, по возможности, оборачивать доступ снаружи в VPN. Да, это менее удобно, но намного более безопасно, чем RDP голым задом на мороз.

    Вот в принципе и все. Это далеко не полный список, продолжать его можно бесконечно. Из основных моментов я бы еще добавил EMET (используем) и 802.1х для доступа к сети (не используем). Наверняка, я что-то забыл упомянуть из таких же «фундаментальных» вещей, пишите в комментариях.
    Поделиться публикацией
    Похожие публикации
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 198
    • +13
      никогда не пользовался презервативом, все супер

      Вы сравниваете работу в среде Windows с незащищенным сексом? Смело )
      • +9
        Нет, я хочу сказать, что даже презерватив не дает 100% защиту, а уж без него, так вообще может быть крайне опасно. Так же и с антивирусом. Это не панацея, а один из способов «контрацепции» ;)
        • –13
          Ну если презерватив так необходим, почему бы не пришить его к детородному органу или заткнуть дырдочку намертво, чтоб никакая зараза не попала? (прошу прощение за «фи»)
          • +3
            Я не готов пойти на такие меры, уж лучше как-нибудь по-старинке :)
            • –3
              Вы ведь виндой детей делать не будите, а подхватить «венерические заболевания» можете, так почему бы не вшить средства защиты прямо в систему или не поправить ее так, чтобы они вообще не требовались? Не считаете это странным?
              • +3
                Я потерял вашу мысль. Давайте отойдем от КВЗ. Средства защиты уже вшиты в ОС, но их надо правильно приготовить. В начале статьи у меня была оговорка, что удобство и безопасность зачастую противоположны друг другу.
                • –1
                  Вы же говорите, что лучше с антивирусом, чем без антивируса. Мне интересно, почему так?
                  • +1
                    При прочих равных, в корпоративной Windows-среде с антивирусом лучше, чем без него. АВ-средство, один из рубежей защиты, далеко не первый, но местами действенный. Давайте не будем углубляться в АВ-холивар.
                    • –1
                      Да какой тут холивар, мне просто интересно, не более того. Почему не вшить некоторое средство, которое делает работу с объектом более безопасной, прямо в объект? Ну это как минимум логично, не считаете?
                      • +2
                        Так в современной винде антивирус «вшит». Он прилетает через Windows Update, если нет стороннего средства.
                        • –1
                          То есть это все таки стороннее средство с автоматической установкой при первом update?
                          • 0
                            Да почему… Оставим в стороне качество и пр., но родной антивирус от МС — это microsoft security essentials. Прилетает через WU как рекомендуемое обновление, если винда не видит других средств. Так же к встроенным механизмам защиты относятся Windows Defender и «Средство удаления вредоносных программ»
                            • –1
                              Под словом «стороннее» я подразумиваю, что это ПО устанавливается, а не является частью ОСи.
                              • +2
                                А где проходит это грань — «часть ОСи» и «сторонее»?
                                • –3
                                  Все что требует инсталляции, есть «сторонее».
                                  • +4
                                    Т.е. все апдейты ОС — это стороннее?
                                    • –3
                                      Ок, давайте уточню терминологию — все что требует инсталляции и расширяет функциональные возможности системы сверх минимально-необходимых для функционирования ОСи.
                                      • +4
                                        Минимально-необходимое — это ядро. Все что дальше — это уже не минимум. Тем не менее некоторые утилиты считаются частью ОС, хоть и работают в user space, а некоторые драйверы ядра — это вполне себе сторонниый софт, хотя и работает на уровне kernel.

                                        Так что тут нет четкой границы. Тем не менее, АВ работает на уровне ядра, по крайней мере его часть, но поставляться может отдельно. И в этом нет никакого криминала. Вообще нет смысла спорить, это часть ОС или нет. Важен его функционал, а не название и способ поставки.
                                        • –1
                                          Минимально-необходимое — это ядро

                                          Верно, так что мешает запилить антивирус (или изменить ядро так, чтоб потребность в нем отпала) прямо в ядро? Без него ведь ядро «заболеет» и «умрет».
                                          • 0
                                            Вообще-то такие ядра уже есть. :) Это UNIX.
                                            Мало того, у Microsoft тоже была подобная ОС — Xenix — правда, быстро закончилась.
                                • +2
                                  Тогда по вашей логике все обновления ОС тоже будут «сторонними». Да даже если бы антивирь был встроен в родной установочный образ, то какой от него прок без обновлений, когда ему уже было бы почти 5 лет (в случае с Windows 7 SP1).
                                  • 0
                                    Мне интересен вопрос не встраивания антивируса в ОСь, мне больше интересно почему если для функционирования одной системы требудется другая система, но обе поставляются отдельно?
                                    • +1
                                      Вы выше писали
                                      Почему не вшить некоторое средство, которое делает работу с объектом более безопасной, прямо в объект? Ну это как минимум логично, не считаете?

                                      Я указал, что 1) такая возможность есть и 2), смысла встраивать АВ из коробки нет, он устаревает с каждым днем.
                                      У нас ни одна софтина не ставится из собственной «говносборки». В нашу внутреннюю сборку входят только апдейты ОС и драйвера на сеть, сборка обновляется раз в 1-3 месяца для ускорения установки. Весь софт, драйвера и свежайшие апдейты прилетают через WSUS максимально актуальными.
                                      • –1
                                        смысла встраивать АВ из коробки нет, он устаревает с каждым днем

                                        А что мешает его обновлять вместе с обновлениями ОСи?
                                        • +1
                                          Вы не поверите, но все так и происходит :)
                                          • 0
                                            Почемуже, охотно поверю, но вопрос остается открытым: почему если для функционирования одной системы требудется другая система, обе поставляются отдельно?
                                            • +1
                                              Вы не хотите меня слышать, видимо.
                                              Вместе они поставляются, просто по дефолту антивирь прилетает с обновлениями. Я писал:
                                              Смысла встраивать АВ из коробки нет, он устаревает с каждым днем.

                                              По вашему SSH в линухе поставляется вместе или отдельно? Если я на этапе установки не поставил тычку «OpenSSH server», Но потом вбил «apitude install ssh», то это «сторонняя» утилита, а если галку поставил, то «поставляется вместе»? Adobe Flash плеер — сторонняя утилита, а Microsoft Secutity Essentials — вполне себе встроенная. И то, что она на стоит из коробки — правильно, т.к. в любом случае 5-летний антивирь на необновленной винде врят ли чем-то поможет
                                              • 0
                                                Вы не хотите меня слышать, видимо.

                                                Возможно, а возможно и вы меня.

                                                Смысла встраивать АВ из коробки нет, он устаревает с каждым днем.

                                                А что мешает его обновлять вместе с обновлениями ОСи?

                                                Вы не поверите, но все так и происходит :)

                                                Так зачем же вы приводите это в качестве аргумента, если он обновляется и это не проблема?

                                                По вашему SSH в линухе поставляется вместе или отдельно?

                                                Без ssh в линухе вы не заболеете «венерическими заболеваниями».

                                                И то, что она на стоит из коробки — правильно, т.к. в любом случае 5-летний антивирь на необновленной винде врят ли чем-то поможет

                                                А что мешает его обновлять вместе с обновлениями ОСи?

                                                Вы не поверите, но все так и происходит :)

                                                Так обновляется он или не обновляется?
                                                • 0
                                                  Обновляется, обновляется )))
                                                  Но в момент установки ОС, MSE вы не увидите. Прилетит со всеми обновлениями. Fess в принципе все верно сказал, эта же ерунда была с IE, когда МС обязали на 5 лет выдавть окно при запуске с предложением скачачать альтернативный браузер. Я же сознательно не стал упирать на ФАС и прочие ведомтсва, т.к. мы про техническую часть говорили.
                                              • +1
                                                Есть такая организация: ФАС. Она считает, что втраивание АВ в винду убивает конкуренцию. И MS с этим согласно. При установке смотрит, есть ли АВ? Если нет, то предлагает воспользоваться бесплатной альтернативой. Всё просто. И, кстати, легко догадаться, если поднапрячься, а не долбить один и тот же вопрос в комментариях.
                                                • 0
                                                  Ок, задам вопрос по другому. Представьте что появилось лекарство от рака. Его использовать можно двумя способами: либо вакцинировать детей, что позволит им не болеть раком никогда; либо каждый месяц вкалывать это средство микродозами, что позволит отсрочить заболевание еще на один месяц. Так же представим, что это лекарство производится тремя разными компаниями. Химический состав везде один, отличается только наклейка на шприце и стоимость. Если сравнить стоимость первого и второго варианта использования, второй выходит в десяток раз дороже и вы, как рационально-мыслящий человек решаете вакцинировать вашего ребенка, но внезапно узнаете, что вакцинация детей запрещена, так как ФАС считает это монополией и применение этого подхода обанкротит три компании, выпускающие вакцину. Более того, сами компании с этим полностью согласны. Как считаете, это нормально?
                                                  • +4
                                                    Дочитав дискуссию до середины, удивился, насколько yosemity стрессоустойчив :) Но что ж, раз уж такая пьянка, давайте пофлеймим: Представьте, что появляется лекарство от рака. Его можно использовать сразу, что будет означать, что ваши дети больше не будут восприимчивы известным штаммам фируса. Или же можно обновлять каждый месяц, добавляя иммунитет к новым штаммам. Я выберу второе. И да, химический состав везде разный, но нацелен на борьбу с одними и теми же клетками, каждый выбирает своё.

                                                    А теперь про вторую часть: если не будет конкуренции — не будет качества. Останется один единственный антивирус — начнётся деградация качества, мол «аналогов-то нет, никто от нас не откажется». А вообще, какая вам разница, сколько компаний это производит? Или вы хотите получить серебрянную пулю за бесплатно?
                                                    • 0
                                                      Я написал Delphinum в личку, чтобы как раз не разводить флейм. И вроде бы он меня понял. Если захочет, выложит нашу небольшую переписку сюда, я не против. И да, я действительно спокоен, когда речь касается ИТ-среды. Я вот даже же ко всем юзерам снисходителен ))
                                                      • 0
                                                        Проблема здесь как раз в том, что ситуация такая, какой описал ее я, а не такая, какой описали ее вы.
                                                        • 0
                                                          Я не могу понять зачем данный вопрос задавать автору статьи? Автор описал по пункта меры по обеспечению информационной безопасности в корпоративной сети. Причем здесь вопрос почему встраивают почему не встраивают АВ. Это вопрос к поставщикам ОС и ПО.
                                                          • +1
                                                            Мне сдаётся, всё же не совсем так. В поставки различных систем встраиваются регулярно различные средства защиты, которые вполне эффективны против старых и известных угроз. Чисто для примера — DEP или UAC. Антивирус же — это комплексное программное решение, адаптирующееся к новым угрозам быстрее самой системы, т.к. работает «поверх» неё и не связан кучей хаков и обратных совместимостей. Можно ли жить без него — можно. С ним безопаснее — да. А что касается честных или не очень методов конкуренции — тут все хороши, и производители систем, и производители антивирусов. Положительным результатом работы ФАС является защита конечного потребителя от навязывания услуги и возможность конкуренции, что двигает индустрию вперёд.
                                                            • 0
                                                              Первый объективный коммент в этой бессмысленной ветке.
                                        • 0
                                          В 10-ке Defender установлен по дефолту, изначально.
                                • 0
                                  А вам встречались атаки, которые отловил бы антифирус, но пропустила бы грамотно настроенная винда?
                                  • 0
                                    Как таковые атаки нет, не встречались. Бывало наоборот. Просматривая логи, видел в отчетах SRP попытку запуска файла, начал разбираться, выяснилось, что файл был убит антивирем спустя аж три дня после получения по почте и соответственно попытки запуска. Если бы не SRP, все могло бы быть печально.
                                    Но тот же веб-антивирус ловит опасные скрипты и не дает ходить на левые сайты, что уже снижает риск словить 0-day. К тому, же я знаю как достаточно просто обойти SRP, но это должны быть 99% деструктивные действия со стороны самого пользователя. В этом случае антивирус очень даже может помочь, вряд ли злой юзер принесет и будет специально запускать неизвестный вирус.
                                    Да и, банально, если у юзера уведут его вконтактик, то пусть это будет не в корпоративной сети.
                                    • 0
                                      В этом случае антивирус очень даже может помочь, вряд ли злой юзер принесет и будет специально запускать неизвестный вирус.

                                      Помнится в детстве мне так сильно хотелось поиграть в новую игрушку, что я не обращал внимание на необходимость предварительной проверки дискеты антивирусом (тогда они еще не были сильно распространены и приходилось таскать дискеты к друзьям для проверки).
                                      • 0
                                        Я вот периодически спрашиваю разных людей, 0day вживую никто не видел. А может ну их нафиг эти антивирусы?
                                        SRP + Secunia PSI + AutoUpdate + не ставить не из официальных мест и безопасность будет такая же и без лишних ресурсов?

                                        Пока мне на это возразили что может приехать челоек из командировки с непропатченной вендой на ноуте и сразу после включения полезть в веб и словить свежак.
                                        • 0
                                          SRP можно обойти злонамеренно, при том достаточно тривиально. В случае отсутствия антивируса, зараза будет выполнена гарантированно.
                                          • 0
                                            В случае отсутствия антивируса, зараза будет выполнена гарантированно

                                            Вы не против, если я на эти слова буду ссылаться в спорах о безопасности ОСей семейства Windows?
                                            • +1
                                              Не против, если вы будете ссылаться не на кусок, а на фразу целиком:
                                              SRP можно обойти злонамеренно, при том достаточно тривиально. В случае отсутствия антивируса, зараза будет выполнена гарантированно.

                                              Вот только почему именно ОСей Windows? Что, в другой ОС, запуская вредоносный код, пусть даже из под обычного юзера он не нанесет деструктивных действий? Да точно так же прекрасно выполнится, саму ось не убьет, а до данных так же легко доберется. Собственно как и в винде.
                                              • 0
                                                Вот только почему именно ОСей Windows

                                                Обычно споры о безопасности всегда касаются только этих ОСей. В чем причина, не знаю )
                                                до данных так же легко доберется

                                                И удачи ему в этом )
                                                • 0
                                                  Я думаю, на настоящий момент причина в настройках по умолчанию, которые дают легко выполнять программы из неавторизованных источников + большая распространенность.
                                                  • 0
                                                    В этом, и еще в низкой компетенции и осведомленности пользователей.
                                            • 0
                                              Злонамеренно со стороны кого — узера или разработчика малвари (можете дать ссылку на способ обхода?)
                                              Можно ли воспользоваться чем-то кроме SRP для запрета запуска приложений из мест куда пользователь может писать (там же впроде в ACL есть право на исполнение)
                                              • –1
                                                Право на исполнение из ACL может быть легко изменено владельцем файла.
                                                • 0
                                                  Я так понял, заищаемся от ситуации запуска «Фактура.docx.exe» полученной по почте, а не от злонамеренного пользователя. Последний вполне может запустить афганский вирус на любой системе.
                                                • 0
                                                  Юзер может обойти SRP. Вумный вирь тоже. Ссылку не дам:
                                                  Скрытый текст
                                                  По дефолту все могут писать в %Windir%\temp
                                                  • 0
                                                    А если запретить выполнять из temp? И еще как заставить браузер и почтовый клиент записывать что-то в temp?
                                                    • 0
                                                      Если запретить выполнять из Temp, часть софта не заработает. Надо придется разбирать каждый случай отдельно.
                                                      • 0
                                                        1) теоретически для такого софта можно сделать шим, который будет подставлять другую папку вместо temp
                                                        2) Ок. опустим мы разрешаем запись в temp — как мне, как автору вируса добиться чтобы мой выполнимый файл записался в tmp.
                                                        • 0
                                                          Я щас еще раз прикинул… Как вирусу записаться в темп без помощи пользователя, сходу сказать не могу.
                                                        • 0
                                                          Я помню один видеокодировщик, который для каждой группы кадров генерировал уникальный EXE-шник и запускал его… пришлось антивирус отключить временно чтобы хоть нормально докодировалось.
                                                          • +2
                                                            Подозреваю, что такой кодировщик лучше выкинуть, благо их навалом.
                                                            • –1
                                                              В генерацию кода в памяти я еще поверю (популярный трюк) — но чтобы EXE-файл генерировать и запускать… Это было сделано точно не для ускорения.
                                                              • 0
                                                                Как раз для ускорения кодирования, адаптивный алгоритм какой-то, что-то было написано про оптимизацию на уровне инструкций под конкретный процессор и содержимое кадра… один запуск небольшого EXE на 2-3 секунды работы это не такой уж большой оверхед. Короче, этот кодировщик после первого использования и выкинул.
                                                                А! Там еще писалось что кодирование можно было распараллелить и выполнять на N хостах, видимо за счет этого и достигалось распараллеливание.
                                                  • 0
                                                    Я видел дважды.
                                                    • 0
                                                      А можно деталей — в прошлый раз, когда разбирали такой случай, оказалось что предполагаемый 0Day лечится патчем, выпущенным за полгода до заражения.

                                                      А еще был ли он в сигнатурах антивирусов?
                              • +1
                                Толково. Только как убедить «простых» пользователей, если даже АйТишники не все понимают необходимость подобных мер? (Вопрос риторический)
                                • 0
                                  Простых юзеров не надо убеждать. Надо обеспечить им комфортную и безопасную среду с минимумом «прав на ошибку». К примеру, из браузеров мы поддерживаем Хром, Оперу, Лису ну и ИЕ само собой. Кто чем хочет, тот тем и пользуется и указанные программы всегда актуальны.
                                  Ниже список производителей софта, который поддерживается у нас. Под каждым пунктом может быть несколько приложений, при этом временные затраты на обновление минимальны. А если софт есть в MSI, то вообще чуть ли не далее-далее-далее-готово.
                                  Скрытый текст
                                • 0
                                  15) Настроить KeePass на автоблокировку при сворачивании и смене пользователя
                                  • –7
                                    UAC генерирует слишком много шума и спотыканий. Задумка хорошая, но пока он не станет поинтеллектуальнее, работать с ним уж очень неудобно.
                                    • +7
                                      Лично у нас в работе пользователи иногда встречают запрос UAC только по двум случаям:
                                      1) от обновлялки хрома, она настырная, даже отключение службы гугл апдейт не помогает. Хотя, возможно они снова изменили название службы, надо будет проверить.
                                      2) юзер пытается залезть туда, куда не надо. Это абсолютно оправданное поведение UAC.
                                      • 0
                                        1) А вот это не работает?
                                        • 0
                                          Я знаком с тем, что конкретно у google есть встроенные механизмы обновления для корп. пользователей. Не использую по той простой причине, что создавать новую сущность только для обновления хрома смысла нет, тем более хром есть в msi из коробки
                                    • –2
                                      Здорово написано, но искренне обидно за такие нападки в адрес того_кого_нельзя_называть.
                                      Самые жесточайшие малвари, на которые попадал, были азиатские.
                                      Вы и сами упоминает шифровальщики и прочую дрянь.
                                      Кидать на фоне этого камни в «обожемой, браузер установился» — по меньшей мере не объективно.
                                      • +1
                                        Не понял о чем или ком вы говорите про «того_кого_нельзя_называть». А, Амиго, чтоль? Да фиг с ним. Я просто для примера привел, т.к. он упоминался в первоначальной статье. Яндекс.Браузер себя так же точно ведет, как и еще вагон такого софта. Мы В саппрт Яндекса даже писали, что, дайте же выбор, ставиться в %programFiles% и полноценно поддерживать в корп среде. Ответа не получили.
                                        Камни не кидаю, Амиго тут не при чем. Любой софт, который может встать «втихую» в %AppData% — это потенциалное зло. Дома — да пожалуйста, на работе — ни в коем случае.
                                        • 0
                                          Это вам не Яндексу нужно было писать а Дартаньянам из гугла решившим поговнокодить.
                                          • +1
                                            А что не так у гугла? Хром прекрасно разворачивается в корп. среде и имеет нативный msi
                                            • 0
                                              Так установка бинарников в AppData это их «изобретение» и «правильный» способ установки и обновления насаждаемый всем потомкам Хромиума. Может они и молодцы, что делают нормальный установщик для тех, кому надо, но какого чёрта не исправят этот дефект глобально?
                                              • –1
                                                Ну, их способ установки и обновления все же адекватнее того, что творит Java
                                                • 0
                                                  JRE так же находится в msi. Запускаете exe и в «темпе» ищете файл установки, для обеих x32 и x64. Ранее, вместе с msi был отдельный «data.cab». Надо было оба файла в LUP добавлять.
                                                  • 0
                                                    Я не про msi, а про их автообновлятор. Который, найдя обновление, сначала выдает запрос UAC, после чего, получив права админа, тихонько и незаметно появляется в трее с просьбой обновиться. Рядовой пользователь даже не понимает, что обновление он не запустил (как так, я же «Да» нажал!)

                                                    В итоге, свежая версия джавы на компе обычного пользователя становится чем-то из области фантастики. А ведь достаточно было поменять шаги местами…
                                          • 0
                                            Некрокомментарий, но важный. Яндекс сильно исправился. Сейчас поддерживаю его в своей среде наравне со всеми и даже рекомендую дома. browser.yandex.ru/corp
                                            Удобная штука. Очень! Генерится msi с нужными настройками и дополнениями. Особенно меня радует наличие русейвфромнет из коробки, т.к. специфика работы коллег требует возможности скачивания видео с ютубчиков и прочих вконтактиков.
                                        • 0
                                          надо просто чтобы софт был сам себе песочницей, чем то средним как в android, и mac os.
                                          Только реализовать не через всплывающие сообщения. *
                                          * — ставили мы как то для сестры программку одну на сотовый. Так программа имитирует внешний вид родного установщика. и примерно на 50% установки начинает спрашивать всякую ересь. И для пользователя выход то только 1 — упорно нажимать на далее, вот только загвоздка в том что на 4-ый запрос выскакивает настоящее системное сообщение о предоставлении полного доступа для этой проги. Исход в общем то очевиден — hard reset.
                                          • 0
                                            Есть много этих всяких «надо, было бы, чтобы...» Но имеем то, что имеем и решать задачу повышения безопасности Windows-среды надо сейчас.
                                          • +1
                                            по шагам выяснять, че ж очередной кривой заразе надо для нормальной работы.

                                            Насколько я знаю у MS есть тул для автоматической генерации шимов, прям в доку ткнуть не могу но где-то тут
                                            • 0
                                              Спасибо. Не был знаком с этим инструментом, посмотрю.
                                            • +1
                                              Далее, вы запрещаете запуск программ отовсюду, кроме %WinDir%, %ProgramFiles%, %ProgramFiles%(x86).
                                              Хм, мне теперь без отладки программы писать?..
                                              • 0
                                                Поясните свой вопрос.
                                                • +2
                                                  Я скомпилировал программу. Как мне ее запустить, если админ запретил запуск программ всюду, кроме %WinDir%, %ProgramFiles% и %ProgramFiles%(x86)?
                                                  • +2
                                                    Ответ прост — вы достаточно редкий случай в общей среде Windows-пользователей и подход должен быть соответствующий. Я не пытаюсь утрировать до фанатизма, везде есть исключения. В вашем случае, отладкой рекомендуется заниматься под отдельной учеткой, собственно об этом указано в статье, хоть и не применительно к разработчику.
                                                    • +3
                                                      Отладкой надо заниматься под той же учеткой, что и разработкой. Просто потому что Студия иначе не умеет. Разве что удаленную отладку на своем же компьютере настраивать… И far manager надо запускать под этой же учеткой, потому что его я использую либо при разработке, либо при отладке.

                                                      И еще куча программ попадает в ту же кучу — ведь кроме разработки и отладки я ничем и не занимаюсь. Так что мне под «обычной» учеткой запускать тогда? Браузер? Клиент к СУБД? В этом есть смысл, но как это сделать так, чтобы не набирать свой пароль каждые 10 минут?

                                                      Кстати, иногда мы пишем программы для использования аналитиками. Что делать с ними?
                                                      • +2
                                                        Повторюсь, везде есть нюансы, всех подводить под одну гребенку не надо. Но согласитесь, что ваш случай и аналогичные, при прочих равных исключение, а не правило. Если вам нужна Студия и far под админом — пожалуйста. Запустите под админом фар, из него студию, а так же любой необходимый софт, при этом пароль нужно ввести 1 раз, для far`а. А вот браузер как раз в обязательном порядке следует запускать с ограниченными правами.
                                                        • 0
                                                          А аналитикам надо тоже что-то компилировать?
                                                          • –1
                                                            Им надо запустить программу, которую для них сделали программисты. Значит, нужен либо простой и понятный способ выпуска таких программ, либо опять нужны права на запуск полученных по скайпу файлов или файлов с сетевого диска.
                                                            • +2
                                                              На выбор
                                                              1) Обратиться к администратору, чтобы он развертывал программы/организовал канал развертывания
                                                              2) Добавить ровно еще ровно одну папку куда можно писать программы и выполнять оттуда (тогда аналитик не заразится, случайно запустив «Фактура.doc.exe»)
                                                              3) [Не уверен что сработает] кажется в SRP было что-то про сертификаты — добавить свой в список доверенных
                                                              4) Если аналитики не склонны запускать «Фактура.doc.exe» сделать для них исключение, а полный запрет оставить только для секретарши и бабы Машы из бухгалтерии
                                                        • +2
                                                          У нас в компании 3000 человек таких редких случаев?
                                                          Что делать компаниям, в которых основная деятельность — разработка?

                                                          В общем статья неплохая, но упоминание про амиго в конце каждого абзаца — не очень…
                                                          • 0
                                                            В общей доле рабочих станций по всему миру, ваши 3000 человек одних разработчиков (вы видимо крупная компания), как и среди прочих таких компаний — действительно редкий случай.
                                                            Про амиго — стеб, «на его месте мог быть каждый». Да и мне самому надоело к середине.
                                                            • 0
                                                              Но речь идет не о рабочих станциях по всему миру, а о рабочих станциях, которые настраивает один конкретный админ. И для этого админа половина советов могут оказаться вредными — а вы их так безапелляционно высказываете.
                                                              • 0
                                                                Вы правы, добавил пункт «0)»
                                                            • +5
                                                              Мне кажется, если у вас админ исполняет не думая как скрипт содержание поста хабра, в любом случае у вас проблема :)
                                                          • 0
                                                            обычно для разработки есть своя виртуалка, которую хоть раз в день из образа на чистую разворачивай
                                                            • 0
                                                              И каждый день заново настраивать рабочее окружение?
                                                              • 0
                                                                А зачем? что мешает влить в образ все настройки, кроме паролей на сайты?
                                                                У меня так, например клонируются виртуальные машины — в образе зашито всё. 10 минут и садись, логинься, работай
                                                                • 0
                                                                  Затем, что необходимые настройки могут меняться два раза в день, потому что являются такой же частью разрабатываемого проекта, как и код.

                                                                  Затем, что доработкой окружения могут заниматься несколько человек одновременно — как вы будете сливать изменения, внесенные в образ?

                                                                  Скрипты не предлагайте — на начальной стадии проекта вполне может быть ситуация, когда никто из команды не умеет писать скрипты для настройки требуемого окружения.
                                                                  • 0
                                                                    Необоходимые настройки чего? Сервера? Сервера БД? IDE? Проекта? Репозитория?
                                                                    Git/csv/svn/mercurial для трёх последних, с отслеживаением изменений как необходимое средство контроля «что там вообще происходит».
                                                                    Впрочем, на /home/$user или c:\Users\$user тоже можно распространить что git, что сетевой/перемещаемый доменный профиль в зависимости от ОС, не вижу проблем.
                                                                    • 0
                                                                      Необходимые настройки СУБД, шарепоинта, сторонней службы для работы с MQ, самой шины MQ, Talend…

                                                                      Впрочем, это я уже увлекся. На компах разработчиков стоят только первые два пункта. Но не беспокойтесь, второго пункта хватит на полгода непрерывных настроек и доработок…
                                                                      • 0
                                                                        Вы, видимо свалили в кучу рабочую станцию где нет ничего лишнего и машину где это все разворачивается и тестируется. У меня это чётко разделённые роли и рабочую станцию, как и тестовое окружение из шаблона можно развернуть достаточно быстро, как и продакшен, в общем-то. Но да, развлечений с SP хватит не на один год.
                                                                        • 0
                                                                          Во-первых, кроме тестирования есть еще и отладка. В том числе и пошаговая отладка, которая требует монопольного и быстрого доступа к окружению — поэтому его все равно понадобится разворачивать на рабочей станции (либо в виртуалке на рабочей станции).

                                                                          Во-вторых, студия требует, чтобы при разработке решений под шарик сам шарик был установлен на том же самом компьютере.

                                                                          В-третьих, образ виртуалки с шариком между офисами по VPN передается всю ночь (днем его передавать нельзя, потому что это помешает работе). Вы все еще считаете, что обновление этого образа два раза в день — такая хорошая идея? :)
                                                                          • 0
                                                                            Я считаю, что у каждого инструмента есть свои плюсы и минусы, и у каждого разработчика или компании может быть своя инфраструктура, под которую этот инструмент подойдет или не подойдет.
                                                                            В вашем случае не подошло, но не значит, что другим он не экономит кучу усилий.
                                                                            И дело даже не в том, у кого рабочее окружение продумано лучше или хуже. Все мы в поисках.
                                                      • +3
                                                        Годный обзор на мой взгляд. Правда пара мелких неточностей есть :)

                                                        Пункт 1 — Windows 7 нельзя поставить на FAT/FAT32 раздел. Установщик вам не даст этого сделать и затребует NTFS.

                                                        Пункт 11 — Легко сказать, но трудно и дорого реализовать :) Включение аудита файловых серверов это только первый шаг. Парсинг событий вызовет взрывной рост лога и его частую ротацию, а их группировка займет у вас куда больше времени, и без стороннего софта с реалтаймом будет совсем все плохо.

                                                        Пункт 12 — Ну требовать что бы wifi был исключительно в dmz в современном мире это варварство. Просто разделяйте гостевые WiFi сети и корпоративные. Вторые должны работать по доменной авторизации и/или сертификатам.

                                                        Так же 8 пункт прокомментирую, поскольку логика автора не совсем полна. Обычно по требованию смены паролей делается акцент, мол если много пользователей с доступом через vpn и/или почтовый сервер доступен из вне и аутентификация на нем доменная то менять нужно относительно часто. Собственно по этой причине автор статьи не видит смысла менять пароли в своей инфраструктуре: vpn'щиков мало, почта на Яндексе имеет отдельную авторизацию и сдается мне что пользователи даже не знают паролей от своей почты. Но пароли меняются не только потому что, где то за периметром, есть злобные хакеры. Внутренние разборки и кулуарные игры могут иметь куда больший разрушающий эффект чем несанкционированный доступ от стороннего человека.

                                                        Если доступ к ресурсам завязан на доменной учётке и повсеместно используется SSO, то зная пароля коллеги, это позволяет творить от его имени страшные вещи. А пароль может утечь в силу очевидных и вполне часто встречающихся причин, когда пароль передают технарям для выполнения работ, коллегам для оперативного доступа к документам сохраненным на рабочем столе (потому что ты сорвался в садик к ребенку который там стукнулся об забор сильно, а отчет руководителю нужен прямо сейчас), передал пароль руководителю по тем же причинам, кто то мог подслушать пока пароль диктовали, либо поймать логику пароля, который у группы людей формируется на основе некоторого шаблона внутри коллектива, кто то кому то помог что-нить в базе учетной системы поправить, и т.д. и т.п.

                                                        Если пароль периодически не меняется принудительно, то вполне может быть ситуация когда, кто то накапливает пароли и в конфликтной ситуации использует потом это знание во вред организации.

                                                        Маленький дружелюбный коллектив, где все друг друга знают и совместно бухают на всех праздниках совершенно ничего не означает. Подлость некоторых людей не знает границ, когда они считают, что их незаслуженно обидели или ущемили их права.

                                                        Так что заставляйте менять пароль с периодичностью в 30-45 дней. Народ стал куда продвинутее чем 15 лет назад, и сейчас количество тикетов с забытым паролем ничтожно мало, по отношению к тому, что было в 200х годах.

                                                        И важен оперативный мониторинг неудачных попыток входа. Это позволяет взять на галочку некоторых сотрудников, а так же оперативно выявить ситуации, когда все становится плохо, как например было с kido.
                                                        • 0
                                                          Вы во всем правы, но я описал общие базовые рекомендации, которые могут быть максимально действенными. Причесывать можно бесконечно. Так же я старался не вводить неискушенных читателей в заблуждение и не перегружать не нужной до поры до времени информацией.

                                                          1) Поставить нельзя, использовать на разделах можно.
                                                          11) Виндовые файловые сервера действительно почти не реально отслеживать без сторонних средств, но я и не говорил обратного. Можно включить для начала аудит, а уж парсить когда понадится. Линуховую самбу — очень даже легко мониторить из коробки, по текстовым логам.
                                                          12) Полностью согласен, если есть необходимость. У нас ее просто нет, пусть все будет в DMZ.
                                                          8) По паролям вы во многом правы, но использование сложных паролей с постоянной сменой может принести и вред, из-за упомянутых стикеров. Дополню свой совет «никому не сообщайте свой пароль, при подозрении на компрометацию — меняйте.»
                                                          • +2
                                                            | из-за упомянутых стикеров
                                                            Массовые стикеры говорят лишь о том, что пароли меняются слишком часто. Единичные, что у человека недостаток понимания, т.е. не выполнен полноценно пункт 8.

                                                            Стикеры народ клеит, ровно до первого инцидента. Инцидент можно сэмулировать совместно с отделом безопасности. Это безопаснее и дешевле чем ждать, когда случится ахтунг. Это избавит руководство от необходимости рубить головы и не деморализует коллектив. А еще это ооочень эффективно, сарафанное радио усилит эффект.

                                                            Слышал от коллег историю о подкидывании шифратора. Потерь ноль, простоя ПК жертвы минимум, последующая бдительность в коллективе относительно непонятных писем просто занебесная. Когда письма ИТшники, да ИБшник шлют с «Внимание, опасность!» это все хихи, а когда Ольга Викторовна чуть не лишилась всех документов наработанных за годы на её компе, а в месте с ними и работы, не говоря уже про штрафы для организации за отсутствие отчетности в установленные сроки, то каждый успевает почувствовать холодок где то внутри.

                                                            Социальная инженерия ж.
                                                            • 0
                                                              Не даром я упомянул пункт про работу с пользователями, но не рассчитываю на их сознательность и тем более компетентность. Если что-то можно решить техническими средствами, то нужно обязательно так и решать. Если требуются организационные, то и действовать соответственно.
                                                              • +1
                                                                Ага. Особенно хорош совет, «о подкидывании шифратора» если есть головная организация или если утечет по почте, к партнерам или еще куда. Или просто найдется ответственный сотрудник и напишет в ФСБ. То-то там порадуются.
                                                                Да, к слову, с 90% вероятностью ваш «план проверки безопасности путем подкидывания» будет в уголовном деле основным отягчающим, доказывающим умысел. Кроме шуток.
                                                                • 0
                                                                  Наверное надо подкидывать псевдошифратор который работает строго в домене организации и шифрует по XOR 1 :) или вообще не шифрует а только пугает.

                                                                  Кстати, если рекомендации автора выполнить, его заблокирует SRP — то есть это должна быть тренировка для админов скорее :).
                                                                  • +2
                                                                    Да. И получить к «распространению» еще и «создание».
                                                                    Народ, будьте очень аккуратны в этой сфере. С точки зрения закона очень многие обыденные вещи выглядят совсем по другому. И это «по другому» с логикой и здравым смыслом ничего общего не имеют, поверьте.
                                                                    • 0
                                                                      Участие админов в данном тесте на позиции исследователей совсем не обязательно.
                                                                      Служба безопасности может это сделать и без их участия. Как следствие проверка не только адекватности пользователей, но так же и возможностей инфраструктуры по противостоянию актуальным видам атак, т.е. проверка как админы делают свою работу, и как ИТ начальники планируют и реализовывают ИТ инфраструктуру.
                                                                    • 0
                                                                      Самопал наказуем, это да.
                                                                      Я же говорю про пинтест с участием специалистов по информационной безопасности, и естественно с согласования руководства.
                                                                      Кастомный самосборный шифратор, который работает исключительно там, где должен работать.

                                                                      Ну уйдёт письмо к партнеру, а ему файл по ссылке из письма не доступен для скачивания,… и что? Повод надрать уши сотруднику, который отправил такое письмо не в мусорку, а куда то.

                                                                      Ну отправят в ФСБ/КГБ/АНБ/etc… ну придут. Ну спросят. А тут документально оформленный пинтест. И вне контролируемой среды шифратор не работает. И ущерба нет. Ииии?

                                                                      Поэтому все ваши страшилки про уголовщину, это элементарное отсутствие продуманного подхода к организации процесса.
                                                                      • +1
                                                                        Вы внимательно читали мои комментарии?
                                                                        Я ничего не писал о профессионалах, которые занимаются пентестами. А написал, что:
                                                                        1. Просто написать и подкинуть кому-то шифратор — уголовно наказуемое деяние
                                                                        2. Правильное оформление такого рода тестов — крайне не простая вещь, требующая очень специфических юридических познаний и обычной логикой и простым прочтением УК тут не обойтись. Не правильно составленная бумага, о проведении такого рода тестов, с точки зрения логики являющаяся доказательством тестов — с точки зрения закона может стать доказательством умысла. Простой пример — вы ошиблись в коде. ПоXORрили реальные данные. Ваш же начальник вас этой же бумагой и утопит, чтобы прикрыть жопу от акционеров, сдав Вас в ФСБ.
                                                                        3. Собственно — мой коммент — предостережение от самодеятельных экспериментов в этой области.
                                                                        • +4
                                                                          Следите за общей логикой моих рассуждений:

                                                                          1. До первых руководителей доводится необходимость пинтеста. Получается их согласование.
                                                                          2. Приказом создается рабочая группа для проведения пинтеста, где на каждую душу расписывается роль, все подписываются.
                                                                          3. Рабочая группа оформляет необходимую документацию.
                                                                          4. К какому нить фриварному легальному шифровальщику прикручивается обертка, которая заранее сгенерированным ключем шифрует файлы в приделах ПК. В обертке можно задать миллион правил, когда оно срабатывает, а когда нет, куда лезет, а куда нет.
                                                                          5. Недошифратор располагается на вебресурсе, доступ к которому есть только у сотрудников на которых производится тестирование. Хоть вплоть до индивидуальной одноразовой ссылки.
                                                                          6. Производится тестовое заражение. По результатам теста формируется документация подробно описывающая технологию заражения, риски.
                                                                          7. Высшее руководство по результатам тестирования согласовывает процедуру пинтеста.
                                                                          8. Пинтест производится, собираются результаты. Виновные наказываются, отличившиеся тоже.
                                                                          9. Доклад руководству, премия безопасникам, опыт сотрудникам.

                                                                          Внимание, Вам вопросы: Какое нафиг ФСБ? Какой нафиг начальник прикрывающий свою жопу бумажкой в которой он же и расписался? Какой ХОR, при заранее сгенерированном приватном ключе? Что за чушь вы порете?

                                                                          Внутри организации по согласованию первых руководителей можно удалить прям все, если они тебе приказ бумажкой дадут, ты выполнишь и никуда не денешься. Акционеры снашают исключительно первых руководителей.

                                                                          Недошифратор не является вредоносным ПО. Это внутренняя разработка компании с определенным функционалом, который реализуется только на сторого определенных ПК в этой компании. Причём тут ФСБ? =)
                                                                • 0
                                                                  Поддерживаю точку зрения насчет паролей. Надо менять.
                                                                  А проблема забывания и стикеров с паролями сейчас решается просто.
                                                                  Я просто требую забивать пароль в мобилу. При мне. И сразу отбираю листик. Всё. проблема решена.
                                                                  • 0
                                                                    Норм. При каждой ротации пароля у пользователей, обходите каждого и контролируете запись нового пароля в мобилу? =)
                                                                    А пароль может быть записан только на один листик? =)
                                                                    • 0
                                                                      Я уже давно привык к такой практике, ставится какой-нибудь стандартный пароль «123456», например, и галочка «Сменить пароль при следующем входе в систему». Если пользователь забыл пароль, алгоритм выше.
                                                                      • 0
                                                                        т.е. требования к сложности пароля вы к пользователям не предъявляете?
                                                                        • 0
                                                                          Вы так говорите, как будто это политиками не задается.
                                                                          • 0
                                                                            Да в том, то и дело, что задается требование к стойкости пароля по умолчанию. А ваш стандартный пароль под эти требования не подходит. Т.е. у вас требования к стойкости отключены.
                                                                            • 0
                                                                              Ну выдам на бумажке какой-нибудь «12345Qw%», какая разница?
                                                                              • 0
                                                                                Разница. Разница в стойкости. Sergey-S-Kovalev об этом и пишет. При политике сложных паролей вы не сможете назначить «123456». Выдавайте всем при вступлении в должность как раз «12345Qw%»
                                                                      • –2
                                                                        Есть отличное хардварное решение. Пароль меняется ежеминутно. Его кража через минуту уже не даст ничего. И на листиках хранить бессмысленно.
                                                                        Просто нужно с собой носить брелок с SecurID
                                                                        https://ru.wikipedia.org/wiki/SecurID.
                                                                        • 0
                                                                          Как будто SecurID украсть нельзя… Или вообще положить на системник сверху и так оставить.
                                                                          • 0
                                                                            Так вроде в этих брелках кроме всего прочего надо пин-код вводить.
                                                                            • 0
                                                                              Если крадут само устройство, звонишь и блокируешь аккаунт. Но ты при этом точно знаешь что у тебя украли доступ, и действуешь соответственно. Если же украли пароль, им могут пользоваться годами, а ты ничего и не узнаешь.

                                                                              Пин-код вводить не надо, но в принципе тоже можно замутить устройство с дополнительным кодом, чтобы дать время обнаружить что украли.

                                                                              Насчет положить на системник — это позволяет злоумышленнику не подсмотреть пароль и уйти, а пользоваться здесь и сейчас, потому что через минуту, этот пароль уже будет неактуален. То есть нельзя подсмотреть, поехать к себе домой и злоупотребить — нужно чтобы устройство было в доступности в момент ввода пароля.
                                                                      • –2
                                                                        В принципе все правильно, но складывается впечатление, что автор работает в какой-то «стирильной» организации, где кроме 1С ничего нет. Да даже в этом случае, кто и как обновляет прикладное программное обеспечение. Вот ни за что не поверю, что у вас годами не обновляются шаблоны отчетов, запросов и т.д. Если автор не в курсе, то основной вредоносный код содержится не в экзешнике, а в скромненьком файлике (файликах), например, template1.dat, а экзешник всего-лишь создает процесс, загружает дат-файл в память, а потом передает управление скрытому коду (ну это так упрощенно). В таких случаях разницы между Windows 98 и 7 нет никакой, как и нет никакого смысла в ваших способах защиты — криптолокер словите за милую душу. Кстати, семерка тоже считается уже устаревшей с точки зрения безопасности. А вот про работу с пользователями — в самую точку. Я бы поставил это первым пунктом. Остальные пункты также важны, но важнее всего понимание угроз, которые на данный момент актуальны, а для этого нужно быть не только сисадмином, а еще и безопасником. Это отдельная специальность от системного администрирования, на которой в нашей стране экономят.
                                                                        • 0
                                                                          >>>Если автор не в курсе, то основной вредоносный код содержится не в экзешнике, а в скромненьком файлике (файликах), например, template1.dat,

                                                                          Это вообще про что? Не могли бы развернуть сценарий атаки? Как код из template1.dat получает управление?
                                                                          • +1
                                                                            Прошу прощение, что неясно выразился. Не хотелось бы опускаться до конкретных примеров, потому как их придется долго описывать, объяснять «в чем тут прикол». В чем состоит уязвимость ПО? В том что разработчики не предусмотрели какую-то нестандартную ситуацию, при которой, например, (подчеркиваю, вариантов масса) приложение начинает выполнять код, находящийся в документе (запросе, по определенному адресу в памяти и т.д.). Мысль, которую я хотел выразить, состоит в том, что трояны — это необязательно экзешники, запускаемые из пользовательской папки.
                                                                            Ну для убедительности, как пример, сценарий атаки: бухгалтеру приходит вызов в суд в виде pdf-файла, он (бухгалтер, даже если это она) открывает этот файл. Создается новый процесс, который инициируется adobe reader, в котором есть уязвимость, позволяющая выполнить участок бинарного кода после определенной инструкции в документе pdf (еще раз повторю — это пример).
                                                                            Каким средством вы собираетесь избежать этой угрозы?
                                                                            • 0
                                                                              Каким средством вы собираетесь избежать этой угрозы?

                                                                              Вероятно, регулярным обновлением этого самого Adobe Reader. Ну и EMET еще может помочь от 0day.
                                                                              • 0
                                                                                Вы опять правы, но не совсем. Во-первых, надо понимать, что весь интернет, включая почту, является потенциально опасным. Точно также как при покупке автомобиля, надо осознавать, что он потенциально опасен, и в первую очередь для вас. Исходя из этого утверждения, обязательно надо объяснить всем пользователям почты, что «не все йогурты одинаково полезны». И первое, что должен сделать пользователь, работая с почтой, включить голову. Задайте вопрос бухгалтеру: «Может ли по электронной почте придти повестка в суд?». В 99,9% случаев это попадалово! А остальные 0,1% дурацкая шутка. Второй инструмент это «песочница». Как это сделать — это отдельная тема, но выводы из этого словоблудия совсем другие:
                                                                                1. первым (после сисадмина или безопасника) должен понять всю опасность ситуации руководитель организации;
                                                                                2. пользователи должны понимать всю опасность своей работы (можно и это поставить на первое место);
                                                                                3. на компьютере пользователя должны стоять только те программы, которые ему нужны (ну плюсом еще которые необходимы для обеспечения администрирования, безопасности и т.д.);
                                                                                4. если может произойти какая-то гадость, то почему вы к этому не готовы? Например, обновление — зер гут, автообновление — зер шлехт;
                                                                                5. и только вот тут будут какие-то технические средства.
                                                                                • 0
                                                                                  Я не понимаю что вы хотите донести. Вы считаете, что описанные в статье меры не действенны?
                                                                                  • 0
                                                                                    Если в результате регулярного использования презерватива ваша подруга залетела есть много объяснений этому, например, с кем-то она занимается сексом без презерватива. Значит ли это что вы зря использовали презерватив? Нет не зря, но подруга все равно залетела.