Mar. 25th, 2017

scif_yar: (Default)
[personal profile] scif_yar
Читал вот этот ужоснах
https://social.technet.microsoft.com/Forums/ru-RU/ee5d6029-ae44-4c9f-812c-4b2996dedd63/-?forum=xpru

Решил написать что и как.
SRP я решил внедрять еще лет 10 назад, и внедрял с переменным успехом. Два года назад начал очередное внедрение, после пролезшего мимо антивируса шифровальщика. Данные из бекапа подняли, осадочек остался.

Что имею таки сказать.
1. Выбор applocker или Software Restriction Policies (SRP)
Без разницы.
Windows AppLocker
https://technet.microsoft.com/en-us/library/dd759117(v=ws.11).aspx
появился в семерке, когда я первые разы запускал - везде была XP. Выбора не было

2. Обучение персонала
Да, полезно - но требует обучения под роспись и действенных мер по обучению. Это бывает весьма редко, да и помогает примерно никак.

3. Защита типа "а мы не будем мапить сетевые диски диски, наделаем ярлыков" - локальные файлы все равно зашифрует, может быть неудобно.

Теперь о запуске.
1. Очевидно (но не для всех), что опыты надо сначала ставить на себе, потом на себе еще раз, потом отдельной политикой на отдельной OU.

2. SRP/applocker не отменяет антивирус

3. Вместе с политикой SRP/applocker надо писать политику распространения таска в task scheduler, которая по событию NN вызовет скрипт, который отправит вам сообщение (почта, смс, прочее) о срабатывании. Что еще туда будет записано - имя компа, имя пользователя, ип/мак, время срабатывания, прочая, прочая - дело ваше.

4. Первые полгода будет постоянно всплывать всякое говно. В частности:
4.1 Наставленный в юзерские папки софт, особенно хром и опера. Фаерфокс встречается почему-то реже. Хром еще свои репортер тулзы кладет в юзерский профиль, приходится добавлять.

4.2 обновления баз всяких кладров и прочих классификаторов для 1с и банк-клиентов.
Индивидуально надо настраивать, но они не каждый день обновляются.

4.3 Разный говнософт, который обновляется через DCOM. Это пиздец, но это есть. лечится выкидыванием софта.

4.4 Сложно с погромистами. Но решаемо.

4.5 Время от времени система толи сама сходит с ума, толи вирусня какая-то просачивается, толи что - бывают неопределяемые глюки. Возможно это вариация на тему самоудаляющейся вирусни в ворде/экселе, возможно что-то еще.

4.6 Перед началом процедур нужно административное решение, потому что иначе мозг будут выедать ложкой, со словами Я ХОЧУ TEAMVIEWER ИЗ ДОМА И НИИБЕТ.

В остальном - вполне рабочее решение, если руки не из жопы.

Profile

Сисадмины всех кофеварок, соединяйтесь!

September 2017

S M T W T F S
     12
3456789
1011121314 1516
17181920212223
24252627282930

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 22nd, 2017 04:37 am
Powered by Dreamwidth Studios