Перейти к содержимому

Фотография

Безопасность Windows Систем


  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1
Оффлайн   grek

grek
  • Posts:
    26
  • Member Number:
    547
  • Регистрация:
    30-Апрель 16
  • Reputation:
    0

Сегодня я хочу рассказать вам о костыльном способе организации безопасности windows в корпоративной среде и поделиться парочкой своих наблюдений. "Зеленым" этот пост вряд ли будет интересен, потому что здесь не будет какой-то глубокой проработки методик атаки и защиты, а будут банальные рекомендации + способ реализации. Банальные рекомендации, которые должен усвоить сисадмин с молоком матери: 1)используйте сложные пароли, используйте разные пароли. 2)Всегда делайте бекапы и храните их отдельно. Отдельно, в другом здании, в другом городе, в другой стране. Чем дальше, тем выше шанс, их сохранить. Вы можете разнести их в разные комнаты, досконально продумать и оптимизировать систему бекапа, но вам только посочувствуют, когда их уничтожит пожар. Не верь никому. Все знают, что нельзя пользователей делать локальными администраторами. Тем не менее иногда это приходится делать и упаси боже, если администратор зайдет по удаленке к этому компьютеру или просто локально залогинится. Дело тут вот в чем: 1) Винда хранит пароли последних сессий в файлике и, если этот файлик достать, можно будет узнать пароль, залогиненого юзера. 2) Винда хранит пароли в оперативной памяти, в СЮРПРИЗ незашифрованном виде. Это все дело можно вытащить с помощью отличной утилиты mimikatz. К счастью, есть один способ относительно безопасного управления таким компьютером: DameWare - утилита для удаленного управления помогает авторизоваться по доменной учетной записи, не насрав при этом в память пролями. Существует несколько радикальный способ обойти доменные и антивирусные проблемы: Была у меня одна организация, в которой все было организовано приблизительно следующим образом: Был базовый образ с виндой, он разливался на все компьютеры компании. Компьютеров было очень много и разных, в том числе поэтому, они не были в домене. Для централизованного управления, была самописная утилита, которая автоматически выполняла необходимые действия на всех компьютерах, с несколько расширенными возможностями. Впрочем, управлять компьютерами приходилось редко, и вот почему: Думаю ни для кого, особенно в нашей стране, не удивительно, что зачастую старое оборудование начинают использовать в качестве тонких клиентов. Замечательность этого подхода базируется на том, что локальные компьютеры вам нафиг не нужны(в большинстве). И вы можете защитить их замечательной утилитой shadow defender. Суть такая, что оно фиксирует все изменения на жестком диске компьютера и откатывает их при следующей загрузке. Этот день сурка позволяет избежать большого количества неприятных ситуаций, а нормальная антивирусная защита, с нормально настроенным фаерволом, позволит избежать неприятных ситуаций на терминальном сервере. Касательно корпоративной безопасности и безопасности видноус вообще, очень хочу поделиться своими мыслями: Teamwiever. В некотором смысле опасная штука. С недавнего времени, туда запилили поиск ближайших контактов и устройств. Т.к. обычно тимвьюивер стоит именно на компьютере администратора, а самым сладким для злоумышленника является компрометация компьютера админа\сетевого админа, следуюет всегда руками вводить пароль при подключении. Вас могут скомпрометириовать через имейл или похожим образом. Злоумышленник так же может получить точное количество компьютеров с тимвьювером в сети, благодаря этой функции. Безумно интересно, кстати, зачем ее запилили. Мне кажется, для определения коммерчское ли использование у вас и, если коммерческое, поиметь с вас деньжат, но это мои умозаключения, мало имеющие отношение к реальности. HTTPS. Если вы зашли на какой-то сайт и подконнектились по HTTPS, не спешите радоваться. Во-первых, обращайте внимание на желтый треугольник рядом с адресом сайта, существует риск просроченного сертификата, конечно. Но не исключено, что вам действительно подменили сертификат, серьезно,даже керио умеет это делать без проблем. HTTPS НЕ шифрует весь траффик, если вы зашли на сайт и на нем находятся девочки анимешки с другого сайта, то вас без проблем могут спалить за просмотром девочек анимешек, тоже касается каких-то фреймов, вы понимаете о чем я. VPN. Не каждый впн такой уж впн. Обращайте внимание на то, шифруется ли ваше соединение, хотя если вы знаете по какой причине вам понадобилось его шифровать, то скорее всего вам не стоит объяснять этот пункт и рассказывать чем отличается GRE от IPSEC. Тем не менее, стоит быть осторжнее с его повсеместным примением. Если вы открыли админку на IP адрес вашего впн, то любой кто купит его сможет долбиться на ваш сервер, при определенных условиях, возможно получить контроль над вашим сервером, вы понимаете. WI-FI. Если вы используете, эту замечаительную технологию, не забывайте отключать SSID, отключать доступ до важных элементов сети через вафлю, и обязательно отключайте WPS. Помните, что опытныму нарушителю будет смешно смотреть на ваши, "скрытые сети", "фильтрации по мак", "пароль". Если вы поставили вайфай, то вы поставили хрупкую деревянную дверку, которую может открыть верзила с тпором(БРУТ ключа) и домушник отверткой со скрекой(wps, sniff). По этой причине используйте длинные пароли, символов 12 и лучше, если не будут автоматически сгенерированы. Теоретически, можно перехватить так называемое "рукопожатие", когда пароль передается в открытом или хешированном виде и тогда вас уже не спасет ничего. Ничего кроме запрета рандомным клиентам wi-fi на доступ ко ключевым корпоративным ресурсам. БАНК. Если вы хотите использовать какой-то ПК под банк клиент или работу с банками вообще то вы не должны брезговать типичными правилами: 1)Не использовать этот ПК для любых других целей не связанных с банками. 2)Не забывайте указывать свой IP адрес как единственный, с которого может осуществляться взаимодействие, используйте рутокены. 3)Для очень многих задач, на самом деле, существуют узкие утилиты, например, у kaspersky`ого есть возможность безопасных платежей. Советую смотреть в эту сторону. В обычной ситуации с ненаправленной атакой, мне кажется, хватит касперского в качестве антивруса, серьезно, не стоит его недооценивать. Хотя переоценивать тоже не стоит, поэтому я бы иногда поглядывал на сетевой траффик с этого ПК, основная опасность это утечка информации и удаленный контроль. Ну и заблокировал бы все, что не нужно, даже с помощью виндового фаерволла, и четко бы знал, что если заблокированный траффик появился в сети, то стоит обратить на него внимание. Огорчающий факт: компьютеры, которые мне встерчались и работаюли с банками,были самыми менее защищенными, в них открыто все что можно, лиж бы все работало. Я верю, где-то это организовано не так, но таких я пока не встречал, а хотел бы. И да, мой первый пост. ----------------------------------------------------------------------------------------------------------- Господа, я решил немножко добавить про сети, тема топика windows, но я буду рассказывать только про access уровень(уровень доступа), так что всё честно. Расскажу про несколько атак и как от них защититься. Самая главная атака, которую пробуют всегда и везде и, если я правильно понимаю, с которой начинают: Arp-spoofing. Эта атака разновидность Man In The Middle. Использует недостаток arp протокола, про него можно прочитать в Вики. Недостаток заключается в том, что не существует никаких проверок реальности ARP ответов, более того, если внезапно на устройство приходит arp ответ, то arp таблица будет обновлена. От атаки можно защититься более подробно здесь. Если вы читали сети для самых маленьких, и знаете как работает свитч, это хорошо. Дело в том, что свитч в памяти хранит mac адреса которые висят на интерфейсах. Если пакет на неизвестный мак, то свитч отправляет его на все порты, запоминает его и затем пользуется только этим портом для мака из памяти. Если зафлудить свитч, то он будет работать как хаб, т.е. каждый новый пакет будет уходить на все порты. Таким способом можно слушать пакеты, которые вам не предназначены, не перехватывая их. Данная атака пресекается ограничением маков на один порт. CDP. Однажды я на собеседовании пытался объяснить человеку, что cdp нужно отключать, если его использование не планируется. Этот человек только посмеялся надо мной и, наверное, оставил cdp включенным везде, в том числе на внешку. Не очень понимаю почему некоторые люди не стисняются показывать оборудование, которое они используют. На работу меня так и не взяли, оно и к лучшему. Проблема же заключается не только в том, что мы показывает оборудование и даем возможность подготовить атаку на конкретно нашу версию IOS(кстати, руководства по безопасности требуют отключения по этой же причине). Пакеты, которые приходят с CDP устройство обрабатывает своими самыми умными мозгами, поэтому флуд может привести к отказу на обслуживание. DTP. на старых коммутаторах по умолчанию включен DTP. Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию. Эта штука позволяет перевести Acess порт в Trunk, таким образом можно добраться до Vlan`ов, которые вам совершенно не предназначены и мутить там свои темные делишки.





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных