Чтобы отключить SMB1 на Киосерах (точнее, включить на них поддержку SMB2.0) достаточно обновить на них прошивки. Ну и в целом на Kyocera следует обновить прошивки хотя бы по этой причине: https://t.me/depit_ru/57 SMBv1 никак не укрепить: https://t.me/depit_ru/36
Да, вы правы. Я действительно не учел, что злоумышленик попасть в сеть может только через проходную и что ГОСТ и СБ всех нас бережет - ведь чем больше бумаги, тем чище попа. Вы меня переиграли и уничтожили.
Конкретику я делаю в телеграмм-канале в меру сил и возможностей. Ссылка в статье есть - можете почитать. Холиварить никакого желания - кто хочет, тот учится, кто не хочет - того не научишь.
Отвечая на ваш обновленный комментарий: если вы не понимаете почему SMB1 нужно отключать в инфраструктуре, уверены что WSUS уже не существует, не представляете как установить антивирус и как он раздает обновления, то для начала я бы рекомендовал вам курсы по основам системного администрирования.
В статье я описал требования начиная от которых лично мне будет лень взламывать инфраструктуру через этот аспект. В целом, я не любитель брутить пароли и играть в угодайки, когда есть другие более доступные методы. Но да, аутентификация по сертификатам - это топ, но это уже не база.
У меня нет требований - у меня рекомендации. Если в компании нет регулярной смены паролей, то для меня это означает что можно брутить пароль до победного. Но никто не мешает вам верить в то, что если у пользователя будет один пароль, то он обязательно сделает его сложным и не будет нигде больше использовать.
Не все злодеи мира имеют возможность посмотреть на монитор. А вот загрузить расчет хэша пароля на одну видеокарту на год - это недорого, особенно если приз - это пароль генерального директора. Пароли у пользователей меняем раз в полгода, чтобы ограничить окно для брута пароля по хэшу и чтобы пользователи в конечном итоге установили уникальный пароль на свою учетную запись, а не тот, который используется в десяти внешних сервисах.
По МФУ - сканировать в папку на файловом сервере или в почту. Печатать - через сервер печати.
Тот случай, когда люди, настроившие один раз в жизни базу 1С, дают оценку специалистов, обслуживающих базу данных Toyota.
Для начала надо понимать, что такое «база данных Тойоты»: это сотни тысяч поставщиков по всему миру, миллионы номенклатур и партий, а также учет всех аспектов производственного процесса (чтобы всегда можно было ответить на вопрос, какой рабочий, в какое время и от какого поставщика закрутил гайку вот на этот автомобиль, как эта гайка попала на завод, каким маршрутом ехала и перемещалась по заводу и где все это время лежала). Прослеживаемость производственного процесса в Тойоте на самом высоком уровне, если не на самом высочайшем – это основа менеджмента качества. Естественно с этой базой работает не 10-20, а десятки тысяч человек одновременно.
Опустим аспекты технической реализации этой базы, которое, скорее всего, выходит далеко за рамки привычного вами «файла базы и лога транзакций» - обслуживают эту базу куда более компетентные ребята, чем мы с вами, иначе бы она просто не справлялась со своей нагрузкой.
Давайте представим, что мы потеряем данные из этой базы всего на 1 рабочую минуту. Чем это грозит? А тем, что придется остановить производство и проводить полную переинвентаризацию всех складов и всех производственных процессов, а иначе весь учет полетит в тар-тарары и ни о каком Дао Тойоты можно будет не говорить. Займет такая работа в рамках такого концерна далеко не пару дней.
Дак вот, у ребят случилась ошибка в базе, из-за которой база непрерывно росла. Скорее всего, разобраться с ошибкой на лету, а уж тем более обрезать базу просто так у них не было возможности. Поэтому да, они приняли непростое решение остановить все, чтобы запуститься через пару дней. Решение они приняли в целом в духе Тойоты – для них нормально остановить производство, чтобы разобраться в допущенной в рамках него ошибке.
Вы можете сколько угодно писать про бекапы и мониторинги, но если в базе возникла ошибка, ведущая к ее непомерному росту, то пока вы не выявите причину этой ошибки, все эти действия не имеют значения.
Ну если кредит брался только на покупку сервера, то бизнесу не проблема его вернуть. Если же кредит брался под основные производственные задачи, то покупка собственного сервера даже в кредит только улучшает финпоказатели — увеличивает размер основных средств, уменьшает кредиторскую задолженность. И наоборот, аренда основных средств (сервера, облачные сервисы) только ухудшает фин. показатели для кредиторов.
Кредит штука такая, для юриков в наших банков нет безотзывных кредитов, и когда настанут тяжёлые времена для компании банк — первым придёт за своими деньгами.
Ну да, в случае тяжелых времен кредиторы наложат штрафы за просрочку и платежи по кредиту приблизятся к платежам за аренды. Только вот в случае тяжелых времен при аренде поставщик услуг просто выключит сервер и привет.
У меня есть универсальный совет для финансовых директоров по переводу CAPEX в OPEX — возьмите кредит в банке. По сравнению с арендой в дата-центре вы получите сразу кучу плюсов:
1) Снижение платежей по OPEX в 3 раза (даже при кредите в 20% годовых) и при этом увеличение капитализации компании.
2) Отсутствие валютного риска, когда с очередным скачком курса доллара, стоимость аренды вдруг взлетает до небес.
3) Отсутствие рисков работы с внешним подрядчиком, для которого вы — никто.
Ну и да, не верьте никогда маркетологам, которые продают облачные сервисы — потому что они, по сути, продают вам те же самые сервера, но только в аренду и со своей маржой (даже так — МАРЖОЙ).
Про Киосеры ответил постом выше - установите на них обновления. И курсы по основам системного администрирования все же рекомендую.
Чтобы отключить SMB1 на Киосерах (точнее, включить на них поддержку SMB2.0) достаточно обновить на них прошивки.
Ну и в целом на Kyocera следует обновить прошивки хотя бы по этой причине: https://t.me/depit_ru/57
SMBv1 никак не укрепить: https://t.me/depit_ru/36
Да, вы правы. Я действительно не учел, что злоумышленик попасть в сеть может только через проходную и что ГОСТ и СБ всех нас бережет - ведь чем больше бумаги, тем чище попа. Вы меня переиграли и уничтожили.
Конкретику я делаю в телеграмм-канале в меру сил и возможностей. Ссылка в статье есть - можете почитать. Холиварить никакого желания - кто хочет, тот учится, кто не хочет - того не научишь.
Все так и есть - Access Based Enumeration и пользователь видит только свои папки.
Вот вы меня и раскусили
Отвечая на ваш обновленный комментарий: если вы не понимаете почему SMB1 нужно отключать в инфраструктуре, уверены что WSUS уже не существует, не представляете как установить антивирус и как он раздает обновления, то для начала я бы рекомендовал вам курсы по основам системного администрирования.
В статье я описал требования начиная от которых лично мне будет лень взламывать инфраструктуру через этот аспект. В целом, я не любитель брутить пароли и играть в угодайки, когда есть другие более доступные методы. Но да, аутентификация по сертификатам - это топ, но это уже не база.
Я не по нормативной документации эти требования составлял. В начале статьи все расписано. Использовать их или нет - на ваше усмотрение.
Он точно будет меньше, чем в компании, где нет этой базы.
Что такое реальные СРК и платформы виртуализации?
У меня нет требований - у меня рекомендации. Если в компании нет регулярной смены паролей, то для меня это означает что можно брутить пароль до победного. Но никто не мешает вам верить в то, что если у пользователя будет один пароль, то он обязательно сделает его сложным и не будет нигде больше использовать.
Не все злодеи мира имеют возможность посмотреть на монитор. А вот загрузить расчет хэша пароля на одну видеокарту на год - это недорого, особенно если приз - это пароль генерального директора. Пароли у пользователей меняем раз в полгода, чтобы ограничить окно для брута пароля по хэшу и чтобы пользователи в конечном итоге установили уникальный пароль на свою учетную запись, а не тот, который используется в десяти внешних сервисах.
По МФУ - сканировать в папку на файловом сервере или в почту. Печатать - через сервер печати.
Тот случай, когда люди, настроившие один раз в жизни базу 1С, дают оценку специалистов, обслуживающих базу данных Toyota.
Для начала надо понимать, что такое «база данных Тойоты»: это сотни тысяч поставщиков по всему миру, миллионы номенклатур и партий, а также учет всех аспектов производственного процесса (чтобы всегда можно было ответить на вопрос, какой рабочий, в какое время и от какого поставщика закрутил гайку вот на этот автомобиль, как эта гайка попала на завод, каким маршрутом ехала и перемещалась по заводу и где все это время лежала). Прослеживаемость производственного процесса в Тойоте на самом высоком уровне, если не на самом высочайшем – это основа менеджмента качества. Естественно с этой базой работает не 10-20, а десятки тысяч человек одновременно.
Опустим аспекты технической реализации этой базы, которое, скорее всего, выходит далеко за рамки привычного вами «файла базы и лога транзакций» - обслуживают эту базу куда более компетентные ребята, чем мы с вами, иначе бы она просто не справлялась со своей нагрузкой.
Давайте представим, что мы потеряем данные из этой базы всего на 1 рабочую минуту. Чем это грозит? А тем, что придется остановить производство и проводить полную переинвентаризацию всех складов и всех производственных процессов, а иначе весь учет полетит в тар-тарары и ни о каком Дао Тойоты можно будет не говорить. Займет такая работа в рамках такого концерна далеко не пару дней.
Дак вот, у ребят случилась ошибка в базе, из-за которой база непрерывно росла. Скорее всего, разобраться с ошибкой на лету, а уж тем более обрезать базу просто так у них не было возможности. Поэтому да, они приняли непростое решение остановить все, чтобы запуститься через пару дней. Решение они приняли в целом в духе Тойоты – для них нормально остановить производство, чтобы разобраться в допущенной в рамках него ошибке.
Вы можете сколько угодно писать про бекапы и мониторинги, но если в базе возникла ошибка, ведущая к ее непомерному росту, то пока вы не выявите причину этой ошибки, все эти действия не имеют значения.
Кстати, показательно что на hh.ru долгое время не было требований регулярной смены пароля, а в последние года два-три оно появилось.
1) Время реакции на ваш запрос;
2) Скорость выполнения вашей заявки;
3) Качество предоставленного решения;
4) Вежливость специалиста.
Ну да, в случае тяжелых времен кредиторы наложат штрафы за просрочку и платежи по кредиту приблизятся к платежам за аренды. Только вот в случае тяжелых времен при аренде поставщик услуг просто выключит сервер и привет.
1) Снижение платежей по OPEX в 3 раза (даже при кредите в 20% годовых) и при этом увеличение капитализации компании.
2) Отсутствие валютного риска, когда с очередным скачком курса доллара, стоимость аренды вдруг взлетает до небес.
3) Отсутствие рисков работы с внешним подрядчиком, для которого вы — никто.
Ну и да, не верьте никогда маркетологам, которые продают облачные сервисы — потому что они, по сути, продают вам те же самые сервера, но только в аренду и со своей маржой (даже так — МАРЖОЙ).