Задать вопрос
  • Заражение вирусами в ОЧЕНЬ большой сети?

    Конечно такая сеть - это полный кашмар и что то тут посоветовать сложно. Тут нужен комплексный подход. Рекомендую обратиться к специалистам в одну из антивирусных компаний, а так же компаний специализирующихся на программно-аппаратных файеволах (Fortinet, Check Point Software).

    А если брать проблему локально, то нужно смотреть каким крипто-локером заразились, к примеру у того же WannaCry или Petya (Not.Petya) есть стоп-файл, наличие которого в определенных местах останавливает работу крипто-локера. Конечно пробежаться по 6 тыс. ПК практически нереально, но....
    Ответ написан
    Комментировать
  • Заражение вирусами в ОЧЕНЬ большой сети?

    AlexMaxTM
    @AlexMaxTM
    А что с самим парком компов, насколько старые компы сами по себе?
    Идея в следующем: берем новый чистый комп, ставим современную ось и на нее виртуалку с Вин98, на которую переносим весь необходимый софт. Сам софт и драйвера можно перед установкой проверить на антивирусах.
    Ответ написан
    2 комментария
  • Заражение вирусами в ОЧЕНЬ большой сети?

    @MechGun
    Пишите вирус, который гасит предыдущий. Контакт с хакерами есть, алгоритм шифрования есть, уязвимость известна. Выкупайте исходники их творения и правьте, либо обращайтесь к тем, кто может написать подобное. Это если нельзя отключать сеть. Знакомые так точки доступа затрояненные возвращали под контроль, обежать их было нереально - развешены по всему городу. За пару дней сваяли вирус-чистильщик. А далее - по пуктам вышеописанным: сегментация, контроль трафика, и.т.д.
    Ответ написан
    Комментировать
  • Заражение вирусами в ОЧЕНЬ большой сети?

    fdroid
    @fdroid
    press any key
    В основном, все решения сводятся к тому, что нужно было сделать до заражения. КМК, сейчас первое, что нужно сделать это вырубить нафиг вообще все компьютеры, по одному включать и определять состояние - заражён или нет, исходя из этого предпринимать дальнейшие действия - дать доступ в сеть или формат Ц. Для определения заражён или нет привлечь спецов из антивирусных лабораторий. Сеть сегментировать по ходу дела (привлекаем спецов), это всё равно нужно делать, т.к., по сути, по такой схеме она будет конфигуриться ну почти с нуля. Естественно, с обязательным снятием образов дисков в текущем состоянии, каким бы оно ни было. Отключать нельзя? Финансовые потери? Ну извините - предыдущая экономия вылезла боком сейчас, это уже просто факт.
    Ответ написан
    1 комментарий
  • Заражение вирусами в ОЧЕНЬ большой сети?

    @Gansterito
    Выше уже написали, что нужно сегментировать сеть. Эта задача и стратегическая (будете решать после устранения проблемы) и тактическая (ограничение распространения зловреда).

    Сегментировать нужно заменой коммутаторов на управляемые с функционалом vlan, acl, dhcp snooping (на перспективу), loopback detection. Закупить коммутаторов на ~ 6000 портов можно одним днем (это порядка 120 коммутаторов доступа не считая агрегацию и маршрутизатора). Выйдет все же дешевле финансовых и имиджевых потерь от простоев.

    Как именно нужно сегментировать - можно определить только по месту. Может быть сразу отсечь сегменты, не занятые в оперативной деятельности компании, отправив туда 1-2 человек для зачистки антивирусом, а основные силы бросить на приведение в порядок сети. Может быть есть смысл "заблокировать всё" и открывать доступ к тем или иным ресурсам по мере возникновения проблем. Из 15 админов на месте можно оставить 5, а остальных (35) отправить разбираться у кого чего не работает. Все общение должно быть сведено к:
    - Володя, это Сёмен, IP адрес 10.156.2.25, MAC-адрес заканчивается на 13-AC-F4 нужен доступ к 10.43.1.67, это рентген в кабинете 523
    - Готово проверяй
    - Да, есть, сделай тоже самое для XXX, YYY, ZZZ...
    Ответ написан
    Комментировать
  • Заражение вирусами в ОЧЕНЬ большой сети?

    Jump
    @Jump
    Системный администратор со стажем.
    Нужен анализ конкретной версии локера.
    Как правило такого рода программы создают временные файлы необходимые для работы, поэтому зачастую можно заблокировать его распостранение созданием этих файлов в режиме рид онли.
    Но это прокатит от XP и выше.
    На XP накатить патч для SMB

    На Win98 боюсь самое адекватное - полное запрещение SMB и перевод файлообмена на другой протокол, например FTP, btsync и прочее подобное.

    1)Вынос файловых шар на сервера с современными ОС, жесткая настройка прав, чтобы шифровальщик не мог дотянутся до всех файлов. На серверах теневые копии.
    2)Регулярное создание теневых копий на всех машинах от XP и выше. Например раз в час или в два часа.
    3)Регулярные бэкапы в формате образа диска- чтобы можно было развернуть полностью работающую ОС
    Ответ написан
    6 комментариев
  • Заражение вирусами в ОЧЕНЬ большой сети?

    POS_troi
    @POS_troi
    СадоМазо Админ, флудер, троль.
    1. Админов расстрелять, по теме
    после модернизации количество работ было таким большим, что одноранговую сеть так и оставили.

    Какой то мудак (его уже выгнали) поднял игровой сервер в сети, расшарил инет через мобильный LTE интернет и запустил вирус криптолокер в сеть.


    2.
    Операционную систему менять нельзя ни в коем случае, так как большинство лабораторных/диагностических программ очень старые, драйвера старые, под новыми системами не хотят дружить.

    Если простоя стоит миллионы долларов, то что мешает заплатить пару миллионов на решение это проблемы?
    Тут расстреливаем менеджеров, ну тех которых не расстреляли в п.1.

    3.
    На большинстве компьютеров антивирусная защита отсутствует как таковая, так как на большинстве рабочих станций стоит Windows 98 & XP

    Древняя ось, без обновлений (на большинстве уверен вообще обновы не ставились со времени установки), без банального антивируса.
    Чего вы ещё хотели то?

    Вирусные эпидемии как в вашей ситуации не лечатся путём "а прогоним отот комп антивирусом", их лечат путём "отрубить нахрень всё и переустанавливаем системы ибо хрен пойми какая сигнатура у этой дряни".

    Вы влетели по полной программе и решение тут только одно - модернизация железа/ПО, грамотный подход к сети.
    Ответ написан
    Комментировать
  • Заражение вирусами в ОЧЕНЬ большой сети?

    Для начала делите сеть на изолированные сегменты.
    Затем каждый сегмент на грязный и чистый с постепенным переносом оборудования из 1-го во 2-й.

    Но для успеха вам нужна карта циркуляции информации по вашей сети, как минимум.
    Ответ написан
    Комментировать
  • Заражение вирусами в ОЧЕНЬ большой сети?

    saboteur_kiev
    @saboteur_kiev Куратор тега Информационная безопасность
    software engineer
    Какая бы не была организация, не верю что ВСЕМ компам нужно связываться со ВСЕМИ компами.
    Ставите адекватные маршрутизаторы, разбиваете сеть на VLAN-ы, лечите их отдельно.

    Старые ОС можно запускать в виртуалках, с отключенной сетью. А на самом железе - нормальная, современная ОС.
    Во многих случаях комп с диагностическим оборудованием может быть совсем отключен от сети.
    Ответ написан
    Комментировать
  • Использование нелицензированного ПО в организации, кто несёт ответственность?

    @other_letter
    1. Ни в коем случае не писать никаких бумажек, как советует pfg21 .
    2. Ни в коем случае не говорить открыто, что это-пиратка.
    3. Ни в коем случае не вести "журналов установки пиратского софта".

    Зачем: В случае чего все дружно-дружно покажут на Вас. Ответственность несёт Директор. Скорее всего - даст взятку. Но если и он решит Вас слить - самый плохой вариант (остальные-то работники наверняка подтвердят). И эти бумажки будут показывать процесс подготовки к преступлению, факт его завершённости. А умысел как-нибудь найдётся. Плюс эта бумажка - подтверждение сговора (т.е. уже ч.2)

    Как делать: Вы не обязаны разбираться в тонкостях лицензирования. Кто угодно пусть пишет что угодно в стиле тыжпрограммист, но если такого навыка/обязанности нет в должностной инструкции (наверняка нет, и надо, чтобы не было), если не было такого курса в ВУЗе или Федерального Закона (тут условно) - не обязаны. Вы просто ставите то, что просят. Так, как просят. С дисков, которые Вам предоставил согласно ТК Работодатель (в качестве инструмента).
    Ответ написан
    42 комментария
  • Как вы сочетаете работу и саморазвитие?

    vitali1995
    @vitali1995
    Да точно так же, как управляешь рабочими процессами:
    1. определить цели и приоритеты
    2. обозначить шаги и контрольные точки
    3. придерживаться плана

    Если нет времени/сил/информации/чего-то-ещё, значит задача №1 - высвободить или восполнить недостающие ресурсы. Если они под завязку в работе, значит опаньки - пришло время поразмыслить над образом своей жизни.
    Ответ написан
    Комментировать
  • Свой VPN на VPS или сторонний VPN, в чем разница?

    @nirvimel
    Что можно сказать о сторонних сервисах VPN:
    1. Они ВСЕГДА ведут логи. Даже если отрицаут это перед клиентами.
    2. Если они на главной странице огромным шрифтом клянутся в том, что не ведут логи, то см. пункт (1).
    3. Ценность любого клиента для них составляет не больше суммы оплаты, которую он вносит.
    4. Клиент на бесплатном тарифе не стоит нисколько (следствие предыдущего пункта).
    5. Во многих странах (Великобритания, например) деятельность по предоставлению услуг VPN законодательно приравнена к деятельности по предоставлению доступа в интернет со всеми вытекающими последствиями (СОРМ и его аналоги в разных странах).
    6. VPN с IP в Зимбабве вполне может предоставлять контора, юридически находящаяся, например, в США (довольно типичный случай).
    7. Где бы ни находилась контора физически и юридически она испытывает огромное давление со стороны Spamhaus и прочих влиятельных антиспамеров, она также испытывает огромное давление со стороны собственно датацентра и провайдера ip-диапазона, чей бизнес попадает под удар Spamhaus. Единственная сторона, которая не может сделать им практически ничего - их простые клиенты.
    8. Из предыдущих пунктов следует, что у них есть 100500 причин (коммерческих и административных), чтобы слить любого клиента, и ни одной веской причины, чтобы его не сливать.
    9. Анализируя ценовую политику многих бюджетных VPN сервисов, можно прийти к выводу, что они работают на нижней границе окупаемости практически с нулевой маржой (может показаться, что даже с отрицательной). В чем тогда заключается их бизнес и по какой схеме монетизации они работают?
    10. В документах Сноудена однажды мелькала информация о том, что ГБ тратит значительные бюджеты на поддержание работы различных honeypot по всему миру. При учете того, что одна из Их приоритетных задач (вполне официально декларируемых) - контроль телекоммуникаций в глобальном масштабе, можно сделать вывод, что многие honeypot связанны с привлечением любителей анонимности, среди которых значительная долю составляют Их "клиенты".
    11. Учитывая давность публикации тех разоблачений, можно предположить что на сегодняшний день уже многие страны успешно переняли "опыт зарубежных коллег" (особенно при учете резкой актуализации данной темы в последнее время).
    Ответ написан
    Комментировать
  • Использовать vpn сервис vs vps?

    15432
    @15432
    Системный программист ^_^
    Пару фраз про VPS.
    - можно поднять не только прокси/vpn, но и вообще, что захочется. Хороший плюс.
    - весь канал для вас, скорость никто другой не отъедает

    - обычно дороже, чем просто VPN услуги (например, у меня VPS за 90р в месяц)
    - через свой VPN будете выходить только вы или ваши друзья, вас легко отследить (если вы хотите повышенную анонимность, лучше использовать публичный vpn)
    -нужно заморачиваться с настройкой. В случае с готовым vpn вам просто дадут конфиг
    Ответ написан
    Комментировать
  • Анонимное скачивание по торрент?

    @Sanitar88
    Студень
    Насколько я знаю, способов совсем-анонимности нет давно. Хотите полной анонимности- живите в Сибири без телефона)
    Но а в остальном, пока вы никому не нужны, ВПН сойдёт. Трафик шифруется между вами и впн, то есть ваш провайдер видит только факт соединения и передачу шифрованных данных. Скорость как всегда зависит от скорости соединения, само шифрование не должно сильно влиять, т.к. аппаратно ускоряется, пострадает только пинг, в зависимости от расстояний и пр.
    Ну а впн видит всё, пишет логи и копит досье, разумеется) *SSL и пр. end-to-end не видит, но может устроить MiTM теоретически, и ещё много чего, так что выбирайте впн.
    Ответ написан
    9 комментариев
  • Должен системный администратор знать теорию сетей?

    Insaned
    @Insaned
    должен ли бухгалтер знать таблицу умножения? если ты можешь спкойно свести баланс и уже сдал не один правильный отчет в налоговую?
    Ответ написан
    1 комментарий
  • Должен системный администратор знать теорию сетей?

    leahch
    @leahch Куратор тега Linux
    3D специалист. Dолго, Dорого, Dерьмово.
    В принципе можно ничего не учить. Но настанет день, когда ваша почта затрещит по швам, а сервак замрет под нагрузкой. День, два, три... и вы, батенька, без работы. А как же было хорошо года два назад, когда и сервак и почта крутились....
    И интересно, как же это вы сервак настраиваете, если не знаете ни о размерах окон и буферов приема/передачи, ни о количестве открытых файлов и где их поменять, как оно там внутри крутится на эвентах или тридах или процессах, ни как поднять внутренний интерконнект и сделать самый простой фейловер. Я уж не говорю про кластеризацию, распределенность, и прочие вещи...
    А чо вам дадут джамбофреймы, а стоит ли городить виланы, а чо делать с десятком-другим виртуалок, ospf поднимать или ручками маструбировать? И это только 1% от вопросов, которые в реальных случаях решаются. Что делать с удаленным офисом, двумя, тремя? Что делать с сотней удаленных компов в магазинах или заправках?
    Как быть, если кабель прокинуть нельзя?
    Поставить две стойки с серверами, чо делать-то будем? А поставим два сервера или три? Как диски подключать к ним FC или IB или iSCSI с multipath?
    А!!! Да хер бы с ним! "Сервак" настроил, почту поднял.

    PS. Мне 45, программировать начал в 14. и до сих пор обучаюсь чему-то новому. И я не боюсь поменять работу.

    PPS. Касательно винды. Чо делать, если 2 сетевухи в нее воткнут из разных подсетей?
    Вы же на собеседование собрались. А я вот помню, как MSSQL в такой конфигурации ерзал, как уж на сковороде.

    Да, вот "простая" задачка, два офиса объединить, в обоих офисах сеть 192.168.0.xxx
    Ответ написан
    1 комментарий
  • Должен системный администратор знать теорию сетей?

    @cssman
    должен, как и таблицу умножения до 9
    хреновый вы сисадмин, который не знает стек протоколов, на котором его сервисы работают
    Ответ написан
    Комментировать
  • Фаервол против телеметрии Windows 10?

    Largo1
    @Largo1
    Айтишник далёкого плана
    Насколько помогает настроенный в ручной режим COMODO Firewall и другие подобные программы против отправки телеметрии в Microsoft?

    Абсолютно не помогает
    Конфигурация такова, чтобы ничто кроме браузеров и ещё пары нужных программ пройти не могло, а сама система имела право максимум отправлять данные в рамках машин в локальной сети, но не в международный интернет.

    Только внешний файервол
    Ответ написан