По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Зачастую взлом инфраструктуры происходит не с помощью сверхсекретных разработок или специально созданных "организмов" ("вирусов", "червей", "пауков", "дятлов" - нужное подчеркнуть), а из-за стандартных ошибок в настройках и дизайне. Ликвидировать эти недочёты - проще простого, но с такой же простотой они и создают огромные возможности для хакерских атак. Как отмечают специалисты по безопасности, появления подобных упущений в системе встречается настолько часто, что создаётся впечатление, что для таких ошибок существуют спецкурсы. Поэтому задачей данной статьи не является рассказ о самых современных методах защиты - мы просто постараемся заставить читателей задаться вопросом: "А всё ли хорошо в нашей системе безопасности и всё ли мы предусмотрели для того, чтобы конкуренты не смогли воспользоваться нашими данными и разработками и как устранить неполадки в нашей системе?".
Локальная учётная запись? Забудьте об этом.
Уж сколько раз твердили миру... Слова дедушки Крылова как нельзя лучше характеризуют данную ситуацию - она постоянно возникает и о ней всё время напоминают. Не надо (совсем нельзя) создавать доменной групповой политикой локальные учетные записи на хостах в вашем домене. Говоря военными терминами - уровень опасности красный.
Причина самая банальная - данные по записи (в том числе и пароль) хранится в открытом доступе и по умолчанию доступен всем участникам группы. Если кому интересно, то он находится в файле groups.xml, в ресурсе sysvol контроллера домена, но при этом ключ один на всех. Таким образом, любой желающий может скачать файл и путём нехитрых телодвижений стать администратором группы. Думаю о последствиях говорить не надо.
Чтобы не получилось подобных конфузов надо просто добавлять только доменные учетные записи в локальные группы на хостах.
Права юзеров - на необходимый минимум.
Каждая учётная запись имеет свои права для работы в системе и создана для работы конкретной направленности. Поэтому необходимо минимизировать права каждого пользователя системы, так чтобы они подходили под зону его ответственности. Таким образом, снизится риск утраты контроля над записью, и каждый будет знать только свою, необходимую ему информацию.
UAC - на максимум!
Поставьте на максимум User Account Control (UAC). Его, конечно, можно обойти, но он создаст лишнюю нагрузку для атаки, а время в таких вопросах - играет Вам на руку.
Никакого доступа к учетным данным и хэшам
MIMIKATZ - это утилита, которая очищает память процесса, ответственного за проверку подлинности Windows (LSASS). Затем она и выдает пароли в виде открытого текста и хеш-коды NTLM, которые злоумышленник может использовать для перемещения по сети. Чтобы защититься от неё, надо соблюдать несколько простых правил:
Обновите ваш Active Directory как минимум до 2012 R2;
Следите за обновлениями Windows и постоянно их устанавливайте;
Помещайте важные учетные записи в группу защищенных пользователей и установите параметр реестра;
Не предоставляйте учетной записи больше прав администратора, чем им нужно;
Продолжим тему NTLM, поднятую в предыдущем пункте. Его нужно запретить - от слова совсем. Есть такая замечательная штука, как pass-the-hash. Она, как это можно понять из названия, передаёт хеш NTLM на абсолютно любой хостинг, где разрешён NTLM и атакующий всё про вас узнает. Более того, его также можно передавать вместо учетной записи и ее пароля при атаках.
Навешайте ярлыков на рабочий стол
В прямом смысле - поставьте ярлыки на рабочий стол, которые будут связывать с общими файловыми ресурсами. Тем самым Вы уйдёте от сетевых дисков, а malware почти никогда не воспримет их как сетевые ресурсы. Причина, как всегда, банальная - malware путём перебора букв ищет названия дисков. Конечно, данный совет подходит не всем компаниям, но если возможность подобного похода существует - попробуйте.
Отключите скрытые файловые ресурсы!
И вновь из-за банальной причины. Они - первоочередная цель действия malware и злоумышленников. Конечно, это не все инструменты защиты инфраструктуры, но каждый случай нужно рассматривать отдельно, как и индивидуальные настройки для каждой инфраструктуры.
DHCP (Dynamic Host Configuration Protocol) - это широко используемый протокол, который может предоставлять необходимую информацию IP-телефонов. Это IP адреса, маски подсетей, шлюз по умолчанию, адреса DNS и TFTP серверов. Конечно, можно вручную настроить IP-телефоны со всей необходимой информацией, но это трудозатратно и занимает много времени. DHCP может предоставлять отдельный DHCP сервер, роутер и даже сам Cisco Unified Communications Manager (CUCM) . Об этом мы и поговорим в сегодняшней статье.
Активация сервиса
Много сервисов, которые представлены в CUCM по умолчанию деактивированы. Для их активации нужно в панели Навигация выбрать пункт Cisco Unified Serviceability. В новом окне переходим в меню Tools → Service Activation.
На этой странице находим необходимый нам сервис Cisco DHCP Monitor Service, ставим галочку и нажимаем Save.
Настройка DHCP сервера
DHCP в CUCM имеет базовые возможности. Он поддерживает только IP-телефоны, и не очень много - до 1000. Это максимальная рекомендация в связи с высокой загрузкой CPU.
Для настройки DHCP вернемся во вкладку Cisco Unified CM Administration и перейдем во вкладку System → DHCP → DHCP Server. Нажимаем Add New и в новом окне указываем необходимые настройки. В выпадающем меню Host Server выберем сервер, на котором мы планируем развернуть DHCP, ниже укажем IP адреса DNS и TFTP серверов в полях Primary DNS IPv4 Address и Primary TFTP Server IPv4 Address (Option 150) , а также временные интервалы выдачи, в полях ARP Cache Timeout, IP Address Lease Time, Renewal (T1) Time и Rebinding (T2) Time. После этого нажимаем Save.
После этого переходим в соседнюю вкладку System → DHCP → DHCP Subnet. Здесь тоже нажимаем Add New и настраиваем параметры выдающихся подсетей. Из выпадающего списка выбираем наш DHCP сервер, указываем адрес подсети в поле Subnet Address, начальный и конечный адреса выдачи в Primary Range Start IP и Primary Range End IP, маску подсети и шлюз по умолчанию в полях Subnet Mask и Primary Router IP Address, адрес TFTP и DNS серверов в TFTP Server IP address и Primary DNS Server IP Address и внизу снова указываем желаемые временные интервалы. Затем нажимаем Save.
Также DHCP сервер для IP-телефонов можно настроить на роутере Cisco используя следующую конфигурацию:
service dhcp
! Включает сервис DHCP
!
ip dhcp excluded-address 10.1.1.1 10.1.1.10
! Определяет начальный и конечный интервал адресов, которые НЕ будут присваиваться
!
ip dhcp pool name IP_PHONES
! Создает пул адресов (регистрозависимое имя) и входит в режим конфигурации DHCP
!
network 10.1.1.0 255.255.255.0
! Определяет адрес подсети для DHCP пула
!
default-router address 10.1.1.1
! Определяет адрес шлюза по умолчанию (default gateway)
!
dns-server address 192.168.1.0 192.168.1.11
! Определяет адрес DNS сервера (можно указать до 8 адресов)
!
option 150 ip 192.168.1.2
! Определяет адрес TFTP сервера (также можно указать несколько адресов)
По умолчанию, в дистрибутиве FreePBX Distro большинство лог – файлов Asterisk сконфигурированы на хранение в течение семи дней. Зачастую, пользователи жалуются на технические проблемы (недозвон, короткие гудки, обрыв и так далее) спустя недели, а порой и месяцы. Именно по этой причине, в статье расскажем как настроить хранение лог – файлов на более длительное время и как добавить сжатие для них, чтобы сохранить место на жестких дисках.
Настройка
За длительность хранения отвечает файл /etc/logrotate.d/asterisk. Давайте откроем его редактором vim и увеличим время хранения по нужным файла до 45 дней:
[root@asterisk ~]# vim /etc/logrotate.d/asterisk
И для файла /var/log/asterisk/freepbx_dbug меняем параметр rotate с 7 на 45:
/var/log/asterisk/freepbx_dbug{
daily
missingok
rotate 45 //меняем данное значение для увеличения времени хранения в днях;
notifempty
compress //добавляем параметр compress, для активации сжатия;
sharedscripts
create 0640 asterisk asterisk
}
Важно!: С увеличением времени хранения файлов, увеличивается и его объем, занимаемый на жестких дисках сервера. При добавлении параметра compress в конфигурационную секцию, файл будет сжиматься c помощью утилиты компрессии gzip
Как можно увидеть в нашем примере, для лог – файла /var/log/asterisk/freepbx_dbug выставлен параметр daily (ежедневно), который регламентирует значение параметра rotate. Это означает, что значение 45 будет интерпретировано днями. Если вы хотите указывать значение параметра rotate в месяцах, то укажите здесь вместо daily monthly (ежемесячно).
По завершению настроек сохраните их нажатием :x! + Enter - изменения вступят в силу.