» 您尚未登录:请 登录 | 注册 | 标签 | 帮助 | 小黑屋 |


 25 12
发新话题
打印

公司被用bitlocker勒索了

landice

混世魔头

帖子
2214 
精华
0 
积分
14161 
激骚
94 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2003-5-13 
16# 发表于 2022-8-25 10:50  只看该作者
引用:
原帖由 alfredxi 于 2022-8-25 09:43 发表
posted by wap, platform: Chrome
我擦 这个怎么防?我单位感觉啥安全也没有,就装了360之类的
你们要是公司压根没有域控,就是独立的服务器和独立的电脑办公,很多时候反而没事,被攻击也就是几台机器的事情。
信息安全做的特别好的公司防范能力强也可以,
怕的就是那种半吊子的,又要上域控,又没有特别专业的防范能力。

TOP

瑞奇马丁

RX

混世魔头

帖子
2232 
精华
0 
积分
15134 
激骚
120 度 
爱车
叉六 贼四 
主机
全机种制霸 
相机
无敌兔 GF1 30D 
手机
 
注册时间
2008-12-6 
17# 发表于 2022-8-25 11:56  只看该作者
mac 好像很少听说被勒索

TOP

qieyifonger

混世魔头

帖子
4317 
精华
0 
积分
21611 
激骚
202 度 
爱车
RAV4 
主机
PSV,3DS 
相机
rx100 m1 
手机
小米5s Plus 
来自
宁波 
注册时间
2004-5-12 
18# 发表于 2022-8-25 13:49  只看该作者
AD域现在风险太大了,传播勒索病毒的最佳架构,不加域反而没那么容易...

TOP

alexchang2010

魔头

帖子
1543 
精华
0 
积分
1648 
激骚
17 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2020-3-28 
19# 发表于 2022-8-25 15:25  只看该作者
吓得我退出了域,结果只能本地登陆了~原来域账号没了……我的个性化内容都没了……

TOP

sssssale

大侠

帖子
839 
精华
0 
积分
19785 
激骚
86 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2006-1-31 
20# 发表于 2022-8-25 16:45  只看该作者
posted by wap, platform: Chrome
喷了,不加域 IT怎么管?

TOP

landice

混世魔头

帖子
2214 
精华
0 
积分
14161 
激骚
94 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2003-5-13 
21# 发表于 2022-8-25 17:11  只看该作者
引用:
原帖由 sssssale 于 2022-8-25 16:45 发表
posted by wap, platform: Chrome
喷了,不加域 IT怎么管?
传统域控下管理员的权限太大了,一旦被接管风险非常大,你要是一直保持维护在微软最新的域服务版本,有完善的IT管理机制也没事,但现在很多公司的所谓域控,弄个几年前的winserver2012或2016版本的机器就当域控服务器了,系统还不一定更新到最新,IT人员离职了没有完善的账号回收清理机制,一旦被暗网的黑客扫到那就是gg的命,现在国内这些有固定企业IP的一个公司,你让IT调取一下主路由的日志,可以看到每天被多少不明IP扫描或者尝试暴力皮角,很多都来自一些以前独联体涉及的区域。
其实不用域也可以管理的,一般的小企业,你买一个火绒杀毒之类的企业版服务,所有终端安装企业版火绒,IT管理员在内网服务端就可以自由查看每台机器的网络设置,安装的软件,网络行为这些都没问题,没特定需求没必要上域控。

TOP

Crazylife

魔头

帖子
1715 
精华
0 
积分
22747 
激骚
244 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2008-7-16 
22# 发表于 2022-8-25 17:22  只看该作者
posted by wap, platform: Android
引用:
原帖由 @landice  于 2022-8-25 17:11 发表
传统域控下管理员的权限太大了,一旦被接管风险非常大,你要是一直保持维护在微软最新的域服务版本,有完善的IT管理机制也没事,但现在很多公司的所谓域控,弄个几年前的winserver2012或2016版本的机器就当域控服务器了,系统还不一定更新到最新,IT人员离职了没有完善的账号回收清理机制,一旦被暗网的黑客扫到那就是gg的命,现在国内这些有固定企业IP的一个公司,你让IT调取一下主路由的日志,可以看到每天被多少不明IP扫描或者尝试暴力皮角,很多都来自一些以前独联体涉及的区域。
其实不用域也可以管理的,一般的小企业,你买一个火绒杀毒之类的企业版服务,所有终端安装企业版火绒,IT管理员在内网服务端就可以自由查看每台机器的网络设置,安装的软件,网络行为这些都没问题,没特定需求没必要上域控。
讲真,ad管不好,分散的机器就能管好了?

加域后至少能通过gpo把打补丁和装杀毒软件这两个安全关卡给强制了,顺便把一堆不安全的协议给禁了,那客户端安全性比起单机已经大大提高了。

域管理员账号被拿下是比单机中毒概率小的多的事件,至少攻击者要处心积虑才能拿下,脚本小子广撒网是搞不下ad的。反过来说,域管理员都被拿下了,那这个公司的网络已经千疮百孔了,你的电脑不加域,攻击者也有的是办法把你关键数据加密了来勒索你。就像刷副本,你都团灭了,你居然想我单刷是不是更好一点?

TOP

landice

混世魔头

帖子
2214 
精华
0 
积分
14161 
激骚
94 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2003-5-13 
23# 发表于 2022-8-25 17:34  只看该作者
引用:
原帖由 Crazylife 于 2022-8-25 17:22 发表
posted by wap, platform: Android
讲真,ad管不好,分散的机器就能管好了?

加域后至少能通过gpo把打补丁和装杀毒软件这两个安全关卡给强制了,顺便把一堆不安全的协议给禁了,那客户端安全性比起单机已经大大提 ...
道理都对,我讲的是实际操作的问题,域控管理员被接管确实是小概率事件,就好比飞机坠机,但一旦发生也是对整个公司破坏性最大的,甚至会直接造成企业停转,所以我前面几贴一直强调的都不是不能用域控,而是没有金刚钻别揽瓷器活,你如果懒,不愿意花资源维护,那就弄个企业版杀毒和防火墙简单监控一下客户端行为就完了,出了问题也是零散机器的问题。现状是,国内很多中小规模的公司,IT管理不规范的情况非常普遍,企业建立初期很认真的弄一套域控系统,几年以后就会疏于管理变成你说的那种千疮百孔的状态,这也是为啥近两年国内中招企业这么多的原因,光我在的这个小城市就有好几个。

[ 本帖最后由 landice 于 2022-8-25 17:36 编辑 ]

TOP

Dogfight

魔头

帖子
1206 
精华
0 
积分
16299 
激骚
32 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2006-5-8 
24# 发表于 2022-8-25 19:44  只看该作者
搜了下,应该是这个漏洞
https://www.bilibili.com/read/cv14416499/
本次披露的CVE-2021-42287/CVE-2021-42278 权限提升漏洞可将域内的任意用户提升至域管权限,对企业身份认证及相关数据资产造成了严重威胁。

这个补丁不打,只要被黑客访问到内网,那100%完蛋,随便找台普通电脑用户就能提权

TOP

landice

混世魔头

帖子
2214 
精华
0 
积分
14161 
激骚
94 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2003-5-13 
25# 发表于 2022-8-25 20:40  只看该作者
引用:
原帖由 Dogfight 于 2022-8-25 19:44 发表
搜了下,应该是这个漏洞
https://www.bilibili.com/read/cv14416499/
本次披露的CVE-2021-42287/CVE-2021-42278 权限提升漏洞可将域内的任意用户提升至域管权限,对企业身份认证及相关数据资产造成了严重威胁。

...
看了一下还真可能是,我提的那个提权案例是去年10月份的事情,那段时间很多企业被勒索,到12月其实很多企业已经中招过了,很多时候这种漏洞被黑客发现后,自己先玩一玩,玩够了再放出来让人修补。

[ 本帖最后由 landice 于 2022-8-25 20:43 编辑 ]

TOP

 25 12
发新话题
     
官方公众号及微博