Конспект ГОСТ Р ИСО/МЭК 27001-2021 «Системы менеджмента информационной безопасности. Требования»
С одной стороны этот ГОСТ - скучный документ. Однако, когда не знаешь с чего начать строить информационную безопасность в организации, этот документ поможет выстроить дорогу к цели оптимальным образом.
Полезные, на мой взгляд, выдержки можно почитать здесь - https://sysadminchik.ru
С одной стороны этот ГОСТ - скучный документ. Однако, когда не знаешь с чего начать строить информационную безопасность в организации, этот документ поможет выстроить дорогу к цели оптимальным образом.
Полезные, на мой взгляд, выдержки можно почитать здесь - https://sysadminchik.ru
👍2
Настройка почтового клиента в 1С
Чтобы каждый раз не подключаться к пользователям для настройки почты в 1С, описал последовательность действий в этой инструкции - https://sysadminchik.ru
Чтобы каждый раз не подключаться к пользователям для настройки почты в 1С, описал последовательность действий в этой инструкции - https://sysadminchik.ru
👍3
Весной этого года был куплен межсетевой экран UserGate. С мая пытаемся запустить его в прод, как прокси-сервер, но всё никак не получается. То у пользователей тестовой группы выборочно и случайным образом пропадает интернет, то начинает ужасно тормозить интернет (при этом UserGate грузит процессор под 100%), то как-то пропал интернет у всех пользователей.
Регулярно обращаемся в техподдержку, которая предлагает разные варианты решения, которые в конечном счёте сводятся к тому, что "ждите обновление". Таким образом мы за пять месяцев перешли с 7.1 до 7.4 и обратно на 7.3. При этом с 7.1 на 7.2 нам обновляла техподдержка, так как штатными средствами не работало. С 7.2 на 7.3 нам не помогла даже техподдержка. Пришлось делать бэкап конфигурации, разворачивать с нуля и накатывать настройки из бэкапа. С 7.3 на 7.4 перешли штатно, но последняя версия у нас оказалась неработоспособной и нам посоветовали ждать 7.4.1. Сейчас работаем на 7.3, ждём обновление и всех пользователей пока не переводим на UserGate.
UserGate NGFW - российский продукт, который активно рекламируют. Там заявлен хороший функционал и у них быстро отвечает техподдержка. Всё, вроде бы, хорошо, но есть одно "но" - зачем выпускать в стабильную версию обновление продукта с багами?. От релиза к релизу в стабильной версии наблюдается нестабильная работа или полностью неработающий какой-нибудь функционал.
Вывод. Если нет жёстких требований по переходу на отечественные средства защиты периметра ИТ-инфраструктуры организации, то повремените с таким переходом. А перед покупкой и внедрением берите продукт для тестирования на 3-4 месяца (если позволяют серверные мощности и дополнительные подключения к интернету).
Регулярно обращаемся в техподдержку, которая предлагает разные варианты решения, которые в конечном счёте сводятся к тому, что "ждите обновление". Таким образом мы за пять месяцев перешли с 7.1 до 7.4 и обратно на 7.3. При этом с 7.1 на 7.2 нам обновляла техподдержка, так как штатными средствами не работало. С 7.2 на 7.3 нам не помогла даже техподдержка. Пришлось делать бэкап конфигурации, разворачивать с нуля и накатывать настройки из бэкапа. С 7.3 на 7.4 перешли штатно, но последняя версия у нас оказалась неработоспособной и нам посоветовали ждать 7.4.1. Сейчас работаем на 7.3, ждём обновление и всех пользователей пока не переводим на UserGate.
UserGate NGFW - российский продукт, который активно рекламируют. Там заявлен хороший функционал и у них быстро отвечает техподдержка. Всё, вроде бы, хорошо, но есть одно "но" - зачем выпускать в стабильную версию обновление продукта с багами?. От релиза к релизу в стабильной версии наблюдается нестабильная работа или полностью неработающий какой-нибудь функционал.
Вывод. Если нет жёстких требований по переходу на отечественные средства защиты периметра ИТ-инфраструктуры организации, то повремените с таким переходом. А перед покупкой и внедрением берите продукт для тестирования на 3-4 месяца (если позволяют серверные мощности и дополнительные подключения к интернету).
👍3
Применение групповой политики AD для пользователя только на определенных компьютерах
В одной организации в доменных групповых политиках есть политика, которая принудительно включает заставку экрана у всех доменных пользователей.
Однако есть несколько компьютеров, на которых блокировка экрана мешает работе, и нужно ее отключить.
Загвоздка в том, что политика действует на всех пользователей независимо от компьютеров, а исключить из этой политики нужно группу именно компьютеров.
Решение здесь - https://sysadminchik.ru
В одной организации в доменных групповых политиках есть политика, которая принудительно включает заставку экрана у всех доменных пользователей.
Однако есть несколько компьютеров, на которых блокировка экрана мешает работе, и нужно ее отключить.
Загвоздка в том, что политика действует на всех пользователей независимо от компьютеров, а исключить из этой политики нужно группу именно компьютеров.
Решение здесь - https://sysadminchik.ru
👍3
В организации сразу несколько сотрудников пожаловались на то, что контрагенты не могут им отправить электронные письма. На той стороне приходит отбойник:
То есть, на стороне отправителей почтовый сервер пытается разрешить MX-запись домена организации, который на этой стороне, но не может это сделать, и сообщение возвращается к себе - возникает цикл. Из организации письма к этим контрагентам уходят нормально.
При этом письма с почтовых серверов mail.ru или rambler.ru приходят штатно (позже с ними тоже возникли ошибки при отправке). Если бы проблема не носила массовый характер, то можно было бы предположить, что что-то не так на стороне контрагента.
Пока анализировались логи объявился сотрудник, который отвечает за корпоративный сайт, с интересной информацией. Просрочилась оплата за продление регистрации корпоративного домена, на который завязан сайт и почтовый сервер. Но компания исправно платит за все услуги связи и хостинг.
Когда стали разбираться, то выяснилось, что за это доменное имя организация ежемесячно платит Ростелекому. А Ростелеком должен раз в год оплачивать компании регистратору продление домена организации. И вот эту оплату Ростелеком не осуществил.
Переписка и созвоны с менеджерами Ростелекома длится уже четвертый день, и там не знают, как оперативно решить этот копеечный вопрос. Параллельно решается вопрос на прямое взаимодействие с компанией регистратором домена и уходе от посредника. И хорошо, что даётся месяц после окончания регистрации домена на оплату и оставление его за организацией. А то так можно его и лишиться.
Вот так недоработки сотрудников компании, в исполнительности которой были уверены, могут запустить череду неспокойных дней простым сисадминам. Сотрудники звонят с вопросами "что случилось" и "когда будет работать".
Remote Server returned '554 5.4.108 SMTPSEND.DNS.MxLoopback; DNS records for the next hop domain are configured in a loop
То есть, на стороне отправителей почтовый сервер пытается разрешить MX-запись домена организации, который на этой стороне, но не может это сделать, и сообщение возвращается к себе - возникает цикл. Из организации письма к этим контрагентам уходят нормально.
При этом письма с почтовых серверов mail.ru или rambler.ru приходят штатно (позже с ними тоже возникли ошибки при отправке). Если бы проблема не носила массовый характер, то можно было бы предположить, что что-то не так на стороне контрагента.
Пока анализировались логи объявился сотрудник, который отвечает за корпоративный сайт, с интересной информацией. Просрочилась оплата за продление регистрации корпоративного домена, на который завязан сайт и почтовый сервер. Но компания исправно платит за все услуги связи и хостинг.
Когда стали разбираться, то выяснилось, что за это доменное имя организация ежемесячно платит Ростелекому. А Ростелеком должен раз в год оплачивать компании регистратору продление домена организации. И вот эту оплату Ростелеком не осуществил.
Переписка и созвоны с менеджерами Ростелекома длится уже четвертый день, и там не знают, как оперативно решить этот копеечный вопрос. Параллельно решается вопрос на прямое взаимодействие с компанией регистратором домена и уходе от посредника. И хорошо, что даётся месяц после окончания регистрации домена на оплату и оставление его за организацией. А то так можно его и лишиться.
Вот так недоработки сотрудников компании, в исполнительности которой были уверены, могут запустить череду неспокойных дней простым сисадминам. Сотрудники звонят с вопросами "что случилось" и "когда будет работать".
🤯4
Вчера был на мероприятии BIS Summit - конференция по ИБ, которая в этом году была посвящена технологическому суверенитету.
Кратко о проблемах бизнеса при переходе на отечественные программы вообще и средства защиты информации в частности:
- дорого (причём дорого это не только про услуги внедрения, но и сами продукты) - показательно, что данную проблему озвучил представитель Сбера;
- часто несовместимость внедряемого системного ПО с прикладными решениями, от которых тяжело отказаться;
- часто нет бесшовной миграции сервисов с текущих зарубежных программ на российские аналоги;
- сырые программные и программно-аппаратные решения, и следом идёт то, что при обращении к разработчику с проблемами, выясняется, что некоторые разработчики не знают свой продукт;
- на российском рынке большое разнообразие одноклассовых решений - это как с китайскими марками машин, нужно время, чтобы начать в них ориентироваться.
На выступлениях часто поднималась тема искусственного интеллекта, как в
контексте помощника, так и, как потенциальная угроза ИТ-ресурсам компании.
Как вывод: государство будет продолжать усиливать безопасность критической информационной инфраструктуры, организациям необходимо это принять и быть готовыми реализовать эту защиту, а российские разработчики ПО готовы в этом помочь. Все понимаю сложность перехода, поэтому чрезмерного давления на бизнес в этом вопросе пока не наблюдается.
Кратко о проблемах бизнеса при переходе на отечественные программы вообще и средства защиты информации в частности:
- дорого (причём дорого это не только про услуги внедрения, но и сами продукты) - показательно, что данную проблему озвучил представитель Сбера;
- часто несовместимость внедряемого системного ПО с прикладными решениями, от которых тяжело отказаться;
- часто нет бесшовной миграции сервисов с текущих зарубежных программ на российские аналоги;
- сырые программные и программно-аппаратные решения, и следом идёт то, что при обращении к разработчику с проблемами, выясняется, что некоторые разработчики не знают свой продукт;
- на российском рынке большое разнообразие одноклассовых решений - это как с китайскими марками машин, нужно время, чтобы начать в них ориентироваться.
На выступлениях часто поднималась тема искусственного интеллекта, как в
контексте помощника, так и, как потенциальная угроза ИТ-ресурсам компании.
Как вывод: государство будет продолжать усиливать безопасность критической информационной инфраструктуры, организациям необходимо это принять и быть готовыми реализовать эту защиту, а российские разработчики ПО готовы в этом помочь. Все понимаю сложность перехода, поэтому чрезмерного давления на бизнес в этом вопросе пока не наблюдается.
VMware Player - Загрузка виртуальной машины с CD/DVD
Есть VMware Player 17 с виртуальной машиной с уже установленной ОС (в моём случае - Alt Linux). Возникла необходимость загрузить эту виртуальную машину с загрузочного CD-диска (iso-образа системы). Вот только в настройках виртуальной машины не нашлось соответствующего пункта, как, например, в VMware ESXi.
Нашёлся способ через внесение изменения в конфигурационный файл виртуальной машины - https://sysadminchik.ru
Есть VMware Player 17 с виртуальной машиной с уже установленной ОС (в моём случае - Alt Linux). Возникла необходимость загрузить эту виртуальную машину с загрузочного CD-диска (iso-образа системы). Вот только в настройках виртуальной машины не нашлось соответствующего пункта, как, например, в VMware ESXi.
Нашёлся способ через внесение изменения в конфигурационный файл виртуальной машины - https://sysadminchik.ru
👍2
Переустановка ОС Linux с сохранением пользовательской информации
Есть компьютер, на котором установлена ОС Alt Linux 10.4 и нужно переустановить ОС. При этом нужно сохранить информацию в пользовательской директории. В моём случае первоначальная установка системы была предусмотрительной и директория /home была смонтирована в отдельный раздел, поэтому не пришлось перекидывать файлы на внешний диск - https://sysadminchik.ru
Есть компьютер, на котором установлена ОС Alt Linux 10.4 и нужно переустановить ОС. При этом нужно сохранить информацию в пользовательской директории. В моём случае первоначальная установка системы была предусмотрительной и директория /home была смонтирована в отдельный раздел, поэтому не пришлось перекидывать файлы на внешний диск - https://sysadminchik.ru
👍3
Черные списки IP-адресов и доменных имен в межсетевом экране pfSense
Не всем организациям нужно использовать отечественные средства защиты информации, да и не всем они по карману. Но защищать информацию всё равно нужно.
В межсетевом экране pfSense есть возможность блокировать IP-адреса как для исходящего трафика (чтобы сотрудники случайно не посетили запрещённые ресурсы), так и для входящего (чтобы заблокировать несанкционированный доступ из вне). Блокирование сайтов по доменным именам будет актуально только для исходящего трафика.
Подробнее здесь - https://sysadminchik.ru
Иллюстрацию к посту нарисовал ИИ от Яндекс. Так она (Алиса) видит черный список адресов для межсетевого экрана :)
Не всем организациям нужно использовать отечественные средства защиты информации, да и не всем они по карману. Но защищать информацию всё равно нужно.
В межсетевом экране pfSense есть возможность блокировать IP-адреса как для исходящего трафика (чтобы сотрудники случайно не посетили запрещённые ресурсы), так и для входящего (чтобы заблокировать несанкционированный доступ из вне). Блокирование сайтов по доменным именам будет актуально только для исходящего трафика.
Подробнее здесь - https://sysadminchik.ru
Иллюстрацию к посту нарисовал ИИ от Яндекс. Так она (Алиса) видит черный список адресов для межсетевого экрана :)
👍2
Как очистить серверный кэш в 1С Предприятие на ОС Linux
При запуске информационной базы 1С (сервер 1С на Ubuntu) стала появляться следующая ошибка:
Было решено почистить серверный кэш 1С - https://sysadminchik.ru
При запуске информационной базы 1С (сервер 1С на Ubuntu) стала появляться следующая ошибка:
«Ошибка при выполнении файловой операции. [/built/jenkins/CommonBuildArea7ZYIIL7RB7UX/Platform/src/build/release64/_deps/ale-filter/0.1.19-4287ff43/LINUX/RELEASE_X64/package/include/ale/filter/lz4.hpp:125]: Error decompressing LZ4 data. LZ4 error: ERROR_decompressionFailed» Было решено почистить серверный кэш 1С - https://sysadminchik.ru
👍1
Бесплатная лицензия 1С для разработчиков
Возникла задача, для которой нужно было развернуть тестовую среду с отдельным сервером 1С. Свободной серверной лицензии нет, а с ломалками заморачиваться не хотелось. Так как мне было достаточно одного подключения к серверу 1С, то я воспользовался бесплатной лицензией для разработчиков - https://sysadminchik.ru
Возникла задача, для которой нужно было развернуть тестовую среду с отдельным сервером 1С. Свободной серверной лицензии нет, а с ломалками заморачиваться не хотелось. Так как мне было достаточно одного подключения к серверу 1С, то я воспользовался бесплатной лицензией для разработчиков - https://sysadminchik.ru
👍4
Сброс пароля пользователя 1С:Предприятие с базой на MS SQL Server
В организации забыли пароль от единственного пользователя 1С, у которого были полные права. При этом база находится в облаке - на арендованном виртуальном сервере.
Вот такие вводные на днях я получил от своих знакомых.
Несколько часов на поиск информации, переписку с техподдержкой и подготовку стенда, и на выходе появилась инструкция - https://sysadminchik.ru
В организации забыли пароль от единственного пользователя 1С, у которого были полные права. При этом база находится в облаке - на арендованном виртуальном сервере.
Вот такие вводные на днях я получил от своих знакомых.
Несколько часов на поиск информации, переписку с техподдержкой и подготовку стенда, и на выходе появилась инструкция - https://sysadminchik.ru
👍3
Особенность настройки синхронизации между конфигурациями 1С через каталог, если сервер 1С:Предприятие на ОС Linux
При настройке синхронизации через каталог нужно добиться того, чтобы доступ к каталогу, через который будет осуществляться синхронизация, был и у пользователя, который настраивает синхронизацию, и у сервера 1С (пользователя, от имени которого запущена служба).
Реализацию этой идеи для сервера 1С на ОС Linux я описал здесь - https://sysadminchik.ru
При настройке синхронизации через каталог нужно добиться того, чтобы доступ к каталогу, через который будет осуществляться синхронизация, был и у пользователя, который настраивает синхронизацию, и у сервера 1С (пользователя, от имени которого запущена служба).
Реализацию этой идеи для сервера 1С на ОС Linux я описал здесь - https://sysadminchik.ru
👍4
Виртуальная машина на ESXi 6.5 ни на что не реагирует
Обратил внимание, что в программе Veeam Backup & Replication при плановом создании бэкапа замерло на 0% задание создания резервной копии виртуальной машины. Виртуальная машина находится на ESXi 6.5. На стороне ESXi 6.5 это выглядит зависшим процессом создания снимка машины (Snapshot).
При этом видно, что сама виртуальная машина запущена, но не доступна и ни на что не реагирует. В оконном режиме эту проблему решить не получилось, пришлось переходить на консоль через SSH - https://www.sysadminchik.ru
Обратил внимание, что в программе Veeam Backup & Replication при плановом создании бэкапа замерло на 0% задание создания резервной копии виртуальной машины. Виртуальная машина находится на ESXi 6.5. На стороне ESXi 6.5 это выглядит зависшим процессом создания снимка машины (Snapshot).
При этом видно, что сама виртуальная машина запущена, но не доступна и ни на что не реагирует. В оконном режиме эту проблему решить не получилось, пришлось переходить на консоль через SSH - https://www.sysadminchik.ru
👍1
Timeshift - программа для создания копий (точек восстановления) системы в Linux
Проводя эксперименты на компьютере с ОС Alt Linux, озадачился вопросом создания точек восстановления. Наткнулся на программу Timeshift, при помощи которой также можно создавать копии системы по расписанию.
Подробнее здесь - https://sysadminchik.ru
Проводя эксперименты на компьютере с ОС Alt Linux, озадачился вопросом создания точек восстановления. Наткнулся на программу Timeshift, при помощи которой также можно создавать копии системы по расписанию.
Подробнее здесь - https://sysadminchik.ru
👍4
Настройка сети в Debian 13
Я уже писал про настройку сети в Ubuntu и Alt Linux. Думал, что в Debian будет похоже хотя бы на Ubuntu. Но нет, здесь пошли своим путём. Поэтому ещё одна инструкция - https://sysadminchik.ru
Я уже писал про настройку сети в Ubuntu и Alt Linux. Думал, что в Debian будет похоже хотя бы на Ubuntu. Но нет, здесь пошли своим путём. Поэтому ещё одна инструкция - https://sysadminchik.ru
👍5
Установка и настройка PostgreSQL для работы с Kaspersky Security Center 16 Linux
Компания Kaspersky в последнее время активно рекламирует переход на KSC под Linux, без потери функционала. Вот и я решил попробовать.
Подготовил сервер, который будет выполнять роль Kaspersky Security Center. Сам KSC и СУБД для него будут располагаться на одном сервере.
Сперва выбираем версию Linux. Для этого на сайте Касперского смотрим, какие дистрибутивы KSC и Web console 16 есть для ОС Linux. Полный комплект я увидел для Debian x64 и Red Hat Enterprise Linux x64. Выбор пал на Debian.
И так, приступаем. ОС Debian 12 установлена, статический IP-адрес задан, сервер к интернету подключен, все пакеты обновлены. Устанавливаем PostgreSQL - https://sysadminchik.ru
Компания Kaspersky в последнее время активно рекламирует переход на KSC под Linux, без потери функционала. Вот и я решил попробовать.
Подготовил сервер, который будет выполнять роль Kaspersky Security Center. Сам KSC и СУБД для него будут располагаться на одном сервере.
Сперва выбираем версию Linux. Для этого на сайте Касперского смотрим, какие дистрибутивы KSC и Web console 16 есть для ОС Linux. Полный комплект я увидел для Debian x64 и Red Hat Enterprise Linux x64. Выбор пал на Debian.
И так, приступаем. ОС Debian 12 установлена, статический IP-адрес задан, сервер к интернету подключен, все пакеты обновлены. Устанавливаем PostgreSQL - https://sysadminchik.ru
👍5
Рутокен - двухфакторная аутентификация пользователей на базе Windows Server
Возникла задача внедрить двухфакторную аутентификацию для привилегированных пользовательских учетных записей. В основном это администрирование серверов по RDP.
В организации уже есть доменная сеть на базе MS Active Directory. Почти все сервера на ОС Windows Server. В этой ситуации самым простым в реализации и при этом относительно недорогим оказался способ при помощи смарт-карт.
Покажу реализацию двухфакторной аутентификации в Windows при помощи смарт-карты Рутокен - https://sysadminchik.ru
Возникла задача внедрить двухфакторную аутентификацию для привилегированных пользовательских учетных записей. В основном это администрирование серверов по RDP.
В организации уже есть доменная сеть на базе MS Active Directory. Почти все сервера на ОС Windows Server. В этой ситуации самым простым в реализации и при этом относительно недорогим оказался способ при помощи смарт-карт.
Покажу реализацию двухфакторной аутентификации в Windows при помощи смарт-карты Рутокен - https://sysadminchik.ru
👍3