Там действительно поддерживается только TLS 1.0, но как конкретно сделан вывод, что сервер уязвим к POODLE (на ssllabs я не нашел описания методики тестирования)?
С ценами. К сожалению, суровая правда в том, что реальные цены, по которым вы купите железо у продавца, могут отличаться как в большую, так и в меньшую сторону. Часто намного. Меня это тоже раздражает (потому что практически невозможно БЫСТРО понять, во что обойдется то или иное железо — начинается бадяга с обращением к партнеру, партнера к HP, иногда многодневным согласованием скидок, потом истеканием сроков этих скидок… брр.) Но меня также раздражает неумение телепортироваться, а жить с этим как-то приходится. :)
Стандартный режим, коллектор опрашивает. За NAT у нас клиентов нет, но в целом с точки зрения сети там требование одно — должна быть возможность подключиться через WinRM.
Если вы полностью опишете конкретную ситуацию, я, возможно, смогу как-то её прокомментировать. А так это из разряда «товарищи ученые, у нас в подполе раздаётся подземный стук».
С рабочих станций не было необходимости, специально стресс-тесты я тоже не устраивал. Но чисто по объемам — с серверов льется несколько гигабайт в день, проблем нет совсем, видимой нагрузки на хосты не создаётся.
Get-EventLog
…
происходит полное перекачивание файла с event-логами системы, и лишь затем осуществляется их обработка на компьютере, где выполняется скрипт.
Именно поэтому «родной» командой является Get-WinEvent, а не Get-EventLog. И правильно подобрать параметры.
Но в целом такой метод сбора ужасен, вообще не надо так делать, надо просто воспользоваться специально существующим для таких целей механизмом.
Никак. Весь смысл парольной защиты базируется на том, что пароль должен быть известен только пользователю, и он не должен нигде храниться в открытом виде. А делать обязательную смену паролей и при этом генерить их самому и рассылать — это просто профанация. Зачем вы вообще пароли меняете? Формальное требование? Если да, то формально вы его реализовали, но реально безопасность никак не повысили, скорее понизили. :)
> Например, лицензионные отчисления с Андройдов за использование линуксов
MS берет лицензионные отчисления с Андроида (который вы непонятно как в свободное ПО зачислили) за использование неких «линуксов» (это вообще что?), да ещё с какими-то тайными патентами (которые, разумеется, прекрасно известны тем, кто за них платит) на эти «линуксы»? Вы тут совсем-совсем ничего не путаете? :D
А вот свободным ПО можно считать Cyanogen, которому MS, помнится, деньгами помочь собиралась.
> Суды с производителями железа со втроенным Линуксом?
Ну вот, снова общие заявления. Вы сами обещали конкретные примеры, вот и приводите. И «множество», я напоминаю. Чтобы можно было разобраться, борется ли MS там именно против «свободного ПО», или всё-таки против чего-то другого.
> Разборки с проектом samba?
С тем самым, с которым юридические вопросы улажены чуть не десятилетие назад, и в который MS с тех пор даже код контрибутила? :)
> И вот вам моя любимая цитата из некоего Стива Балмера: «Open source is cancer».
Балмер — мужчина горячий, он мог. Но всё же проформы ради — где первоисточник?
В общем, пока как-то бледновато для доренковщины (хотя в современных реалиях, скорее, киселевщины) в стиле исходного поста.
Нарисую-ка я картинку коллективному минусующему. Все имена и события вымышлены, все совпадения случайны.
Жила-была в удаленном филиале компании тетя Клава, которая работала с файликами на SMB-шарах, и на местном сервере, и на удаленном, к которому филиал подключался через VPN. И вдруг возникает у нее проблема — не видит она некоторых файлов, которые кладут в её папочку на удаленном сервере. На сервере есть файлы, а клиент не видит. А потом (иногда через довольно значительное время типа получаса-часа) внезапно видит. Пишет она заявку.
В техподдержке у нас есть довольно опытный и головастый товарищ Петя, который, однако, сегодня занят тем, что раздает флэшки страждущим и мило улыбается забывшим пароль симпатичным девушкам. И есть Вася, который, в принципе, пока мало что умеет, кроме замены картриджей, таскания 20-тикилограммовых серверов и переустановки винды, но Очень Хочет Расти.
Вася видит заявку и забирает её себе — нуачо, это ему по душе, какой дурак с обычной виндой не разберется? Расти надо, а определить по пользовательскому описанию проблемы, какой она сложности, всё равно невозможно… Допустим, у него даже хватает мозгов сразу проверить всё, что нужно (что далеко не всегда бывает), и он таки обнаруживает, что клиентский компьютер действительно не всегда правильно отображает список файлов на шаре. Вася, как молодой растущий специалист, гордо гуглит, и обнаруживает, что у одного чувака (или даже у многих) тоже такое было, и помогло отключение протокола SMB2 на клиенте.
Вася выгуглил, что SMB1 — первая версия протокола, по которому общаются файл-сервер и клиент MS, а SMB2 — вторая, появившаяся только недавно, в Windows Vista. Чем в деталях они отличаются — Вася не знает. Зато он краем уха слышал в гугле (или даже от знакомых), что с SMB2 вечно у всех какие-то проблемы — то сетевые сканеры не сканируют, то техподдержка Консультант+ советует отключить… Да и вообще, всем известно, что XP рулит, а Vista — отстой. «Вот оно!» — гордо думает Вася, и отрубает SMB2 на клиенте.
В принципе, проблема вроде бы исчезает. Только тетя Клава с тех пор что-то иногда жаловаться стала, что как-то медленно у неё файлики открываться стали. А иногда вообще — сидит себе, работает с файлом с удаленного сервера, и вдруг ррраз! — и «невозможно сохранить файл». Но вот беда — новая проблема не воспроизводится. Ну да, сетевики там по логам накопали, что иногда в VPN-туннеле пакеты теряются. А может на доли секунды упасть, но сразу поднимается обычно. Ну, ответили тете Клаве, что вот, связь… терпите, редко же. Что, а раньше работало и не рвалось? Ну, это вам везло просто. Копаться в деталях не воспроизводящейся стабильно проблемы из-за каких-то «ощущений» какой-то тети Клавы… сами понимаете.
А потом всё становится ещё интереснее, когда в организации по инициативе службы ИБ начинают укреплять безопасность и форсируют SMB2 на серверах (полагая, что, раз клиентов младше Win7 в организации нет, проблем с совместимостью не будет). Ай, а тетя Клава-то теперь вообще работать не может! И не она одна, потому что Вася и ему подобные уже похожим образом «порешали» ряд проблем у случайного количества пользователей.
А если бы техподдержа была разделена на линии, а в задачи Васи входила бы полная диагностика проблемы, и, если проблема не решается рядом штатных действий, эскалация? Тогда заявку получил бы Петя, у которого теперь больше времени на решение нестандартных проблем (потому что он больше не сидит на ресепшене и не меняет картриджи). Пете не пришло бы в голову сходу отключать SMB2, потому что он, хотя тоже не понимает всех деталей, всё же читал, что в SMB2 были внесены существенные изменения, приводящие к улучшению производительности и стабильности работы как на медленных и нестабильных, так и на быстрых каналах связи. Петя в силу опыта также немного лучше умеет формулировать вопросы к гуглу, а потому практически сразу находит статью в KB и хотфикс, после чего добавляет в локальную базу знаний для хелпдесков запись о том, что нужно делать в случае такой-то проблемы (что, в свою очередь позволяет Васе заглянуть туда и профессионально вырасти, да и поинтересоваться деталями у Пети никто не мешает).
«IT-приемная», ух. У нас на приеме заявок сидит девушка-диспетчер, которая никакие сервера никуда не таскает (не понимаю, зачем ей это), а просто принимает заявки от пользователей и раскидывает по сотрудникам в зависимости от типа заявки, текущей занятости, и т.п.
> Мы применяем другой подход, который больше соответствует духу компании.
Обычно такой подход называется «бардак». Разделение на линии, в общем-то, делают не для того, чтобы свободные души гордых хелпдесков сковывать цепями, а для того, чтобы сотрудники, которые действительно умеют решать сложные проблемы, не били баклуши, сидя на ресепшене, а те, у кого опыта и знаний нет, не лезли в области, в которых мало что понимают, а потому могут попросту напортачить по незнанию.
Воот, наконец-то вы уловили суть. :)) Представьте себе, да — дети, бегающие у дороги за мячиком, как и вообще большое скопление детей у дороги — это самая что ни на есть угроза возникновения аварийной ситуации. Там, где дети появляются в большом количестве и регулярно (около школ, например) даже специально предупреждающие знаки ставят. «Осторожно, дети» — знаете такой? И специально ограничивают скорость. В остальных же местах водителю приходится полагаться на свой интеллект.
А вот, например, дети, целенаправленно идущие по тротуару за руку с родителями, как правило, угрозой не являются. И тому, кто не понимает разницы (будь это человек или робот) — лучше действительно не ездить вообще, вы совершенно правы. Лучше доверить руль тому, кто в больших ладах с окружающей действительностью, неважно, зовут его Ашот или какой-нибудь GFX-1000i Safe drive. :))
Угу. Вот такой взгляд на правила и приводит потом к сказкам «я был не виноват, я выполнял правила, а меня несправедливо оштрафовали/засудили!»
> ехать неоправданно медленно — тоже нарушение правил
Снижение скорости при возникновении угрозы аварийной ситуации (особенно когда возникает угроза жизни и здоровью) — не есть «неоправданно медленно». Неоправданно медленно — это когда вы без причины 40 км/ч по автомагистрали тащитесь при скорости потока в сотню, а не когда при езде в жилом районе перед группой детей притормаживаете.
Посмотрите на контекст, пожалуйста, а не просто на цитату. Один человек, условно говоря, пишет «заметил играющих на обочине детей — снизь скорость!», ему отвечают — «а пофиг, тут по ПДД можно 60 ехать, если выскочат на дорогу — применю экстренное торможение, кто не успел — тот сам дурак». Вы считаете, что вторая точка зрения — верна?
> У нас не так
У нас бывает по-разному. Но не в последнюю очередь не потому, что судебная система странная, а потому, что многочисленные знатоки ПДД, вроде автора, которому я отвечал, искренне полагают, что ежели в ПДД написано «тут можно ехать 60», то надо с такой скоростью и ехать, невзирая на то, что происходит вокруг. А потом внезапно оказывается, что пункт 10.1 в ПДД не для пачкания бумаги, а потому что мозги нужны за рулем (неважно, электронные или собственные). Да и вообще ПДД — не набор из пунктов, которые можно рассматривать отдельно друг от друга.
С ценами. К сожалению, суровая правда в том, что реальные цены, по которым вы купите железо у продавца, могут отличаться как в большую, так и в меньшую сторону. Часто намного. Меня это тоже раздражает (потому что практически невозможно БЫСТРО понять, во что обойдется то или иное железо — начинается бадяга с обращением к партнеру, партнера к HP, иногда многодневным согласованием скидок, потом истеканием сроков этих скидок… брр.) Но меня также раздражает неумение телепортироваться, а жить с этим как-то приходится. :)
Именно поэтому «родной» командой является Get-WinEvent, а не Get-EventLog. И правильно подобрать параметры.
Но в целом такой метод сбора ужасен, вообще не надо так делать, надо просто воспользоваться специально существующим для таких целей механизмом.
Уфф. Пиар пиаром, но меру-то знать надо. :))
MS берет лицензионные отчисления с Андроида (который вы непонятно как в свободное ПО зачислили) за использование неких «линуксов» (это вообще что?), да ещё с какими-то тайными патентами (которые, разумеется, прекрасно известны тем, кто за них платит) на эти «линуксы»? Вы тут совсем-совсем ничего не путаете? :D
А вот свободным ПО можно считать Cyanogen, которому MS, помнится, деньгами помочь собиралась.
> Суды с производителями железа со втроенным Линуксом?
Ну вот, снова общие заявления. Вы сами обещали конкретные примеры, вот и приводите. И «множество», я напоминаю. Чтобы можно было разобраться, борется ли MS там именно против «свободного ПО», или всё-таки против чего-то другого.
> Разборки с проектом samba?
С тем самым, с которым юридические вопросы улажены чуть не десятилетие назад, и в который MS с тех пор даже код контрибутила? :)
> И вот вам моя любимая цитата из некоего Стива Балмера: «Open source is cancer».
Балмер — мужчина горячий, он мог. Но всё же проформы ради — где первоисточник?
В общем, пока как-то бледновато для доренковщины (хотя в современных реалиях, скорее, киселевщины) в стиле исходного поста.
> использования софтверных патентов против свободного ПО
Угу. А также питья крови младенцев и убийство Кеннеди.
Жила-была в удаленном филиале компании тетя Клава, которая работала с файликами на SMB-шарах, и на местном сервере, и на удаленном, к которому филиал подключался через VPN. И вдруг возникает у нее проблема — не видит она некоторых файлов, которые кладут в её папочку на удаленном сервере. На сервере есть файлы, а клиент не видит. А потом (иногда через довольно значительное время типа получаса-часа) внезапно видит. Пишет она заявку.
В техподдержке у нас есть довольно опытный и головастый товарищ Петя, который, однако, сегодня занят тем, что раздает флэшки страждущим и мило улыбается забывшим пароль симпатичным девушкам. И есть Вася, который, в принципе, пока мало что умеет, кроме замены картриджей, таскания 20-тикилограммовых серверов и переустановки винды, но Очень Хочет Расти.
Вася видит заявку и забирает её себе — нуачо, это ему по душе, какой дурак с обычной виндой не разберется? Расти надо, а определить по пользовательскому описанию проблемы, какой она сложности, всё равно невозможно… Допустим, у него даже хватает мозгов сразу проверить всё, что нужно (что далеко не всегда бывает), и он таки обнаруживает, что клиентский компьютер действительно не всегда правильно отображает список файлов на шаре. Вася, как молодой растущий специалист, гордо гуглит, и обнаруживает, что у одного чувака (или даже у многих) тоже такое было, и помогло отключение протокола SMB2 на клиенте.
Вася выгуглил, что SMB1 — первая версия протокола, по которому общаются файл-сервер и клиент MS, а SMB2 — вторая, появившаяся только недавно, в Windows Vista. Чем в деталях они отличаются — Вася не знает. Зато он краем уха слышал в гугле (или даже от знакомых), что с SMB2 вечно у всех какие-то проблемы — то сетевые сканеры не сканируют, то техподдержка Консультант+ советует отключить… Да и вообще, всем известно, что XP рулит, а Vista — отстой. «Вот оно!» — гордо думает Вася, и отрубает SMB2 на клиенте.
В принципе, проблема вроде бы исчезает. Только тетя Клава с тех пор что-то иногда жаловаться стала, что как-то медленно у неё файлики открываться стали. А иногда вообще — сидит себе, работает с файлом с удаленного сервера, и вдруг ррраз! — и «невозможно сохранить файл». Но вот беда — новая проблема не воспроизводится. Ну да, сетевики там по логам накопали, что иногда в VPN-туннеле пакеты теряются. А может на доли секунды упасть, но сразу поднимается обычно. Ну, ответили тете Клаве, что вот, связь… терпите, редко же. Что, а раньше работало и не рвалось? Ну, это вам везло просто. Копаться в деталях не воспроизводящейся стабильно проблемы из-за каких-то «ощущений» какой-то тети Клавы… сами понимаете.
А потом всё становится ещё интереснее, когда в организации по инициативе службы ИБ начинают укреплять безопасность и форсируют SMB2 на серверах (полагая, что, раз клиентов младше Win7 в организации нет, проблем с совместимостью не будет). Ай, а тетя Клава-то теперь вообще работать не может! И не она одна, потому что Вася и ему подобные уже похожим образом «порешали» ряд проблем у случайного количества пользователей.
А если бы техподдержа была разделена на линии, а в задачи Васи входила бы полная диагностика проблемы, и, если проблема не решается рядом штатных действий, эскалация? Тогда заявку получил бы Петя, у которого теперь больше времени на решение нестандартных проблем (потому что он больше не сидит на ресепшене и не меняет картриджи). Пете не пришло бы в голову сходу отключать SMB2, потому что он, хотя тоже не понимает всех деталей, всё же читал, что в SMB2 были внесены существенные изменения, приводящие к улучшению производительности и стабильности работы как на медленных и нестабильных, так и на быстрых каналах связи. Петя в силу опыта также немного лучше умеет формулировать вопросы к гуглу, а потому практически сразу находит статью в KB и хотфикс, после чего добавляет в локальную базу знаний для хелпдесков запись о том, что нужно делать в случае такой-то проблемы (что, в свою очередь позволяет Васе заглянуть туда и профессионально вырасти, да и поинтересоваться деталями у Пети никто не мешает).
Как-то так.
> Мы применяем другой подход, который больше соответствует духу компании.
Обычно такой подход называется «бардак». Разделение на линии, в общем-то, делают не для того, чтобы свободные души гордых хелпдесков сковывать цепями, а для того, чтобы сотрудники, которые действительно умеют решать сложные проблемы, не били баклуши, сидя на ресепшене, а те, у кого опыта и знаний нет, не лезли в области, в которых мало что понимают, а потому могут попросту напортачить по незнанию.
А вот, например, дети, целенаправленно идущие по тротуару за руку с родителями, как правило, угрозой не являются. И тому, кто не понимает разницы (будь это человек или робот) — лучше действительно не ездить вообще, вы совершенно правы. Лучше доверить руль тому, кто в больших ладах с окружающей действительностью, неважно, зовут его Ашот или какой-нибудь GFX-1000i Safe drive. :))
> ехать неоправданно медленно — тоже нарушение правил
Снижение скорости при возникновении угрозы аварийной ситуации (особенно когда возникает угроза жизни и здоровью) — не есть «неоправданно медленно». Неоправданно медленно — это когда вы без причины 40 км/ч по автомагистрали тащитесь при скорости потока в сотню, а не когда при езде в жилом районе перед группой детей притормаживаете.
> У нас не так
У нас бывает по-разному. Но не в последнюю очередь не потому, что судебная система странная, а потому, что многочисленные знатоки ПДД, вроде автора, которому я отвечал, искренне полагают, что ежели в ПДД написано «тут можно ехать 60», то надо с такой скоростью и ехать, невзирая на то, что происходит вокруг. А потом внезапно оказывается, что пункт 10.1 в ПДД не для пачкания бумаги, а потому что мозги нужны за рулем (неважно, электронные или собственные). Да и вообще ПДД — не набор из пунктов, которые можно рассматривать отдельно друг от друга.