Нужны примеры процедуры реагирования на массовое заражение вирусами
День добрый!
Работаю в крупной компании (компьютеров много, администрятся они удаленно и централизованно), потребовалось разработать процедуру реагирования на массовое заражение вирусом/вирусами, ищу примеры подобных процедур (дабы чего-нибудь не забыть).
То есть нужна не инструкция по защите от вирусов (фаерволлы, антивирусы, отказ от локадминов и т.п. - все это уже давно есть и настроено), а именно шаги, которые будут предприниматься уже ПОСЛЕ факта массового заражения.
Например, действия, которые можно предпринять, если установленный антивирус не знает вируса:
1. Препятствовать распространению.
Изолировать зараженные машины. Полностью выключить из сети, если возможно, если нет - изолировать программно (запрет всего и вся фаерволлом, блокировка учетной записи пользователя, отключение сетевых интерфейсов и служб и т.п.)
2. Анализ.
а) Взять одну зараженную машину на анализ - автозагрузки, запущенных процессов, rootkit-ов и т.п.
б) Параллельно искать в интернете решение проблемы (пусть временное)
в) Выслать подозрительные файлы (если таковые найдутся) производителям антивирусного ПО
3. По результатам анализа выявить действия по удалению вируса (стороннними утилитами, удалением файлов, перезаливкой машин и т.п.)
4. Удалить вирус
5. Разработать комплекс мер, для исключения повторного заражения таким вирусом
Вот именно что-то вроде этого, с конкретными действиями и нужно разработать, чтобы, если не дай бог заражение произойдет, у людей было четкое понимание, что и как нужно делать.
Разрабатывать процедуру будем сами, с учетом специфики нашей ИТ-инфраструктуры, но существующие примеры подобных процедур здорово бы помогли.
