На ваш суд представляю статью, которую меня прибило написать сегодня ночью по звуки альбома Mutter от Ramstain.

немного предыстории... первая волна червя W32.Blaster, докатившаяся до моей сети 2003-08-12, прошла для меня практически незаметно. Всего пару машин зацепило из парка 200-300.
пару дней назад, а именно 2003-09-17 *одна из модификаций дала мне и моим коллегам прикурить... зацепило уже 50-70 компов, которые мы не успели или не смогли по разным причинам пропатчить...
мы были уверены, что своевременный апдейт антивирусника + настроенные фаерволы на внешнюю сеть защитят локалку... как мы ошибались. В течении суток эпидемия была подавлена, но вспоминая поговорку "грабли продукт многоразовый" я решил опубликовать мой пусть немного некорректный, но перевод статьи "Protect your PC: 3 steps to help ensure your PC is protected (http://www.microsoft.com/security/protect/default.asp)".
в ночь с 2003-09-18 на 2003-09-19 эта статья была доступна на многих языках, но только не на русском. Поэтому я осмелился донести еёдо фуромчан пусть и в немного портепанном виде, надеюсь вам пригодится.
итак, представляю мой обзор под названием "Защити свой компьютер... (разгребая завалы, созданные интернет-червями семейства W32.Blaster.Worm) (http://wert-kzn.fromru.com/w32_blaster.html)"

просьба не кидать камнями. если будут явные неточности, рад буду услышать в этом топике, на IRC-канале этого форума (http://forum.oszone.net/topic.cgi?forum=14&topic=182), кто знает мою аську - прошу...

мда.. я тут три дня 120 компов лечил от msblast.exe и mslaugh.exe....
народ какая есть прога или как подскажите установить сервиспак на все машины сразу а не ходить каждой..

mogr
есть такая вещь как MS SMS - Microsoft Systems Management Server (http://www.microsoft.com/smserver/evaluation/default.asp). мы его сейчас в срочном порядке поднимаем. В свое время запустили его, но в рабочую эксплуатацию не ввели, вот и поплатились потерянными 24-мя часов рабочего времени системных администраторов.

Исправлено: ArtemD, 7:08 19-09-2003

Добавлено:

ссылку поправил, прошу прощения

а кроме смс ?

mogr
хммм, ну по идее можно через логин-скрипты сделать... но муторно это.

ArtemD
Мне понравилась статья. Есть коммент насчет фаерволов, а точнее почему там не упомянут Outpost. На самом деле, потому что есть Zone Alarm ;-) Не вникая в технические возможности этих двух программ, отмечу сходство в маркетинге: обе имеют бесплатную "облегченную" версию (которая вполне должна устроить пользователя, не подкл. к локальной сети) и полную "сетевую" версию. ZA сейчас очень на слуху в американской прессе, и любой журнал, причем не обязательно компьютерный (Time, например) посвятил изрядное кол-во полос эпидемии бластера. Ну и как принято у американцев статья должна еще и вкратце ответить на вопрос "Что делать?" - вот тут-то и упоминают ZA, т.к. у него есть бесплатная версия. Серьезно, это большое преимущество, ведь американским пользователям халява типа Кряковареза достается редко ;-)

Что же касается подписки на Security Updates, то грустно осознавать, что в настоящее время она стала фактически необходимой. В то же время, замечу, что люди, обладая информацией о дырах в безопасности ОС дожны делиться своим знанием с другими. Для примера приведу действия Information Services департмента у меня на работе. Они не только оперативно отреагировали на последний критически важный апдейт M$, начав установку патча уже на след. день, но еще и составили раз'ясняющий документ для всех сотрудников, имеющих компьютер дома. В документе они изложили необходимость установки апдейта, способы его получения и т.д. Можете почитать этот документ (http://portfolio.iu.edu/vsterkin/Temp/@home_security_v1.doc), если хотите (на англ.). Сделали они это не только потому, что многие работают из дома, или потому, что старались избежать лавины вопросов от юзеров (здесь это не принято). Я думаю, что они руководствовались принципом "знание - сила". Я веду к тому, что подобную практику неполохо перенять и российским системным администраторам. Кроме пользы нет вреда.

Vadikan
1. Начсет фаервола пожалуй соглашусь... все-таки статья на мелкософте ориентирована на среднестатистического американца, который если узнает, что фаерволов больше 5, то просто в ступор уёдет и пару месяцев будет выбирать... я же в течении недели в свое время успел перепробовать штук 10 и остановился натом, который мне показался удобным, легким и функциональным.

2. по поводу документа... мы попробовали сделать подобное и знаешь чем это закончилось? мы не смогли объяснить понятным рядовому пользователю языком. Нас обвинили в излишнем оперировании техническими терминами.
вот реальные цитаты из писем (пунктуация и орфография соблюдены):
а) "Прошу подойти и сделать все необходимое и не грузить меня всякими терминами"
б) "Слушай, я в этой хрене ничего не понимаю, если что то надо сделать то зайди пожалуйста и сотвори!"

письмо, которое пользователям было направлено могу привести если хотите


Исправлено: ArtemD, 8:51 19-09-2003

ArtemD
Молодец.... Классная статья.... :) :) :) Мне очень понравилась... И пасиба за то что вставил мое имя в список постоянных участников... :) А меня помоему пронесло с Бластом... на сервак я поставил апдейт сразу, а на машины, позже.... Ни одной зараженой... :up:

на официальном уровне сделать ответственым одного человека в каждом отделе который будет отвечать за свой отдел. и им ответственым объяснить или разослать письмо инструкцию. а делать все по своей инициативы натыкаешься на безразличие людей...

ArtemD
mogr
Я, наверное, не очень внятно раз'яснил насчет документа. Речь шла об "акте доброй воли" работников IS департмента, и целью документа было проинформировать работников о нбх защиты их домашних компьютеров. В том док-те тоже хватало тех. терминов, так что когда я через пару дней спросил своих коллег читали ли они письмо и предприняли ли действия, то ответы были типа "I saw the message, but I didn't pay attention to it", "Was it really important?" и т.д. :-) Пропатчивание же рабочих машин осуществлялось удаленно, и единственно о чем всех просили - перезапустить компьютер после установки патча, а также проверить, чтоб все машины в отделах были включены.

ArtemD
Ты не против если я размещу твою статью у себя? Естественно с соблюдением всех авторских прав :)

Maxvell
размести. буду только рад видеть её там ;)

Vadikan
да нет вообще-то я тебя вполне правильно понял.
домашние компьютеры работников при более-менее лояльной корпоративной политики тоже являются частью сети этой самой корпорации. это нормально. уже несколько лет вообще муссируется тема "домашних офисов" (когда работник значительную часть времени работает по диалапу/выделенке/ISDN из дома, а в офис-е появляется только для решения отдельных вопрос, решение которых удаленно неэффективно).

ArtemDуже несколько лет вообще муссируется тема "домашних офисов" У нас уже не муссируется, я ее развитие как раз на примере своего департмента и наблюдаю в течении последнего года. Одно из подразделений постепенно переводится на работу из дома - эти люди работают только с электронными док-тами из базы данных, так что им приходить на работу совсем необязательно. Год назад работало человек 15-20, а сейчас я вижу на работе всего 5-6. Конечно, фирма обеспечивает как софтом, так и железом.
Таким образом обеспечение безопасности домашних компьютеров таких сотрудников превращается из лояльной политики фирмы в необходимость. С другой стороны, повышается ответственность этих пользователей, т.к. домашний компьютер становится местом работы. Полчается, что уведомление всех пользователей корпоративной сети о дырах в системе безопасности Windows уже осознанная необходимость. Это пожалуй более корректное определение, чем "акт доброй воли" ;-) *

Vadikan
ты прав как никогда...
могу добавитькое-что... чтобы сейчас бороться с вирусами, троянами, червями и иже сними - надо скорее даже не налегать на постоянные апдейты, фаерволы и антивирусники, а попытаться повысить уровень компьютерной грамотности среднестатистического пользователя локальной сети.
вопрос - "как?" думаю не имеет однозначного ответа

Это все конечно прекрасно и форум у вас классный но у меня сегодня ночью прикольчик произошел!!!! у меня все машинки пропатчены нигде вирусов небыло но сегодня ночью у меня выскочила на одной из машин довольнго знакомая табличка и критическое завершение работы винды! как оказалось этот голимый вирус залез комне на *накомп!???.......mslaugh.exe каким образом он сюда попал?....машины ысе пропатчены!!!!!.......что мне делать?,.........если эта дрянь опять положет все машины?!!!

заранее благодарен!


Исправлено: ArtemD, 22:53 26-11-2003

speacker
если ты внимательно прочитал статью, то думаю понял, что важно провести комплекс мероприятий по установке и настройке межсетевых экранов, антивирусного ПО и заплаток на машины, а не только заплатки. Заплатки несовершенны - это признанный MS-ом факт

в подтверждении моему предыдущему посту вот статья с SecurityLab.ru

Уязвимость RPC DCOM N2 так и не устранена! (обновлено)
После тщательной проверки, сразу из нескольких источников стало известно, что “универсальный ”эксплоит против DCOM№2 уязвимости (http://www.securitylab.ru/40741.html), опубликованный в среду на нашем форуме, работает даже при установленной заплате MS03-39 (http://www.securitylab.ru/40159.html).

Пока удалось настроить эксплоит только для DoS нападения, но скорее всего эксплоит можно оптимизировать и для выполнения произвольного кода. Всем пользователям срочно рекомендуется закрыть уязвимые порты для доступа из интернет, так как в ближайшее время возможно появление нового разрушительного червя, эксплуатирующего неустраненную уязвимость.

В настоящий момент уязвимость проверена на следующих системах:

** Microsoft Windows XP Professional
* * Microsoft Windows XP Home
* * Microsoft Windows 2000 Workstation

Источник (http://www.securitylab.ru/?ID=40754&R=0.ML.CGI)

Российское представительство MS наконец-то проснулось!
сегодня увидел там на одной из главных страниц ссылку на их статью "Оповещение PSS Security Response Team — новый вирус: червь W32.Blaster.worm (http://www.microsoft.com/rus/news/blast.asp)"
но... "Дата: 14 августа 2003 г." меня как-то смущает... не было там этого. специально искал