SB
Я не сталкивался, ок. Напишите, кто сталкивался. Я уже выше просил пример, собственно.
из громкого - Каспер. из негромкого - другие не менее крупные компании. не уверен, что они публиковали пресс-релизы по итогам
Size: a a a
2020 March 06
NS
Мне рассказали что был инцедент на тему того что чангу зашифровало
J
А вы знаете, какой подход у мс? Не похоже. Можете аудит заказать. Вам там все расскажут про подход)
Виктория, как то видел инфу, что на чангу вообще заходить только по необходимости, а выполнять скрипты исключительно удаленно. Это не верный подход?
R
думаю, что вы там что-то не то додумали, вместо того, чтобы просто отчёт прочитать :)
Это не в отчете было, просто рассказали про подход.
NS
И в момент того как его зашифровало стоял защитник и ничем не помог
NS
Но дело было давно
J
да нет. просто есть те, кого уже сломали, и есть те, которые слышали бест практисы от тех, кого уже сломали :)
т.е. бест практикс - учетка для чанги, логин только на ней? с кд тоже самое?
SB
Виктория, как то видел инфу, что на чангу вообще заходить только по необходимости, а выполнять скрипты исключительно удаленно. Это не верный подход?
я не Виктория но отвечу - да, это правильный подход. но он имеет отдалённое отношение к тому, что мы сейчас обсуждаем
MS
Это не в отчете было, просто рассказали про подход.
Что нужно домен админом лезть на чангу?))) ни за что не поверю
е
конечно. И никто тут не работает под одной УЗ, которая обладает правами админа домина и экча на своей рабочей станции. И уз с правами на экс используется только для входа на эксчовые сервера. И в инет мы с серверов эксча не ходим. Ну-да, ну-да...
Это про меня!
SB
т.е. бест практикс - учетка для чанги, логин только на ней? с кд тоже самое?
да
J
я не Виктория но отвечу - да, это правильный подход. но он имеет отдалённое отношение к тому, что мы сейчас обсуждаем
ну так если удаленно выполнять, тикет учетки тож останется
J
с кд все понятно и раньше было, тут вопросов нет
SB
ну так если удаленно выполнять, тикет учетки тож останется
поэтому этот удалённый компьютер, с которого запускается скрипт должен находиться под таким же уровнем защиты как серверы эксчендж
R
Что нужно домен админом лезть на чангу?))) ни за что не поверю
Нда. Что-то вы как-то выборочно очень читаете.
R
>>Подход MS? когда всё наоборот? Сидеть на тачке с полным доступом ко всему, а в инет, чатики и т.п. выходить через виртуалку с ограниченным доступом? На как-то такое себе.
SB
>>Подход MS? когда всё наоборот? Сидеть на тачке с полным доступом ко всему, а в инет, чатики и т.п. выходить через виртуалку с ограниченным доступом? На как-то такое себе.
если именно это было сказано - то это инициатива конкретного инженера, на которого можного его менеджеру пожаловаться, чтобы чушь не нёс
J
поэтому этот удалённый компьютер, с которого запускается скрипт должен находиться под таким же уровнем защиты как серверы эксчендж
ну собстна на нем и шедулеры работать будут, понятно
SB
ну собстна на нем и шедулеры работать будут, понятно
ага
MS
>>Подход MS? когда всё наоборот? Сидеть на тачке с полным доступом ко всему, а в инет, чатики и т.п. выходить через виртуалку с ограниченным доступом? На как-то такое себе.
А что подразумевает полный доступ, если не домен админ?