Аэрофлот все?

это мы уже знаем

 

Ну и? 16 сервер не старый. К чему ты это все?) проблема не в ад как в сервисе.

 

нет, уверен что топология была такая, был получен доступ в корпоративную сеть, а дальше атакованы старые дырявые системы где было AD, либо вычленили пароль со старой системы с супер правами, либо же создали новую учётку и повысили через сертификат AD, короче это не суть важно, а важно другое, что никакой аудит событий не вёлся, не только по AD, но и по трафику, данные качали месяцами, системы толком не обновлялись, ну и конечно никакого перехода на отечественные софт даже близко не было, это всё очковтирательство. А ломанули через AD это на 99%

 

И каким образом отечественный софт, считай OpenLDAP мог это предотвратить?

 

Я с Тобой на ИТ темы даже говорить не буду. AD на древних серверах!

 

вопрос не правильный задаешь, во первых надо понять где вообще в этой истории отечественный софт, а потом уже спрашивать как OpenLDAP мог это предотвратить, потому как заточен он под UNIX системы. Вообще связки с AD + radius + сетевое оборудование с поддержкой NPS запросов, это очень надежно, скоро выйдет какой ни будь обзор и можно будет почитать от людей которые осведомлены, но думаю будет всё как написано выше, с грубейшими нарушениями всего и вся.

 

Чёт мне кажется ты оч по верхам знаешь это все, бро. Я читаю и ловлю фейспалмы, сорян. Я, канеш, тоже не светило, но 20 лет опыта админом имею, винда, никсы, бсд.

 

так если AD было реализовано на MS 2012/2012R2 то он сплошь дырявый, а даже этого исключать нельзя. И даже 2016й относительно безопасный только со всеми патчами, в голом виде тоже дырявый.

 

Вообще-то консоль Пользователи и компьютеры AD можно запустить абсолютно с любой инсталляции Windows начиная c 2000 server или с Windows 7.
Хотя да, fsmo роль есть и без SP.

 

О5 явный проеп ИБ. Windows 2012 srv давно снят с поддержки. Обновления не выпускаются. На Windows 2016 не стоят актуальные обновления.
У ИБ maxpatrol не работает? Или они отчёты вообще не смотрят? Почему в их кспд машина с ролью fsmo 100 лет без обновлений? Они вообще за что за получают?

 

Так весь аудит - это тема ИБ, а не админов. Вот Ты сам и разобрался.

 

C 16ого, по моему, или с 12, я точно не помню, они полностью переписали всю АД с нуля.

 

С 16го. Ибо нет апгрейда с 12 на 16. Есть только миграция.

 

Ну вот. А с 16ого она особо не поменялась, хз насчет безопасности, я тут не особо шарю, я больше управлением занимаюсь последние лет 10. Но, по моему, зияющих дыр и в 16том нет.
Там не в уязвимостях дело, я думаю, все куда проще. Какому-нить буху пришло фишинговое письмо, она сходила, словила кейлоггер, он сидел и ждал пока мальчик эникей не придет и не введет свой пароль с привилегиями на её машине, какой-нить крипропро или 1с обновить, а дальше имея права даже хэлпдеска добраться до доменного админа не так сложно. Если там криворучки балбесы, то у них один пароль на все машины и никсовые и бсд и чё там у них ещё стоит. Но раз они за сутки все вернули, то утечка явно не такая глобальная, как хотели бы хохлы.

 

А вы можете по-русски разговаривать?

 

Вообще 1000 сценариев различных может быть.
Но тут 100% проеп безопасников. Чисто их хлеб. Остальное детали которые о5 же в зоне ответственности ИБ.

 

Всегда нормально же общались.

 

Было?

 

Вот, еще один CIO подтянулся в тему.

 

Я уже столько прочитала сегодня в чате ИТ и в чате фиников, дануегона уже, надоело

 

Ну да. Вот как-то так.

 

Эта не та позиция, что принимает решения. Чуваки с опытом 3-5 лет на такое идут, их задача следить за регламентами. Нормальная зп, кста. В рынке.

 

Ну хз. По нашим временам сотка..
Это всю жизнь на съеме, значит на жизнь вообще полтинник. Ну и что в этой зп нормального?

 

И как, отследили?

 

Это низкая позиция чуть выше эникея.

 

Мы не знаем кто и как накосячил. В любом случае любая зп не гарантия отсутствия проблем.

 

интересный ты парень, не увидел наверное что сервер даже не активирован ?) это ты думаешь ИБ виновато ? нет уж, это админ криворукий, работает и ладно, хотя думаю всё там прописано как надо, но а с другой стороны, как обновления то получать если контракта нет ? короче как обычно, бизнес по русски, максимальная прибыль с минимальными затратами.

 

Обновления приходят и без активации, есиче.

 

Я как раз и это заметил. Аудит по политикам лицензирования в чьей зоне ответственности?
Другой вопрос, что вообще не факт, что эта машина в рабочем домене. Может это DC тестового контура например.