Взлом Windows и AD
Feb. 24th, 2009 02:50 am![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
crazyyy.livejournal.com posting in ![[community profile]](https://www.dreamwidth.org/img/silk/identity/community.png){kind=small}
useful_faqРебята здравствуйте. Срочно нужна помощь.
История такова - есть организация с 400+ компов. Полной структуры сети не помню, знаю только
1. Все компы введены в домен.
2. Есть несколько серверов (ексчендж, ад, файлсервер, сервервидеонаблюдения)...
3. Несколько vLAN. Есть WiFi точки доступа для посетителей (соответственно халявно-беспарольные) - уровень доступа не знаю. Но уверен ограниченный.
4. Все компы в сети виндовые (XP)
Есть админский состав - человек пять админов, но в основном еникейщиков и в основном железячники. Работают в полсилы.
Есть мой друг - человек в компах понимающий. но не сильно. Должность - какбы оператор ПК (вводит всякие бумажки). Но он имеет доступ к конфедициальной информации. В его владении три компа - один вконференцзале, один в кабинете и один ноут. На всех трех хранилась важная информация, которую каким-то чудом скопировали. Человека сегодня пресовали все кому только не лень - начальство, ментыа, под вечер даже СБУ. На завтра ему нужно подготовить детальный отчет с возможными вариантами - как пропало.
Знаю несколько вариантов:
1. Кто-то просто подошел к компу с флешкой и скопировал. Но этот кто-то тогда должен иметь логин-пароль разрешенный АД.
2. Кто-то с правами админа (или учеткой добавленной в комп) стянул инфу
3. Кто-то как-то узнал его пароль (он клянется что пас сложный и единственный)
Какие ещё могут быть варианты? Я понимаю что указывать пальцем нужно на админов, в компетенции которых защищать информацию. Но как это толком описать?
Ребята, спасайте пожалуйста. А то уволят да ещё и дело заведут.
UPD забыл сказать - "из мира" можна как минимум через вебинтерфейс смотреть внутренню почту, а для некоторых учеток - и документооборот (виндовый какойто)
История такова - есть организация с 400+ компов. Полной структуры сети не помню, знаю только
1. Все компы введены в домен.
2. Есть несколько серверов (ексчендж, ад, файлсервер, сервервидеонаблюдения)...
3. Несколько vLAN. Есть WiFi точки доступа для посетителей (соответственно халявно-беспарольные) - уровень доступа не знаю. Но уверен ограниченный.
4. Все компы в сети виндовые (XP)
Есть админский состав - человек пять админов, но в основном еникейщиков и в основном железячники. Работают в полсилы.
Есть мой друг - человек в компах понимающий. но не сильно. Должность - какбы оператор ПК (вводит всякие бумажки). Но он имеет доступ к конфедициальной информации. В его владении три компа - один вконференцзале, один в кабинете и один ноут. На всех трех хранилась важная информация, которую каким-то чудом скопировали. Человека сегодня пресовали все кому только не лень - начальство, ментыа, под вечер даже СБУ. На завтра ему нужно подготовить детальный отчет с возможными вариантами - как пропало.
Знаю несколько вариантов:
1. Кто-то просто подошел к компу с флешкой и скопировал. Но этот кто-то тогда должен иметь логин-пароль разрешенный АД.
2. Кто-то с правами админа (или учеткой добавленной в комп) стянул инфу
3. Кто-то как-то узнал его пароль (он клянется что пас сложный и единственный)
Какие ещё могут быть варианты? Я понимаю что указывать пальцем нужно на админов, в компетенции которых защищать информацию. Но как это толком описать?
Ребята, спасайте пожалуйста. А то уволят да ещё и дело заведут.
UPD забыл сказать - "из мира" можна как минимум через вебинтерфейс смотреть внутренню почту, а для некоторых учеток - и документооборот (виндовый какойто)
no subject
Date: 2009-02-24 01:23 am (UTC)Зачем? Если, отходя, комп не залочили, то пароль не обязателен.
Т.е.
4. Разгильдяйство.
5. Права прописывали долбоебы, поэтому доступ к документам был не эксклюзивный.
Вообще странно, что компания, так ратующая за информационную безопасность, хранит важную конфиденциальную информацию незашифрованной, да еще и с доступом любому эникейщику с админским паролем.
Про EFS они, полагаю, не слышали, USB-порты открыты всем желающим, видеонаблюдение смотрит куда-то в другую сторону...
no subject
Date: 2009-02-24 01:30 am (UTC)Насчет незалоченого компа - утверждает что на всех стоял таймаут на скринсейвер в три минуты и что лочил он.
4. Возможно. Но не факт.
5. Права в смысле политики АД ?
Насчет видеонаблюдения так вообще хохма - был приказ сделать. Накупили видеокамер и натыкали их везде. А куда писать не купили. И человека для слежения не наняли. В итоге камеры есть, но для галочки - пишут не больше суток.
no subject
Date: 2009-02-24 01:38 am (UTC)Ну, политиками права доступа, конечно, тоже регулируются, но я в общем про NTFS ACL.
Вообще надо смотреть, кто из AD имел доступ, где и как хранятся файлы, журнал аудита на обозначенных машинах (авторизации подозрительных юзеров или в подозрительное время).
Слишком много неизвестных...
no subject
Date: 2009-02-24 01:40 am (UTC)Спасибо!
no subject
Date: 2009-02-24 01:49 am (UTC)Хотя, если
убийца шоферзлоумышленник — один из админов (или обладает логином с соответствующими правами), то изощряться ему было без надобности, зашел (по сети, или так) и скопировал. И поди докажи, что это было не плановым техобслуживанием...no subject
Date: 2009-02-24 01:53 am (UTC)Что за логи? Вряд ли таковые ведутся. (Я имею ввиду для live-cd)
no subject
Date: 2009-02-24 01:57 am (UTC)Но опять-таки, тут можно сослаться на перебои с электричеством.
no subject
Date: 2009-02-24 06:15 am (UTC)Можно посмотреть в c:\docs & settings\ , не добавились ли новые профили пользователей.
no subject
Date: 2009-02-24 08:15 am (UTC)тоже не поняла зачем такие сложности, если теоретически - может любой. в т.ч. - если админ - удаленно...
no subject
Date: 2009-02-24 06:41 am (UTC)2. Пускай они доказывают что он виноват.
3. Стащить данные с компа просто. Можно диск вынуть. Можно загрузиться с загрузочной дискеты. Может сделать кто угодно и без пароля.
4. Человек, который мало понимает в компьютерах (да даже и тот кто понимает) имеет слабые шансы доказать свою невиновность тем, кто в компьютерах слабо понимает (обвинение). Поэтому удачи вашему другу......
no subject
Date: 2009-02-24 07:19 am (UTC)Было обычное распиздяйство
Вариантов - масса: от банального подключения к дискам с удаленной машины, до не менее банального кейлоггера.
no subject
Date: 2009-02-24 09:47 am (UTC)no subject
Date: 2009-02-24 06:52 pm (UTC)no subject
Date: 2009-02-24 01:46 pm (UTC)В такой организации должно быть Положение об инф. безопасности, Положение о правах доступа, и т.п., иметь во все щели надо того, кто эти файлы записал на тот комп.
Вообще компы с особоважной инфой, из-за утечки которой поднимают такой шум, должны бы стоять в опечатываемом помещении, без подключения к локалке...
--
Да, а за каким интересом он должен представлять какой-то отчет с вариантами "как пропало"??? Таки какая у него должность? Бета-тестер системы безопасности? Или штатный хакер? "Как пропало" может знать только человек, как минимум имеющий преступные намерения и обдумавший пути их реализации. Это разводка ментовская какая-то. В его отчете должно быть только - работал в этот день как обычно, ничего странного не замечал, о пропаже узнал от ментов (или кого там).
no subject
Date: 2009-02-24 02:48 pm (UTC)