MS10-017 vs SMB1 - Безопасность средствами операционной системы - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

@diagnoz_twit

Доброго времени.

Извиняюсь, если поднял тему не в том разделе форума, переместите пожалуйста. После всем известных атак WannaCry и PetyA, на предприятии также пострадало значительное количество ПК, все было "поднято" заново в том числе и несколько серверов. Были также установлены соответствующие патчи на пользовательские ПК и отключен SMBv1. В организации на всех пользовательских ПК стоят Windows 7 SP1 Enterprise, Windows XP нет совсем и есть несколько серверов с установленными Windows Server 2003 R2, Windows Server 2008 R2 и Windows Server 2012 R2.

На  Windows Server 2003 R2 крутится старая 1С 7.7, с файловой базой данной с общим доступом на нем же. Установив патч для 2003 и отключив SMBv1 на нем (риск, но пока не отключен), логично предположить, что пользователи не смогут получать доступ к этой самой "расшареной" БД и работать с ней через терминальный доступ. И, например, выполнив какую-то работу на самом сервере, потребуется получить доступ к машинам с Windows 7 с самого сервера, а тут затык получится, если отключить протокол. Вопрос: как быть в такой ситуации, дабы обезопасить себя от использования данного уязвимого протокола, достаточно ли будет хотя бы, только, установки патча или еще какие-то рекомендации нужно выполнить? Сменить сервер на версию старше ровно как и 1С - пока не тот вариант. Резервные копии естественно регулярно выполняются. Та же ситуация и с другими, 2008 и 2012, тут отключить SMBv1 (в 2012 по умолчанию отключен) можно смело, так как писал выше, в сети машин с ХР нет.

Спасибо.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×