🎯 Конечная цель
ИТ-инфраструктура работает по принципу «всё запрещено, открыто только нужное». Шифровальщик не может распространиться по сети. Гость не видит корпоративные ресурсы. Любая атака на стандартные порты ведет в ловушку и бан. Система сама себя защищает.
1
Управление доступом и учетные записи
Основа основ: AD, пароли, 2FA
🧠 Важно: Отключение локального админа у пользователя останавливает 90% шифровальщиков, потому что вирус не может записаться в системные папки.
2
Сетевая архитектура и сегментация
VLAN, гостевая сеть, изоляция
3
Безопасность конечных точек
AppLocker, антивирус, USB-блокировка
⚡ Лайфхак: AppLocker в связке с групповыми политиками за 1 день режет 99% мусорных вирусов, которые любят прятаться в папке пользователя.
4
Защита удаленного доступа + Ловушки
Нестандартные порты, Honeypot, Fail2ban
# Пример настройки iptables для ловушки (перенаправление с 22 на Honeypot)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 192.168.10.10:2222
# Затем добавляем правило на бан IP, который стучится на 22
fail2ban-regex /var/log/honeypot.log /etc/fail2ban/filter.d/ssh-honeypot.conf
5
Контроль портов и протоколов
Фаервол на каждом ПК, закрытые шары
6
Мониторинг и оповещение
Логи, SIEM, алерты
7
Резервное копирование
Оффлайн, правило 3-2-1
💾 Суть: Если шифровальщик дошел до бэкапов и зашифровал их — ты труп. Поэтому оффлайн или immutable — обязательно.
8
Политики и люди
Чистый стол, фишинг-тренинги
📊 Сводка ключевых объектов
| Тип | Имя / Назначение | Где настроено | Статус |
|---|---|---|---|
| Группа AD | VPN_Allowed |
Пользователи, которым разрешен VPN-доступ | ✅ Создана |
| VLAN | VLAN10_Guest |
Гостевая сеть (только интернет) | ✅ Настроен |
| VLAN | VLAN20_Corp |
Рабочие станции | ✅ Настроен |
| Правило FW | Default Deny |
Межсетевой экран | ⚙️ Настроено |
| Honeypot | SSH-Trap |
Порт 22 → Cowrie + бан IP | ⚙️ Установлен |
🛠 Полезные команды для проверки
# Проверка открытых портов на ПК (слушающие службы)
netstat -an | find "LISTEN"
# Принудительное обновление политик
gpupdate /force
# Проверка членства пользователя в группах
whoami /groups
# Проверка доступа к ресурсам (от имени пользователя)
net use \\server\share
# Поиск открытых шаров в сети (опасность!)
net view /all
# Открытые порты на маршрутизаторе (из WAN)
nmap -p 1-65535 your.external.ip
⚠️ Типичные ошибки (чего НЕ делать)
- Оставили RDP (3389) наружу — привет, шифровальщик и брутфорс.
- Все в одной подсети — гость ловит Wi-Fi и сканирует бухгалтерию.
- Пользователь — локальный админ — вирус ставится без спроса.
- Не отключили SMBv1 — WannaCry зайдет как домой.
- Забыли убрать Authenticated Users из фильтрации GPO — политика применяется ко всем, хотя хотели только на группу компьютеров.
✅ Все шаги выполнены
Офис теперь похож на крепость: сегментация работает, порты закрыты, ловушки отлавливают сканеры, шифровальщику негде развернуться. Пользователи работают, администраторы спят спокойно.
🔐 Ты просто легенда безопасности!
➕
Мои будущие доработки
Сюда буду добавлять новые фишки
Комментарии
Пока нет комментариев. Будьте первым!