1) Антивирус может положить DC. Как нефиг делать. Если одинаковый антивирус с одинаковыми базами и одинаковыми политиками (централизованно распространяемыми) стоит на всех DC, то в какой-то момент домен может перестать существовать.
а) Я не утверждал, что следует бездумно ставить на сервера антивирус с настройками от вендора. Касаемо DC — у тех же MS есть конкретные рекомендации — что следует добавить в исключения антивируса, запущенного на DC
б) Над планом распространения политик и обновлений антивируса тоже следует вдумчиво работать. Только «самоубийца» будет распространять сразу на всё production систему новые настройки и только «очень рисковый администратор» будет сразу спускать обновления от вендора на критические сервера (ну, за исключением единичных случаев очень критических обновлений). В нормальных антивирусах есть возможность организовать дополнительное тестирование обновлений антивирусных баз на стороне компании-пользователя. Это трудоёмко при внедрении, но значительно снижает эксплуатационные риски.
3) Можно прикрыть DC файрволами с ALG и IPS'ами, фильтрующими протоколы SMB, netbios и так далее на предмет корректности и заведомо плохих запросов.
Можно. Но не везде удаётся такое внедрить.
4) Антивирус запросто может не суметь обезвредить заразу. Я видел такое в масштабах очень крупной и всем известной компании. Один из администраторов умудрился запустить конфикер под учеткой с правами enterprise admin. Макафи визжал на заразу, что-то там прибивал непрерывно, но дрянь уже прочно осела в памяти и продолжала расползаться по сети.
От человеческой глупости может спасти только отсутствие человеков (нечего работать под enterprise admin аккаунтом)
А про антивирус от Макафи — лично у меня к нему сложилось в принципе негативное отношение (хотя в production среде я его не эксплуатировал — могу заблуждаться на его счёт).
Для справки:
gpedit.msc — оснастка управления отдельной политикой (по-умолчанию — локальной)
gpmc.msc — оснастка управления политиками домена (та самая, которая открывается из Пуск… и т.д.). Она позволяет назначать политики, моделировать, собирать результирующие и для редактирования отдельной политики вызывает gpedit.msc
Как бы не были сервера «огорожены» защита на самом сервере должна быть. Уже хотя бы потому, что существуют вот такие вещи
Сервера это то место, где авторизуется множество пользователей, соответственно подобные «атаки» логично направлять в первую очередь на сервера (с учётом того, что есть «администраторы» без антивируса на сервере — вдвойне логично), а нормальный антивирус не даёт запустить эту гадость.
Очень настораживает, что в письме ни слова про корпоративный сегмент рынка. Их стремление в облака и к инновациям прекрасно, но рынок должен формировать не производитель, а потребитель!
У меня вообще уже устойчивая привычка MS+R (Alt+F2 в кедах) и набираю программу, которую надо запустить ;)
Меню «Пуск» практически не пользуюсь (разве, что на планшетах без клавы).
По комментариям складывается впечатление, что здесь нет сотрудников интеграторов — это ж сколько денег можно заработать проводя миграцию компаний на новые версии ОС! Тем более все необходимые инструменты MS предоставляет!
P.S. Я не работаю в интеграторе и от подобных миграций имею только много проблем :(, но нельзя же на всё с негативом…
Есть challenge для крутых айтишников хабра: на устройстве Conext ComBox есть веб-интерфейс, на спутниковом ресивере есть белый IP-адрес, стоит простенький кабельный роутер TP-Link. Задача: организовать доступ к веб-интерфейсу бокса, пока же доступ организовывается через team-viewer на подключенном к системе нетбуку. Справившимся с задачей отдельное уважение и возможные интересные задачки в будущем, уже за $ :)
А что помешало просто пробросить порт веб интерфейса?
Теперь на митинги будет ходить больше народа: к обычным митингующим присоединятся охотники за дармовыми запчастями от дрона. Летает ведь он, в отличие от остальных серьёзных БПЛА на небольшой высоте — сбить проще ;)
Единственное что неудобно — емкостной экран под ливнем начинает произвольные пункты меню тыкать (у меня дождь включил блютус и потом залил экран настолько, что невозможно было что-либо нажать — пришлось укрываться от стены воды).
Ну с этим ничего не поделать. На моём Activ'е тоже — пока мелкие капельки, пар, конденсат — тач работает нормально, но если попадает под струю воды — приходится смахивать воду рукой тогда снова всё ок.
Рация имеет как минимум цифровой чат (проверена работа с точно таким же ранбо — работает даже русский язык).
А вот это уже хорошая предпосылка. Возможно удастся «поженить» её с aprs. Я после знакомства с Garmin Rino никак не брошу идею отображения в навигаторе положения всей компании.
Рация — это уже слишком. Хотя если бы с ней смог как-то работать aprsdroid — она бы имела смысл, но боюсь на это не стоит рассчитывать.
А Вы сами таким пользуетесь? Меня настораживают отзывы владельцев о некачественной влагозащите.
Не понимаю этот «расфуфыренный» дизайн таких телефонов, не несущий никакой практической нагрузки. Непонятные декоративные болты (которые на некоторых моделях teXet смотрятся уж сильно по-китайски — у них головки элементарно не круглые), борозды в которые только забивается грязь.
При этом не самая производительная начинка и неадекватные наценки.
Сам последние несколько лет пользую Xperia Active — телефон не идеал, но он не имеет обозначенных выше недостатков teXet. Сейчас ищу на рынке на что бы обновиться и понимаю, что достойной замены пока нет.
P.S. Защищённый телефон использую по его прямому назначению: связь в походах, авто экспедициях, на соревнованиях по трофи-рейдам; иногда как дополнительный навигатор. Мой Active видел снег, ливень, грязь и солёную морскую воду — единственная поломка — от старости совсем недавно оторвалась заглушка microUSB разъёма — благо с телефоном в комплекте шло две задние крыши.
а) Я не утверждал, что следует бездумно ставить на сервера антивирус с настройками от вендора. Касаемо DC — у тех же MS есть конкретные рекомендации — что следует добавить в исключения антивируса, запущенного на DC
б) Над планом распространения политик и обновлений антивируса тоже следует вдумчиво работать. Только «самоубийца» будет распространять сразу на всё production систему новые настройки и только «очень рисковый администратор» будет сразу спускать обновления от вендора на критические сервера (ну, за исключением единичных случаев очень критических обновлений). В нормальных антивирусах есть возможность организовать дополнительное тестирование обновлений антивирусных баз на стороне компании-пользователя. Это трудоёмко при внедрении, но значительно снижает эксплуатационные риски.
Можно. Но не везде удаётся такое внедрить.
От человеческой глупости может спасти только отсутствие человеков (нечего работать под enterprise admin аккаунтом)
А про антивирус от Макафи — лично у меня к нему сложилось в принципе негативное отношение (хотя в production среде я его не эксплуатировал — могу заблуждаться на его счёт).
gpedit.msc — оснастка управления отдельной политикой (по-умолчанию — локальной)
gpmc.msc — оснастка управления политиками домена (та самая, которая открывается из Пуск… и т.д.). Она позволяет назначать политики, моделировать, собирать результирующие и для редактирования отдельной политики вызывает gpedit.msc
Так что в чём-то они были правы.
Как бы не были сервера «огорожены» защита на самом сервере должна быть. Уже хотя бы потому, что существуют вот такие вещи
Сервера это то место, где авторизуется множество пользователей, соответственно подобные «атаки» логично направлять в первую очередь на сервера (с учётом того, что есть «администраторы» без антивируса на сервере — вдвойне логично), а нормальный антивирус не даёт запустить эту гадость.
Меню «Пуск» практически не пользуюсь (разве, что на планшетах без клавы).
P.S. Я не работаю в интеграторе и от подобных миграций имею только много проблем :(, но нельзя же на всё с негативом…
А что помешало просто пробросить порт веб интерфейса?
Лесов и так мало осталось…
Никакая мультиварка не заменит с любовью приготовленный обед!
Ну с этим ничего не поделать. На моём Activ'е тоже — пока мелкие капельки, пар, конденсат — тач работает нормально, но если попадает под струю воды — приходится смахивать воду рукой тогда снова всё ок.
А вот это уже хорошая предпосылка. Возможно удастся «поженить» её с aprs. Я после знакомства с Garmin Rino никак не брошу идею отображения в навигаторе положения всей компании.
Но опять же там зачем то рация.
Рация — это уже слишком. Хотя если бы с ней смог как-то работать aprsdroid — она бы имела смысл, но боюсь на это не стоит рассчитывать.
А Вы сами таким пользуетесь? Меня настораживают отзывы владельцев о некачественной влагозащите.
При этом не самая производительная начинка и неадекватные наценки.
Сам последние несколько лет пользую Xperia Active — телефон не идеал, но он не имеет обозначенных выше недостатков teXet. Сейчас ищу на рынке на что бы обновиться и понимаю, что достойной замены пока нет.
P.S. Защищённый телефон использую по его прямому назначению: связь в походах, авто экспедициях, на соревнованиях по трофи-рейдам; иногда как дополнительный навигатор. Мой Active видел снег, ливень, грязь и солёную морскую воду — единственная поломка — от старости совсем недавно оторвалась заглушка microUSB разъёма — благо с телефоном в комплекте шло две задние крыши.
Наверное, прежде чем брать на себя такую ответственность, стоило самому разобраться в базовых аспектах администрирования новой ОС?
А почему бы и не опубликовать? Интересно ведь!