Взлом Windows и AD
Feb. 24th, 2009 02:50 am![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
crazyyy.livejournal.com posting in ![[community profile]](https://www.dreamwidth.org/img/silk/identity/community.png){kind=small}
useful_faqРебята здравствуйте. Срочно нужна помощь.
История такова - есть организация с 400+ компов. Полной структуры сети не помню, знаю только
1. Все компы введены в домен.
2. Есть несколько серверов (ексчендж, ад, файлсервер, сервервидеонаблюдения)...
3. Несколько vLAN. Есть WiFi точки доступа для посетителей (соответственно халявно-беспарольные) - уровень доступа не знаю. Но уверен ограниченный.
4. Все компы в сети виндовые (XP)
Есть админский состав - человек пять админов, но в основном еникейщиков и в основном железячники. Работают в полсилы.
Есть мой друг - человек в компах понимающий. но не сильно. Должность - какбы оператор ПК (вводит всякие бумажки). Но он имеет доступ к конфедициальной информации. В его владении три компа - один вконференцзале, один в кабинете и один ноут. На всех трех хранилась важная информация, которую каким-то чудом скопировали. Человека сегодня пресовали все кому только не лень - начальство, ментыа, под вечер даже СБУ. На завтра ему нужно подготовить детальный отчет с возможными вариантами - как пропало.
Знаю несколько вариантов:
1. Кто-то просто подошел к компу с флешкой и скопировал. Но этот кто-то тогда должен иметь логин-пароль разрешенный АД.
2. Кто-то с правами админа (или учеткой добавленной в комп) стянул инфу
3. Кто-то как-то узнал его пароль (он клянется что пас сложный и единственный)
Какие ещё могут быть варианты? Я понимаю что указывать пальцем нужно на админов, в компетенции которых защищать информацию. Но как это толком описать?
Ребята, спасайте пожалуйста. А то уволят да ещё и дело заведут.
UPD забыл сказать - "из мира" можна как минимум через вебинтерфейс смотреть внутренню почту, а для некоторых учеток - и документооборот (виндовый какойто)
История такова - есть организация с 400+ компов. Полной структуры сети не помню, знаю только
1. Все компы введены в домен.
2. Есть несколько серверов (ексчендж, ад, файлсервер, сервервидеонаблюдения)...
3. Несколько vLAN. Есть WiFi точки доступа для посетителей (соответственно халявно-беспарольные) - уровень доступа не знаю. Но уверен ограниченный.
4. Все компы в сети виндовые (XP)
Есть админский состав - человек пять админов, но в основном еникейщиков и в основном железячники. Работают в полсилы.
Есть мой друг - человек в компах понимающий. но не сильно. Должность - какбы оператор ПК (вводит всякие бумажки). Но он имеет доступ к конфедициальной информации. В его владении три компа - один вконференцзале, один в кабинете и один ноут. На всех трех хранилась важная информация, которую каким-то чудом скопировали. Человека сегодня пресовали все кому только не лень - начальство, ментыа, под вечер даже СБУ. На завтра ему нужно подготовить детальный отчет с возможными вариантами - как пропало.
Знаю несколько вариантов:
1. Кто-то просто подошел к компу с флешкой и скопировал. Но этот кто-то тогда должен иметь логин-пароль разрешенный АД.
2. Кто-то с правами админа (или учеткой добавленной в комп) стянул инфу
3. Кто-то как-то узнал его пароль (он клянется что пас сложный и единственный)
Какие ещё могут быть варианты? Я понимаю что указывать пальцем нужно на админов, в компетенции которых защищать информацию. Но как это толком описать?
Ребята, спасайте пожалуйста. А то уволят да ещё и дело заведут.
UPD забыл сказать - "из мира" можна как минимум через вебинтерфейс смотреть внутренню почту, а для некоторых учеток - и документооборот (виндовый какойто)
no subject
Date: 2009-02-24 01:40 am (UTC)Спасибо!
no subject
Date: 2009-02-24 01:49 am (UTC)Хотя, если
убийца шоферзлоумышленник — один из админов (или обладает логином с соответствующими правами), то изощряться ему было без надобности, зашел (по сети, или так) и скопировал. И поди докажи, что это было не плановым техобслуживанием...no subject
Date: 2009-02-24 01:53 am (UTC)Что за логи? Вряд ли таковые ведутся. (Я имею ввиду для live-cd)
no subject
Date: 2009-02-24 01:57 am (UTC)Но опять-таки, тут можно сослаться на перебои с электричеством.