Исповедь системного администратора (многа букаф, мат)

Если есть эвристика, то вирус детектируется. Даже не знакомый.
Был у меня случай: каспер не видит, что этот файл вирус, но успешно блокирует его вредоносные действия. Я потом этот вирус отправил в Лабораторию, через пару часов его добавили в базу.

Любой офисный файл может содержать всё что угодно в одной из секций, например, бинарник. Антивирус должен уметь проверять всё открываемое и записываемое.

2Саша: На каспера так денег и не дали? Возможно, сейчас удастся, особенно, если «запугать» вирусами для смартфонов, в каспере все три популярные платформы поддерживаются.

 

+100500
А вообще как говорил мой бывший хороший друг и начальник Миша Чепов: "Лёша, запомни! Чем больше бумаги - тем чище жопа!"
Это я к тому, что девочке дается бамажка для ознакомления под роспись где она обязуется выполнять то-то и то-то, тогда-то и тогда-то.
И соот-но... не сделала - нагибайся

 

У нас традиционно др.веб

Еще раз говорю - эта дура проигнорировала предупреждение антивируса.

 

А почему антивирус ее вообще спрашивал?

Принудительный карантин файла. И вызов админа "если очень надо".

 

В борьбе с шифраторами есть только 1 вариант борьбы:
Запретить запускать все - кроме разрешенных. Через ГПО или с помощью антивируса типа Каспер Секурити и т.д.
Вся проблема в том, что программы шифраторы не содержат не какой потенциально вредоносный код:
Ведь задача шифратора - сгенерить ключ для шифраци, сообщить его хозяину, а дальше, спокойно, не торопясь зашифровать обычным легальным алгоритмом PGP файлы пользователя. В конце процесса сгенерить текстовый фаил с информацией как связаться с хозяином чтоб купить ключ.

А вообще для борьбы с шифраторами которые шифруют "важные" документы - идеально подходят системы электронного документа оборота, которые хранят файлы в БД как двоичные данные. Даже если шифратор проберется на сервер, он все равно не сможет зашифровать фаилы БД, т.к. они используются сервером БД.

 

Не просто бумажка авторства сисадмина. Начальству подносишь приказ, оно подписывает. В нем пункты -
"9. делопроизводителю ознакомить с данным приказом под роспись
10. Контроль за данным приказом возложить на ... (или оставляю за собой)"

Т.е. секретутка должна будет еще и ознакомитть всех , собрать подписи в листе ознакомления

 

+ такой бумажки - позволяет разделить ответственность. Т.к. ответственным поставят первым не тебя, а замдира... в твоем случае по безопасности.
Соот-но и разрабатывать данный приказ вы должны как минимум вдвоем.
Руководителям подразделений хомут ответственности и материальной в том числе (- % в премии за несвоевременное исполнение и вплоть до "ПНХ" за допущение нарушения самим или подчиненным) можно уже в приказном порядке.

 

1. Политикой обязать хранить важные документы в определенном месте, желательно на сервере. и каждую ночь шедулить архивчик. вааще самое простое и без баз.

2. Если на ночь компы отключают, а хранить доки на серверах нельзя, то при запуске системы хреначить архивчик с документами. Да, это увеличит время старта, но сам понимаешь, пока пришла, включила комп, накрасилась, чаю попила...

 

Вариантов куча.
Например вообще без компа. Терминальная станция и ниипет.

 

Кстати, да.
Каспер может спросить на карантин или сразу удалить. И обязательно зафиксирует факт получения вируса.

Восстановить, добавить в доверенную зону, можно или по паролю или через админскую консоль.

2 fas: у тебя корпоративный антивирус?

 

Народ, вы массово и резко забываете. Задача админа не зачморить всех к хуям, не расстрелять каждого второго (но очень иногда хочется, я даже спорить не буду), не перетрахать всех блондинок от 18 до... у кого какие вкусы (ну, мало-ли кто-то любит "девушек постарше"), пусть даже и комп.грамотность половым путем не передается...

Блин. Моя задача - обеспечить юзерам инструментарий. Рабочее место на базе ПК, адекватное поставленным перед юзером задачам.

Общая проблема в том, что квалификация работников именно как пользоваетлей ПК зачастую критики не выдерживает. Это факт.

Но косяки при работе с ПК, не являются определяющим фактором - "поубивать всех нахер", ибо даже я всегда говорил - "Я оцениваю пользователей только как пользователей. Я не могу и не имею права оценивать их уровень по их непосредственной должности - ибо я в их задачах не в зуб ногой".

Соответственно, должен быть баланс между "шаг вправо, шаг влево" и отсутствием возможностей криворуких накосячить так, что вздрогнет все предприятие.

В прошлом случае, секретарь проебала данные на своем рабочем месте. И только. А уже моими стараниями получилось так, что кроме ее места - ничего больше не пострадало (разнос локальной и сетевой учетки).

Ну и бэкапы, бэкапы, бэкапы...

Косяк (мне предъявленный) я уже озвучил. Не застучал балбеску начальству, для профилактического взъеба за халатность.

 

Дык жестко не пропускать файлы явно определенные антивирем как вирусы в локалку - это как раз и есть разумный "баланс".

В отличие от талонов на интернет ограничения интернета и личного досмотра запрета на подключение флешек и др. внешних стройств.

 

Саш, а кто говорит зачморить?
Юзер не должен иметь возможности потерять свои документы по не знанию.
Но никто не мешает ему самостоятельно их удалить.

Вот у нас одна дама держала свои документы в корзине. Пожаловалась на отсутствие свободного места. Ну, освободили ей место… Крику было много.

 

Хых. Недавно получил подтверждение, что 12 лет назад был прав, делая сетку в офисе. Офис работает до сих пор, пережил массу переездов сотрудников, помещение делилось на три управления Компании и возвращалось в единое. Мной проложенная сетка жива и работает до сих пор Не смотря на троекраную замену активного оборудования. За всё время сменились только несколько сломанных пользователями розеток RJ-45 В марте делали лабораторию, подтвердили категорию 5e

 

"Других пользователей у нас нет, будем работать с тем, что есть" (тм) руководство.

 

Учитывая достаточно высокий средний возраст персонала (с молодежью проблем нет, там все плюс-минус лапоть компьютерно-грамотные),
то требование руководства по обучению (я про внедрение ерп) - "показать последовательность нажатия кнопок".

Блин, я с этим уже сталкивался - и я лично КАТЕГОРИЧЕСКИ против того, что бы вместо пользователя готовить оператора.

Но... "других людей у нас нет..."

 

1. если для выполнение одного действия нужно нажать несколько кнопок со странными названиями - это не проблема пользователя, это проблема конструирования софта.

2. а какая разница между "оператором ЭВМ" и "пользователем ЭВМ"?

 

Шифровалищки

Spoiler

Стал доступен функционал от шифровальщиков в WSEE: http://support.kaspersky.ru/ksws10/common
Руководство администратора: http://docs.kaspersky-labs.com/russian/kasp10.0_sc_admguideru.pdf

В дополнение отправляю Вам информацию по настройкам и возможностям:
http://support.kaspersky.ru/11721#block1 – SP1 (сервис пак, обновления)
«Добавлена возможность восстанавливать файлы, зашифрованные вредоносными программами-шифровальщиками (Внимание! Возможно восстановление только тех файлов, которые были зашифрованы во время работы компонента Мониторинг системы с включенной функцией Использовать обновляемые шаблоны опасного поведения(BSS))»

Что касается защиты от «шифровальщика» :
Для уменьшения вероятности заражения данных вредоносными программами-шифровальщиками специалисты Лаборатории Касперского рекомендуют настроить параметры Kaspersky Endpoint Security.
Указанные настройки необходимо выполнить на продуктах Kaspersky Endpoint Security 8 и 10 версии.
Во вложенных документах описание локальных настроек Антивируса и настроек для удаленного централизованного управления (политики защиты).
Для обеспечения защиты против заражение вирусом-шифровальщиком, убедитесь, пожалуйста, что компонент Мониторинг системы включен в настройках политики (Антивирусная защита -> Мониторинг системы).
Указанная информация доступна также по ссылке: http://support.kaspersky.ru/10905

Дополнительно:
∙ Шифровальщик Scatter: https://securelist.ru/blog/intsidenty/27890/ostorozhno-shifrovalshhik-scatter/

ВНИМАНИЕ!
Если у Вас заражение и шифрование все же произошло, обратитесь незамедлительно в техническую поддержку.
Также отправляю Вам преднатсроенные политики для компьютеров с различными мощностями (см. вложние).

Дополнительно:
http://www.kaspersky.ru/about/news/...access-to-the-files-for-all-victims-CoinVault
…«Лаборатория Касперского» добавила 14 031 ключ в базу для расшифровки файлов, заблокированных программами-вымогателями CoinVault и BitCryptor.»…