Мда. Пожалуй, единственной возможностью Lenovo как-то восстановить репутацию было бы публичное озвученное увольнение сотрудников, ответственных за решение по установке этой хрени, и выплата компенсаций.
Хотя проблема-то, на мой взгляд, на самом деле глубже — сама идея PKI в нынешнем виде потихоньку себя изживает. Один левый сертификат среди доверенных, и приехали — вся система рушится нафиг. Есть, конечно, certificate pinning в разных видах, но это пока больше похоже на костыли для отдельного софта, нежели удовлетворительное общее решение.
Если у подрядчика админские права, он (сюрприз!) и без этой «фичи» может слить с вашего сервера практически всё, что угодно, и бороться с этим тяжело. Не подрядчиков надо бояться. :)
Это не поможет. Дело в том, что пароли в открытом виде хранятся не только для digest, но и для других способов аутентификации, в том числе для Kerberos. Не пробовал отключать Kerberos на недоменном компе, но в сети это, очевидно, не слишком разумная идея. :)
Digest — в принципе фигня. Используется далеко не всеми, да и отключить можно. Куда веселее, что пароль в открытом виде нужен для обновления тикета Kerberos.
Ну и абсолютно непонятно, зачем хранятся пароли пользователей, которые вышли из системы. Либо я что-то не так понимаю, либо это натуральный эпик фэйл. Но MS, судя по отсутствию реакции в течение уже почти трех лет, так не считает — очень интересно узнать, чем они это мотивируют.
Шутите? То, что этот самый контент люди потребляют — это просто-напросто объективная реальность. :) Другое дело, что автор бестселлера должен получить много денег, автор книжки, которую читают так себе — поменьше, а автор того, что не читают вообще — вообще ничего не получить. Но это вопрос распределения собранных средств, а не их сбора. Вопрос, мягко говоря, сложный, но у конечного потребителя вообще об этом голова болеть не должна — он денег заплатил и пользуется.
Мне, откровенно говоря, очень и очень жаль, если эта идея совсем загнется. Это могло бы реально стать первым шагом к революции копирайта, которой потребители вроде как хотят — но вот беда, не выдвигают жизнеспособных предложений. Почему идею не оценил бизнес — более-менее понятно. Но жесткий негатив со стороны потребителей, похоже, связан не с сутью предложения, а в основном с недоверием к структуре, которая его выдвинула.
Только почему должны платить все, даже те, кто не пользуется контентом этих правообладателей, непонятно. Сделайте специальный сервис с неограниченным доступом к контенту и продавайте туда доступ. Не хотят работать, хотят денег со всех состричь.
Здесь вы неправы. В рамках подобного подхода правообладатели УЖЕ поработали, создав контент (либо сами, либо обеспечив соответствующие условия авторам). И за это они и должны получать плату. А вот создание конкретных сервисов по распространению этого контента уже отдается на откуп сторонним людям, что по сути своей совершенно правильно. Потому что вы, как потребитель, смогли бы вместо некоего «специального сервиса» от правообладателя или государства (на котором, в силу отсутствия конкуренции, было бы весьма тяжело получить что-то удобоваримое) выбрать удобный именно вам сервис из ряда конкурирующих. Причем сами сервисы вполне могут брать дополнительную плату — но тогда им придется сильно потрудиться с качеством и удобством сервиса, чтобы пользователь эти деньги захотел им заплатить.
Что же касается рассуждений «будут платить те, кто не пользуется, это нечестно» — тут надо выбирать из двух зол меньшее. Либо простая, понятная и, прямо скажем, не слишком обременительная прибавка к тарифам на интернет, либо тот дурной геморрой, который мы имеем сейчас и который со временем пока что только усугубляется. Других вменяемых идей лично я не видел.
Ровно то, что спросил. Мне действительно интересно, какой процент представителей айтишного сообщества готов реально отстаивать свои нематериальные права, используя существующие в обществе механизмы.
Лично я думаю, что процент этот околонулевой, и это довольно печально. А ведь несколько тысяч судебных исков в адрес не в меру языкастого чиновника, не исключено, могли бы поколебать ситуацию. И да, это тоже не предложение :), а просто моя оценка ситуации.
Фича выглядела интересной, но на практике в нашем случае оказалась непригодной к использованию. Если есть только один лес AD и все DHCP/DNS сервера на базе Windows, может быть и полезно, а в ином случае… Ну и поиск по каталогу событий оставляет желать лучшего.
Я написал ровно то, что написал. Ваши предположения о том, что я якобы имел в виду — целиком и полностью на вашей совести. Если вам что-то непонятно — задайте корректный (без передергиваний и иной демагогии) вопрос, и я могу попытаться объяснить.
Сцена в темном переулке.
Гопники:
— Эй, мужик, есть чо? Дай мобилу позвонить.
Мужик, гордо выпрямляясь:
— Согласно закону штата Калифорния, с такого-то числа такого-то года все мобильные телефоны должны быть оснащены функцией killswitch!
40% гопников:
— Аа… ну это, тогда мы пошли.
Скажите пожалуйста, а отдельные запчасти к вашим гарнитурам можно где-то добыть? Я вот потерял микрофон от HyperX Cloud, теперь не знаю, что мне с ней делать.
Главное откровение (или нюанс) тут в том, что список баз подключается не по пользователю, а к ПК. К сожалению, пользователь не может с своими правами заменить файл конфигурации, находящийся в C:\ProgramData\1C\1CEStart\ и за него это сделает ПК.
Не понял. Допустим, сам пользователь руками не может, но GPO preferences по умолчанию отрабатывают под системной учетной записью, даже если применяется политика «для пользователя» (для использования контекста безопасности пользователя надо специально настройку включать).
Что бы это делали только ПК с установленной 1С, задаем условия выполнения групповой политики через Item Level Targeting.
Если вы даже для сетевых шар придерживатесь политики «отсекать доступ на самом верхнем уровне» и даже сделали отдельный GPO для разлития файлика, то необходимые проверки было бы логично делать фильтром WMI, а не внутри самой политики. ;)
Здравствуй, гость из прошлого тысячелетия. У нас в 2015 году винда переезжает на другое железо как штатными средствами (bare metal recovery и всякие P2V/V2P миграции), так и кустарными способами типа перетыкания дисков в другую машину. А уж средств бэкапа, которыми люди успешно пользуются, столько, что и упомнить сложно.
Откуда столько косяков? Всё предопределил неправильный выбор сетевых карт.
Нет, всё предопределило непонимание того, что вы делаете. Из вашего текста довольно сложно понять, что и почему конкретно пошло не так, но попробую совсем вкратце объяснить, что происходит, когда вы ставите роль Hyper-V.
После установки роли Hyper-V у вас сама операционная система на хосте тоже виртуализуется и становится своего рода «гостем» на Hyper-V сервере (пусть отличающимся от остальных гостей, но тем не менее). Пока вы не создаете виртуальные коммутаторы, ваши сетевые интерфейсы не претерпевают никаких изменений и напрямую используются ОС.
Что происходит, когда вы создаете виртуальный коммутатор, привязанный к какому-то из сетевых адаптеров (external network)? Грубо говоря, вы вытаскиваете из этого адаптера сетевой кабель, достаете из виртуальной коробки виртуальный коммутатор и втыкаете кабель теперь уже в него. :) Если не делать дополнительных телодвижений, на этом всё. Кабель из вашей сети теперь воткнут в коммутатор, но внимание — к этому коммутатору пока не подключено ни одной машины. Если вы хотите, чтобы ваша хостовая ОС всё ещё имела доступ к сети через этот адаптер, теперь надо подключить её виртуальным кабелем к этому виртуальному коммутатору. :) Именно за это отвечает галка Allow the management operation system to share this network adapter в настройках виртуального коммутатора. Когда вы её включаете, в вашей хостовой ОС создается виртуальный сетевой адаптер, подключенный к этому виртуальному коммутатору.
Обращаю внимание, что все эти события затрагивают только тот адаптер, на который вы повесили виртуальный коммутатор. Другие адаптеры при этом НЕ затрагиваются — как работали, так и работают. Ну и разумеется, все манипуляции с Hyper-V надо делать либо через диспетчер Hyper-V, либо через соответствующие команды powershell — шарить руками по диспетчеру устройств и иным недокументированным местам может принести какую-то пользу только в случае, когда вы абсолютно точно знаете, что и зачем делаете.
tl;dr — «я более-менее умею работать с фрёй и почти совсем не умею с виндой». Ну самому-то не стыдно на профильном (?) ресурсе писать тексты вида «я чо-то как-то 5 лет назад однажды попытался сделать, а оно не встало и отстой вообще, а ещё я не прочитал системные требования и теперь не понимаю, почему не взлетает»?
Хотя проблема-то, на мой взгляд, на самом деле глубже — сама идея PKI в нынешнем виде потихоньку себя изживает. Один левый сертификат среди доверенных, и приехали — вся система рушится нафиг. Есть, конечно, certificate pinning в разных видах, но это пока больше похоже на костыли для отдельного софта, нежели удовлетворительное общее решение.
Посты автора mimikatz на французском, но вот тут немного на английском есть — digital-forensics.sans.org/blog/2012/03/09/protecting-privileged-domain-accounts-disabling-encrypted-passwords.
Похоже, единственный способ что-то сделать — не использовать вход по паролю (сертификаты, биометрия, и т.п.), но это надо проверять.
Ну и абсолютно непонятно, зачем хранятся пароли пользователей, которые вышли из системы. Либо я что-то не так понимаю, либо это натуральный эпик фэйл. Но MS, судя по отсутствию реакции в течение уже почти трех лет, так не считает — очень интересно узнать, чем они это мотивируют.
Здесь вы неправы. В рамках подобного подхода правообладатели УЖЕ поработали, создав контент (либо сами, либо обеспечив соответствующие условия авторам). И за это они и должны получать плату. А вот создание конкретных сервисов по распространению этого контента уже отдается на откуп сторонним людям, что по сути своей совершенно правильно. Потому что вы, как потребитель, смогли бы вместо некоего «специального сервиса» от правообладателя или государства (на котором, в силу отсутствия конкуренции, было бы весьма тяжело получить что-то удобоваримое) выбрать удобный именно вам сервис из ряда конкурирующих. Причем сами сервисы вполне могут брать дополнительную плату — но тогда им придется сильно потрудиться с качеством и удобством сервиса, чтобы пользователь эти деньги захотел им заплатить.
Что же касается рассуждений «будут платить те, кто не пользуется, это нечестно» — тут надо выбирать из двух зол меньшее. Либо простая, понятная и, прямо скажем, не слишком обременительная прибавка к тарифам на интернет, либо тот дурной геморрой, который мы имеем сейчас и который со временем пока что только усугубляется. Других вменяемых идей лично я не видел.
Лично я думаю, что процент этот околонулевой, и это довольно печально. А ведь несколько тысяч судебных исков в адрес не в меру языкастого чиновника, не исключено, могли бы поколебать ситуацию. И да, это тоже не предложение :), а просто моя оценка ситуации.
Гопники:
— Эй, мужик, есть чо? Дай мобилу позвонить.
Мужик, гордо выпрямляясь:
— Согласно закону штата Калифорния, с такого-то числа такого-то года все мобильные телефоны должны быть оснащены функцией killswitch!
40% гопников:
— Аа… ну это, тогда мы пошли.
P.S. РКН тут пока что ни при чем, к слову — противником был бы либо не в меру языкастый человек, либо газета.
Afaik, может, от имени учетки компьютера.
Не понял. Допустим, сам пользователь руками не может, но GPO preferences по умолчанию отрабатывают под системной учетной записью, даже если применяется политика «для пользователя» (для использования контекста безопасности пользователя надо специально настройку включать).
Если вы даже для сетевых шар придерживатесь политики «отсекать доступ на самом верхнем уровне» и даже сделали отдельный GPO для разлития файлика, то необходимые проверки было бы логично делать фильтром WMI, а не внутри самой политики. ;)
Нет, всё предопределило непонимание того, что вы делаете. Из вашего текста довольно сложно понять, что и почему конкретно пошло не так, но попробую совсем вкратце объяснить, что происходит, когда вы ставите роль Hyper-V.
После установки роли Hyper-V у вас сама операционная система на хосте тоже виртуализуется и становится своего рода «гостем» на Hyper-V сервере (пусть отличающимся от остальных гостей, но тем не менее). Пока вы не создаете виртуальные коммутаторы, ваши сетевые интерфейсы не претерпевают никаких изменений и напрямую используются ОС.
Что происходит, когда вы создаете виртуальный коммутатор, привязанный к какому-то из сетевых адаптеров (external network)? Грубо говоря, вы вытаскиваете из этого адаптера сетевой кабель, достаете из виртуальной коробки виртуальный коммутатор и втыкаете кабель теперь уже в него. :) Если не делать дополнительных телодвижений, на этом всё. Кабель из вашей сети теперь воткнут в коммутатор, но внимание — к этому коммутатору пока не подключено ни одной машины. Если вы хотите, чтобы ваша хостовая ОС всё ещё имела доступ к сети через этот адаптер, теперь надо подключить её виртуальным кабелем к этому виртуальному коммутатору. :) Именно за это отвечает галка Allow the management operation system to share this network adapter в настройках виртуального коммутатора. Когда вы её включаете, в вашей хостовой ОС создается виртуальный сетевой адаптер, подключенный к этому виртуальному коммутатору.
Обращаю внимание, что все эти события затрагивают только тот адаптер, на который вы повесили виртуальный коммутатор. Другие адаптеры при этом НЕ затрагиваются — как работали, так и работают. Ну и разумеется, все манипуляции с Hyper-V надо делать либо через диспетчер Hyper-V, либо через соответствующие команды powershell — шарить руками по диспетчеру устройств и иным недокументированным местам может принести какую-то пользу только в случае, когда вы абсолютно точно знаете, что и зачем делаете.