Заметки IT Менеджера

16.05.2013

.STOP или осторожно, взлом!

За последнюю неделю в Украине и России была зафиксирована череда случаев, когда компании обнаруживали зашифрованными свои данные на серверах. В основном, базы 1С. Как результат, файлы баз зашифрованы и лежат с расширением .STOP
В большинстве случаев взлом происходил по следующему сценарию:
Есть сервер, на который пользователи ходят удаленно через RDP. Этот сервер открыт снаружи для подключения.
Злоумышленники с помощью скриптов находят такие сервера, а затем, с помощью скрипта же, подбирают логин и пароль к нему.
После подбора пароля, туда происходит проникновение, причем скорее всего лично, злоумышленником локализуются важные файлы, скачивается программа криптования и данные шифруются с использованием ключа, не имеющего отношение к компу, т.е. случайного.
Скорее всего с использованием алгоритма Blowfish и данные стираются.
Затем пострадавший получает письмо в котором ему предлагается решить проблему за “скромную” сумму и даже рекомендации “как этого избежать в дальнейшем”, было что-то около 3000 грн. или аналогично в рублях. Оплата через систему Qiwi
Даже если вы вынуждены заплатить, обратитесь в Управление по борьбе с киберпреступностью или ФСБ России. Это даст шанс поймать злоумышленников.

Вот примерное содержание письма:

(more…)

Реклама

18.03.2013

Контроль доступа к другому почтовому ящику в Exchange

exchangeВ крупных компаниях очень важен контроль за применением “критичных” прав. Одним из наиболее важных в Exchange является доступ к другому почтовому ящику. При этом, это право может давать и Администратор пользователей Exchange. А эта роль может быть делегирована.

В этом скрипте я ограничил выборку пользовательскими почтовыми ящиками, убрав оттуда ресурсные и общие ящики, кроме того, сделал так, чтобы этот отчет присылался по почте.

Хорошо бы еще, сделать так, чтобы при получении или удалении таких прав уведомление приходило бы сразу же, но я, пока, не нашел событий в логе системы, которые при этом генерируются.

Ну и этот отчет, на еженедельной, а может и на ежедневной основе поможет контролировать ситуацию

 

#Автор оригинального скрипта: www.exchangefaq.ru/kak-poluchit-spisok-polzovatelej-imeyushhix-dostup-k-chuzhomu-pochtovomu-yashhiku.html + комментарии
#Автор изменений: itpadla.wordpress.com
#Дата создания: 28.08.2012
#Дата изменения: 18.03.2013
#Описание: получить список пользователей, имеющих доступ к чужому почтовому ящику

If ($host.Version.Major -lt 3) {$ExchangePss = Get-PSSnapin -Name Microsoft.Exchange.Management.PowerShell.Admin -ErrorAction SilentlyContinue}
Else {$ExchangePss = Get-PSSnapin -Name Microsoft.Exchange.Management.PowerShell.Admin -ErrorAction Ignore}
If ($ExchangePss.Name -ne "Microsoft.Exchange.Management.PowerShell.Admin") {Add-PSSnapin Microsoft.Exchange.Management.PowerShell.Admin}

(more…)

12.03.2013

Оперативный контроль аккаунтов пользователей и компьютеров в Active Directory

Обновлено 20.03.2013. Внесен ряд исправлений
В скриптах, связанных с удалением компьютерных учетных записей не выводилось имя компьютера
Кроме того, как оказалось, при массовых операциях, например вводах в группу или удалении из группы, приходит только одно уведомление, что само по себе не очень правильно. В связи с этим скрипты несколько переделаны — вместо последнего, отбираются все такие события за последние 120 секунд

Недавно я публиковал заметку Автоматическое уведомление о заблокированных аккаунтах. Там было вполне рабочее решение, но у него был один недостаток – информация приходила в несколько “корявом” виде. В песочнице хабры я нашел нашел статью, в которой аналогичные вещи сделаны гораздо удобнее.

На ее основании я сделал  десяток скриптов, которые будут информировать вас о:

— блокировании и разблокировании (lock/unlock) учетных записей пользователей
— добавлении или удалении кого-либо в/из группы
— включение или выключение (enable/disable) пользовательского аккаунта

— добавление или удаление компьютера в/из домена
— добавление или удаление пользователя в/из домена

Все нижеприведенные скрипты сохраняются в файлы, по одному в каждый из файлов, файлы кладутся на контроллер домена, там же запускается Task Scheduler и в нем создается задача с триггером на соответствующий EventID в Security Log, например 4740, и действием, содержащим запуск C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe с параметром в виде пути к скрипту и его именем, например, C:\cmd\event-notification-4740-account_lockout.ps1

В результате, вы оперативно получаете информацию по важным изменениям в AD и можете на нее оперативно реагировать

(more…)

05.03.2013

Решение проблем с истекающими паролями у пользователей

Одной из регулярных проблем, которая возникает у пользователей – истекший пароль. Пользователи не видят предупреждений от Windows, забывают о них, а иногда, просто о них не знают, т.к. работают удаленно со своих компьютеров, используя личные компьютеры или другие ОС.

Чтобы максимально минимизировать эту проблему нужно сделать две вещи:

  1. Добавить еще один способ уведомления пользователя, по электронной почте. Причем само уведомление должно включать в себя инструкции по смене пароля
  2. Давать отчет администраторам о пользователях у которых пароль уже истек или истечет в ближайшее время. Зачастую это помогает понять источник проблем у пользователя или предотвратить их.

 

Итак, скрипт, который рассылает уведомления пользователям

(more…)

14.02.2013

Автоматическое уведомление о заблокированных аккаунтах

powershell_21Откопал интересный скриптик, с помощью которого можно оперативно получать уведомление о заблокированном аккаунте. Почитав комментарии, чуть чуть его изменил, чтобы он быстрее работал и не выдавал ошибок.

Сам скрипт кладется на домен контроллер, там же запускается Task Scheduler и в нес создается задача с триггером на EventID: 4740 в Security Log и действием, содержащим запуск C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe с параметром в виде пути к скрипту и его именем, например, C:\cmd\account-lockout-notification.ps1

 
 
 

#Отсылка сообщений о блокировании аккаунтов
$Event=Get-EventLog -LogName Security -InstanceId 4740 -Newest 1 -ErrorAction SilentlyContinue
$MailBody= $Event.message

$MailSubject= "User Account locked out"
$SmtpClient = New-Object system.net.mail.smtpClient
$SmtpClient.host = "smtp.domain.com"
$MailMessage = New-Object system.net.mail.mailmessage
$MailMessage.from = "AcctLockNotify@domain.com"
$MailMessage.To.add("it@domain.com")
$MailMessage.IsBodyHtml = 1
$MailMessage.Subject = $MailSubject
$MailMessage.Body = $MailBody
$SmtpClient.Send($MailMessage)

26.07.2012

Managed Service Accounts

Т.к. я не знаю, как сделать реблог с мест, отличных от wordpress, то копирую полезную статью. Оригинал – тут.

Введение

Управляемые учётных записи служб – MSA – нововведение в Windows Server 2008 R2, призванное ощутимо улучшить безопасность, упростить управление и принести ряд других, мелких, но хороших моментов в такую достаточно известную издревле штуку как управление учётными записями сервисов. Исторически эта задача решалась путём создания пользовательской учётки и обрезания ей лишнего в плане возможностей, но всё же такой подход изначально не очень корректен – и теперь у нас есть новый тип объектов, благодаря которому данная задача решается лучше.

Оглавление

  • Преимущества MSA
  • Продукты и сервисы, поддерживающие MSA
  • Подготавливаем систему к работе с MSA
  • Создаём MSA
  • Привязываем MSA к серверу
  • Добавляем MSA на сервер
  • Используем MSA
  • Сбрасываем пароль MSA
  • Меняем SPN’ы у MSA
  • Добавляем MSA в группу Active Directory
  • Удаляем MSA

(more…)

19.07.2012

Следующая запись

Просто о сложном

pso-01Одна из актуальных тем во многих организациях – это обеспечение своих пользователей безопасными паролями, с чем у большинства пользователей огромные проблемы. Ведь никому не хочется генерировать сложные пароли, несмотря на то, что в компаниях может быть информация, к которой будут пытаться получить доступ злоумышленники, а такого пароля как 111, 123, qwerty и т.п. казалось бы, более чем достаточно. А если пользовательские учетные записи взломают и будут украдены какие-то данные, скорее всего, виноватым окажется ИТ-подразделение, так как не было внедрено должных средств по обеспечению безопасности.

Во избежание таких неприятностей, в операционных системах Windows присутствуют неплохо себя зарекомендовавшие политики паролей, которые отчасти помогают справиться с небезопасными пользовательскими паролями. Однако, у этих политик есть существенное ограничение.

View original post ещё 2 370 слов

12.07.2012

Полезная штука, и не только на домашнем компе.

Тишина

Часто спрашивают — какой полезный софт из бесплатного надо держать на домашней машине.

Попробую написать, взяв за пример свою.

EMET

Поставьте EMET, включите в него в обязательном порядке:

  • Всё содержимое папок %WINDIR% и %WINDIR%system32
  • Весь офисный пакет
  • Браузер
  • Весь софт, работающий с сетевыми подключениями — например, Live Messenger

Работает ли он для конкретного модуля, проверяется просто — запустив консоль EMET, Вы увидите, какие модули сейчас в памяти и какой у них статус защиты. Наводите курсор на название модуля — всплывающая подсказка показывает путь — нажимаете Configure Apps, добавляете. Правильно, когда основное окно выглядит как-то так:

EMET далеко не идеален, но он может предотвратить множество неприятностей, а у большинства оставшихся резко сменить масштаб проблемы. Согласитесь, что возможность удаленного выполнения произвольного кода — это одно, а когда она нивелируется до аварийного завершения работы конкретного приложения (допустим, браузера) — другое.

Secunia PSI

PSI будет отслеживать статус обновлений для всего установленного ПО, указывая…

View original post ещё 320 слов

23.05.2011

Доверительные отношения между доменами и firewall

Я недавно интересовался настройкой доверительных отношений между доменами или лесами. В случае туннеля все несколько проще, в остальных случаях использование файрволла обязательно, а для этого нужно знать что открывать.

Чтобы межсетевой экран не препятствовал установлению безопасных каналов и доверительных отношений между доменами, на нем должны быть открыты перечисленные ниже порты. Поскольку по обе стороны межсетевого экрана могут находиться компьютеры, одновременно являющиеся как клиентом, так и сервером, необходимо, чтобы соответствующие порты были открыты в обе стороны.

Windows NT

Порты клиентов

Порт сервера Служба
1024-65535/TCP 135/TCP RPC *
137/UDP 137/UDP Служба имен NetBIOS
138/UDP 138/UDP Вход в сеть и обзор сети NetBIOS
1024-65535/TCP 139/TCP Сеанс NetBIOS
1024-65535/TCP 42/TCP Репликация WINS

(more…)

16.12.2010

Надежное удаление файлов средствами Windows

Недавно столкнулся с тем, что нужно надежно очистить носитель от файлов. Собственно, саму задачу я описывал в своей предыдущей записи, о смене прошивки на SAN.

Итак, как же надежно удалить все наши файлы так, чтобы восстановить их было невозможно, по крайней мере без привлечения спецсредств. Конечно же, существуют и еще более надежные средства, но они диски насмерть убивают, а это диски чужие и стоят они очень уж дорого :-)

И оказалось, что эту операцию можно сделать средствами Windows. Есть такая команда cipher, так вот ее нужно применить к нужному диску, например

cipher /w:C:

с ее помощью все свободное место на разделе последовательно записывается вначале 0x00, затем 0xFF, ну и на последок случайным числом. Т.о. сами фалы нужно вначале удалить, ну а потом применить эту команду к разделу на котором они лежали. Если удалить нужно все, как в моем случае, то быстрее всего отформатировать диск заново с использованием quick format, ну а затем уже пройтись этой командой.

Все быстро и вполне надежно.

Следующая страница →

Создайте бесплатный сайт или блог на WordPress.com.

%d такие блоггеры, как: