Задать вопрос
@Kennius
Начинающий фронт-эндер

Как провести аудит безопасности локальной сети?

Начальство в обход главного админа поручило провести аудит локальной сети и её безопасности(сеть на базе windows server AD+DS)
1) найти незакрытых локальных юзеров
2) открытые порты и пробросы
3) исключить левый вывод инфы
4) чтобы права имели только пользователи домена

Как можно всё это проверить? Главное за что боится начальство это слив информации, так как это очень крупная строительная компания.
  • Вопрос задан
  • 2038 просмотров
Подписаться 2 Простой 1 комментарий
Решения вопроса 1
@other_letter
В целом откликнувшихся ранее я поддерживаю - если уж нет знаний, лучше не брать ответственности на себя.

обход ...админа .... аудит локальной сети и её безопасности(сеть на базе windows server AD+DS)

Какие права есть? Админ домена есть?

1) найти незакрытых локальных юзеров

Можно хоть PS-скриптом собрать локальные учётки. Если есть права админа опять же.

2) открытые порты и пробросы

Пробросы - сложнее (доступ нужно будет), а открытые порты послушать можно дофига чем.
Учтите, что пробросы могут не работать через некоторые устройства (конкретно - свитч вполне может резать левак, например)
3) исключить левый вывод инфы

По сути нереально.
Самое распространённое это отрубать флешки и запрещать лишние сетевые ресурсы. Софта для этого дофига, можно при наличии прав и скриптами обойтись.
Файлообменники - боль, причём непростая. Ну, допустим, у вас прокся умеет обновлять списки блокировки и есть подписка на оные... Но в некоторых случаях это не помогает - конкретно с гуглом и яндексом точно.

===
Подход совсем неверный. Совсем.
Сейчас идёт какая-то копанина под сисадмина. Это неправильно потому что неконструктивно. Если ему доверяют - не нужно скрывать аудит. Если не доверяют - надо выгонять сразу, ибо как ни крутите со своей стороны полномочия админа позволят ему натворить что угодно.

Как правильно:
1. Договоритесь с руководствам о принципах. Ну, вот - доступ только членам домена. ОК.
Поговорите про печать, про пересылку по почте, про флешки и личные телефоны (запретить подключать к компам), политику общих сетевых ресурсов.
2. Продумайте как будете мониторить изменения на файловых ресурсах. Вариантов много, удобные платные, бесплатные неудобны.
3. Продумать кому какие права давать и как их мониторить.
4. Продумать какое ПО и как мониторить его.
5. Закрывать ли какие-то сетевые ресурсы? Как мониторить.

(это на первое время)
Всё это потом аккуратненько описываете в стратегии "to be", сопровождаете списком необходимого для...

В большинстве случаев если у юзера есть доступ к файлу - он его вполне сможет скопировать и кому-то передать. И я советую не слишком зверствовать в отношении запретов, а направить усилия в сторону внешних подключений (чтобы нельзя подключиться извне и "высосать") и мониторинга.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 5
leahch
@leahch
3D специалист. Dолго, Dорого, Dерьмово.
Ох, неправильный у вашего начальства подход. Весь ваш аудит, увы, можно будет выкинуть в мусорную корзину!
1) По вопросам, которые вы задаете, у вас просто нет компетенции для данной работы.
2) Даже если вам полностью все разжуют, то скорее всего вы получите неверные результаты.
3) Даже получив верные результаты, их еще нужно как-то интерпретировать, что тоже сомнительно.

Не занимались бы вы этим, от слова - вообще, именно аудитом, ведь за его результаты всех собак повесят именно на вас!

А вот если интересует безопасность для себя самого, то начните со сканирования портов (nmap), входа в домен, подключения к сети, точек доступа wifi. Далее - сканируем сеть со стороны пользователя. Далее - смотрим на подключение к интернет и фильтрацию трафика. Далее - подключение флешек и всяких СД-ЮСБ устройств. Далее - везде.
Ответ написан
Комментировать
@cssman
Как можно всё это проверить?

Пригласить квалифицированного аудитора.

Если хотите\вынуждены заняться самодеятельностью - курите методологии:
ITAF, COBIT, IPPF, SSAE No. 16
Ответ написан
Комментировать
Lopar
@Lopar
системный администратор
Если вопрос задаётся принципиально в обход главного админа, значит подозревают его. Если главный админ реально замешан — на аудите можно ставить крест. Вы просто ничего не найдёте, либо в процессе аудит раскусят и будут интересные последствия.
Ответ написан
Комментировать
ApeCoder
@ApeCoder
в википедии есть отправная точка: Предотвращение утечек информации
Ответ написан
Комментировать
moropsk
@moropsk
К вопросу:
3) исключить левый вывод инфы

Простой пользователь может залить нужные документы на всякие там гугл, яндекс диски.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы