Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Info Coronavirus/Vaccinare vs Fake News

Ozempic

Sectii ale politiei chineze in Ro...

Viteza net Wifi de 5 ori mai mica...
 Alegere cablu tv

2l combustibil plafonat in Ungaria?

Recomandare TV Oled-Led

Rabla pentru electrocasnice si pr...
 The SKA Project(Square Kilometre ...

Sfat achiziție bicicleta

Samsung Galaxy Tab S6 - Chrome nu...

Intrebare despre pizza, marime si...
 Recomandare televizor

Internet fix orange sau Vodafone.

Puls mare doar noaptea?

La multi ani @karax!
 

Info securitate Windows 2008 Enterprise

- - - - -
  • Please log in to reply
16 replies to this topic

#1
kossma

kossma

    Junior Member

  • Grup: Members
  • Posts: 63
  • Înscris: 01.02.2010
Salutare !

As dori sa imi imbunatatesc securitatea a serverului de domeniu pe care il gestionez.....si v-as ruga sa imi ziceti la ce ar trebui sa ma mai uit referitor ...exceptand antivirusi si update-uri....

Doresc sa previn accesul neautorizat la unele calculatoare.......

Multumesc anticipat !

#2
Seb

Seb

    Suveran

  • Grup: Senior Members
  • Posts: 11,077
  • Înscris: 22.05.2005
Angajeaza un specialist.

#3
Dedelu

Dedelu

    Member

  • Grup: Members
  • Posts: 357
  • Înscris: 09.01.2006
Ce vrei mai exact sa securizezi ca nu imi dau seama? Domeniul intreg sau doar un server? Sau acel server e domain controller?
Serverul e Windows Server 2008 sau Windows Server 2008 R2 ?
Da mai multe detalii despre retea: ce clienti ai , ce sistem de operare folosesc?

#4
kossma

kossma

    Junior Member

  • Grup: Members
  • Posts: 63
  • Înscris: 01.02.2010

View PostDedelu, on 31 iulie 2014 - 15:44, said:

Ce vrei mai exact sa securizezi ca nu imi dau seama? Domeniul intreg sau doar un server? Sau acel server e domain controller?
Serverul e Windows Server 2008 sau Windows Server 2008 R2 ?
Da mai multe detalii despre retea: ce clienti ai , ce sistem de operare folosesc?

Deci am un server pe post de controler de domeniu...Windows Server 2008 Enterprise, 32 biti....cu aproximativ 100 utilizatori
Calculatoarele sun 95 % cu sistem de operare Windows 7
Sunt legat prin VPN cu o alta locatie
Problemele mele sunt legate de securitate.....cred ca cineva rau intentionat poate intra din interiorul sau din afara retelei pe diverse calculatoare, pentru a vedea informatii, etc
Bineinteles ca am dezactivat conturile de utilizator si de administrator locale.....si parola de administrator de sistem este puternica...si schimbata periodic...dar totusi cumva trece de barielele de securitate existente
As dori sa stiu daca exista sau pot dezactiva alte optiuni......pentru a putea estompa.......

Multumesc anticipat

#5
carmenclara1

carmenclara1

    Guru Member

  • Grup: Moderators
  • Posts: 19,074
  • Înscris: 08.12.2008
update la 2008 R2. o regula de firewall setata sa blocheze tot dupa care permiti strict de ce ai nevoie. schimbi/obligi la schimbarea parolelelor a tuturor celor cu drepturi de local admin si domain admin.

#6
kossma

kossma

    Junior Member

  • Grup: Members
  • Posts: 63
  • Înscris: 01.02.2010

View Postcarmenclara1, on 31 iulie 2014 - 19:16, said:

update la 2008 R2. o regula de firewall setata sa blocheze tot dupa care permiti strict de ce ai nevoie. schimbi/obligi la schimbarea parolelelor a tuturor celor cu drepturi de local admin si domain admin.

Multumesc pentru sfat......conturile de user sau de admin locale, de pe PC-uri sunt dezactivate...
Ambele conturi de admin le-am schimbat parola.....dar cred ca trebuie sa studiez regulile de firewall din AD.....si cele de Remote Access.....la care nu am experienta.....

Am impresia ca se intra din interiorul retelei.....si aici nu stiu cum sa fac la firewall din AD......dar ma mai interesez
Cu un firewall Fortigate am inteles ca pot face minuni in privinta securitatii.......sper sa il achizitionez cat mai curand....

Edited by kossma, 01 August 2014 - 14:39.


#7
kossma

kossma

    Junior Member

  • Grup: Members
  • Posts: 63
  • Înscris: 01.02.2010

View Postkossma, on 01 august 2014 - 14:29, said:

Multumesc pentru sfat......conturile de user sau de admin locale, de pe PC-uri sunt dezactivate...
Ambele conturi de admin le-am schimbat parola.....dar cred ca trebuie sa studiez regulile de firewall din AD.....si cele de Remote Access.....la care nu am experienta.....sa nu opresc altceva.....orice link este binevenit
Am impresia ca se intra din interiorul retelei.....si aici nu stiu cum sa fac la firewall din AD......dar ma mai interesez
Cu un firewall Fortigate am inteles ca pot face minuni in privinta securitatii.......sper sa il achizitionez cat mai curand....


#8
Dedelu

Dedelu

    Member

  • Grup: Members
  • Posts: 357
  • Înscris: 09.01.2006
Uita-te si in grupurile de AD. Sa nu fie useri care au drepturi mai mari decat ar trebui.
Pe statii, parola pe BIOS si dezactivare boot de pe USB si CD-ROM.


Ce banuiesti exact ca se intampla? Furt de date?

Fii sigur ca ai updateurile (cel putin cele de security si critical) la zi pe toate statiile si serverele. Poti incerca sa faci un server de WSUS daca ai resursele necesare.

Apropo, ai un singur domain controller? E destul de periculos dupa parerea mea.
Cum zicea si carmenclara1 , daca hardwareul suporta 64 de biti, fa update la R2. Dar asigura-te ca ai backup si posibilitate de revert in caz ca merge ceva rau.

Edited by Dedelu, 05 August 2014 - 14:00.


#9
kossma

kossma

    Junior Member

  • Grup: Members
  • Posts: 63
  • Înscris: 01.02.2010

View PostDedelu, on 05 august 2014 - 13:57, said:

Uita-te si in grupurile de AD. Sa nu fie useri care au drepturi mai mari decat ar trebui.
Pe statii, parola pe BIOS si dezactivare boot de pe USB si CD-ROM.


Ce banuiesti exact ca se intampla? Furt de date?

Fii sigur ca ai updateurile (cel putin cele de security si critical) la zi pe toate statiile si serverele. Poti incerca sa faci un server de WSUS daca ai resursele necesare.

Apropo, ai un singur domain controller? E destul de periculos dupa parerea mea.
Cum zicea si carmenclara1 , daca hardwareul suporta 64 de biti, fa update la R2. Dar asigura-te ca ai backup si posibilitate de revert in caz ca merge ceva rau.

Problema este mult mai complexa....in primul rand nu exista useri care au drepturi speciale. Pe satii....la o parte din ele este parola de BIOS si dezactivare boot
Legat de updateuri...sunt la zi la servere....iar calculatoarele isi fac automat
Cred ca prin intermediul unei exploit sau printr-o alta metoda....deja poate schimba parole....
M-am uitat si prin setarile de grup policy....sa vad daca este ceva modificat.....dar nu am gasit
Acum...am facut rost de windows 2012 standard r2....si il pun in functiune...o sa il bag ca secondary domain iar apoi sa il promovez..si isi ia el toate setarile..........si sa dau jos cu windows 2008/R2......stiu ca este foarte periculos cu un singur controler de domeniu si nu intentionez sa raman asa
La cate metode am vazut pe internet ca se poate sparge parole de admin si intra intr-o retea....am zis ca nu e adevarat.
Sper ca odata cu schimbarea sistemului de operare sa se rezolve.......voi vedea foarte curand...
Daca aveti si alte sugestii..............

Edited by kossma, 05 August 2014 - 22:45.


#10
Dedelu

Dedelu

    Member

  • Grup: Members
  • Posts: 357
  • Înscris: 09.01.2006
In primul rand, redenumeste contul de administrator local - http://technet.micro...c747484(v=ws.10).aspx

In afara de tine , mai are altcineva access fizic la serverul de domeniu? Daca ai acces fizic la o masina poti sa "spargi" cam orice sistem de operare.

Poate foloseste un keylogger. Nu te conecta direct la masini, incearca un VNC sau alta metoda remote.

Ce antivirus folosesti?

Pe cele 5% din statii pe care nu ai Windows 7 ce sistem de operare folosesti? Daca cumva ai Windows XP, deja ai o mare gaura de securitate. Incearca sa le faci cat mai repede upgrade.

Firewallul de Windows e activat?

#11
kossma

kossma

    Junior Member

  • Grup: Members
  • Posts: 63
  • Înscris: 01.02.2010

View PostDedelu, on 06 august 2014 - 08:23, said:

In primul rand, redenumeste contul de administrator local - http://technet.micro...c747484(v=ws.10).aspx

In afara de tine , mai are altcineva access fizic la serverul de domeniu? Daca ai acces fizic la o masina poti sa "spargi" cam orice sistem de operare.

Poate foloseste un keylogger. Nu te conecta direct la masini, incearca un VNC sau alta metoda remote.

Ce antivirus folosesti?

Pe cele 5% din statii pe care nu ai Windows 7 ce sistem de operare folosesti? Daca cumva ai Windows XP, deja ai o mare gaura de securitate. Incearca sa le faci cat mai repede upgrade.

Firewallul de Windows e activat?

Respectivul nu are acum nevoie de parola de admin...cred ca poate sa o reseteze oricand......
Acces fizic la server nu....eu sunt singurul.......
Am dezactivat conexiunea remote de la server....teoretic nu ar mai trebui nimeni sa se poata conecta remote....am facut si o regula de firewall care sa blocheze remote-ul....atat la iesire cat si la intrare...si bineinteles ca firewall de windows este activ pe server
Am cateva statii cu windows xp.....dar deocamdata nu pot sa le inlocuiesc.....o sa imi vina alte calculatoare deabia peste 1 luna.....
La statiile de lucru am NOD32 iar la servere unul de la Microsoft....cred ca ar fi detectat un keylogger.......
Acum,,,,partea cea mai interesanta.....am vazut in timp ce eram conectat la calculatorul meu, pe userul meu, cum respectivul mi-a inchis o fereastra de la e-mail si mi-a deschis control panelul......Nu mi-a aparut nimic ca s-ar conectat cineva la mine...sau ca ar fi useri activi la PC....am verificat....de asemenea la loguri.....si nimic.
Bineinteles ca PC-ul are Windows 7, actualizat la zi si nu are virusi...l-am scanat....Am verificat PC-ul persoanei respective pe care o banuiesc si nu are conturi active...doar pe cel de user.....cred ca reuseste cumva....nu stiu cum.....sa se conecteze remote...printr-un mijloc la orice PC doreste...fara sa fie detectat....nici macar in loguri
Chiar nu stiu ce as mai putea sa fac.......

#12
Dedelu

Dedelu

    Member

  • Grup: Members
  • Posts: 357
  • Înscris: 09.01.2006
Hmmm, practic nu iti sparge sau afla parola deci un keylogger e cel mai probabil exclus.Iti acceseaza userul in timp ce este conectat si o schimba de acolo.
Ca idee, nu am testat, instaleaza Comodo Firewall pe statia ta si seteaza-l cu "highest security" . Ai putea avea norocul ca urmatoarea data cand incearca sa acceseze calculatorul, sa te intrebe daca permiti sau nu accesul , si atunci poti vedea ce program ruleaza.

Ruleaza un msconfig si vezi daca nu ai ceva ciudat in startup.

LE: ai rulat vreun anti-malware ?  Malwarebytes sau Spyware Search&Destroy?

Edited by Dedelu, 08 August 2014 - 08:50.


#13
kossma

kossma

    Junior Member

  • Grup: Members
  • Posts: 63
  • Înscris: 01.02.2010
Am instalat spy search and destroy si mallware.....si nu am prea gasit nimic....m-am uitat si in msconfig si nimic suspect.....Acum am vazut ca la un cont de user a unui coleg i-a dezactivat placa de retea si windows explorer.....si am avut impresia ca este ceva restrictionat din AD....dar am incercat la  un alt calculator si totul era ok pe acel pc....Deci tipul se conecteaza cumva in timpul cat este logat utilizatorul si face modificari locale....Am instalat si Zone Alarm la nivel ridicat....si astept sa traga la momeala...nu imi explic cum intra fara sa fie instiintat utilizatorul.....as vrea sa instalez un soft prin care sa monitorizdz de la distanta....absolut tot ceea ce face....puteti sa imi recomandati unul ?

#14
Dedelu

Dedelu

    Member

  • Grup: Members
  • Posts: 357
  • Înscris: 09.01.2006
Daca cumva reusesti sa prinzi momentul in care e conectat ruleaza  comanda netstat -atn .
Iti va da o lista cu ce conexiuni sunt active si pe ce porturi .
Poate iti da o idee de unde se conecteaza sau macar pe ce port "asculta" aplicatia care o foloseste.

In Services, nu ai nimic suspect?

Poti folosi Wireshark sa monitorizezi reteaua , dar va crea loguri foarte mari care nu sunt chiar usor de interpretat.

Ai pe cineva in companie care se ocupa de retea?
Te-ar putea ajuta sa monitorizezi traficul.

#15
kossma

kossma

    Junior Member

  • Grup: Members
  • Posts: 63
  • Înscris: 01.02.2010

View PostDedelu, on 20 august 2014 - 15:06, said:

Daca cumva reusesti sa prinzi momentul in care e conectat ruleaza  comanda netstat -atn .
Iti va da o lista cu ce conexiuni sunt active si pe ce porturi .
Poate iti da o idee de unde se conecteaza sau macar pe ce port "asculta" aplicatia care o foloseste.

In Services, nu ai nimic suspect?

Poti folosi Wireshark sa monitorizezi reteaua , dar va crea loguri foarte mari care nu sunt chiar usor de interpretat.

Ai pe cineva in companie care se ocupa de retea?
Te-ar putea ajuta sa monitorizezi traficul.

Mersi pentru sugestie....dar ceea ce imi zici tu....e ca la pescuit.....arunci momeala ca la pescuit....si astepti, astepti...doar doar sa apara pestele...o sa incerc
In services deocamdata nimic....
M-am gandit sa blochez toate porturile din server...exceptand cele care se folosesc in retea..dar problema este ca nu le stiu pe toate...ar fi o varianta...o sa studiez
Am un IP pe care il banuiesc......o sa incerc sa il monitorizez.....sa vedem....
M-ar interesa si un program de spy remote.....cumva sa il instalez de la distanta....si sa imi parvina activitatea PC-ului.....

#16
diaconuliviu

diaconuliviu

    Senior Member

  • Grup: Senior Members
  • Posts: 3,944
  • Înscris: 19.01.2005
Punj si eu o intrebare tot aici:
Imi explica cineva dacav si CUM se poate salva intregul arbore de useri/grupuri in domeniu pe 2008 R2?


Am un Proliant M110 G6 care pica din motive de "power kernel" cind I se scoala.

Am schimbat surse nenumarate...nimic.

Hotarirea luata a fost sa trimitem serverrul la HP iar intre timp sa clonam unul din HDD pe alta statie pe post de server temporar (nu, nu avem backup) sau sa reinstalam Win server 2008R2.
Cu refacerea politicilor.

#17
carmenclara1

carmenclara1

    Guru Member

  • Grup: Moderators
  • Posts: 19,074
  • Înscris: 08.12.2008
varianta cea mai simpla si eficienta.  full disk image -> transformat in virtual disk image -> vmware/virtualbox

Anunturi

Second Opinion Second Opinion

Folosind serviciul second opinion ne puteți trimite RMN-uri, CT -uri, angiografii, fișiere .pdf, documente medicale.

Astfel vă vom putea da o opinie neurochirurgicală, fără ca aceasta să poată înlocui un consult de specialitate. Răspunsurile vor fi date prin e-mail în cel mai scurt timp posibil (de obicei în mai putin de 24 de ore, dar nu mai mult de 48 de ore). Second opinion – Neurohope este un serviciu gratuit.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate