Про вирусы-шифровальщики
Борьба с вирусами и их последствиями занимает значительную часть времени у нерадивого системного администратора. Хороший администратор работает превентивно, не допуская появления вирусов в локальной сети. Первым делом мы проводим аудит на использование в организации опасных и заведомо устаревших сетевых протоколов.
Далее тестируем и затем применяем ряд мер, позволяющий значительно поднять нижнюю планку безопасности. С помощью штатной политики мы отключим запуск любых потенциально опасных расширений. Даже при наличии необходимых привилегий пользователь не сможет запустить опасный скрипт. Следующим шагом мы позаботимся чтобы у пользователей не было администраторских прав доступа.
Шифровальщики используют уязвимости в древнем протоколе smb1, разработанном в 1983 году фирмой IBM, впоследствии в 2000 году доработанным майкрософт (smb-direct), в висте (ядро nt 6.0) microsoft кардинально переработал сетевой стек и появилась безопасная версия smb 2.0, а в восьмерке 3 версия, на данный момент в ОС win10 используется версия 3.0.2 и выше. ОС линукс и mac os от apple также нуждаются в отключении данного протокола.Это хорошо заметно по обновлениям, которые все компании выпустили сразу после вируса wannacry. Патч закрытия критической уязвимости в SMBv1 был выпущен Майкрософтом 14 марта 2017 года
Соответственно пк с xp, работающие только с smb1 удаляются как класс. Бюджетные сетевые сканеры, сканирующие по сети на сервер, добавляются в исключения либо переходят на другую технологию- сканируют на почту или флэшку. Отключение протокола NETBIOS позволит ускорить согласование перед передачей файлов. Следующим шагом мы подключим все рабочие станции и сервера клиента к собственному серверу обновлений, что позволит загружать проверенные критические обновления безопасности.
Принудительно включив цифровую подпись между сервером и клиентами для внутри доменной аутентификации мы дополнительно усилим безопасность. Утилита, которая достанет ключ, при помощи которого можно расшифровать файлы уже подвергшиеся заражению у нас есть. При этом компьютер не должен быть ни разу перезагружен после появления окна WannaCry. Если это произошло, то утилита не поможет. Если нет задачи доступа к данным пк по сети, то отключается привязка к сетевому адаптеру.
Далее следует применение многочисленных групповых политик, отключающих возможность отладки, сокращающих время хранения хешей паролей в памяти, отключающих устаревшие протоколы аутентификации и многое другое. Обращу внимание, что все эти меры штатные, не требующие никаких финансовых вложений. Их применение зависит исключительно от квалификации обслуживающего персонала.
А LOW END админы, сидят на окладах в офисах, годами ничему не учатся и работающие по принципу “установлю винду по дефолту, а если вирус поймаю переставлю винду и пусть работодатель платит вымогателям или остается без данных”. У таких людей вечно вендор (майкрософт) плохой, а они непризнанные гении современности.

СВЯЗАТЬСЯ С НАМИ