Появилась задача поиска в сетевых папках организации файлов с запрещённым содержимым. В первую очередь сюда относятся документы с персональными данными. Задача усложняется тем, что искать нужно не только в текстовых файлах, но и в графических файлах.
Прежде чем творить своё решение, я решил посмотреть, что есть на рынке. Представители компаний, занимающиеся системной интеграцией в области ИТ и ИБ, предложили различные DCAP и DLP системы и прислали мне презентации этих программ (к слову, все отечественные). Цены на эти программы на сайтах компаний разработчиков не найти. Цена формируется позже в процессе таинства онлайн-встреч, заполнения опросных листов и ещё каких-то неведомых заказчику процессов. В результате получили коммерческие предложения на суммы от 1,5 млн до 27 млн рублей. На все программы цена формируется от количества доменных пользователей.
Все предложенные программы обладают большим набором функций - подобие «кухонного комбайна». Для нашей организации эти функции являются излишними и переплачивать за них руководство не готово. Во время онлайн-встреч с разработчиками я спрашивал о программах с меньшим набором функций. На что мне отвечали, что это им не интересно, так как за такие программы много не возьмёшь. Вот так и живём: организации не готовы переплачивать за лишние функции, а разработчики не желают подстраиваться под возможности и потребности потенциальных заказчиков.
Из общей картины выбилась одна программа, где цена может зависеть от объёма информации, который необходимо контролировать. Тут цена уже ниже (0,7 млн для 1 Тб и 1,1 для 5 Тб), но всё равно прилично.
Прежде чем творить своё решение, я решил посмотреть, что есть на рынке. Представители компаний, занимающиеся системной интеграцией в области ИТ и ИБ, предложили различные DCAP и DLP системы и прислали мне презентации этих программ (к слову, все отечественные). Цены на эти программы на сайтах компаний разработчиков не найти. Цена формируется позже в процессе таинства онлайн-встреч, заполнения опросных листов и ещё каких-то неведомых заказчику процессов. В результате получили коммерческие предложения на суммы от 1,5 млн до 27 млн рублей. На все программы цена формируется от количества доменных пользователей.
Все предложенные программы обладают большим набором функций - подобие «кухонного комбайна». Для нашей организации эти функции являются излишними и переплачивать за них руководство не готово. Во время онлайн-встреч с разработчиками я спрашивал о программах с меньшим набором функций. На что мне отвечали, что это им не интересно, так как за такие программы много не возьмёшь. Вот так и живём: организации не готовы переплачивать за лишние функции, а разработчики не желают подстраиваться под возможности и потребности потенциальных заказчиков.
Из общей картины выбилась одна программа, где цена может зависеть от объёма информации, который необходимо контролировать. Тут цена уже ниже (0,7 млн для 1 Тб и 1,1 для 5 Тб), но всё равно прилично.
У некоторых пользователей 1С при входе в информационную базу стала появляться ошибка:
Ошибка СУБД: Microsoft SQL Server Native Client 11.0: Недопустимое имя объекта "tty1".
В этом случае можно обойтись без перезагрузки сервера с MS SQL Server. Достаточно добавить ещё один файл базы tempdb. Это можно сделать через MS SQL Server Management Studio.
Про добавление таких файлов я писал в инструкции "Настройка MS SQL Server для 1С: Предприятие" - https://sysadminchik.ru
После проделанных изменений, 1С у проблемных пользователей стала запускаться без ошибок.
Ошибка СУБД: Microsoft SQL Server Native Client 11.0: Недопустимое имя объекта "tty1".
В этом случае можно обойтись без перезагрузки сервера с MS SQL Server. Достаточно добавить ещё один файл базы tempdb. Это можно сделать через MS SQL Server Management Studio.
Про добавление таких файлов я писал в инструкции "Настройка MS SQL Server для 1С: Предприятие" - https://sysadminchik.ru
После проделанных изменений, 1С у проблемных пользователей стала запускаться без ошибок.
👍6
Из 1С:ГитКонвертер в SonarQube - Часть 6: Перевыпуск сертификата репозитория GitLab
В какой-то момент 1С:ГитКонвертер перестал отправлять коммиты в локальный GitLab. Соответственно и до SonarQube перестал приходить код для анализа.
Оказалось, что закончился срок сертификата в GitLab, так как прошёл год с момента запуска 1С:ГитКонвертер. Порядок восстановления работы 1С:ГитКонвертер описал на сайте - https://sysadminchik.ru
В какой-то момент 1С:ГитКонвертер перестал отправлять коммиты в локальный GitLab. Соответственно и до SonarQube перестал приходить код для анализа.
Оказалось, что закончился срок сертификата в GitLab, так как прошёл год с момента запуска 1С:ГитКонвертер. Порядок восстановления работы 1С:ГитКонвертер описал на сайте - https://sysadminchik.ru
👍4
Конспект ГОСТ Р ИСО/МЭК 27001-2021 «Системы менеджмента информационной безопасности. Требования»
С одной стороны этот ГОСТ - скучный документ. Однако, когда не знаешь с чего начать строить информационную безопасность в организации, этот документ поможет выстроить дорогу к цели оптимальным образом.
Полезные, на мой взгляд, выдержки можно почитать здесь - https://sysadminchik.ru
С одной стороны этот ГОСТ - скучный документ. Однако, когда не знаешь с чего начать строить информационную безопасность в организации, этот документ поможет выстроить дорогу к цели оптимальным образом.
Полезные, на мой взгляд, выдержки можно почитать здесь - https://sysadminchik.ru
👍2
Настройка почтового клиента в 1С
Чтобы каждый раз не подключаться к пользователям для настройки почты в 1С, описал последовательность действий в этой инструкции - https://sysadminchik.ru
Чтобы каждый раз не подключаться к пользователям для настройки почты в 1С, описал последовательность действий в этой инструкции - https://sysadminchik.ru
👍3
Весной этого года был куплен межсетевой экран UserGate. С мая пытаемся запустить его в прод, как прокси-сервер, но всё никак не получается. То у пользователей тестовой группы выборочно и случайным образом пропадает интернет, то начинает ужасно тормозить интернет (при этом UserGate грузит процессор под 100%), то как-то пропал интернет у всех пользователей.
Регулярно обращаемся в техподдержку, которая предлагает разные варианты решения, которые в конечном счёте сводятся к тому, что "ждите обновление". Таким образом мы за пять месяцев перешли с 7.1 до 7.4 и обратно на 7.3. При этом с 7.1 на 7.2 нам обновляла техподдержка, так как штатными средствами не работало. С 7.2 на 7.3 нам не помогла даже техподдержка. Пришлось делать бэкап конфигурации, разворачивать с нуля и накатывать настройки из бэкапа. С 7.3 на 7.4 перешли штатно, но последняя версия у нас оказалась неработоспособной и нам посоветовали ждать 7.4.1. Сейчас работаем на 7.3, ждём обновление и всех пользователей пока не переводим на UserGate.
UserGate NGFW - российский продукт, который активно рекламируют. Там заявлен хороший функционал и у них быстро отвечает техподдержка. Всё, вроде бы, хорошо, но есть одно "но" - зачем выпускать в стабильную версию обновление продукта с багами?. От релиза к релизу в стабильной версии наблюдается нестабильная работа или полностью неработающий какой-нибудь функционал.
Вывод. Если нет жёстких требований по переходу на отечественные средства защиты периметра ИТ-инфраструктуры организации, то повремените с таким переходом. А перед покупкой и внедрением берите продукт для тестирования на 3-4 месяца (если позволяют серверные мощности и дополнительные подключения к интернету).
Регулярно обращаемся в техподдержку, которая предлагает разные варианты решения, которые в конечном счёте сводятся к тому, что "ждите обновление". Таким образом мы за пять месяцев перешли с 7.1 до 7.4 и обратно на 7.3. При этом с 7.1 на 7.2 нам обновляла техподдержка, так как штатными средствами не работало. С 7.2 на 7.3 нам не помогла даже техподдержка. Пришлось делать бэкап конфигурации, разворачивать с нуля и накатывать настройки из бэкапа. С 7.3 на 7.4 перешли штатно, но последняя версия у нас оказалась неработоспособной и нам посоветовали ждать 7.4.1. Сейчас работаем на 7.3, ждём обновление и всех пользователей пока не переводим на UserGate.
UserGate NGFW - российский продукт, который активно рекламируют. Там заявлен хороший функционал и у них быстро отвечает техподдержка. Всё, вроде бы, хорошо, но есть одно "но" - зачем выпускать в стабильную версию обновление продукта с багами?. От релиза к релизу в стабильной версии наблюдается нестабильная работа или полностью неработающий какой-нибудь функционал.
Вывод. Если нет жёстких требований по переходу на отечественные средства защиты периметра ИТ-инфраструктуры организации, то повремените с таким переходом. А перед покупкой и внедрением берите продукт для тестирования на 3-4 месяца (если позволяют серверные мощности и дополнительные подключения к интернету).
👍3
Применение групповой политики AD для пользователя только на определенных компьютерах
В одной организации в доменных групповых политиках есть политика, которая принудительно включает заставку экрана у всех доменных пользователей.
Однако есть несколько компьютеров, на которых блокировка экрана мешает работе, и нужно ее отключить.
Загвоздка в том, что политика действует на всех пользователей независимо от компьютеров, а исключить из этой политики нужно группу именно компьютеров.
Решение здесь - https://sysadminchik.ru
В одной организации в доменных групповых политиках есть политика, которая принудительно включает заставку экрана у всех доменных пользователей.
Однако есть несколько компьютеров, на которых блокировка экрана мешает работе, и нужно ее отключить.
Загвоздка в том, что политика действует на всех пользователей независимо от компьютеров, а исключить из этой политики нужно группу именно компьютеров.
Решение здесь - https://sysadminchik.ru
👍3
В организации сразу несколько сотрудников пожаловались на то, что контрагенты не могут им отправить электронные письма. На той стороне приходит отбойник:
То есть, на стороне отправителей почтовый сервер пытается разрешить MX-запись домена организации, который на этой стороне, но не может это сделать, и сообщение возвращается к себе - возникает цикл. Из организации письма к этим контрагентам уходят нормально.
При этом письма с почтовых серверов mail.ru или rambler.ru приходят штатно (позже с ними тоже возникли ошибки при отправке). Если бы проблема не носила массовый характер, то можно было бы предположить, что что-то не так на стороне контрагента.
Пока анализировались логи объявился сотрудник, который отвечает за корпоративный сайт, с интересной информацией. Просрочилась оплата за продление регистрации корпоративного домена, на который завязан сайт и почтовый сервер. Но компания исправно платит за все услуги связи и хостинг.
Когда стали разбираться, то выяснилось, что за это доменное имя организация ежемесячно платит Ростелекому. А Ростелеком должен раз в год оплачивать компании регистратору продление домена организации. И вот эту оплату Ростелеком не осуществил.
Переписка и созвоны с менеджерами Ростелекома длится уже четвертый день, и там не знают, как оперативно решить этот копеечный вопрос. Параллельно решается вопрос на прямое взаимодействие с компанией регистратором домена и уходе от посредника. И хорошо, что даётся месяц после окончания регистрации домена на оплату и оставление его за организацией. А то так можно его и лишиться.
Вот так недоработки сотрудников компании, в исполнительности которой были уверены, могут запустить череду неспокойных дней простым сисадминам. Сотрудники звонят с вопросами "что случилось" и "когда будет работать".
Remote Server returned '554 5.4.108 SMTPSEND.DNS.MxLoopback; DNS records for the next hop domain are configured in a loop
То есть, на стороне отправителей почтовый сервер пытается разрешить MX-запись домена организации, который на этой стороне, но не может это сделать, и сообщение возвращается к себе - возникает цикл. Из организации письма к этим контрагентам уходят нормально.
При этом письма с почтовых серверов mail.ru или rambler.ru приходят штатно (позже с ними тоже возникли ошибки при отправке). Если бы проблема не носила массовый характер, то можно было бы предположить, что что-то не так на стороне контрагента.
Пока анализировались логи объявился сотрудник, который отвечает за корпоративный сайт, с интересной информацией. Просрочилась оплата за продление регистрации корпоративного домена, на который завязан сайт и почтовый сервер. Но компания исправно платит за все услуги связи и хостинг.
Когда стали разбираться, то выяснилось, что за это доменное имя организация ежемесячно платит Ростелекому. А Ростелеком должен раз в год оплачивать компании регистратору продление домена организации. И вот эту оплату Ростелеком не осуществил.
Переписка и созвоны с менеджерами Ростелекома длится уже четвертый день, и там не знают, как оперативно решить этот копеечный вопрос. Параллельно решается вопрос на прямое взаимодействие с компанией регистратором домена и уходе от посредника. И хорошо, что даётся месяц после окончания регистрации домена на оплату и оставление его за организацией. А то так можно его и лишиться.
Вот так недоработки сотрудников компании, в исполнительности которой были уверены, могут запустить череду неспокойных дней простым сисадминам. Сотрудники звонят с вопросами "что случилось" и "когда будет работать".
🤯4
Вчера был на мероприятии BIS Summit - конференция по ИБ, которая в этом году была посвящена технологическому суверенитету.
Кратко о проблемах бизнеса при переходе на отечественные программы вообще и средства защиты информации в частности:
- дорого (причём дорого это не только про услуги внедрения, но и сами продукты) - показательно, что данную проблему озвучил представитель Сбера;
- часто несовместимость внедряемого системного ПО с прикладными решениями, от которых тяжело отказаться;
- часто нет бесшовной миграции сервисов с текущих зарубежных программ на российские аналоги;
- сырые программные и программно-аппаратные решения, и следом идёт то, что при обращении к разработчику с проблемами, выясняется, что некоторые разработчики не знают свой продукт;
- на российском рынке большое разнообразие одноклассовых решений - это как с китайскими марками машин, нужно время, чтобы начать в них ориентироваться.
На выступлениях часто поднималась тема искусственного интеллекта, как в
контексте помощника, так и, как потенциальная угроза ИТ-ресурсам компании.
Как вывод: государство будет продолжать усиливать безопасность критической информационной инфраструктуры, организациям необходимо это принять и быть готовыми реализовать эту защиту, а российские разработчики ПО готовы в этом помочь. Все понимаю сложность перехода, поэтому чрезмерного давления на бизнес в этом вопросе пока не наблюдается.
Кратко о проблемах бизнеса при переходе на отечественные программы вообще и средства защиты информации в частности:
- дорого (причём дорого это не только про услуги внедрения, но и сами продукты) - показательно, что данную проблему озвучил представитель Сбера;
- часто несовместимость внедряемого системного ПО с прикладными решениями, от которых тяжело отказаться;
- часто нет бесшовной миграции сервисов с текущих зарубежных программ на российские аналоги;
- сырые программные и программно-аппаратные решения, и следом идёт то, что при обращении к разработчику с проблемами, выясняется, что некоторые разработчики не знают свой продукт;
- на российском рынке большое разнообразие одноклассовых решений - это как с китайскими марками машин, нужно время, чтобы начать в них ориентироваться.
На выступлениях часто поднималась тема искусственного интеллекта, как в
контексте помощника, так и, как потенциальная угроза ИТ-ресурсам компании.
Как вывод: государство будет продолжать усиливать безопасность критической информационной инфраструктуры, организациям необходимо это принять и быть готовыми реализовать эту защиту, а российские разработчики ПО готовы в этом помочь. Все понимаю сложность перехода, поэтому чрезмерного давления на бизнес в этом вопросе пока не наблюдается.
VMware Player - Загрузка виртуальной машины с CD/DVD
Есть VMware Player 17 с виртуальной машиной с уже установленной ОС (в моём случае - Alt Linux). Возникла необходимость загрузить эту виртуальную машину с загрузочного CD-диска (iso-образа системы). Вот только в настройках виртуальной машины не нашлось соответствующего пункта, как, например, в VMware ESXi.
Нашёлся способ через внесение изменения в конфигурационный файл виртуальной машины - https://sysadminchik.ru
Есть VMware Player 17 с виртуальной машиной с уже установленной ОС (в моём случае - Alt Linux). Возникла необходимость загрузить эту виртуальную машину с загрузочного CD-диска (iso-образа системы). Вот только в настройках виртуальной машины не нашлось соответствующего пункта, как, например, в VMware ESXi.
Нашёлся способ через внесение изменения в конфигурационный файл виртуальной машины - https://sysadminchik.ru
👍2
Переустановка ОС Linux с сохранением пользовательской информации
Есть компьютер, на котором установлена ОС Alt Linux 10.4 и нужно переустановить ОС. При этом нужно сохранить информацию в пользовательской директории. В моём случае первоначальная установка системы была предусмотрительной и директория /home была смонтирована в отдельный раздел, поэтому не пришлось перекидывать файлы на внешний диск - https://sysadminchik.ru
Есть компьютер, на котором установлена ОС Alt Linux 10.4 и нужно переустановить ОС. При этом нужно сохранить информацию в пользовательской директории. В моём случае первоначальная установка системы была предусмотрительной и директория /home была смонтирована в отдельный раздел, поэтому не пришлось перекидывать файлы на внешний диск - https://sysadminchik.ru
👍3
Черные списки IP-адресов и доменных имен в межсетевом экране pfSense
Не всем организациям нужно использовать отечественные средства защиты информации, да и не всем они по карману. Но защищать информацию всё равно нужно.
В межсетевом экране pfSense есть возможность блокировать IP-адреса как для исходящего трафика (чтобы сотрудники случайно не посетили запрещённые ресурсы), так и для входящего (чтобы заблокировать несанкционированный доступ из вне). Блокирование сайтов по доменным именам будет актуально только для исходящего трафика.
Подробнее здесь - https://sysadminchik.ru
Иллюстрацию к посту нарисовал ИИ от Яндекс. Так она (Алиса) видит черный список адресов для межсетевого экрана :)
Не всем организациям нужно использовать отечественные средства защиты информации, да и не всем они по карману. Но защищать информацию всё равно нужно.
В межсетевом экране pfSense есть возможность блокировать IP-адреса как для исходящего трафика (чтобы сотрудники случайно не посетили запрещённые ресурсы), так и для входящего (чтобы заблокировать несанкционированный доступ из вне). Блокирование сайтов по доменным именам будет актуально только для исходящего трафика.
Подробнее здесь - https://sysadminchik.ru
Иллюстрацию к посту нарисовал ИИ от Яндекс. Так она (Алиса) видит черный список адресов для межсетевого экрана :)
👍2
Как очистить серверный кэш в 1С Предприятие на ОС Linux
При запуске информационной базы 1С (сервер 1С на Ubuntu) стала появляться следующая ошибка:
Было решено почистить серверный кэш 1С - https://sysadminchik.ru
При запуске информационной базы 1С (сервер 1С на Ubuntu) стала появляться следующая ошибка:
«Ошибка при выполнении файловой операции. [/built/jenkins/CommonBuildArea7ZYIIL7RB7UX/Platform/src/build/release64/_deps/ale-filter/0.1.19-4287ff43/LINUX/RELEASE_X64/package/include/ale/filter/lz4.hpp:125]: Error decompressing LZ4 data. LZ4 error: ERROR_decompressionFailed» Было решено почистить серверный кэш 1С - https://sysadminchik.ru
👍1
Бесплатная лицензия 1С для разработчиков
Возникла задача, для которой нужно было развернуть тестовую среду с отдельным сервером 1С. Свободной серверной лицензии нет, а с ломалками заморачиваться не хотелось. Так как мне было достаточно одного подключения к серверу 1С, то я воспользовался бесплатной лицензией для разработчиков - https://sysadminchik.ru
Возникла задача, для которой нужно было развернуть тестовую среду с отдельным сервером 1С. Свободной серверной лицензии нет, а с ломалками заморачиваться не хотелось. Так как мне было достаточно одного подключения к серверу 1С, то я воспользовался бесплатной лицензией для разработчиков - https://sysadminchik.ru
👍4
Сброс пароля пользователя 1С:Предприятие с базой на MS SQL Server
В организации забыли пароль от единственного пользователя 1С, у которого были полные права. При этом база находится в облаке - на арендованном виртуальном сервере.
Вот такие вводные на днях я получил от своих знакомых.
Несколько часов на поиск информации, переписку с техподдержкой и подготовку стенда, и на выходе появилась инструкция - https://sysadminchik.ru
В организации забыли пароль от единственного пользователя 1С, у которого были полные права. При этом база находится в облаке - на арендованном виртуальном сервере.
Вот такие вводные на днях я получил от своих знакомых.
Несколько часов на поиск информации, переписку с техподдержкой и подготовку стенда, и на выходе появилась инструкция - https://sysadminchik.ru
👍3
Особенность настройки синхронизации между конфигурациями 1С через каталог, если сервер 1С:Предприятие на ОС Linux
При настройке синхронизации через каталог нужно добиться того, чтобы доступ к каталогу, через который будет осуществляться синхронизация, был и у пользователя, который настраивает синхронизацию, и у сервера 1С (пользователя, от имени которого запущена служба).
Реализацию этой идеи для сервера 1С на ОС Linux я описал здесь - https://sysadminchik.ru
При настройке синхронизации через каталог нужно добиться того, чтобы доступ к каталогу, через который будет осуществляться синхронизация, был и у пользователя, который настраивает синхронизацию, и у сервера 1С (пользователя, от имени которого запущена служба).
Реализацию этой идеи для сервера 1С на ОС Linux я описал здесь - https://sysadminchik.ru
👍4
Виртуальная машина на ESXi 6.5 ни на что не реагирует
Обратил внимание, что в программе Veeam Backup & Replication при плановом создании бэкапа замерло на 0% задание создания резервной копии виртуальной машины. Виртуальная машина находится на ESXi 6.5. На стороне ESXi 6.5 это выглядит зависшим процессом создания снимка машины (Snapshot).
При этом видно, что сама виртуальная машина запущена, но не доступна и ни на что не реагирует. В оконном режиме эту проблему решить не получилось, пришлось переходить на консоль через SSH - https://www.sysadminchik.ru
Обратил внимание, что в программе Veeam Backup & Replication при плановом создании бэкапа замерло на 0% задание создания резервной копии виртуальной машины. Виртуальная машина находится на ESXi 6.5. На стороне ESXi 6.5 это выглядит зависшим процессом создания снимка машины (Snapshot).
При этом видно, что сама виртуальная машина запущена, но не доступна и ни на что не реагирует. В оконном режиме эту проблему решить не получилось, пришлось переходить на консоль через SSH - https://www.sysadminchik.ru
👍1
Timeshift - программа для создания копий (точек восстановления) системы в Linux
Проводя эксперименты на компьютере с ОС Alt Linux, озадачился вопросом создания точек восстановления. Наткнулся на программу Timeshift, при помощи которой также можно создавать копии системы по расписанию.
Подробнее здесь - https://sysadminchik.ru
Проводя эксперименты на компьютере с ОС Alt Linux, озадачился вопросом создания точек восстановления. Наткнулся на программу Timeshift, при помощи которой также можно создавать копии системы по расписанию.
Подробнее здесь - https://sysadminchik.ru
👍4