Пути заражения Windows в домене

Question

tentakle @tentakle

Пути заражения Windows в домене

Какие могут быть пути заражения, если пользователи пользуются учетными записями из группы Domain User?
То есть «не сидеть под администратором» не помогает?

Вопрос задан более трёх лет назад
2509 просмотров

Комментировать

Подписаться 4 Оценить Комментировать

Решения вопроса 1

4 комментария

mtp @mtp

> запрет запуска всего чего-попало из папок пользовательского профиля.

совсем недавно на хабре обсуждалось — инсталляторы и некоторые программулины будут отваливаться. А так метод хороший был бы.

Написано более трёх лет назад
Николай Турнавиотов @foxmuldercp

1. Простите, а какого числа пользователям _разрешено_ что-то инсталлировать?
2 для Вашего пункта 2 см мой первый пункт про GPO.

Написано более трёх лет назад
navion @navion

Можно даже не заморачиваться с хешами, а разрешить запуск приложений только из %systemroot% и %programfiles%.

Написано более трёх лет назад
navion @navion

Антивирус (а точнее его IPS) в этом случае нужен лишь для защиты от незакрытых уязвимостей.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 5

3 комментария

Комментировать

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Вредоносное ПО

+1 ещё

Простой
Антивирус нашел бекдор в файле подкачки, что делать?
- 1 подписчик
- 9 часов назад
- 62 просмотра
2

ответа
Python

+2 ещё

Простой
Срабатывает антивирус на скомпилированный файл python, как исправить?
- 1 подписчик
- 22 апр.
- 216 просмотров
1

ответ
Вредоносное ПО

+1 ещё

Простой
Как обнаружить руткит?
- 1 подписчик
- 11 апр.
- 127 просмотров
2

ответа
Вредоносное ПО

Простой
Возможно ли выявить вредоносный исходный код?
- 1 подписчик
- 10 апр.
- 85 просмотров
2

ответа
Вредоносное ПО

Простой
Программа не установилась, а установочный файл сам удалился это вирус или особенность Windows 11?
- 1 подписчик
- 01 апр.
- 91 просмотр
1

ответ
1С-Битрикс

+1 ещё

Средний
Вирус на сайте добавляет строки в index.php по всем директориям. Как избавиться?
- 1 подписчик
- 01 апр.
- 122 просмотра
2

ответа
WordPress

+1 ещё

Средний
После заражения сайта и лечения, стал автоматически создаваться файл. Кто знает, как это побороть?
- 1 подписчик
- 25 мар.
- 109 просмотров
1

ответ
Информационная безопасность

+2 ещё

Средний
Поиск шпиона. перехват траффика, как правильно анализировать?
- 1 подписчик
- 20 мар.
- 333 просмотра
6

ответов
Информационная безопасность

+1 ещё

Сложный
Какие есть эффективные методы обнаружения rootkit?
- 1 подписчик
- 17 мар.
- 142 просмотра
1

ответ
Рынок доменных имен

Простой
Какие данные можно не указывать при регистрации домена?
- 1 подписчик
- 17 мар.
- 200 просмотров
3

ответа
Показать ещё Загружается…

Системный аналитик

Overgear

До 3 000 $

Второй ведущий разработчик (Fullstack, PHP, Laravel, Vue, Mysql)

Donatov.net

от 100 000 до 300 000 ₽

Продакт дизайнер в финтех

Module Agency

от 110 000 до 190 000 ₽

Подключить сервер к сети

27 апр. 2024, в 02:39

2500 руб./за проект

Необходимо сверстать приложение согласно макету Figma используя React

26 апр. 2024, в 22:22

1500 руб./за проект

Написать модуль подключения матрицы Sony к ПЛИС (Verilog)

26 апр. 2024, в 21:30

15000 руб./за проект

Answer 1 · 2012-02-08 21:30:46

самый простой способ — настроить запрет групповыми политиками запуск всего чего попало кроме списка хешей ворда/екселя/ие/аськи/чего-там еще надо.
запрет запуска всего чего-попало из папок пользовательского профиля.
отрезание прав.
настройка фаервола, антивируса.

Answer 2 · 2012-02-08 16:50:44

Интернет, почта, флэшки, дыры в самой ОС. Да и вирусу не всегда могут повышенные права понадобиться.

Answer 3 · 2012-02-08 17:25:43

1. Флешки, шары, почта и т.п.
2. Через дыры в ОС
3. Подбором пароля к локальным адмнистраторам
4. С компьютеров администраторов домена

Answer 4 · 2012-02-08 16:41:34

shipovalov @shipovalov

через уязвимости в Windows или если кто-то из Domain Admins запустит вирус

Ответ написан более трёх лет назад

Комментировать

Answer 5 · 2012-02-08 16:42:09

shipovalov @shipovalov

да еще, легкие пароли локальных администраторов

Ответ написан более трёх лет назад

1 комментарий

Answer 6 · 2012-02-08 17:26:48

отсутствие патчей ОС, необновлённые/старые версии приложений, которые могут содержать дыры(например Internet Explorer Adobe Flash Player, Adobe Reader, Java, etc), необновлённый антивирус.
Недонастроенный почтовый сервер, который пропускает спам, фишинговые письма, письма с опасными вложениями(bat, vbs, etc).

Пути заражения Windows в домене

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт