Как стать автором
Обновить
5
0

Пользователь

Отправить сообщение

Защита серверов и данных: Zero Trust и 20 фич для вашей кибербезопасности

Уровень сложностиСредний
Время на прочтение17 мин
Количество просмотров5.5K

Серверы — штука надёжная. Особенно в опытных руках. На аппаратном уровне многие системы и комплектующие продублированы, частичное обслуживание возможно на ходу без остановки работы, а при виртуализации и кластеризации даже полное обслуживание с живой миграцией виртуалок и полной остановкой отдельных узлов. Резервируют и сетевые каналы на магистральном уровне, а иногда и целые кластеры, реализуя «heartbeat» — регулярные сигналы между системами в разных дата-центрах, чтобы убедиться, что они работают и синхронизированы.

Но потом на ваш прекрасный отказоустойчивый сервер приходит обновление от CrowdStrike (инструмент защиты от кибератак), которая вроде как должна бороться со всем плохим, а не примыкать к нему. И ещё 8,500,000 серверов и ПК по всему миру присоединяются к вечеринке, после которой банки, аэропорты (да и авиация в целом), больницы, службы безопасности и другие блага цивилизации отсыпаются где-то в ванной.

Миллиардные убытки, колоссальный репутационный ущерб. И даже кибератак не было по официальным данным — сами себе в ногу стрельнули.

В этой статье я расскажу о полезных практиках, которые защитят ваши серверы и данные — от своих и чужих. А в конце уже по классике опрос. И помните, лучший способ стать просветлённым — указать на ошибки автора и вступить в спор с случайным комментатором на Хабре :)

Читать далее
Всего голосов 3: ↑3 и ↓0+5
Комментарии4

Избавляемся от назойливых предупреждений при входе на терминальный сервер

Время на прочтение3 мин
Количество просмотров33K


Не так давно внедряли мы решение на терминальном сервере Windows. Как водится, кинули на рабочие столы сотрудникам ярлыки для подключения, и сказали — работайте. Но пользователи оказались зашуганными по части КиберБезопасности. И при подключении к серверу, видя сообщения типа: «Вы доверяете этому серверу? Точно-точно?», пугались и обращались к нам — а все ли хорошо, можно нажимать на ОК? Тогда и было решено сделать все красиво, чтобы никаких вопросов и паники.


Если ваши пользователи все еще приходят к вам с подобными страхами, и вам надоело ставить галочку «Больше не спрашивать» — добро пожаловать под кат.

Читать дальше →
Всего голосов 12: ↑12 и ↓0+12
Комментарии13

Защищаем удаленный сервер на Windows как можем

Время на прочтение7 мин
Количество просмотров48K


Тема безопасности сервера Windows не раз поднималась, в том числе и в этом блоге. Тем не менее мне хотелось бы еще раз освежить в памяти старые методы защиты и рассказать о малоизвестных новых. Разумеется, будем использовать по максимуму встроенные средства.


Итак, предположим, что у нас есть небольшая компания, которая арендует терминальный сервер в удаленном дата-центре.

Давайте его защищать.
Всего голосов 15: ↑15 и ↓0+15
Комментарии5

Windows в браузере без регистрации и СМС — обзор RDP-клиентов HTML5

Время на прочтение8 мин
Количество просмотров65K


Когда-то давно, когда деревья были высокими, а я был молодым и зеленым системным администратором, довелось мне внедрять терминальный сервер на Windows 2000. Я тогда думал, что хорошо бы, если бы для подключения к серверу не нужен был никакой отдельный клиент. Шло время, деревья выросли, олени на свитере отпустили рога, а я — бороду, на рынке начали появляться решения для работы в терминале через браузер. Но они были или нестабильные, или дорогие, и пробные внедрения ушли в долгий ящик.


Прошло еще немного времени, в бороде появилась седина, а решений на базе HTML5 стало куда больше. И мне захотелось сделать краткий обзор бесплатных вариантов — как для начинающих системных администраторов, так и для тех, кто пропустил этот момент, как я.


Итак, хотите пускать сотрудников на терминалки через браузер или админить серваки через него же? Добро пожаловать под кат.

Читать дальше →
Всего голосов 13: ↑13 и ↓0+13
Комментарии11

Бэкапьтесь в облако, друзья

Время на прочтение8 мин
Количество просмотров58K


Сегодня мне хотелось бы еще раз пройтись по набившему оскомину резервному копированию в облако. Рассуждать на тему хорошо это или плохо, я не буду, но хочу поделиться примерами реализаций решений для этого самого облачного резервного копирования — от готового ПО до костылей на велосипедах.


Еще не бэкапитесь в облако или хотите почитать про варианты решений? Прошу под кат.

Читать дальше →
Всего голосов 27: ↑27 и ↓0+27
Комментарии29

[Конспект админа] Как подружиться с DHCP и не бояться APIPA

Время на прочтение10 мин
Количество просмотров111K


Сервис, выдающий IP-адреса устройствам в локальной сети, кажется одним из самых простых и всем знакомых. Тем не менее у моих младших коллег до сих пор временами всплывают вопросы вроде «компьютер что-то получает какой-то странный адрес», а появление второго DHCP-сервера в одном сетевом сегменте вызывает некоторый трепет или проблемы в работе сети.


Чтобы у прочитавших этот материал такие вопросы не возникали, мне хотелось бы собрать в кучу основную информацию про работу механизмов выдачи адресов IP, особенности и примеры настройки отказоустойчивых и защищенных конфигураций. Да и возможно матерым специалистам будет интересно освежить нейронные связи.


Немного теории и решения интересных и не очень практических задач — под катом.

Читать дальше →
Всего голосов 16: ↑15 и ↓1+14
Комментарии26

Приручаем WSUS при помощи Ansible и не только

Время на прочтение6 мин
Количество просмотров36K


Ну что ж, вот и настала пора подружить Windows-обновления с миром Open Source. В этой статье разнообразим быт интеграцией Ansible со всеми возможными источниками обновлений Windows-машин. Хотя возможности системы значительно шире простой раскатки обновлений на серверы и рабочие станции, но ведь надо с чего-то начинать.


Заодно избавимся от досадных неудобств WSUS, если вы предпочитаете «старую школу».

Читать дальше →
Всего голосов 13: ↑12 и ↓1+11
Комментарии5

AGPM – как Git для групповой политики. Почти

Время на прочтение6 мин
Количество просмотров16K


Octopussy By Robert Bowen


Сегодня я хочу поведать о стильной, модной, но не очень молодежной — ей уже 10 лет — модели работы с групповыми политиками с использованием Advanced Group Policy Management.


Она добавляет изюминку вроде версионирования и контроля при создании и изменении GPO.

Читать дальше →
Всего голосов 9: ↑8 и ↓1+7
Комментарии1

Безопасность или паранойя: временные права при запуске команд

Время на прочтение4 мин
Количество просмотров11K


В прошлой статье «Меньше администраторов всем» я рассказывал о принципах работы без прав администратора ― в частности, о технологии Just Enough Administration (JEA). Этот механизм хоть и гибкий, но сложный в настройке, и в ряде ситуаций можно обойтись и без него.


Например, если в бухгалтерии используется регулярно обновляемое ПО, то совершенно не обязательно выдавать права администратора, использовать сторонние решения вроде AdminLink и тем более обновлять руками. Есть другие варианты.

Читать дальше →
Всего голосов 10: ↑10 и ↓0+10
Комментарии1

Влияние маленького окошка на память пользователя, и что с этим делать

Время на прочтение6 мин
Количество просмотров17K


Еще с выходом в свет Windows Vista\2008 администраторы столкнулись с маленькой, но неприятной проблемой: оповещение об истечении срока действия пароля стало сиротливо появляться в самом неприметном углу экрана. И это вместо окна прямо по центру, как было раньше!


Отсюда и смена паролей в последний момент, под аккомпанемент отказов доступа; и негодование, почему вдруг перестал работать VPN, и что с этим делать в командировке. Конечно, не проблема года, но явление назойливое и неприятное. Поэтому разбираемся, как его одолеть.

Читать дальше →
Всего голосов 20: ↑18 и ↓2+16
Комментарии14

Как починить инфраструктуру после цунами

Время на прочтение4 мин
Количество просмотров8.8K


Пока люди запускают самолетики из окна, упражняются в настройках прокси-серверов или даже устанавливают dante на VPS, разнокалиберный бизнес столкнулся с реальными последствиями массовых блокировок в своих процессах.


Можно по-разному относиться к происходящему, но когда перестает работать G Suite или облачная структура — это напоминает стихийное бедствие. И оперативно разгребать последствия приходится рядовым системным администраторам. Поэтому в этой статье делюсь вариантами выживания и переосмысления бизнес-процессов — своего рода, хроники с полей.

Читать дальше →
Всего голосов 10: ↑7 и ↓3+4
Комментарии3

Как перестать быть демиургом и поручить создание сущностей PowerShell

Время на прочтение7 мин
Количество просмотров21K


Когда новый сотрудник выходит на работу, обычно мало просто создать ему аккаунт в Active Directory: нужно включить его в группы безопасности, создать личную папку на сетевом диске, почтовый ящик, добавить аккаунт в ERP\CRM систему… Все это частично решается копированием аккаунта, но тогда нужно еще вовремя вспомнить и правильно настроить атрибуты Active Directory.


Но есть и более изящные варианты решения задачи. Так что, если вам надоело создавать аккаунты вручную ― приглашаю под кат.

Читать дальше →
Всего голосов 11: ↑10 и ↓1+9
Комментарии24

Еще не бот, но уже что-то ― получаем уведомления от Zabbix в мессенджеры

Время на прочтение6 мин
Количество просмотров41K


Кажется, что в последнее время электронная почта больше подходит для спама, чем для оперативных оповещений системы мониторинга. В этой статье я соберу методы получения уведомлений на мобильные устройства ― как через мессенджеры, так и через традиционные каналы связи.


Рассматривать решения я буду на примере Zabbix, но их можно адаптировать и под вашу любимую систему, лишь бы она умела запускать скрипты по триггеру.

Читать дальше →
Всего голосов 11: ↑10 и ↓1+9
Комментарии17

Управляем копированием атрибутов Active Directory при дублировании пользовательских аккаунтов

Время на прочтение3 мин
Количество просмотров9.1K


Во многих компаниях используются дополнительные атрибуты Active Directory, которые копируются вместе с дублированием учетной записи пользователя. Но есть масса примеров, когда это неудобно. Поэтому в этой статье я расскажу, как избежать такого поведения или изменить его под свои нужды.

Читать дальше →
Всего голосов 10: ↑10 и ↓0+10
Комментарии4

Довольно автоматизации ― пора нарисовать сову на PowerShell и научить консоль говорить

Время на прочтение6 мин
Количество просмотров16K


Сегодня звездный час PowerShell: время странных скриптов и созданных при помощи «Мощной Оболочки» игр. Если серьезная рутина вам надоела и хочется посмотреть на иные таланты PowerShell ― приглашаю под кат.

и да начнется веселье!
Всего голосов 18: ↑17 и ↓1+16
Комментарии7

Когда в бухгалтерии заменили принтер. «Надо всем переподключить»

Время на прочтение7 мин
Количество просмотров37K


Если такая заявка в вашей системе сервис-деска вызывает дергающийся глаз и падение тонуса ― у вас наверняка еще не настроено удобное централизованное управление принтерами. Пора исправлять эту неувязочку.


Статья скорее для тех, у кого нет этого сферического корпорейта в вакууме, с виртуальными принтерами, прикладыванием пропуска для печати на HP M8xx, а то и даже Ricoh Pro 8ххх. Как обычно, запасаемся скриптами, GPO и еще раз скриптами.

Читать дальше →
Всего голосов 18: ↑18 и ↓0+18
Комментарии24

Вертим логи как хотим ― анализ журналов в системах Windows

Время на прочтение6 мин
Количество просмотров124K


Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.


В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch + Logstash + Kibana). Сфокусируемся на простом и бесплатном.

Читать дальше →
Всего голосов 14: ↑14 и ↓0+14
Комментарии6

Погружение в шаблоны и приручение GPO Windows

Время на прочтение12 мин
Количество просмотров130K


В очередной статье из цикла «конспект админа» мне хотелось бы освежить в памяти несколько нюансов использования групповых политик. Заодно поразвлекаемся с созданием своих шаблонов и с автоматизацией работы с этими самыми политиками.

Читать дальше →
Всего голосов 7: ↑7 и ↓0+7
Комментарии7

Excel вместо PowerShell: запросы к AD и системные отчеты «на коленке»

Время на прочтение6 мин
Количество просмотров57K


В комментариях к предыдущей статье вспомнили про учет в Excel вместо 1С. Что ж, проверим, насколько вы знаете Excel. Сегодня я покажу, как получать данные из Active Directory и работать с ними без макросов и PowerShell — только штатными механизмами Office. Например, можно запросто получить аналитику по использованию операционных систем в организации, если у вас еще нет чего-либо вроде Microsoft SCOM. Ну, или просто размяться и отвлечься от скриптов.

Читать дальше →
Всего голосов 26: ↑25 и ↓1+24
Комментарии17

Заделываем дыры в сервере приложений 1С и вокруг него

Время на прочтение5 мин
Количество просмотров65K


В сегодняшней статье я расскажу об уязвимостях сервера 1С в корпоративной сети.


Как показала практика, в инсталляциях с 1С все допускают одни и те же ошибки разной степени серьезности. Я не буду касаться очевидных вещей вроде установки обновлений, но пройдусь по специфике работы сервера приложений под Windows. Например, по возможности бесконтрольно манипулировать базами Microsoft SQL с помощью инструментов 1С.

Читать дальше →
Всего голосов 22: ↑20 и ↓2+18
Комментарии96

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность