یوځل په پینټیسټ کې ، یا څنګه د یورولوژیست او Roskomnadzor په مرسته هرڅه مات کړئ

دا مقاله د یو خورا بریالي پینټیسټ پراساس لیکل شوې چې د ګروپ-IB متخصصینو څو کاله دمخه ترسره کړې: یوه کیسه پیښه شوې چې په بالیووډ کې د فلم لپاره تطبیق کیدی شي. اوس، شاید، د لوستونکي غبرګون به تعقیب شي: "او، د PR بله مقاله، دا بیا بیا انځور شوي، دوی څومره ښه دي، د پینټیسټ اخیستل مه هیروئ." ښه، له یوې خوا، دا دی. په هرصورت، یو شمیر نور دلیلونه شتون لري چې ولې دا مقاله خپره شوه. ما غوښتل وښیم چې واقعیا پینټیسټران څه کوي، دا کار څومره په زړه پورې او غیر معمولي کیدی شي، په پروژو کې کوم مسخره شرایط رامینځته کیدی شي، او تر ټولو مهم، د حقیقي مثالونو سره ژوندی مواد وښایه.

په نړۍ کې د انډول توازن بحالولو لپاره، یو څه وروسته به موږ د یو پینټیسټ په اړه ولیکئ چې ښه نه و. موږ به وښیو چې په یوه شرکت کې څومره ښه ډیزاین شوي پروسې کولی شي د بریدونو بشپړ لړۍ څخه ساتنه وکړي، حتی ښه چمتو شوي، په ساده ډول ځکه چې دا پروسې شتون لري او واقعا کار کوي.

پدې مقاله کې د پیرودونکي لپاره ، هرڅه هم په عمومي ډول خورا ښه و ، لږترلږه زموږ د احساساتو سره سم د روسیې فدراسیون بازار له 95٪ څخه غوره و ، مګر یو شمیر کوچني باریکي شتون درلود چې د پیښو اوږده سلسله رامینځته کوي ، کوم چې لومړی. د کار په اړه یو اوږد راپور ته لارښوونه وکړه، او بیا دې مقالې ته.

نو، راځئ چې په پاپ کارن ذخیره کړو، او د جاسوسۍ کیسې ته ښه راغلاست. کلمه - پاول سوپرونیوکد ګروپ-IB د "تفتیش او مشورې" څانګې تخنیکي مدیر.

برخه 1. Pochkin ډاکټر

2018 یو پیرودونکی شتون لري - د لوړ تخنیکي معلوماتي ټیکنالوژۍ شرکت، چې پخپله ډیری پیرودونکو ته خدمت کوي. د دې پوښتنې ځواب ترلاسه کول غواړي: ایا دا ممکنه ده، پرته له کومې ابتدايي پوهې او لاسرسي پرته، د انټرنیټ له لارې کار کول، د فعال لارښود ډومین مدیر حقونه ترلاسه کول؟ زه د هیڅ ټولنیز انجینرۍ سره علاقه نه لرم (او، مګر بې ګټې)، دوی اراده نه لري چې په کار کې مداخله وکړي، مګر دوی ممکن په ناڅاپي ډول - د مثال په توګه یو عجیب کار سرور بیا پورته کړي. یو اضافي هدف دا دی چې د بهرني احاطې په وړاندې د امکان تر حده د نورو برید ویکتورونه وپیژني. شرکت په منظم ډول دا ډول ازموینې ترسره کوي، او اوس د نوي ازموینې وروستۍ نیټه رارسیدلې. شرایط تقریبا عادي، کافي، د پوهیدو وړ دي. راځه چي پیل یی کړو.

د پیرودونکي نوم شتون لري - اجازه راکړئ چې "شرکت" وي، د اصلي ویب پاڼې سره www.company.ru. البته، پیرودونکي په بل ډول ویل کیږي، مګر په دې مقاله کې هر څه به شخصي وي.
زه د شبکې څیړنه ترسره کوم - ومومئ چې کوم ادرسونه او ډومینونه د پیرودونکي سره راجستر شوي ، د شبکې ډیاګرام رسم کړئ ، پدې پتو کې خدمات څنګه توزیع کیږي. زه پایله ترلاسه کوم: له 4000 څخه ډیر ژوندی IP پتې. زه په دې شبکو کې ډومینونو ته ګورم: په خوشبختۍ سره، لوی اکثریت هغه شبکې دي چې د پیرودونکو پیرودونکو لپاره دي، او موږ په رسمي توګه د دوی سره علاقه نه لرو. پیرودونکي ورته فکر کوي.

د 256 پتو سره یوه شبکه پاتې ده، د کوم لپاره چې د دې شیبې لپاره د IP پتې لخوا د ډومینونو او فرعي ډومینونو ویشلو پوهه شتون لري، د سکین شوي بندرونو په اړه معلومات شتون لري، پدې معنی چې تاسو کولی شئ د زړه پورې کسانو لپاره خدمتونه وګورئ. په موازي ډول، هر ډول سکینرونه په شته IP پته او په جلا توګه په ویب پاڼو کې پیل شوي.

ډیری خدمتونه شتون لري. معمولا دا د پینټیسټر لپاره خوښي او د ګړندي بریا تمه ده ، ځکه چې هرڅومره خدمتونه شتون لري ، د برید لپاره ساحه پراخه او د هنري اثارو موندل اسانه دي. ویب پاڼو ته یوه ګړندۍ کتنه وښودله چې ډیری یې د لویو نړیوالو شرکتونو د مشهورو محصولاتو ویب انٹرفیسونه دي، کوم چې په ټول ظاهري ډول تاسو ته وایي چې دوی ښه نه دي. دوی د کارن نوم او پټنوم غوښتنه کوي، د دویم فاکتور د ننوتلو لپاره ساحه پریږدي، د TLS پیرودونکي سند غوښتنه وکړي، یا د مایکروسافټ ADFS ته واستوي. ځینې ​​​​یې په ساده ډول د انټرنیټ څخه د لاسرسي وړ ندي. د ځینو لپاره، تاسو په ښکاره ډول د دریو معاشونو لپاره ځانګړي تادیه شوي پیرودونکي ته اړتیا لرئ یا د ننوتلو لپاره دقیق URL پیژنئ. راځئ چې د پیژندل شوي زیانونو لپاره د سافټویر نسخو "ماتولو" هڅه کولو پروسې کې د تدریجي نا امیدۍ یوه بله اونۍ پریږدو ، په ویب لارو کې د پټ مینځپانګې لټون کول او د لینکډین په څیر د دریمې ډلې خدماتو څخه لیک شوي حسابونه ، د دوی په کارولو سره د پاسورډونو اټکل کولو هڅه کول. لکه څنګه چې په ځان لیکل شوي ویب سایټونو کې د زیانونو کیندل - په هرصورت، د احصایو له مخې، دا نن ورځ د بهرني برید ترټولو امید لرونکی ویکتور دی. زه به سمدلاسه د فلم ټوپک یاد کړم چې وروسته ډزې وشوې.

نو، موږ دوه سایټونه وموندل چې د سلګونو خدماتو څخه ولاړ وو. په دې سایټونو کې یو شی مشترک و: که تاسو د ډومین په واسطه د شبکې په پیچلي کشف کې ښکیل نه یاست، مګر د خلاص بندرونو لپاره سر ته ګورئ یا د پیژندل شوي IP رینج په کارولو سره د زیان مننې سکینر په نښه کړئ، نو دا سایټونه به د سکین کولو څخه وتښتي او په ساده ډول به نه وي. د DNS نوم پیژندلو پرته لیدل کیږي. شاید دوی دمخه له لاسه ورکړل شوي وي، لږترلږه، او زموږ اتوماتیک وسایل د دوی سره کومه ستونزه ونه موندله، حتی که دوی مستقیم سرچینې ته لیږل شوي وي.

د لارې په توګه، د هغه څه په اړه چې مخکې یې سکینرونه په عمومي توګه موندلي. اجازه راکړئ تاسو ته یادونه وکړم: د ځینو خلکو لپاره، "پینټیسټ" د "آتومات سکین" سره برابر دی. مګر د دې پروژې سکینر هیڅ نه دي ویلي. ښه، اعظمي حد د منځني زیانونو له مخې ښودل شوی (د شدت له مخې له 3 څخه 5): په ځینو خدماتو کې د خراب TLS سند یا زوړ کوډ کولو الګوریتمونه، او په ډیری سایټونو کې کلیک جیک کول. مګر دا به تاسو خپل هدف ته ونه رسوي. شاید سکینرونه به دلته ډیر ګټور وي، مګر اجازه راکړئ تاسو ته یادونه وکړم: پیرودونکی پخپله د دې توان لري چې دا ډول پروګرامونه واخلي او خپل ځان د دوی سره معاینه کړي، او د ناوړه پایلو په اړه قضاوت کوي، هغه لا دمخه چک کړی دی.

راځئ چې بیرته "غیرعادلانه" سایټونو ته ورشو. لومړی په غیر معیاري پته کې د محلي ویکي په څیر یو څه دی، مګر پدې مقاله کې اجازه راکړئ چې دا wiki.company [.]ru وي. هغې هم سمدستي د ننوتلو او پټنوم غوښتنه وکړه، مګر په براوزر کې د NTLM له لارې. د کارونکي لپاره، دا د یوې عصبي کړکۍ په څیر ښکاري چې د کارن نوم او پټنوم دننه کولو غوښتنه کوي. او دا بد عمل دی.

یو کوچنی یادونه. NTLM په پراخه ویب پاڼو کې د یو شمیر دلیلونو لپاره خراب دی. لومړی دلیل دا دی چې د فعال لارښود ډومین نوم څرګند شوی. زموږ په مثال کې، دا هم د "بهرني" DNS نوم په څیر، company.ru وګرځید. پدې پوهیدل ، تاسو کولی شئ په احتیاط سره یو څه ناوړه چمتو کړئ ترڅو دا یوازې د سازمان په ډومین ماشین کې اجرا شي ، نه په ځینې سینڈ باکس کې. دوهم، تصدیق په مستقیم ډول د NTLM له لارې د ډومین کنټرولر له لارې تیریږي (حیرانتیا، سمه؟)، د "داخلي" شبکې پالیسیو ټولو ځانګړتیاو سره، په شمول د حسابونو بندول د پټنوم د ننوتلو هڅو شمیر څخه زیات. که یو بریدګر ننوتنه ومومي، هغه به د دوی لپاره پاسورډونه هڅه وکړي. که تاسو د غلط پاسورډونو داخلولو څخه د حسابونو بندولو لپاره تنظیم شوي یاست ، نو دا به کار وکړي او حساب به بند شي. دریم، دا ناشونې ده چې د دې ډول تصدیق لپاره دویم عامل اضافه کړئ. که کوم لوستونکي لاهم پوهیږي چې څنګه، مهرباني وکړئ ما ته خبر راکړئ، دا واقعیا په زړه پورې ده. څلورم، د هاش بریدونو ته زیان رسول. ADFS اختراع شوی، د نورو شیانو په منځ کې، د دې ټولو په وړاندې د ساتنې لپاره.

د مایکروسافټ محصولاتو یو خراب ملکیت شتون لري: حتی که تاسو په ځانګړي ډول دا ډول NTLM نه وي خپور کړی ، دا به لږترلږه په OWA او Lync کې د ډیفالټ لخوا نصب شي.

په هرصورت، د دې مقالې لیکوال یو ځل په ناڅاپي توګه د ورته طریقې په کارولو سره یوازې په یو ساعت کې د یو لوی بانک د کارمندانو نږدې 1000 حسابونه بند کړل او بیا یې یو څه تیاره ښکاري. د بانک معلوماتي خدمتونه هم تیاره وو، مګر هرڅه په ښه او کافي ډول پای ته ورسیدل، موږ حتی د دې ستونزې د موندلو او ګړندي او پریکړه کونکي حل کولو لپاره د لومړي کس په توګه ستاینه شوي.

دوهم سایټ پته درلوده "په ښکاره ډول یو ډول وروستی نوم.company.ru." دا د ګوګل له لارې موندلی، په 10 پاڼه کې ورته یو څه. ډیزاین د XNUMX لسیزې په نیمایي کې و، او یو درناوی سړی یې د اصلي پاڼې څخه ګوري، داسې یو څه:

دلته ما د "د سپي زړه" څخه یو سټیل اخیستی، مګر په ما باور وکړئ، دا په مبهم ډول سره ورته و، حتی د رنګ ډیزاین په ورته ټنو کې و. اجازه راکړئ چې سایټ ته بلنه ورکړل شي preobrazhensky.company.ru.

دا د یورولوژیست لپاره شخصي ویب پاڼه وه. زه حیران وم چې د یورولوژیسټ ویب پاڼه د لوړ ټیک شرکت فرعي ډومین کې څه کوي. په ګوګل کې ګړندي کیندنې وښودله چې دا ډاکټر زموږ د پیرودونکي قانوني ادارې شریک بنسټ ایښودونکی و او حتی په مجاز پلازمینه کې یې شاوخوا 1000 روبل مرسته کړې. دا سایټ شاید ډیری کاله دمخه رامینځته شوی و، او د پیرودونکي سرور سرچینې د کوربه توب په توګه کارول شوي. سایټ له اوږدې مودې راهیسې خپل تړاو له لاسه ورکړی، مګر د ځینو دلیلونو لپاره دا د اوږدې مودې لپاره کار پریښودل شوی.

د زیانونو په شرایطو کې، ویب پاڼه پخپله خوندي وه. مخکې لټولو سره، زه به ووایم چې دا د جامد معلوماتو یوه مجموعه وه - ساده html پاڼې د پښتورګو او مثانې په بڼه داخل شوي انځورونو سره. دا د داسې سایټ "ماتولو" لپاره بې ګټې ده.

مګر لاندې ویب سرور ډیر په زړه پوری و. د HTTP سرور سرلیک لخوا قضاوت کول، دا IIS 6.0 درلود، پدې معنی چې دا وینډوز 2003 د عملیاتي سیسټم په توګه کارولی. سکینر دمخه پیژندلی و چې دا ځانګړی یورولوژیست ویب پاڼه، په ورته ویب سرور کې د نورو مجازی میزبانونو برعکس، د PROPFIND کمانډ ته ځواب ووایه، پدې معنی چې دا د WebDAV چلول. په هرصورت، سکینر دا معلومات د نښه معلوماتو سره بیرته راستانه کړل (د سکینر راپورونو په ژبه کې، دا ترټولو ټیټ خطر دی) - دا ډول شیان معمولا په ساده ډول پریښودل کیږي. په ترکیب کې ، دې یو په زړه پوری تاثیر ورکړ ، کوم چې یوازې په ګوګل کې د یو بل کیندلو وروسته څرګند شو: د سیوري بروکرز سیټ سره تړلی یو نادر بفر اوور فلو زیان منونکی ، د CVE-2017-7269 په نوم ، چې دمخه یې چمتو شوی استحصال درلود. په بل عبارت، ستونزه به وي که تاسو وینډوز 2003 ولرئ او WebDAV په IIS کې روان وي. که څه هم په 2003 کې په تولید کې د وینډوز 2018 چلول پخپله یوه ستونزه ده.

استحصال په میټاسپلایټ کې پای ته ورسید او سمدلاسه د بار سره ازمول شوی و چې کنټرول شوي خدمت ته یې د DNS غوښتنه لیږلې - د برپ همکار په دودیز ډول د DNS غوښتنو نیولو لپاره کارول کیږي. زما د حیرانتیا لپاره، دا لومړی ځل کار وکړ: د DNS ناک آوټ ترلاسه شو. بیا ، د پورټ 80 له لارې د بیک اتصال رامینځته کولو هڅه وشوه (دا د سرور څخه برید کونکي ته د شبکې اتصال ، د قرباني کوربه کې cmd.exe ته لاسرسي سره) ، مګر بیا یوه ناکامه پیښه شوه. اړیکه نه وه راغلې، او د سایټ کارولو دریمې هڅې وروسته، د ټولو په زړه پورې عکسونو سره، د تل لپاره ورک شو.

معمولا دا د "پیرودونکي، ویښ شه، موږ هرڅه پریښودل" په انداز کې یو لیک تعقیبوي. مګر موږ ته ویل شوي وو چې سایټ د سوداګرۍ پروسو سره هیڅ تړاو نلري او هلته پرته له کوم دلیل څخه کار کوي، لکه د ټول سرور په څیر، او دا چې موږ کولی شو دا سرچینه وکاروو لکه څنګه چې موږ وغواړو.
شاوخوا یوه ورځ وروسته سایټ ناڅاپه په خپل کار پیل وکړ. په IIS 6.0 کې د WebDAV څخه د بنچ جوړولو سره، ما وموندله چې ډیفالټ ترتیب د IIS کارګر پروسې په هر 30 ساعتونو کې بیا پیل کول دي. دا، کله چې کنټرول د شیل کوډ څخه بهر شو، د IIS کارګر پروسه پای ته ورسیده، بیا یې یو څو ځله بیا پیل کړ او بیا د 30 ساعتونو لپاره آرام شو.

له هغه وخته چې د tcp سره بیک کنیکشن لومړی ځل ناکام شو ، ما دا ستونزه تړل شوي بندر ته منسوب کړه. دا دی، هغه د یو ډول اور وژونکي شتون په غاړه اخیستی چې د وتلو اړیکو ته اجازه نه ورکوي چې بهر تیر شي. ما د شیل کوډونو چلولو پیل وکړ چې د ډیری tcp او udp بندرونو له لارې یې لټون وکړ، هیڅ اغیزه یې نه درلوده. د Metasploit څخه د http(s) له لارې د کنکشن بارونه بیرته کار نه کوي - meterpreter/reverse_http(s). ناڅاپه، د ورته بندر 80 سره اړیکه جوړه شوه، مګر سمدلاسه وتړل شوه. ما دا د لاهم خیالي IPS عمل ته منسوب کړی، کوم چې د میټرپریټر ټرافيک نه خوښوي. د دې حقیقت په رڼا کې چې د پورټ 80 سره خالص tcp پیوستون نه و تللی، مګر د http پیوستون ترسره شوی، ما دې پایلې ته ورسید چې د HTTP پراکسي په سیسټم کې یو څه ترتیب شوی و.

ما حتی د DNS له لارې میټرپریټر هڅه وکړه (مننه d00kie ستاسو د هڅو لپاره، ډیری پروژې خوندي کړې)، د لومړي بریالیتوب یادونه، مګر دا حتی په موقف کې کار نه کوي - شیل کوډ د دې زیانمننې لپاره خورا لوی و.

په واقعیت کې، دا داسې ښکاري: په 3 دقیقو کې د بریدونو 4-5 هڅې، بیا د 30 ساعتونو لپاره انتظار کول. او همداسې په پرله پسې توګه د دریو اونیو لپاره. ما حتی یو یادونه ترتیب کړه ترڅو وخت ضایع نکړي. سربیره پردې ، د ازموینې او تولید چاپیریال چلند کې توپیر شتون درلود: د دې زیان مننې لپاره دوه ورته کارونې شتون درلود ، یو له Metasploit څخه ، دوهم له انټرنیټ څخه ، د سیوري بروکرز نسخې څخه بدل شوی. نو ، یوازې میټاسپلایټ په جګړه کې ازمول شوی و ، او یوازې دوهم یې په بنچ کې ازمول شوی و ، کوم چې ډیبګ کول خورا ستونزمن کړي او د مغز ماتول و.

په نهایت کې ، یو شیل کوډ چې د ورکړل شوي سرور څخه د HTTP له لارې د exe فایل ډاونلوډ کړی او په هدف سیسټم کې یې پیل کړی مؤثر ثابت شوی. شیل کوډ د فټ کولو لپاره کافي کوچنی و ، مګر لږترلږه دا کار وکړ. له هغه ځایه چې سرور د TCP ترافیک په بشپړ ډول نه خوښوي او http (s) د میټرپریټر شتون لپاره معاینه شوی و ، ما پریکړه وکړه چې ترټولو ګړندۍ لاره د دې شیل کوډ له لارې د exe فایل ډاونلوډ کول دي چې DNS-meterpreter لري.

دلته بیا یوه ستونزه راپورته شوه: کله چې د exe فایل ډاونلوډ کول او لکه څنګه چې هڅې ښودل شوي ، مهمه نده چې کوم یو ، ډاونلوډ مداخله شوې. یوځل بیا، زما د سرور او یورولوژیست ترمنځ ځینې امنیتي وسیله د http ټرافيک دننه د exe سره نه خوښوي. د "چټک" حل داسې بریښي چې د شیل کوډ بدل کړي ترڅو دا په الوتنه کې د HTTP ټرافيک خنډ کړي ، نو د خلاصې بائنری ډیټا د exe پرځای لیږدول کیږي. په نهایت کې، برید بریالی و، کنټرول د پتلي DNS چینل له لارې ترلاسه شو:

دا سمدلاسه څرګنده شوه چې زه د IIS د کاري فلو خورا لومړني حقونه لرم ، کوم چې ما ته اجازه نه راکوي چې هیڅ ونه کړم. دا هغه څه دي چې دا په میټاسپلویټ کنسول کې ښکاري:

د پینټسټ ټول میتودونه په کلکه وړاندیز کوي چې تاسو د لاسرسي په وخت کې د حقونو زیاتوالي ته اړتیا لرئ. زه معمولا دا په ځایی توګه نه کوم، ځکه چې لومړی لاسرسی په ساده ډول د شبکې د ننوتلو نقطې په توګه لیدل کیږي، او په ورته شبکه کې د بل ماشین سره موافقت کول معمولا په موجوده کوربه کې د امتیازاتو د زیاتولو په پرتله اسانه او ګړندي دي. مګر دا دلته قضیه نده، ځکه چې د DNS چینل خورا تنګ دی او دا به ترافیک ته اجازه ورنکړي چې پاک شي.

فرض کړئ چې دا د وینډوز 2003 سرور د مشهور MS17-010 زیان مننې لپاره نه دی ترمیم شوی، زه په لوکل هوسټ کې د میټرپریټر DNS تونل له لارې ټرافيک 445/TCP پورټ ته غځوم (هو، دا هم ممکنه ده) او هڅه وکړئ مخکې له دې ډاونلوډ شوي exe چل کړئ. زیانمنتیا برید کار کوي، زه دوهم اړیکه ترلاسه کوم، مګر د سیسټم حقونو سره.

دا په زړه پورې ده چې دوی لاهم هڅه کړې چې سرور د MS17-010 څخه خوندي کړي - دا په بهرني انٹرفیس کې د زیان منونکي شبکې خدمات غیر فعال کړي. دا په شبکه کې د بریدونو پروړاندې محافظت کوي ، مګر په لوکل هوسټ کې دننه برید کار وکړ ، ځکه چې تاسو نشئ کولی په سمدستي توګه په لوکل هوسټ کې SMB بند کړئ.

بیا، نوي په زړه پوري توضیحات څرګند شوي:

1. د سیسټم حقونه په درلودلو سره، تاسو کولی شئ په اسانۍ سره د TCP له لارې یو بیک کنکشن تاسیس کړئ. په ښکاره ډول، د مستقیم TCP غیر فعال کول د محدود IIS کاروونکي لپاره سخته ستونزه ده. سپوئلر: د IIS کاروونکي ټرافیک په یو ډول په سیمه ایز ISA پراکسي کې په دواړو خواوو کې پوښل شوی و. دا څنګه واقعیا کار کوي ، ما بیا تولید نه دی کړی.
2. زه په یو ځانګړي "DMZ" کې یم (او دا د فعال لارښود ډومین نه دی، مګر یو کاري ګروپ) - دا منطقي ښکاري. مګر د متوقع شخصي ("خړ") IP پتې پرځای، زه په بشپړ ډول "سپینه" IP پته لرم، په عین حال کې د هغه په ​​څیر چې ما مخکې برید کړی و. دا پدې مانا ده چې شرکت د IPv4 پتې نړۍ کې دومره زوړ دی چې کولی شي د سکیم مطابق د NAT پرته د 128 "سپینې" پتې لپاره د DMZ زون وساتي، لکه څنګه چې د 2005 څخه د سیسکو لارښودونو کې ښودل شوي.

څرنګه چې سرور زوړ دی، Mimikatz تضمین شوی چې مستقیم د حافظې څخه کار وکړي:

زه د ځایی مدیر پاسورډ ترلاسه کوم، د TCP په اړه د RDP ټرافيک تونل او په آرامۍ ډیسټاپ کې ننوتل. څنګه چې زه کولی شم هغه څه وکړم چې زه یې د سرور سره غواړم ، ما انټي ویروس لرې کړ او وموندله چې سرور یوازې د TCP بندرونو 80 او 443 له لارې له انټرنیټ څخه د لاسرسي وړ و ، او 443 بوخت نه و. ما په 443 کې د OpenVPN سرور تنظیم کړ، زما د VPN ترافیک لپاره د NAT افعال اضافه کړئ او زما د OpenVPN له لارې په غیر محدود شکل کې DMZ شبکې ته مستقیم لاسرسی ومومئ. دا د یادونې وړ ده چې ISA، د ځینو غیر معیوب IPS فعالیتونو په درلودلو سره، زما ټرافیک د پورټ سکینګ سره بند کړ، د دې لپاره چې دا باید د ساده او ډیر مطابقت لرونکي RRAS سره بدل شي. نو پینټیسټران ځینې وختونه لاهم باید هر ډول شیان اداره کړي.

یو پام لرونکی لوستونکی به پوښتنه وکړي: "د دویم سایټ په اړه څه - د NTLM تصدیق سره ویکی، چې په اړه یې ډیر څه لیکل شوي؟" په دې اړه نور وروسته.

2 برخه. تر اوسه نه کوډ کول؟ بیا موږ دلته تاسو ته راځو

نو، د DMZ شبکې برخې ته لاسرسی شتون لري. تاسو اړتیا لرئ د ډومین مدیر ته لاړ شئ. لومړی شی چې ذهن ته راځي د DMZ برخه کې د خدماتو امنیت په اوتومات ډول چیک کول دي ، په ځانګړي توګه ځکه چې ډیری یې اوس د څیړنې لپاره خلاص دي. د ننوتلو ازموینې په جریان کې یو عام انځور: بهرنی احاطه د داخلي خدماتو په پرتله ښه ساتل کیږي، او کله چې په لوی زیربنا کې کوم لاسرسی ترلاسه کوي، په ډومین کې د پراخو حقونو ترلاسه کول خورا اسانه دي یوازې د دې حقیقت له امله چې دا ډومین پیل کیږي. وسیلو ته د لاسرسي وړ ، او دوهم ، په زیربنا کې د څو زره کوربه سره ، تل به یو څو جدي ستونزې وي.

زه سکینرونه د DMZ له لارې د OpenVPN تونل له لارې چارج کوم او انتظار کوم. زه راپور خلاصوم - بیا هیڅ جدي ندی ، ظاهرا یو څوک زما دمخه ورته میتود څخه تیر شوی. بل ګام دا دی چې معاینه شي چې د DMZ شبکې دننه کوربه څنګه اړیکه نیسي. د دې کولو لپاره، لومړی د معمول Wireshark په لاره واچوئ او د خپرونو غوښتنو ته غوږ ونیسئ، په ابتدايي توګه ARP. د ARP پاکټونه ټوله ورځ راټول شوي. دا معلومه شوه چې په دې برخه کې ډیری دروازې کارول کیږي. دا به وروسته په کار وي. د ARP غوښتنو او ځوابونو او د پورټ سکین کولو معلوماتو په اړه د معلوماتو په یوځای کولو سره، ما د محلي شبکې دننه د کاروونکو ټرافیک څخه د وتلو ټکي وموندل چې د هغه خدماتو سربیره چې مخکې پیژندل شوي، لکه ویب او میل.

له هغه وخته چې زه نورو سیسټمونو ته لاسرسی نلرم او د کارپوریټ خدماتو لپاره یو واحد حساب نه لرم، نو پریکړه وشوه چې لږترلږه د ARP سپوفینګ په کارولو سره د ټرافیک څخه یو څه حساب وباسم.

کین او ابیل د یورولوژیست په سرور کې پیل شوی و. د پیژندل شوي ترافیک جریان په پام کې نیولو سره ، د مینځنۍ مینځنۍ حملې لپاره خورا ژمنې جوړې غوره شوې ، او بیا د شبکې ځینې ترافیک د 5-10 دقیقو لپاره د لنډ مهاله لانچ لخوا ترلاسه شوي ، د سرور ریبوټ کولو ټایمر سره. د یخنۍ په صورت کې. لکه څنګه چې په ټوکه کې، دوه خبرونه وو:

1. ښه: ډیری اسناد نیول شوي او برید په بشپړ ډول کار وکړ.
2. بد: ټول اسناد د پیرودونکي د خپلو پیرودونکو څخه وو. پداسې حال کې چې د ملاتړ خدمتونه چمتو کوي، د پیرودونکي متخصصین د پیرودونکو خدماتو سره وصل شوي چې تل یې د ټرافیک کوډ کولو ترتیب نه درلود.

د پایلې په توګه، ما ډیری اسناد ترلاسه کړل چې د پروژې په شرایطو کې بې ګټې وو، مګر د برید د خطر د ښودلو په توګه یقینا په زړه پورې. د ټیلنټ سره د لویو شرکتونو بارډر روټرونه، د ټولو ډیټا سره داخلي CRMs ته د ډیبګ HTTP بندرونو لیږل، په محلي شبکه کې د وینډوز XP څخه RDP ته مستقیم لاسرسی او نور ناڅرګندتیا. دا داسې وګرځید د MITER میټرکس مطابق د اکمالاتو سلسله جوړجاړی.

ما د ټرافیک څخه د لیکونو راټولولو لپاره یو مسخره فرصت هم وموند، داسې یو څه. دا د چمتو شوي لیک یوه بیلګه ده چې زموږ له پیرودونکي څخه د هغه پیرودونکي SMTP بندر ته لاړ ، بیا پرته له کوډ کولو. یو مشخص انډری د خپل نوم څخه غوښتنه کوي چې اسناد بیرته واستوي، او دا په یو ځواب لیک کې د ننوتلو، پاسورډ او لینک سره د کلاوډ ډیسک ته اپلوډ شوی:

دا د ټولو خدماتو کوډ کولو لپاره یو بل یادونه ده. دا معلومه نده چې څوک او کله به ستاسو معلومات په ځانګړي ډول ولولي او وکاروي - چمتو کونکی ، د بل شرکت سیسټم مدیر ، یا داسې پینټیسټر. زه د دې حقیقت په اړه خاموش یم چې ډیری خلک کولی شي په ساده ډول غیر کوډ شوي ترافیک مداخله وکړي.

د ښکاره بریالیتوب سره سره، دا موږ هدف ته نږدې نه شو. البته، دا ممکنه وه چې د اوږدې مودې لپاره ناست شئ او ارزښتناکه معلومات راټول کړئ، مګر دا حقیقت نه دی چې دا به هلته ښکاره شي، او برید پخپله د شبکې بشپړتیا له مخې خورا خطرناک دی.

په خدماتو کې د بل کیندنې وروسته، یو په زړه پورې نظر ذهن ته راغی. د ځواب ورکوونکي په نوم یو داسې یوټیلټي شتون لري (د دې نوم لخوا د کارولو مثالونه موندل اسانه دي)، کوم چې د "زهر کولو" نشراتي غوښتنو سره، د مختلف پروتوکولونو لکه SMB، HTTP، LDAP، او داسې نورو له لارې اړیکې هڅوي. په بیالبیلو لارو، بیا د هر چا څخه پوښتنه کوي چې د تصدیق سره نښلوي او دا یې تنظیموي ترڅو تصدیق د NTLM له لارې ترسره شي او قرباني ته په شفاف حالت کې. ډیری وختونه ، یو برید کونکی پدې ډول د NetNTLMv2 لاسونه راټولوي او له دوی څخه ، د قاموس په کارولو سره ، په چټکۍ سره د کارونکي ډومین پاسورډونه بیرته ترلاسه کوي. دلته ما ورته یو څه غوښتل، مګر کاروونکي "د دیوال شاته" ناست وو، یا بلکه، دوی د اور وژونکي لخوا جلا شوي، او د بلیو کوټ پراکسي کلستر له لارې ویب ته لاسرسی موندلی.

په یاد ولرئ، ما مشخص کړی چې د فعال لارښود ډومین نوم د "بهرني" ډومین سره سمون لري، دا د company.ru وه؟ نو، وینډوز، په دقیق ډول د انټرنیټ اکسپلورر (او ایج او کروم)، کارونکي ته اجازه ورکوي چې په شفاف ډول د NTLM له لارې HTTP کې تصدیق کړي که دوی په پام کې ونیسي چې سایټ په ځینو "انټرانیټ زون" کې موقعیت لري. د "انټرانیټ" یوه نښه د "خړ" IP پتې یا لنډ DNS نوم ته لاسرسی دی ، دا د نقطو پرته دی. څرنګه چې دوی د "سپینې" IP او DNS نوم سره سرور درلود preobrazhensky.company.ru، او د ډومین ماشینونه معمولا د ساده نوم ننوتلو لپاره د DHCP له لارې د فعال لارښود ډومین ضمیمه ترلاسه کوي، دوی باید یوازې د پتې په بار کې URL ولیکي. preobrazhenskyد دې لپاره چې دوی د جوړ شوي یورولوژیست سرور ته سمه لاره ومومي، دا هیر نکړي چې دا اوس "انټرانیټ" نومیږي. دا ، په ورته وخت کې ماته د هغه د پوهې پرته د کارونکي NTLM- لاس لیک راکوي. ټول هغه څه چې پاتې دي د پیرودونکي براوزر دې ته اړ کول دي چې د دې سرور سره د تماس لپاره د عاجل اړتیا په اړه فکر وکړي.

په زړه پورې Intercepter-NG افادیت د ژغورنې لپاره راغلی (مننه مداخله کوونکی). دا تاسو ته اجازه درکوي چې په الوتنه کې ترافیک بدل کړئ او په وینډوز 2003 کې عالي کار وکړ. دا حتی د ترافیک جریان کې یوازې د جاواسکریپټ فایلونو بدلولو لپاره جلا فعالیت درلود. یو ډول لوی کراس سایټ سکریپټینګ پلان شوی و.

بلیو کوټ پراکسي، د کوم له لارې چې کاروونکو نړیوال ویب ته لاسرسی موندلی، په دوره توګه جامد مینځپانګې ساتل کیږي. د ټرافیک په مینځلو سره، دا روښانه وه چې دوی د ساعت په شاوخوا کې کار کوي، په پای کې د ډیری وختونو په اوږدو کې د مینځپانګې ښودلو ګړندی کولو لپاره په دوامداره توګه کارول شوي جامد غوښتنه کوي. برسېره پردې، BlueCoat یو ځانګړی کارن ایجنټ درلود، کوم چې دا په روښانه توګه د اصلي کارونکي څخه توپیر کړی.

جاواسکریپټ چمتو شوی و، کوم چې د Intercepter-NG په کارولو سره، د نیلي کوټ لپاره د JS فایلونو سره په هر ځواب کې د شپې د یو ساعت لپاره پلي شوی و. سکریپټ لاندې کارونه وکړل:

• اوسنی براوزر د کارن ایجنټ لخوا ټاکل شوی. که دا د انټرنیټ اکسپلورر، ایج یا کروم و، دا کار ته دوام ورکوي.
• ما انتظار وکړ تر هغه چې د پاڼې DOM جوړ شي.
• د فارم د src خاصیت سره DOM ته یو نه لیدونکي عکس داخل کړ preobrazhensky:8080/NNNNNNN.png، چیرته چې NNN خپلمنځي شمیرې دي نو بلیو کوټ یې خوندي نه کړي.
• د نړیوال بیرغ متغیر تنظیم کړئ ترڅو وښیې چې انجیکشن بشپړ شوی او نور د عکسونو داخلولو ته اړتیا نشته.

براوزر هڅه وکړه چې دا عکس پورته کړي؛ د جوړ شوي سرور په 8080 پورټ کې، د TCP تونل زما لپ ټاپ ته د هغې په تمه و، چیرې چې ورته ځواب ورکوونکی روان و، براوزر ته اړتیا درلوده چې د NTLM له لارې لاګ ان شي.

د ځواب ورکوونکي لاګونو په واسطه قضاوت کول، خلک سهار کار ته راغلل، خپل کاري سټیشنونه یې بدل کړل، بیا یې په ډله ایزه توګه د یورولوژیست سرور څخه لیدنه پیل کړه، د NTLM لاسونه "خراب" کول هیر نکړي. لاسونه ټوله ورځ باران شول او د پټنومونو بیرته ترلاسه کولو لپاره په ښکاره ډول بریالي برید لپاره مواد راټول کړل. دا هغه څه دي چې د ځواب ورکوونکي لاګونه ورته ښکاري:

د کاروونکو لخوا د یورولوژیست سرور ته ډله ایز پټ لیدنې

تاسو شاید دمخه یادونه کړې وي چې دا ټوله کیسه په اصل کې جوړه شوې ده "هر څه سم وو، مګر بیا یو بدمرغه وه، بیا یو غالب شو، او بیا هرڅه بریالیتوب ته ورسیدل." نو دلته یو ګډوډي وه. له پنځوسو ځانګړو لاسونو څخه، یو یې هم نه دی څرګند شوی. او دا حقیقت په پام کې نیسي چې حتی په لیپ ټاپ کې د مړ پروسیسر سره ، دا NTLMv2 لاسونه په هر ثانیه کې د څو ملیون هڅو په سرعت سره پروسس کیږي.

ما باید خپل ځان د پاسورډ بدلون تخنیکونو، ویډیو کارت، یو غټ قاموس سره سمبال کړم او انتظار وکړم. د اوږدې مودې وروسته، د "Q11111111....1111111q" فورمې د پاسورډونو سره ډیری حسابونه افشا شول، کوم چې دا وړاندیز کوي چې ټول کاروونکي یوځل مجبور شوي چې د کریکټ مختلف حالتونو سره خورا اوږد پاسورډ سره راشي، کوم چې باید دا هم وي. پیچلي وي مګر تاسو نشئ کولی تجربه لرونکي کاروونکي احمق کړئ ، او دا څنګه هغه د ځان لپاره یاد ساتل اسانه کړي. په مجموع کې، شاوخوا 5 حسابونه جوړ شوي، او یوازې یو یې د خدماتو لپاره ارزښتناکه حقونه درلودل.

دریمه برخه Roskomnadzor بیرته برید کوي

نو، د لومړي ډومین حسابونه ترلاسه شوي. که تاسو د اوږدې لوستلو څخه پدې وخت کې خوب نه وي کړی، تاسو به شاید په یاد ولرئ چې ما د داسې خدمت یادونه کړې چې د اعتبار دوهم فکتور ته اړتیا نلري: دا د NTLM تصدیق سره ویکی دی. البته، د ترسره کولو لومړی شی هلته داخل شو. د داخلي پوهې اساس ته کیندل په چټکۍ سره پایلې راوړي:

• شرکت د وائی فای شبکه لري د تصدیق کولو سره د ډومین حسابونو په کارولو سره محلي شبکې ته لاسرسی لري. د ډیټا اوسني سیټ سره ، دا دمخه د کار برید ویکتور دی ، مګر تاسو اړتیا لرئ دفتر ته د خپلو پښو سره لاړشئ او د پیرودونکي دفتر په ساحه کې موقعیت ولرئ.
• ما یو لارښوونه وموندله چې له مخې یې یو خدمت شتون درلود چې اجازه ورکوي ... په خپلواکه توګه د "دوهم فاکتور" تصدیق کولو وسیله راجستر کړي که چیرې کاروونکي په محلي شبکه کې وي او په ډاډه توګه د هغه ډومین ننوتل او پټنوم په یاد ولري. په دې حالت کې، "اندرون" او "بهر" د کارونکي ته د دې خدمت بندر د لاسرسي له مخې ټاکل شوي. بندر د انټرنیټ څخه د لاسرسي وړ نه و، مګر د DMZ له لارې د لاسرسي وړ و.

البته، یو "دوهم فاکتور" سمدلاسه زما په تلیفون کې د غوښتنلیک په بڼه جوړ شوي حساب کې اضافه شو. یو برنامه شتون لري چې کولی شي په لوړ غږ تلیفون ته د عمل لپاره د "منظور"/"ناغوښت" بټونو سره د فشار غوښتنه واستوي ، یا په خاموشۍ سره د نورو خپلواک ننوتلو لپاره په سکرین کې د OTP کوډ وښیې. سربیره پردې ، لومړی میتود د لارښوونو لخوا داسې انګیرل کیده چې یوازینی سم وي ، مګر دا کار ونکړ ، د OTP میتود برعکس.

د "دوهم فاکتور" ماتیدو سره ، زه وکولی شم د آؤټ لک ویب لاسرسي میل ته لاسرسی وموم او په Citrix Netscaler Gateway کې ریموټ لاسرسی. په Outlook کې په میل کې یو حیرانتیا وه:

په دې نادره شاټ کې تاسو لیدلی شئ چې څنګه Roskomnadzor د پینټیسټانو سره مرسته کوي

دا د ټیلیګرام مشهور "فین" بلاک کولو وروسته لومړۍ میاشتې وې ، کله چې د زرګونو پتو سره ټولې شبکې په غیر معمولي ډول له لاسرسي څخه ورکې شوې. دا څرګنده شوه چې ولې فشار سمدلاسه کار نه کوي او ولې زما "قرباني" الارم نه غږوي ځکه چې دوی د خلاص ساعتونو په جریان کې د هغې حساب کارول پیل کړل.

هرڅوک چې د Citrix Netscaler سره اشنا وي تصور کوي چې دا معمولا په داسې ډول پلي کیږي چې یوازې د عکس انٹرفیس کارونکي ته رسول کیدی شي ، هڅه نه کوي هغه ته د دریمې ډلې غوښتنلیکونو پیل کولو او ډیټا لیږدولو لپاره وسیلې ورکړي ، په هره ممکنه لاره کې محدودیتونه. د معیاري کنټرول شیلونو له لارې. زما "قرباني"، د هغه د اشغال له امله، یوازې 1C ترلاسه کړ:

د 1C انٹرفیس شاوخوا شاوخوا ګرځیدو وروسته ، ما وموندله چې دلته د بهرني پروسس ماډلونه شتون لري. دوی د انٹرفیس څخه بار کیدی شي، او دوی به په پیرودونکي یا سرور کې اعدام شي، د حقونو او ترتیباتو پورې اړه لري.

ما د خپلو 1C پروګرامر ملګرو څخه وغوښتل چې داسې پروسس جوړ کړي چې یو تار ومني او اجرا یې کړي. په 1C ژبه کې، د پروسې پیل کول داسې ښکاري (له انټرنیټ څخه اخیستل شوي). ایا تاسو موافق یاست چې د 1C ژبې ترکیب د روسیې خبرې کونکي خلک په خپله خوښه حیرانوي؟

پروسس په بشپړ ډول اجرا شوی و؛ دا هغه څه وګرځیدل چې پینټیسټران "شیل" بولي - د انټرنیټ اکسپلورر د هغې له لارې پیل شوی و.

مخکې، د سیسټم پته چې تاسو ته اجازه درکوي سیمې ته د پاسپورت امر په میل کې وموندل شو. ما د پاس امر وکړ که چیرې زه د وای فای برید ویکتور وکاروم.

په انټرنیټ کې خبرې شتون لري چې لاهم د پیرودونکي په دفتر کې خوندور وړیا کیټرینګ شتون درلود ، مګر ما لاهم غوره کړه چې برید له لرې څخه رامینځته کړم ، دا آرام دی.

AppLocker د اپلیکیشن سرور کې چې Citrix چلوي فعال شوی و، مګر دا له پامه غورځول شوی و. ورته میټرپریټر د DNS له لارې بار شوی او په لاره اچول شوی و، ځکه چې http(s) نسخې نه غوښتل چې وصل شي، او زه په هغه وخت کې داخلي پراکسي پته نه پوهیږم. په هرصورت، له دې شیبې څخه بهرنۍ پینټیسټ په بشپړ ډول په داخلي توګه بدل شو.

4 برخه. د کاروونکو لپاره د ادارې حقونه خراب دي، سمه ده؟

د پینټیسټر لومړۍ دنده کله چې د ډومین کارونکي ناستې کنټرول ترلاسه کوي په ډومین کې د حقونو په اړه ټول معلومات راټولول دي. د بلډ هانډ یوټیلیټ شتون لري چې تاسو ته اجازه درکوي په اتوماتيک ډول تاسو ته اجازه درکوي د کاروونکو ، کمپیوټرونو ، امنیت ګروپونو په اړه معلومات د ډومین کنټرولر څخه د LDAP پروتوکول له لارې ډاونلوډ کړئ ، او د SMB له لارې - پدې اړه معلومات چې کوم کارونکي پدې وروستیو کې ننوتل چیرې او څوک ځایی مدیر دی.

د ډومین مدیر د حقونو د ترلاسه کولو لپاره یو ځانګړی تخنیک د یو ناورین کړنو دوره په توګه ساده ښکاري:

• موږ ډومین کمپیوټرونو ته ځو چیرې چې د ځایی مدیر حقونه شتون لري، د مخکې نیول شوي ډومین حسابونو پراساس.
• موږ Mimikatz په لاره واچوو او د ډومین حسابونو کیش شوي پاسورډونه، کربروس ټکټونه او NTLM هشونه ترلاسه کوو چې پدې وروستیو کې پدې سیسټم کې ننوتل. یا موږ د lsass.exe پروسې حافظه عکس لرې کوو او زموږ په خوا کې ورته کار کوو. دا د ډیفالټ ترتیباتو سره د 2012R2/Windows 8.1 څخه کوچني وینډوز سره ښه کار کوي.
• موږ دا معلوموو چې چیرته جوړ شوي حسابونه د محلي مدیر حقونه لري. موږ لومړی ټکی تکرار کوو. په ځینو مرحلو کې موږ د ټول ډومین لپاره د مدیر حقونه ترلاسه کوو.

"د سایکل پای؛"، لکه څنګه چې د 1C پروګرام کونکي به دلته لیکي.

نو، زموږ کاروونکي د وینډوز 7 سره یوازې په یوه کوربه کې محلي مدیر شو، چې نوم یې د "VDI" کلمه، یا "مجازی ډیسټاپ زیربنا"، شخصي مجازی ماشینونه شامل دي. شاید، د VDI خدمت ډیزاینر پدې معنی و چې څنګه چې VDI د کارونکي شخصي عملیاتي سیسټم دی، حتی که چیرې کاروونکي د سافټویر چاپیریال بدل کړي لکه څنګه چې هغه خوښوي، کوربه بیا هم "بیا بارول" کیدی شي. ما دا هم فکر کاوه چې په عموم کې نظر ښه و، زه دې شخصي VDI کوربه ته لاړم او هلته یې ځاله جوړه کړه:

• ما هلته د OpenVPN پیرودونکي نصب کړل، کوم چې زما سرور ته د انټرنیټ له لارې یو تونل جوړ کړ. پیرودونکی باید د ډومین تصدیق کولو سره ورته نیلي کوټ ته لاړ شي، مګر OpenVPN دا وکړل، لکه څنګه چې دوی وايي، "د بکس څخه بهر."
• په VDI کې OpenSSH نصب شوی. ښه، واقعیا، د SSH پرته وینډوز 7 څه شی دی؟

دا هغه څه دي چې دا په ژوندۍ بڼه ښکاري. اجازه راکړئ تاسو ته یادونه وکړم چې دا ټول باید د Citrix او 1C له لارې ترسره شي:

ګاونډیو کمپیوټرونو ته د لاسرسي هڅولو لپاره یو تخنیک د میچ لپاره د محلي مدیر پاسورډونه چیک کول دي. دلته قسمت سمدلاسه په تمه و: د ډیفالټ ځایی مدیر NTLM هش (چې ناڅاپه د مدیر په نوم یاد شو) ګاونډیو VDI کوربه ته د هاش برید له لارې نږدې شو ، چې پکې څو سوه وو. البته، برید سمدستي دوی ته زیان رسولی دی.

دا هغه ځای دی چې د VDI مدیرانو دوه ځله ځان په پښه ډزې وکړې:

• لومړی ځل و کله چې د VDI ماشینونه د LAPS لاندې ندي راوړل شوي ، په لازمي ډول د عکس څخه ورته محلي مدیر پاسورډ ساتل چې په پراخه کچه VDI ته ځای په ځای شوي و.
• ډیفالټ مدیر یوازینی محلي حساب دی چې د هاش بریدونو څخه زیان منونکی دی. حتی د ورته پاسورډ سره ، دا به ممکنه وي چې د پیچلي تصادفي پاسورډ سره د دوهم محلي مدیر حساب رامینځته کولو او ډیفالټ بلاک کولو سره د ډله ایز جوړجاړي مخه ونیسئ.

ولې په دې وینډوز کې د SSH خدمت شتون لري؟ خورا ساده: اوس د OpenSSH سرور نه یوازې د کارونکي کار کې مداخلې پرته د مناسب متقابل کمانډ شیل چمتو کړی ، بلکه په VDI کې د جرابې 5 پراکسي هم چمتو کوي. د دې جرابې له لارې، ما د SMB له لارې وصل کړ او د دې ټولو سلګونو VDI ماشینونو څخه زیرمه شوي حسابونه راټول کړل، بیا یې د ډومین مدیر ته لاره وموندله چې دوی یې د BloodHound ګرافونو کې کاروي. زما په اختیار کې د سلګونو کوربه سره، ما دا لاره په چټکۍ سره وموندله. د ډومین مدیر حقونه ترلاسه شوي.

دلته د انټرنیټ څخه یو عکس دی چې ورته لټون ښیې. اړیکې ښیي چې څوک چیرې دی مدیر چیرته دی او څوک چیرته ننوتلی دی.

په هرصورت، د پروژې له پیل څخه حالت په یاد ولرئ - "ټولنیز انجینري مه کاروئ." نو، زه وړاندیز کوم چې په دې اړه فکر وکړم چې دا ټول بالیووډ به د ځانګړي تاثیراتو سره څومره پرې شي که چیرې دا لاهم ممکنه وي د بندیز فشینګ کارول. مګر په شخصي توګه، دا زما لپاره خورا په زړه پورې وه چې دا ټول ترسره کړم. زه امید لرم چې تاسو د دې لوستلو څخه خوند اخیستی وي. البته، هره پروژه دومره په زړه پورې نه ښکاري، مګر په ټولیزه توګه کار خورا ستونزمن دی او اجازه نه ورکوي چې ودریږي.

شاید یو څوک به پوښتنه ولري: څنګه د ځان ساتنه وکړئ؟ حتی دا مقاله ډیری تخنیکونه بیانوي، چې ډیری یې د وینډوز مدیران حتی نه پوهیږي. په هرصورت، زه وړاندیز کوم چې دوی ته د هیکني اصولو او د معلوماتو خوندیتوب اقداماتو له نظره وګورم:

• زاړه سافټویر مه کاروئ (په پیل کې وینډوز 2003 په یاد ولرئ؟)
• غیر ضروري سیسټمونه مه ساتئ (ولې د یورولوژیست ویب پاڼه وه؟)
• د خپل ځان د پیاوړتیا لپاره د کارونکي پاسورډ چیک کړئ (که نه نو سرتیري ... پینټیسټران به دا وکړي)
• د مختلف حسابونو لپاره ورته پاسورډونه نلري (VDI تړون)
• او نور

البته، دا پلي کول خورا ستونزمن دي، مګر په راتلونکې مقاله کې به موږ په عمل کې وښیو چې دا خورا ممکنه ده.

سرچینه: www.habr.com