IT-Security Step-by-step

Первичный сценарий заражения

Предпринятые меры

+ неоднократные рассылки с категорическим запретом открытия подозрительных вложений

Вторичный сценарий заражения

Предпринятые меры

+ всех заставили выключить ПК и распустили домой

Уровень

Технологии

·         Шифрование

·         Классификация данных с RMS

·         Шифрование есть?

·         RMS нет?

·         OU для Users&Admins по структуре и местоположению

·         Microsoft PAM

·         разделяемый доступ администраторов к OU

·         Microsoft PAM,

·         LAPS — нет:  уникальные административные пароли на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS).

·         Административные учетные записи, не обладающие полнотой прав на уровне всей сети (Securing-privileged-access).

·         Жесткая идентификация пользователя и на каком компьютере произведен вход в полях AD:

1.       Расширить схему AD и добавить поле для MAC-адреса компьютера;

2.       Внести в тестовый логон-script, чтобы для каждого пользователя, кто входит в сеть, напротив имени учетной записи в поле description вписывалось FDQN компьютера, с которого произведен вход;

3.       В том же скрипте вписывать в поле description в имени компьютера имя учетной записи пользователя, который вошел на этот компьютер и в новое поле по п.1 вписывать MAC-адреса компьютера

·         «бронирование» приложений и сервисов с помощью механизмов обнаружения вторжения

·         Microsoft ATA

·         Applocker

·         Device Guard

·         отключить SMB v1 как класс и прочие ненужные устаревшие сервисы

·         через AD GPO запретить User открывать разделяемые ресурсы),

·         аутентификация,

·         управление обновлениями,

·         FW,

·         защита от вторжения (IDS — подписка на Defender Advanced Thread Protection),

·         VBS,

·         Device Guard

1.       Но – VBS есть только в Windows 10 не во всех редакциях и

2.       есть рекомендации по защите хостов от Pass-the-hash/pass-the-ticket атак для Windows 7,

3.       использование рекомендованных шаблонов безопасности (для Windows 10 без VBS/DG) — отключение кеширования идентити при входе.

·         Уникальные административные пароли на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS).

·         Административные учетные записи, не обладающие полнотой прав на уровне всей сети (Securing-privileged-access).

·         шифрование (IPSec)

·         защита от вторжения (NIDS)

·         заменить все Cisco по проекту = заменить сетевые устройства, которые не поддерживают 802.1x во всей сети

·         Создать сегменты для серверов приложений (сегментированных между собой по типам приложений и требуемого сетевого доступа)

·         RADIUS

·         Включить 802.1x на сетевом уровне

·         контроль доступа,

·         App FW,

·         NAP

·         сервис фильтрации почтовых сообщений (в Microsoft Exchange) – удаление всех файлов, кроме разрешенных типов,

·         антивирусная система для электронной почты.

·         аренда аналогичных облачных сервисов Exchange Online Protection, «знания» которого не зависят от «расторопности» администраторов (время внедрения – 30 мин + обновление доменного имени)

·         ограничение доступа,

·         аппаратный контроль и аудит доступа,

·         отслеживание устройств,

·         камеры наблюдения

·         тренинги (обучение не открывать файлы),

·         предупреждения и уведомления (о возможных атаках),

·         наказания:

1.       вплоть до увольнения и судебных исков против запустивших вирус

2.       персональная ответственность админов и сетевиков за каждый следующий поломанный по сети компьютер из-за того, что его учетная запись «гуляет» по всей сети

Админы могут проигнорировать смену паролей — нужно проверить даже, если доверяешь