¿Cómo saber que tuve una intrusión en la red y una manipulación del sistema?

Question

¡Absolutamente! Cualquiera con privilegios y acceso a la cuenta suficientemente elevados puede causar bastante daño. Y ni siquiera tienen que estar ahí para hacerlo. Entonces sí. Parece que su ex empleado descontento pudo haber hecho exactamente eso, o que lo hizo un virus/gusano. No es probable que Windows haya hecho algo a menos que algún hardware estuviera fallando o se hubiera producido algún otro error importante. De lo contrario, esto no es normal.

En lo que respecta a su ex empleado, si su cuenta o cualquier cuenta que haya usado tenía derechos para modificar ciertos archivos, que pueden incluir unidades completas, entonces es muy probable que haya tenido un día de campo. Si tuvo acceso a su LAN, es posible que también lo haya hecho a través de una conexión WiFi, probablemente desde el estacionamiento o en algún lugar cercano. Pero si su sistema está conectado a Internet, e incluso si los cortafuegos funcionan, aún podría haberlo hecho desde casi cualquier lugar del planeta Tierra. Es difícil decirlo ya que no sabemos cómo tiene configuradas sus computadoras.

Este también sería un buen ejemplo de por qué debería cambiar las contraseñas. No sólo para cuentas de usuarios individuales sino también para conexiones WiFi y tal vez incluso para ciertos archivos cifrados. Cada vez que un empleado deja su trabajo, este debe ser el procedimiento operativo estándar, ya sea antes de que obtenga sus documentos de salida o minutos después. Como mínimo, cualquier cuenta de usuario a la que esta persona haya tenido acceso debe reducirse a privilegios de invitado y luego tal vez incluso eliminarse.

Es posible que incluso desees considerar privilegios de usuario específicos para cualquier otra persona. Es posible dar a las personas acceso a archivos en una ubicación central pero no permitirles cambiar ni eliminar nada. Cualquiera que tenga dicho acceso tendría que copiar archivos a su propia PC o a su propio directorio de privilegios elevados para poder cambiar o eliminar cualquier cosa. Por otra parte, podría simplemente permitir que alguien tenga su propia carpeta en una ubicación central donde usted, el administrador, también podría realizar copias de seguridad nocturnas en otra ubicación a la que solo usted tenga acceso (pista, pista).

Por otra parte, como dije, esto puede haber sido el resultado de un virus o gusano, o incluso una vulnerabilidad de seguridad por falta de actualizaciones. Obviamente, esa también sería una gran razón para estar al tanto de esas molestas actualizaciones. Y no sólo las actualizaciones de Microsoft: ¡todas las actualizaciones! De hecho, existen algunas preocupaciones bastante importantes con los productos Adobe Flash y Reader en este momento, ya que incluso Adobe ha informado de "fallos de seguridad" en ambos productos "en los que un usuario/proceso malintencionado podría tener acceso al sistema" si el producto(s) es no actualizado. Oracles Java es otra gran cosa a tener en cuenta y también por las mismas razones. De hecho, si tiene instalado Java 6 o versiones anteriores, Oracle le recomienda encarecidamente que los desinstale e instale la versión 7; esta NO es una actualización automática que puedan realizar tampoco.

Por lo tanto, lo más probable es que no estar al tanto de las actualizaciones sea el culpable si no lo ha hecho últimamente. Sé que esto puede ser un gran momento de vampiro y un PITA importante para algunas personas. Pero si tiene una LAN y/o acceso a Internet, entonces es prácticamente un requisito para mantenerse lo más seguro posible de este tipo de incidentes (y otros). No hacerlo simplemente hace que sea mucho más fácil para los empleados descontentos (y otras personas malintencionadas) entrar y causar estragos también.

No sé si eso ayuda, pero al menos tienes algunas cosas en las que pensar.

Answer 1

¡Absolutamente! Cualquiera con privilegios y acceso a la cuenta suficientemente elevados puede causar bastante daño. Y ni siquiera tienen que estar ahí para hacerlo. Entonces sí. Parece que su ex empleado descontento pudo haber hecho exactamente eso, o que lo hizo un virus/gusano. No es probable que Windows haya hecho algo a menos que algún hardware estuviera fallando o se hubiera producido algún otro error importante. De lo contrario, esto no es normal.

En lo que respecta a su ex empleado, si su cuenta o cualquier cuenta que haya usado tenía derechos para modificar ciertos archivos, que pueden incluir unidades completas, entonces es muy probable que haya tenido un día de campo. Si tuvo acceso a su LAN, es posible que también lo haya hecho a través de una conexión WiFi, probablemente desde el estacionamiento o en algún lugar cercano. Pero si su sistema está conectado a Internet, e incluso si los cortafuegos funcionan, aún podría haberlo hecho desde casi cualquier lugar del planeta Tierra. Es difícil decirlo ya que no sabemos cómo tiene configuradas sus computadoras.

Este también sería un buen ejemplo de por qué debería cambiar las contraseñas. No sólo para cuentas de usuarios individuales sino también para conexiones WiFi y tal vez incluso para ciertos archivos cifrados. Cada vez que un empleado deja su trabajo, este debe ser el procedimiento operativo estándar, ya sea antes de que obtenga sus documentos de salida o minutos después. Como mínimo, cualquier cuenta de usuario a la que esta persona haya tenido acceso debe reducirse a privilegios de invitado y luego tal vez incluso eliminarse.

Es posible que incluso desees considerar privilegios de usuario específicos para cualquier otra persona. Es posible dar a las personas acceso a archivos en una ubicación central pero no permitirles cambiar ni eliminar nada. Cualquiera que tenga dicho acceso tendría que copiar archivos a su propia PC o a su propio directorio de privilegios elevados para poder cambiar o eliminar cualquier cosa. Por otra parte, podría simplemente permitir que alguien tenga su propia carpeta en una ubicación central donde usted, el administrador, también podría realizar copias de seguridad nocturnas en otra ubicación a la que solo usted tenga acceso (pista, pista).

Por otra parte, como dije, esto puede haber sido el resultado de un virus o gusano, o incluso una vulnerabilidad de seguridad por falta de actualizaciones. Obviamente, esa también sería una gran razón para estar al tanto de esas molestas actualizaciones. Y no sólo las actualizaciones de Microsoft: ¡todas las actualizaciones! De hecho, existen algunas preocupaciones bastante importantes con los productos Adobe Flash y Reader en este momento, ya que incluso Adobe ha informado de "fallos de seguridad" en ambos productos "en los que un usuario/proceso malintencionado podría tener acceso al sistema" si el producto(s) es no actualizado. Oracles Java es otra gran cosa a tener en cuenta y también por las mismas razones. De hecho, si tiene instalado Java 6 o versiones anteriores, Oracle le recomienda encarecidamente que los desinstale e instale la versión 7; esta NO es una actualización automática que puedan realizar tampoco.

Por lo tanto, lo más probable es que no estar al tanto de las actualizaciones sea el culpable si no lo ha hecho últimamente. Sé que esto puede ser un gran momento de vampiro y un PITA importante para algunas personas. Pero si tiene una LAN y/o acceso a Internet, entonces es prácticamente un requisito para mantenerse lo más seguro posible de este tipo de incidentes (y otros). No hacerlo simplemente hace que sea mucho más fácil para los empleados descontentos (y otras personas malintencionadas) entrar y causar estragos también.

No sé si eso ayuda, pero al menos tienes algunas cosas en las que pensar.

¿Cómo saber que tuve una intrusión en la red y una manipulación del sistema?

Respuesta1

información relacionada