Установка и начальная настройка межсетевого экрана pfSense
Если стоит задача развернуть в организации межсетевой экран, то есть неплохое и бесплатное программное решение - pfSense. Это решение легко устанавливается и имеет понятный интерфейс для администрирования. С чего начать, можно ознакомиться здесь - https://sysadminchik.ru
Если стоит задача развернуть в организации межсетевой экран, то есть неплохое и бесплатное программное решение - pfSense. Это решение легко устанавливается и имеет понятный интерфейс для администрирования. С чего начать, можно ознакомиться здесь - https://sysadminchik.ru
👍3
Утилита nmap для выявления открытых портов
Примеры применения команды nmap в Linux.
Команды выполняются с компьютера и нацелены на хосты в Интернете. Это позволит выявить доступен ли порт на удалённом хосте, что даст ответ - правильно ли мы настроили межсетевой экран (открыли или закрыли порты).
Сами примеры здесь - https://sysadminchik.ru
Примеры применения команды nmap в Linux.
Команды выполняются с компьютера и нацелены на хосты в Интернете. Это позволит выявить доступен ли порт на удалённом хосте, что даст ответ - правильно ли мы настроили межсетевой экран (открыли или закрыли порты).
Сами примеры здесь - https://sysadminchik.ru
👍3
Как установить (удалить) плагин управления приложением для Kaspersky Security Center
На сервере с ОС Windows есть Kaspersky Security Center (KSC), на котором установлен плагин редактирования политики, у которого многие разделы не на русском языке.
Чтобы это исправить требуется установить плагин с нужной локализацией. При этом предварительно необходимо удалить текущий плагин управления. Как это сделать описал в инструкции - https://sysadminchik.ru
На сервере с ОС Windows есть Kaspersky Security Center (KSC), на котором установлен плагин редактирования политики, у которого многие разделы не на русском языке.
Чтобы это исправить требуется установить плагин с нужной локализацией. При этом предварительно необходимо удалить текущий плагин управления. Как это сделать описал в инструкции - https://sysadminchik.ru
👍1
Терминальный сервер на примере Windows Server 2016
Чтобы организовать работу нескольких сотрудников за одним сервером через удалённый рабочий стол нужен терминальный сервер. В период перехода на операционные системы Linux, таким способом можно организовать работу сотрудников с приложениями, которые работают только на Windows. Для примера под терминальный сервер я взял ОС Windows Server 2016.
Подробнее на сайте - https://sysadminchik.ru
Чтобы организовать работу нескольких сотрудников за одним сервером через удалённый рабочий стол нужен терминальный сервер. В период перехода на операционные системы Linux, таким способом можно организовать работу сотрудников с приложениями, которые работают только на Windows. Для примера под терминальный сервер я взял ОС Windows Server 2016.
Подробнее на сайте - https://sysadminchik.ru
👍2
Защита ssh от подбора пароля при помощи утилиты fail2ban
Предположим, что есть компьютер или сервер под управлением операционной системы Linux. На этом компьютере для администрирования открыт порт ssh, который нужно защитить от брутфорс-атаки.
Есть простая программа fail2ban, которая хорошо с этим справляется даже без дополнительных настроек. Подробнее здесь - https://sysadminchik.ru
Предположим, что есть компьютер или сервер под управлением операционной системы Linux. На этом компьютере для администрирования открыт порт ssh, который нужно защитить от брутфорс-атаки.
Есть простая программа fail2ban, которая хорошо с этим справляется даже без дополнительных настроек. Подробнее здесь - https://sysadminchik.ru
Подготовка к тесту 1С:Эксплуатация информационных систем. 14 - Общие вопросы
Последний пост про тест 1С:Эксплуатация ИС. Я пропустил два раздела: "Администрирование серверов с СУБД Oracle" и "Кластер серверов 8.4". С ними я не работал и, видимо, в ближайшей перспективе не придётся.
Общих вопросов оказалось немного - https://sysadminchik.ru
Последний пост про тест 1С:Эксплуатация ИС. Я пропустил два раздела: "Администрирование серверов с СУБД Oracle" и "Кластер серверов 8.4". С ними я не работал и, видимо, в ближайшей перспективе не придётся.
Общих вопросов оказалось немного - https://sysadminchik.ru
👍3
Пропала иконка Почта в Панели управления Windows
У одной сотрудницы в терминальной сессии сервера Windows Server 2016 перестал запускаться Outlook. Чтобы решить эту проблему нужно было пересоздать конфигурацию почты. Однако привычные действия через Панель управления ни к чему не привели - значка «Почта» не было.
Как выйти из такой ситуации можно прочитать здесь - https://sysadminchik.ru
У одной сотрудницы в терминальной сессии сервера Windows Server 2016 перестал запускаться Outlook. Чтобы решить эту проблему нужно было пересоздать конфигурацию почты. Однако привычные действия через Панель управления ни к чему не привели - значка «Почта» не было.
Как выйти из такой ситуации можно прочитать здесь - https://sysadminchik.ru
LAPS - Установка паролей локальных администраторов на компьютерах в домене
Есть организация, в которой большой парк компьютеров под управлением ОС Windows. Замечу, что серверные ОС достаточно старые - от 2008R2 до 2016. На всех этих компьютерах нужно обеспечить соблюдение парольной политики для учётных записей, особенно тех, которые имеют права администратора. Для этой задачи есть решение - Windows LAPS от компании Microsoft.
Windows LAPS (Local Administrator Password Solution) - это функция Windows, которая автоматически управляет паролем учетной записи локального администратора на устройствах, присоединенных к Windows Server Active Directory.
Подробнее про настройку LAPS на сайте - https://www.sysadminchik.ru
Есть организация, в которой большой парк компьютеров под управлением ОС Windows. Замечу, что серверные ОС достаточно старые - от 2008R2 до 2016. На всех этих компьютерах нужно обеспечить соблюдение парольной политики для учётных записей, особенно тех, которые имеют права администратора. Для этой задачи есть решение - Windows LAPS от компании Microsoft.
Windows LAPS (Local Administrator Password Solution) - это функция Windows, которая автоматически управляет паролем учетной записи локального администратора на устройствах, присоединенных к Windows Server Active Directory.
Подробнее про настройку LAPS на сайте - https://www.sysadminchik.ru
👍1
Ошибка "База данных не открыта" при работе с хранилищем конфигурации 1С
После аварийной перезагрузки сервера, на котором располагается папка с хранилищем конфигураций 1С, разработчики не смогли открыть конфигурацию 1С, которая была подключена к этому хранилищу - возникала ошибка "База данных не открыта".
В данной ситуации эта ошибка возникает из-за того, что сеанс какого-то пользователя хранилища был оборван (штатно не завершен).
Порядок восстановления работы здесь - https://sysadminchik.ru
После аварийной перезагрузки сервера, на котором располагается папка с хранилищем конфигураций 1С, разработчики не смогли открыть конфигурацию 1С, которая была подключена к этому хранилищу - возникала ошибка "База данных не открыта".
В данной ситуации эта ошибка возникает из-за того, что сеанс какого-то пользователя хранилища был оборван (штатно не завершен).
Порядок восстановления работы здесь - https://sysadminchik.ru
👍2
Alt Linux настройка работы apt-get через прокси
В одной фирме организован выход в Интернет через прокси-сервер на Forefront TMG. В этом случае для пользовательской работы в Интернете на рабочей станции или сервере с ОС LInux достаточно настроить прокси в Центре управления системой (или в браузере, если он это поддерживает).
Но для установки обновлений и отдельных пакетов через Synaptic или команду apt-get этот способ не подходит. Появляется ошибка «Для выполнения запроса компоненту Forefront TMG требуется авторизация».
Как это решить описал здесь - https://sysadminchik.ru
В одной фирме организован выход в Интернет через прокси-сервер на Forefront TMG. В этом случае для пользовательской работы в Интернете на рабочей станции или сервере с ОС LInux достаточно настроить прокси в Центре управления системой (или в браузере, если он это поддерживает).
Но для установки обновлений и отдельных пакетов через Synaptic или команду apt-get этот способ не подходит. Появляется ошибка «Для выполнения запроса компоненту Forefront TMG требуется авторизация».
Как это решить описал здесь - https://sysadminchik.ru
👍2
OpenVPN на pfSense - если нет интернета при VPN-подключении
Будет ряд инструкций по настройке OpenVPN-сервера на межсетевом экране pfSense. Начну с коротких моментов, когда всё настроено, но что-то не работает.
Здесь я показал, что нужно поправить в настройках pfSense, чтобы у удаленных пользователей при подключении по VPN-каналу не пропадал интернет на своих компьютерах - https://sysadminchik.ru
Будет ряд инструкций по настройке OpenVPN-сервера на межсетевом экране pfSense. Начну с коротких моментов, когда всё настроено, но что-то не работает.
Здесь я показал, что нужно поправить в настройках pfSense, чтобы у удаленных пользователей при подключении по VPN-каналу не пропадал интернет на своих компьютерах - https://sysadminchik.ru
OpenVPN на pfSense - если не работает подключение по RDP
Есть VPN-сервер OpenVPN на межсетевом экране pfSense. Всё настроено, VPN-клиент успешно соединяется с удаленной сетью.
Однако не работает подключение к удаленному рабочему столу сервера в удаленной локальной сети. Ни по IP-адресу, ни по доменному имени. Причём внутри сети к этому серверу подключение по RDP работает.
Короткое описание решения этого вопроса здесь - https://sysadminchik.ru
Есть VPN-сервер OpenVPN на межсетевом экране pfSense. Всё настроено, VPN-клиент успешно соединяется с удаленной сетью.
Однако не работает подключение к удаленному рабочему столу сервера в удаленной локальной сети. Ни по IP-адресу, ни по доменному имени. Причём внутри сети к этому серверу подключение по RDP работает.
Короткое описание решения этого вопроса здесь - https://sysadminchik.ru
👍2
OpenVPN на pfSense - настройка аутентификации через Active Directory. Часть 1
Есть доменная сеть организации, которая защищена межсетевым экраном pfSense. Нужно настроить OpenVPN-сервер с аутентификацией через Active Directory.
В первой части я показал настройки на стороне контроллера домена и начал настраивать pfSense - https://www.sysadminchik.ru
Есть доменная сеть организации, которая защищена межсетевым экраном pfSense. Нужно настроить OpenVPN-сервер с аутентификацией через Active Directory.
В первой части я показал настройки на стороне контроллера домена и начал настраивать pfSense - https://www.sysadminchik.ru
👍3
OpenVPN на pfSense. Часть 2 - выпуск сертификатов
Продолжаем настраивать OpenVPN сервер на pfSense. В первой части настроили возможность аутентификации через Active Directory. Здесь рассмотрим выпуск сертификатов, которые будут нужны для создания и настройки OpenVPN сервера - https://sysadminchik.ru
Продолжаем настраивать OpenVPN сервер на pfSense. В первой части настроили возможность аутентификации через Active Directory. Здесь рассмотрим выпуск сертификатов, которые будут нужны для создания и настройки OpenVPN сервера - https://sysadminchik.ru
Я тут выпал на некоторое время из творческого процесса. Нужно было оперативно подготовиться к тесту на 1С:Профессионал по технологическим вопросам. Этот тест сильно отличается от того, про который я писал - эксплуатация информационных систем. То что я описывал больше подходит системным администраторам. А то что мне пришлось сдавать, наверное, больше подходит архитекторам 1С.
👍12
OpenVPN на pfSense. Часть 3 - создание VPN-сервера
Создаём OpenVPN сервер на pfSense. В первой части настроили возможность аутентификации через Active Directory. Во второй части выпустили сертификаты, которые будут нужны для создания и настройки OpenVPN сервера. В этой части добавим в pfSense сам OpenVPN сервер - https://sysadminchik.ru
Создаём OpenVPN сервер на pfSense. В первой части настроили возможность аутентификации через Active Directory. Во второй части выпустили сертификаты, которые будут нужны для создания и настройки OpenVPN сервера. В этой части добавим в pfSense сам OpenVPN сервер - https://sysadminchik.ru
👍2
На днях возникла интересная ситуация. Есть организация, к сети которой подключается несколько удаленных сотрудников. Эти сотрудники сидят в офисе в другом городе. Подключение осуществлено при помощи OpenVPN. У всех, кроме одной сотрудницы, всё хорошо. Эта одна сотрудница стала жаловаться на то, что у неё всё время разрывается подключение. Я перепроверил все настройки и у неё и на сервере - всё, как у всех.
Заглянул в журнал событий на VPN-сервере, а там по её подключению видно, что она подключается с одного IP-адреса (офисного), потом через несколько секунд отключается и подключается с другого IP-адреса (неизвестного). Снова подключается с основного адреса, и снова переподключается с другого. Сперва я подумал, что это так провайдер блокирует VPN. Но эта идея не сработала, так как её коллега подключается и работает нормально из той же сети.
Разгадка оказалась простой. Эта сотрудница зачем-то настроила аналогичное подключение на домашнем компьютере, который всё время включён и подключен по VPN к организации.
Заглянул в журнал событий на VPN-сервере, а там по её подключению видно, что она подключается с одного IP-адреса (офисного), потом через несколько секунд отключается и подключается с другого IP-адреса (неизвестного). Снова подключается с основного адреса, и снова переподключается с другого. Сперва я подумал, что это так провайдер блокирует VPN. Но эта идея не сработала, так как её коллега подключается и работает нормально из той же сети.
Разгадка оказалась простой. Эта сотрудница зачем-то настроила аналогичное подключение на домашнем компьютере, который всё время включён и подключен по VPN к организации.
OpenVPN на pfSense. Часть 4 - подключение к VPN-серверу
В первой части я показал, как можно настроить аутентификацию для OpenVPN через Active Directory. Во второй части мы выпустили сертификаты, которые будут нужны для создания и настройки OpenVPN сервера. В третьей части создали в pfSense OpenVPN сервер.
Осталось создать сертификат пользователю, который будет подключаться по VPN, выгрузить клиентские файлы OpenVPN и настроить подключение на стороне клиента - https://sysadminchik.ru
В первой части я показал, как можно настроить аутентификацию для OpenVPN через Active Directory. Во второй части мы выпустили сертификаты, которые будут нужны для создания и настройки OpenVPN сервера. В третьей части создали в pfSense OpenVPN сервер.
Осталось создать сертификат пользователю, который будет подключаться по VPN, выгрузить клиентские файлы OpenVPN и настроить подключение на стороне клиента - https://sysadminchik.ru
👍2
Программа LGPO для чтения локальных политик Windows
В одной организации на компьютерах сотрудников был настроен запрет съемных запоминающих устройств при помощи локальных групповых политик (gpedit.msc). Для чего это было сделано при наличии доменных групповых политик, история умалчивает, но нужно было навести в этом вопросе порядок. Задача усложнялась тем, что в той организации более 1000 компьютеров и список рабочих мест с такими настройками никто не вёл.
В этом вопросе может помочь служебная программа командной строки от Microsoft - Local Group Policy Object (LGPO), которая предназначена для автоматизации управления локальными групповыми политиками - https://www.sysadminchik.ru
В одной организации на компьютерах сотрудников был настроен запрет съемных запоминающих устройств при помощи локальных групповых политик (gpedit.msc). Для чего это было сделано при наличии доменных групповых политик, история умалчивает, но нужно было навести в этом вопросе порядок. Задача усложнялась тем, что в той организации более 1000 компьютеров и список рабочих мест с такими настройками никто не вёл.
В этом вопросе может помочь служебная программа командной строки от Microsoft - Local Group Policy Object (LGPO), которая предназначена для автоматизации управления локальными групповыми политиками - https://www.sysadminchik.ru
👍1
Manspider - поиск информации в общих папках и локально
Есть задача регулярно проверять общие папки в локальной сети организации на наличие файлов, содержащих конфиденциальную информацию. Одним из инструментов, который может в этом помочь является программа Manspider.
Как это работает - https://sysadminchik.ru
Есть задача регулярно проверять общие папки в локальной сети организации на наличие файлов, содержащих конфиденциальную информацию. Одним из инструментов, который может в этом помочь является программа Manspider.
Как это работает - https://sysadminchik.ru
Всё больше приходится погружаться в тему информационной безопасности. Одна организация по роду своей деятельности подпадает под действие Указа Президента РФ от 01.05.2022 N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", где написано, что с 1 января 2025 г. запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении России недружественные действия.
Пришлось в этой организации инициировать покупку межсетевого экрана от российского разработчика. По результатам просмотра семинаров различных вендоров, общения со специалистами продавцов, сравнения цен - выбор пал на UserGate NGFW. Цены сейчас на продукты такого рода - ого-го. Хорошо, что в организации использовался старый прокси-сервер, который начинал глючить. Его в любом случае нужно было менять.
Пришлось в этой организации инициировать покупку межсетевого экрана от российского разработчика. По результатам просмотра семинаров различных вендоров, общения со специалистами продавцов, сравнения цен - выбор пал на UserGate NGFW. Цены сейчас на продукты такого рода - ого-го. Хорошо, что в организации использовался старый прокси-сервер, который начинал глючить. Его в любом случае нужно было менять.