= Нужен совет по защите сети =

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Привет, коллеги-реддиторы. Пожалуйста, дайте мне любой откровенный совет.

Мне дали новый вызов, новую роль, новую среду. И после некоторых недавних «злонамеренных действий со стороны злоумышленников» безопасность имеет первостепенное значение.

Что такое

Так что у них есть небольшой виртуальный центр обработки данных, размещенный вне офиса. Сервер бизнес-приложений, файловый сервер AD и DFS, инфраструктура Citrix, некоторые настольные серверы Citrix. Пользователи входят в настольные компьютеры Citrix, запускают свои M365 и бизнес-приложения, выполняют свою работу. Хосты colo заботятся о регулярном резервном копировании, защите EP, помогают с административными задачами и т. д.

У пользователей есть учетные записи MS365 для электронной почты и приложений. Большая часть данных все еще находится в FS, но некоторые из них начали перемещаться в Teams/SP/OneDrive. Нет никакой связи между Colo AD и учетными записями MS365.

На рабочих столах в различных офисах царит беспорядок. В основном это Windows 10, но у них нет AD. По сути, это астерминалы настройки, и каждый входит в систему установки Citrix через Chrome. AV представляет собой комбинацию Trend (большинство) и Защитника Windows.

**Что случилось**

Пришли плохие парни, повозились, вызвали простои. Меня в этот момент позвали. Работая с хостами, мы смогли восстановить машины и данные из резервных копий, восстановить работоспособность и извлечь уроки.

**Что мы сделали**

С тех пор мы исправили предыдущие плохие практики. Все серверы были пропатчены до текущих. Пароли были вынуждены изменить, продолжается. 2FA развертывается для всех пользователей настолько быстро, насколько это возможно. Количество учетных записей типа администратора было значительно уменьшено. IPS на брандмауэре. Агрессивная политика защиты. В идеале мы делаем все разумное, чтобы обезопасить «центр обработки данных».

**Что нам нужно сделать**

После того, как мы защитили периметр вокруг DC Colo (100% 2FA), я отчаянно хочу защитить рабочие столы. У нас нет ни инфраструктуры для локальных контроллеров домена, ни глобальной сети site-to-site. Мне нужен совет здесь.

Могу ли я использовать существующие учетные записи MS365 в качестве своего рода «AD в облаке»? Я знаю, что мы можем использовать учетные записи MS для входа на ПК с Windows 10 — присоединяем его к нашему домену MS365 из-за отсутствия лучшего термина — но я понятия не имею, что это нам дает? Какой контроль, наглядность? Политика?

Есть ли более надежный ресурс для этого (Azure AD, и если да, то плюсы и минусы? Стоимость?


Предложения по борьбе с этими различными кошками (ПК) наиболее быстро и эффективно? Хотите иметь возможность удалять, отслеживать, принудительно применять некоторые базовые политики, добавлять/удалять/применять программное обеспечение и настройки с консоли?

Предложения по пакету AV. Половина того, что я читал, говорит, что с Defender все в порядке. Другая половина, кажется, не согласна и настаивает на том, что нам нужно что-то третье. Я почти уверен, что это не «консоль защитника»?

Учитывая общую ситуацию, что бы кто-нибудь порекомендовал? Спасибо за конструктивный отзыв!

Я предполагаю, что все эти учетные записи MS365 находятся в одном арендаторе, и у вас есть Azure AD, которым вы уже управляете?

Эта ветка может помочь с некоторыми вашими вопросами: httpswww.reddit.com/r/Office365/comments/jjf8j9/azure_ad_microsoft_intune_to_replace_onprem_ad/

Но в основном вы хотите, чтобы вы смотрели на inTune. Это может применять политики (например, GPO) к вашему автопарку с портала.

Защитник отлично подходит для AV, но Microsoft Defender для конечных точек (также известный как ATP) — это то, что вам нужно для дополнительных уровней безопасности.

httpsdocs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection

Вы знаете, как произошло нарушение? Выяснение этого должно быть частью защиты окружающей среды. Ознакомьтесь с предупреждением CISA (AA20-275A) «Потенциал киберответа Китая на усиление напряженности в США и Китае» на предмет конкретных уязвимостей Citrix, используемых спонсируемыми государством и другими злоумышленниками, в качестве примера изучения того, как что-то произошло, чтобы предпринять шаги. предотвратить это.

Какой у вас общий бюджет на это упражнение?

== О сообществе ==

Члены

онлайн