Thursday, 13 September 2018

50 відтінків фішингу, або руки геть із клавіатури!

Всім привіт.

Як відомо надійність системи не вища ніж надійність її користувачів. А надійність користувачів не вища, ніж надійність самого ненадійного користувача. 

Навчання користувачів це вихід всіх на один рівень розуміння безпеки важливих даних. Всі без винятку користувачі кампанії повинні розуміти та притримуватись правил комп`ютерної гігієни: розуміти важливість складних паролів, користуватися тільки надійним (дозволеним) софтом, захищати приватні гаджети, а не логінитись в них під робочим акаунтом тощо. 

Але тема номер 1 це соціальна інженерія. Далеко не всі розуміють чому не треба бігом читати листи яких не очікуеш, та запускати вбудовані в них файли. Секретар кампанії, або канцелярія, ціль номер один для зловмисників-поштарів. 

На днях на цю тему Влад Радецький опублікував розгорнутий пост "50 відтінків фішингу, або Руки геть із клавіатури!" Вчимося користуватися електронною скринькою безпечно.

Мені особисто сподобався перелік запитань до себе.

Перш ніж прийняти рішення, перш ніж натиснути на кнопку і відкрити вміст листа або ж видалити його, будь ласка, дайте собі 30 секунд і продивіться його зміст згори до низу, обов’язково поставте собі такі прості запитання:

  • Від кого надійшов лист? Яка його тема?
  • Кому надіслано листа? Вам чи відділу, де ви працюєте?
  • Чи є приєднання?
  • Текст листа – чи збігається текст листа з його темою?
  • Про що вас намагаються попросити? Чи маєте ви право це робити?
  • Чи є в кінці листа підпис тієї особи, яка начебто писала його вам?
  • Чи співпадає поштова скринька, з якої ви отримали цього листа, з доменним ім’ям тієї організації, що вказана в підписі?
  • Чи співпадає зазначена в підписі листа організація тій, що вказана в темі листа або ж у його тексті?
  • Чи помічаєте ви грубі граматичні та/або орфографічні помилки в тексті листа?
  • Чи містить текст листа будь-які посилання?


Будь підозрілим до всього. Ви саме такі? А ваша секретарша? То ж маєте непогану нагоду поспілкуватися з нею детальніше.)

Wednesday, 12 September 2018

А Windows 7 еще в строю.

Всем привет.

Хорошая новость для ваших капиталовложений.

Windows 7 по-прежнему остается самой популярной ОС от Microsoft среди корпоративных пользователей, и компании не спешат переходить на Windows 10. Расширенная поддержка Windows 7 должна была закончиться 14 января 2020 года, однако Microsoft решила продлить ее еще на 3 года. Об этом в блоге компании сообщил вице-президент Microsoft по маркетингу Office и Windows Джаред Спатаро в пятницу, 7 сентября.

Продленная расширенная поддержка обновлений безопасности (ESU) будет доступна для пользователей Windows 7 Professional и Windows 7 Enterprise, являющихся участниками программ корпоративного лицензирования (Volume Licensing) Microsoft.

Поддержка будет платной – плата будет взиматься за каждое отдельное устройство и повышаться с каждым годом. Участники программы поддержки Microsoft Software Assurance и владельцы лицензий Windows 10 Enterprise или Windows 10 Education смогут получить скидку на расширенную поддержку.

Домашние пользователи не смогут воспользоваться данным предложением.

Решение производителя продлить поддержку также означает, что пользователи Office 365 ProPlus продолжат получать обновления программы на компьютерах под управлением Windows 7 до января 2023 года.

Помимо прочего, Microsoft пришлось признать недовольство корпоративных пользователей стремительными темпами обновления Windows 10. Как сообщил Спатаро, текущие поддерживаемые функциональные обновления (1607, 1703, 1709 и 1803) получат 30-месячную поддержку с их исходных дат выпуска. В частности, 30-месячную поддержку от Microsoft получит сентябрьское функциональное обновление Windows 10.

А как же старушка Windows XP? Корпорация Microsoft официально прекратила поддержку Windows XP еще в 2014-м. Это означает, что компьютеры под управлением этой ОС больше не получают автоматические обновления, из-за этого система становится уязвимой к атакам в случае обнаружения критических уязвимостей. Правда было известное поступление в прошлом году. В качестве единственной рекомендации Microsoft предлагает обновляться до современных версий Windows, но на практике это не всегда представляется возможным. Где-то до сих пор используется старое "железо", кто-то не хочет или не может тратить деньги на новые лицензии, а кого-то сдерживает старый софт.

Sunday, 9 September 2018

GPO и Powershell.

Всем привет.

Что разобраться с политиками домена и порядком их применения может понадобиться отчет от Powershell. Для этого вначале надо выполнить импорт двух модулей
Import-Module ActiveDirectory
Import-Module GroupPolicy

А далее все просто. Прочитать в формате HTML все политики домена можно так:

Get-GPOReport -All -ReportType HTML -Path "d:\GPOReport1.html"

Получить результирующую политику для вашего хоста:

Get-GPResultantSetOfPolicy -ReportType Html -Path "d:\result.html"

Получить результирующую политику для вашего хоста в формате XML:

Get-GPResultantSetOfPolicy -ReportType xml -Path "d:\res2.xml"

Обычно имеет смысл узнать в каком порядке применились политики. Такой порядок выбирается так:

[xml]$xml = Get-Content d:\res2.xml
$xml.DocumentElement.ComputerResults.GPO | select name, @{LABEL="LinkOrder";EXPRESSION={$_.link.linkorder}} | sort linkorder

Сохранить политики не забываем так:
Backup-GPO -All -Path "d:\backup"
И лучше такую процедуру поставить на расписание.

Восстановить все аналогично таким образом:
Restore-GPO -All -Path "d:\backup"

Saturday, 8 September 2018

Корпоративный desktop пользователя.

Всем привет.

Оказывается идея разместить каждому пользователю важное сообщение на экран монитора про корпоратив имеет своих последователей. 

Если вы помните мы такое проходили раньше с экраном приветствия при входе в ПК. Я проверял это на 7-ке. Как такое же работает на 10-ке пока не знаю, но позже обязательно проверю.

А сегодня проверял идею коллеги как заменить всем пользователям обои на рабочем столе. Как правило, такое требование возникает в крупных кампаниях, требующих от пользователей использовать единообразный вид фонового рисунка рабочего стола, выполненного в корпоративном стиле компании. Настройка обоев рабочего стола с помощью групповых политик выполняется не сложно. Собственно весь порядок хорошо расписан здесь.

Процедура эта работает. Единственное что для 10-ки политика рабочего стола может применится не с первого раза. Windows 10 каким то образом кеширует картинку и если она не меняется на следующий логин по времени или имени, то она ее не меняет. Т.е. считает что все осталось прежним. Сам кеш картинки находится здесь
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.

Именно вот этот файл TranscodedWallpaper без расширения и есть тот самый jpg который вы видите. Продвинутый пользователь его может даже поменять.)

Запрещать пользователям менять фоновый рисунок рабочего стола через ту же политику смысла не вижу ибо юзер уже и так ничего не может сделать штатными средствами Windows. 

С точки зрения морали лучше или сразу садить пользователя за ПК с корпоративным лого. Или предупредить за день потому как любимые котики и дельфинчики с экрана исчезнут навсегда. Рисунок накрывается новым.

Какие могут еще варианты? Бывают, например, хотелки разместить больще важной информации для всех. Тогда это переростает в настройку корпоративного скринсейвера в виде слайдшоу с помощью тех же GPO.  Это хороший вариант и менее болезненный чем, скажем, сделать тоже самое для Windows 7/10 как слайд-шоу для desktop-а.

Итого уже 4 варианта. Вы знаете больше?





Thursday, 6 September 2018

Группы в AD - типы и область действия.

Всем привет.

Начиная работать с АD первым делом следует разобраться с группами. Ибо дальше вы просто не продвинетесь в планировании своей инфраструктуры.

В АD существует два типа групп: безопасности и распространения. При создании группы нужно выбрать ее тип в диалоговом окне Новый объект - Группа (New Object - Group). 

Группы распространения изначально используются приложениями  электронной почты. Эти группы - не субъекты безопасности и не содержат SID-идентификаторы. Поэтому им нельзя назначать разрешения доступа к ресурсам. Сообщение, отправленное группе распространения, будет переслано всем ее членам. 

Группы безопасности представляют собой принципалы безопасности с SID-идентификаторами. Поэтому такие группы можно использовать как элементы разрешений в списках ACL для управления безопасностью доступа к ресурсам. Группы безопасности могут также служить приложениям электронной почты в качестве групп распространения. Если группа будет использоваться для  управления безопасностью, она должна быть группой безопасности. Поскольку группы безопасности можно применять и для доступа к  ресурсам, и для распространения электронной почты, многие организации  используют только группы безопасности. Тем не менее если группа будет применяться только для распространения электронной почты, рекомендуется создать группу распространения. Иначе группе будет назначен SID-идентификатор, который добавляется в маркер безопасности доступа пользователя, увеличивая таким образом его размер.

Помимо типа групп существует три области действия для каждой группы:

Локальная в домене - используется для управления разрешениями доступа к ресурсам в пределах всего домена.

Глобальная группа - используется для определения коллекции объектов доменов на основании бизнес-правил и управление объектами, которые требуют ежедневного использования.

Универсальная группа - Рекомендуется использовать в лесах из множества доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах.

Версия на печать

Популярное

Медиа облако