Сообщений в теме: 98

[127.0.0.1]

Актуальная тема, плохо конечно, что вопрос информационной безопасности у нас в Казахстане так развит. Мне в будущем тоже придется такой вопрос решать, потому что открываем компанию с нуля. Много ли у нас компаний которые занимаются серьезной корпоративной безопасностью? Казнет не очень много говорит..

Какой спрос, такое и предложение. Серьезные предложения наши конторы рассматривать не хотят - не доросли еще. И среди компаний, предлагающих услуги - аналогичная тенденция - нЕдоросли какие-то...

[out]

Как вариант, можно отключить в диспетчере устройств USB-контроллеры, вручную или скриптом. А потом в гпо запретить запуск диспетчера устройств (Локальный компьютер - Конфигурация пользователя - Административные шаблоны - Компоненты Windows - Консоль управления Microsoft - Оснастки расширений), а лучше всего вообще отключить запуск всех сколь-нибудь значимых апплетов панели управления.

Как вариант - открываем крышку - перемычка биоса - грузимся с флешки - всем известная прога сбрасывает пароль с учетки с правами локального админа - вход локально - устанавливаем бяку - закрываем крышку.

Админ спит - служба идет

PS запрет локального входа - тоже обходится элементарно

Твои действия, если физического доступа к кейсу нет (терминал), или кейс опечатан/опломбирован или находится под замком, а комната, в которой кейс - под видеонаблюдением, а сервер видеонаблюдения - в недоступном/неизвестном месте? Правильно, твои действия - отдыхать.

Твои действия, если помимо ГПО дополнительно установлено п/о, регламентирующее работу с USB-накопителями, при этом данное п/о не поддаётся выгрузке (висит как драйвер/служба), и не поддаётся изменению/блокировке настроек (закрыто паролем)? И все твои действия в real-time заносятся в системный локальный/сетевой журнал (по-русски: моментально доступны лицу, ведущему мониторинг), т.к. данное п/о с функцией оповещения, а на сервере имеется программа мониторинга доступа компов (т.е. если комп выпадет из сети - в трёх-пяти секунд об этом оповещаются все лица, которые должны об этом знать). Т.е. все твои ухищрения, разумеется, рано или поздно вскроются. Получается, что твои действия - опять отдыхать.

У меня так:
1. internet/e-mail фильтруются (письма с запароленными файлами удаляются, а отправитель/адресат письма такого письма заносится в определённый список - под пристальное наблюдение в течение месяца за поведением).
2. Вся входящая/исходящая почта копируется и архивируется, после - автоматом каталогизируется (по признаку дата/отправитель/получатель/тема) и хранится в течение 10 лет.
3. Все распечатанные документы в фоновом режиме архивируются на доступное только Enterprise Administrators место.
4. Запрещены все устройства USB, кроме принтеров/сканеров (оные без карт-ридеров и USB-портов).
5. Все пользователи строго с правами пользователей, любые попытки успешного/неуспешного логона, включая администраторские, - журналируются и на поиск внештатки уходит максимум 10 минут раз в месяц (если нужно быстрее - тупо предварительно проиндексировать и поискать по "ctrl+f" и номеру нужного события).
6. Все кейсы опечатаны, и закрыты замками (плюс замок Кенсингтона, чтобы кейс не утащили вне поля зрения камер). Но это лишнее, т.к. при отключении от локальной сети на компах IT-персонала начинается "паника" соответствующего п/о, которое настроено на отслеживание, т.е. такой номер с кейсом не пройдёт.
7. Все комнаты под видеонаблюдением.
8. Сотрудник связан договором/контрактом - т.е. он предупреждён, что с ним будет, если он начнёт шалить и/или что-либо менять.


Ну, теперь покажите мне человека, который в здравом уме попытается "восстать против системы"? На фиг это никому не нужно. Кто попытался - уже уволен, остальные предупреждены, а фото героев с описанием подвигов и их контактами висит на первой страничке локального (внутрисетевого корпоративного) форума. И всё. Ничего сложного. Немного времени на проектирование, немного (по сравнению со стоимостью инфы) денег на внедрение, и немного ума на настройку, мониторинг и чтение отчётов. Всё.

Сообщение отредактировал out: 18.01.2010, 12:50:46

[127.0.0.1]

Твои действия, если физического доступа к кейсу нет (терминал), или кейс опечатан/опломбирован или находится под замком, а комната, в которой кейс - под видеонаблюдением, а сервер видеонаблюдения - в недоступном/неизвестном месте? Правильно, твои действия - отдыхать.

Твои действия, если помимо ГПО дополнительно установлено п/о, регламентирующее работу с USB-накопителями, при этом данное п/о не поддаётся выгрузке (висит как драйвер/служба), и не поддаётся изменению/блокировке настроек (закрыто паролем)? И все твои действия в real-time заносятся в системный локальный/сетевой журнал (по-русски: моментально доступны лицу, ведущему мониторинг), т.к. данное п/о с функцией оповещения, а на сервере имеется программа мониторинга доступа компов (т.е. если комп выпадет из сети - в трёх-пяти секунд об этом оповещаются все лица, которые должны об этом знать). Т.е. все твои ухищрения, разумеется, рано или поздно вскроются. Получается, что твои действия - опять отдыхать.

У меня так:
1. internet/e-mail фильтруются (письма с запароленными файлами удаляются, а отправитель/адресат письма такого письма заносится в определённый список - под пристальное наблюдение в течение месяца за поведением).
2. Вся входящая/исходящая почта копируется и архивируется, после - автоматом каталогизируется (по признаку дата/отправитель/получатель/тема) и хранится в течение 10 лет.
3. Все распечатанные документы в фоновом режиме архивируются на доступное только Enterprise Administrators место.
4. Запрещены все устройства USB, кроме принтеров/сканеров (оные без карт-ридеров и USB-портов).
5. Все пользователи строго с правами пользователей, любые попытки успешного/неуспешного логона, включая администраторские, - журналируются и на поиск внештатки уходит максимум 10 минут раз в месяц (если нужно быстрее - тупо предварительно проиндексировать и поискать по "ctrl+f" и номеру нужного события).
6. Все кейсы опечатаны, и закрыты замками (плюс замок Кенсингтона, чтобы кейс не утащили вне поля зрения камер). Но это лишнее, т.к. при отключении от локальной сети на компах IT-персонала начинается "паника" соответствующего п/о, которое настроено на отслеживание, т.е. такой номер с кейсом не пройдёт.
7. Все комнаты под видеонаблюдением.
8. Сотрудник связан договором/контрактом - т.е. он предупреждён, что с ним будет, если он начнёт шалить и/или что-либо менять.


Ну, теперь покажите мне человека, который в здравом уме попытается "восстать против системы"? На фиг это никому не нужно. Кто попытался - уже уволен, остальные предупреждены, а фото героев с описанием подвигов и их контактами висит на первой страничке локального (внутрисетевого корпоративного) форума. И всё. Ничего сложного. Немного времени на проектирование, немного (по сравнению со стоимостью инфы) денег на внедрение, и немного ума на настройку, мониторинг и чтение отчётов. Всё.

Если это лично ваша заслуга - жму руку

Но расслабляться, понятно не стоит. Не забывайте, что снаряд все равно впереди брони на шаг как минимум. Как, например, анализируется шифрованый трафик? Может, мне и ломать ничего не придется, достаточно будет отправить пользователя (по сговору или соц.инжиниринг) на заранее подготовленную ссылку?

[out]

А нет никакого шифрованного трафика - интернет только (!) у первых руководителей (учредителей, т.е. воровать сами у себя не будут), да и тот лимитирован - в силу возраста им нужны только курсы валют и прогноз погоды, а лимитирование успешно прошло под эгидой борьбы с вирусами - одной показательной эпидемии в дочернем филиале хватило, чтобы они сделали выводы и дали "добро" на изменения у себя.

Осталось устранить только один косяк - камерофоны, качество которых год от года растёт как на дрожжах

[127.0.0.1]

out

Раз так - остальные админы вам могут только позавидовать с руководством вам можно сказать повезло.

К сожалению, такая практика - скорее исключение, чем правило.

[out]

borec_za_istinu уже сказал истину про петуха. Так что если у кого-то проблемы с полным рестайлингом своей подчинённой инфраструктуры - осталось только либо форсировать появление жаренного, либо подставить ему нужное место.
На самом же деле никто не мог убедить начальство. А вот когда пошли косяки, которые можно было изначально избежать, только тогда и зачесались. А так - тоже упёртые, тоже многое не понимают, тоже спорят, тоже грозятся, тоже кастрируют и без того скудное финансирование, и в общем плане - всё как у всех. При этом от меня никаких личных заслуг - только поиск и ожидание нужной ситуации и использование её в своих личных корыстных нужных целях, полезных работе всей конторы в целом.

Когда начал ставить пароли и обязательную блокировку рабочего места по истечении определённого времени простоя - некоторые стали возмущаться.
Когда лишил всех администраторских прав - ныть начало большинство.
Без интернета - заныли все.


Но прошло три года. Смирились. Работают как пчёлки. Даже странно, как это без m-agent, icq и одноклассников в контакте они решают свои служебные вопросы. Парадокс. Ведь могут же!

Сообщение отредактировал out: 18.01.2010, 14:04:33

[Skripa4]

Как вариант, можно отключить в диспетчере устройств USB-контроллеры, вручную или скриптом. А потом в гпо запретить запуск диспетчера устройств (Локальный компьютер - Конфигурация пользователя - Административные шаблоны - Компоненты Windows - Консоль управления Microsoft - Оснастки расширений), а лучше всего вообще отключить запуск всех сколь-нибудь значимых апплетов панели управления.

Как вариант - открываем крышку - перемычка биоса - грузимся с флешки - всем известная прога сбрасывает пароль с учетки с правами локального админа - вход локально - устанавливаем бяку - закрываем крышку.

Админ спит - служба идет

PS запрет локального входа - тоже обходится элементарно

Знаю программку такую - Lumension Device Control - тоже блокирует USB и другие порты, вот ее даже под админом не снесешь таким образом.

[borec_za_istinu]

жму руку

Аналогично!

Знаю программку такую - Lumension Device Control - тоже блокирует USB и другие порты, вот ее даже под админом не снесешь таким образом.

Это как, проясните? Если админ не может снести прогу - значит у него ограниченные права, стало быть это - не админ.

Сообщение отредактировал borec_za_istinu: 18.01.2010, 14:29:47

[127.0.0.1]

Это как, проясните? Если админ не может снести прогу - значит у него ограниченные права, стало быть это - не админ.

Легко. Это только админ думает, что он главный на компе Винда однако думает иначе...

[borec_za_istinu]

А, вы про учётку System? Ну, это тоже не сложно. Посмотрите, какие файлы пользует интересующая вас прога и добавьте себе доступ к этим файлам.

[Windom_]

попробуй эту софтину StaffCop Enterprise

[sergwolf]

Ну про скайп сразу могу сказать...сниферить не получится, его итальянская мафия именно поэтому и использует шифрование там отлично реализовано. Зарубить да, можно и несложно как и любой IM и PTP клиент.

Товарищ, скайп слушается легко и не принужденно!
Уже даже в журнале Хакер это описывается...

[Skripa4]

Знаю программку такую - Lumension Device Control - тоже блокирует USB и другие порты, вот ее даже под админом не снесешь таким образом.

Это как, проясните? Если админ не может снести прогу - значит у него ограниченные права, стало быть это - не админ.

В Lumension есть такая функция - Hardening, и если ее включить, то для удаления клиента потребуется сгенерить специальный код на сервере и вставить его на клиенте при удалении.

[borec_za_istinu]

А если запустить файлмон и регмон и проверить, куда прога обращается, а потом в безопасном или с лайвСД всё это покоцать? Долго, конечно, но вполне себе эффективно. Вряд ли в ней используются технологии вирусописателей по перехвату обращений к собственным ресурсам.

[Skripa4]

В серьезных компаниях Bios запаролен и загрузка по умолчанию происходит только с харда. То есть с CD загрузиться не возможно. А то смысл ставить такие решения? С ЛайвСД можно хоть что удалить.

[borec_za_istinu]

На некоторых мамках есть прописанная функция, дающая возможность выбрать устройство загрузки. Обычно Ф11 или Ф8. Никакой пароль здесь не помеха и нет необходимости изменять вручную устройство загрузки в БИОСе.

[sergwolf]

На некоторых мамках есть прописанная функция, дающая возможность выбрать устройство загрузки. Обычно Ф11 или Ф8. Никакой пароль здесь не помеха и нет необходимости изменять вручную устройство загрузки в БИОСе.

Эта проблема решается так же в биосе, по крайней мере я знаю что в Элитгруповских мамках...

[}{APJIu]

На некоторых мамках есть прописанная функция, дающая возможность выбрать устройство загрузки. Обычно Ф11 или Ф8. Никакой пароль здесь не помеха и нет необходимости изменять вручную устройство загрузки в БИОСе.

Хм...
В том же BIOS:
1. First boot device - HDD
2. Second boot device - Disabled
3. Third boot device - Disabled
4. Boot other device - Disabled

И хоть заужимайся F8 или F11.
З.Ы. Еще раз: при продуманной системе защиты пользователь будет сидеть с правами User и иметь право запускать только Microsoft Office и Internet Explorer с доступом только на внутренний сайт.

[borec_za_istinu]

Хм...В том же BIOS:1. First boot device - HDD2. Second boot device - Disabled3. Third boot device - Disabled4. Boot other device - Disabled

Интересное решение. Надо будет попробовать.

[out]

Вести с полей.