- Az MSI RadiX AXE6600 tesztje – router, játékosoknak
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- AI generálja majd a képeket a Photoshopban
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- OpenWRT topic
- Microsoft Excel topic
- Aliexpress tapasztalatok
- A Coca-Cola következő nagy újítása az AI
- Programozás topic
- Mikrotik routerek
Új hozzászólás Aktív témák
-
brd
nagyúr
válasz kraftxld #461 üzenetére
Én a gyakorlat alatt kétféle módszert dolgoztam ki rá. Az egyik azon alapul, hogy van az ESET-nek (a NOD32 készítője, biztos ismered) egy parancssori eltávolítója (google: eset conficker remover). Ezt felhasználva - megfelelően paraméterezve - készítettem egy batchfile-t, ami lefut a machine startup-ban: az eltávolítót valami share-ről, amit minden gép tud olvasni elindítja, és a kimenetet átirányítja egy szintén közös share-en lévő file-ba (hozzáírással, >>), hogy lássam, mi a helyzet az adott géppel (beírja az időpontot, gépnevet is a kimenetbe, ill. 1x a helyi viszonyok miatt nekem a sebezhetőséget javító patch-eket is le kellett futtatnom ebből a batch-ből, mert sok gépen nem volt telepítve). Így pár újraindítással elvileg az egész hálózat gondja megoldódik (a domainvezérlő(k) se maradjanak ki a jóból!).
A másik az finomabb megoldás, van egy toolja a BitDefendernek: itt a "Network administrators" résztől érdekes. Ez a domaintag gépeken az összes gépen képes elindítani távolról az eltávolító programot, és akár újra is indítani a gépet, a keresés után, ha az a kívánatos (és az ).
Az első megoldás talán kevésbé zavarja meg a cég működését, viszont többet kell gépelni hozzá (ha gondolod, elküldöm a batch-et), az utóbbival pedig az a baj, hogy tűzfalak, beállítások megakadályozhatják a távolról futtatást, ezért kézzel vagy be kell jelentkezni az adott gépre, lehetőleg local adminnal, vagy oda kell menni hozzá. Az első megoldást én azért szeretem, mert ki sem kell menni az ügyfélhez, ha van távelérésed a serverre. (Pedig nagyon izgult egy helyen az ottani főnök, hogy menjek ki.)
Persze mindkettő megoldáshoz javasolt a domain admin(ok) jelszavának átállítása.
Javasolt ezenkívül a domainvezérlőn beállítani a Security logolást, legalább a sikertelen bejelentkezésekre, hogy lehessen látni, milyen gépek próbálkoznak még sokszor bejelentkezni rossz jelszóval (a domain admin jelszóváltoztatás után), mert ezeken a gépeken ugye még ott lesz a kártevő. Az admin share-eket egyébként javasolt a kiszolgáló servereken kikapcsolni (a klienseken is lehet, de ott szükség lehet rájuk), normál működés közben amúgy sincs rájuk szükség.
Probléma lehet még, hogy adott gépeken a helyi rendszergazda jelszava gyenge, és több gépen is ugyanez a jelszó van, akkor ezt is át kell majd állítani, ha egyszerre (vagy egyenként), nem lehet róluk eltávolítani a kártevőt. Ezt tovább súlyosbíthatja, hogy ezek esetleg nem is domaintag gépek valamiért (de használnak róluk időnként domain erőforrásokat), továbbá az, hogy esetleg nincsenek is állandóan bekapcsolva, és ezt majd el is felejtik neked mondani az ottaniak...
A harmadik megoldás általában nem opció sehol, gondolom nálad sem merült fel, mint lehetőség, nevezetesen, hogy minden gép leáll, és hálózat nélkül, egyenként leírtani róla valamelyik tool-lal az okosságot.The only real valuable thing is intuition.
Új hozzászólás Aktív témák
- AKCIÓ! GAMER PC - RTX 3060Ti - i5 10400F/11400F - 16GB DDR4 - 500GB Nvme SSD - 500W 80+
- GAMER PC - GTX 1060 6GB - i5 10400F/11400F - 16GB RAM - 120- 480GB SSD - 500GB HDD
- GAMER PC - GTX 1080 8GB - i5 10400F/11400F - 16GB RAM - 240GB SSD - 1TB HDD
- IPhone 12 128GB 100% hibátlan gyári független akku 97%
- Samsung Galaxy A34 5G 128GB, Kártyafüggetlen, 1 Év Garanciával