4 ответов в этой теме

[mickle]

Ситуация - есть два контроллера AD и обширная сеть. Стоит ES. Клиентов по возможности установили везде. Но, существует много компьютеров где, или еще не успели поставить клиентскую часть, либо люди со своими ноутбуками приходят (клиентов порядка 400 - за всеми не уследишь - тем более, что являемся учебным заведением с кучей аудиторий для студентов). Вообщем, проблема такая - постоянно из зараженных компьютеров в сети лезут Trojan.DownLoad.* (Kido), и подбирают к учеткам пароли - следствие глюки при работе с сетью самих контроллеров и постоянные блокировки учеток. Стоит wsus, так что обновления ставятся оперативно. Как кто борется с тем, что в сеть, где проставлены все обновления, антивирус с последними базами, попал один зараженный компьютер и начал сносить крышу AD серверам?

PS вирус все-же Win32.HLLW.Autoruner.*

[exec]

Для начала в политиках домена нужно отключить блокировку учетных записей и автозапуск. Ну и обязательно ставить заплатки.

[mickle]

Для начала в политиках домена нужно отключить блокировку учетных записей и автозапуск. Ну и обязательно ставить заплатки.

Блокировка учеток - это следствие. Крышу сносит контоллерам AD (перестаёт работать KMS, апач, Mysql и тп. программы? которые работают через стек tcp-ip). На всех машинах, которые в домене и могут применить политику стараемся ставить DrWeb. Основная проблема - это ноутбуки студентов и преподавателей.. А так-же нормально установленные, и, каким-то образом убитые клиенты DrWeb - примеров много - допустим аудитория из 12 компов. Месяц назад были установлены агенты. Все работают с правами пользователя. Все обновились, перезагрузились. А через месяц многие горят красным цветом и пестрят все-возможными вирусами. Все бы ничего, но одна такая тварь может парализовать целиком функционирование домена - в событиях у серверов появляются по 200-300 записей в секунду в аудите про неудачный вход. Все доступные апдейты от Microsoft стоят и моментально распространяются через WSUS.

Еще раз: проблема не в эпидемии. проблема в том, что одна, случайно подключенная во внутреннюю сеть машина сносит крышу защищенным всеми заплатками и последней версией антивируса Dr.Web серверам и в целом тормозит работу всей сети. По-этому я и спросил совета у тех, кто нашел действенный выход из данной ситуации. Бегать и искать глупо - это может быть и беспроводной клиент.

PS Если честно странно, что никого не интересует данная тема. Ситуация же тепична: Много персонифицированных машин, имеется свободная возможность подключить дополнительную машину в сеть, все основные службы внутри сети защищены с помощью AD. Примеров организаций же много. Вот у нас - это ВУЗ.

[Eugeny Gladkih]

Для начала в политиках домена нужно отключить блокировку учетных записей и автозапуск. Ну и обязательно ставить заплатки.

Блокировка учеток - это следствие. Крышу сносит контоллерам AD (перестаёт работать KMS, апач, Mysql и тп. программы? которые работают через стек tcp-ip). На всех машинах, которые в домене и могут применить политику стараемся ставить DrWeb. Основная проблема - это ноутбуки студентов и преподавателей.. А так-же нормально установленные, и, каким-то образом убитые клиенты DrWeb - примеров много - допустим аудитория из 12 компов. Месяц назад были установлены агенты. Все работают с правами пользователя. Все обновились, перезагрузились. А через месяц многие горят красным цветом и пестрят все-возможными вирусами. Все бы ничего, но одна такая тварь может парализовать целиком функционирование домена - в событиях у серверов появляются по 200-300 записей в секунду в аудите про неудачный вход. Все доступные апдейты от Microsoft стоят и моментально распространяются через WSUS.

Еще раз: проблема не в эпидемии. проблема в том, что одна, случайно подключенная во внутреннюю сеть машина сносит крышу защищенным всеми заплатками и последней версией антивируса Dr.Web серверам и в целом тормозит работу всей сети. По-этому я и спросил совета у тех, кто нашел действенный выход из данной ситуации. Бегать и искать глупо - это может быть и беспроводной клиент.

PS Если честно странно, что никого не интересует данная тема. Ситуация же тепична: Много персонифицированных машин, имеется свободная возможность подключить дополнительную машину в сеть, все основные службы внутри сети защищены с помощью AD. Примеров организаций же много. Вот у нас - это ВУЗ.

Microsoft NAP?

[basid]

Основная проблема - это ноутбуки студентов и преподавателей.. А так-же нормально установленные, и, каким-то образом убитые клиенты DrWeb - примеров много - допустим аудитория из 12 компов. Месяц назад были установлены агенты. Все работают с правами пользователя. Все обновились, перезагрузились. А через месяц многие горят красным цветом и пестрят все-возможными вирусами.

Чрезвычайная ситуация требует чрезвычайных мер
Минимально необходимо примерно следующее:
1. Запрет и доменными и локальными политиками встроенных учёток администратора и гостя.
2. Удаление прав создания каталогов и файлов в корнях всех дисков. За пределами своего профиля пользователь может записывать файлы только там, где это определил администратор. Во всех таких каталогах ставим запрет исполнения, если иное не требуется по условиям работы.
3. Отключение автозапуска и доменными и локальными политиками.
4. Запрет и доменными и локальными политиками перечисления ресурсов и учёток неавторизованным пользователям.
5. Все сетевые ресурсы должны предоставлять доступ "только чтение" и правами на шару и правами файловой системы, если запись не требуется по условиям работы.
6. Все дистрибутивные шары должны иметь доступ "только чтение" для всех авторизованных пользователей. Без исключения. Если админу приспичит что-то записать в дистрибутивный каталог по сети - доберётся через админские шары.
Никогда и ни при каких условиях не расшариваем диски "от корня".
Если не требуется видимость какого-либо ресурса и/или сервера в "Сетевом окружении" - делаем их скрытыми.

С помощью DHCP делим все компьютеры на "местные" и "приходящие".
"Приходящим" адреса выдаются из отдельной подсети, от которой местные закрыты (встроенным) фаейрволом, параметры которого заданы доменными политиками.
И т.д. и т.п.