задачка для администраторов - нужны ваши мнения

**John Connor** · 05.09.2011, 13:22

Решите пожалуйста небольшую задачку:

Представьте себе‚ что вы администратор в организации с парком в
несколько сотен компьютеров.

Все рабочие места - Windows XP. Входят в домен Active Directory (2003).
Никакого антивирусного ПО не развернуто.
Никаких продуктов управления ИТ-инфраструктурой не внедрено.

Из-за упущений вашего предшественника‚ на части пользовательских
компьютеров оказался не установленным ряд критических обновлений ОС‚
закрывающих уязвимость в сетевом стеке. Что привело к заражению
компьютеров вирусом-червем. Для лечения данного вируса существует
бесплатная командно-строчная утилита (червем пусть для определенности
будет conficker‚ лечилкой - kk.exe от касперского. хотя это совершенно не
важно). Компьютеры с установленными критическими обновлениями к
заражению данным вирусом устойчивы.
Компьютеры нужно вылечить и предотвратить повторное заражение.

Расскажите‚ как бы вы решали эту проблему. Бюджетных средств на
закупку дополнительного ПО не предусмотрено.

ps:
мне хотелось бы видеть какими методами вы решаете именно эту
тактическую задачу‚ а не вопросы комплексной антивирусной защиты
(ключевые слова в задании - "парк в несколько сотен компьютеров"‚ а
лечение так‚ для антуражу).

**Lobzik** · 05.09.2011, 13:52

Приветствую. Я бы попытался проиграть следующий сценарий:
создается групповая политика, в ней указывается необходимость запуска kk.exe на определенной группе компьютеров домена. Она лечит компы, ребутает их, если нужно и т.д. и т.п. Далее ставим на контроллер домена WSUS, которая как раз занимается распространением обновлений в домене. Приносим на WSUS обновления (или качаем их с инета) и делаем расписание на установку обновлений. Такой реализации достаточно или подробнее описать?

**John Connor** · 05.09.2011, 14:20

Сообщение от Lobzik

Такой реализации достаточно или подробнее описать?

можноподробнее в личку?

**Oves** · 05.09.2011, 16:06

Сообщение от Lobzik

Далее ставим на контроллер домена WSUS

Лучше не на контроллер, контроллеры должны без. доп софта работать. Отдельный служебный сервер - места много нужно под обновления, если включать по полной. Нужен IIS на сервере, MSXML Parser и SQL Express вроде. В целом подход верный - только нужно понимать, какие возможности утилита даёт при работе из командной строки.

**TheTERMINATOR** · 05.09.2011, 19:46

Сообщение от Lobzik

создается групповая политика, в ней указывается необходимость запуска kk.exe на определенной группе компьютеров домена. Она лечит компы, ребутает их, если нужно и т.д. и т.п. Далее ставим на контроллер домена WSUS.

Как уже писали, не на DC. Хоть и не сильно WSUS грузит, но выпускать контроллер в интернет нельзя.

Еще момент.
Хоть на клиентах и стоит касперский, на время лечения надо всех от сети отключать. Пока в сети есть живой червь, kk.exe вылечит, но непропатченная система опять заразится, лечить бесполезно.

--- Добавлено чуть позже ---

Сообщение от Oves

Отдельный служебный сервер - места много нужно под обновления, если включать по полной. Нужен IIS на сервере, MSXML Parser и SQL Express вроде.

Места надо не так много, десяток гигов под апдейты, под sql - вообще децл.

**Oves** · 05.09.2011, 21:01

Сообщение от TheTERMINATOR

Места надо не так много, десяток гигов под апдейты,

У меня легко набралось 22 под все продукты

**luckysid** · 05.09.2011, 23:32

ахххах, выбор или ногами бегай или настраивай групповую политику домена

остальное смешно )))) как то раз у нас появисля в лвс на 500 компов кидо червь ))) лупили кидо киллером и доктор вебом куре ит. все победили за 12 дней.

--- Добавлено чуть позже ---

стойки отключали и каждый комп проверяли на кидо и тд и тп . пока сети нет все лечится. иначе никак .

--- Добавлено чуть позже ---

черви зло . но брешь в системах зависит от бдительности сетевых администраторов. от контингента работников в сфере IT, даже без руководства можно все решить своими силами дабы не создавать геморой в своей работе. все очень просто

**John Connor** · 05.09.2011, 23:38

Хороший сценарий.
Но его часть‚ обозначенную как "создается групповая политика‚ в ней
указывается необходимость запуска kk.exe на определенной группе
компьютеров домена" хотелось бы видеть проработанной чуть более
подробно.
ps:
зачем ставить wsus на контроллер домена ?

**luckysid** · 06.09.2011, 00:28

настраивается авто запуск приложения при загрузке виндовс в групповой политике) кури мануалы по виндовс сервер актив директори и будет тебе счастье. ! ты как супер админ, много можешь сделать

достаточно 1 раз настроить как надо и применить политику. и все будет работать за тебя.

**Kidont** · 06.09.2011, 00:53

Сообщение от luckysid

как то раз у нас появисля в лвс на 500 компов кидо червь ))) лупили кидо киллером и доктор вебом куре ит. все победили за 12 дней.

стойки отключали и каждый комп проверяли на кидо и тд и тп .

Если свитчи управляемые то можно было их по разным вланам раскидывать.
На будущее рекомендую переходить на вланы по департаментам, чтобы в крайнем случае заражение проходило только в пределах небольшого департамента. Общеколхозные сервера нарезать через фаерволы и шейперы ТОЛЬКО по нужным портам. вот тогда зараза БЫСТРО локализуется и трахается весь департамент из которого вышел вирус. Они обычно сами находят виновного, если стоит внутредепартаментная задача наЙти виновного под угрозой наказания всех ПОДРЯД.

**Fishka** · 06.09.2011, 01:13

Kidont, жОстко, но верно

**Sten** · 06.09.2011, 01:26

Хм, я б сделал самораспаковывающийся exe файл в котором был бы батничек + утилита КК.ехе или аналог. Выложил бы его на корп. сервере или разослал бы всем по почте и строго наказал бы всем его запустить иначе все умрет навсегда

Что делает батник (точнее я хз как это называется но видел такой софт): обрубает сетку, запускает кк.ехе, создает нового пользователя admin или как угодно, с паролем известным только админу, меняет права текущего пользователя на Юзверь, ставит его запуск по умолчанию, включает сетку, самоудаляется после чего ребутит комп. Можно сделать работу ентого дела максимально приближенную к работе виря

для пущей веселости. А вот под юзером подцепить виря будет ой как сложно, и Касперский нафик не уперся.

**Caligula** · 06.09.2011, 06:51

Сообщение от Sten

Выложил бы его на корп. сервере или разослал бы всем по почте и строго наказал бы всем его запустить иначе все умрет навсегда

Смешно

Можно же в групповую политику (как описано выше) сценарий запихнуть для всех и всё. Мы, правда, кидо лечили только переменным отключением компов от сети - иначе концы где-то всегда оставались

**Axl** · 06.09.2011, 08:19

Сообщение от Sten

Хм, я б сделал самораспаковывающийся exe файл в котором был бы батничек + утилита КК.ехе или аналог. Выложил бы его на корп. сервере или разослал бы всем по почте и строго наказал бы всем его запустить иначе все умрет навсегда

Что делает батник (точнее я хз как это называется но видел такой софт): обрубает сетку, запускает кк.ехе, создает нового пользователя admin или как угодно, с паролем известным только админу, меняет права текущего пользователя на Юзверь, ставит его запуск по умолчанию, включает сетку, самоудаляется после чего ребутит комп. Можно сделать работу ентого дела максимально приближенную к работе виря

для пущей веселости. А вот под юзером подцепить виря будет ой как сложно, и Касперский нафик не уперся.

Sten, Саша, ты бесподобен!!!

Можно еще перед началом рабочего дня всем по дискете раздать и обязать запустить содержимое с подробным мануалом

По теме, парни правы, только групповая политика спасет, все остальное онанизм.

**Caligula** · 06.09.2011, 09:16

Сообщение от Axl

Можно еще перед началом рабочего дня всем по дискете раздать и обязать запустить содержимое с подробным мануалом

Игорь, ты более креативен! Получаешь первое место!

**Kidont** · 06.09.2011, 09:31

Сообщение от Sten

Что делает батник - создает нового пользователя admin или как угодно, с паролем известным только админу

Ну ну. ОЧЕНЬ секретный пароль в батнике???
приведу кусок примерного текста:
@echo off
net user add StenAdmin StenSecretParol StenDomain

Сообщение от Корпорация Майкрософт

А это полная команда @net user@
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
NET USER
[имя_пользователя [пароль | *] [параметры]] [/DOMAIN]
имя_пользователя {пароль | *} /ADD [параметры] [/DOMAIN]
имя_пользователя [/DELETE] [/DOMAIN]

Короче Сань - не тупи.

**TheTERMINATOR** · 06.09.2011, 09:46

Сообщение от Kidont

Если свитчи управляемые...

Если контора не выделяет деньги на антивирус, о каком хорошем оборудовани может идти речь!

**Axl** · 06.09.2011, 09:47

Сообщение от Kidont

Ну ну. ОЧЕНЬ секретный пароль в батнике???

Kidont, не, ну ты чего, просто назначить пароль словом - parol, тогда будет все секретно!

**Kidont** · 06.09.2011, 10:04

Сообщение от TheTERMINATOR

Если контора не выделяет деньги на антивирус, о каком хорошем оборудовани может идти речь

Ну Антивирус можно не покупать из принципа пока на шару ключи есть.
Я такую контору знаю. 12 лет назад была уже сетка на 100 мегабит, хотя тогда это было безумно дорого. Свитчи (управляемые) уже три раза обновили. А антивируса лицензионного нет.

**John Connor** · 06.09.2011, 10:45

Сообщение от TheTERMINATOR

Если контора не выделяет деньги на антивирус, о каком хорошем оборудовани может идти речь!

Вот именно хотят задаром и эффективно, при этом думают что админ Бог и все-все умеет

--- Добавлено чуть позже ---

Сообщение от luckysid

кури мануалы по виндовс сервер актив директори и будет тебе счастье.

есть чё покурить?

Тема: задачка для администраторов - нужны ваши мнения

Опции темы

Поиск по теме

задачка для администраторов - нужны ваши мнения

Похожие темы

Ваши мнения о размере зимней шины, 205/60 R16

Купил ноутбук. Ваши мнения?!?

Автомагнитола Parrot RYTHM N’ BLUE - ваши мнения???

Моторное масло AVIA(Германия). Ваши мнения!!!

Протестил VagCom'ом-результаты. Ваши мнения.

Ваши права