Slym

Задумался о примитивной защите от "вторжения".
Предпосылки: есть предприятие с разветвленным доменом и удаленными админами, которые имеют права ставить удаленно левый софт, в т.ч. шпионского характера (есть прецидент).
Цель: быть предупрежденным об истале такого ПО в своем сегменте сети.

Пока думаю остановится на мониторинге появления новых служб и драйверов, пользователей и групп, делать снапшоты переодически и об изменених докладывать.

Может кто сталкивался с такой проблемой и есть иные способы или заготовки?

Stilet

Я сталкивался. Включал брандмауэры, и давал админам понять что они в моей сети никто. Раз прецеденты были значит кто-то должен быть ответственный. Если это ты то имеешь права требовать у начальника прав защиты.
Нужно админам обновлять - пусть звонят или дают инсталлы тебе.
Мониторинг это конечно неплохо, но... это лишняя нагрузка на комп, хоть и маленькая но все же. И получается что мониторинг должен быть централизованным, иначе на куче компов надоест обновлять его базу белых программ. Я когда-то писал мониторинг, есть проект и наработки - ПО на клиенте делает по таймеру список запущенных процессов, потом посылает их список на сравнение на сервер. Тот фиксирует и докладывает мне что изменилось. 100% защиты как показала практика это не дает.

Slym

я получается одмин, второй линии, "враг" - главнее и имеет больше прав, а если ставит что-то значит так надо, мне нужно только знать, что факт был, и кто под ударом.

я тут подумал, яж тоде одмин, и могу чрез WMI все удаленно вытягивать, даже без запуска клиентской части... написать скрипт или прогу и запихнуть все это TaskShed на раз в час... пойду читать WMI

Stilet

Да, если права есть, можно и с его помошью получать информацию.
Я пользуюсь таким: http://procoder.info/index.php/entry...ormaciej-ch-1/
Плюс недавно запилил такое: http://www.programmersforum.ru/showthread.php?t=274202 читать последний пост.
WMI хороший выбор при наличии соответствующих прав.
Собсно вот: https://msdn.microsoft.com/en-us/lib..._hmm_processes

Человек_Борща

Задача из категории: "что есть матрица? Как отлиитеть, что реально а что нет?" Антивирусы уже пруцца долго-долго над этой проблемой

Но есть белый список разрешенного к запуску ПО, через политики порежде доступ админам к списку, запулите туда все хорошее ПО и не парьтесь.

lomastr_

вопрос же не в списке, а в том что есть главный админ, который плевать хотел на списки, а автору надо начальству представить док-ва, а не просто "мамой клянусь"
это если я правильно понял

Человек_Борща

Оооо, ташальбе, мешельбе шайтанама!!!1

Через WMI каждые 30 секунд получай список процессов и сервисов, если там внезапно появится интересное ПО, внезапно и доказательства будут))

Slym

ПО и начальнику вкатить могут... Проверка лояльности компании или слива секретов, или может кто делает вид что работает. в ПО ставит сертификат для проксирования Ssl , т.е. пароли от личной почты слить могут.
и не в доказательствах дело, а в знании - "предупрежден значит вооружен", + защита личной информации (ящики)
Делаю на WMI
Будет:
проверка служб по белому списку
проверка локальных групп/пользователей по белому списку
проверка автозагрузки по белому списку (HKCU+HKLM/Run)