关于力量,尼采应该有一个破旧的报价,但是我们没有写。
有一天,任何系统管理员都可能遇到这种情况-他早上上班,检查基础结构,发现在文件服务器上有一个存档和一个文本文件,需要赎金,而不是用户数据。该怎么办,如何生活以及如何预防复发,我们了解本文。
考虑在Windows PC上建立的公司的基础结构发生的情况。因此,我们的英雄在早上发现,文件data.zip和readme.txt而不是用户文件。存档受密码保护,教科书有一个标准要求,将一笔数额可观的款项转入比特币钱包,将转账确认发送至指定的邮件,并接收密码作为回应。当我们的祖先遗赠给我们时,他们没有与恐怖分子进行谈判,但是时间过去了,必须恢复数据。
当情况发生时,任务池启动:
- 恢复数据
- 设定骇客入侵路线
- 防止复发
借助数据恢复,一切都很简单-晚上复制就是我们的一切。以防万一,我们经历了恢复已删除文件的实用程序,但徒劳的是,Eraser显然可以在磁盘上工作。因此,我们准备推出备份副本,然后继续进行有关建立黑客入侵路径的工作。
我们首先检查“证据”。文件的创建日期与创建者(本地管理员)大致相同,仅此而已。让我们进入操作系统。除了管理员外,用户还有一个具有管理权限的不可理解的Kelly用户。已经更有趣了!我们进一步看。更改的网络设置-Google地址指定为DNS。这一切都很好,但是文件服务器没有直接的Internet连接,因此尚不清楚攻击者是如何获得它的。是的,您可以通过RDP到达服务器,但是该RDP并不向外看。我们正在进一步寻找。
该公司有一个用于远程工作的员工的终端服务器。我们检查一下。安全日志中有很多暴力破解登录,但仅此而已。系统中没有不必要的用户,设置没有更改,一切都很干净。
由于我们在谈论远程员工,因此我们列出了此类员工的名单,并了解他们的工作场所是如何设置的。他们中的一些人在已经检查过的终端服务器上工作,而另一些人在他们的PC上工作。在这里找到了入口点。一位设计师的PC上有一个具有管理权限的本地用户Kelly,他的下载文件夹中是WinRar分发工具包,使用该工具包可以存储数据,并且有一个用于擦除的橡皮擦。好的,我们找到了要点,但是您如何上车以及如何上文件服务器?
对设计者机器的详细检查显示,远程访问设置中未启用网络级身份验证,此外,很长时间未在操作系统上安装更新。因此,据推测,攻击媒介如下:扫描RDP访问所挂起的端口,并在用户验证级别研究漏洞。然后,使用系统中的漏洞,执行启动用户Kelly的代码并登录到PC。之后,将存档器扔到PC上,即橡皮擦-这取决于研究基础架构并执行恶意操作。在此值得注意的是,在这种特殊情况下,公司的成本很低-员工进来只是为了从备份副本还原文件,仅此而已。好吧,管理员当然属于疏忽大意了。但是攻击者可以走的更远-带有数据的数据库或文档无法加密,但是无法访问。最后,备份本身-最好不要备份。
现在最重要的是如何不成为这篇文章的英雄。实际上,这里的一切都很简单:主要是保持警惕。根据清单检查自己:
- 所有操作系统都具有所有最新更新
- 控制进入基础架构的所有入口点
- 不要使用简单的密码
- 对于密码身份验证,部署策略以仅使用安全密码
- 如果可能,通过证书扩展登录
- 尽可能重命名管理帐户
- 使用最小特权原则
- 内部防火墙
- 企业杀毒软件
- 离线数据复制
- 监控对周围环境的关注并做出反应
这些建议是什么意思。
对操作系统的更新不仅增加了功能,而且还关闭了可能被攻击者利用的漏洞。重要的是要理解,您不仅应该更新操作系统,还应该更新工作场所中使用的所有软件。
通过控制到外部的出口,我们意味着您始终需要了解谁,出于什么原因以及如何从内部进入公司的网络。当RDP在标准端口上伸出会计人员的机器时,应该没有任何情况。
撰写了成千上万的有关使用安全密码的文章,帖子和说明。但是人们分为密码被窃取的人和将密码更改为更安全的人。再说一遍-长度从8个字符开始,必须使用大小写字母,数字和特殊字符。理想情况下,使用网络中有很多生成器,并且内置在最近的密码管理器中。
并且由于我们在谈论安全密码,因此该策略不应是建议性的,而应是强制性的。 Active Directory组策略使脚本可以强制用户按指定的时间间隔更改密码。另外,为最小密码长度和所使用的密码数量设置了策略,以便用户不使用两个策略安全的密码,只需在密码过时就对其进行更改。
强密码当然是好的,但是更好-证书访问。是的,部署起来比较困难,在某些地方也不方便,但是很安全。仔细考虑一下,也许实施PKI基础结构的成本将比恢复因黑客攻击而丢失的数据的成本低。
重命名管理记录有助于防止对诸如Administrator,Admin,Administrator和Admin之类的帐户的字典攻击,这些攻击默认情况下出现在系统上,并且很少被阻止。将管理帐户重命名为随机的字母和数字集可以防止此类攻击。当然,此步骤将需要引入(如果不是全局密码管理器的话)至少一个密码注册表。
最小特权原则教会我们不要授予不必要的权限来执行分配的任务。例如,一种从临时文件中清除用户配置文件的服务实际上不需要对文件服务器的管理权限;它仅需要删除配置文件存储中文件的权限。此外,它是用于移除。您也不需要更改文件的权限。这可以使您避免在两个服务帐户的凭据都遭到泄露的情况下出现的问题,并且通常可以减少对基础结构的攻击。
最小特权原则也适用于用户计算机和服务器上已激活的防火墙的存在。我们只保留必要的内容,然后关闭或禁止其他内容。如果可能,我们不响应传入的连接。您的座右铭就是什么。
使用防病毒软件。是的,用户和系统管理员总是抱怨防病毒干扰了他们的工作,降低了性能,这是对公司资金和计算机计算能力的额外浪费。但是缺少防病毒功能迟早会发挥作用,有一天,用户会从信件中启动文件,并且解密文件的费用将比使用防病毒软件的企业许可证高得多。
上面提到,最好不要自己备份。您应该始终拥有从基础架构中取出的副本,并且对此类副本的访问应尽可能地受限制。保持此类副本的最新状态很昂贵,但是即使季度丢失的文件,用户也会满意而不是丢失全部数据。
最后,阅读访问日志-它们包含很多有趣的东西。实施成熟的入侵防御系统非常昂贵,但是您可以自己动手做很多事情。分析端口扫描或凭据暴力破解所来自的地址。定期检查用户的机器和服务器是否存在恶意软件。
当然,即使完全遵守这些建议也不会为您提供100%的黑客保证,但至少它们会降低风险百分比。并且不要忘记培训您的员工,因为即使最安全的系统也无法防御,完全不了解某些操作的后果。如果员工以网络钓鱼形式输入其帐户,那么无论系统多么安全,员工都已经受到威胁。如果访问来自受感染的计算机,则您自己会将恶意软件启动到网络中。始终要小心,忽视安全不仅会严重损害员工,还会损害整个公司。
现在介绍一下为什么在这种情况下不这样做。在这里,一切也很简单,就像TM铅笔一样-设计师的工作场所是使用盗版组件进行部署的。请不要犯这种致命的错误。首先,这是非法的,其次,当您清理这种疏忽对IT基础架构造成的后果时,会浪费更多的资源。照顾好自己和您的数据。如果您要在清单或一般情况下添加一些内容,则欢迎在评论中提出。
广告
我们公司提供带有免费DDoS保护的安全服务器。能够在具有2 GB或更高RAM的计划中使用许可的Windows Server,能够自动创建或一键创建服务器备份。
我们使用Intel的极快服务器驱动器,并且不节省硬件-仅使用品牌设备以及俄罗斯和欧盟的一些最佳数据中心。赶快检查一下。
