задачка для администраторов - нужны ваши мнения

[John Connor]

Решите пожалуйста небольшую задачку:

Представьте себе‚ что вы администратор в организации с парком в
несколько сотен компьютеров.

Все рабочие места - Windows XP. Входят в домен Active Directory (2003).
Никакого антивирусного ПО не развернуто.
Никаких продуктов управления ИТ-инфраструктурой не внедрено.

Из-за упущений вашего предшественника‚ на части пользовательских
компьютеров оказался не установленным ряд критических обновлений ОС‚
закрывающих уязвимость в сетевом стеке. Что привело к заражению
компьютеров вирусом-червем. Для лечения данного вируса существует
бесплатная командно-строчная утилита (червем пусть для определенности
будет conficker‚ лечилкой - kk.exe от касперского. хотя это совершенно не
важно). Компьютеры с установленными критическими обновлениями к
заражению данным вирусом устойчивы.
Компьютеры нужно вылечить и предотвратить повторное заражение.

Расскажите‚ как бы вы решали эту проблему. Бюджетных средств на
закупку дополнительного ПО не предусмотрено.

ps:
мне хотелось бы видеть какими методами вы решаете именно эту
тактическую задачу‚ а не вопросы комплексной антивирусной защиты
(ключевые слова в задании - "парк в несколько сотен компьютеров"‚ а
лечение так‚ для антуражу).

[Lobzik]

Приветствую. Я бы попытался проиграть следующий сценарий:
создается групповая политика, в ней указывается необходимость запуска kk.exe на определенной группе компьютеров домена. Она лечит компы, ребутает их, если нужно и т.д. и т.п. Далее ставим на контроллер домена WSUS, которая как раз занимается распространением обновлений в домене. Приносим на WSUS обновления (или качаем их с инета) и делаем расписание на установку обновлений. Такой реализации достаточно или подробнее описать?

[John Connor]

Такой реализации достаточно или подробнее описать?

можноподробнее в личку?

[Oves]

Далее ставим на контроллер домена WSUS

Лучше не на контроллер, контроллеры должны без. доп софта работать. Отдельный служебный сервер - места много нужно под обновления, если включать по полной. Нужен IIS на сервере, MSXML Parser и SQL Express вроде. В целом подход верный - только нужно понимать, какие возможности утилита даёт при работе из командной строки.

[TheTERMINATOR]

создается групповая политика, в ней указывается необходимость запуска kk.exe на определенной группе компьютеров домена. Она лечит компы, ребутает их, если нужно и т.д. и т.п. Далее ставим на контроллер домена WSUS.

Как уже писали, не на DC. Хоть и не сильно WSUS грузит, но выпускать контроллер в интернет нельзя.

Еще момент.
Хоть на клиентах и стоит касперский, на время лечения надо всех от сети отключать. Пока в сети есть живой червь, kk.exe вылечит, но непропатченная система опять заразится, лечить бесполезно.

--- Добавлено чуть позже ---

Отдельный служебный сервер - места много нужно под обновления, если включать по полной. Нужен IIS на сервере, MSXML Parser и SQL Express вроде.

Места надо не так много, десяток гигов под апдейты, под sql - вообще децл.

[Oves]

Места надо не так много, десяток гигов под апдейты,

У меня легко набралось 22 под все продукты

[luckysid]

ахххах, выбор или ногами бегай или настраивай групповую политику домена остальное смешно )))) как то раз у нас появисля в лвс на 500 компов кидо червь ))) лупили кидо киллером и доктор вебом куре ит. все победили за 12 дней.

--- Добавлено чуть позже ---

стойки отключали и каждый комп проверяли на кидо и тд и тп . пока сети нет все лечится. иначе никак .

--- Добавлено чуть позже ---

черви зло . но брешь в системах зависит от бдительности сетевых администраторов. от контингента работников в сфере IT, даже без руководства можно все решить своими силами дабы не создавать геморой в своей работе. все очень просто

[John Connor]

Хороший сценарий.
Но его часть‚ обозначенную как "создается групповая политика‚ в ней
указывается необходимость запуска kk.exe на определенной группе
компьютеров домена" хотелось бы видеть проработанной чуть более
подробно.
ps:
зачем ставить wsus на контроллер домена ?

[luckysid]

настраивается авто запуск приложения при загрузке виндовс в групповой политике) кури мануалы по виндовс сервер актив директори и будет тебе счастье. ! ты как супер админ, много можешь сделать достаточно 1 раз настроить как надо и применить политику. и все будет работать за тебя.

[Kidont]

как то раз у нас появисля в лвс на 500 компов кидо червь ))) лупили кидо киллером и доктор вебом куре ит. все победили за 12 дней.


стойки отключали и каждый комп проверяли на кидо и тд и тп .

Если свитчи управляемые то можно было их по разным вланам раскидывать.
На будущее рекомендую переходить на вланы по департаментам, чтобы в крайнем случае заражение проходило только в пределах небольшого департамента. Общеколхозные сервера нарезать через фаерволы и шейперы ТОЛЬКО по нужным портам. вот тогда зараза БЫСТРО локализуется и трахается весь департамент из которого вышел вирус. Они обычно сами находят виновного, если стоит внутредепартаментная задача наЙти виновного под угрозой наказания всех ПОДРЯД.

[Fishka]

Kidont, жОстко, но верно

[Sten]

Хм, я б сделал самораспаковывающийся exe файл в котором был бы батничек + утилита КК.ехе или аналог. Выложил бы его на корп. сервере или разослал бы всем по почте и строго наказал бы всем его запустить иначе все умрет навсегда Что делает батник (точнее я хз как это называется но видел такой софт): обрубает сетку, запускает кк.ехе, создает нового пользователя admin или как угодно, с паролем известным только админу, меняет права текущего пользователя на Юзверь, ставит его запуск по умолчанию, включает сетку, самоудаляется после чего ребутит комп. Можно сделать работу ентого дела максимально приближенную к работе виря для пущей веселости. А вот под юзером подцепить виря будет ой как сложно, и Касперский нафик не уперся.

[Caligula]

Выложил бы его на корп. сервере или разослал бы всем по почте и строго наказал бы всем его запустить иначе все умрет навсегда

Смешно
Можно же в групповую политику (как описано выше) сценарий запихнуть для всех и всё. Мы, правда, кидо лечили только переменным отключением компов от сети - иначе концы где-то всегда оставались

[Axl]

Хм, я б сделал самораспаковывающийся exe файл в котором был бы батничек + утилита КК.ехе или аналог. Выложил бы его на корп. сервере или разослал бы всем по почте и строго наказал бы всем его запустить иначе все умрет навсегда Что делает батник (точнее я хз как это называется но видел такой софт): обрубает сетку, запускает кк.ехе, создает нового пользователя admin или как угодно, с паролем известным только админу, меняет права текущего пользователя на Юзверь, ставит его запуск по умолчанию, включает сетку, самоудаляется после чего ребутит комп. Можно сделать работу ентого дела максимально приближенную к работе виря для пущей веселости. А вот под юзером подцепить виря будет ой как сложно, и Касперский нафик не уперся.

Sten, Саша, ты бесподобен!!!
Можно еще перед началом рабочего дня всем по дискете раздать и обязать запустить содержимое с подробным мануалом

По теме, парни правы, только групповая политика спасет, все остальное онанизм.

[Caligula]

Можно еще перед началом рабочего дня всем по дискете раздать и обязать запустить содержимое с подробным мануалом

Игорь, ты более креативен! Получаешь первое место!

[Kidont]

Что делает батник - создает нового пользователя admin или как угодно, с паролем известным только админу

Ну ну. ОЧЕНЬ секретный пароль в батнике???
приведу кусок примерного текста:
@echo off
net user add StenAdmin StenSecretParol StenDomain

А это полная команда @net user@
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
NET USER
[имя_пользователя [пароль | *] [параметры]] [/DOMAIN]
имя_пользователя {пароль | *} /ADD [параметры] [/DOMAIN]
имя_пользователя [/DELETE] [/DOMAIN]

Короче Сань - не тупи.

[TheTERMINATOR]

Если свитчи управляемые...

Если контора не выделяет деньги на антивирус, о каком хорошем оборудовани может идти речь!

[Axl]

Ну ну. ОЧЕНЬ секретный пароль в батнике???

Kidont, не, ну ты чего, просто назначить пароль словом - parol, тогда будет все секретно!

[Kidont]

Если контора не выделяет деньги на антивирус, о каком хорошем оборудовани может идти речь

Ну Антивирус можно не покупать из принципа пока на шару ключи есть.
Я такую контору знаю. 12 лет назад была уже сетка на 100 мегабит, хотя тогда это было безумно дорого. Свитчи (управляемые) уже три раза обновили. А антивируса лицензионного нет.

[John Connor]

Если контора не выделяет деньги на антивирус, о каком хорошем оборудовани может идти речь!

Вот именно хотят задаром и эффективно, при этом думают что админ Бог и все-все умеет

--- Добавлено чуть позже ---

кури мануалы по виндовс сервер актив директори и будет тебе счастье.

есть чё покурить?