|
|
Регистрация Восстановить пароль |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
Опции темы | Поиск в этой теме |
14.03.2015, 21:56 | #1 |
Участник клуба
Регистрация: 07.12.2011
Сообщений: 1,025
|
Защита от вторжения...
Задумался о примитивной защите от "вторжения".
Предпосылки: есть предприятие с разветвленным доменом и удаленными админами, которые имеют права ставить удаленно левый софт, в т.ч. шпионского характера (есть прецидент). Цель: быть предупрежденным об истале такого ПО в своем сегменте сети. Пока думаю остановится на мониторинге появления новых служб и драйверов, пользователей и групп, делать снапшоты переодически и об изменених докладывать. Может кто сталкивался с такой проблемой и есть иные способы или заготовки?
Не стесняемся, плюсуем!
|
14.03.2015, 22:04 | #2 |
Белик Виталий :)
Старожил
Регистрация: 23.07.2007
Сообщений: 57,097
|
Я сталкивался. Включал брандмауэры, и давал админам понять что они в моей сети никто. Раз прецеденты были значит кто-то должен быть ответственный. Если это ты то имеешь права требовать у начальника прав защиты.
Нужно админам обновлять - пусть звонят или дают инсталлы тебе. Мониторинг это конечно неплохо, но... это лишняя нагрузка на комп, хоть и маленькая но все же. И получается что мониторинг должен быть централизованным, иначе на куче компов надоест обновлять его базу белых программ. Я когда-то писал мониторинг, есть проект и наработки - ПО на клиенте делает по таймеру список запущенных процессов, потом посылает их список на сравнение на сервер. Тот фиксирует и докладывает мне что изменилось. 100% защиты как показала практика это не дает.
I'm learning to live...
|
14.03.2015, 22:15 | #3 |
Участник клуба
Регистрация: 07.12.2011
Сообщений: 1,025
|
я получается одмин, второй линии, "враг" - главнее и имеет больше прав, а если ставит что-то значит так надо, мне нужно только знать, что факт был, и кто под ударом.
я тут подумал, яж тоде одмин, и могу чрез WMI все удаленно вытягивать, даже без запуска клиентской части... написать скрипт или прогу и запихнуть все это TaskShed на раз в час... пойду читать WMI
Не стесняемся, плюсуем!
|
14.03.2015, 22:56 | #4 | |
Белик Виталий :)
Старожил
Регистрация: 23.07.2007
Сообщений: 57,097
|
Цитата:
Я пользуюсь таким: http://procoder.info/index.php/entry...ormaciej-ch-1/ Плюс недавно запилил такое: http://www.programmersforum.ru/showthread.php?t=274202 читать последний пост. WMI хороший выбор при наличии соответствующих прав. Собсно вот: https://msdn.microsoft.com/en-us/lib..._hmm_processes
I'm learning to live...
|
|
14.03.2015, 23:16 | #5 |
Старожил
Регистрация: 30.12.2009
Сообщений: 11,430
|
Задача из категории: "что есть матрица? Как отлиитеть, что реально а что нет?" Антивирусы уже пруцца долго-долго над этой проблемой
Но есть белый список разрешенного к запуску ПО, через политики порежде доступ админам к списку, запулите туда все хорошее ПО и не парьтесь. |
14.03.2015, 23:57 | #6 |
Форумчанин
Регистрация: 16.01.2015
Сообщений: 672
|
вопрос же не в списке, а в том что есть главный админ, который плевать хотел на списки, а автору надо начальству представить док-ва, а не просто "мамой клянусь"
это если я правильно понял |
15.03.2015, 01:24 | #7 |
Старожил
Регистрация: 30.12.2009
Сообщений: 11,430
|
Оооо, ташальбе, мешельбе шайтанама!!!1
Через WMI каждые 30 секунд получай список процессов и сервисов, если там внезапно появится интересное ПО, внезапно и доказательства будут)) |
16.03.2015, 08:34 | #8 |
Участник клуба
Регистрация: 07.12.2011
Сообщений: 1,025
|
ПО и начальнику вкатить могут... Проверка лояльности компании или слива секретов, или может кто делает вид что работает. в ПО ставит сертификат для проксирования Ssl , т.е. пароли от личной почты слить могут.
и не в доказательствах дело, а в знании - "предупрежден значит вооружен", + защита личной информации (ящики) Делаю на WMI Будет: проверка служб по белому списку проверка локальных групп/пользователей по белому списку проверка автозагрузки по белому списку (HKCU+HKLM/Run)
Не стесняемся, плюсуем!
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Защита программы от НСД. Защита путем шифрования части программы на флеш-диске или флешке. | Alina300788 | Помощь студентам | 9 | 10.06.2014 19:21 |
Защита | gufon | Работа с сетью в Delphi | 12 | 01.07.2013 14:40 |
Защита CD | buenosaire | Безопасность, Шифрование | 5 | 09.05.2010 10:47 |
Защита БД!!! | $T@LKER | БД в Delphi | 3 | 07.05.2010 03:56 |
Защита | JRcoker | JavaScript, Ajax | 13 | 31.10.2008 14:11 |