Простая защита от "ПлохогоКролика"

via https://t.me/MicrosoftRus

1. Использовать LAPS, я писал об этом большой пост здесь - https://t.me/MicrosoftRus/135 Там есть все, что надо для его внедрения, т.к. "кролик" собирает данные об учетке "administrator", LAPS защитит от этого;

2. Перестаньте использовать протокол SMBv1;

3. Закройте в клиентских вланах доступ к сетевым шарам между клиентами, они им ни к чему. Ну сами подумайте, зачем сферическому Вася доступ к Ирине на шару admin$ или любую другую?

4. Обновления. Тут, я думаю объяснять не надо. ;)

Теперь о самом "кролике". Подробный пост ESET на хабре - https://habrahabr.ru/company/eset/blog/340890/

Самое просто, если у вас нет антивируса, то создать два файла infpub.dat и cscc.dat в %systemroot%.

Например через powershell:

New-Item -Path $env:systemroot -Name "infpub.dat" -ItemType File

New-Item -Path $env:systemroot -Name "cscc.dat" -ItemType File

icacls "$env:systemroot\infpub.dat" /inheritance:r

icacls "$env:systemroot\cscc.dat" /inheritance:r

Архив для GPO есть у нас в чате @ConfigMgr, а через SCCM можно, наверное, как минимум четырьмя разными способами задеплоить: package, app, CI, TS. Через пакет будет что-то подобное:

powershell.exe -ExecutionPolicy Bypass -NoLogo -NonInteractive -NoProfile -WindowStyle Hidden -File .\fuckTheRabbit.ps1

Ну и подписывайтесь на наш уютный канал в телеграме - https://t.me/MicrosoftRus