Новая интересная угроза
Dec. 3rd, 2017 10:06 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
scif_yarДля кукбука-3.
Новая интересная угроза со стороны неквалифицированных кадров.
Допустим, вы большая международная контора, даже французская.
С штатом в РФ. И в штат вы понабрали .. ну кого попало по сути, квалифицированный персонал везде дорогой, а кому-то надо менять картриджи.
Персонал действительно слабоват - по паре месяцев не может поставить драйвера на видеокарту, грешит на то, что обновления Windows уже не те. Криворукие-с.
Но и начальник по ИТ у местного отделения слабоват - не может отчислить таких кадров на мороз (правда, никто не гарантирует что другие будут лучше. Лучшие из худших так сказать).
На выходе у таких кадров рождается идея - а чего это мы используем WDS с эталонными образами, давайте запилим туда ZVER DVD - там сразу и офис, и драйвера, и обои нескучные.
Возникает вопрос, как это предотвратить.
В пределах локальной сети, если такой персонал не имеет доступа ни к физическому серверному сегменту, ни к настройкам сетевого оборудования - понятно, что делать, PVLAN (private vlan edge) + DHCP + VACL (VLAN ACLs (VACLs) ) - если железо позволяет
http://xgu.ru/wiki/DHCP_snooping
https://habrahabr.ru/post/165195/
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-0SY/configuration/guide/15_0_sy_swcg/vlan_acls.html
К серверам таких персонажей понятно что пускать тоже нельзя.
Однако, тем не менее, стоит озаботиться и контролем целостности исходных образов, хотя бы путем проверки md5 через утилиту fciv (Microsoft File Checksum Integrity Verifier)
https://www.microsoft.com/en-us/download/details.aspx?id=11533
Новая интересная угроза со стороны неквалифицированных кадров.
Допустим, вы большая международная контора, даже французская.
С штатом в РФ. И в штат вы понабрали .. ну кого попало по сути, квалифицированный персонал везде дорогой, а кому-то надо менять картриджи.
Персонал действительно слабоват - по паре месяцев не может поставить драйвера на видеокарту, грешит на то, что обновления Windows уже не те. Криворукие-с.
Но и начальник по ИТ у местного отделения слабоват - не может отчислить таких кадров на мороз (правда, никто не гарантирует что другие будут лучше. Лучшие из худших так сказать).
На выходе у таких кадров рождается идея - а чего это мы используем WDS с эталонными образами, давайте запилим туда ZVER DVD - там сразу и офис, и драйвера, и обои нескучные.
Возникает вопрос, как это предотвратить.
В пределах локальной сети, если такой персонал не имеет доступа ни к физическому серверному сегменту, ни к настройкам сетевого оборудования - понятно, что делать, PVLAN (private vlan edge) + DHCP + VACL (VLAN ACLs (VACLs) ) - если железо позволяет
http://xgu.ru/wiki/DHCP_snooping
https://habrahabr.ru/post/165195/
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-0SY/configuration/guide/15_0_sy_swcg/vlan_acls.html
К серверам таких персонажей понятно что пускать тоже нельзя.
Однако, тем не менее, стоит озаботиться и контролем целостности исходных образов, хотя бы путем проверки md5 через утилиту fciv (Microsoft File Checksum Integrity Verifier)
https://www.microsoft.com/en-us/download/details.aspx?id=11533
no subject
Date: 2017-12-03 04:05 pm (UTC)Это не считая уникумов, которые предпочтут какой-нибудь Ubuntu Live CD.
Мы сейчас это решаем (согласен, тоже далеко не идиотоустойчиво) через проверку по WinRM/ Remote PSH: если на машине не включен PSH, или не стоит SCCM-агент, или вдруг отсутствует какой-либо из артефактов, которые мы оставляем при автоинсталляции, то нам приходит письмо счастья, а локальному айтишнику - смачненькие.
no subject
Date: 2017-12-03 04:47 pm (UTC)-
У таких персонажей с правами на ввод в домен видать ниочень.
no subject
Date: 2017-12-03 07:16 pm (UTC)no subject
Date: 2017-12-03 07:47 pm (UTC)no subject
Date: 2017-12-03 04:48 pm (UTC)-
Можно через 802.1x :)
no subject
Date: 2017-12-03 07:14 pm (UTC)