К GPO я еще не привязывал, но сам PS код для удаления modern apps (частично или всех я не разбирался), есть в известном скрипте reclaim-win10.ps1 gist.github.com/alirobe/7f3b34ad89a159e6daa1
А расскажите пожалуйста, что пытаются выцепить из трафика скрипт-киддисы с сетью MT_FREE_ в метро? Вроде всё важное в https давно. Или ssl stripping и т.д.?
1) Ни в коем случае нельзя хранить архивы почты на ПК сотрудника. Если уж нет бюджета на Enterprise Client CAL Exchange, то подрубать сетевую папку как доп. диск всем, и там хранить архив. Бэкапить, ессно, по регламенту.
Место на серверах — FSRM со строгими квотами по папкам отделов и расширениям файлов.
На своих ПК нельзя хранить ничего.
Глупая статья по факту. В стиле капитана очевидность.
1. Принцип 'У нас нет незаменимых' весьма неприятно работает, если нет внятной документации в объеме хотя бы 90-95% по процессам. И вообще нет внятной организации процессов.
Иначе компанию ждем сюрприз и маленький гешефт™ )
2. Уже все описано в той же книге 'Проект Феникс' — Рик это тот же Брент, только со звездной болезнью.
Если процессы зациклены на таком 'бутылочном горлышке' — это вопрос к адекватности менеджмента, не более того.
Не могу не добавить, что до 24 часов у сотрудника скорее всего будет доступ в почту через OWA/ActiveSync.
Чтобы этого избежать — нужно делать reload APP пулов в IIS CAS Exchange.
Автоматизацию App White Listing хорошо делает Peter Gubarevich
https://blog.windowsnt.lv/
Не могу найти ссылку на вебинар от начала февраля 2017, весьма полезно.
Интересно, а через сколько лет все статьи #поибэ и собственно сами атаки будут начинаться не с вот этого:
«Cobalt проникает в банковскую сеть через рассылку фишинговых писем с эксплойтом или исполняемый файл в архиве с паролем. Для банков СНГ преступники отправляли вложения «Договор_хранения2016.zip» и «список документов.doc». Для иностранных — «The rules for European banks.doc» и «Bitcoin ATM’s.doc».
На получение полного доступа к контроллеру домена уходит от 10 минут до 1 недели.»
А с нормальных олдовых вещей в духе Митника или Батлера?
Т.е. в банках сидят целые ИБ-отделы, с 6-значными зарплатами, куча платного софта, а к ним всё равно проникают через старый добрый фишинг.
«А занятный эффект наблюдается для Rambler-почты (это веб; mail.rambler.ru:443) — несогласованные результаты теста на CVE-2016-2107 для одного и того же IP: признак уязвимости то обнаруживается, то нет (см. скриншот). Процессоры, что ли, разные на серверах? (Там эффект зависит от поддержки AES-NI.) Или более простой вариант: разные сборки ПО.»
За что люблю хабр, так это за экспертные комментарии.
«Периодически будет происходить трафик репликации, что будет нагружать сеть – но такова плата за экономию.»
«Такая схема (с двумя КД) теоретически способна выдерживать 100-200 пользователей в сети»
«От RAID можно вообще отказаться, имея второй дублирующий сервер»
«максимум проблем, которые можно поиметь с выходом основного DC из строя — то, что второй контроллер из slave надо переводить в master, а потом уже думать, что делать с первым.»
«Поэтому если уже есть сервер (почтовый, файловый или приложений) можно смело поднимать контроллер на нем. Затраты 0р при условии, что этот сервер у вас на windows.»
«Слушайте, я, может, отстал, и CIFS опять новой версии, но раньше SAMBA рулила доменом легко… И все дела через openldap настраивались…»
«В IT, большинство людей уровня среднего и высшего менеджмента добились своего места из-за своих технических навыков, а не из-за личных качеств или управленческого таланта.»
То-то я уже который год удивляюсь, разгребая инфраструктуры после всех этих менеджеров, архитекторов и, прости господи, ведущих архитекторов с отличными «техническими навыками».
Моё мнение основано на 1.5 годичном мониторинге HH и Linkedin.
Безусловно, мало кто из тех, кто указывает DevOps понимает, что это такое. Но тенденция есть.
«И дело совсем не в DevOps, до его победного шествия ещё далеко.»
Зря вы так. Спрос например на Windows-only инженеров сходит на нет. Даже в Москве адекватных вариантов единицы. О провинции и говорить нечего.
Всем нужны универсалы или DevOps'ы
На самом деле — шутки шутками, а российская реальность расставляет всё по местам. Без вариантов.
Жена у меня адвокат. И мне давно уже запрещено добавлять хоть толику экстремизма в тексты. Или там оскорбления.
Да-да, даже как немедийное физ. лицо легче легкого попасть на бабло за оскорбление чести или клевету. Или по более тяжелой статье. Был бы человек — статья найдется.
Одна отрада — иностранных педиков и ниггеров можно называть педиками и ниггерами, пока это безопасно еще. Хотя недавний приговор Носику это уже звоночек.
gist.github.com/alirobe/7f3b34ad89a159e6daa1
А расскажите пожалуйста, что пытаются выцепить из трафика скрипт-киддисы с сетью MT_FREE_ в метро? Вроде всё важное в https давно. Или ssl stripping и т.д.?
Бумажки пока нет, но имею честный Intermediate, оно же B1, как я понимаю.
Проблем на интервью in English не было, в ИТ этого уровня достаточно. Одни только из Luxoft уже после сообщили, что им надо B2 на самом деле.
Бумажку надо получить, да, сильно поможет при переезде.
Место на серверах — FSRM со строгими квотами по папкам отделов и расширениям файлов.
На своих ПК нельзя хранить ничего.
1. Принцип 'У нас нет незаменимых' весьма неприятно работает, если нет внятной документации в объеме хотя бы 90-95% по процессам. И вообще нет внятной организации процессов.
Иначе компанию ждем сюрприз и маленький гешефт™ )
2. Уже все описано в той же книге 'Проект Феникс' — Рик это тот же Брент, только со звездной болезнью.
Если процессы зациклены на таком 'бутылочном горлышке' — это вопрос к адекватности менеджмента, не более того.
«Менять пароли теперь рекомендуется только в том случае, если существует вероятность их компрометации, то есть если имеются признаки утечки.»
Т.е. можно будет зайти по кредам годичной и более давности. Так нельзя)
Не могу не добавить, что до 24 часов у сотрудника скорее всего будет доступ в почту через OWA/ActiveSync.
Чтобы этого избежать — нужно делать reload APP пулов в IIS CAS Exchange.
https://blog.windowsnt.lv/
Не могу найти ссылку на вебинар от начала февраля 2017, весьма полезно.
Вы серьёзно????))))
«Всеми учеными, в том числе британскими, уже доказано, что зарплата не мотивирует человека.»
«Сама по себе заработная плата мотивирует слабо.»
Примерно по этой причине over 95% вакансий от HR в РФ идут с формулировкой «деньги по результатам собеседования», да?)
— блэчит ИЗ ДОМА
— а потом в приступе паники сверлит жесткие диски дрелью???
Хороший пример, показательный)
«Cobalt проникает в банковскую сеть через рассылку фишинговых писем с эксплойтом или исполняемый файл в архиве с паролем. Для банков СНГ преступники отправляли вложения «Договор_хранения2016.zip» и «список документов.doc». Для иностранных — «The rules for European banks.doc» и «Bitcoin ATM’s.doc».
На получение полного доступа к контроллеру домена уходит от 10 минут до 1 недели.»
А с нормальных олдовых вещей в духе Митника или Батлера?
Т.е. в банках сидят целые ИБ-отделы, с 6-значными зарплатами, куча платного софта, а к ним всё равно проникают через старый добрый фишинг.
А как Рамблер прокомментирует вот это например?
https://www.facebook.com/photo.php?fbid=1460164277347699&set=a.140948952602578.18963.100000624217935&type=3
«А занятный эффект наблюдается для Rambler-почты (это веб; mail.rambler.ru:443) — несогласованные результаты теста на CVE-2016-2107 для одного и того же IP: признак уязвимости то обнаруживается, то нет (см. скриншот). Процессоры, что ли, разные на серверах? (Там эффект зависит от поддержки AES-NI.) Или более простой вариант: разные сборки ПО.»
Развитию рынка HR-технологий мешают HR'ы. ©
«Периодически будет происходить трафик репликации, что будет нагружать сеть – но такова плата за экономию.»
«Такая схема (с двумя КД) теоретически способна выдерживать 100-200 пользователей в сети»
«От RAID можно вообще отказаться, имея второй дублирующий сервер»
«максимум проблем, которые можно поиметь с выходом основного DC из строя — то, что второй контроллер из slave надо переводить в master, а потом уже думать, что делать с первым.»
«Поэтому если уже есть сервер (почтовый, файловый или приложений) можно смело поднимать контроллер на нем. Затраты 0р при условии, что этот сервер у вас на windows.»
«Слушайте, я, может, отстал, и CIFS опять новой версии, но раньше SAMBA рулила доменом легко… И все дела через openldap настраивались…»
То-то я уже который год удивляюсь, разгребая инфраструктуры после всех этих менеджеров, архитекторов и, прости господи, ведущих архитекторов с отличными «техническими навыками».
Ага, ку три раза.
Моё мнение основано на 1.5 годичном мониторинге HH и Linkedin.
Безусловно, мало кто из тех, кто указывает DevOps понимает, что это такое. Но тенденция есть.
Зря вы так. Спрос например на Windows-only инженеров сходит на нет. Даже в Москве адекватных вариантов единицы. О провинции и говорить нечего.
Всем нужны универсалы или DevOps'ы
Жена у меня адвокат. И мне давно уже запрещено добавлять хоть толику экстремизма в тексты. Или там оскорбления.
Да-да, даже как немедийное физ. лицо легче легкого попасть на бабло за оскорбление чести или клевету. Или по более тяжелой статье. Был бы человек — статья найдется.
Одна отрада — иностранных педиков и ниггеров можно называть педиками и ниггерами, пока это безопасно еще. Хотя недавний приговор Носику это уже звоночек.