= Потрібна порада щодо захисту мережі =

![ ](httpswww.redditstatic.com/desktop2x/img/renderTimingPixel.png)

Привіт, колеги Redditors. Будь ласка, дайте мені будь-яку відверту пораду.

Мені дали новий виклик, нову роль, нове середовище. І після недавніх «зловмисних дій з боку зловмисників», безпека має першочергове значення.

Що

Тож у них є невеликий віртуальний центр обробки даних, розміщений за межами підприємства. Сервер бізнес-додатків, файловий сервер AD і DFS, інфраструктура citrix, деякі настільні сервери citrix. Користувачі входять до настільних комп’ютерів Citrix, запускають M365 і бізнес-додатки, виконують свою роботу. Хости colo піклуються про регулярне резервне копіювання, захист EP, допомагають із завданнями адміністратора тощо.

Користувачі мають облікові записи MS365 для електронної пошти та програм. Більшість даних все ще знаходиться в FS, але деякі з них почали переміщатися до Teams/SP/OneDrive. Між обліковими записами colo AD і MS365 немає зв’язку.

Настільні комп’ютери в різних офісах - це гарячий безлад. Це здебільшого Windows 10, але це не AD. По суті, це астермінали налаштування, де кожен входить до налаштування Citrix через chrome. AV – це комбінація Trend (більшість) і Windows Defender.

**Що трапилось**

Погані хлопці увійшли, повзли, призвели до простою. У той момент мене викликали. Працюючи з хостами, ми змогли відновити машини та дані з резервних копій, відновити роботу та отримати уроки.

**Що ми зробили**

З того часу ми надолужили попередні погані практики. Усі сервери були виправлені на поточний рівень. Паролі були примусово змінені, триває. 2FA розгортається для всіх користувачів настільки швидко, наскільки ми зможемо. Кількість облікових записів адміністратора було значно зменшено. IPS на брандмауері. Агресивна політика захисту. В ідеалі ми робимо все можливе, щоб захистити «центр обробки даних».

**Що нам потрібно зробити**

Коли ми забезпечили периметр навколо colo DC (100% 2FA), я відчайдушно хочу захистити робочі столи. У нас немає інфраструктури для локальних DC, ані міжсайтової глобальної мережі. Мені тут потрібна порада.

Чи можу я використовувати існуючі облікові записи MS365 як своєрідну «рекламу в хмарі»? Я знаю, що ми можемо використовувати облікові записи MS для входу в комп’ютер з Windows 10 – приєднати його до нашого домену MS365 через відсутність кращого терміну – але я не знаю, що це нам дає? Який контроль, видимість? політики?

Чи є для цього надійніший ресурс (Azure AD і, якщо так, плюси та мінуси? Вартість?


Пропозиції щодо найшвидшої та ефективної боротьби з цими різноманітними котами (ПК)? Бажаєте мати можливість видаляти, контролювати, примусово застосовувати деякі базові політики, додавати/вилучати/примусово застосовувати програмне забезпечення та налаштування з консолі?

Пропозиції щодо пакету AV. Половина того, що я прочитав, говорить про те, що Defender справний. Інша половина, здається, не погоджується і наполягає, що нам потрібно щось стороннє. Я майже впевнений, що вони не доступні для «консолі захисника»?

Враховуючи загальну ситуацію, що б хтось, кожен порекомендував? Дякуємо за конструктивний відгук!

Я припускаю, що всі ці облікові записи MS365 знаходяться в одному клієнті, і у вас є Azure AD, яким ви вже керуєте?

Ця тема може допомогти з деякими з ваших запитань: httpswww.reddit.com/r/Office365/comments/jjf8j9/azure_ad_microsoft_intune_to_replace_onprem_ad/

Але в основному ви хочете, щоб на вас дивилися, це inTune. Це може застосовувати політики (як GPO) до вашого парку з порталу.

Defender підходить для AV, але Microsoft Defender for Endpoints (Aka ATP) — це те, що вам потрібно для додаткових рівнів безпеки.

httpsdocs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection

Ви знаєте, як сталося порушення? З’ясування цього має бути частиною захисту навколишнього середовища. Перевірте сповіщення CISA (AA20-275A) про потенційну кібервідповідь Китаю на посилення напруженості в США і Китаї на наявність конкретних уразливостей Citrix, які використовуються спонсорованими державою та іншими зловмисниками як приклад того, як дізнатися, як щось сталося, щоб вжити заходів щоб запобігти цьому.

Який у вас загалом бюджет на цю вправу?

== Про спільноту ==

Члени

Онлайн