потом же писали, что это не помогает

Ну так может стоит создать файл и убрать с него все права оставив только систем на нём?

спустя 2 недели новая уязвимость Irina.A, которая будет использовать созданные файлы, вот такая многоходовочка

А при попытке доступа к зашифрованным файлам выдавать табличку "Ой, всё"?

ой, всё, битки засылать сюда, козлина ты такая

ну как там Ирины любят? у меня только одна ирина была

Та Ирина, которая у меня была, любила говорить "Кончилась моя семья")

Я даж хз применима ли тут эта фраза)))

вот явно с ними что-то не так, так что аккуратней там с файлом )

Ппц использует мимикатц для компромитации :)

Какого хрена спрашивается

Майкрософт тоже на демонстрациях всяких секурити новых систем его используют

Тишина..., Чет похоже все на работу пришли и все зашифрованы

Вы компы то включили уже?

А сетку? ?

$Computers = Get-Content -Path D:\PowerShell\FILES\servers.txt # Массив с именами машин (строится из файла) foreach ($Server in $Computers) { if (Test-Connection -Computername $Server -Count 1 -quiet) { if (test-path -path "\\$server\C`$\Windows\perfc.dat") { Write-Host "$Server; Windows\perfc.dat " -ForegroundColor Green } else { # Write-Host "$Server; Нет такого файла" -ForegroundColor Red } } else { # Write-Host "$Server; НЕТ ПИНГА" -ForegroundColor YEllow } }

D:\PowerShell\FILES\servers.txt тут должен быть список машин

кто? :)

Я же говорил, что не только 17-010 ) А от mimikatz + psexec спасли бы laps и сложный пароль wa- админских учеток

И вот еще

Вирус?

Из под админа естественно нужно запускать

Доменного ?

Что? не работает ?

Там решетки убери если хочешь видеть все эти надписи

Наверняка можно workflow

? Connecting... ? login: Ivan Kozlov (@vanchence) ? password: ************d| Initializing... ? ✅ Access Allowed Добро пожаловать на канал @ConfigMgr Все правила у бота @SystemCenter_Bot Подписываемся на канал ITpro News & Reviews - https://t.me/MicrosoftRus Группа SCCM User Group Russia на Facebook Telegram группы: - SCOM: Operations Manager - IT Talks: разговоры об IT - IT Flood: флуд, конкурсы. Правил нет, будьте осторожны. ?Подписываемся.

Configuration Manager news: Update 1706 for Configuration Manager Technical Preview released https://blogs.technet.microsoft.com/configurationmgr/2017/06/26/update-1706-for-configuration-manager-technical-preview-released/ New Updates to the Azure AD Power BI content pack! https://blogs.technet.microsoft.com/enterprisemobility/2017/06/27/new-updates-to-the-azure-ad-power-bi-content-pack/ Upgrading the BIOS Part 2 https://miketerrill.net/2017/06/26/upgrading-the-bios-part-2/ Intune Azure Step by Step MSI Application Deployment Video Guide https://www.anoopcnair.com/intune-azure-end-end-msi-lob-app-deployment-video-guide/ New tool: ConfigMgr PXE Boot Log https://smsagent.wordpress.com/2017/06/27/new-tool-configmgr-pxe-boot-log/ Call to HttpSendRequestSync failed for port 80 with status code 500, text: Internal Server Error……..again! https://sccmentor.com/2017/06/27/call-to-httpsendrequestsync-failed-for-port-80-with-status-code-500-text-internal-server-error-again/ Conditional access and apps that cannot be installed on the device https://www.petervanderwoude.nl/post/conditional-access-and-apps-that-cannot-be-installed-on-the-device/ System Center Configuration Manager Technical Preview 1706 now available ! https://www.niallbrady.com/2017/06/27/system-center-configuration-manager-technical-preview-1706-now-available/

Мы пострадали как никогда...

вы в Украине?

Подведем итоги #petya #ransomware Подробности: https://www.facebook.com/altaranenco/posts/1364113076990535?pnref=story https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759 http://blog.talosintelligence.com/2017/06/worldwide–ransomware–variant.html?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=Feed:+feedburner/Talos+(Talos+Blog)&m=1 Суть: Помимо MS17–010 EternalBlue делали через стандартный APT spread: mimikatz, lsadump кредов, wmi, psexec, что и вызвало такую массовость, потому что уж MS17–010 почти все закрыли уже после Wannacry Как защититься, вкратце, базовое Изучить общее про PtH Attack. https://www.google.ru/search?q=microsoft+pth+guide Внедрить уже наконец LAPS выглядит страшно, по факту внедряется за час) https://technet.microsoft.com/en-us/mt227395.aspx?f=255&MSPPError=-2147217396 Никогда и нигде не использовать креды Domain Admin, кроме собственно DC (и максимум Exchange) Пиздить helpdesk ногами, чтобы использовали сложные пароли для wa- админских учеток с правами на рабочих станциях. Самим использовать сложные пароли для серверных sa- учеток. Задать себе наконец вопрос: какого хуя у нас открыты C$ от всех на всех??? Сделать нормальную сегментацию сети. Использовать Secure Admin Workstation в работе, либо на отдельной физической машинке, либо на виртуалке с защитой. Ну, и бэкапы конечно. UPD. Конечн же, совсем забыл. Нахуй PCI-DSS с их 90 днями на патчинг. Хорошей практикой считается установка critical и security заплаток максимум через 2 недели после MS Patch Tuesday. App Whitelisting обязателен, хотя бы SRP Антивирус - нужен на КАЖДОМ объекте, где это технически возможно.

а можешь экспортнуть файло убрав от туда все платформы? а то у меня sccm2012

хех. ну как я и говорил про антивири

петенька юзает psexec и пош

а тут уже хуй закроешься

чем этот ам LAPS так сложен?!

laps? а зачем тебе лапс?

НУ ОН СЛОЖНЫЙ ТЫ НЕ ВИДИШЬ ЧТО ЛИ Там Schema обновлять надо!!!

это же хранение паролей локальных админов в ад

Целых, блядь, 3 аттрибута добавить в AD )

laps? а зачем тебе лапс?

а ты выше почитай, что твой любимый вовней написал

Целых, блядь, 3 аттрибута добавить в AD )

вовни. тебе не идут шутки про схему

а ты выше почитай, что твой любимый вовней написал

репостни а плз

LAPS нужен вот для чего. Есть много компаний, у которых например на сотни машин, залитых из образа, включен SID 500 Administrator, или не SID 500, но например с паролем ОЧЕНЬПРОСТОЙПАРОЛЬ123 сабж решает эту проблему)

ну это только ты можешь так

Подведем итоги #petya #ransomware Подробности: https://www.facebook.com/altaranenco/posts/1364113076990535?pnref=story https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759 http://blog.talosintelligence.com/2017/06/worldwide–ransomware–variant.html?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=Feed:+feedburner/Talos+(Talos+Blog)&m=1 Суть: Помимо MS17–010 EternalBlue делали через стандартный APT spread: mimikatz, lsadump кредов, wmi, psexec, что и вызвало такую массовость, потому что уж MS17–010 почти все закрыли уже после Wannacry Как защититься, вкратце, базовое Изучить общее про PtH Attack. https://www.google.ru/search?q=microsoft+pth+guide Внедрить уже наконец LAPS выглядит страшно, по факту внедряется за час) https://technet.microsoft.com/en-us/mt227395.aspx?f=255&MSPPError=-2147217396 Никогда и нигде не использовать креды Domain Admin, кроме собственно DC (и максимум Exchange) Пиздить helpdesk ногами, чтобы использовали сложные пароли для wa- админских учеток с правами на рабочих станциях. Самим использовать сложные пароли для серверных sa- учеток. Задать себе наконец вопрос: какого хуя у нас открыты C$ от всех на всех??? Сделать нормальную сегментацию сети. Использовать Secure Admin Workstation в работе, либо на отдельной физической машинке, либо на виртуалке с защитой. Ну, и бэкапы конечно. UPD. Конечн же, совсем забыл. Нахуй PCI-DSS с их 90 днями на патчинг. Хорошей практикой считается установка critical и security заплаток максимум через 2 недели после MS Patch Tuesday. App Whitelisting обязателен, хотя бы SRP Антивирус - нужен на КАЖДОМ объекте, где это технически возможно.

у нас паролей локальных админов не знает никто

"Никогда и нигде не использовать креды Domain Admin, кроме собственно DC (и максимум Exchange)"

бугога

вовни бляснул

Не, давайте по чесноку Локальных админов можно вообще выключить))

exchange, доменный админ

Где я не прав про DA?

суууууукаав

Где я не прав про DA?

у нас они отключаются сразу

генерится пароль в 256 сивмолов и хуяк - нет локального админа

ERROR: S client not available

Вовни, ты забыл написать про Restricted Groups тогда еще

Ну я же без жести написал))) Жестить с делегированием можно бесконечно)

сразу видно ексч не нюхал ни разу

давай, дополняй свою партянку

без жести бля

Бля, сорян, точно. Все время забываю.

доменные админы по умолчанию НЕ МОГУТ управлять эксчем

если только какоенить упоротое иб им права не делегирует

и мальчик забыл про границы безопасности

а еще доменный админ не должен иметь возможности логиниться локально на рабочие станции. и прочее-прочее. я же уже скидывал портянку от МС

вот у меня 3 леса

"по умолчанию НЕ МОГУТ" емнип, по дефолту без split permissions группа DA сразу входит в Org Management

"по умолчанию НЕ МОГУТ" емнип, по дефолту без split permissions группа DA сразу входит в Org Management

бугога

по умолчанию туда входит юзер ставивший эксч

вот у меня 3 леса

я доменный юзер в лесу организации

бугога

ну все, нормик? счас будете бомбить?

трастов нет, населено все роботами

ну все, нормик? счас будете бомбить?

да че его бомбить

https://technet.microsoft.com/en-us/library/mt631194.aspx Вовни, просвящайся

Ну, это аналог общего по PtH

даркнет освой сначала

потом будешь в иб приходит

даркнет освой сначала

что? где? дайте ссылку

я опять что-то упустил в вашем сраче, походу

ИБ это хобби для меня, не более) хотя, хм, зная тенденции и уровень многих ИБшников, особенно бумажных и тех которые отчетики читают - я б не затерялся)

ИБ это хобби для меня, не более) хотя, хм, зная тенденции и уровень многих ИБшников, особенно бумажных и тех которые отчетики читают - я б не затерялся)

а что для тебя основная работа?

иб - хобби. гыг