Ставим Винду

[Гость sadok]

У нас, к примеру, картинку на рабочий стол положить нельзя.

Бедные пользователи... :-o А ведь могут и озлобиться 8)

[Антоха]

Антон, не сочти за нравоучение, передаю многолетний опыт т.с.1. Тащить в боевую сетку всякую хрень из инета - ну это ваабще! :shock: 2. Попробуй стандартизировать ПО, минимизировать количество софта на рабочей станции. 3. В тех же доменных политиках зажми права пользователей донельзя. У нас, к примеру, картинку на рабочий стол положить нельзя. Запрети установку КАКОГО-ЛИБО софта самостоятельно.Возможно мои советы сберегут тебе немало бессоных ночей, седых волос и морщин на заднице. :-(

У нас всё это ограничено...проги не ставят, фон не меняют...только ярлыки с сервера выведены на рабочий стол..Бумажки резать и подписывать Имя ПК и IP не хочется Надо что-то придумать….Я не давно работаю в этой сфере, и опыта мало....и твои сообщения вовсе не нравоучение

[rmn]

поставить везде проги удалённого администрирования :-(

[Антоха]

поставить везде проги удалённого администрирования :-(

Стоят везде Remote Administrator (вроде так пишется).

[Гость sadok]

А так позвонил и спросил адрес… Пожилая женщина и прочитает его с рабочего стола….

Антоха, приклей бумажки. Не так изящно, зато надежно А так почитал ваши с Борисом посты - жуть! Картинку не поставить, винамп не поставить, шаг влево, шаг вправо - расстрел . Зато наверное, работникам платят хорошо?

[Антоха]

Я работаю в ФСС и платят тут не очень :-D Просто я после учёбы и деваться некуда....надо опыта набираться... А строго, как в любом государственном учреждении (наверное)

[Bayun]

А так почитал ваши с Борисом посты - жуть! Картинку не поставить, винамп не поставить, шаг влево, шаг вправо - расстрел .

Леша, пользователь с правами - это обезьяна с гранатой. Когда сетка уже довольно большая, 200 компов к примеру - то это уже армия обезьян. Наша задача обезвредить их по максимуму. :-o

Антон, лучше всего сделать так:

Политики раб стола

1. В политике WorkstationPolicy прилинкованной к Workstation отрабатывает скрипт hostname.vbs

Содержание файла в прикр. файле

который формирует файл c:wallpHN.html

2. В политике UserPolicy этот файл подключается в кач обоев

[Антоха]

Спасибо большое!!! Мысль уловил, сейчас посмотрю где и что)

[Антоха]

Борис а ты не скинешь скрипт целиком, В текстовом варианте?(если есть возможность на Ponomarev_AI@ro39.fss.ru)

[Bayun]

Лови! :-(

[Антоха]

Лови! :-(

:-) не поймал ATTENTION: Infected message was received from #####@heineken.com. Original message was deleted.почтовый сервер не пустил(кинь пожалуйста на #####@rambler.ru

[Антоха]

Борис!!! Работает я добавил ещё строчку, чтобы выводил Имя пользователя... и сейчас хочу сделать чтобы выводил IP, только команду не знаю в VB

MyFile1.WriteLine(WshNetwork.computername)MyFile1.WriteLine(WshNetwork.UserName)

[Bayun]

Работает

А куда он денется? :-(

[Гость ROBBERT]

Скрипт.гиф - класно. А ещё в хтм (а лучше сразу в хтмл) файл можно часики на JS вставить. А ещё туда можно запихнуть чтонить похожее на jbot.irc и совсем будет то что надо. Причём бот там заведётся и без вашего ведома. Осталось затащить вас на ресурс в инете скормить downloder какойнить с начинкой заражающей ht* файлы далее бот на комп а лучше бот с червём и готова помойка в вашей сети.

[Bayun]

Скрипт.гиф - класно. А ещё в хтм (а лучше сразу в хтмл) файл можно часики на JS вставить. А ещё туда можно запихнуть чтонить похожее на jbot.irc и совсем будет то что надо. Причём бот там заведётся и без вашего ведома. Осталось затащить вас на ресурс в инете скормить downloder какойнить с начинкой заражающей ht* файлы далее бот на комп а лучше бот с червём и готова помойка в вашей сети.

Каким боком это все к теме обсуждения относиться??? :shock: И с помойкой не понял! :shock: В худшем случае заражена будет машина словившая червя... Так она словит его и без настроенных политик на сервере. В общем нихрена не ясно!

[Гость sadok]

Еще есть программа NetView. Может, это оно?Многофункциональная утилита для работы с локальной сетью. Полная замена Сетевому Окружению - работает даже тогда когда в сети неправильный master browser. Ведет файл default.nvh со списком машин. Регулярно проверяет список на наличие выключенных машин путем пингования иили коннекта на указанный порт. Индивидуальная настройка проверок для каждого компьютера. NetWatcher ведет лог активных сетевых соединений на локальном или удаленном компьютерах, имеет функцию черного и белого списков, умеет временно прятать шары. Может составлять посегментную карту сети(через traceroute) а так же визуализировать сеть (анимированные картинки для компьютеров, линии, фоновая текстура). Быстрый поисковик по обычным Netbios ресурсам и по ftp с множеством опций и сохраниением файллиста в txt и html форматах. Сканер портов и диапазона IP адресов с поддержкой скриптов на Паскале, PortListener отслеживающий входящие соединений на заданные порты и имеющий функцию 'сбивания с толку' удаленного сканера так же с поддержкой скриптов, IP logger ведет лог всех TCP соединений, терминал, позволяющий подключаться на любой порт заданного ИП адреса, сканер шар, составляющий полный список расшаренных ресурсов сети с правами доступа. NetMessenger аналог net send позволяющий слать сообщения от любого имени и умеющий принимать сообщения под Win9x. Скрипты, плагины, API. Как пример - плагин голосового оповещения о сетевых событиях, плагин синхронизации часов с удаленным компьютером, плагин выключения компьютеров по сети и многое другое. Программа может висеть незаметно в трее практически не занимая ресурсы компьютера. Много других полезных функций. Это аннотация на версию 2.81, а последняя вроде 2.94

[Антоха]

sadok Я смотрел эту программу)

(только сейчас понял твой ник :-o :-o :-o )

Я думаю всё нормально будет) используя Способ Бориса!!

[Гость sadok]

Про " понял ник" - ниче не понял, однако думаю, что бумажки наклеить лучше. Есть даже спецпринтера для таких целей, Брозер выпускает, называется P-Touch. Очень удобная вещь. Специальная лента, держится превосходно даже в условиях воздействия атмосферных осадков. А изящное с технической точки зрения решение - не всегда самое лучшее

[Антоха]

Про ник…. не думал про садок, что под рыбу :-o ...не вдумываюсь в ники, которые не по русски написаны...а сейчас вдумался :-o А бумажки на подобии, что на сетевые розетки клеят?

[Гость sadok]

А бумажки на подобии, что на сетевые розетки клеят?

Я не знаю, что там клеят на сетевые розетки, там применяется спецлента в кассете, ее в принтер вставил( кстати, принтер размером где-то 15на10на8см), софтинка на машину ставится, и печатай на ленте все что хочешь. А так, конечно, основное назначение - это маркировка кабелей, да и вообще, чего угодно. Лента шириной от 9 до 24 мм, длина ограничена емкостью кассеты, это, по-моему, около 9 метров. Лента есть ламинированая, есть простая и разных цветов еще впридачу. Только сразу скажу, удовольствие для госконторы достаточно дорогое - принтер -баксов 100-120, плюс каждая кассета рублей 500-600. А не дай бог, увидит кто, как печатаешь - все, сливай воду, туши свет, - просьбами замучают напечатать что-нить.

[Гость ROBBERT]

Каким боком это все к теме обсуждения относиться??? :shock: И с помойкой не понял! :shock: В худшем случае заражена будет машина словившая червя... Так она словит его и без настроенных политик на сервере. В общем нихрена не ясно!

Точно - не относится.... почти. Но для ясности позволю себе продолжить.Итак имеем:1.Ресурс в инете(халява,порнуха, итд) в коде страниц которого находится некий java(vbs, etc) скрипт позволяющий загрузить на машину юзера без его ведома некий код.Для запуска скрипта - его надо запустить. Лучшего места для запуска чем включённый актив дектоп и придумать сложно тк по умолчанию виндовс считает что для АД контент 100% легитимный.2.Код является downloder'ом, котрый сосёт всякую дрянь втч Worm.MsBlast3. Предположим сам мсбласт не несёт деструктивных функций а используется для внедрения бота, конкретно SDbotОтступление: многие забили на мсбласт считая его архаичным вирусом канувшем в лета.Однако уязвимость DCOM RPC которую он использует существует и по сей день на системахW2K со всеми сервиспакамиW2K3 c первым сервиспаком(второй не проверял)Для устранения уязвимости обновления не достаточно -НАДА ПАТЧИТСЯ.как известно мсбласт пытается завалить generic host process с целью получения среды окружения данного процесса то есть SYSTEM для запуска чего либо в привелигерованном режиме.SDbot - стрый IRC бот позволяющий почти полностью управлять машиной юзера.Все эти вирусы и приблуды определяются любым антивирусом и по отдельности не страшны НО когда эти засранцы перемешанны в бутерброд - вот это круто.4. Поехали. Юзер глядит порнух-халяву, на экране мелькает назойливое предупреждение "про запуск контента могущего быть вредоносным" юзер нетерпеливо клацает мышью не вникая в суть происходящего, внизу появляется строка - "загрузка cab файла сресурса.....". С очень большой вероятностью можно предположить что в кабе вирус живущий в хтм страницах. Запускалка скрипта (предположительно на Java) просканит комп на наличие таких файлов и поселит вирус в каждый из них включая AD. Следующая перезагрузка запустит вирус(downloader) который закачает и запустит мсбласт. Мсбласт начнёт сканирование и поиск машин подверженных уязвимости DCOM RPC и найдёт их, внедрится в них, запустится и снова начнёт сканирование и поиск уязвимых. На заражённых машинах будет также запущен Бот(SDBot). Сканирование (причём массированное) приведёт к отказу коммутаторов(дешёвых) из за переполнения очередей на портах.Хацкеры используя SDBot будут грызть вашу сеть как крысы.Вот она помойка. Лечение крайне затруднительно изза того что антивирус должен быть запущен на машине клиента от суперпользователя и это должно быть произведено ОДНОВРЕМЕННО на всех машинах. При наличи мобильных юзеров песня будет долгой.Мораль:Закручивая гайки(политики) юзерам делая не возможным использование компа как ПЕРСОНАЛЬНОГО, вы не всегда получите требуемый уровень безопасности в сети, а вот негативное отношение к себе - весьма вероятно. Помойка на компе пользователя - это его ИНТИМНОЕ дело. Администратор СИСТЕМЫ(не компа) обеспечивает защиту строго регламентированных ресурсов. нельзя защищая комп от того кто на нём работает(чушь какая то прям) открывать дыру для реального злоумышленника. Тем более на мой взгляд глупо запрещая что либо класть на раб.стол давать писать в корень диска.ЗЫ Со всем описанным выше я столкнулся не в теории и .... победил. За последние 3 месяца атаки бутербродами просто жгут.

[Лёха]

в ходе дискуссии приходим к наиболее простому и удобному варианту-наклейки на машинах

[Bayun]

в ходе дискуссии приходим к наиболее простому и удобному варианту-наклейки на машинах

Beton, не нужно делать скоропалительных выводов на основании суждений человека ничего не знающего о конкретной системе безопастности и пытающегося сделать при этом какие-то умозаключения!

[Гость ROBBERT]

Клейка бумажек это неотъемлемая часть любой инвентаризации с составлениеп паспорта рабочего места.

И не дискуссия это. БОЛЬНОЙ ВОПРОС! каждому у кого случилось хозяйство более 10 машин приходится решать задачу с инвентаризацией техники,софта, а также с учётом расстановки рабочих мест и топологии сети.

У меня более 300 машин, десятка полтора подсетей, куча активного оборудования, имеются мобильные пользователи. Из сервисов помимо мыла,ввв,фтп,виндовс шар ещё присутствует медиа. Набор ОС от вин98 до в2к3 вся линейка ну и опен сорц системы тоже есть.

Если набор систем однотипен (читай ток виндовс) то инвентаризация не так сложна - бери астру или подобный софт и вперёд. У меня всё хуже. Вот чем я с этим справляюсь:

Набор софта

1. SKLAD - В нём ведётся учёт состава техники. Дополнительно в него грузятся отчёты от астры. Конечный результат - инвентарный номер+поклейка бумажки.

К нему качаем checkcfg.zip и linuxcfg.zip для сбора инфы о потрохах компов для виндовс и линукс соответственно

2.ASTRA32 для контроля SKLAD во время инвентаризации.

3.runasspc.exe - приблуда для запуска любого софта от имени любого пользователя. Выше я писал про одновременный запуск антивируса от имени суперюзера при входе обычного юзера. В данном случае чекцфг не может получить доступ к некоторым ресурсам будучи запущен от залогинившегося юзера-прав нехватает. Взять можно тут http://robotronic.de/runasspc/runasspcEn.zip

4.InqSoft Sign 0f Misery - многофункциональная... я даж незнаю как назвать, вобщем маст хэв любому кул хацкеру. Помимо всего я её пользую (предварительно правильно составив скрипт) для нажатия определённой кнопки в определённом окне. Конкретно runasspc.exe - бесплатна но выводит окошко с сообщением об этом и ждёт нажатия ОК. Ковырять её код - лень. Тем более что знаю способ обойти это.

5.InqSoft Window Scanner -приблуда для определения параметров окна которому надо чего нибудь передать или в нём чегонить нажать.

6.LanFlow - софт для отрисовки топологии сети в красивом(как в цискиных книжках) виде.

7.BackTrack - слакварьный лайв-дистрибутив тож маст хэв. Хорошая подборка сканеров. Чекеров. База эксплоитов от milw0rm - обновляемая.

 

Вопрос: Надо ли подолжать описания сведения в кучу этих приблуд?

 

Дополнительно по кручению политик

1. Для локальных станций

Доступ к компьтеру из сети - Администраторы домена,Пользователи домена

Локальный вход в систему - Администраторы, Администраторы Домена, Пользователи домена

Изменение системного времени - Администраторы, Администраторы Домена, Пользователи домена

 

2. Контроллер домена

Длинна пароля - от 8 символов и более

Количество попыток ввода - 3

Блокировка - 3 минуты

Срок жизни пароля - 30 дней

Логон тайм - с <такогот> по <такойто> час

Предупреждать юзера о дате истечения срока жизни пароля

Пользователь обязан изменить пароль при первом входе в систему

Ограничить размер профиля - <стокто> Мб

Удалять кэшированные профили

Обновление политики - remote

Исключить из профиля пути - %userprofile%Application Data,%userprofile%Local Settings

3. Профиль пользователя

Профиль пользователя - servernameusasprof$%username%

Домашний каталог - servernameuserdoc$%username%

Логон скрипт - time.bat

 

time.bat :

rem Set time

net time dom.enc.ont.roller /set /yes

 

На любую виндовс-шару аудит отказов

Логи контроллера(system, security) - по максимому (около 4.5.гигов каждый)

 

О том что червь пытается грохнуть систему будут свидетельствовать ошибки в журнале system с кодом ID 12294 и источником SAM

Как найти червя

Втыкаете в центральный коммутатор нотник с запущеным BackTrack

настраиваете сетевой адаптер(если нет DHCP)

В терминале:

ifconfig eth0 <ip_addr_from_you_subnet> up

route add default eth0

и далее

tcpdump -i eth0 | grep "who-has"

Далее на экран посыплются строчки подобного вида

<timestamp> arp who-has <to_ip>tell <from_ip>

 

Если <to_ip> увеличивается последовательно а <from_ip> не меняется и всё это за короткий(до секунды) промежуток в <timestamp> то это говорит отом что с <from_ip> кто-то или что-то сканирует или пытается сканировать вашу сеть.

[Лёха]

Beton, не нужно делать скоропалительных выводов на основании суждений человека ничего не знающего о конкретной системе безопастности и пытающегося сделать при этом какие-то умозаключения!

просто в своё время столкнулись с такой проблемой-было много вариантов, в итоге права юзеров зажимать сильно не стали, а на машины просто наклеили инфу, правда сеть была не большая-60 машин, и проблем особых не возникало...