Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > Программная инженерия > Безопасность, Шифрование
Регистрация

Восстановить пароль
Повторная активизация e-mail

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 07.12.2013, 09:41   #1
exp_keym
 
Регистрация: 05.12.2013
Сообщений: 7
Сообщение Лечение вируса в корп. сети

Есть вирус-червь, основные каналы распространения которого - флэшки и эксплуатации известной уязвимости переполнения буфера в одной из сетевых служб операционной системы. Этот червь как-то попал в сеть (может через флешки, так как они не блокированы и разрешены всем, а может через интернет) и заразил почти все сервера и компьютеры под управлением ОС Windows. Организация в этот момент осознала необходимость в лицензионном антивирусе и наконец то купила его. ИТ-шники понаставили этот антивирус почти на все сервера и рабочие станции и им на почту посыпались уведомления об успешном лечении вирусов. Установка антивируса на оставшиеся сервера и рабочие станции была отложена до следующего дня.
Однако на следующий день с уже вылеченных этим антиврусом компьютеров снова посыпались уведомления о лечении того же самого вируса (т.е. несмотря на антивирус вылеченные ранее компьютеры был снова заражены). Что ИТ-шники сделали неправильно? Как нужно "лечить" корпоративную сеть от такого червя?
exp_keym вне форума Ответить с цитированием
Старый 09.12.2013, 11:56   #2
Noor
Участник клуба
 
Аватар для Noor
 
Регистрация: 01.11.2006
Сообщений: 1,082
По умолчанию

1. Для начала обновите саму ОС , думается мне MS уже выпустили заплатку для дырки, которую эксплуатирует вирус.
2. Если вирус уже обнаруживается, то есть описание его поведения. Возможно стоит почитать и обезопасить себя ручными настройками в ОС.
Noor вне форума Ответить с цитированием
Старый 09.12.2013, 12:46   #3
Stilet
Белик Виталий :)
Старожил
 
Аватар для Stilet
 
Регистрация: 23.07.2007
Сообщений: 57,792
По умолчанию

Цитата:
Что ИТ-шники сделали неправильно?
Все правильно. Но эффективность лечения не в этом. Одного антивиря может не хватить, тем паче что остались неполеченные машинки. Для начала нужно заблокировать на всех машинах всю сеть. Тупо поотключать ее на день-два. Потом лечить везде. После залечивания настроить файерволл на порты, которые для работы нужны. Тогда можно включать в сеть. По сообщениям антивиря на почту отлавливать машинки, которые якобы все еще атакуют и предпринимать с ними действия пожоще (винду перебивать, залечивать другими антивирусами и т.д.).
С серверами сложнее будет.
Насчет флешек заблокировать везде прямо в БИОСе. Сотрудники будут кипятком писать, но это необходимо. Разблочить можно на одной машинке у админа например, и только под его бдительностью флешки считывать.
I'm learning to live...
Stilet вне форума Ответить с цитированием
Старый 09.12.2013, 12:46   #4
Stilet
Белик Виталий :)
Старожил
 
Аватар для Stilet
 
Регистрация: 23.07.2007
Сообщений: 57,792
По умолчанию

Цитата:
Что ИТ-шники сделали неправильно?
Все правильно. Но эффективность лечения не в этом. Одного антивиря может не хватить, тем паче что остались неполеченные машинки. Для начала нужно заблокировать на всех машинах всю сеть. Тупо поотключать ее на день-два. Потом лечить везде. После залечивания настроить файерволл на порты, которые для работы нужны. Тогда можно включать в сеть. По сообщениям антивиря на почту отлавливать машинки, которые якобы все еще атакуют и предпринимать с ними действия пожоще (винду перебивать, залечивать другими антивирусами и т.д.).
С серверами сложнее будет.
Насчет флешек заблокировать везде прямо в БИОСе. Сотрудники будут кипятком писать, но это необходимо. Разблочить можно на одной машинке у админа например, и только под его бдительностью флешки считывать.
I'm learning to live...
Stilet вне форума Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск