Централизованная защита от W32.Conficker
Я уже не раз писал о самом популярном сетевом черве последних лет W32.Conficker. В продолжение долгосрочной баталии с этим вредоносом хочу обратить ваше внимание на статью сайта WindowSecurity.com “Using Group Policy to Negate Conflicker on Windows“.
Статья посвящена подробному описанию методов централизованной защиты рабочих станций домена Active Directory от заражения сетевым червем W32.Conficker. Защита реализуется засчет создания объектов групповой политики GPO (Group Policy Object) с определенными параметрами. Эти параметры относятся к контролю членства в административных группах, включению User Account Control в системах под управлением Windows Vista/Windows Server 2008, созданию эффективной политики паролей учетных записей, а также отключению функции автоматического запуска AutoPlay.
Рекомендую добавить процедуры, описанные в данной статье, к вашему арсеналу противостояния Conficker’у. Помимо этого можно обратиться к статье Centralized Information About The Conficker Worm, написанной специалистами Microsoft Malware Protection Center.
Будьте во всеоружии, а то Conficker вон какой грозный =)
Очень уж сильно эта статья похожа на перепечатку http://support.microsoft.com/kb/962007
Да, Алексей, сходство есть. Но только лишь в пунктах управления состоянием учетной записи Администратора и отключением автозапуска. В остальном приведенная Вами статья не пересекается с описываемым мною материалом.
Зато в статье базы знаний Майкрософт описаны процедуры предотвращения создания Conficker’ом своей службы в системе, а так же предотвращения создания Conficker’ом системной задачи.
Так что рекомендую к ознакомлению дополнительные процедуры защиты от Conficker, приведенные в указанной Алексеем статье.
Спасибо за предоставленную информацию, Алексей. Кстати, очень понравился Ваш с Сашей Трофимовым доклад на Платформе =)
вот еще или недочитал или не смог найти, как блокировать вирусные действия по изменению в резолвинге сайтов микрософт и антивирусных компаний
пока только kidokiller касперского у меня эти хвосты подчищает
@Ыукпун Пщкигтщм
Так Вам нужно блокировать изменение разрешения имен сайтов или же устранить изменения, внесенные Conficker?
Одним из способов устранения возможности изменения процесса разрешения имен является отсутствие у пользователя административных прав. Также можно включить и настроить User Account Control у пользователей ОС Windows Vista.
скорее всего второе – восстановить разово утилитой касперского можно
пользователей с правами администратор в сети действительно непростительно много, займусь и этим.
Контролировать членство пользователей в административных группах – это прекрасная и очень полезная идея, Сергей.
Лучше всего делать это централизованно. Как задействовать для этого объекты групповой политики Active Directory, описано в приведенной мною статье. Но если Вы хотите перед этим получить представление, кто в данный момент является администраторов на рабочих станциях компании, советую обратиться к посту Максима Ефремова “Как узнать, кто находится в локальной группе Администраторы?“.
Спасибо, блог Максима, как и Ваш, у меня в Аутлуке RSS фидами заведен, и именно его статьей я уже воспользовался )
Замечательно. Надеюсь, преставленная нами информация окажется интересной и, самое главное, полезной для Вас =)