Sergey
laps? а зачем тебе лапс?
Evgeny
НУ ОН СЛОЖНЫЙ ТЫ НЕ ВИДИШЬ ЧТО ЛИ
Там Schema обновлять надо!!!
Sergey
это же хранение паролей локальных админов в ад
Evgeny
Целых, блядь, 3 аттрибута добавить в AD )
Evgeny
LAPS нужен вот для чего.
Есть много компаний, у которых например на сотни машин, залитых из образа, включен SID 500 Administrator, или не SID 500, но например с паролем ОЧЕНЬПРОСТОЙПАРОЛЬ123
сабж решает эту проблему)
Sergey
ну это только ты можешь так
Vasya
Подведем итоги #petya #ransomware
Подробности:
https://www.facebook.com/altaranenco/posts/1364113076990535?pnref=story
https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
http://blog.talosintelligence.com/2017/06/worldwide–ransomware–variant.html?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=Feed:+feedburner/Talos+(Talos+Blog)&m=1
Суть:
Помимо MS17–010 EternalBlue делали через стандартный APT spread: mimikatz, lsadump кредов, wmi, psexec, что и вызвало такую массовость, потому что уж MS17–010 почти все закрыли уже после Wannacry
Как защититься, вкратце, базовое
Изучить общее про PtH Attack.
https://www.google.ru/search?q=microsoft+pth+guide
Внедрить уже наконец LAPS
выглядит страшно, по факту внедряется за час)
https://technet.microsoft.com/en-us/mt227395.aspx?f=255&MSPPError=-2147217396
Никогда и нигде не использовать креды Domain Admin, кроме собственно DC (и максимум Exchange)
Пиздить helpdesk ногами, чтобы использовали сложные пароли для wa- админских учеток с правами на рабочих станциях.
Самим использовать сложные пароли для серверных sa- учеток.
Задать себе наконец вопрос: какого хуя у нас открыты C$ от всех на всех??? Сделать нормальную сегментацию сети.
Использовать Secure Admin Workstation в работе, либо на отдельной физической машинке, либо на виртуалке с защитой.
Ну, и бэкапы конечно.
UPD. Конечн же, совсем забыл.
Нахуй PCI-DSS с их 90 днями на патчинг. Хорошей практикой считается установка critical и security заплаток максимум через 2 недели после MS Patch Tuesday.
App Whitelisting обязателен, хотя бы SRP
Антивирус - нужен на КАЖДОМ объекте, где это технически возможно.
Sergey
у нас паролей локальных админов не знает никто
Sergey
"Никогда и нигде не использовать креды Domain Admin, кроме собственно DC (и максимум Exchange)"
Sergey
бугога
Sergey
вовни бляснул
Evgeny
Не, давайте по чесноку
Локальных админов можно вообще выключить))
Sergey
exchange, доменный админ
Evgeny
Где я не прав про DA?
Sergey
суууууукаав
Sergey
генерится пароль в 256 сивмолов и хуяк - нет локального админа
Vasya
Вовни, ты забыл написать про Restricted Groups тогда еще
Evgeny
Ну я же без жести написал))) Жестить с делегированием можно бесконечно)
Sergey
сразу видно ексч не нюхал ни разу
Vasya
давай, дополняй свою партянку
Sergey
без жести бля
Evgeny
Бля, сорян, точно. Все время забываю.
Sergey
доменные админы по умолчанию НЕ МОГУТ управлять эксчем
Sergey
если только какоенить упоротое иб им права не делегирует
Sergey
и мальчик забыл про границы безопасности
Vasya
а еще доменный админ не должен иметь возможности логиниться локально на рабочие станции. и прочее-прочее. я же уже скидывал портянку от МС
Sergey
вот у меня 3 леса
Evgeny
"по умолчанию НЕ МОГУТ"
емнип, по дефолту без split permissions группа DA сразу входит в Org Management
Sergey
Sergey
по умолчанию туда входит юзер ставивший эксч
Sergey
трастов нет, населено все роботами
Vasya
https://technet.microsoft.com/en-us/library/mt631194.aspx
Вовни, просвящайся
Evgeny
Ну, это аналог общего по PtH
Sergey
даркнет освой сначала
Sergey
потом будешь в иб приходит
Sergey
Vasya
я опять что-то упустил в вашем сраче, походу
Evgeny
ИБ это хобби для меня, не более)
хотя, хм, зная тенденции и уровень многих ИБшников, особенно бумажных и тех которые отчетики читают - я б не затерялся)
Sergey
Sergey
иб - хобби. гыг
Vasya
и разваливать их
Sergey
ну даг убить постараться надо
Evgeny
шутки за 300
ладно, ушол разваливать дагов
Vasya
ну даг убить постараться надо
вот ты просто не умеешь. для тебя это - хобби, а для него - основная работа!!! RTFM
Anonymous
SRP,Applocker,LAPs , как оно защищает от макроса, который прилетает по почте? )
Sergey
от того что прилетает по почте защищают семинары внутри конторы
Sergey
садишь за компы, говоришь - вот письмо непонятное, там вложение - что делать будете? кто открывает вложение - бить линейкой по рукам
Anonymous
Как сказала у нас теточка одна, имея все базы в 1с после шифровальщика, я бы в любом случае открыла письмо еще раз ))
Evgeny
"от макроса, который прилетает по почте? )"
защищает ПАТЧ MS от АПРЕЛЬСКОЙ уязвимости))
Sergey
Как сказала у нас теточка одна, имея все базы в 1с после шифровальщика, я бы в любом случае открыла письмо еще раз ))
лишить зарплаты на три месяца
Anonymous
Это ее бизнес)
Sergey
не восстанавливать тогда ни че го
Sergey
зачем ей оно
Sergey
все равно сдохнет рано или поздно
Anonymous
"от макроса, который прилетает по почте? )"
защищает ПАТЧ MS от АПРЕЛЬСКОЙ уязвимости))
Ты знаешь, что такое уязвимость и макрос?
Sergey
или за деньги в 3 раза больше того что вымогают
Anonymous
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
Anonymous
Выкуп не платила
Sergey
а. ну. гы
Sergey
или бакапы подняли?
Anonymous
Да, 7 лет бух. баз
Sergey
смелая тетенька
Anonymous
Нас уже посмотреть просили позже, когда все было хорошо.
Sergey
ееж налоговая трубой от паровоза
Evgeny
От макросов спасет антивирус + SRP + немного твиков именно для cmd/powershell исполнения.
Evgeny
+ gpo signed macros only )
Vasya
От макросов спасет антивирус + SRP + немного твиков именно для cmd/powershell исполнения.
давай, рассказывай, какие? тут всем надо!!!
Evgeny
Ну нет уж)))