Постянныне проблемы в сети с Ad (kido)
#1
Отправлено 04 Ноябрь 2009 - 22:25
PS вирус все-же Win32.HLLW.Autoruner.*
#2
Отправлено 06 Ноябрь 2009 - 10:16
#3
Отправлено 06 Ноябрь 2009 - 23:19
Для начала в политиках домена нужно отключить блокировку учетных записей и автозапуск. Ну и обязательно ставить заплатки.
Блокировка учеток - это следствие. Крышу сносит контоллерам AD (перестаёт работать KMS, апач, Mysql и тп. программы? которые работают через стек tcp-ip). На всех машинах, которые в домене и могут применить политику стараемся ставить DrWeb. Основная проблема - это ноутбуки студентов и преподавателей.. А так-же нормально установленные, и, каким-то образом убитые клиенты DrWeb - примеров много - допустим аудитория из 12 компов. Месяц назад были установлены агенты. Все работают с правами пользователя. Все обновились, перезагрузились. А через месяц многие горят красным цветом и пестрят все-возможными вирусами. Все бы ничего, но одна такая тварь может парализовать целиком функционирование домена - в событиях у серверов появляются по 200-300 записей в секунду в аудите про неудачный вход. Все доступные апдейты от Microsoft стоят и моментально распространяются через WSUS.
Еще раз: проблема не в эпидемии. проблема в том, что одна, случайно подключенная во внутреннюю сеть машина сносит крышу защищенным всеми заплатками и последней версией антивируса Dr.Web серверам и в целом тормозит работу всей сети. По-этому я и спросил совета у тех, кто нашел действенный выход из данной ситуации. Бегать и искать глупо - это может быть и беспроводной клиент.
PS Если честно странно, что никого не интересует данная тема. Ситуация же тепична: Много персонифицированных машин, имеется свободная возможность подключить дополнительную машину в сеть, все основные службы внутри сети защищены с помощью AD. Примеров организаций же много. Вот у нас - это ВУЗ.
#4
Отправлено 06 Ноябрь 2009 - 23:40
Для начала в политиках домена нужно отключить блокировку учетных записей и автозапуск. Ну и обязательно ставить заплатки.
Блокировка учеток - это следствие. Крышу сносит контоллерам AD (перестаёт работать KMS, апач, Mysql и тп. программы? которые работают через стек tcp-ip). На всех машинах, которые в домене и могут применить политику стараемся ставить DrWeb. Основная проблема - это ноутбуки студентов и преподавателей.. А так-же нормально установленные, и, каким-то образом убитые клиенты DrWeb - примеров много - допустим аудитория из 12 компов. Месяц назад были установлены агенты. Все работают с правами пользователя. Все обновились, перезагрузились. А через месяц многие горят красным цветом и пестрят все-возможными вирусами. Все бы ничего, но одна такая тварь может парализовать целиком функционирование домена - в событиях у серверов появляются по 200-300 записей в секунду в аудите про неудачный вход. Все доступные апдейты от Microsoft стоят и моментально распространяются через WSUS.
Еще раз: проблема не в эпидемии. проблема в том, что одна, случайно подключенная во внутреннюю сеть машина сносит крышу защищенным всеми заплатками и последней версией антивируса Dr.Web серверам и в целом тормозит работу всей сети. По-этому я и спросил совета у тех, кто нашел действенный выход из данной ситуации. Бегать и искать глупо - это может быть и беспроводной клиент.
PS Если честно странно, что никого не интересует данная тема. Ситуация же тепична: Много персонифицированных машин, имеется свободная возможность подключить дополнительную машину в сеть, все основные службы внутри сети защищены с помощью AD. Примеров организаций же много. Вот у нас - это ВУЗ.
Microsoft NAP?
#5
Отправлено 07 Ноябрь 2009 - 08:56
Чрезвычайная ситуация требует чрезвычайных мерОсновная проблема - это ноутбуки студентов и преподавателей.. А так-же нормально установленные, и, каким-то образом убитые клиенты DrWeb - примеров много - допустим аудитория из 12 компов. Месяц назад были установлены агенты. Все работают с правами пользователя. Все обновились, перезагрузились. А через месяц многие горят красным цветом и пестрят все-возможными вирусами.
Минимально необходимо примерно следующее:
1. Запрет и доменными и локальными политиками встроенных учёток администратора и гостя.
2. Удаление прав создания каталогов и файлов в корнях всех дисков. За пределами своего профиля пользователь может записывать файлы только там, где это определил администратор. Во всех таких каталогах ставим запрет исполнения, если иное не требуется по условиям работы.
3. Отключение автозапуска и доменными и локальными политиками.
4. Запрет и доменными и локальными политиками перечисления ресурсов и учёток неавторизованным пользователям.
5. Все сетевые ресурсы должны предоставлять доступ "только чтение" и правами на шару и правами файловой системы, если запись не требуется по условиям работы.
6. Все дистрибутивные шары должны иметь доступ "только чтение" для всех авторизованных пользователей. Без исключения. Если админу приспичит что-то записать в дистрибутивный каталог по сети - доберётся через админские шары.
Никогда и ни при каких условиях не расшариваем диски "от корня".
Если не требуется видимость какого-либо ресурса и/или сервера в "Сетевом окружении" - делаем их скрытыми.
С помощью DHCP делим все компьютеры на "местные" и "приходящие".
"Приходящим" адреса выдаются из отдельной подсети, от которой местные закрыты (встроенным) фаейрволом, параметры которого заданы доменными политиками.
И т.д. и т.п.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых