Лечение вируса в корп. сети - Безопасность, Шифрование

exp_keym · 07.12.2013, 09:41

Есть вирус-червь, основные каналы распространения которого - флэшки и эксплуатации известной уязвимости переполнения буфера в одной из сетевых служб операционной системы. Этот червь как-то попал в сеть (может через флешки, так как они не блокированы и разрешены всем, а может через интернет) и заразил почти все сервера и компьютеры под управлением ОС Windows. Организация в этот момент осознала необходимость в лицензионном антивирусе и наконец то купила его. ИТ-шники понаставили этот антивирус почти на все сервера и рабочие станции и им на почту посыпались уведомления об успешном лечении вирусов. Установка антивируса на оставшиеся сервера и рабочие станции была отложена до следующего дня.
Однако на следующий день с уже вылеченных этим антиврусом компьютеров снова посыпались уведомления о лечении того же самого вируса (т.е. несмотря на антивирус вылеченные ранее компьютеры был снова заражены). Что ИТ-шники сделали неправильно? Как нужно "лечить" корпоративную сеть от такого червя?

Noor · 09.12.2013, 11:56

1. Для начала обновите саму ОС , думается мне MS уже выпустили заплатку для дырки, которую эксплуатирует вирус.
2. Если вирус уже обнаруживается, то есть описание его поведения. Возможно стоит почитать и обезопасить себя ручными настройками в ОС.

Stilet · 09.12.2013, 12:46

Цитата:

Что ИТ-шники сделали неправильно?

Все правильно. Но эффективность лечения не в этом. Одного антивиря может не хватить, тем паче что остались неполеченные машинки. Для начала нужно заблокировать на всех машинах всю сеть. Тупо поотключать ее на день-два. Потом лечить везде. После залечивания настроить файерволл на порты, которые для работы нужны. Тогда можно включать в сеть. По сообщениям антивиря на почту отлавливать машинки, которые якобы все еще атакуют и предпринимать с ними действия пожоще (винду перебивать, залечивать другими антивирусами и т.д.).
С серверами сложнее будет.
Насчет флешек заблокировать везде прямо в БИОСе. Сотрудники будут кипятком писать, но это необходимо. Разблочить можно на одной машинке у админа например, и только под его бдительностью флешки считывать.

Stilet · 09.12.2013, 12:46

Цитата:

Что ИТ-шники сделали неправильно?

Все правильно. Но эффективность лечения не в этом. Одного антивиря может не хватить, тем паче что остались неполеченные машинки. Для начала нужно заблокировать на всех машинах всю сеть. Тупо поотключать ее на день-два. Потом лечить везде. После залечивания настроить файерволл на порты, которые для работы нужны. Тогда можно включать в сеть. По сообщениям антивиря на почту отлавливать машинки, которые якобы все еще атакуют и предпринимать с ними действия пожоще (винду перебивать, залечивать другими антивирусами и т.д.).
С серверами сложнее будет.
Насчет флешек заблокировать везде прямо в БИОСе. Сотрудники будут кипятком писать, но это необходимо. Разблочить можно на одной машинке у админа например, и только под его бдительностью флешки считывать.

07.12.2013, 09:41	#1
exp_keym Регистрация: 05.12.2013 Сообщений: 7	Лечение вируса в корп. сети Есть вирус-червь, основные каналы распространения которого - флэшки и эксплуатации известной уязвимости переполнения буфера в одной из сетевых служб операционной системы. Этот червь как-то попал в сеть (может через флешки, так как они не блокированы и разрешены всем, а может через интернет) и заразил почти все сервера и компьютеры под управлением ОС Windows. Организация в этот момент осознала необходимость в лицензионном антивирусе и наконец то купила его. ИТ-шники понаставили этот антивирус почти на все сервера и рабочие станции и им на почту посыпались уведомления об успешном лечении вирусов. Установка антивируса на оставшиеся сервера и рабочие станции была отложена до следующего дня. Однако на следующий день с уже вылеченных этим антиврусом компьютеров снова посыпались уведомления о лечении того же самого вируса (т.е. несмотря на антивирус вылеченные ранее компьютеры был снова заражены). Что ИТ-шники сделали неправильно? Как нужно "лечить" корпоративную сеть от такого червя?

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск

09.12.2013, 11:56	#2
Noor Участник клуба Регистрация: 01.11.2006 Сообщений: 1,051	1. Для начала обновите саму ОС , думается мне MS уже выпустили заплатку для дырки, которую эксплуатирует вирус. 2. Если вирус уже обнаруживается, то есть описание его поведения. Возможно стоит почитать и обезопасить себя ручными настройками в ОС.