Дополнительное сообщение с рекомендацией изменить пароль
В организации групповыми политиками Windows настроены максимальный срок действия пароля для пользователей и напоминание пользователям за некоторое количество дней до истечении срока действия их пароля.
На компьютере пользователя это выглядит, как сообщение в нижнем правом углу рабочего стола. Минус в том, что это сообщение появляется всего на несколько секунд и само исчезает.
Поступило предложение, чтобы похожее уведомление висело на рабочем столе, пока пользователь его сам не закроет. Подробнее здесь - https://sysadminchik.ru
В организации групповыми политиками Windows настроены максимальный срок действия пароля для пользователей и напоминание пользователям за некоторое количество дней до истечении срока действия их пароля.
На компьютере пользователя это выглядит, как сообщение в нижнем правом углу рабочего стола. Минус в том, что это сообщение появляется всего на несколько секунд и само исчезает.
Поступило предложение, чтобы похожее уведомление висело на рабочем столе, пока пользователь его сам не закроет. Подробнее здесь - https://sysadminchik.ru
👍5
Windows - запрет передачи файлов на мобильный телефон
Возникла задача заблокировать возможность пользователям использовать на работе смартфоны (планшеты, фотоаппараты и др.), как носители информации.
Опишу два способа: через групповые политики (правда, он получился только через локальные групповые политики) и при помощи Kaspersky Security Center - https://sysadminchik.ru
Возникла задача заблокировать возможность пользователям использовать на работе смартфоны (планшеты, фотоаппараты и др.), как носители информации.
Опишу два способа: через групповые политики (правда, он получился только через локальные групповые политики) и при помощи Kaspersky Security Center - https://sysadminchik.ru
👍4
Один состоятельный человек заказал у художника картину за очень высокую цену. Когда он узнал, что эту картину художник писал всего два часа, состоятельный человек потребовал от художника вернуть деньги. Тогда художник ответил: "Я писал картину всю жизнь и ещё два часа".
Мне бывало неловко брать с людей или организаций деньги за работу, которую я выполнил за условные 15 минут. Или за ответ, который я дал сразу. Так как в такие моменты я часто ловлю недоумённые взгляды заказчиков.
Многие легче расстаются с деньгами, если видят, что работа заняла много времени. В таких случаях, если нет аврала и спешить некуда, я подгонял время выполнения работ под ожидаемый для себя доход за конкретную работу. И консультации давал спустя время на "подумать". Но в последнее время мне стало дорого моё время (возраст, наверное) и я руководствуюсь цитатой того художника, которую привёл выше - я сделал работу быстро не потому что она лёгкая, а потому что знаю, как ее выполнить.
Мне бывало неловко брать с людей или организаций деньги за работу, которую я выполнил за условные 15 минут. Или за ответ, который я дал сразу. Так как в такие моменты я часто ловлю недоумённые взгляды заказчиков.
Многие легче расстаются с деньгами, если видят, что работа заняла много времени. В таких случаях, если нет аврала и спешить некуда, я подгонял время выполнения работ под ожидаемый для себя доход за конкретную работу. И консультации давал спустя время на "подумать". Но в последнее время мне стало дорого моё время (возраст, наверное) и я руководствуюсь цитатой того художника, которую привёл выше - я сделал работу быстро не потому что она лёгкая, а потому что знаю, как ее выполнить.
👍6
1С: Тест по технологическим вопросам - для ознакомления
В рамках тестирования скрипта для онлайн-теста на своей странице я загрузил вопросы из 7 тем теста 1С по технологическим вопросам, которые больше подходят для системных администраторов: это с 1 по 5, 11 и 12. Подробнее здесь - https://sysadminchik.ru
В рамках тестирования скрипта для онлайн-теста на своей странице я загрузил вопросы из 7 тем теста 1С по технологическим вопросам, которые больше подходят для системных администраторов: это с 1 по 5, 11 и 12. Подробнее здесь - https://sysadminchik.ru
👍4
UserGate NGFW - Настройка VPN-сервера с двухфакторной аутентификацией. Часть 1
На примере UserGate NGFW 7.3 покажу, как настроить VPN-сервер с двухфакторной аутентификацией (одноразовый код будет приходить на электронную почту) - https://sysadminchik.ru
На примере UserGate NGFW 7.3 покажу, как настроить VPN-сервер с двухфакторной аутентификацией (одноразовый код будет приходить на электронную почту) - https://sysadminchik.ru
👍3
UserGate NGFW - Подключение по VPN на примере Windows 10. Часть 2
В первой части я настроил VPN-сервер на UserGate NGFW. Теперь переходим на сторону VPN-клиента - удалённого пользователя. Покажу на примере ОС Windows 10 (проверено, на Windows 11 тоже работает) - https://sysadminchik.ru
В первой части я настроил VPN-сервер на UserGate NGFW. Теперь переходим на сторону VPN-клиента - удалённого пользователя. Покажу на примере ОС Windows 10 (проверено, на Windows 11 тоже работает) - https://sysadminchik.ru
👍3
Символические ссылки в Windows для копирования при помощи Robocopy
В инструкции «Команда robocopy - копирование каталога с пробелами в имени» я описывал, как при помощи команды robocopy и планировщика задач Windows настроить создание резервных копий папок с документами. Там же я написал, что для копирования папок, в названии которых есть русские буквы, нужно подбирать кодировку.
На одном сервере что-то пошло не по плану и кодировка не помогла. Эксперименты со сменой кодировки также приводили к ошибке копирования. Помогли симлинки, подробнее здесь - https://sysadminchik.ru
В инструкции «Команда robocopy - копирование каталога с пробелами в имени» я описывал, как при помощи команды robocopy и планировщика задач Windows настроить создание резервных копий папок с документами. Там же я написал, что для копирования папок, в названии которых есть русские буквы, нужно подбирать кодировку.
На одном сервере что-то пошло не по плану и кодировка не помогла. Эксперименты со сменой кодировки также приводили к ошибке копирования. Помогли симлинки, подробнее здесь - https://sysadminchik.ru
👍4
Alt Linux - общая папка с ограниченным доступом
В своей инструкции «Создание сетевой папки или файлового сервера на Linux» я описывал, как настроить сетевую папку в Linux с полным доступом без авторизации. Однако при попытке войти в такую папку из новых версий Windows появляется ошибка «Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности».
Менять политики безопасности на таких Windows-системах не позволяют корпоративные требования. В такой ситуации нужно изменить настройки Samba на Linux-машине, где находится такая сетевая папка - https://sysadminchik.ru
В своей инструкции «Создание сетевой папки или файлового сервера на Linux» я описывал, как настроить сетевую папку в Linux с полным доступом без авторизации. Однако при попытке войти в такую папку из новых версий Windows появляется ошибка «Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности».
Менять политики безопасности на таких Windows-системах не позволяют корпоративные требования. В такой ситуации нужно изменить настройки Samba на Linux-машине, где находится такая сетевая папка - https://sysadminchik.ru
👍5
Центр сертификации в Alt Linux - штатное средство и XCA
Возникла задача выпустить сертификаты для корпоративного веб-портала, а также для SSL-инспектирования в межсетевом экране UserGate. Доменного центра сертификации в организации нет и системные администраторы не видят смысла его разворачивать.
Есть два достаточно быстрых способа, как это реализовать на ОС Linux. Покажу на примере Alt Linux 10.4 - https://sysadminchik.ru
Возникла задача выпустить сертификаты для корпоративного веб-портала, а также для SSL-инспектирования в межсетевом экране UserGate. Доменного центра сертификации в организации нет и системные администраторы не видят смысла его разворачивать.
Есть два достаточно быстрых способа, как это реализовать на ОС Linux. Покажу на примере Alt Linux 10.4 - https://sysadminchik.ru
Появилась задача поиска в сетевых папках организации файлов с запрещённым содержимым. В первую очередь сюда относятся документы с персональными данными. Задача усложняется тем, что искать нужно не только в текстовых файлах, но и в графических файлах.
Прежде чем творить своё решение, я решил посмотреть, что есть на рынке. Представители компаний, занимающиеся системной интеграцией в области ИТ и ИБ, предложили различные DCAP и DLP системы и прислали мне презентации этих программ (к слову, все отечественные). Цены на эти программы на сайтах компаний разработчиков не найти. Цена формируется позже в процессе таинства онлайн-встреч, заполнения опросных листов и ещё каких-то неведомых заказчику процессов. В результате получили коммерческие предложения на суммы от 1,5 млн до 27 млн рублей. На все программы цена формируется от количества доменных пользователей.
Все предложенные программы обладают большим набором функций - подобие «кухонного комбайна». Для нашей организации эти функции являются излишними и переплачивать за них руководство не готово. Во время онлайн-встреч с разработчиками я спрашивал о программах с меньшим набором функций. На что мне отвечали, что это им не интересно, так как за такие программы много не возьмёшь. Вот так и живём: организации не готовы переплачивать за лишние функции, а разработчики не желают подстраиваться под возможности и потребности потенциальных заказчиков.
Из общей картины выбилась одна программа, где цена может зависеть от объёма информации, который необходимо контролировать. Тут цена уже ниже (0,7 млн для 1 Тб и 1,1 для 5 Тб), но всё равно прилично.
Прежде чем творить своё решение, я решил посмотреть, что есть на рынке. Представители компаний, занимающиеся системной интеграцией в области ИТ и ИБ, предложили различные DCAP и DLP системы и прислали мне презентации этих программ (к слову, все отечественные). Цены на эти программы на сайтах компаний разработчиков не найти. Цена формируется позже в процессе таинства онлайн-встреч, заполнения опросных листов и ещё каких-то неведомых заказчику процессов. В результате получили коммерческие предложения на суммы от 1,5 млн до 27 млн рублей. На все программы цена формируется от количества доменных пользователей.
Все предложенные программы обладают большим набором функций - подобие «кухонного комбайна». Для нашей организации эти функции являются излишними и переплачивать за них руководство не готово. Во время онлайн-встреч с разработчиками я спрашивал о программах с меньшим набором функций. На что мне отвечали, что это им не интересно, так как за такие программы много не возьмёшь. Вот так и живём: организации не готовы переплачивать за лишние функции, а разработчики не желают подстраиваться под возможности и потребности потенциальных заказчиков.
Из общей картины выбилась одна программа, где цена может зависеть от объёма информации, который необходимо контролировать. Тут цена уже ниже (0,7 млн для 1 Тб и 1,1 для 5 Тб), но всё равно прилично.
У некоторых пользователей 1С при входе в информационную базу стала появляться ошибка:
Ошибка СУБД: Microsoft SQL Server Native Client 11.0: Недопустимое имя объекта "tty1".
В этом случае можно обойтись без перезагрузки сервера с MS SQL Server. Достаточно добавить ещё один файл базы tempdb. Это можно сделать через MS SQL Server Management Studio.
Про добавление таких файлов я писал в инструкции "Настройка MS SQL Server для 1С: Предприятие" - https://sysadminchik.ru
После проделанных изменений, 1С у проблемных пользователей стала запускаться без ошибок.
Ошибка СУБД: Microsoft SQL Server Native Client 11.0: Недопустимое имя объекта "tty1".
В этом случае можно обойтись без перезагрузки сервера с MS SQL Server. Достаточно добавить ещё один файл базы tempdb. Это можно сделать через MS SQL Server Management Studio.
Про добавление таких файлов я писал в инструкции "Настройка MS SQL Server для 1С: Предприятие" - https://sysadminchik.ru
После проделанных изменений, 1С у проблемных пользователей стала запускаться без ошибок.
👍6
Из 1С:ГитКонвертер в SonarQube - Часть 6: Перевыпуск сертификата репозитория GitLab
В какой-то момент 1С:ГитКонвертер перестал отправлять коммиты в локальный GitLab. Соответственно и до SonarQube перестал приходить код для анализа.
Оказалось, что закончился срок сертификата в GitLab, так как прошёл год с момента запуска 1С:ГитКонвертер. Порядок восстановления работы 1С:ГитКонвертер описал на сайте - https://sysadminchik.ru
В какой-то момент 1С:ГитКонвертер перестал отправлять коммиты в локальный GitLab. Соответственно и до SonarQube перестал приходить код для анализа.
Оказалось, что закончился срок сертификата в GitLab, так как прошёл год с момента запуска 1С:ГитКонвертер. Порядок восстановления работы 1С:ГитКонвертер описал на сайте - https://sysadminchik.ru
👍4
Конспект ГОСТ Р ИСО/МЭК 27001-2021 «Системы менеджмента информационной безопасности. Требования»
С одной стороны этот ГОСТ - скучный документ. Однако, когда не знаешь с чего начать строить информационную безопасность в организации, этот документ поможет выстроить дорогу к цели оптимальным образом.
Полезные, на мой взгляд, выдержки можно почитать здесь - https://sysadminchik.ru
С одной стороны этот ГОСТ - скучный документ. Однако, когда не знаешь с чего начать строить информационную безопасность в организации, этот документ поможет выстроить дорогу к цели оптимальным образом.
Полезные, на мой взгляд, выдержки можно почитать здесь - https://sysadminchik.ru
👍2
Настройка почтового клиента в 1С
Чтобы каждый раз не подключаться к пользователям для настройки почты в 1С, описал последовательность действий в этой инструкции - https://sysadminchik.ru
Чтобы каждый раз не подключаться к пользователям для настройки почты в 1С, описал последовательность действий в этой инструкции - https://sysadminchik.ru
👍3
Весной этого года был куплен межсетевой экран UserGate. С мая пытаемся запустить его в прод, как прокси-сервер, но всё никак не получается. То у пользователей тестовой группы выборочно и случайным образом пропадает интернет, то начинает ужасно тормозить интернет (при этом UserGate грузит процессор под 100%), то как-то пропал интернет у всех пользователей.
Регулярно обращаемся в техподдержку, которая предлагает разные варианты решения, которые в конечном счёте сводятся к тому, что "ждите обновление". Таким образом мы за пять месяцев перешли с 7.1 до 7.4 и обратно на 7.3. При этом с 7.1 на 7.2 нам обновляла техподдержка, так как штатными средствами не работало. С 7.2 на 7.3 нам не помогла даже техподдержка. Пришлось делать бэкап конфигурации, разворачивать с нуля и накатывать настройки из бэкапа. С 7.3 на 7.4 перешли штатно, но последняя версия у нас оказалась неработоспособной и нам посоветовали ждать 7.4.1. Сейчас работаем на 7.3, ждём обновление и всех пользователей пока не переводим на UserGate.
UserGate NGFW - российский продукт, который активно рекламируют. Там заявлен хороший функционал и у них быстро отвечает техподдержка. Всё, вроде бы, хорошо, но есть одно "но" - зачем выпускать в стабильную версию обновление продукта с багами?. От релиза к релизу в стабильной версии наблюдается нестабильная работа или полностью неработающий какой-нибудь функционал.
Вывод. Если нет жёстких требований по переходу на отечественные средства защиты периметра ИТ-инфраструктуры организации, то повремените с таким переходом. А перед покупкой и внедрением берите продукт для тестирования на 3-4 месяца (если позволяют серверные мощности и дополнительные подключения к интернету).
Регулярно обращаемся в техподдержку, которая предлагает разные варианты решения, которые в конечном счёте сводятся к тому, что "ждите обновление". Таким образом мы за пять месяцев перешли с 7.1 до 7.4 и обратно на 7.3. При этом с 7.1 на 7.2 нам обновляла техподдержка, так как штатными средствами не работало. С 7.2 на 7.3 нам не помогла даже техподдержка. Пришлось делать бэкап конфигурации, разворачивать с нуля и накатывать настройки из бэкапа. С 7.3 на 7.4 перешли штатно, но последняя версия у нас оказалась неработоспособной и нам посоветовали ждать 7.4.1. Сейчас работаем на 7.3, ждём обновление и всех пользователей пока не переводим на UserGate.
UserGate NGFW - российский продукт, который активно рекламируют. Там заявлен хороший функционал и у них быстро отвечает техподдержка. Всё, вроде бы, хорошо, но есть одно "но" - зачем выпускать в стабильную версию обновление продукта с багами?. От релиза к релизу в стабильной версии наблюдается нестабильная работа или полностью неработающий какой-нибудь функционал.
Вывод. Если нет жёстких требований по переходу на отечественные средства защиты периметра ИТ-инфраструктуры организации, то повремените с таким переходом. А перед покупкой и внедрением берите продукт для тестирования на 3-4 месяца (если позволяют серверные мощности и дополнительные подключения к интернету).
👍3
Применение групповой политики AD для пользователя только на определенных компьютерах
В одной организации в доменных групповых политиках есть политика, которая принудительно включает заставку экрана у всех доменных пользователей.
Однако есть несколько компьютеров, на которых блокировка экрана мешает работе, и нужно ее отключить.
Загвоздка в том, что политика действует на всех пользователей независимо от компьютеров, а исключить из этой политики нужно группу именно компьютеров.
Решение здесь - https://sysadminchik.ru
В одной организации в доменных групповых политиках есть политика, которая принудительно включает заставку экрана у всех доменных пользователей.
Однако есть несколько компьютеров, на которых блокировка экрана мешает работе, и нужно ее отключить.
Загвоздка в том, что политика действует на всех пользователей независимо от компьютеров, а исключить из этой политики нужно группу именно компьютеров.
Решение здесь - https://sysadminchik.ru
👍3
В организации сразу несколько сотрудников пожаловались на то, что контрагенты не могут им отправить электронные письма. На той стороне приходит отбойник:
То есть, на стороне отправителей почтовый сервер пытается разрешить MX-запись домена организации, который на этой стороне, но не может это сделать, и сообщение возвращается к себе - возникает цикл. Из организации письма к этим контрагентам уходят нормально.
При этом письма с почтовых серверов mail.ru или rambler.ru приходят штатно (позже с ними тоже возникли ошибки при отправке). Если бы проблема не носила массовый характер, то можно было бы предположить, что что-то не так на стороне контрагента.
Пока анализировались логи объявился сотрудник, который отвечает за корпоративный сайт, с интересной информацией. Просрочилась оплата за продление регистрации корпоративного домена, на который завязан сайт и почтовый сервер. Но компания исправно платит за все услуги связи и хостинг.
Когда стали разбираться, то выяснилось, что за это доменное имя организация ежемесячно платит Ростелекому. А Ростелеком должен раз в год оплачивать компании регистратору продление домена организации. И вот эту оплату Ростелеком не осуществил.
Переписка и созвоны с менеджерами Ростелекома длится уже четвертый день, и там не знают, как оперативно решить этот копеечный вопрос. Параллельно решается вопрос на прямое взаимодействие с компанией регистратором домена и уходе от посредника. И хорошо, что даётся месяц после окончания регистрации домена на оплату и оставление его за организацией. А то так можно его и лишиться.
Вот так недоработки сотрудников компании, в исполнительности которой были уверены, могут запустить череду неспокойных дней простым сисадминам. Сотрудники звонят с вопросами "что случилось" и "когда будет работать".
Remote Server returned '554 5.4.108 SMTPSEND.DNS.MxLoopback; DNS records for the next hop domain are configured in a loop
То есть, на стороне отправителей почтовый сервер пытается разрешить MX-запись домена организации, который на этой стороне, но не может это сделать, и сообщение возвращается к себе - возникает цикл. Из организации письма к этим контрагентам уходят нормально.
При этом письма с почтовых серверов mail.ru или rambler.ru приходят штатно (позже с ними тоже возникли ошибки при отправке). Если бы проблема не носила массовый характер, то можно было бы предположить, что что-то не так на стороне контрагента.
Пока анализировались логи объявился сотрудник, который отвечает за корпоративный сайт, с интересной информацией. Просрочилась оплата за продление регистрации корпоративного домена, на который завязан сайт и почтовый сервер. Но компания исправно платит за все услуги связи и хостинг.
Когда стали разбираться, то выяснилось, что за это доменное имя организация ежемесячно платит Ростелекому. А Ростелеком должен раз в год оплачивать компании регистратору продление домена организации. И вот эту оплату Ростелеком не осуществил.
Переписка и созвоны с менеджерами Ростелекома длится уже четвертый день, и там не знают, как оперативно решить этот копеечный вопрос. Параллельно решается вопрос на прямое взаимодействие с компанией регистратором домена и уходе от посредника. И хорошо, что даётся месяц после окончания регистрации домена на оплату и оставление его за организацией. А то так можно его и лишиться.
Вот так недоработки сотрудников компании, в исполнительности которой были уверены, могут запустить череду неспокойных дней простым сисадминам. Сотрудники звонят с вопросами "что случилось" и "когда будет работать".
🤯4
Вчера был на мероприятии BIS Summit - конференция по ИБ, которая в этом году была посвящена технологическому суверенитету.
Кратко о проблемах бизнеса при переходе на отечественные программы вообще и средства защиты информации в частности:
- дорого (причём дорого это не только про услуги внедрения, но и сами продукты) - показательно, что данную проблему озвучил представитель Сбера;
- часто несовместимость внедряемого системного ПО с прикладными решениями, от которых тяжело отказаться;
- часто нет бесшовной миграции сервисов с текущих зарубежных программ на российские аналоги;
- сырые программные и программно-аппаратные решения, и следом идёт то, что при обращении к разработчику с проблемами, выясняется, что некоторые разработчики не знают свой продукт;
- на российском рынке большое разнообразие одноклассовых решений - это как с китайскими марками машин, нужно время, чтобы начать в них ориентироваться.
На выступлениях часто поднималась тема искусственного интеллекта, как в
контексте помощника, так и, как потенциальная угроза ИТ-ресурсам компании.
Как вывод: государство будет продолжать усиливать безопасность критической информационной инфраструктуры, организациям необходимо это принять и быть готовыми реализовать эту защиту, а российские разработчики ПО готовы в этом помочь. Все понимаю сложность перехода, поэтому чрезмерного давления на бизнес в этом вопросе пока не наблюдается.
Кратко о проблемах бизнеса при переходе на отечественные программы вообще и средства защиты информации в частности:
- дорого (причём дорого это не только про услуги внедрения, но и сами продукты) - показательно, что данную проблему озвучил представитель Сбера;
- часто несовместимость внедряемого системного ПО с прикладными решениями, от которых тяжело отказаться;
- часто нет бесшовной миграции сервисов с текущих зарубежных программ на российские аналоги;
- сырые программные и программно-аппаратные решения, и следом идёт то, что при обращении к разработчику с проблемами, выясняется, что некоторые разработчики не знают свой продукт;
- на российском рынке большое разнообразие одноклассовых решений - это как с китайскими марками машин, нужно время, чтобы начать в них ориентироваться.
На выступлениях часто поднималась тема искусственного интеллекта, как в
контексте помощника, так и, как потенциальная угроза ИТ-ресурсам компании.
Как вывод: государство будет продолжать усиливать безопасность критической информационной инфраструктуры, организациям необходимо это принять и быть готовыми реализовать эту защиту, а российские разработчики ПО готовы в этом помочь. Все понимаю сложность перехода, поэтому чрезмерного давления на бизнес в этом вопросе пока не наблюдается.
VMware Player - Загрузка виртуальной машины с CD/DVD
Есть VMware Player 17 с виртуальной машиной с уже установленной ОС (в моём случае - Alt Linux). Возникла необходимость загрузить эту виртуальную машину с загрузочного CD-диска (iso-образа системы). Вот только в настройках виртуальной машины не нашлось соответствующего пункта, как, например, в VMware ESXi.
Нашёлся способ через внесение изменения в конфигурационный файл виртуальной машины - https://sysadminchik.ru
Есть VMware Player 17 с виртуальной машиной с уже установленной ОС (в моём случае - Alt Linux). Возникла необходимость загрузить эту виртуальную машину с загрузочного CD-диска (iso-образа системы). Вот только в настройках виртуальной машины не нашлось соответствующего пункта, как, например, в VMware ESXi.
Нашёлся способ через внесение изменения в конфигурационный файл виртуальной машины - https://sysadminchik.ru
👍2
Переустановка ОС Linux с сохранением пользовательской информации
Есть компьютер, на котором установлена ОС Alt Linux 10.4 и нужно переустановить ОС. При этом нужно сохранить информацию в пользовательской директории. В моём случае первоначальная установка системы была предусмотрительной и директория /home была смонтирована в отдельный раздел, поэтому не пришлось перекидывать файлы на внешний диск - https://sysadminchik.ru
Есть компьютер, на котором установлена ОС Alt Linux 10.4 и нужно переустановить ОС. При этом нужно сохранить информацию в пользовательской директории. В моём случае первоначальная установка системы была предусмотрительной и директория /home была смонтирована в отдельный раздел, поэтому не пришлось перекидывать файлы на внешний диск - https://sysadminchik.ru
👍3