Комментарии 94
Потому что вешать целый компьютер с Windows под потолком всего лишь для отображения табло -- изначально плохая идея? Есть же куча специализированных решений, обычно представляющих собой мини-пк или одноплатник на кастомизированном Линуксе или Андроиде.
А потом искать "специализированного специалиста" для обслуживания этого зоопарка? Это бизнес, и восстановить винду смогут подавляющее большинство системных администраторов и вообще любых IT сотрудников.
какая чушь..
"специалист" способный написать пару yaml для ansible это любой умеющий читать и гуглить. а вот как восстановить упавшую винду которая далеко не всегда сообщает о том что пошло не так это чёрная магия подвластная не всем.
У вас когнитивное искажение, ямлы для конфигураций писать не все сеньорные программисты умеют, как и знают, что такое анзибл, это надо специализироваться на этом, чтобы все нюансы знать.
"Не умеют" и "не способны написать если это действительно понадобится" - вещи разные.
Вы или трусы или крестик...
Чтобы сделать табло не нужно знать все нюансы, нужно нагуглить пару уже готовых ролей и вписать свои значения.
А как по вашему восстанавливают упавшую винду обычные юзеры дома в таких кейсах? Особенно те, которые застали 98 и ХР, которые могли падать чуть ли не каждый день. Вызывают системных администраторов на дом?
Тем более, что в этом кейсе уже выпустили кучу официальных гайдов, как это пофиксить, по которым справится любой человек, который умеет включать компьютер самостоятельно.
У меня однажды после перезагрузки сервер на центос просто перестал загружаться. Как выяснилось позже, его не перезагружали несколько лет, периодически накатывая апдейты. В какой-то момент очередной апдейт обновил ядро, но в загрузчике почему-то осталась ссылка на старое, уже удаленное, ядро. И всё. Грузить нечего.
Линукс - не панацея. Там ровно те же самые ошибки и ровно так же иногда приходится чинить локально, потому что удаленно уже никак.
вы сейчас серьёздно сравниваете очевидную ошибку криворукого идиота при которой на экране написано в чём дело с виндовой проблемой порождённой жарким грязным сношением двух корпорастов оба из которых не умеют в читаемые понятные логи и ошибки?
ну что тут сказать, для вас наверное и майбах от жигулей только цветом отличается..
В смысле? Ошибка со ссылкой на правильное ядро после апдейта - это ошибка криворукого идиота. Ошибка с синим экраном из-за проблем в драйвере - это тоже ошибка криворукого идиота. И в обоих случаях узнать о том, что там за ошибка удаленно я просто не смогу.
Более того, там даже методы исправления последствий одинаковые на обоих ОС! Вам в обоих случаях придется дойти до железки и потыкать в неё пальцами.
простите, но в первом случае это очень явная, простая и понятная ошибка васи-админа который судя по тупости ошибки имеет ноль опыта и не умеет читать. во втором случае это ошибка целой продуктовой команды одной из крупных контор (а может и совокупность ошибок обеих) да ещё и неявная и непростая.
и методы может и похожи, но не одинаковы, в одном случае поправить в одной строчке одну цифорку, в другом простите но для меня выглядит как тёмная магия (как впрочем почти всё в винде).
и если уж докапываться то гораздо проще и экономнее на терминалах единственная задача которых показывать одну страничку в браузере вообще не иметь полноценной ос и диска, грузить их с nfs шары, не грузить полноценное DE а сразу только браузер в фуллскрине и всё такое. чем меньше запчастей тем меньше точек отказа, а любой фикс можно сделать не вставая с кресла. в целом такое наверное и с виндой возможно, но сложнее и дороже, а главное в разы сложнее. к тому же таким минимальным линуксовым окружениям антивирь будет не нужен, это не рабочая станция и не сервер, у него даже сетевой доступ должен быть ровно на один порт одного хоста, даже если его обожевзломают самое худшее что случится - прийдётся его ребутнуть.
простите, но в первом случае это очень явная, простая и понятная ошибка васи-админа который
который просто вызвал yum update и нажал Y - от него вообще ничего не зависело в этой ошибке
во втором случае это ошибка целой продуктовой команды одной из крупных контор
нет разницы. Вы точно так же на синем экране увидите код ошибки, а рядом лежит хотя бы мини-дамп, в котором есть подробности о том, кто виноват.
Что в первом случае, что во втором до, собственно, осознания, что там за ошибка добраться можно только посмотрев на экран. Глазами посмотреть, стоя рядом!
и методы может и похожи, но не одинаковы, в одном случае поправить в одной строчке одну цифорку, в другом простите но для меня выглядит как тёмная магия
В чем магия удалить один файлик? А если на линуксе ровно так же начнет глючить драйвер - вам придется ядро перекомпилять. Руками перекомпилять! Потому что драйвера в ядро вкомпилены! И вам надо будет сначала скачать 100500 мелких файликов (полчаса на распаковку), потом внести в Си-шный код с древним синтаксисом правку в нужном месте (и не ошибиться!), а потом еще полчаса ждать пока процесс компиляции закончится.
Просто же всё, не то в этой вашей винде /s
и если уж докапываться то гораздо проще и экономнее на терминалах единственная задача которых показывать одну страничку в браузере вообще не иметь полноценной ос и диска
Тем самым вы лишаете себя вариативности что и как показывать. Это не везде удобно. Не надо всех равнять под одну линейку, у всех разные задачи и разный опыт работников.
И вообще, на 24 году 21 века ОС должна была бы уже быть способна сама отключить сбойный драйвер и хоть как-то загрузиться, а не ждать пока придет человек и всё разрулит вручную.
который просто вызвал yum update и нажал Y
а ещё проигнорировал ошибку и не додумался перезапустить всё что обновилось.. ну да ну да,. не зависит конечно
Вы точно так же на синем экране увидите код ошибки
неоднократно сталкивался с тем что по виндовым кодам ошибки можно выйти на совершенно разные никак не связанные проблемы, в то время как в никсах обычно в ошибки явно написано что именно случилось
В чем магия удалить один файлик?
а вы я так понимаю не пытаетесь разобраться в проблеме никогда, вам достаточно "помогло и фиг с ним"?
А если на линуксе ровно так же начнет глючить драйвер - вам придется ядро перекомпилять. Руками перекомпилять! Потому что драйвера в ядро вкомпилены! И вам надо будет сначала скачать 100500 мелких файликов (полчаса на распаковку), потом внести в Си-шный код с древним синтаксисом правку в нужном месте (и не ошибиться!), а потом еще полчаса ждать пока процесс компиляции закончится.
из чего я делаю вывод что последний раз вы линукс видели лет так 100 назад..
Не надо всех равнять под одну линейку, у всех разные задачи и разный опыт работников.
а я про всех и не говорил, я говорил про конкретный кейс выше по треду, не надо придумывать МОИМ словам какой-то СВОЙ смысл.
И вообще, на 24 году 21 века ОС должна была бы уже быть способна сама отключить сбойный драйвер и хоть как-то загрузиться, а не ждать пока придет человек и всё разрулит вручную.
а вот тут соглашусь, но только от части, ибо вот это вот "сама должна" тоже должно быть отключаемо, ибо "самостоятельность" софта далеко не всегда благо.
а ещё проигнорировал ошибку и не додумался перезапустить всё что обновилось.. ну да ну да,. не зависит конечно
Какую ошибку? В той портянке логов, что выкидывается при обновлениях любая ошибка просто тонет, её глазами не углядишь даже. Или предлагаете каждый раз потом по логам смотреть не сломал ли очередной криворучка инсталлятор?
неоднократно сталкивался с тем что по виндовым кодам ошибки можно выйти на совершенно разные никак не связанные проблемы
потому что в винде код ошибки состоит из двух наборов цифр и важны оба числа, а гуглят обычно только одно. Поэтому на выходе и получается набор вариантов проблем с которым не понятно что дальше делать. Для особо продвинутых есть минидампы и утилиты анализа, которые аж до конкретной цепочки вывозов dll развернут - та же BlueScreenView, например.
в то время как в никсах обычно в ошибки явно написано что именно случилось
Очень часто встречаю в процессе загрузки линукса, как он пишет про какие-то ошибки с железом при его инициализации - и не понятно что там пошло не так и как это исправить, потому что гугл не помогает
а вы я так понимаю не пытаетесь разобраться в проблеме никогда, вам достаточно "помогло и фиг с ним"?
как можно разобраться в проблеме сбойного проприетарного драйвера без исходников? Только снести его.
а я про всех и не говорил, я говорил про конкретный кейс выше по треду, не надо придумывать МОИМ словам какой-то СВОЙ смысл.
Даже тут в комментах на это уже указали, что у всех компаний разный опыт работников и разные требования, поэтому хотеть от них то, что вы хотели - неправильно.
Не надо никого искать. Типичная конфигурация линукс на эсбеддед типа rpi (проверенное промышленное решение) - ридонли файловая система с подмонтированным разделом в памяти для записи. После перезагрузки все изменения и обновления удаляются и грузится штатная конфигурация. В итоге, вся озвученная проблема решается удаленной перезагрузкой устройств, а если приспичило, то и вовсе достаточно выключить-включить. По сложности равно «администрированию» обычного чайника - для «чайников». Нужен только один толковый разработчик, который сделает базовые конфигурации для всех типов устройств в компании.
Естественно, эта коробчка смотрит в сеть - нужно же откуда то получать данные для показа? В какой-то момент выходят секьюрити патчи, которые мы
либо не накатываем, и скрипткидди показывают на наших мониторах всякие нехорошие картинки вместо расписания
либо накатываем, и после обновления "ничего не работает", и задача подъёма резко перестаёт быть тривиальной, потому что комьюнити отвечает в стиле "это у вас монитор неправильный, купите новый" (утрирую, но наелся этого с убунтой на десктопе)
Чисто субъективный опыт, но как "с чёрным ящиком" с виндой работать проще.
Вы классический «чукча не читатель, чукча писатель». Выше я внятно описал, что все апдейты ставятся, но при перезагрузке загружается исходная система. Возникла любая проблема - перезагружаем и все работает. Новые апдейты продолжат ставиться. Убунта на десктопе к эмбеддед отношения не имеет (хотя можно настроить аналогично, почему бы и нет).
При перезагрузке ставится исходная система (без секьюрити патчей) - и нам опять дефейсят монитор через дыру в безопасности) Нет, не вариант. В том то и дело, что апдейты - необходимая часть поддержки железа, заморозить навсегда систему не выйдет.
"Исходная система" - понятие немного растяжимое. Вон уже давно вроде как UEFI придумали, которое может по сети загрузить остальную систему (не обязательно ту же самую, что работает при штатной эксплуатации), предварительно проверив подпись образа. Распространенность - ну, так себе. Как и надежность всего мероприятия. Хотя в обсуждаемое ситуации как раз бы пригодилось.
А потом находят проблему в ssh и нужно обновлять систему…
Механизм OTA обновлений давно придуман и прекрасно работает в embedded устройствах. Собирается новый образ системы, тестируется и, если все работает нормально, выкладывается на сервер обновлений, откуда его скачивают клиенты. Главное, что этот сервер - наш, и мы сами знаем, что и когда мы туда выкладываем. А не ждем подлянок от каких-то антивирусов и левой задней ноги Microsoft.
Вы так об этом пишите, как будто не превращаются в кирпичи устройства массово при обновлениях. Конечно, подходы есть, но у них могут быть свои недостатки и особенности. Например, затраты на сопровождение и разработку.
В корпоративных сетях и так принято все обновления виндоус тестировать и только после этого выкладывать на корпоративный сервер апдейтов, а напрямую с серверов микрософт ничего не обновляется в рандомное время. Но это вы «затратами на сопровождение и разработку» почему-то не считаете?
Вы пытаетесь приписать мне утверждения, которых я не делал.
Выше вы же утверждали, что у всех альтернативных подходов:
Конечно, подходы есть, но у них могут быть свои недостатки и особенности. Например, затраты на сопровождение и разработку.
То есть вы утверждаете, что используемый подход этих проблем лишен, в отличие от. Я ответил, что и существующий подход имеет те же затраты. Теперь вы от своих слов отказываетесь?
В этом и проблема. Я этого не утверждаю. Я говорю о том, что есть РАЗНЫЕ подходы, но у них могут быть СВОИ недостатки и особенности. НАПРИМЕР, ...
Я нигде не писал о том что "у ВСЕХ альтернативных подходов".
Я думаю, что тут ессть некакая превратная интерпретация моей мысли. К примеру (первое что в голову пришло), для сознания гиперконвергеентных систем можно использовать не VmWare, а OpenStack на базе Ceph. Это работает, но требует наличиия разных компетенций по широкому спектру технологий, что ведет к росту затрат на эксплуатацию, R&D, увеличивает риски. и т.п.
Исходим из предположения, что линукс обслуживает "толковый разработчик", а винду - парни со стремянками? А на деле там, где есть достаточно "толковый" (и не просто есть, а допущен до нужного уровня управления), и с виндой всё решалось бы "удаленной перезагрузкой устройства", благо всякие откатывающиеся при перезагрузке или просто грузящиеся по сетке мини-клиенты придумали даже не вчера.
Толку-то от удаленной перезагрузки, если виндоус после этого не загружается. А сетевую загрузку виндоус я ни разу в продакшен не видел - все, кто пытался, в итоге ставили линукс, который действительно без проблем грузится по сети, и в нем уже веб-клиент или удаленный рабочий стол поднимали.
Очень часто, когда повезет увидеть перезагрузку информационного табло, там виден процесс загрузки linux/BSD. В аэропорт, похоже, кто-то продал аналогичную систему, но под Windows. Я на 147% уверен, что это не местные умельцы наколхозили.
Я, помнится, еще в 2009 году застал закупку в нашей компании виндовых клиентов, которые откатывали изменения на диске после перезагрузки.
А сетевую загрузку виндоус я ни разу в продакшен не видел
А нам не нужно сетевую загрузку именно винды. Нам нужна сетевая загрузка (если понадобиться) какой-нибудь recovery системы.
Там ещё есть и высоты более 2-3 метров :)
Ну вы и выдали ! Какие откаты за виндовс и какие за Линукс !
Четвёртые сутки
пылает задница...
Следует задуматься о переходе на андроид во всех этих решениях. Хотя там наверно отказов и проблем с обновлениями будет еще больше
Проблема в софте, который написан под винду. Переписать стоит денег и новая поддержка тоже. А в итоге выйдет пока нету перехода на 100% нужно то и то поддерживать
Именно. Для тех же табло существуют решения, которые позволяют централизованно управлять выводом на одной группе экранов расписаний, на второй - рекламы, на третьей - ещё чего-то. Всё рулится через одну админку, есть интерфейсы для коннекта с провайдерами информации.
Альтернативная платформа потребует запиливания под неё такого же софта.
Перейти на Android, по требованиям ИБ и на него поставить антивирус, который опять же по требованиям ИБ будет получать обновления автоматически и непрерывно... чувствую где-то здесь подвох.
Сделать централизованную систему, которой можно управлять без танцев - это все будет стоить тонны бабла.
Нормальные админы бэкап подняли и пошли дальше.
Непонятно только зачем на компе который крутит одну прогу ставить какой то антивирус.
Те же админы наверное и навязали этот антивирь.
Хост не поднимается. Чтобы что-то куда-то накатить на "диск", надо кто-то кто этим диском управляет. В данном случае локальная ОС, которая и упала
Про анивирус - потому что он в сети, которая не изолирована от внешнего мира. Да, прямо комп может быть и недоступен для внешки, но транзитивно он доступен
Ну, если порты по-закрывать, то антивирус информационному табло и правда не нужен.
Наверное, но вот обновления и приехали :) А вместе с обновлениями может приехать что-то нехорошее.
Поэтому безопасность будет требовать антивирус
Мы когда-то "бодались" на эту тему, почти нереально пробить. В полиси написано "винда == антивирус". разбираться что по портам там все зарезано до минимума никто не хочет, так как в таком случае ответстенность на себя берет безопасность. а зачем ей это?
Антивирь навязывает ИБ, требования которой во многих компаниях ультимативны и не обсуждаются если они вообще не останавливают процесс работы.
Админам это не слишком надо, обычно, именно навязывает ИБ. Причем им плевать на аргументы.
просто одно неверное движение и весь мир погрузился в хаос
перевод :
crowd strike = массовая забастовка //yandex
crow strike = воронья атака //google
Проблема с обновлениями Windows, которые ломают Windows, назревала давно. Возникновение ситуации, когда стороннее приложение сможет сломать Windows полностью - было только вопросом времени.
Когда после очередного обновления винды отваливались звук, драйверы видео, сетевые принтеры - это мелочи. Года три назад была ситуация, когда после обновления винда не загружалась (процесс кручения точечек был бесконечным), но лечилось загрузкой в режиме восстановления. Вот это уже был конкретный звоночек ... Не прониклись, а зря.
На самом деле автоматические обновления есть везде, винда ничем не отличается.
В реальности просто эпические рукожопы ...
Дело не в том, что обновление может что-то сломать. А в том, что в винде нет механизма защиты от такого форс-мажора.
Даже восстановление при загрузке и откат на предыдущее работоспособное состояние помогают далеко не всегда.
Зато были случаи (правда, не уверен на все 146% - не на моем компе проявлялись), когда при загрузке тихонько и незаметно происходил откат системы на несколько месяцев. И приходилось кучу настроек восстанавливать ругаясь м матерясь.
Да все одинаково. Просто ... лично мое мнение, которые может быть основано на незнании :)
Базово - рецепт прост и понятен везде.
подняли корневой раздел с операционкой
на живом сервере или компе уже подняли раздел с софтом (один или несколько)
подняли разделы с данными
Первый шаг иногда требует физического доступа, особенно если сама операционка не виртуализирована, и гипервизор не пострадал
Если вы изначально придерживались гигены и держали все яйца по отдельности - у вас все хорошо, ну или лучше остальных. Если нет - все равно, какая операционка. Ну и естественно много бэкапов, условно 7 на каждый предыдущий день :)
Но для меня (с учетом того, что Винду я знаю сильно хуже), в ней некоторые вещи выглядят менее прозрачно, в том числе таже установка софта, который прописывает чего-то в реестр и т.д.
Я могу понять еще, что все на винде. Но почему нету разделение, скажем табло и ПК у менеджеров и т.д. Вот это странно, что завели все в 1 место и все.
Я был уверен, что все табло - просто экраны, отображающие одну и ту же информацию, которую им передают из одного сервера. Это и синхронизирует все, и удешевляет. А тут, оказывается, что каждый экран - отдельный комп. Денег, что ли, некуда девать? Или просто есть какие-то моменты, которые я не учел по незнанию?
Есть моменты
Вы не учли, что обычные экраны просто не умеют отображать информацию с сервера. Не знаю как у вас, а в мой монитор коннектор RJ45 просто некуда воткнуть.
В принципе, вместо обычных мониторов можно было бы использовать телевизоры, но там, насколько я знаю, вредных "фич" куда больше чем в винде; плюс передать по сети видеопоток на сотню телевизоров - не такая простая задача.
У меня как второй дисплей для ПК, используется списанный откуда то монитор со сквозным подключением, как раз для таких задач. При этом там нет как таковой системы. Это просто старое(BNC/VGA) глупое устройство, умеющее передавать изображение(цифра/аналог) и звук(с нужной задержкой) по цепочке, хотя и с кучей портов, включая RJ45/RS-232C(но только для внешней настройки/управления), аналоговые входы для камер или другого источника сигнала(картинка в картинке). Для бизнеса такие решения уже давно существуют.
Несколько лет назад участвовал в организации передачи изображеный из одного места(с нескольких видеокарт в серверной) через конвертеры hdmi-ethernet и на обратной стороне ethernet-hdmi. Все получали обычные ТВ в кол-ве около 20 шт размещенные по территории 5км×2км. Там, где картинка была нужна одинаковая - просто ставили hdmi-разветвители, хоть в серверной, хоть около ТВ. Цель была -дешего и сердито.
Трафик 30-100 Мбит на 1 поток, железо можно купить в любом местном магазине, на точках лазить никуда не нужно - ничего и не может зависнуть, железо простое как чайник. С тех пор ничего не сломалось(кроме одного разбитого кружкой ТВ), но если выйдет из строя хост - да, нужно будет сходить в серверную ножками и переткнуть шнурки hdmi в резервный. В корпоративных реалиях такой колхоз, скорее всего, не прокатит, но решений для передачи видео по сети - вагон
HDMI кабель от сервера до дисплея обойдется дороже чем одноплатник с какой-то минимальной Windows.
Да не нужна там Windows. Там хватит Arm железки уровня Raspberry Pi или еще проще. Скачать картинку с заданного URL и отобразить ее на экране - много ума не надо. Я вообще не пойму, зачем там винда, какие-то обновления, антивирусы. Элементарная задача же.
Да не нужна там Windows. Там хватит Arm железки уровня Raspberry Pi или еще проще.
На этом железе windows тоже работает ;) Но скорее всего кто-то партию тонких клиентов удачно пристроил.
какие-то обновления, антивирусы
Чтобы другой умелец через zero-day не залил туда своих картинок.
много ума не надо
Запилить систему на сотню дисплеев, интегрированную с системой оповещения аэропорта, не так просто, как кажется с дивана. И чтобы она не развалилась по причине внезапного отсутствия выбранных одноплатников через 10 лет.
Но кабель то всё равно тянуть придётся. Пусть не HDMI, а витую пару. И по витой паре можно точно так же передавать изображение. С одной стороны будет единая точка отказа, с другой система будет проще, а значит и надёжнее, как в работе, так и в обслуживании.
Дорого видос передавать на большие расстояния
Концепция терминалов отлично работала когда они были алфавитно-цифровыми. По сети передаются "копейки", схемы отлично жила даже на модемах начиная с 9600
Я был уверен, что все табло - просто экраны, отображающие одну и ту же информацию, которую им передают из одного сервера. Это и синхронизирует все, и удешевляет. А тут, оказывается, что каждый экран - отдельный комп. Денег, что ли, некуда девать?
Задача не сводится к дублированию одной картинки. Разные табло могут выводить разную информацию. Иногда много маленьких табло группируют в одно большое.
Стандартное решение, это когда на табло-компьютер ставится приложение, которое берет данные из базы данных на сервере. Все терминалы, и подвесные отображающие, и напольные интерактивные, включены в одну общую систему типа клиент-сервер. Так удобнее.
Экономия при использовании специализированных графических терминалов окажется небольшой, на фоне общих расходов на развертывание информационной системы. А универсальность пострадает. Разработка софта скорее усложнится.
Еще для XP использовалась отдельная утилита типа Time Freeze . Для восстановления системы после перезапуска , без любых изменений. Все изменения только в нужных папках. Даже как то странно , что подобный функционал в новых версиях винды не добавлен штатно.
"Восстановление системы" ещё в той же XP было. И не так уж плохо работало.
Вот только в случае циклического BSOD надо было ручками при загрузке войти в этот режим, удалённо этого не сделать. Т.е. нужен был физический доступ к системе.
Нельзя просто так взять и добавить в свой продукт что-то чужое.
Добавлен. Unified filter write называется
Уже всем очевидно, что компания CrowdStrike не собирается компенсировать убытки от простоя бизнеса. Может хотя бы оплатит сверхурочные сисадминам?
Смотря что прописано в договоре. Если она ни за что не отвечает, то ССЗБ.
Смотря что прописано в договоре.
А только ли в договоре? Вот в рекламных материалах, что были использованы во время конкурса на выбор ПО было написано (и, соответственно, повлияло на выбор победителя) что-то вроде "у вас не будет проблем с..." - можно, я думаю, будет и доказать, что фирма обязалась отвечать, если хвалится. То самое ССЗБ, только в другую сторону.
Уже всем очевидно, что компания CrowdStrike не собирается компенсировать убытки от простоя бизнеса.
В третий, раз, кажется, напоминаю, что у юристов пострадавших компаний (и государственных органов) может быть иное мнение по этому поводу. А их много. И заплатить им могут, если захотят, ввиду многочисленности пострадавших - хорошо.
Это будут решать юристы и руководство компаний, а не сисадмины. Думаю там годовая зарплата сисадминов на фоне общих убытков ничтожная сумма.
Юридические судебные разбирательства, а также выплаты затянутся на годы.
Я же говорю, что компания сама в досудебном добровольном порядке могла "малой кровью" поднять свою репутацию, оказав посильную помощь и простимулировать более быстрое восстановление разрушенных ей систем. Авансом выплаченные сверхурочные вполне могли бы приостановить падение акций и положительно сказаться на имедже компании.
Тем временем уже прошла почти неделя с начала аварии, а CrowdStrike до сих пор не назвал причину сбоя. Из фактов мы знаем лишь то, что одно из обновлений поведенческих сигнатур (которые по аналогии с антивирусными базами прилетают по несколько раз в день), разрушила операционную систему Windows. Компания отрицает кибератаку, как и любое другое внешнее вмешательство, отрицает злой умысел, но причину не озвучивает.
Microsoft в свою очередь сняла с себя ответственность, переложил вину на законодательство ЕС, по которому её обязали предоставить возможность сторонним приложениям вмешиваться в ядро системы без проверки и одобрения MS.
Причину не называет, потому что так организовала работу. С которой критические обновления проходят без проверок в прод. Обвинять конкретного человека можно, но глупо.
Конечно есть организации, любящие назначать называть крайних. Но как правило, почти всегда это комплексная вина. Даже если это инженер, отступивший от чётких и однозначных инструкций. Всегда есть проверяющие после него. Все важные вещи идут минимум с двойным контролем, если руководство не идиоты.
Прошло ещё 2 дня и CrowdStrike выплатил "компенсацию" за "неудобства".
CrowdStrike направил пострадавшим от пятничного сбоя письмо с промо‑кодом на карточку Uber Eats (сервис доставки еды) стоимостью 10 долларов в качестве извинений за ту головную боль, которую принес инцидент. Но случился очередной конфуз — некоторые карты оказались недействительными, а в качестве причины было написано, что «карта была отменена выпустившей стороной и больше не действительна».
Интересно почему нет тестирования обновлений даже в крупных компаниях? Обновление сначала на части парка или вовсе в тестовом окружении если это не закрытие 0-day. Подобный фильтр сильно уменьшит ущерб если попадет косяк. Встроенные системы только так поскольку они часто далеки от интернета, а физическое вмешательство затруднительно. Сервера обновлений видел, в случае чего их можно остановить и бекапы есть.
Тестирование долго и дорого. Нужно слишком много вариаций проверить. Как поведёт себя на старой винде, как на новой, как на новой старой, как на старой новой, как поведёт с наличием установленого офиса, как поведёт с офисом, но ещё и с допами, как поведёт себя с 365 офисом, теперь всё то же самое но в азуере, теперь то же самое но на виртуалках хайпера, а на линухе, а с установлеными обновами прошлонедельными. А с последними утренними? Пока вы это всё натестируете выйдет ещё с десяток патчей у других и нужно будет начинать с самого начала.
Меня в этом всём забавляет нечто другое - даже на хабре эту новость уже 4 дня прессуют похлеще опенИИ, но блин нигде ни слова не сказано что были затронуты ТОЛЬКО те системы, на которых установлен антивирус, про который подавляющее большинство большинства 7\8 всех кто пользуется ПК вообще не слышал!
Если бы НОД32, прастигоспаде Каспер, ДР.ВЭБ или макафе убивал системы было бы ясноонятно, вселенский масштаб, все под угрозой, мир не будет прежним. Но тут какой то крайне корпоративный нишевый продукт.
Осталось только порадоваться за коллег админов которые получат х3 за сверхурочные, банально перегружая винды.
Коллеги админы, которые допустили автообновления сразу на все компы, боюсь не видать им сверхурочных..
Уже мало кто помнит, как mcafee обновился в 2010 году
Я не исключаю того что это разовая или крайне редкая проблема. Косячные обновления самой винды не новость. У нас много где был Symantec, сейчас Касперский и такого там никогда не было. Мастерских тоже касается. Обновления винды бывает придерживают у наших.
Ну вот по итогу оказалось, что протестировать было-бы дешевле, быстрее и проще. Забавная штука вышла.
Такой косяк, когда обновление убивает систему в хлам и ее невозможно починить просто накатив следующий апдейт по сути случай единичный если не уникальный, для кого-то это может быть не критично, а полноценное тестирование сложно и дорого.
У меня другой вопрос в голове не укладывается, как такой лютый косяк просочился через весь Crowdstrike пайплайн, я допускаю что может пропустить что-то для какой-нибудь сильно кастомной конфигурации или кастомного датасета. Но тут просто диверсия какая-то… /s
Могу предположить, что эффективные менеджеры произвели оптимизацию затрат на разработку и тестирование, что привело к сокращению расходов, росту прибыли и стоимости акций.
По крайней мере в Boeing именно так было, а там из-за дефектов ПО (сократили программистов в США, передали разработку на аутсорс в Индию) упало два самолета и погибли сотни человек, не говоря уже о финансовых проблемах из-за приостановки полетов самой массовой модели.
Судя по некоторым скринам в интернете, некоторые фирмы несколько недель назад успели перейти с нерекомендуемого в США антивируса Касперского к рекомендуемому антивирусу CrowdStrike.
Удивительно вовремя :(
Системные администраторы по всему миру третьи сутки исправляют BSOD в парках ПК на Windows из-за ошибки в ПО CrowdStrike