不花钱就能对抗恶意软件

信息安全 网络 操作系统 杀毒软件 反恶意软件
2021-09-08 01:22:05

我们的环境由大约 80 名运行 Windows 7 的用户组成。在我以全职 IT 员工的身份出现之前,该公司已与外包 IT 解决方案签订了合同。作为他们设置的一部分,他们授予每个用户对其本地计算机的完全管理权限,禁用 UAC(他们的原因:“因为那些弹出窗口很烦人”),并禁用所有计算机上的 Windows 防火墙(他们的原因:“因为我们有网关防火墙”)。你可以猜到,他们最终被解雇了。

我们所有用户的计算机都安装了趋势科技防毒墙网络版以提供病毒和恶意软件保护,尽管它们的定义都已更新,但它的工作非常糟糕。用户不断感染恶意软件,这最终导致我们花时间重新映像他们的机器。

我老板对这个问题的解决方案是:http ://www.barracudanetworks.com/ns/products/web-filter-features.php 。他想要的带有许可的系统将花费大约 7000 美元。但是,我们已经拥有一个 SonicWall NSA 设备,它拥有许多相同的功能,但仍然无法完成工作。

所以这是我的问题:当我说服老板不要花钱时,加强机器的安全性是否足以支持我?我的想法是我们将每个人都转移到非管理帐户(他们不需要管理员权限来执行他们的工作,所以这应该不是问题),我们在每台计算机上打开 Windows 防火墙(如果我们要获得自我复制现在病毒或恶意软件爆发,我们会被搞砸的),我们打开 UAC(如果他们是非管理员帐户,这会很重要吗?)。我最近实施了 WSUS 服务器,我们通过它让每个人都了解最新的安全补丁(我什至无法计算关闭更新的计算机数量......)。我的计划是如果人们没有管理员权限并且他们的计算机是最新的,

在保护整个网络方面,我还有很多东西要学。所以,如果我忽略了某些事情,或者我没有走在正确的轨道上,或者我可以改变一些事情,我会喜欢你的意见。我只是想让他们摆脱把钱扔在问题上并希望它能解决问题的可怕习惯。

更新:我已将答案标记为完整,但我认为如果人们继续分享他们的见解和想法会大有裨益。我现在有一个可靠的行动计划,可以让我忙一阵子。

4个回答

可悲的事实是,收紧你的网络会让你在工作场所不受欢迎。也就是说,许多系统管理员宁愿不受欢迎,因为他们知道他们有一个安全的网络,而不是受欢迎并花费所有时间清理恶意软件。

根除恶意软件的一些廉价而有效的方法

  • 带走本地管理员,就像你打算做的那样(我不能强调这一点)
  • 通过 GPO 和 WSUS 更新网络浏览器/Flash/Java/PDF 软件。Web 浏览器和 PDF 是恶意软件的两大目标。
  • 如果您愿意,可以运行 No Script 以避免路过式下载
  • 使用 WSUS 更新您的机器(就像您目前正在做的那样)
  • 阻止 .exe / .bat / .vbs / .sh 附件文件扩展名通过电子邮件进入
  • 加强邮件服务器上的反垃圾邮件(如果适用 - vamsoft ORF 是一款出色的 MS Exchange 反垃圾邮件,价格约为 160 美元)
  • 教育您的用户 - 进行一些午餐并学习并让您的用户了解可疑电子邮件的外观,他们不应该单击来自他们不认识的收件人的电子邮件中的链接,安全的网络浏览习惯等
  • 阻止来自网络中除邮件服务器之外的每台计算机的端口 25 上的任何传出流量。这将防止您被列入黑名单。
  • 及时了解恶意软件并阅读 RSS 提要以了解恶意软件。保持主动并阻止恶意软件使用的任何已知端口上的传出流量,以阻止受感染的计算机与 C&C 机器进行通信。

我希望这些提示有所帮助。重要的是要注意,您将不可避免地遇到一些从裂缝中溜走的恶意软件(零天是个麻烦),但您会发现良好的做法可以大大有助于保持网络的清洁。

你有很好的想法,并且在这个帖子中发布了很多很好的建议,但让我谈谈我认为没有解决的两件事:

  1. 您是否能够确定受感染和重新映像的机器的感染媒介?如果你能确定人们是如何不断受到打击的——例如电子邮件与网页浏览——它可以帮助你专注于更直接地解决你今天的痛苦根源的措施。
  2. 你似乎一直在劝阻你的老板不要花钱。这本身并没有错,特别是如果他的购买不太可能兑现他们的承诺。但如果你有一个有钱的老板,那么你需要有一份清单,列出想把钱花在什么上面。没有万灵药,但正确的购买可以帮助逐步提高你的防御能力,所以当钱被挥舞在你面前时,请做好准备。

我目前也处于你同样的情况。然而,在高等教育中工作,我们的手有点被绑在背后。删除教授的管理员权限永远不会成功,因此我们将仅限制管理人员的用户权限。到目前为止,我们已经完成了以下工作;

  • 设置 Wsus(大动作)

  • 推送(我不知道正确的术语)使用 Wsus 将组策略更新到 xp 机器
  • 为自动 Windows 更新设置严格的域组策略规则
  • 使用 Microsoft Forefront 设置 SCCM,效果非常好!
  • 启用windows防火墙
  • 阻止来自外部的大部分端口并为用户设置 openvpn

目前正在从事

  • 确保 Flash、Java 等在我们 SCCM 的任何时候都保持更新
  • 摆脱清除感染并简单地重新格式化的业务
  • 让每个人都升级到 Win 7 64 位
  • 升级我们的域控制器
  • 设置packetfence,我相信这将是朝着正确方向迈出的一大步。我计划限制未更新的用户进入网络,并简单地让他们访问 Wsus 和 SCCM,直到他们被修补。

哦,那好吧。所以我在这里可能有点偏颇。我目前的工作状态是 AV Bypass 的承包商(希望每个告诉我他们正在进行渗透测试并展示包含相同内容的网站的人都不是社会工程......)。

1)AV没有帮助(很多)。如果您不相信我,请告诉我您使用的是什么 AV 解决方案,我会让您大吃一惊。
2) UAC 肯定可以。防火墙肯定可以(在我看来,第三方比 Windows FW 好得多)。
3) 以管理员身份运行 == 坏主意。
4) 说服管理通常比应有的困难。如果你想向他们展示你为什么是对的,请告诉我,我会向你发送一个视频,积极地展示痛点。

其它你可能感兴趣的问题
上一篇WAF 的规避技术 下一篇让用户选择 TOTP 密码而不是自动生成它是不是一个坏主意?