СофТы: закрываем уязвимости ИТ-инфраструктуры от современных атак (типа Petya - pth/ptt)
Итак, после теоретической статьи о том, что нужно сделать, чтобы обеспечить приемлемую защиту от современных атак типа Pass-the-Hash/Pass-the-ticket вообще - - смотрите видео, что действительно надо сделать, чтобы защищаться от будущих Petya.P и прочих подобных вирусов (даже если вам их заинжектили на отдельные ПК/серверы с помощью обновления).
Еще раз напомню, что минимально для современной защиты требуется:
* "бронирование" серверов (и особенно - контроллеров домена). Это не проблема, поскольку существует Microsoft Security Compliance Manager с его готовыми шаблонами безопасности - и (шаблоны для Windows Server 2016/Windows 10). Шаблоны для контроллера домена в том числе - бронируют и работу NTLMv2, тем самым выполняя для вас часть работы по предотвращению атак Pass-the-Hash/Pass-the-Ticket
* обязательное следование инструкциям по защите от pth/ptt, которые представлены в виде большого и умного pdf (все 80 страниц надо прочитать) на странице
* там же, на описано о недопустимости использования учетных записей администраторов домена на рабочих места и блокировку через политики таких возможностей. Подробно о защите привилегированных учетных записей - отдельная большая и важная статья на .
* про сеть и то, с какой легкостью распространялся вирус по сетям без правильной настройки firewall и прав удаленного доступа на клиентах. Про это - подробно читайте в данном посте - - в начале статьи - 3 простых команды, которые спасли бы вашу сеть от стремительного распространения Petya и прочих атак, перехватывающих админов "на местах":
netsh firewall set service fileandprint disable
netsh firewall set service RemoteAdmin disable
FOR /F “usebackq tokens=2 delims=:” %a IN (`sc.exe sdshow scmanager`) DO sc.exe sdset scmanager D:(D;;0x00040002;;;NU)%a
* плюс - про саму уязвимость в SMBv1 - с помощью которой в том числе и распространялись в сети вирусы типа WannaCry и Petya - отлючение различных версий SMB описано в статье - - которая и была использована для политик в демонстрационном домене.
* и немного видео по теме pth/ptt атак и защите в том числе облачных инфраструктур -
Итак, вирус, пусть и после моих экспериментов с запуском - таки заработал на одной из машин домена, где были и учетные записи админа десктопов (хелпдеска), и юзер с правами админа ;) И если виртуальный диск машины вирус сожрал полностью - я так понимаю, про работу с UEFI Petya ничего не знает, то остальные машины в домене благодаря простым принятым мерам - оказались "не по зубам" Petya.
Выводы?! как и в предыдущей - первой статье - - вся эта вирусная атака не более чем тотальный факап руководителей IT подразделений, не принявших даже самых простых мер для защиты своих сетей, и, конечно же, как говорилось ранее - самый крупный факап Microsoft Украина, который палец о палец не ударил, чтобы распространить столь простую инструкцию по защите от подобных атак даже после атаки WannaCry в мае 2017.
Как тут не согласиться с Ильей Кенигштей с его высказыванием "В Украине почти с любым западным сервисом случается уникальный культурный феномен - попадая в наши реалии, он быстро превращается в говно."
Это и факап украинской потешной "киберполиции" в том числе - которая рассылала и продолжает рассылать какие-то совершенно бестолковые рекомендации, а изъятие серверов MEDoc - называет громко "предотвращением новой атаки"...
Кстати, Microsoft Украина и через неделю не "разродился" адекватным техническим ответом по поводу атак... Нет специалистов?! Идут еще большие сокращения?
Однозначно, место проклято...
И да, за прошедшую неделю могу сказать, что все обратившиеся за помощью украинские компании снова нашли расценки в 75евро/час - очень высокими и они "не будут столько платить за воздух [консалтинг]"...
Так что вангую - ничего не поменяется - залижут раны, уволят админов (которые ни в чем не виноваты), накупят железа и распилят бабло... До следующей атаки... А тогда расценки будем ставить по 100евро/час ;)
Защита ИТ-инфраструктуры от Petya ►►► | Вирус Петя - факап украинских CIO и Microsoft ►►► | Про ИТ-карьеру - как стать ИТ-профессионалом ►►► | Про ИТ-эмиграцию ►►► | Как получить ВНЖ в ЕС ►►► | Подписаться на канал ►►► | Загляните на мой блог ►►►