![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Новая интересная угроза
Dec. 3rd, 2017 10:06 amДля кукбука-3.
Новая интересная угроза со стороны неквалифицированных кадров.
Допустим, вы большая международная контора, даже французская.
С штатом в РФ. И в штат вы понабрали .. ну кого попало по сути, квалифицированный персонал везде дорогой, а кому-то надо менять картриджи.
Персонал действительно слабоват - по паре месяцев не может поставить драйвера на видеокарту, грешит на то, что обновления Windows уже не те. Криворукие-с.
Но и начальник по ИТ у местного отделения слабоват - не может отчислить таких кадров на мороз (правда, никто не гарантирует что другие будут лучше. Лучшие из худших так сказать).
На выходе у таких кадров рождается идея - а чего это мы используем WDS с эталонными образами, давайте запилим туда ZVER DVD - там сразу и офис, и драйвера, и обои нескучные.
Возникает вопрос, как это предотвратить.
В пределах локальной сети, если такой персонал не имеет доступа ни к физическому серверному сегменту, ни к настройкам сетевого оборудования - понятно, что делать, PVLAN (private vlan edge) + DHCP + VACL (VLAN ACLs (VACLs) ) - если железо позволяет
http://xgu.ru/wiki/DHCP_snooping
https://habrahabr.ru/post/165195/
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-0SY/configuration/guide/15_0_sy_swcg/vlan_acls.html
К серверам таких персонажей понятно что пускать тоже нельзя.
Однако, тем не менее, стоит озаботиться и контролем целостности исходных образов, хотя бы путем проверки md5 через утилиту fciv (Microsoft File Checksum Integrity Verifier)
https://www.microsoft.com/en-us/download/details.aspx?id=11533
Новая интересная угроза со стороны неквалифицированных кадров.
Допустим, вы большая международная контора, даже французская.
С штатом в РФ. И в штат вы понабрали .. ну кого попало по сути, квалифицированный персонал везде дорогой, а кому-то надо менять картриджи.
Персонал действительно слабоват - по паре месяцев не может поставить драйвера на видеокарту, грешит на то, что обновления Windows уже не те. Криворукие-с.
Но и начальник по ИТ у местного отделения слабоват - не может отчислить таких кадров на мороз (правда, никто не гарантирует что другие будут лучше. Лучшие из худших так сказать).
На выходе у таких кадров рождается идея - а чего это мы используем WDS с эталонными образами, давайте запилим туда ZVER DVD - там сразу и офис, и драйвера, и обои нескучные.
Возникает вопрос, как это предотвратить.
В пределах локальной сети, если такой персонал не имеет доступа ни к физическому серверному сегменту, ни к настройкам сетевого оборудования - понятно, что делать, PVLAN (private vlan edge) + DHCP + VACL (VLAN ACLs (VACLs) ) - если железо позволяет
http://xgu.ru/wiki/DHCP_snooping
https://habrahabr.ru/post/165195/
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-0SY/configuration/guide/15_0_sy_swcg/vlan_acls.html
К серверам таких персонажей понятно что пускать тоже нельзя.
Однако, тем не менее, стоит озаботиться и контролем целостности исходных образов, хотя бы путем проверки md5 через утилиту fciv (Microsoft File Checksum Integrity Verifier)
https://www.microsoft.com/en-us/download/details.aspx?id=11533
