Млин, а ведь домашний комп таких юзверей -- рассадник самой актуальной вирусни, как у портовой шлюхи. Пару доков в общий чат и можно смело начинать выгребать дерьмо с серваков.
11.04.2020, 07:46
С домашних компов мне кажется юзеров в сеть корпоративную пускают только очень смелые (или очень нищие) компании.
ооо, какая святая наивность... тут 6 министерств из дома работают, в том числе экономики
вот это заявление.
А разве не так? По факту удаленный рабочий стол транслирует только команды от периферийных устройств и обратно возвращает картинку.
так, но документ то туда скопировать никто не мешает
Окей, пару сценариев:
- подключение по VPN в корпоративную сеть, где есть шара с правом на запись. Домашний троян с радостью ломится туда позаменять собой пару-тройку docx\xlsx.
- Шары нет, но интернет тугой. Юзер вытягивает рабочий документ себе на домашний ПК, в нем радостно селится вирусняк, файл отгружается на рабочий ПК.
- RDP и его заменяющих нет, а просто открыли доступ по VPN к общим сайтам\файлам, а работники доставили необходимый софт на домашний ПК.
- ну или банально могут умыкнуть пароли доступа.
В целом, RDP дает возможность подключать сетевой диск, имеется общий буфер и как бы у тебя целое окно управления стороним компом. Конкретно в этом направлении не копал (игрался только с WS-Management), но что-то мне подсказывает что при желании можно организовать и атаку с использованием поднятой сессии RDP (ну или умыкнуть её).
- подключение по VPN в корпоративную сеть, где есть шара с правом на запись. Домашний троян с радостью ломится туда позаменять собой пару-тройку docx\xlsx.
- Шары нет, но интернет тугой. Юзер вытягивает рабочий документ себе на домашний ПК, в нем радостно селится вирусняк, файл отгружается на рабочий ПК.
- RDP и его заменяющих нет, а просто открыли доступ по VPN к общим сайтам\файлам, а работники доставили необходимый софт на домашний ПК.
- ну или банально могут умыкнуть пароли доступа.
В целом, RDP дает возможность подключать сетевой диск, имеется общий буфер и как бы у тебя целое окно управления стороним компом. Конкретно в этом направлении не копал (игрался только с WS-Management), но что-то мне подсказывает что при желании можно организовать и атаку с использованием поднятой сессии RDP (ну или умыкнуть её).
Напомнило....
https://bash.im/quote/341458
Steve: Папа по телефону диктует сослуживице, которой за пятьдесят, как ей впервые открыть позарез нужный документ на домашнем компьютере сына. Предку явно не покайфу это все.
Steve: Ало!!!!
Вставила диск? Найди в "моем компьютере" диск 3,5 А !!
Что нет? 3,5 А нет? Моего компьютера на экране нет?
Есть? щелкни!! Что значит........чем щелкнуть?
Зубами, бл** щелкни!!!!
https://bash.im/quote/341458
Steve: Папа по телефону диктует сослуживице, которой за пятьдесят, как ей впервые открыть позарез нужный документ на домашнем компьютере сына. Предку явно не покайфу это все.
Steve: Ало!!!!
Вставила диск? Найди в "моем компьютере" диск 3,5 А !!
Что нет? 3,5 А нет? Моего компьютера на экране нет?
Есть? щелкни!! Что значит........чем щелкнуть?
Зубами, бл** щелкни!!!!
Вообще немного из практики. В бытность XP в универе столкнулся с тем, что ПК не хочет создавать VPN, т.к. на установленой версии какого-то фига по умолчанию была отключена нужная служба (привет всем зверьэдишенам). На старой работе отца у сотрудника не устанавливалась ни одна программа т.к. была отключена служба установки. Плюс в сети гуляет 100500 гайдов по "оптимижации шиндовс" где такие рекомендации, что волосы дыбом стают (особенно любят вырубать UAC). Блин, да в ИТ-компании, где вроде все умные люди, порой недостучатся из одного компа к другому по какой-то идиотской причине, которую упустили. Работая в том же Ciklum, столкнулся с тем что нужно звонить провайдеру и просить открыть порт для VPN (хотя вроде это и в инструкциях было, не помню уже).
И это все опуская IQ пользователя в плане взаимодействия с ПК. В общем на все случаи жизни инструкцию не напишешь.
И это все опуская IQ пользователя в плане взаимодействия с ПК. В общем на все случаи жизни инструкцию не напишешь.
Ага, ну прям ликбез будешь проводить каждому, рассказывать про туннели, про порты проброшенные и прочее, заодно расскажешь что надо домен дописывать и еще расскажешь что такое домен. Мне интересно, на сколько человек тебя хватит.
В действительности происходит так: Вот значок на него тыкаешь, потом пишешь свой пароль, потом тыкаешь сюда и снова пишешь пароль, потом работаешь, потом тыкаешь на крестик и на вот эту кнопку. Ах да и не вздумай удалять AA и тимвьювер, звонить сюда. Следующий.
В действительности происходит так: Вот значок на него тыкаешь, потом пишешь свой пароль, потом тыкаешь сюда и снова пишешь пароль, потом работаешь, потом тыкаешь на крестик и на вот эту кнопку. Ах да и не вздумай удалять AA и тимвьювер, звонить сюда. Следующий.
Если взять самую простую сеть на пару юзеров и одного админа в офисе без доменов, тунелей, фаерволов и прочего то сам процесс доступа с дома на рабочий ПК выглядит как минимам:
- включить RDP на рабочем ПК, добавить порт RDP в исключение брандмауэра Windows, добавить учетку юзера в группу "Пользователи удаленного рабочего стола"
- пробросить порт на маршрутизаторе
- заходить с домашнего ПК на рабочий ПК по нестандартному порту.
Я понимаю на маршрутизаторе правила добавляет исключительно Адмнин, но если юзер имеет доступ к админ аккаунту винды, права на изменения правил брандмауэра, групповых политик и прочего... КАК ЧАСТО У ВАС АДМИНЫ СУИЦИДЯТСЯ?
Это мы упустили то, что в 99% должно быть, а именно отдельный фаервол, работа ПК в домене, исключение на подключение извне и прочее...
- включить RDP на рабочем ПК, добавить порт RDP в исключение брандмауэра Windows, добавить учетку юзера в группу "Пользователи удаленного рабочего стола"
- пробросить порт на маршрутизаторе
- заходить с домашнего ПК на рабочий ПК по нестандартному порту.
Я понимаю на маршрутизаторе правила добавляет исключительно Адмнин, но если юзер имеет доступ к админ аккаунту винды, права на изменения правил брандмауэра, групповых политик и прочего... КАК ЧАСТО У ВАС АДМИНЫ СУИЦИДЯТСЯ?
Это мы упустили то, что в 99% должно быть, а именно отдельный фаервол, работа ПК в домене, исключение на подключение извне и прочее...
>>Если взять самую простую сеть на пару юзеров и одного админа в офисе
Не будет админа. Скорее тело выполняющее его обязоности, либо мальчик по вызову. В зависимости от бюджета организации, компетенции руководства и срочности задачи, принятые решения могут быть не в пользу секьюрити. Из позитивного: как правило такое до первого инцидента, и дальше таки принимаются меры усиления безопасности.
Не будет админа. Скорее тело выполняющее его обязоности, либо мальчик по вызову. В зависимости от бюджета организации, компетенции руководства и срочности задачи, принятые решения могут быть не в пользу секьюрити. Из позитивного: как правило такое до первого инцидента, и дальше таки принимаются меры усиления безопасности.
Окей, не админ, а эникей по вопросам включить монитор, заменить картридж, настроить принтер, посмотреть почему порнобаннер занимает 99% рабочего стола... как правило студент за шаурму на неполный рабочий день.
Если нет IT отдела или компания никак не связана с интернетом (сайт визитка, нет сервера, нет онлайн конференций, почта на гмыле, принтера заправляет секретарша по дороге домой завозя на фирму которая этим занимается) то хуй, что примут, в одном ООО делал мини сайт с их продукцией, точнее сказали переделать то, что у них было но оказалось проще с 0, так один с их доменом оказался как пол года у левых людей ибо его не продлевали, а буквально через пол года после этого звонил уже третий по счету админ который спрашивал "а есть ли мои наработки у меня" ибо хостинг благополучно продлить они тоже забыли и все файлы наебнулись.
ООО, по договору домены, почта, ИНТЕРНЕТ в городе в одной компании брали... они не в состояние почту мониторить, для продления услуг, о какой безопасности речь?
ООО, по договору домены, почта, ИНТЕРНЕТ в городе в одной компании брали... они не в состояние почту мониторить, для продления услуг, о какой безопасности речь?
Чтобы написать коммент, необходимо залогиниться
