Использование набора инструментов Microsoft Diagnostics and Recovery Toolset (DaRT) для реагирования на инциденты

Введение

При создании программы безопасности одним из наиболее важных элементов, который необходимо включить, является то, что делать, когда что-то пойдет не так. Возможность планировать и внедрять превентивные меры для защиты вашей среды — это здорово. Однако, давайте посмотрим правде в глаза, плохие вещи будут происходить. То, насколько быстро и эффективно организация реагирует на инцидент безопасности, является важной частью ее стратегии безопасности. Многие компании начинают с оценки дорогостоящих специализированных инструментов для действий по реагированию на инциденты, но что, если есть хороший способ начать работу с некоторыми основами реагирования на инциденты с тем, что у вас уже есть?

Microsoft периодически обновляет инструмент, известный как набор инструментов для диагностики и восстановления (DaRT). Первоначально DaRT был создан для предоставления услуг по восстановлению корпоративных настольных компьютеров, диагностики плохо работающих компьютеров и быстрого определения того, какие устройства можно реанимировать, а для каких необходимо повторно создать образ. DaRT также имеет ряд встроенных замечательных функций безопасности, предоставляя вашим «первым ответчикам» в группе поддержки настольных компьютеров очистку систем или выявление потенциально скомпрометированных систем, которые требуют дальнейшего анализа в штаб-квартире.

DaRT также принадлежит многим нынешним клиентам Microsoft, которые, возможно, не пользуются его преимуществами. DaRT нельзя лицензировать как одноразовый продукт; это один из инструментов, включенных в постоянно развивающийся набор продуктов, входящих в состав Microsoft Desktop Optimization Pack (MDOP). MDOP часто продается с клиентом Windows и доступен через обычные каналы программного обеспечения Microsoft (TechNet, MSDN, Microsoft Volume Licensing и т. д.), поэтому узнайте у своего специалиста по лицензированию или торгового посредника, возможно, у вас уже есть доступ к этому инструменту.

Что есть в ДаРТ?

DaRT — это набор инструментов, который загружается на загрузочное устройство, часто на флэш-накопитель USB. Типичная организация, использующая DaRT, предоставит загрузочный образ каждому из своих технических специалистов по поддержке настольных компьютеров, чтобы они могли носить его с собой, когда они звонят для ремонта или диагностики систем. DaRT предназначен для локального использования технически подкованными ИТ-специалистами; по мнению этого автора, это определенно не решение для конечного пользователя по принципу «загрузил и забыл». Стоит отметить, что DaRT версии 7 (в настоящее время находится в стадии бета-тестирования и доступна для загрузки через сайт Microsoft Connect здесь) теперь можно использовать по сети с новой возможностью под названием «Удаленное взаимодействие на основе программного обеспечения». Эта возможность позволяет ИТ-специалисту или аналитику службы поддержки устранять неполадки и диагностировать компьютер, не посещая его лично.

Поскольку DaRT 7 в настоящее время находится в стадии бета-тестирования, мы сосредоточимся на текущем выпуске от Microsoft — DaRT 6.5. DaRT построен на базе среды восстановления Windows (WinRE). Подробнее о WinRE можно прочитать здесь. Если вы когда-либо загружали систему Windows Vista или Windows 7 в режиме восстановления, среда WinRE, вероятно, вам знакома. Этот набор инструментов используется для устранения проблем с запуском, выполнения полного восстановления системы и т. д. DaRT также имеет довольно минимальные требования к аппаратному обеспечению; процессора x86 или x64 с тактовой частотой 1 ГГц, 1 ГБ ОЗУ и возможностью загрузки со съемных носителей должно быть достаточно.

После сборки DaRT (полные инструкции по сборке носителя можно найти здесь) пользователю предоставляется список доступных инструментов для запуска в корневом меню, как показано на рисунке 1.