DG
У вас 1С нет 🤣
Size: a a a
2020 February 11
JD
Ruslan Ivanov
У нас вообще smb - уже лет пять как аномалия в сети (кроме стандартного сценария рабочие станции - контроллеры)
А есть опыт ограничения на доступ к C$ на уровне всего домена, в том числе на DC?
JD
Это может быть неплохим харденингом
RI
На dc и файлопомойках оставляем, на рабочих станциях блочим хостовым fw или acl-ями на access-портах, а еще лучше pvlan юзаем + отключаем ntlm и будет ад атакерам ) вот только кроме как в лабах я таких инфраструктур не видел к сожалению (
На access-портах 802.1х, с DACL или trustsec
RI
У вас 1С нет 🤣
Ты не поверишь
DG
Ну его можно в терминалку или браузер загнать, да
RI
Но 1c у нас есть. Она известна у нашего ИТ как пятая точка Одина.
RI
😂
RI
Это может быть неплохим харденингом
Есть куча хороших рекомендаций от самого MS, которые значительно повышают защищённость домена. Вопрос в том, что их мало кто настраивает др конца
JD
Ruslan Ivanov
Есть куча хороших рекомендаций от самого MS, которые значительно повышают защищённость домена. Вопрос в том, что их мало кто настраивает др конца
например тыкните? я видел security configuration framework но там больше про другое
RI
И т.д.
RI
По-моему у Теймура как раз была хорошая статья, если не путаю ничего
JD
Ruslan Ivanov
статья хорошая, но там про харденинг конечных точек, конечно это удобно делать через GPO. Я просто ждал что вы пришлете что-то от MS про всякие храденинги AD.
KM
Ruslan Ivanov
RI
RI
RI
Их много же. @Heirhabarov наверняка у тебя есть в загашнике свежие твои выступления