Ransomware
- BWaliszewski
- Stały Bywalec
- Posty: 370
- Rejestracja: pt gru 18, 2015 2:55 pm
- Lokalizacja: Poznań
- Kontakt:
Re: Ransomware
@Przemusss - z moimi klientami bywa różnie. Generalnie wszyscy przeszli mniejsze lub większe szkolenia - ale to nie zawsze działa. Niby świadomość jest - ale pośpiech, napięcie i stres, często powodują, że użytkownik i tak kliknie przysłowiową FV od "Orange". NIgdy do końca nikogo nie obwiniam, nie szukam winnych w takich przypadkach... po prostu działam. Użytkownik i tak jest w stresie, że przeskrobał.
W dużych firmach mamy pewne ustalenia [ja <=> pracownicy]. Wszystko co jest NIEPEWNE w @ - wysyłają do mnie, a ja to uruchamiam, bądź badam - na specjalnej maszynie, odłączonej od sieci. Ustalenie się sprawdza i kilka razy uratowało to dane użytkownika
Zabezpieczenia jakie wdrażam, to:
1. Dodatkowy backup wewnętrzny [najczęściej za pomocą Active Backup - żeby nie mapować katalogów]
2. Migawki na wszystkich serwerach
3. Oczywiście komputery też się kopiują [pełen profil] na serwer NAS za pomocą wbudowanego systemu backupów [mówię o świetnym moim zdaniem systemie wbudowanym w Windows'10 - doskonale działa z Synology].
4. Myślałem jeszcze o regułach w outlookach, które by wywalały określone @... no ale autorzy szkodników są przebiegli i to się niestety nie sprawdza.
Powyższe oczywiście dotyczy tylko ransomware, bo dla "zwykłych" wirusów w grę wchodzą jeszcze inne zabezpieczenia na routerach czy firewallach oraz odpowiednie programy antywirusowe na komputerach.
W dużych firmach mamy pewne ustalenia [ja <=> pracownicy]. Wszystko co jest NIEPEWNE w @ - wysyłają do mnie, a ja to uruchamiam, bądź badam - na specjalnej maszynie, odłączonej od sieci. Ustalenie się sprawdza i kilka razy uratowało to dane użytkownika
Zabezpieczenia jakie wdrażam, to:
1. Dodatkowy backup wewnętrzny [najczęściej za pomocą Active Backup - żeby nie mapować katalogów]
2. Migawki na wszystkich serwerach
3. Oczywiście komputery też się kopiują [pełen profil] na serwer NAS za pomocą wbudowanego systemu backupów [mówię o świetnym moim zdaniem systemie wbudowanym w Windows'10 - doskonale działa z Synology].
4. Myślałem jeszcze o regułach w outlookach, które by wywalały określone @... no ale autorzy szkodników są przebiegli i to się niestety nie sprawdza.
Powyższe oczywiście dotyczy tylko ransomware, bo dla "zwykłych" wirusów w grę wchodzą jeszcze inne zabezpieczenia na routerach czy firewallach oraz odpowiednie programy antywirusowe na komputerach.
RT6600ax / SRM 1.3.1-9346 Update 8
DS923+ DSM 7.2.1-69057 Update 4 / 16GB RAM / 4x WDRed 3TB
APC Back-UPS ES 700G
DS923+ DSM 7.2.1-69057 Update 4 / 16GB RAM / 4x WDRed 3TB
APC Back-UPS ES 700G
-
- Godfather
- Posty: 1326
- Rejestracja: wt gru 15, 2015 12:19 pm
- Lokalizacja: Żyrardów
Re: Ransomware
Do tego właśnie dąże iż samo poinstruowanie pomaga na kilka dni a czasem nawet w ogóle. Wszystko zależy od pracownika.
Osobiście mam wdrożone:
- całkowita blokada dysków USB
- częściowa blokada czytników płyt CD/DVD
- podział sieci na vlany
- autoryzacja po mac adresie (obcemu router się nawet nie odezwie)
- podwójny backup (pamięć z 30 dni + migawki)
- przymierzam się jeszcze do blokady obcych plików exe (jedynie z konkretnych katalogów z dysku C będą dopuszczalne). Ale czy to mi wyjdzie się okaże.
Wysłane z mojego LG-H440n przy użyciu Tapatalka
Osobiście mam wdrożone:
- całkowita blokada dysków USB
- częściowa blokada czytników płyt CD/DVD
- podział sieci na vlany
- autoryzacja po mac adresie (obcemu router się nawet nie odezwie)
- podwójny backup (pamięć z 30 dni + migawki)
- przymierzam się jeszcze do blokady obcych plików exe (jedynie z konkretnych katalogów z dysku C będą dopuszczalne). Ale czy to mi wyjdzie się okaże.
Wysłane z mojego LG-H440n przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.
Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+
"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+
"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
- BWaliszewski
- Stały Bywalec
- Posty: 370
- Rejestracja: pt gru 18, 2015 2:55 pm
- Lokalizacja: Poznań
- Kontakt:
Re: Ransomware
Tylko pamiętaj, że w niektórych przypadkach [charakter pracy danej firmy] - blokada USB i dysków USB - po prostu nie jest możliwa. VLAN'y - ok i blokowanie w MAC'ów w macierzystym - też ok i nad tym pomyślę [bo mam VLANy bez blokad].
Widzę, że należysz do bardzo restrykcyjnych administratorów Ma to wiele plusów... lubią CIę jeszcze
Mnie "nie lubią" za hasła, które wymyślam, a tam gdzie wdrażam politykę zmian haseł co miesiąc, to klną mnie przy każdej wizycie
Widzę, że należysz do bardzo restrykcyjnych administratorów Ma to wiele plusów... lubią CIę jeszcze
Mnie "nie lubią" za hasła, które wymyślam, a tam gdzie wdrażam politykę zmian haseł co miesiąc, to klną mnie przy każdej wizycie
RT6600ax / SRM 1.3.1-9346 Update 8
DS923+ DSM 7.2.1-69057 Update 4 / 16GB RAM / 4x WDRed 3TB
APC Back-UPS ES 700G
DS923+ DSM 7.2.1-69057 Update 4 / 16GB RAM / 4x WDRed 3TB
APC Back-UPS ES 700G
- BWaliszewski
- Stały Bywalec
- Posty: 370
- Rejestracja: pt gru 18, 2015 2:55 pm
- Lokalizacja: Poznań
- Kontakt:
Re: Ransomware
Do zabezpieczeń które wdrażam - dodam jeszcze rzecz, która nie dla każdego admina jest oczywista, czyli USER zawsze jest USEREM, a nie że ma uprawnienia ADMINISTRATORA...
RT6600ax / SRM 1.3.1-9346 Update 8
DS923+ DSM 7.2.1-69057 Update 4 / 16GB RAM / 4x WDRed 3TB
APC Back-UPS ES 700G
DS923+ DSM 7.2.1-69057 Update 4 / 16GB RAM / 4x WDRed 3TB
APC Back-UPS ES 700G
-
- Godfather
- Posty: 1326
- Rejestracja: wt gru 15, 2015 12:19 pm
- Lokalizacja: Żyrardów
Re: Ransomware
Wszyscy w domenie więc nie mają za wiele praw. Do tego wiele obcięte przy pomocy polis grupowych. User na prawach admina to same problemy. Niestety jest wielu po fachu co tego nie rozumie albo im się nie chce, albo nie wiedzą.
Co do haseł to się nasłuchałem przez pierwsze 3 miesiące od wdrożena jaki to ja zły jestem dla nich. Do tego wymuszona zmiana co 30 dni, wygaszacz z blokadą, pamięć 24 ostatnich haseł by to cwani nie jechali ciągle na jednym, złożoność hasła. Sądziłem że będzie już dobrze ale doczytałem się iż w moim przypadku potrzeba haseł 8 znakowych a nie 6 więc zaczęło się od początku.
Do wymiany danymi miedzy pokojami, wydziałami mają utworzone i podmapowane dyski sieciowe wspólny ogólny i wydziałowy.
Sądzę że tak źle ze mną nie mają.
Wysłane z mojego LG-H440n przy użyciu Tapatalka
Co do haseł to się nasłuchałem przez pierwsze 3 miesiące od wdrożena jaki to ja zły jestem dla nich. Do tego wymuszona zmiana co 30 dni, wygaszacz z blokadą, pamięć 24 ostatnich haseł by to cwani nie jechali ciągle na jednym, złożoność hasła. Sądziłem że będzie już dobrze ale doczytałem się iż w moim przypadku potrzeba haseł 8 znakowych a nie 6 więc zaczęło się od początku.
Do wymiany danymi miedzy pokojami, wydziałami mają utworzone i podmapowane dyski sieciowe wspólny ogólny i wydziałowy.
Sądzę że tak źle ze mną nie mają.
Wysłane z mojego LG-H440n przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.
Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+
"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+
"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
-
- Trochę Wie
- Posty: 113
- Rejestracja: śr lis 30, 2016 12:39 pm
Re: Ransomware
Tak. Program dostała na maila.Przemuss pisze:A wiesz chociaż skąd ta osoba wzięła ten niebezpieczny program?
Są w sumie 2 drogi:
- na USB
- dostała linka poczta i go uruchomiła
Wysłane z mojego LG-H440n przy użyciu Tapatalka
Była to placówka budżetowa więc nie ma tam serwera i domeny. Nie mogę wymusić pewnych zabezpieczeń. Jest ograniczona możliwość konfiguracji bo są wersje Home ulubionego systemu. Konto z ograniczeniami ale niewiele to pomogło.
Blokowanie usb, cd lub inne większe lub mniejsze restrykcje nie wchodzą w grę.
1 x DS 218+ / 4TB Seagate IronWolf
1 x DS 218+ / 3TB WD RED
5 x DS 218j / 2-4TB WD RED/Seagate IronWolf
9 x DS 216j / 2-4TB WD RED/Seagate IronWolf
2 x DS 216se / 3 TB / Toschiba
1 x DS 115j / 2TB WD RED
1 x DS 218+ / 3TB WD RED
5 x DS 218j / 2-4TB WD RED/Seagate IronWolf
9 x DS 216j / 2-4TB WD RED/Seagate IronWolf
2 x DS 216se / 3 TB / Toschiba
1 x DS 115j / 2TB WD RED
-
- Wtajemniczony
- Posty: 212
- Rejestracja: pt gru 11, 2015 11:01 am
Re: Ransomware
Brakuje wam jeszcze blokowania makr w office na stacjach roboczych
QNAP TVS-471 / 6.1.3-15152-6 / 2x Segate 2TB RAID1 btrfs / 4GB RAM
DS918+ / DSM 6.2 / Segate 2TBx3/ SSD120GB / 8 GB RAM mod
DS710+ / DSM 4.2 / Segate 2TB / 2GB RAM mod
DS918+ / DSM 6.2 / Segate 2TBx3/ SSD120GB / 8 GB RAM mod
DS710+ / DSM 4.2 / Segate 2TB / 2GB RAM mod
-
- Godfather
- Posty: 1326
- Rejestracja: wt gru 15, 2015 12:19 pm
- Lokalizacja: Żyrardów
Re: Ransomware
Z poziomu gpo można to zrobić na każdej stacji.
Wysłane z mojego LG-H440n przy użyciu Tapatalka
Wysłane z mojego LG-H440n przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.
Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+
"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+
"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676