Ransomware

Awatar użytkownika
BWaliszewski
Stały Bywalec
Posty: 324
Rejestracja: pt gru 18, 2015 2:55 pm
Lokalizacja: Poznań
Kontakt:

Re: Ransomware

Post autor: BWaliszewski »

@Przemusss - z moimi klientami bywa różnie. Generalnie wszyscy przeszli mniejsze lub większe szkolenia - ale to nie zawsze działa. Niby świadomość jest - ale pośpiech, napięcie i stres, często powodują, że użytkownik i tak kliknie przysłowiową FV od "Orange". NIgdy do końca nikogo nie obwiniam, nie szukam winnych w takich przypadkach... po prostu działam. Użytkownik i tak jest w stresie, że przeskrobał.

W dużych firmach mamy pewne ustalenia [ja <=> pracownicy]. Wszystko co jest NIEPEWNE w @ - wysyłają do mnie, a ja to uruchamiam, bądź badam - na specjalnej maszynie, odłączonej od sieci. Ustalenie się sprawdza i kilka razy uratowało to dane użytkownika

Zabezpieczenia jakie wdrażam, to:
1. Dodatkowy backup wewnętrzny [najczęściej za pomocą Active Backup - żeby nie mapować katalogów]
2. Migawki na wszystkich serwerach
3. Oczywiście komputery też się kopiują [pełen profil] na serwer NAS za pomocą wbudowanego systemu backupów [mówię o świetnym moim zdaniem systemie wbudowanym w Windows'10 - doskonale działa z Synology].
4. Myślałem jeszcze o regułach w outlookach, które by wywalały określone @... no ale autorzy szkodników są przebiegli i to się niestety nie sprawdza.

Powyższe oczywiście dotyczy tylko ransomware, bo dla "zwykłych" wirusów w grę wchodzą jeszcze inne zabezpieczenia na routerach czy firewallach oraz odpowiednie programy antywirusowe na komputerach.
RT6600ax / SRM 1.3.1-9346 Update 8
DS918+ / DSM 7.2.1-69057 Update 3 / 4x WDRed 3TB RAID5 / 8GB
APC Back-UPS ES 700G
Przemuss
Godfather
Posty: 1305
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Ransomware

Post autor: Przemuss »

Do tego właśnie dąże iż samo poinstruowanie pomaga na kilka dni a czasem nawet w ogóle. Wszystko zależy od pracownika.
Osobiście mam wdrożone:
- całkowita blokada dysków USB
- częściowa blokada czytników płyt CD/DVD
- podział sieci na vlany
- autoryzacja po mac adresie (obcemu router się nawet nie odezwie)
- podwójny backup (pamięć z 30 dni + migawki)
- przymierzam się jeszcze do blokady obcych plików exe (jedynie z konkretnych katalogów z dysku C będą dopuszczalne). Ale czy to mi wyjdzie się okaże.



Wysłane z mojego LG-H440n przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
Awatar użytkownika
BWaliszewski
Stały Bywalec
Posty: 324
Rejestracja: pt gru 18, 2015 2:55 pm
Lokalizacja: Poznań
Kontakt:

Re: Ransomware

Post autor: BWaliszewski »

Tylko pamiętaj, że w niektórych przypadkach [charakter pracy danej firmy] - blokada USB i dysków USB - po prostu nie jest możliwa. VLAN'y - ok i blokowanie w MAC'ów w macierzystym - też ok i nad tym pomyślę [bo mam VLANy bez blokad].

Widzę, że należysz do bardzo restrykcyjnych administratorów ;-) Ma to wiele plusów... lubią CIę jeszcze ;-)

Mnie "nie lubią" za hasła, które wymyślam, a tam gdzie wdrażam politykę zmian haseł co miesiąc, to klną mnie przy każdej wizycie ;-)
RT6600ax / SRM 1.3.1-9346 Update 8
DS918+ / DSM 7.2.1-69057 Update 3 / 4x WDRed 3TB RAID5 / 8GB
APC Back-UPS ES 700G
Awatar użytkownika
BWaliszewski
Stały Bywalec
Posty: 324
Rejestracja: pt gru 18, 2015 2:55 pm
Lokalizacja: Poznań
Kontakt:

Re: Ransomware

Post autor: BWaliszewski »

Do zabezpieczeń które wdrażam - dodam jeszcze rzecz, która nie dla każdego admina jest oczywista, czyli USER zawsze jest USEREM, a nie że ma uprawnienia ADMINISTRATORA...
RT6600ax / SRM 1.3.1-9346 Update 8
DS918+ / DSM 7.2.1-69057 Update 3 / 4x WDRed 3TB RAID5 / 8GB
APC Back-UPS ES 700G
Przemuss
Godfather
Posty: 1305
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Ransomware

Post autor: Przemuss »

Wszyscy w domenie więc nie mają za wiele praw. Do tego wiele obcięte przy pomocy polis grupowych. User na prawach admina to same problemy. Niestety jest wielu po fachu co tego nie rozumie albo im się nie chce, albo nie wiedzą.

Co do haseł to się nasłuchałem przez pierwsze 3 miesiące od wdrożena jaki to ja zły jestem dla nich. Do tego wymuszona zmiana co 30 dni, wygaszacz z blokadą, pamięć 24 ostatnich haseł by to cwani nie jechali ciągle na jednym, złożoność hasła. Sądziłem że będzie już dobrze ale doczytałem się iż w moim przypadku potrzeba haseł 8 znakowych a nie 6 więc zaczęło się od początku.
Do wymiany danymi miedzy pokojami, wydziałami mają utworzone i podmapowane dyski sieciowe wspólny ogólny i wydziałowy.
Sądzę że tak źle ze mną nie mają.

Wysłane z mojego LG-H440n przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
janosik
Trochę Wie
Posty: 113
Rejestracja: śr lis 30, 2016 12:39 pm

Re: Ransomware

Post autor: janosik »

Przemuss pisze:A wiesz chociaż skąd ta osoba wzięła ten niebezpieczny program?
Są w sumie 2 drogi:
- na USB
- dostała linka poczta i go uruchomiła

Wysłane z mojego LG-H440n przy użyciu Tapatalka
Tak. Program dostała na maila.
Była to placówka budżetowa więc nie ma tam serwera i domeny. Nie mogę wymusić pewnych zabezpieczeń. Jest ograniczona możliwość konfiguracji bo są wersje Home ulubionego systemu. Konto z ograniczeniami ale niewiele to pomogło.

Blokowanie usb, cd lub inne większe lub mniejsze restrykcje nie wchodzą w grę.
1 x DS 218+ / 4TB Seagate IronWolf
1 x DS 218+ / 3TB WD RED
5 x DS 218j / 2-4TB WD RED/Seagate IronWolf
9 x DS 216j / 2-4TB WD RED/Seagate IronWolf
2 x DS 216se / 3 TB / Toschiba
1 x DS 115j / 2TB WD RED
Unr3al2
Wtajemniczony
Posty: 212
Rejestracja: pt gru 11, 2015 11:01 am

Re: Ransomware

Post autor: Unr3al2 »

Brakuje wam jeszcze blokowania makr w office na stacjach roboczych :)
QNAP TVS-471 / 6.1.3-15152-6 / 2x Segate 2TB RAID1 btrfs / 4GB RAM
DS918+ / DSM 6.2 / Segate 2TBx3/ SSD120GB / 8 GB RAM mod
DS710+ / DSM 4.2 / Segate 2TB / 2GB RAM mod
Przemuss
Godfather
Posty: 1305
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Ransomware

Post autor: Przemuss »

Z poziomu gpo można to zrobić na każdej stacji.

Wysłane z mojego LG-H440n przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
ODPOWIEDZ