1. Horudhac
Shirkado aan lahayn habab meel fog laga galo ayaa si degdeg ah u hawl galiyay dhowr bilood ka hor. Dhammaan maamulayaasha looma diyaarinin "kuleylka" noocan oo kale ah, taas oo keentay habacsanaan xagga amniga ah: qaabeynta adeegyada khaldan ama xitaa rakibidda noocyada software ee duugoobay ee leh baylahda hore loo ogaaday. Qaar ka mid ah, ka tegitaannadan horeba way u kobceen, kuwa kalena waxay ahaayeen kuwo aad u nasiib badan, laakiin qof kastaa waa inuu si dhab ah u soo gunaanadaa. Daacadnimada shaqada fog ayaa si aad ah u korodhay, shirkado badan oo badan ayaa aqbalaya shaqada fog sida qaab la aqbali karo si joogto ah.
Marka, waxaa jira xulashooyin badan oo lagu bixiyo marin fog: VPN-yo kala duwan, RDS iyo VNC, TeamViewer iyo kuwa kale. Maamulayaashu waxay haystaan ββwax badan oo ay kala doortaan, iyadoo lagu salaynayo waxyaabaha gaarka ah ee lagu dhisayo shabakad shirkadeed iyo aaladaha ku jira. Xalalka VPN ayaa ah kuwa ugu caansan, si kastaba ha ahaatee, shirkado badan oo yaryar ayaa doorta RDS (Adeegyada Mashiinka Fog), way ka fudud yihiin oo dhaqso badan yihiin in la geeyo.
Maqaalkan waxaan uga hadli doonaa wax badan oo ku saabsan amniga RDS. Aynu samayno dulmar kooban oo ku saabsan dayacanka la yaqaan, oo aynu sidoo kale tixgalino dhawr xaaladood oo lagu bilaabayo weerarka kaabayaasha shabakada ee ku salaysan Hagaha Firfircoon. Waxaan rajeyneynaa in maqaalkeena uu ka caawin doono qof inuu ka shaqeeyo dhiqlaha oo uu hagaajiyo amniga.
2. Nuglaanshaha RDS/RDP ee dhawaa
Software kasta waxa uu ka kooban yahay khaladaad iyo baylahda ay ka faa'iidaysan karaan weeraryahanadu, RDS-na kama reebna. Microsoft waxa ay beryahan dambe si joogto ah uga warbixinaysay dayacanka cusub, marka waxa aanu go'aansanay in aanu siino dulmar kooban:
Nuglaantani waxay khatar gelisaa isticmaalayaasha ku xidha serfarka la jabiyay. Weeraryahanku waxa uu gacanta ku dhigi karaa qalabka isticmaalaha ama waxa uu heli karaa meel nidaamka si uu u helo marin fog oo joogto ah.
- / /
Kooxdan baylahda ah waxay u ogolaataa weeraryahan aan la xaqiijin inuu meel fog ka fuliyo kood aan sabab lahayn serfer ku shaqeeya RDS isagoo isticmaalaya codsi si gaar ah loo diyaariyay. Waxa kale oo loo isticmaali karaa in lagu abuuro Gooryaanka-malware-ka kaas oo si madax-bannaan u saameeya qalabka deriska ah ee shabakada. Sidaa darteed, dayacankaani wuxuu halis gelin karaa dhammaan shabakadaha shirkadda, oo kaliya cusbooneysiinta waqtiga ayaa badbaadin kara.
Software-ka gelitaanka fog waxa uu helay feejignaan dheeraad ah labada cilmi-baarayaasha iyo kuwa weerarka soo qaaday, marka waxaa laga yaabaa inaan dhawaan maqalno wax ku saabsan dayacanka la midka ah.
Akhbaarta wanaagsani waxay tahay in dhammaan baylahda aysan lahayn faa'iidooyin dadweyne oo la heli karo. Akhbaarta xun ayaa ah in aysan ku adkaan doonin weeraryahan khibrad u leh inuu qoro ka faa'iidaysiga nuglaanta isagoo ku saleysan sharraxaadda, ama adeegsiga farsamooyinka sida Patch Diffing (asxaabteena ayaa wax ka qoray ). Sidaa darteed, waxaan kugula talineynaa inaad si joogto ah u cusbooneysiiso software-ka oo aad la socoto muuqaalka fariimaha cusub ee ku saabsan dayacanka la ogaaday.
3.Weerarada
Waxaan u soconaa qaybta labaad ee maqaalka, halkaas oo aan ku tusi doono sida weerarrada kaabayaasha shabakada ee ku salaysan Active Directory ay bilaabaan.
Hababka la sharraxay ayaa lagu dabaqi karaa qaabka soo socda ee weerarka: weeraryahan leh akoon isticmaale oo marin u leh kadinka Desktop-ka fog - server terminal (inta badan waa laga heli karaa, tusaale ahaan, shabakad dibadda ah). Isticmaalka hababkan, weeraryahanku wuxuu awoodi doonaa inuu sii wado weerarka kaabayaasha oo uu xoojiyo joogitaankiisa shabakada.
Qaabeynta shabakada ee kiis kasta oo gaar ah ayaa laga yaabaa inay kala duwanaato, laakiin farsamooyinka lagu sharraxay waa kuwo caalami ah.
Tusaalooyinka ka tagitaanka deegaan xaddidan iyo kordhinta mudnaanta
Marka la gelayo kadinka Desktop Fog, weeraryahanku waxay u badan tahay inuu la kulmo nooc ka mid ah deegaan xaddidan. Markaad ku xidho server-ka terminal, codsi ayaa lagu bilaabayaa: daaqad loogu xidho borotokoolka fog ee Desktop-ka ee agabka gudaha, Explorer, xidhmooyinka xafiisyada ama software kasta oo kale.
Hadafka weeraryahanku wuxuu noqon doonaa inuu galo amarka fulinta, taas oo ah, inuu bilaabo cmd ama powershell. Farsamooyin dhowr ah oo caadi ah oo ku baxsan sanduuqa ciid Windows ayaa kaa caawin kara tan. Aynu sii tixgelinno iyaga.
Doorashada 1. Weerarku wuxuu geli karaa daaqadda isku xirka Desktop Fog ee ku dhex taal kadinka Desktop Fog:
Waxa furmaya liiska "Show Options". Ikhtiyaarada ayaa u muuqda in lagu maamulayo faylalka isku xidhka isku xidhka:
Daaqaddan waxaad si fudud uga geli kartaa Explorer adigoo gujinaya mid ka mid ah badhamada "Open" ama "Save":
Explorer ayaa furmay Its "bar ciwaanka" ayaa suurtogal ka dhigaya in la bilaabo faylasha la oggol yahay ee la fulin karo, iyo sidoo kale liiska nidaamka faylka. Tani waxay faa'iido u yeelan kartaa qofka weerarka soo qaaday kiisas nidaamku qarsoon yahay oo aan si toos ah loo heli karin:
β
Xaalad la mid ah ayaa dib loo soo saari karaa, tusaale ahaan, markaad Excel ka isticmaalayso suudhka Microsoft Office sida software fog.
β
Intaa waxaa dheer, ha iloobin makrosyada loo isticmaalo qolkan xafiiska. Asxaabteena waxay eegeen dhibaatada amniga macro ee tan .
Doorashada 2. Isticmaalka agabyo la mid ah sidii noocii hore, weeraryahanku waxa uu bilaabay dhawr xidhiidh oo ku saabsan Desktop-ka fog ee isla xisaabtaas. Markaad dib u xirto, kan ugu horreeya waa la xiri doonaa, oo daaqad leh ogeysiis khalad ah ayaa ka soo muuqan doona shaashadda. Badhanka caawinta ee daaqadan wuxuu wici doonaa Internet Explorer ee server-ka, ka dib markaa weerarku wuxuu aadi karaa Explorer.
β
Doorashada 3. Haddii xaddidaadaha bilaabista faylasha la fulin karo la habeeyo, weeraryahanku waxa uu la kulmi karaa xaalad ay siyaasadaha kooxuhu ka mamnuucayaan maamulaha inuu ku shaqeeyo cmd.exe.
Waxaa jirta dariiqo aad ku heli karto tan adigoo ku socodsiinaya faylka fiidmeerta ee desktop-ka fog oo wata waxyaabo ay ka mid yihiin cmd.exe /K <command>. Khalad marka la bilaabayo cmd iyo tusaale guul leh oo fulinta faylka fiidmeerta ayaa lagu muujiyay sawirka hoose.
Doorashada 4. Mamnuucida bilawga codsiyada iyadoo la adeegsanayo liisaska madow ee ku salaysan magaca faylasha la fulin karo ma aha daawo; waa la hareer marin karaa.
Tixgeli xaaladdan soo socota: waxaan curyaannay gelitaanka khadka taliska, ka hortagnay bilaabista Internet Explorer iyo PowerShell annaga oo adeegsanayna siyaasadaha kooxda. Weerarku wuxuu isku dayaa inuu waco caawimaad - wax jawaab ah ma leh. Isku dayga in lagu bilaabo powershell iyada oo loo marayo menu-ka macnaha guud ee daaqada modal, oo loo yaqaan furaha Shift-ka oo la riixay - fariinta muujinaysa in bilaabista uu mamnuucay maamuluhu. Wuxuu isku dayaa inuu ku bilaabo powershell dhexda ciwaanka - mar labaad wax jawaab ah ma leh. Sidee looga gudbi karaa xaddidaadda?
Way ku filan tahay in aad nuqul ka sameysato powershell.exe C: WindowsSystem32WindowsPowerShellv1.0 gal gal user, magaca u beddelo wax aan ahayn powershell.exe, ikhtiyaarka bilaabista ayaa soo muuqan doona.
Sida caadiga ah, marka lagu xidho desktop-ka fog, marin u hel saxanadaha maxalliga ah ee macmiilka ayaa la bixiyaa, halkaas oo weeraryahanku koobi karo powershell.exe oo uu maamulo ka dib markii uu beddelo.
β
Waxaan siinay dhowr siyaabood oo kaliya oo looga gudbi karo xannibaadaha; waxaad la imaan kartaa xaalado badan oo badan, laakiin dhammaantood waxay leeyihiin hal shay oo ay wadaagaan: gelitaanka Windows Explorer. Waxaa jira codsiyo badan oo isticmaala qalabka wax-is-daba-marinta faylka caadiga ah ee Windows, iyo marka la dhigo deegaan xaddidan, farsamooyin la mid ah ayaa la isticmaali karaa.
4. Talooyin iyo gunaanad
Sida aan arki karno, xitaa deegaan xaddidan waxaa jira meel loogu talagalay horumarinta weerarka. Si kastaba ha ahaatee, waxaad nolosha ka dhigi kartaa mid aad u adag qofka wax weeraraya. Waxaan bixinaa talooyinka guud ee waxtar u yeelan doona labada ikhtiyaar ee aan tixgelinnay iyo xaaladaha kale labadaba.
- Xaddid barnaamijka wuxuu bilaabaa liisaska madow/caddaan iyadoo la adeegsanayo siyaasadaha kooxda.
Xaaladaha intooda badan, si kastaba ha ahaatee, waxay ahaanaysaa suurtogalnimada in la socodsiiyo koodka. Waxaan kugula talineynaa inaad naftaada barato mashruuca , si aad fikrad uga hesho habab aan sharci ahayn oo lagu maareeyo faylalka iyo fulinta koodka nidaamka.
Waxaan kugula talineynaa in la isku daro labada nooc ee xayiraadaha: tusaale ahaan, waxaad ogolaan kartaa bilaabida faylasha la fulin karo ee Microsoft ay saxiixday, laakiin xaddid bilawga cmd.exe. - Dami tabsiyada goobaha Internet Explorer (waxaa lagu samayn karaa gudaha gudaha diiwaanka).
- Dami caawimada ku dhex jirta Windows iyada oo loo marayo regedit.
- Dami awoodda aad ku rakibi karto saxanadaha maxalliga ah ee isku xirka fog haddii xaddidanadaasi aysan muhiim u ahayn isticmaalayaasha.
- Xaddid gelitaanka darawallada maxalliga ah ee mashiinka fog, u dhaaf gelitaanka galka isticmaalaha oo keliya.
Waxaan rajeyneynaa inaad heshay ugu yaraan mid xiiso leh, iyo ugu badnaan, maqaalkani wuxuu kaa caawin doonaa inuu ka dhigo shaqada fog ee shirkaddaada mid ammaan ah.
Source: www.habr.com