Wednesday, 17 October 2018

Как еще удалить McAfee Agent.

Всем привет.

Кто сталкивался тот знает что удалить McAfee VirusScan Enterprise не проблема. Штатно из списка приложений, по кнопке "Удалить". А вот с McAfee Agent такой фокус не проходит. Много чего зависит от режима работы самого агента.

Статья об удалении размещена в базе знаний MacAfee по адресу:

Но чтобы не тратить свое время вывод из нее следующий: смотря какая версия McAfee Agent у вас установлена, в строке Выполнить набрать:

"c:\Program Files\McAfee\Common Framework\frminst.exe" /forceuninstall
или
"c:\Program Files\Network Associates\Common Framework\frminst.exe" /forceuninstall 

В принципе вам просто надо найти frminst.exe и выполнить его с указанным ключиком.

Бывает что и после этого следы от McAfee остаются в системе, и мешают установке другой антивирусной программы. В таком случае для полной зачистки следов может помочь утилита mcpr.exe которую можно скачать здесь же: 

Внимание - McAfee VirusScan Enterprise должен быть деинсталирован первым.

Успехов.

Saturday, 13 October 2018

Мельница для 12-ти и старше.

Всем привет.

Как известно взрослые отличаются от самих себя в детстве только стоимостью игрушек. Не будем делать вид что мы чем-то очень отличаемся.)

Вот и сегодня речь пойдет про конструкторы для тех кому за 16-ть. Мне оказалась интересной тенденция их развития, а конкретно это деревянные конструкторы. Ранее я обращал ваше внимание на украинскую кампанию Ukranian Gears, которая  на сегодня хорошо стоит на ногах. Ее продукция отлично продается за рубежом. Она каждый год выпускает новые модели, которые становятся все сложнее и сложнее. В прошлом месяце они выпустили макет мельницы. 

Смотрите, это просто взрыв мозга. Все модели Ugears стремится делать максимально функциональными.  Надо проверить, возможно эта мельница может молоть... Ребята, вы супер! Так держать.

Wednesday, 10 October 2018

Местоположение скриптов AD у клиента.

Всем привет.

Сегодня надо было срочно выяснить какие скрипты из доменной политики применяются у пользователя при загрузке ОС Windows.

Недавно когда мне был доступен MS SCCM я знал что весь код распространения (пакеты) прилетал пользователю в папку
C:\Windows\ccmcache

Далее он там лежал по подпапкам в зависимости от заданий которые планировались администратором. Т.е. клиент MS SCCM доставлял его туда и запускал на выполнение.

Со временем кеш MS SCCM клиента занимал много места, поэтому было целесообразно его чистить периодически:
powershell -command "gwmi -Class CacheInfoEx -Namespace root\ccm\softmgmtagent | % {$_ | Remove-WmiObject; Remove-Item $_.Location -Recurse -Force;}"
или так
powershell -command "gwmi -Class CacheConfig -Namespace root\ccm\softmgmtagent | % { Get-ChildItem $_.Location |  Remove-Item -Recurse -Force }"

В политиках домена любые скрипты (BAT, CMD, JS, PS1) можно установить на Login/Logoff пользователя, а также на Start/Shutdown самой Windows.

После применения политики скрипты у клиента лягут вот сюда
C:\Windows\System32\GroupPolicy\User\Scripts
или сюда соответственно
C:\Windows\System32\GroupPolicy\Machine\Scripts

Местоположение проверить можете по результирующей политике:




Вроде ничего не забыл.
Удачи.

Monday, 8 October 2018

BAD_SYSTEM_CONFIG_INFO.

Всем привет.

Несмотря на крутую версию Windows 10 "детская болезнь левизны" у нее остается. А именно - она способна также падать в синий экран как и все ее предшественники.

Конечно меню пунктов для восстановления она имеет побогаче. Только вот результат может быть тот же - "Доктор сказал в морг, значит в морг".


Что я видел недавно так это синюю даль и сообщение внизу BAD_SYSTEM_CONFIG_INFO. Причин которые могут к этому привести целый список.

А вот решений не так густо. Поэтому представился случай проверить их все. Пойдем по порядку.

1. Первым делом предлагают обновить драйвера. Хорошее предложение, особенно если учесть что далее синего экрана у нас ходу нет.

2.Используем встроенную утилиту bcedit. Итак пробираемся по меню восстановления Choose Troubleshoot > Advanced Options > Command Prompt до командной строки. И выполняем две команды:
bcdedit/deletevalue {default} numproc
bcdedit/deletevalue {default} truncatememory

Делаем перезагрузку. Получилось? Рад за вас, а мне не помогло.

Thursday, 4 October 2018

Средство Мобильный MS Outlook.

Всем привет.

Как использовать средство «Мобильный Outlook» для подключения к серверу Exchange без построения виртуальной частной сети.

В локальной сети MS Outlook 2010 взаимодействуют с сервером Microsoft Exchange Server с помощью удаленного вызова процедур (RPC) с использованием протокола TCP/IP. В корпоративной сети этот метод обеспечивает быстрый и эффективный доступ.

Однако когда вы находится за пределами брандмауэра организации, например дома или в поездке, для доступа к серверу Exchange обычно требуется подключение к сети организации посредством виртуальной частной сети (VPN). Виртуальная частная сеть предоставляет вам подключение внутри корпоративной сети и внутри ее брандмауэра. Она также предоставляет доступ к большему количеству сетевых ресурсов, чем это необходимо для работы только с электронной почтой.

Для удаленных подключений в программе Outlook имеется средство «Мобильный Outlook» - альтернатива подключению через виртуальную частную сеть - которое позволяет работать с Outlook, как в организации, без использования специальных аппаратных средств и подключений (смарт-карт и маркеров безопасности). Программа Outlook может подключиться к серверу Exchange через Интернет с использованием удаленного вызова процедуры и протокола HTTP. Средство «Мобильный Outlook» позволяет получить доступ к учетной записи Exchange через Интернет при работе за пределами брандмауэра организации.


Для использования мобильного Outlook должны выполняться указанные ниже требования.

Ваша учетная запись размещается в Microsoft Exchange Server 2016, Exchange Server 2013, Exchange Server 2010, Exchange Server 2007.

Tuesday, 2 October 2018

OneDrive for Business или просто OneDrive?

Всем привет.

Выбирая хранилище есть вероятность спутать две вещи - OneDrive for Business и просто OneDrive.

OneDrive для бизнеса отличается от службы OneDrive, которая предназначена для хранения личных файлов, не связанных с работой. OneDrive для бизнеса также отличается от сайта группы Office 365, который используется для хранения документов группы и проектов. Если у вас малый бизнес, вы можете настроить хранилище файлов для комплексной работы с OneDrive для бизнеса и сайтами групп в Office 365.

Чем же OneDrive для бизнеса отличается от OneDrive?

Microsoft предлагает еще одну службу хранилища под названием OneDrive. Возможно, вы уже используете OneDrive для хранения документов и другого содержимого в облаке. Эта служба отличается от OneDrive для бизнеса.

OneDrive - это личное интернет-хранилище, которое вы получаете при регистрации учетной записи Microsoft или Outlook.com. С помощью OneDrive можно хранить документы, фотографии и другие файлы в облаке, делиться ими с друзьями и даже совместно работать с ними. То, как вы будете использовать эту службу, зависит только от вас.

OneDrive для бизнеса - это интернет-хранилище замешанное на SharePoint и предназначенное в основном для деловых целей. Вашей библиотекой OneDrive для бизнеса управляет ваша организация, и вы можете обмениваться документами и работать над ними совместно с другими сотрудниками. Администраторы семейства веб-сайтов вашей организации определяют, какие действия разрешены в библиотеке.

Личную библиотеку OneDrive нельзя подключить к учетной записи Office 365 для бизнеса, но вы можете копировать или перемещать файлы между этими расположениями. Для перемещения файлов между личной учетной записью OneDrive и OneDrive для бизнеса выполните указанные ниже действия.

В заголовке, а также в других местах на сайте SharePoint или Office 365 вместо OneDrive для бизнеса для простоты используется сокращенное название - OneDrive.

Ну и последнее - оба сервиса легко уживаются в одной ОС.



Monday, 1 October 2018

Есть ли альтернатива папке "Документы"?

Всем привет.

Оказывается с вирусной атакой можно бороться разными способами. Например удалить все потенциальные для заражения файлы пользователя. Типа doc, xls, pdf и т.п. Вирус пришел, а инфицировать нечего.)

Ну да ладно, уточним технические детали следующего решения. 

Наш пользователь получил команду сверху хранить все свои файлы только в папке "Документы" (ранее "Мои документы"). Со всех остальных папок и  дисков офисные файлы обещали попросту удалить с помощью применения GPO. Как для Администратора такое решение можно приветствовать ибо можно будет автоматизировать процессы бэкапов пользовательских файлов. Да и перенос всего самого "дорогого" на новый ПК будет проходить быстрее.

По умолчанию папка "Документы" находится в профиле пользователя на диске "С". В случае серьезных проблем с Windows диск "С" страдает в первую очередь вплоть до переформатирования.

Saturday, 29 September 2018

Реклама в фоне как современный идиотизм.

Всем привет.

Новый хит от рекламодателей в интернете. Теперь они решили давить нам на уши. Вначале я подумал что это шутка и я где-то пропустил всплывающее окно или очередной тизер.

Дело было так - при проверке тестовой html-странички на бесплатном хостинге narod.ru (который теперь под ucoz) я вдруг услышал аудио рекламу зубной пасты. Действительно и сам web-браузер Chrome показывал на закладке что на страничке воспроизводиться аудио контент. Но поскольку лично я туда такого ничего не ставил то сразу предположил что это подарок от ucoz-a. Видите как, иногда они рекламу ставят в всплывающий блок справа, а тут решили подать ее в фоне. Ну казалось прозвучала реклама и будет. И забыли. Какое там - после зубной пасты начался "показ" какого-то мыльного сериала... Не верите в такой идиотизм? 

Моя тестовая страничка здесь.

Как это происходит? Хостинг ucoz-a на бесплатных сайтах добавляет скрипт рекламы в начало каждой нашей html-страницы.  


Далее в зависимости от типа и версии вашего браузера появляется реклама. Например, эта же страница в Internet Explorer и Firefox выдала только визуальную рекламу в правом верхнем углу. Никакого фонового аудио не появилось.

Monday, 24 September 2018

Нас читают на DOU.UA.

Всем привет.

Имею честь сообщить моему читателю блога что нас заметили на портале DOU.UA. Я имею ввиду мои электронные книги. Пару недель тому мне прислали анкету которую я легко заполнил. Результат смотрим здесь. А ниже привожу анкету с моими ответами.

1. Как пришла идея написать книгу? Почему именно на такую тему?

Много лет я был партнером YouTube. Имею канал "Nyukers WebTV – только позитивное видео". Лет семь тому назад перечитывая видео-курсы по этой тематике других авторов в какой-то момент обнаружил что у меня самого есть что поведать людям. Так появилась идея написать первую книгу "За кулисами Youtube. Практический взгляд". Что внутри - на сорока без малого страницах представлен мой многолетний опыт сотрудничества с сервисом YouTube. А также: секреты Youtube, советы мастеров, интерактив и 3D, видео-монтаж онлайн.

Изучая плотно инструменты Goolge родилась вторая идея которая переросла в книгу "Собирайтесь дети в кучу - я вам Google отчебучу!" Искусство путешествовать - это не талант. Это стиль жизни! Я люблю путешествовать. Но перед каждым туром я сижу в Google Earth и Google Maps. Это обязательно – чем лучше ты будешь готов к туру географически тем больше ты увидишь на месте. Проверено! Поэтому хотел бы поделится своим опытом работы в таких сервисах в деталях. Раскрыть секреты нестандартного использования картографии от Google. От теории просмотра фотографий Земли к практике их активного применения. Бесплатный инструментарий путешественника. 

Следующими были две книги по профилю информационной безопасности.

"Компьютерный инцидент – от теории к практике".  Компьютерный инцидент. Вариант набора инструментальных средств исследователя (CLI Forensic Toolkit). Применение такого набора. Визуальный коррелятор данных. От теории компьютерных инцидентов к практике их исследования. Бесплатный инструментарий исследователя. 

"Пароль защитит себя сам". Точно так, а как такое может быть я рассказал каждому в этой книге. Это творение не большое по объему, но уверен, будет вам не менее интересно - варианты пароля для пользователя, графический или символьный, запомнить легко - узнать невозможно, жестикуляция, стерео-пароль, пароли для планшетного и настольного ПК. Уверен книга будет полезна абсолютно всем так как в наше время пароли есть везде и у всех! 

Книга "Визуальный Web-дизайн для чайника" родилась на волне моего знакомства с Web-дизайном в качестве хобби. Лучшие обзоры из моей практики. Подробный обзор web-инструментов для создания вашего сайта, его настройки и безопасности. С минимальными затратами на старте.

Sunday, 23 September 2018

Google Fonts нам в помощь.

Всем привет.

Сочиняя web-визитку мне не понравился фонт который мой браузер предложил по умолчанию. Если помните, ранее я боролся с этим с помощью Сufon

Но сегодня вспомнил что та же задача легко решается с помощью Google Fonts. Итак идем на портал https://fonts.google.com/. Выбираем фонт по картинке. Название запомнили? Далее берем свою html-страничку и правим следующее.

В head прописываем линк:
<link href='http://fonts.googleapis.com/css?family=Pacifico' rel='stylesheet' type='text/css'>

А в CSS прописываем:
body {
  background: white;
  color: #39313c;
  font-family: "Pacifico", serif;
  font-size: 1.25em;
  line-height: 1.875em; }

И в принципе все. Получилось так



Можете указать и более подробные параметры фонта в head:
<link href="https://fonts.googleapis.com/css?family=Open+Sans:600&amp;subset=cyrillic" rel="stylesheet">

CSS:
font-family: 'Open Sans', sans-serif;

Главное что теперь визитка будет отображаться у всех одинаково независимо от семейства фонтов установленных в ОС пользователя.

Вариантов много. Удачи.

Friday, 21 September 2018

Вперед в прошлое.

Всем привет.

Вперед в прошлое, или почему мне надоели услуги Новой Почты (НП).

Дело даже не в растущих тарифах, которые НП всегда может объяснить развитием своей логистики и ценами на бензин.

Их сервис все чаще и чаще ставит меня в тупик.

Ладно, можно принять что у них одна из самых "вкусных" баз наших персональных данных где мои паспортные данные точно привязаны к номеру телефона. Вы давали на это согласие согласно закона "О защите ПД"? Уверен что где-то там мелким почерком ваше согласие было получено.)

Но если номер утерян или уже на другом человеке, то НП все равно может легко на него принять заказ. Пусть все риски разбирательства берет на себя продавец. Кстати для информации, оказывается покупатель может НЕ взять товар даже если он ПОЛНОСТЬЮ отвечает вашему объявлению. Поэтому чтобы ни говорили кто-то при сделке рискует. И НП тут не при делах.

Вы продаете (покупаете) мобильный телефон? НП аккуратно заносит в свою базу его код IMEI. Зачем? А это законно? Хм, вы так во всех гаджетах копаетесь?

У вас пластиковый паспорт? О, тут НП решила что они прям антишпионская организация. Вы не поверите, но они такой документ не признали. Более того, НП начали копировать наши коммерческие банки и требовать бумажную копию ИПН. Для тех кто не в курсе ИПН указан на обратной стороне пластикового паспорта.

Вообщем молодцы НП, вперед в прошлое.

Thursday, 13 September 2018

50 відтінків фішингу, або руки геть із клавіатури!

Всім привіт.

Як відомо надійність системи не вища ніж надійність її користувачів. А надійність користувачів не вища, ніж надійність самого ненадійного користувача. 

Навчання користувачів це вихід всіх на один рівень розуміння безпеки важливих даних. Всі без винятку користувачі кампанії повинні розуміти та притримуватись правил комп`ютерної гігієни: розуміти важливість складних паролів, користуватися тільки надійним (дозволеним) софтом, захищати приватні гаджети, а не логінитись в них під робочим акаунтом тощо. 

Але тема номер 1 це соціальна інженерія. Далеко не всі розуміють чому не треба бігом читати листи яких не очікуеш, та запускати вбудовані в них файли. Секретар кампанії, або канцелярія, ціль номер один для зловмисників-поштарів. 

На днях на цю тему Влад Радецький опублікував розгорнутий пост "50 відтінків фішингу, або Руки геть із клавіатури!" Вчимося користуватися електронною скринькою безпечно.

Мені особисто сподобався перелік запитань до себе.

Перш ніж прийняти рішення, перш ніж натиснути на кнопку і відкрити вміст листа або ж видалити його, будь ласка, дайте собі 30 секунд і продивіться його зміст згори до низу, обов’язково поставте собі такі прості запитання:

  • Від кого надійшов лист? Яка його тема?
  • Кому надіслано листа? Вам чи відділу, де ви працюєте?
  • Чи є приєднання?
  • Текст листа – чи збігається текст листа з його темою?
  • Про що вас намагаються попросити? Чи маєте ви право це робити?
  • Чи є в кінці листа підпис тієї особи, яка начебто писала його вам?
  • Чи співпадає поштова скринька, з якої ви отримали цього листа, з доменним ім’ям тієї організації, що вказана в підписі?
  • Чи співпадає зазначена в підписі листа організація тій, що вказана в темі листа або ж у його тексті?
  • Чи помічаєте ви грубі граматичні та/або орфографічні помилки в тексті листа?
  • Чи містить текст листа будь-які посилання?


Будь підозрілим до всього. Ви саме такі? А ваша секретарша? То ж маєте непогану нагоду поспілкуватися з нею детальніше.)

Wednesday, 12 September 2018

А Windows 7 еще в строю.

Всем привет.

Хорошая новость для ваших капиталовложений.

Windows 7 по-прежнему остается самой популярной ОС от Microsoft среди корпоративных пользователей, и компании не спешат переходить на Windows 10. Расширенная поддержка Windows 7 должна была закончиться 14 января 2020 года, однако Microsoft решила продлить ее еще на 3 года. Об этом в блоге компании сообщил вице-президент Microsoft по маркетингу Office и Windows Джаред Спатаро в пятницу, 7 сентября.

Продленная расширенная поддержка обновлений безопасности (ESU) будет доступна для пользователей Windows 7 Professional и Windows 7 Enterprise, являющихся участниками программ корпоративного лицензирования (Volume Licensing) Microsoft.

Поддержка будет платной – плата будет взиматься за каждое отдельное устройство и повышаться с каждым годом. Участники программы поддержки Microsoft Software Assurance и владельцы лицензий Windows 10 Enterprise или Windows 10 Education смогут получить скидку на расширенную поддержку.

Домашние пользователи не смогут воспользоваться данным предложением.

Решение производителя продлить поддержку также означает, что пользователи Office 365 ProPlus продолжат получать обновления программы на компьютерах под управлением Windows 7 до января 2023 года.

Помимо прочего, Microsoft пришлось признать недовольство корпоративных пользователей стремительными темпами обновления Windows 10. Как сообщил Спатаро, текущие поддерживаемые функциональные обновления (1607, 1703, 1709 и 1803) получат 30-месячную поддержку с их исходных дат выпуска. В частности, 30-месячную поддержку от Microsoft получит сентябрьское функциональное обновление Windows 10.

А как же старушка Windows XP? Корпорация Microsoft официально прекратила поддержку Windows XP еще в 2014-м. Это означает, что компьютеры под управлением этой ОС больше не получают автоматические обновления, из-за этого система становится уязвимой к атакам в случае обнаружения критических уязвимостей. Правда было известное поступление в прошлом году. В качестве единственной рекомендации Microsoft предлагает обновляться до современных версий Windows, но на практике это не всегда представляется возможным. Где-то до сих пор используется старое "железо", кто-то не хочет или не может тратить деньги на новые лицензии, а кого-то сдерживает старый софт.

Sunday, 9 September 2018

GPO и Powershell.

Всем привет.

Что разобраться с политиками домена и порядком их применения может понадобиться отчет от Powershell. Для этого вначале надо выполнить импорт двух модулей
Import-Module ActiveDirectory
Import-Module GroupPolicy

А далее все просто. Прочитать в формате HTML все политики домена можно так:

Get-GPOReport -All -ReportType HTML -Path "d:\GPOReport1.html"

Получить результирующую политику для вашего хоста:

Get-GPResultantSetOfPolicy -ReportType Html -Path "d:\result.html"

Получить результирующую политику для вашего хоста в формате XML:

Get-GPResultantSetOfPolicy -ReportType xml -Path "d:\res2.xml"

Обычно имеет смысл узнать в каком порядке применились политики. Такой порядок выбирается так:

[xml]$xml = Get-Content d:\res2.xml
$xml.DocumentElement.ComputerResults.GPO | select name, @{LABEL="LinkOrder";EXPRESSION={$_.link.linkorder}} | sort linkorder

Сохранить политики не забываем так:
Backup-GPO -All -Path "d:\backup"
И лучше такую процедуру поставить на расписание.

Восстановить все аналогично таким образом:
Restore-GPO -All -Path "d:\backup"

Saturday, 8 September 2018

Корпоративный desktop пользователя.

Всем привет.

Оказывается идея разместить каждому пользователю важное сообщение на экран монитора про корпоратив имеет своих последователей. 

Если вы помните мы такое проходили раньше с экраном приветствия при входе в ПК. Я проверял это на 7-ке. Как такое же работает на 10-ке пока не знаю, но позже обязательно проверю.

А сегодня проверял идею коллеги как заменить всем пользователям обои на рабочем столе. Как правило, такое требование возникает в крупных кампаниях, требующих от пользователей использовать единообразный вид фонового рисунка рабочего стола, выполненного в корпоративном стиле компании. Настройка обоев рабочего стола с помощью групповых политик выполняется не сложно. Собственно весь порядок хорошо расписан здесь.

Процедура эта работает. Единственное что для 10-ки политика рабочего стола может применится не с первого раза. Windows 10 каким то образом кеширует картинку и если она не меняется на следующий логин по времени или имени, то она ее не меняет. Т.е. считает что все осталось прежним. Сам кеш картинки находится здесь
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.

Именно вот этот файл TranscodedWallpaper без расширения и есть тот самый jpg который вы видите. Продвинутый пользователь его может даже поменять.)

Запрещать пользователям менять фоновый рисунок рабочего стола через ту же политику смысла не вижу ибо юзер уже и так ничего не может сделать штатными средствами Windows. 

С точки зрения морали лучше или сразу садить пользователя за ПК с корпоративным лого. Или предупредить за день потому как любимые котики и дельфинчики с экрана исчезнут навсегда. Рисунок накрывается новым.

Какие могут еще варианты? Бывают, например, хотелки разместить больще важной информации для всех. Тогда это переростает в настройку корпоративного скринсейвера в виде слайдшоу с помощью тех же GPO.  Это хороший вариант и менее болезненный чем, скажем, сделать тоже самое для Windows 7/10 как слайд-шоу для desktop-а.

Итого уже 4 варианта. Вы знаете больше?





Thursday, 6 September 2018

Группы в AD - типы и область действия.

Всем привет.

Начиная работать с АD первым делом следует разобраться с группами. Ибо дальше вы просто не продвинетесь в планировании своей инфраструктуры.

В АD существует два типа групп: безопасности и распространения. При создании группы нужно выбрать ее тип в диалоговом окне Новый объект - Группа (New Object - Group). 

Группы распространения изначально используются приложениями  электронной почты. Эти группы - не субъекты безопасности и не содержат SID-идентификаторы. Поэтому им нельзя назначать разрешения доступа к ресурсам. Сообщение, отправленное группе распространения, будет переслано всем ее членам. 

Группы безопасности представляют собой принципалы безопасности с SID-идентификаторами. Поэтому такие группы можно использовать как элементы разрешений в списках ACL для управления безопасностью доступа к ресурсам. Группы безопасности могут также служить приложениям электронной почты в качестве групп распространения. Если группа будет использоваться для  управления безопасностью, она должна быть группой безопасности. Поскольку группы безопасности можно применять и для доступа к  ресурсам, и для распространения электронной почты, многие организации  используют только группы безопасности. Тем не менее если группа будет применяться только для распространения электронной почты, рекомендуется создать группу распространения. Иначе группе будет назначен SID-идентификатор, который добавляется в маркер безопасности доступа пользователя, увеличивая таким образом его размер.

Помимо типа групп существует три области действия для каждой группы:

Локальная в домене - используется для управления разрешениями доступа к ресурсам в пределах всего домена.

Глобальная группа - используется для определения коллекции объектов доменов на основании бизнес-правил и управление объектами, которые требуют ежедневного использования.

Универсальная группа - Рекомендуется использовать в лесах из множества доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах.

Sunday, 2 September 2018

Обновляем свое резюме.

Всем привет.

Оказалось что свое резюме полезно периодически править. Чтобы быть готовым. Жизнь - штука переменчивая, в наши планы она норовит внести свои поправки. 

Помните классика - покорных судьба ведет, а непокорных - тащит.

Так вот обновляя свое резюме раз в полгода, это если вы не находитесь в поиске нового пристанища своим способностям, вы можете оценить что поменялось в мире, что удалось полезного освоить, а что стоит просто забыть. Когда же судьба заставит вас пойти на поиски вы сразу оцените насколько вы, и ваше резюме, соответствуете рынку.

Я лично за последний год свое резюме радикально изменил три раза.  Это не считая того что выкинул все старое. Да, это уже история, а в мире ИТ все меняется гораздо быстрее. Плюс к этому веду две разные версии резюме, на украинском и английском языках. Для вакансий которые публикуются на разных языках соответственно. Также есть версии с фото и без.

Что должно, а чего не должно быть в вашем резюме штука лукавая, многое зависит от человека который будет его читать. Советы от бывалых можно глянуть вот здесь. Даже они иногда расходятся по некоторым пунктам на все 100. Поэтому главный совет один - не пишите то чего не знаете и чего с вами не было. А то что знали, но подзабыли указывайте из расчета что сможете быстренько перед собеседованием освежить основные моменты в памяти.

По откликам могу смело заявить что ваше образование (диплом) сейчас отходит на второй план. Более того, две из трех вакансий требуют рабочую специальность. Сейчас работодатель больше интересуется технологиями и инструментами которыми вы владеете, или имели дело с ними недавно. Сертификаты полезны только те которые, опять же, соответствуют современным технологиям. Знание Английского языка требуют практически везде с уровнем не ниже Intermediate. Даже если его применение не просматривается по вакансии. Т.е. чаще надо, но иногда потому что это в тренде. Правда была одна интересная вакансия где мне сказали что как раз хорошее знание (разговорного) английского языка не приветствуется.) Сомневаетесь? Недавно видел вакансию дизелиста-моториста с знанием английского, на вахту.

Saturday, 25 August 2018

Сопоставляем результаты поиска с разных инструментов.

Всем привет.

Хочу заметить что в процессе исследования компьютерных следов чьих-то действий следует быть максимально подозрительным. И проверять результаты поиска с разных инструментов сопоставляя их между собой.

Доверяй но проверяй!

Свежий пример.

Вы наверное знаете что в историю вашего web-браузера Internet Explorer попадает вся хронология открытия файлов на вашем ПК. Даже если он у вас установлен не по умолчанию. Такая вот тесная интеграция IE в оболочку Windows.

Итак берем BrowsingHistoryView от NirSoft и читаем нашу историю. Лично у меня не было повода не доверять результатам этого инструмента.

Выбираем файл Bellydancer.jpg который я открывал 22-го числа.
Сведения по файлу следующие:

URL  : file:///D:/vix/111/Bellydancer.jpg
Title   : 
Visit Time  : 22.08.2018 14:52:37
Visit Count : 15
Visited From : 
Web Browser  : Internet Explorer 10
User Profile     : 
Browser Profile  

Вот тут возникает вопрос - как читать время обращения до секунды если указано что файл открывался 15 раз?

Более того BrowsingHistoryView считает что это был IE 10-й версии. Ну точно нет. 10-го там не было никогда. IE там остановился на 8-й версии.


Тогда я решил проверить тот же файл своим кодом, а именно утилитой IEHistoryView. Как видите, она мне показала другое время обращения, которое даже не похоже на смещение от GMT.

И в BrowsingHistoryView и в IEHistoryView использовались вызовы API.

Таким образом вывод что надо проверять результаты даже от известных утилит.
Сюрпризы на каждом шагу.




Thursday, 23 August 2018

Мега-сборка плагинов безопасности в Firefox.

Всем привет.

Скажу сразу что я чаще пользуюсь web-браузером Chrome. Он быстрее других, его управление меня устраивает, зачем искать что-то еще. Но с web-браузером Firefox у меня особая дружба. Кстати этот браузер до сих пор работает на XP в полном объеме. Тогда как Chrome там уже не поддерживается. В Firefox-e туча полезных плагинов (add-on), которые делают из этого браузера прямо таки комбайн на нивах интернета. Единственную печаль привносит тот факт что с новой версией браузера не все любимые плагины смогут работать, и надо искать либо обновления либо альтернативу.

Ниже следует мега-сборка информации по плагинам Firefox которые позволяют вам бороздить просторы интернета более безопасно и эффективнее

Источник и полная статья здесь:

Найти все описанные дополнения можно на сайте дополнений для Firefox:

TorButton

TorButton — Расширение добавляет кнопку для простого и быстрого включения/выключения Tor в браузере. На сегодняшний день это единственное расширение Firefox которое может безопасно управлять использованием Tor из браузера, защищая от утечки IP, кук и более общих атак на приватность.

Управление прокси

MM3 ProxySwitch — В Браузере Firefox (и других программах Mozilla) Вы можете переключать установки только для одного Интернет-соединения. С MM3-ProxySwitch вы можете управлять различными конфигурациями и просто переключаться между ними.

FoxyProxy — По умолчанию, политика выбора прокси такова что через прокси сервер происходит обращение только к URL совпавшим с шаблоном.

Контроль JavaScript, Java, Flash и других нежелательных элементов страницы.

NoScript — С помощью NoScript вы сможете разрешить исполнение JavaScript, Java и других плагинов только для доменов и сайтов, установленных вами (например, это может быть ваш собственный сайт). Дополнение, основанное на принципе упреждающего блокирования, позволяет предотвратить использование уязвимостей (известных и ещё не известных!) без потери функциональности. После установки расширения в настройках можно дополнительно установить, что именно не следует загружать при открытии страницы (элементы Java, Flash, или других плагинов). В итоге вы получаете дополнение, которое не только позволяет повысить защищённость сёрфинга в сети, но и косвенным образом позволяет блокировать некоторые виды рекламы, а также межсайтовый скриптинг и т.п.

Внимание: функция белых списков (разрешения javascript для определённых доменов) требует внимательного обращения или, предпочтительно, полного отключения при использовании через Tor, так как злоумышленный exit-узел может подсунуть зловредный скрипт (или иной разрешённый объект) якобы от домена из белого списка.

Flashblock — Это расширение блокирует загрузку всех флэш-роликов с веб-страниц, оставляя вместо них пустую рамку с кнопкой. Щелкнув мышью по этой кнопке вы можете просмотреть данный флэш-ролик.

Tuesday, 21 August 2018

GLPI как беcплатный HelpDesk.

Всем привет.

Рано или поздно в любой кампании поднимается вопрос о эффективности работы подразделения ИТ. Вопрос может подниматься как непосредственным руководством в ИТ, так и вышестоящим - "Чем это вы там заняты?". Поэтому в первую очередь, логически, необходима система регистрации обращений пользователей в IT отдел. 

Что же предложить? А неплохо бы внедрить систему HelpDesk.
Для начала она должна иметь:
  • бесплатность (все берегут бюджет кампании).
  • возможность сбора статистики и построения красивых отчетов.
  • подсистему уведомлений.
  • иметь FAQ и строить свою базу знаний.

Оказалось что есть такое чудо. Ее имя  GLPI. GLPI аббревиатура для Gestionnaire libre de parc informatique (Свободная система управления  ИТ-инфраструктурой), является комплексной системой управления ИТ-инфраструктурой предприятия.

Программное обеспечение написано на языке PHP плюс MySQL, фронтенд на HTML и JavaScript, является полностью бесплатным продуктом с открытым исходным кодом (GNU General Public License, version 2.0 GNU GPLv2).

Домашняя страница проекта – http://www.glpi-project.org/spip.php?lang=en

Система GLPI может быть развернута как на открытых операционных системах типа Linux, так и на коммерческих системах типа Windows.

Sunday, 19 August 2018

Event Log Forwarding как бесплатный коллектор событий.

Всем привет. 

Продолжаем тему SIEM.

Поговорим немного про сами события, и как их можно собрать до установки SIEM.

Начиная с версии Windows 2008 Server появилась возможность по работе с журналами событий называемая  Event Log Forwarding (subscription), которая основана на технологии WinRM. Данная функция позволяет вам получить все события со всех журналов с множества серверов(и станций) без использования сторонних продуктов и настраивается все это в течении всего пары минут. Если повезет то все заработает сразу.) Возможно, именно эта технология позволит вам отказаться от платных сборщиков событий типа Splunk. Хотя надо помнить что Event Log Forwarding из коробки работает только с событиями OS Windows.

Итак у вас есть сервер Windows 2008+, запущенный в качестве коллектора логов с одного или нескольких источников. В качестве подготовительной работы нужно выполнить несколько шагов.

Для настройки Windows Event Forwarding необходимо на сервере, который будет выступать в роли Коллектора логов (сервер Windows Event Collector) выполнить следующие действия:
  • Настроить подписку (Subscription);
  • Включить и настроить службу Windows Remote Management (WinRM).

На серверах и рабочих станциях (Источник событий), с которых будут собираться логи коллектором нужно выполнить:
  • Включить отправку логов на удаленный WEC сервер;
  • Создать разрешение для сервиса Network Logon на чтение Event Log;
  • Включить службу Windows Remote Management.

Пошагово можно глянуть тут и тут.

Saturday, 18 August 2018

SELKS как ELK для Suricata.

Всем привет.

Популярное на сегодня понятие SIEM (Security information and event management) - объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) - управление информационной безопасностью, и SEM (Security event management) - управление событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.

Среди топовых SIEM можно назвать ArcSight, QRadar, Splunk, Qualys и MaxPatrol. Они все платные.

Любители бесплатных решений используют так называеемый ELK stack (Logstash+Elasticsearch+Kibana):
  • Logstash - сбор логов
  • Elasticsearch - хранение и быстрый поиск по логам
  • Kibana - визуализация

По идее в SIEM каждый администратор хочет видеть через графический интерфейс, что у него хранится в различных логах. Например, при проведении нагрузочного тестирования это позволяет получать больше информации о работе системы, а значит, повышается качество тестирования.


Thursday, 16 August 2018

Как роутер Mikrotik прокачивает скилы сетевого инженера.

Всем привет.

По счастливой случайности представилась возможность познакомиться с сетевым роутером MikroTik. MikroTik - одна из всемирно известных компаний, занимающаяся разработкой и внедрения новых технологий в беспроводные компьютерные сети. Основными достижениями MikroTik является их программное обеспечение - RouterOS, а также их знаменитое аппаратное средство - RouterBOARD.

Действительно, роутеры MikroTik позволяют в принципе решить многие сетевые задачи в кампаниях малого и среднего уровня вложив при этом средства на порядок меньшие чем за те же решения от Сisco. Более того, есть крупные кампании которые позволяют себе закрыть дополнительные вопросы сетевого оборудования с помощью MikroTik там где особо не требуется железо другого именитого бренда.

За что такая честь? Думаю что это хвала заслуженная. Вам достаточно глянуть на богатющие возможности идущие прямо из коробки - Mikrotik RouterOS - мечта сисадмина. И все это за ... 22 доллара на примере популярного MikroTik hAP lite classic (RB941-2nD).

Главная фишка Mikrotik это то что устройства компании Mikrotik поставляются с уже установленной операционной системой MikroTik RouterOS™. В зависимости от модели роутера, операционная система доступна пользователю с одним из 4-х подуровней (level 3/level4/level 5/level 6), различающихся между собой по ряду характеристик. При покупке готового оборудования лицензия уже предустановленна. Лицензию можно купить отдельно, в случае, если Вы хотите обновить Ваше оборудование с одного уровня программного обеспечения на другой.

Это значит что любой роутер Mikrotik имеет на борту RouterOS, которая имеет больше или меньше доступных функций. И вам как админу не надо изучать каждый роутер отдельно.


Wednesday, 15 August 2018

Python Programming for Hackers and Reverse Engineers.

Всем привет.

Не редко хорошая книга служит ключевым моментом в развитии профессионала. Вот и сегодня хотелось бы вам порекомендовать такую - Gray Hat Python. А полное название Python Programming for Hackers and Reverse Engineers от автора Justin Seitz. В сети можно найти перевод издания.


Python стал основным языком программирования для хакеров, инженеров-реверсоров и тестировщиков программного обеспечения, потому что им легко писать, и у него есть поддержка и библиотеки низкого уровня, которые делают хакеров счастливыми. Но до сих пор не было реального руководства по использованию Python для различных задач взлома. Вам приходилось копаться в сообщениях форума и страницах руководства, бесконечно настраивая свой собственный код, чтобы все работало. Уже нет.

Gray Hat Python объясняет концепции инструментов и методов взлома, таких как отладчики, трояны, фьюзеры и эмуляторы. Но автор Justin Seitz выходит за рамки теории, показывая вам, как использовать существующие инструменты безопасности на базе Python, и как создавать свои собственные, когда предварительно построенные не будут сокращать его.

Вы узнаете как:
  • автоматизация утомительных задач реверсирования и безопасности
  • создавайте и программируйте собственный отладчик
  • узнайте, как путать драйверы Windows и создавать мощные фьюзеры с нуля
  • получайте удовольствие от инъекций кода и библиотеки, мягких и жестких методов привязки и других программных обманщиков
  • sniff безопасный трафик из сеанса зашифрованного веб-браузера
  • используйте PyDBG, Debugger Immunity, Sulley, IDAPython, PyEMU и другие.

Код представленный в книге доступен на сайте издательства.

Так что пополняем свою библиотеку знаниями про Python.
Успехов вам в кодировании.


Sunday, 12 August 2018

Инструментарий обеспечения готовности по постановлению №95.

Всем привет.

Продолжим тему 95-й.

На форуме In4Sec c докладом "Проверка готовности к постановлению №95 от НБУ" выступил представитель фирмы "Бакотек" Игорь Смолянкин. Собственно доклад был весьма полезен тем что напротив каждого пункта Игорь предложил техническое решение, которое позволяет этот пункт реализовать на практике.

В начале вкратце Игорь напомнил всем предисторию и стандарты на которых появилась идея: 
  • ISO / IEC 27001
  • ISO / IEC 27002
  • PCI DSS
  • СУИБ и другие постановления НБУ.

Основные положения постановления: 
• контроль прав доступа, полномочий;
• выявление атак;
• мониторинг событий информационной безопасности;
• контроль доступа к сети;
• защита электронной почты;
• предотвращение атак, направленных на отказ сервисов;
• антивирусная защита;
• двухфакторная аутентификация.

А  далее по пунктам  которые требуют инструментального решения. 

36. Банк зобов’язаний розробити та затвердити внутрішні документи, які встановлюють вимоги щодо використання, надання, скасування та контролю доступу до інформаційних систем банку і мають містити: 
1) вимоги до ідентифікації, автентифікації, авторизації користувачів;
2) послідовність дій під час управління доступом, у тому числі в разі віддаленого доступу (реєстрація, надання повноважень, перегляд та скасування доступу);
3) перелік типових функцій та прав доступу до інформаційних систем банку;
4) вимоги щодо здійснення заходів контролю доступу, уключаючи контроль за діями привілейованих користувачів;
5) періодичність контролю наданих прав доступу; 
6) вимоги до протоколювання дій під час управління доступом.

Инструмент:
Quest Change Auditor
One Identity

Saturday, 11 August 2018

Декларация информационной безопасности банка.

Всем привет.

Вы читали постановление Национального банка Украины №95? Нет? А, так вы не работаете в банке. Тем не менее сей документ может быт полезен всем специалистам информационной безопасности.

Нашумевшее постановление Национального банка Украины №95 "Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України" прошлого года. Такой вот документ по информационной безопасности для коммерческих банков был издан длиной в 150 пунктов. НБУ всех предупредил.

Анализируя документ с технической точки зрения попал на замечательного коллегу по перу Максима Олейника где он в своей статье "Постанова НБУ №95. 150 шагов к безопасности банка" подробно прошелся по пунктам это постановления. Иногда останавливаясь на возникших попутно вопросах. Я бы мог вам дать просто ссылку на оригинал (впрочем вот она), но мне хочется вставить и свои пять копеек. Поэтому я позволю себе заимствовать его текст ниже почти полностью.

В этой статье мы определим суть требований изложенных в постановлении №95 Национального Банка Украины от 28 сентября 2017 года. Данный документ регламентирует требования к организации мероприятий по обеспечению информационной безопасности в банковской среде Украины. Помимо этого, мы попытаемся понять предпосылки и своевременность появления данного положения, а также сравним его требования с другими подобными европейскими и мировыми нормами.

Современные тенденции развития банковского сектора предполагают наличие широчайшего спектра услуг предоставляемых потребителям, которые они получают в реальном времени. Значит, успешно функционировать при таких условиях возможно только при эффективном и широком применении автоматизированных компьютерных систем и средств.

Повсеместная компьютеризация, помимо удобств, имеет и недостатки, т.к. корпоративная инфраструктура подвержена удаленным анонимным атакам. Разнообразие видов и целей атак постоянно увеличивается. Все об этом наслышаны, но, к сожалению, вопросы кибербезопасности были подняты на качественно новый уровень только после масштабной хакерской атаки на предприятия и учреждения Украины в 2017 году.

Вот мы и разобрались с глобальными предпосылками появления Положения №95 от НБУ и что конкретно послужило триггером этого процесса.

Первое впечатление что не случись массовая кибератака в 2017-м, то документ бы так и не родился. 

Friday, 10 August 2018

Разведка из открытых источников.

Всем привет.

Продолжим историю о том как сейчас меняется вектор атаки на ресурсы кампании. Сегодня пройдусь по следам Дениса Макрушина который специализируется на исследовании угроз и разработке технологий защиты от целевых атак.

В одной из прошлых колонок Денис рассказал о стадиях целенаправленных атак (kill chain). Первая стадия, стадия «разведки», начинается задолго до того, как атакующий дотронется до первой машины жертвы. От количества и качества данных, собранных на этом этапе, зависит успешность атаки и, самое главное, стоимость ее проведения.

Разумеется, можно стучаться эксплоитами на уязвимые сервисы, доступные на периметре (и, например, засветить сами эксплоиты и свое присутствие в логах систем защиты), а можно использовать spear phishing и закрепиться на рабочей станции внутри периметра. Результат будет достигнут в обоих случаях, но стоимость атаки совершенно разная.

Стадия разведки - ключевая для выбора тактики, техник и инструментов (tactics, techniques and procedures, далее TTPs), которые будут использоваться для достижения цели. Однако чаще всего задача разведки заключается в следующем: найти как можно больше потенциальных точек входа для доступа к цели и оценить стоимость реализации обнаруженных векторов. Для того чтобы усложнить жизнь атакующему, который проводит разведку, необходимо понимать, какие TTPs он использует на данном этапе.

По аналогии с старым автомобилем у которого двери могут быть открытыми, закрытыми и незакрытыми мы будем искать те самые Незакрытые двери.

От множества точек входа в корпоративную сеть зависит множество векторов атак, доступных злоумышленнику. Можно формально классифицировать точки входа:

  • информационные системы, расположенные на периметре и имеющие доступ в интернет (серверы, рабочие станции, административные панели специального оборудования);
  • мобильные устройства, используемые сотрудниками внутри периметра и за его пределами;
  • учетные записи в облачных сервисах сотрудников (в том числе используемые в личных целях).

Последний пункт зачастую требует от атакующего «интерактива» с жертвой (например, коммуникацию с объектом фишинговой атаки), что повышает риск обнаружения атаки. Поэтому в некоторых случаях приоритет отдается доуступным точкам входа, расположенным на периметре.

Wednesday, 8 August 2018

Foca - анализируем метаданные и не только.

Всем привет. 

Затрагивая тему защиты конечных хостов был упомянут хитрый инструмент Foca. Это такой мощный инструмент для извлечения и анализа метаданных. Так вот, Foca может извлекать данные из файлов Microsoft Office, PDF файлов, графических файлов и т.д. Foca может вытаскивать подробную информацию о месте где производилась фотосъёмка по сохранённым GPS данным.

Возможности ее таковы:
- extracts metadata from Open Office, MS Office, PDF, EPS and graphic documents.
- network discovery
- fingerprinting
- DNS Cache Snooping
- discover what websites the internal users of a network are browsing on.
- exports data into a report.
- uses Google, Bing and Exalead to find and examine the following file types on a target website - doc, ppt, pps, xls, docx, pptx, ppsx, xlsx, sxw, sxc, sxi, odt, ods, odg, odp, pdf, wpd, svg, svgz, indd, rdp, and ica. From the extracted metadata, FOCA can find information on users, folders, printers, software, emails ,operating systems, passwords, servers.

Судя по всему инструмент бесплатный, к сожалению сайт разработчика этого инструмента на сегодня умер. Поэтому проверить актуальную версию возможности нет. Тем не менее инструмент полезный, мне удалось найти версию 3.0.


Foca анализирует данные с файлов которые она выкачивает с сети, т.е. web-сайта. Локальные файлы для анализа вы можете добавить просто по выпадающей менюшке, пункт "Add file".

После того Что вы найдете встает вопрос как это все очистить.)

Для тех из вас, кто хочет избавиться от любых персональных метаданных из любых данных, которые будут разделены с другими, есть способы удалить метаданные из информации о файлах. Вы можете использовать существующий редактор документов или изображений, которые обычно имеют встроенные возможности редактировать метаданные. Но есть отличный отдельный инструмент по очистке метаданных, которые разработан для единственной цели: анонимизировать все метаданные для вашей приватности.

MAT (Metadata Anonymisation Toolkit - инструментарий анонимизации метаданных) - это отдельный чистильщик метаданных, написанный на Python. Он был разработан под крылом проекта Tor, и поставляется в стандартном наборе на Tails, продвинутую в вопросах приватности live OS.

По сравнению с другими инструментами, таким как exiftool, которые могут записывать только в ограниченное количество типов файлов, MAT может ликвидировать метаданные из файлов любого типа: изображения (png, jpg), документы (odt, docx, pptx, xlsx, pdf), архивы (tar, tar.bz2), аудио (mp3, ogg, flac) и т.д.

Sunday, 5 August 2018

Кавычки в PowerShell.

Всем привет.

Кавычки в PowerShell. Что может быть прозаичнее? Однако не спешите с выводами. Иногда хороший код начинает чудить только про причине того что не там стоит кавычка или она не та что надо, или не парная, или другого стиля. Последнее часто бывает если фрагмент кода взят с интернета.

Пойдем по порядку.

Строковые значения в PowerShell встречаются довольно часто. Как правило, они передаются командам как аргументы. Иногда строки заключаются в двойные или одинарные кавычки, а иногда обходятся без них. Неправильно поставленные (или не поставленные) кавычки являются причиной множества ошибок в коде, поэтому очень важно помнить правила работы с кавычками: когда текст нужно заключать в кавычки, когда нет и когда какой тип кавычек лучше использовать.

Для начала посмотрим, что дает нам использование кавычек. В качестве примера назначим переменной $a значение 123 и выведем ее тип данных:
$a = 123
$a.GetType()
Затем сделаем то же самое, только значение переменной заключим в кавычки:
$a = ″123″
$a.GetType()
В первом случае переменная имеет тип данных Int32 (32-разрядное число), а во втором String (строка).


Из примера видно, что наличие кавычек однозначно указывает на то, что объект имеет тип String. Другими словами, когда текст заключается в кавычки, PowerShell рассматривает его как строку.

Надо сказать, что PowerShell и сам умеет определять тип данных. Так если значение состоит из одних цифр, то объект определяется как числовой, если же в значении содержится хотя бы одна буква, то PowerShell определяет объект как строку, вне зависимости от наличия\отсутствия кавычек.

Tuesday, 31 July 2018

Защита Active Directory.

Всем привет.

Тема Active Directory продолжается. За последние четыре года ни один Black Hat или DEFCON не обошелся без докладов на тему атак на Microsoft Active Directory. Участники рассказывают о новых векторах и своих изобретениях, но не забывают и о советах, как можно их обнаружить и предотвратить. В этой статье автор портала Spy-Soft.Net рассматривает популярные способы атак на Active Directory и приводит рекомендации, которые помогут от них защититься.

А рекомендации следующие.

Сложные и длинные (>25 символов) пароли для сервисных учетных записей. Это не оставит злоумышленнику шанса провести атаку Kerberoasting, так как брутить придется очень долго.

Логирование работы PowerShell. Поможет обнаружить использование многих современных инструментов для атак на AD.

Переезд на Windows 10, Windows Server 2016. Microsoft создала Credential Guard: больше не удастся сдампить из памяти NTLM-хеши и билеты Kerberos.

Строгое разграничение ролей. Опасно сочетать в одной роли администратора AD, DC, всех серверов и рабочих машин.

Двойная смена пароля krbtgt (это та самая учетная запись, которой подписываются TGT-билеты). Каждый год. И после ухода администратора AD:
  • менять нужно дважды, так как хранится текущий и предыдущий пароль;
  • менять каждый год, а также после ухода доменного администратора. 

Даже если сеть уже скомпрометирована и злоумышленники выпустили Golden Ticket, изменение пароля делает этот Ticket бесполезным. И им снова нужно начинать все сначала.

Средства защиты с непрерывно обновляющейся экспертной базой знаний. Необходимо для обнаружения реальных актуальных атак.

Кроме этого автор приводит ряд полезных хаков с помощью SIEM MaxPatrol. А также дает совет как действовать когда может быть бесполезна.

Рекомендую.

Версия на печать

Популярное

Медиа облако