hhhhh1


Популярное

hhhhh2


суббота, 16 мая 2020 г.

Порог восприятия.

Привет, привет.

Тяжела и не казиста жизнь простого программиста. Но я опять же про админа. Ниже к вашему вниманию реальный случай друга, из которого полезно определить рамки ответственности администратора ИТ на фирме. Мои выводы будут  в конце.

Маниакальность  нашего  гуру по антивирусу превысила мой порог восприятия.

Преамбула - инфобез обратил его внимание что на нашем сервере раз в 5 минут происходит попытка  запуска  повершелл-скрипта.  Эта попытка успешно пресекается антивирусником. Он не любит явный запуск повершелл.

Но надо же отреагировать на обращение бдительных безопасников.

Нашев в логах антивиря заблокированную строку запуска 
C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden \DisableUnused.ps1"
и сделав определенные выводы гуру наехал на нас с воплями - зачем  такие ключи? зачем вы юзаете повершелл если можно руками? зачем каждые 5 минут? и т.п. зачем-зачем.

Ну  можно было бы найти оправдание, если бы мы это делали сами. А тут, как  ты  видишь, Windows  использует свой штатный скрипт DisableUnused.ps1, которому, заметь, уже 3 года. И который есть везде! Даже на 10-ке. И этот запуск это тоже была чисто ее, винды, инициатива.

Так  что  на лицо ситуация когда винда хочет соответствовать требованиям безопасности, а антивирь это ей не дает сделать.

Я   это   все  написал гуру, но не думаю что он меня услышал. Гуру когда видит слово  "powershell" то у него шторка падает.

Кстати по логам этот  скрипт  винда  пытается  запустить  с марта месяца - надо будет поблагодарить инфобез за наблюдательность)).

Теперь мои выводы. 

Да, случаются такие гуру, которые вместо разбирательства по сути спешат назначить ответственных за инцидент. Скорее всего, это не лечится. Следующее - ответственность админа расширяется на информационную безопасность на фирме. Но в нашем случае, я так понимаю, там есть отдельный инфобез. Поэтому это уже ответственность ИТ-безопасников, которые вместо вопросов "что это?"  должны первыми рассказать "что это" и дать обратную связь в виде рекомендаций по устранению инцидента. Если этого нет, то ответственность админа будет такой какой она было до сих пор. Т.е. максимум, это соблюдение политики безопасности утвержденной на фирме. Кстати про политику - я бы ему настоятельно рекомендовал сделать запрос на свой инфобез чтобы они выслали свои рекомендации (конкретные настройки ОС) касательно того сервера и применение которых не повлияет на беспрерывность ведения бизнеса. Интуиция мне подсказывает что на той фирме такой политики еще нет. Или она весьма декларативная.

Увидимся.
Ваш VictorNox.




2 комментария:

  1. Наш безопасник тоже панически боялся powershell, но весь прикол в том что он забыл про версию 7.1, которую можно было установить рядом со штатной версией 5.1. И все - все его полиси были заточены на штатную версию, в то время как я больше года баловался семеркой!)) А посвящать его в такие тонкости, право, мне не хотелось.

    ОтветитьУдалить
    Ответы
    1. Помню и такое, я даже отчеты по пятницам отправлял повершелом, чтобы не забыть порадовать своего шефа плюсами)).

      Удалить

Что скажете?