ИБ: "Меняйте пароль каждые 30 дней" — Эта политика мертва.
Все мы это настраивали. Классическая GPO: "пароль должен меняться каждые 42 дня" и "содержать 3 из 4...".
Результат: Пользователи пишут пароли на стикерах: MyP@ssw0rd_May, MyP@ssw0rd_June... Это театр безопасности, который снижает защиту.
Современный подход (NIST, Microsoft):
Длина > Сложность: Пароль из 14+ символов (например, "ЯлюблюАдминФьючер2025") надежнее, чем P@s$w0rd!.
ОТКАЗ от принудительной смены: Пароли не должны истекать, если нет признаков компрометации.
MFA — это король: Включите Multi-Factor Authentication везде, где можно. Лучше простой пароль + MFA, чем сложный пароль без него.
Блокировка "слитых" паролей: Используйте Azure AD Password Protection (даже On-prem), чтобы запретить пароли типа "Password123".
FGPP (Fine-Grained Password Policies): Применяйте разные политики. Для Domain Admins — 25+ символов, для User_Vasya — 14+ и MFA.
Взгляд архитектора: Архитектор управляет рисками, а не "ставит галочки". Безопасность не должна мешать работе. Лучше потратить силы на внедрение MFA и FGPP для защиты админов, чем заставлять 1000 пользователей менять пароли каждый месяц.
#security #activedirectory #mfa #zerotrust #architect #гайд
Все мы это настраивали. Классическая GPO: "пароль должен меняться каждые 42 дня" и "содержать 3 из 4...".
Результат: Пользователи пишут пароли на стикерах: MyP@ssw0rd_May, MyP@ssw0rd_June... Это театр безопасности, который снижает защиту.
Современный подход (NIST, Microsoft):
Длина > Сложность: Пароль из 14+ символов (например, "ЯлюблюАдминФьючер2025") надежнее, чем P@s$w0rd!.
ОТКАЗ от принудительной смены: Пароли не должны истекать, если нет признаков компрометации.
MFA — это король: Включите Multi-Factor Authentication везде, где можно. Лучше простой пароль + MFA, чем сложный пароль без него.
Блокировка "слитых" паролей: Используйте Azure AD Password Protection (даже On-prem), чтобы запретить пароли типа "Password123".
FGPP (Fine-Grained Password Policies): Применяйте разные политики. Для Domain Admins — 25+ символов, для User_Vasya — 14+ и MFA.
Взгляд архитектора: Архитектор управляет рисками, а не "ставит галочки". Безопасность не должна мешать работе. Лучше потратить силы на внедрение MFA и FGPP для защиты админов, чем заставлять 1000 пользователей менять пароли каждый месяц.
#security #activedirectory #mfa #zerotrust #architect #гайд
👍3
Чек-лист: "Day 0". Первые 10 шагов при вводе нового сервера в строй
Вы развернули VM. Она пингуется. Готово? Нет. "Чистый" сервер — это уязвимый сервер. Вот 10 шагов, которые нужно сделать до того, как отдать сервер в "прод".
□ Hostname & DNS: Установить осмысленное имя. Зарегистрировать в DNS (A-запись и PTR).
□ Сеть: Настроить статический IP, маску, шлюз, DNS-серверы.
□ Часовой пояс & NTP: timedatectl set-timezone ... (Lin) / GPO (Win). Время — критично для Kerberos и логов.
□ Обновления: Установить все последние патчи безопасности (apt update && apt upgrade / wuauclt /detectnow).
□ Удаленный доступ:
Lin: Настроить sshd_config (Key-only, PermitRootLogin no).
Win: Включить и настроить WinRM / RDP (ограничить доступ к RDP!).
□ Базовая безопасность:
Lin: Настроить fail2ban и базовый ufw/firewalld.
Win: Включить LAPS. Убедиться, что файрвол включен.
□ Мониторинг: Установить и настроить агент (Zabbix, Prometheus node_exporter).
□ Бэкап: Настроить агент системы бэкапирования.
□ Логирование: Настроить journald-forwarder (Lin) / WEF (Win) для отправки логов в SIEM.
□ Ввод в домен / CM: Ввести в домен (Win) / Применить плейбук Ansible (Lin).
Взгляд архитектора: Этот чек-лист — не для "ручной" работы. Это техническое задание (ТЗ) для вашего Ansible-плейбука или PowerShell DSC скрипта. Цель — чтобы "Шаг 10" автоматически выполнял шаги 1-9.
#чеклисты #sysadmin #automation #security #windows #linux
Вы развернули VM. Она пингуется. Готово? Нет. "Чистый" сервер — это уязвимый сервер. Вот 10 шагов, которые нужно сделать до того, как отдать сервер в "прод".
□ Hostname & DNS: Установить осмысленное имя. Зарегистрировать в DNS (A-запись и PTR).
□ Сеть: Настроить статический IP, маску, шлюз, DNS-серверы.
□ Часовой пояс & NTP: timedatectl set-timezone ... (Lin) / GPO (Win). Время — критично для Kerberos и логов.
□ Обновления: Установить все последние патчи безопасности (apt update && apt upgrade / wuauclt /detectnow).
□ Удаленный доступ:
Lin: Настроить sshd_config (Key-only, PermitRootLogin no).
Win: Включить и настроить WinRM / RDP (ограничить доступ к RDP!).
□ Базовая безопасность:
Lin: Настроить fail2ban и базовый ufw/firewalld.
Win: Включить LAPS. Убедиться, что файрвол включен.
□ Мониторинг: Установить и настроить агент (Zabbix, Prometheus node_exporter).
□ Бэкап: Настроить агент системы бэкапирования.
□ Логирование: Настроить journald-forwarder (Lin) / WEF (Win) для отправки логов в SIEM.
□ Ввод в домен / CM: Ввести в домен (Win) / Применить плейбук Ansible (Lin).
Взгляд архитектора: Этот чек-лист — не для "ручной" работы. Это техническое задание (ТЗ) для вашего Ansible-плейбука или PowerShell DSC скрипта. Цель — чтобы "Шаг 10" автоматически выполнял шаги 1-9.
#чеклисты #sysadmin #automation #security #windows #linux
👍4
Windows: "Призрак" USN Rollback. Почему ваш бэкап AD — это бомба замедленного действия
Каждый админ знает: "Нужно бэкапить Контроллер Домена (DC)". Большинство делает это, просто делая снапшот VM в Hyper-V или VMware.
И ЭТО КАТАСТРОФИЧЕСКАЯ ОШИБКА.
Почему: Active Directory — это мульти-мастер база данных. Каждый DC имеет "счетчик" изменений (USN - Update Sequence Number). Если вы "откатите" DC из снапшота, он "проснется" в прошлом.
Результат: USN Rollback. Ваш "откаченный" DC будет считать, что у него самые свежие данные (хотя это не так), а другие DC будут считать его данные устаревшими. Репликация в домене необратимо ломается. Вы получаете "призраков" (объекты, которые удалены на одном DC, но "воскресли" на другом).
Как ПРАВИЛЬНО бэкапить AD:
Инструмент: Используйте AD-aware софт. Встроенный Windows Server Backup (wbadmin.exe) — самый простой. Он "понимает", что бэкапит DC, и корректно помечает базу ntds.dit.
Восстановление: Всегда используйте Authoritative или Non-Authoritative Restore из DSRM (Directory Services Restore Mode).
Взгляд архитектора: Архитектор вообще не восстанавливает DC из бэкапа. Он относится к ним как к "скоту" (Cattle). Если DC "умер" — он его удаляет, чистит метаданные (ntdsutil) и разворачивает рядом новый, чистый DC, который сам стянет свежие данные. Ваша Disaster Recovery стратегия должна быть не "восстановить", а "переразвернуть".
#windows #activedirectory #security #backup #disasterrecovery #architect #гайд
Каждый админ знает: "Нужно бэкапить Контроллер Домена (DC)". Большинство делает это, просто делая снапшот VM в Hyper-V или VMware.
И ЭТО КАТАСТРОФИЧЕСКАЯ ОШИБКА.
Почему: Active Directory — это мульти-мастер база данных. Каждый DC имеет "счетчик" изменений (USN - Update Sequence Number). Если вы "откатите" DC из снапшота, он "проснется" в прошлом.
Результат: USN Rollback. Ваш "откаченный" DC будет считать, что у него самые свежие данные (хотя это не так), а другие DC будут считать его данные устаревшими. Репликация в домене необратимо ломается. Вы получаете "призраков" (объекты, которые удалены на одном DC, но "воскресли" на другом).
Как ПРАВИЛЬНО бэкапить AD:
Инструмент: Используйте AD-aware софт. Встроенный Windows Server Backup (wbadmin.exe) — самый простой. Он "понимает", что бэкапит DC, и корректно помечает базу ntds.dit.
Восстановление: Всегда используйте Authoritative или Non-Authoritative Restore из DSRM (Directory Services Restore Mode).
Взгляд архитектора: Архитектор вообще не восстанавливает DC из бэкапа. Он относится к ним как к "скоту" (Cattle). Если DC "умер" — он его удаляет, чистит метаданные (ntdsutil) и разворачивает рядом новый, чистый DC, который сам стянет свежие данные. Ваша Disaster Recovery стратегия должна быть не "восстановить", а "переразвернуть".
#windows #activedirectory #security #backup #disasterrecovery #architect #гайд
👏4🔥2
Проект на выходные: top — мертв. Строим свой SRE-мониторинг на Prometheus + Grafana
htop — это отлично. Но он показывает, что происходит сейчас. Он не скажет вам, что "каждую ночь в 3:05 CPU подскакивает до 100%".
Путь архитектора — это Observability. Вам нужны данные во времени.
Prometheus + Grafana — это "золотой стандарт" SRE и DevOps.
Prometheus: Собирает и хранит метрики (CPU, RAM, I/O, кастомные метрики) в базе данных временных рядов.
Grafana: Визуализирует эти данные в красивые, живые дашборды.
Как запустить за 5 минут (в Docker): Вам нужен docker-compose.yml:
YAML
Дальнейшие шаги:
Запустите docker-compose up -d.
Настройте Grafana (порт 3000), добавив Prometheus (порт 9090) как DataSource.
Начните собирать метрики с хостов, установив на них node_exporter (для Linux) или windows_exporter (для Windows).
Взгляд архитектора: Вы переходите от реактивного ("сервер упал") к проактивному ("мы видим, что место на диске закончится через 3 дня") мониторингу.
#linux #devops #sre #prometheus #grafana #docker #monitoring #weekendproject
htop — это отлично. Но он показывает, что происходит сейчас. Он не скажет вам, что "каждую ночь в 3:05 CPU подскакивает до 100%".
Путь архитектора — это Observability. Вам нужны данные во времени.
Prometheus + Grafana — это "золотой стандарт" SRE и DevOps.
Prometheus: Собирает и хранит метрики (CPU, RAM, I/O, кастомные метрики) в базе данных временных рядов.
Grafana: Визуализирует эти данные в красивые, живые дашборды.
Как запустить за 5 минут (в Docker): Вам нужен docker-compose.yml:
YAML
version: '3.8'
services:
prometheus:
image: prom/prometheus:latest
container_name: prometheus
volumes:
- ./prometheus.yml:/etc/prometheus/prometheus.yml
ports:
- "9090:9090"
grafana:
image: grafana/grafana:latest
container_name: grafana
ports:
- "3000:3000"
depends_on:
- prometheus
Дальнейшие шаги:
Запустите docker-compose up -d.
Настройте Grafana (порт 3000), добавив Prometheus (порт 9090) как DataSource.
Начните собирать метрики с хостов, установив на них node_exporter (для Linux) или windows_exporter (для Windows).
Взгляд архитектора: Вы переходите от реактивного ("сервер упал") к проактивному ("мы видим, что место на диске закончится через 3 дня") мониторингу.
#linux #devops #sre #prometheus #grafana #docker #monitoring #weekendproject
🤡3🔥2🤔2❤1
Архитектура: "Docs as Code". Почему ваша документация — это ваш главный актив
Реакция админа: "У меня нет времени писать документацию".
Мысль архитектора: "У меня нет времени НЕ писать документацию".
Документация — это не "скучные Word-файлы".
В современном IT, документация — это код.
Что такое "Docs as Code":
Формат: Вы пишете в Markdown (.md). Это простой, чистый текст.
Хранилище: Вы храните .md файлы в Git-репозитории (на том же Gitea, что мы ставили) вместе с вашими скриптами и IaC-конфигами.
Инструменты: Вы используете MkDocs, Hugo или просто VS Code для рендеринга.
Почему это меняет всё:
Версионность: Ваша документация имеет историю. Вы видите, кто и когда изменил IP-адрес сервера в "runbook".
Runbooks: Вы не "чините по памяти". Вы открываете restore_db.md и копируете проверенные команды.
Схемы как Код: Вы рисуете диаграммы с помощью PlantUML или Mermaid — прямо текстом!
Масштабирование: Вы можете "форкнуть" документацию, предложить изменения через Pull Request.
Взгляд архитектора: Если вас "завтра уволят", а инфраструктура "умрет" через неделю, потому что никто не знает, "как оно работает" — вы были плохим архитектором. Документация — это ваш главный инструмент масштабирования вашего собственного мозга.
#architect #devops #gitops #documentation #sre #стратегия #гайд
Реакция админа: "У меня нет времени писать документацию".
Мысль архитектора: "У меня нет времени НЕ писать документацию".
Документация — это не "скучные Word-файлы".
В современном IT, документация — это код.
Что такое "Docs as Code":
Формат: Вы пишете в Markdown (.md). Это простой, чистый текст.
Хранилище: Вы храните .md файлы в Git-репозитории (на том же Gitea, что мы ставили) вместе с вашими скриптами и IaC-конфигами.
Инструменты: Вы используете MkDocs, Hugo или просто VS Code для рендеринга.
Почему это меняет всё:
Версионность: Ваша документация имеет историю. Вы видите, кто и когда изменил IP-адрес сервера в "runbook".
Runbooks: Вы не "чините по памяти". Вы открываете restore_db.md и копируете проверенные команды.
Схемы как Код: Вы рисуете диаграммы с помощью PlantUML или Mermaid — прямо текстом!
Масштабирование: Вы можете "форкнуть" документацию, предложить изменения через Pull Request.
Взгляд архитектора: Если вас "завтра уволят", а инфраструктура "умрет" через неделю, потому что никто не знает, "как оно работает" — вы были плохим архитектором. Документация — это ваш главный инструмент масштабирования вашего собственного мозга.
#architect #devops #gitops #documentation #sre #стратегия #гайд
👍5
Pets vs Cattle: Главный принцип облачной архитектуры
Этот афоризм из мира облачных вычислений меняет всё.
Pets (питомцы):
Это серверы, к которым вы относитесь как к домашним любимцам.
У них есть уникальные имена (db-master-01).
Вы их холите и лелеете, лечите, когда они "болеют".
Если такой сервер падает — это катастрофа, все бегут его поднимать.
Cattle (скот):
Это серверы, к которым относятся как к стаду.
У них нет имён, только номера (web-worker-001, web-worker-002).
Их никто не лечит. Если один сервер "заболел", его просто "пристреливают" (удаляют), а на его место автоматически приходит новый, созданный из того же образа.
Взгляд архитектора: Цель современной архитектуры — превратить как можно больше "питомцев" в "стадо". Это достигается через автоматизацию (Ansible, Terraform) и контейнеризацию (Docker, Kubernetes).
#architect #devops #cloud #sre #petsvscattle #стратегия
Этот афоризм из мира облачных вычислений меняет всё.
Pets (питомцы):
Это серверы, к которым вы относитесь как к домашним любимцам.
У них есть уникальные имена (db-master-01).
Вы их холите и лелеете, лечите, когда они "болеют".
Если такой сервер падает — это катастрофа, все бегут его поднимать.
Cattle (скот):
Это серверы, к которым относятся как к стаду.
У них нет имён, только номера (web-worker-001, web-worker-002).
Их никто не лечит. Если один сервер "заболел", его просто "пристреливают" (удаляют), а на его место автоматически приходит новый, созданный из того же образа.
Взгляд архитектора: Цель современной архитектуры — превратить как можно больше "питомцев" в "стадо". Это достигается через автоматизацию (Ansible, Terraform) и контейнеризацию (Docker, Kubernetes).
#architect #devops #cloud #sre #petsvscattle #стратегия
🔥3
Windows 11: Диспетчер задач стал "бессмертным зомби" (KB5067036)
Это не шутка. Это ирония судьбы (или Microsoft).
Инструмент, призванный чистить систему от зависших процессов, сам превратился в "мусор, пожирающий ресурсы".
Суть проблемы (после KB5067036):
При каждом запуске Диспетчера задач (taskmgr.exe) в Windows 11 создается несколько его копий. Эти копии не закрываются после завершения работы с Диспетчером, продолжая висеть в фоне и потреблять CPU/RAM.
Результат:
Утилита, созданная для повышения производительности, начинает замедлять ваш компьютер. Это настоящий "Диспетчер-зомби".
Взгляд архитектора:
Это не просто "баг". Это пример, когда даже базовые системные утилиты могут стать источником проблем после обновлений. Валидация обновлений перед массовым развертыванием — это не "прихоть", а критическая необходимость.
Что делать:
1. Будьте внимательны к потреблению ресурсов после установки KB5067036.
2. Если проблема обнаружена — придется завершать "зомби-процессы" через командную строку (taskkill) или ждать исправления от Microsoft.
Подробности: https://www.securitylab.ru/news/565626.php
#windows #windows11 #баги #sysadmin #проблемы #update
Это не шутка. Это ирония судьбы (или Microsoft).
Инструмент, призванный чистить систему от зависших процессов, сам превратился в "мусор, пожирающий ресурсы".
Суть проблемы (после KB5067036):
При каждом запуске Диспетчера задач (taskmgr.exe) в Windows 11 создается несколько его копий. Эти копии не закрываются после завершения работы с Диспетчером, продолжая висеть в фоне и потреблять CPU/RAM.
Результат:
Утилита, созданная для повышения производительности, начинает замедлять ваш компьютер. Это настоящий "Диспетчер-зомби".
Взгляд архитектора:
Это не просто "баг". Это пример, когда даже базовые системные утилиты могут стать источником проблем после обновлений. Валидация обновлений перед массовым развертыванием — это не "прихоть", а критическая необходимость.
Что делать:
1. Будьте внимательны к потреблению ресурсов после установки KB5067036.
2. Если проблема обнаружена — придется завершать "зомби-процессы" через командную строку (taskkill) или ждать исправления от Microsoft.
Подробности: https://www.securitylab.ru/news/565626.php
#windows #windows11 #баги #sysadmin #проблемы #update
SecurityLab.ru
В Windows 11 завёлся бессмертный Диспетчер задач: инструмент, призванный чистить систему, теперь набивает её мусором
Очередное обновление ОС породило сбой в стиле сюжетов Кристофера Нолана.
👍2😱2
ИБ: Атака "Living Off the Land" (LotL). Почему ваш PowerShell опаснее вируса
Забудьте о .exe-вирусах.
Современные атаки (особенно шифровальщики) не заносят "вирус" — они используют ваши собственные, доверенные инструменты против вас.
Это называется "Living Off the Land" (жизнь за счет земли).
Главные "предатели" в вашей системе:
powershell.exe: Запуск base64-команд, скачивание и выполнение скриптов из памяти (IEX (New-Object Net.WebClient).DownloadString(...)).
wmic.exe: Удаленное выполнение команд на других машинах (Lateral Movement).
bitsadmin.exe: Стандартная утилита для скачивания... вредоносных модулей.
certutil.exe: "Легальное" скачивание и декодирование файлов.
Почему это работает? Ваш "классический" антивирус видит, что powershell.exe — это доверенный процесс Microsoft, и игнорирует его вредоносную активность.
Взгляд архитектора: Вы не можете просто "заблокировать PowerShell". Архитектор переходит от сигнатурного анализа к поведенческому.
Внедрите Sysmon: (Мы о нем писали). Он покажет, какой процесс запустил powershell.exe с какими аргументами.
Включите Script Block Logging в GPO: Начните логировать весь код, который выполняет PowerShell.
AppLocker/WDAC: Перейдите в режим "белого списка". Запретите powershell.exe запускаться из папок AppData или Downloads.
#security #windows #powershell #cybersecurity #zerotrust #architect #гайд
Забудьте о .exe-вирусах.
Современные атаки (особенно шифровальщики) не заносят "вирус" — они используют ваши собственные, доверенные инструменты против вас.
Это называется "Living Off the Land" (жизнь за счет земли).
Главные "предатели" в вашей системе:
powershell.exe: Запуск base64-команд, скачивание и выполнение скриптов из памяти (IEX (New-Object Net.WebClient).DownloadString(...)).
wmic.exe: Удаленное выполнение команд на других машинах (Lateral Movement).
bitsadmin.exe: Стандартная утилита для скачивания... вредоносных модулей.
certutil.exe: "Легальное" скачивание и декодирование файлов.
Почему это работает? Ваш "классический" антивирус видит, что powershell.exe — это доверенный процесс Microsoft, и игнорирует его вредоносную активность.
Взгляд архитектора: Вы не можете просто "заблокировать PowerShell". Архитектор переходит от сигнатурного анализа к поведенческому.
Внедрите Sysmon: (Мы о нем писали). Он покажет, какой процесс запустил powershell.exe с какими аргументами.
Включите Script Block Logging в GPO: Начните логировать весь код, который выполняет PowerShell.
AppLocker/WDAC: Перейдите в режим "белого списка". Запретите powershell.exe запускаться из папок AppData или Downloads.
#security #windows #powershell #cybersecurity #zerotrust #architect #гайд
🔥1
Linux: Ваш chroot на стероидах. Знакомство с distrobox
У вас на рабочей машине (или сервере) CentOS, но вам срочно нужен инструмент, который есть только в Ubuntu? Или нужно протестировать скрипт в Arch Linux?
Раньше вы бы ставили VirtualBox или мучились с chroot. Сегодня есть distrobox.
distrobox — это утилита, которая использует podman или docker для запуска любого дистрибутива Linux, но делает это с глубокой интеграцией в вашу основную систему.
Как это работает: Вы запускаете:
Bash
В чем магия:
* Ваш HOME проброшен внутрь.
* USB-устройства, графика (включая GUI-приложения!) — все работает.
* Вы можете установить zsh в ubuntu-box, и он появится в списке оболочек вашей основной системы.
* Вы можете запустить VS Code из ubuntu-box так, будто он установлен у вас.
Это одноразовые, чистые окружения, которые не загрязняют вашу основную ОС.
Взгляд архитектора: Это воспроизводимость и изоляция. Архитектор не держит на своей рабочей станции "зоопарк" из 1000 пакетов. Он держит distrobox и создает чистые, изолированные среды для каждой задачи, гарантируя, что его инструменты не конфликтуют.
#linux #distrobox #docker #podman #devops #sysadmin #гайд
У вас на рабочей машине (или сервере) CentOS, но вам срочно нужен инструмент, который есть только в Ubuntu? Или нужно протестировать скрипт в Arch Linux?
Раньше вы бы ставили VirtualBox или мучились с chroot. Сегодня есть distrobox.
distrobox — это утилита, которая использует podman или docker для запуска любого дистрибутива Linux, но делает это с глубокой интеграцией в вашу основную систему.
Как это работает: Вы запускаете:
Bash
# Создаем "коробку" с Ubuntu 22.04
distrobox create -n ubuntu-box -i ubuntu:22.04
# Входим в нее
distrobox enter ubuntu-box
В чем магия:
* Ваш HOME проброшен внутрь.
* USB-устройства, графика (включая GUI-приложения!) — все работает.
* Вы можете установить zsh в ubuntu-box, и он появится в списке оболочек вашей основной системы.
* Вы можете запустить VS Code из ubuntu-box так, будто он установлен у вас.
Это одноразовые, чистые окружения, которые не загрязняют вашу основную ОС.
Взгляд архитектора: Это воспроизводимость и изоляция. Архитектор не держит на своей рабочей станции "зоопарк" из 1000 пакетов. Он держит distrobox и создает чистые, изолированные среды для каждой задачи, гарантируя, что его инструменты не конфликтуют.
#linux #distrobox #docker #podman #devops #sysadmin #гайд
👍2🥰2
Windows Server 2025: "Hotpatching" — это революция. Обновления без перезагрузки
Мы 20 лет жили по правилу: "Вторник — патчи, среда (3 часа ночи) — перезагрузка". Это правило (почти) мертво.
В Windows Server 2025 (и уже сейчас в Azure Edition) Microsoft выкатила "Hotpatching" (Горячее исправление) для всех.
Как это работает:
Базовый план: Раз в несколько месяцев вы ставите "большой" кумулятивный апдейт (с перезагрузкой).
"Горячие" патчи: В промежутках Microsoft выпускает только патчи безопасности, которые применяются на лету, в оперативной памяти работающих процессов.
Результат: rundll32.exe или lsass.exe "бесшовно" перезапускаются в памяти с новым, исправленным кодом. Сервер не перезагружается. Сервисы не останавливаются.
Взгляд архитектора: Это не "удобство". Это фундаментальное изменение в SLA (Service Level Agreement). Мы больше не выбираем между "быть безопасным" и "быть в аптайме". Мы можем гарантировать 99.99% доступности и быть защищенными. Это меняет подход к проектированию кластеров и окон обслуживания.
#windows #windowsserver #hotpatching #sysadmin #architect #musthave #гайд
Мы 20 лет жили по правилу: "Вторник — патчи, среда (3 часа ночи) — перезагрузка". Это правило (почти) мертво.
В Windows Server 2025 (и уже сейчас в Azure Edition) Microsoft выкатила "Hotpatching" (Горячее исправление) для всех.
Как это работает:
Базовый план: Раз в несколько месяцев вы ставите "большой" кумулятивный апдейт (с перезагрузкой).
"Горячие" патчи: В промежутках Microsoft выпускает только патчи безопасности, которые применяются на лету, в оперативной памяти работающих процессов.
Результат: rundll32.exe или lsass.exe "бесшовно" перезапускаются в памяти с новым, исправленным кодом. Сервер не перезагружается. Сервисы не останавливаются.
Взгляд архитектора: Это не "удобство". Это фундаментальное изменение в SLA (Service Level Agreement). Мы больше не выбираем между "быть безопасным" и "быть в аптайме". Мы можем гарантировать 99.99% доступности и быть защищенными. Это меняет подход к проектированию кластеров и окон обслуживания.
#windows #windowsserver #hotpatching #sysadmin #architect #musthave #гайд
Архитектура: Принцип Idempotency (Идемпотентность)
Если вы дважды (или сто раз) запустите одну и ту же операцию, результат всегда будет одинаковым.
Простой пример:
Неидемпотентно: команда_создать_пользователя_Вася (выдаст ошибку, если Вася уже есть).
Идемпотентно: команда_убедиться_что_пользователь_Вася_существует (создаст, если нет; ничего не сделает, если есть).
Взгляд архитектора: Это основа Infrastructure as Code (IaC). Ваш Ansible-плейбук или Terraform-конфиг должны быть идемпотентны. Вы не боитесь запустить их 10 раз — они просто убедятся, что система в нужном состоянии, без побочных эффектов.
#architect #devops #iac #ansible #terraform #принципы
Если вы дважды (или сто раз) запустите одну и ту же операцию, результат всегда будет одинаковым.
Простой пример:
Неидемпотентно: команда_создать_пользователя_Вася (выдаст ошибку, если Вася уже есть).
Идемпотентно: команда_убедиться_что_пользователь_Вася_существует (создаст, если нет; ничего не сделает, если есть).
Взгляд архитектора: Это основа Infrastructure as Code (IaC). Ваш Ansible-плейбук или Terraform-конфиг должны быть идемпотентны. Вы не боитесь запустить их 10 раз — они просто убедятся, что система в нужном состоянии, без побочных эффектов.
#architect #devops #iac #ansible #terraform #принципы
👍1
SANS Institute: Две Шпаргалки для Выживания в Кибервойне (Windows & Linux)
Забудьте про StackOverflow, когда горит система. В критической ситуации нужны проверенные и мгновенно доступные знания.
SANS Institute — это не просто курсы. Это золотой стандарт в мире кибербезопасности. И они регулярно делятся бесценными ресурсами. Сегодня у нас две такие "библии":
Шпаргалка по Обнаружению Вторжений в Windows (Windows Intrusion Detection Cheat Sheet)
Шпаргалка по Выживанию в Linux Shell (Linux Shell Survival Guide)
Взгляд архитектора: Эти шпаргалки — не для "новичков". Это рабочие инструменты для опытного инженера, который сталкивается с инцидентами.
#security #windows #linux #cybersecurity #sans #musthave #шпаргалки #гайд
Забудьте про StackOverflow, когда горит система. В критической ситуации нужны проверенные и мгновенно доступные знания.
SANS Institute — это не просто курсы. Это золотой стандарт в мире кибербезопасности. И они регулярно делятся бесценными ресурсами. Сегодня у нас две такие "библии":
Шпаргалка по Обнаружению Вторжений в Windows (Windows Intrusion Detection Cheat Sheet)
Шпаргалка по Выживанию в Linux Shell (Linux Shell Survival Guide)
Взгляд архитектора: Эти шпаргалки — не для "новичков". Это рабочие инструменты для опытного инженера, который сталкивается с инцидентами.
#security #windows #linux #cybersecurity #sans #musthave #шпаргалки #гайд
Windows: "Вечная" уязвимость из 2017 года активно эксплуатируется прямо сейчас!
Пока мы боремся с новыми 0-day, хакеры активно эксплуатируют старую, известную уязвимость в Windows, которой уже 7 лет (с 2017 года).
Об этом сообщают Trend Micro и Arctic Wolf. Атаки идут на государственные и корпоративные сети по всему миру.
В чем ужас ситуации:
Возраст: Уязвимости уже 7 лет. Она хорошо изучена атакующими.
Активность: Эксплуатируется активно. Это не просто "теория".
Статус: Одна из уязвимостей (по данным отчёта) до сих пор не исправлена на всех системах.
Взгляд архитектора: Это не просто "баг". Это провал процесса патч-менеджмента. Уязвимости 2017 года не должны жить в вашей инфраструктуре в 2024.
Первый шаг: Убедитесь, что ваши системы полностью пропатчены. Проверьте все обновления.
Второй шаг: Включите автоматизированный аудит уязвимостей (Nessus, OpenVAS), чтобы находить такие "спящие бомбы".
Третий шаг: Применяйте принцип Zero Trust. Предполагайте, что периметр уже взломан.
Подробности: https://cisoclub.ru/hakery-ispolzujut-staruju-ujazvimost-v-windows-s-2017-goda-dlja-kiberatak-na-infrastrukturu-po-vsemu-miru/
#security #windows #cybersecurity #уязвимости #патчи #urgent
Пока мы боремся с новыми 0-day, хакеры активно эксплуатируют старую, известную уязвимость в Windows, которой уже 7 лет (с 2017 года).
Об этом сообщают Trend Micro и Arctic Wolf. Атаки идут на государственные и корпоративные сети по всему миру.
В чем ужас ситуации:
Возраст: Уязвимости уже 7 лет. Она хорошо изучена атакующими.
Активность: Эксплуатируется активно. Это не просто "теория".
Статус: Одна из уязвимостей (по данным отчёта) до сих пор не исправлена на всех системах.
Взгляд архитектора: Это не просто "баг". Это провал процесса патч-менеджмента. Уязвимости 2017 года не должны жить в вашей инфраструктуре в 2024.
Первый шаг: Убедитесь, что ваши системы полностью пропатчены. Проверьте все обновления.
Второй шаг: Включите автоматизированный аудит уязвимостей (Nessus, OpenVAS), чтобы находить такие "спящие бомбы".
Третий шаг: Применяйте принцип Zero Trust. Предполагайте, что периметр уже взломан.
Подробности: https://cisoclub.ru/hakery-ispolzujut-staruju-ujazvimost-v-windows-s-2017-goda-dlja-kiberatak-na-infrastrukturu-po-vsemu-miru/
#security #windows #cybersecurity #уязвимости #патчи #urgent
Linux: taskset — Ручное управление ядрами CPU. Привязка процессов как SRE
"Сервер тормозит, но htop показывает свободные ядра". Знакомая ситуация? Причина может быть в конкуренции за CPU или в неправильном распределении нагрузки.
taskset — это ваш "хирург" для CPU. Он позволяет жестко привязать процесс к определенным ядрам или запустить его сразу с нужным CPU Affinity.
Изоляция: Критичные сервисы (например, БД, Nginx) не будут конкурировать за ядра с "фоновыми" задачами.
NUMA: Оптимизация для NUMA-архитектур (процесс работает на ядрах, ближайших к памяти, которую он использует).
Производительность: Предотвращение "миграции" процессов между ядрами, что снижает накладные расходы.
1️⃣ Привязка к ядрам для уже запущенного процесса:
Сначала найдем PID процесса (например, myapp).
Посмотрим CPU в системе:
Пример: Сажаем процесс 1574 на ядра 0, 1 и 2:
Теперь процесс гарантированно не займет остальные ядра.
2️⃣ Запуск программы с ограничением по CPU (через битовую маску):
taskset при запуске требует mask (битовую маску), а не список ядер.
Как работает маска: Каждое ядро — это один бит.
Ядро 0 = 1 (0x01)
Ядро 1 = 2 (0x02)
Ядро 2 = 4 (0x04)
Ядро 3 = 8 (0x08)
...и так далее (2 в степени номер ядра)
Пример: Запустить программу только на ядре 0 (маска 1):
Пример: Запуск на ядрах 2 и 3 (маска 4 + 8 = 12 = 0x0C):
3️⃣ Как быстро узнать маску для нужных ядер (лайфхак):
Не хочется считать? Дайте taskset список ядер для любого процесса, а потом узнайте его маску.
4️⃣ Наглядный тест с xz:
Создайте тестовый файл: dd if=/dev/urandom of=/tmp/testfile bs=1M count=200
Запустите xz только на ядрах 0 и 1 (маска 1 + 2 = 3):
Откройте htop и увидите, как процесс xz будет использовать строго эти два ядра.
Взгляд архитектора: Вы управляете не "сервером", а ресурсами. taskset позволяет делать микро-оптимизацию, которая может спасти нагруженное приложение от деградации производительности. Это часть вашего инструментария для Performance Engineering.
#linux #performance #taskset #sre #команды #гайд
"Сервер тормозит, но htop показывает свободные ядра". Знакомая ситуация? Причина может быть в конкуренции за CPU или в неправильном распределении нагрузки.
taskset — это ваш "хирург" для CPU. Он позволяет жестко привязать процесс к определенным ядрам или запустить его сразу с нужным CPU Affinity.
Изоляция: Критичные сервисы (например, БД, Nginx) не будут конкурировать за ядра с "фоновыми" задачами.
NUMA: Оптимизация для NUMA-архитектур (процесс работает на ядрах, ближайших к памяти, которую он использует).
Производительность: Предотвращение "миграции" процессов между ядрами, что снижает накладные расходы.
1️⃣ Привязка к ядрам для уже запущенного процесса:
Сначала найдем PID процесса (например, myapp).
# Ищем PID
pidof myapp
# Или:
ps aux | grep myapp
# ...предположим, PID = 1574
Посмотрим CPU в системе:
lscpu | grep -E 'CPU\(s\)|NUMA'
# Пример: CPU(s): 8, NUMA node0 CPU(s): 0-7
Пример: Сажаем процесс 1574 на ядра 0, 1 и 2:
taskset -pc 0-2 1574
# Результат:
# pid 1574's current affinity list: 0-7
# pid 1574's new affinity list: 0,1,2
Теперь процесс гарантированно не займет остальные ядра.
2️⃣ Запуск программы с ограничением по CPU (через битовую маску):
taskset при запуске требует mask (битовую маску), а не список ядер.
Как работает маска: Каждое ядро — это один бит.
Ядро 0 = 1 (0x01)
Ядро 1 = 2 (0x02)
Ядро 2 = 4 (0x04)
Ядро 3 = 8 (0x08)
...и так далее (2 в степени номер ядра)
Пример: Запустить программу только на ядре 0 (маска 1):
taskset 1 gzip hugefile
Пример: Запуск на ядрах 2 и 3 (маска 4 + 8 = 12 = 0x0C):
taskset 0x0C gzip hugefile
3️⃣ Как быстро узнать маску для нужных ядер (лайфхак):
Не хочется считать? Дайте taskset список ядер для любого процесса, а потом узнайте его маску.
# Временно привязываем systemd-journald к ядрам 4 и 5
taskset -pc 4-5 $(pidof systemd-journald)
# Смотрим его маску:
taskset -p $(pidof systemd-journald)
# Пример:
# pid 412's current affinity mask: 30 <- Вот и маска для ядер 4-5!
4️⃣ Наглядный тест с xz:
Создайте тестовый файл: dd if=/dev/urandom of=/tmp/testfile bs=1M count=200
Запустите xz только на ядрах 0 и 1 (маска 1 + 2 = 3):
taskset 3 xz -T2 /tmp/testfile
Откройте htop и увидите, как процесс xz будет использовать строго эти два ядра.
Взгляд архитектора: Вы управляете не "сервером", а ресурсами. taskset позволяет делать микро-оптимизацию, которая может спасти нагруженное приложение от деградации производительности. Это часть вашего инструментария для Performance Engineering.
#linux #performance #taskset #sre #команды #гайд
Windows: Хватит "кликать". Массовое управление пользователями AD с PowerShell
Задача: 50 новым сотрудникам из отдела "Sales" нужно установить менеджера в профиле.
Реакция админа: Открыть "Пользователи и компьютеры", найти каждого, дважды кликнуть, перейти на вкладку "Организация", вписать менеджера... 150 кликов, 30 минут.
Реакция архитектора: 30 секунд, одна строка.
PowerShell — это не просто скриптовый язык, это инструмент для массовых операций в AD.
Как это работает:
Найти (Get): Сначала находим всех, кто нам нужен.
PowerShell
Изменить (Set): Передаем результат по "конвейеру" (|) на командлет Set-ADUser.
PowerShell
Еще примеры:
Массово разблокировать: Get-ADUser -Filter 'Department -eq "Support"' | Unlock-ADAccount
Массово отключить: Get-ADUser -Filter 'Description -like "*old*"' | Disable-ADAccount
Взгляд архитектора: Вы не "меняете пользователей". Вы обеспечиваете консистентность данных и автоматизируете процессы. Это основа для скриптов onboarding/offboarding (прием/увольнение), которые экономят компании сотни часов и предотвращают ошибки.
#windows #powershell #activedirectory #automation #sysadmin #гайд
Задача: 50 новым сотрудникам из отдела "Sales" нужно установить менеджера в профиле.
Реакция админа: Открыть "Пользователи и компьютеры", найти каждого, дважды кликнуть, перейти на вкладку "Организация", вписать менеджера... 150 кликов, 30 минут.
Реакция архитектора: 30 секунд, одна строка.
PowerShell — это не просто скриптовый язык, это инструмент для массовых операций в AD.
Как это работает:
Найти (Get): Сначала находим всех, кто нам нужен.
PowerShell
# Находим всех включенных пользователей в OU "Sales"
Get-ADUser -Filter 'Enabled -eq $true' -SearchBase "OU=Sales,DC=corp,DC=local"
Изменить (Set): Передаем результат по "конвейеру" (|) на командлет Set-ADUser.
PowerShell
# Находим всех в "Sales" И ОДНОЙ КОМАНДОЙ устанавливаем им менеджера
Get-ADUser -Filter 'Enabled -eq $true' -SearchBase "OU=Sales,DC=corp,DC=local" |
Set-ADUser -Manager "CN=Boss,OU=Management,DC=corp,DC=local"
Еще примеры:
Массово разблокировать: Get-ADUser -Filter 'Department -eq "Support"' | Unlock-ADAccount
Массово отключить: Get-ADUser -Filter 'Description -like "*old*"' | Disable-ADAccount
Взгляд архитектора: Вы не "меняете пользователей". Вы обеспечиваете консистентность данных и автоматизируете процессы. Это основа для скриптов onboarding/offboarding (прием/увольнение), которые экономят компании сотни часов и предотвращают ошибки.
#windows #powershell #activedirectory #automation #sysadmin #гайд
Гайд/Linux (Networking)
Linux: ping и traceroute — это прошлое. Диагностируем сеть как SRE с mtr
Проблема: Сервер "лагает". ssh "залипает". Вы запускаете ping — 0% потерь. Вы запускаете traceroute — он доходит до цели. Так в чем же дело?
Ответ: Вы не видите потери пакетов (packet loss) на промежуточных узлах.
mtr (My Traceroute) — это ping и traceroute в одном флаконе, на стероидах. Он в реальном времени показывает потери и пинг до каждого хопа на пути к цели.
Как читать mtr: Просто запустите: mtr google.com
Вы увидите таблицу: Host (Хопы) | Loss% (Потери) | Snt (Отправлено) | Last | Avg | Best | Wrst
Ваша задача — смотреть на Loss%:
Если потери 0% до самого конца — с сетью все в порядке.
Если на 7-м хопе (маршрутизатор вашего провайдера) 10% потерь, а на всех последующих тоже 10% — вы нашли виновника.
Команда для отчета (для скриптов):
Bash
Взгляд архитектора: Вы переходите от жалобы "у меня тормозит" к факту: "На 7-м хопе, xe-0-1-0.msk.provider.net, 10% потерь пакетов, начиная с 14:00". Это Data-Driven Troubleshooting (поиск неисправностей на основе данных), а не гадание.
#linux #networking #sre #mtr #diagnostics #команды #гайд
Linux: ping и traceroute — это прошлое. Диагностируем сеть как SRE с mtr
Проблема: Сервер "лагает". ssh "залипает". Вы запускаете ping — 0% потерь. Вы запускаете traceroute — он доходит до цели. Так в чем же дело?
Ответ: Вы не видите потери пакетов (packet loss) на промежуточных узлах.
mtr (My Traceroute) — это ping и traceroute в одном флаконе, на стероидах. Он в реальном времени показывает потери и пинг до каждого хопа на пути к цели.
Как читать mtr: Просто запустите: mtr google.com
Вы увидите таблицу: Host (Хопы) | Loss% (Потери) | Snt (Отправлено) | Last | Avg | Best | Wrst
Ваша задача — смотреть на Loss%:
Если потери 0% до самого конца — с сетью все в порядке.
Если на 7-м хопе (маршрутизатор вашего провайдера) 10% потерь, а на всех последующих тоже 10% — вы нашли виновника.
Команда для отчета (для скриптов):
Bash
# Отправить 10 пакетов и вывести отчет, не запуская интерактивный режим
mtr --report -c 10 ya.ru
Взгляд архитектора: Вы переходите от жалобы "у меня тормозит" к факту: "На 7-м хопе, xe-0-1-0.msk.provider.net, 10% потерь пакетов, начиная с 14:00". Это Data-Driven Troubleshooting (поиск неисправностей на основе данных), а не гадание.
#linux #networking #sre #mtr #diagnostics #команды #гайд
Linux: Аудит "богов". Кто и что может делать через sudo?
Вы думаете, что у пользователя www-data нет прав root. Но что лежит в /etc/sudoers.d/? Неправильная sudo-политика — это прямой путь к повышению привилегий (Privilege Escalation).
Как ПРАВИЛЬНО проводить аудит sudo:
Проверить конкретного пользователя: Самая важная команда. Она показывает эффективные права пользователя, собранные из всех файлов.
Bash
Посмотреть все активные правила "вживую": Этот grep отсечет все комментарии (#) и пустые строки ($) и покажет только действующие правила из всех файлов.
Bash
Посмотреть, кто и что уже делал: sudo логирует каждое свое выполнение (обычно в /var/log/secure или /var/log/auth.log).
Bash
Взгляд архитектора: Principle of Least Privilege (PoLP). sudo — это не просто "дать root". Это гранулированный инструмент. Архитектор никогда не дает ALL=(ALL) ALL. Он дает dev-user ALL=(ALL) /usr/sbin/systemctl restart myapp.service. Это и есть проектирование безопасности.
#linux #security #sudo #audit #cybersecurity #sysadmin #гайд
Вы думаете, что у пользователя www-data нет прав root. Но что лежит в /etc/sudoers.d/? Неправильная sudo-политика — это прямой путь к повышению привилегий (Privilege Escalation).
Как ПРАВИЛЬНО проводить аудит sudo:
Проверить конкретного пользователя: Самая важная команда. Она показывает эффективные права пользователя, собранные из всех файлов.
Bash
# Показать, что может делать www-data
sudo -l -U www-data
# Вывод:
# (ALL) NOPASSWD: /usr/sbin/service nginx reload <-- (ХОРОШО)
# (ALL) NOPASSWD: /bin/bash <-- (ОЧЕНЬ ПЛОХО!)
Посмотреть все активные правила "вживую": Этот grep отсечет все комментарии (#) и пустые строки ($) и покажет только действующие правила из всех файлов.
Bash
sudo grep -vE '^(#|$)' /etc/sudoers /etc/sudoers.d/*
Посмотреть, кто и что уже делал: sudo логирует каждое свое выполнение (обычно в /var/log/secure или /var/log/auth.log).
Bash
# Показать 20 последних команд, выполненных через sudo
sudo cat /var/log/auth.log | grep "sudo:" | tail -n 20
Взгляд архитектора: Principle of Least Privilege (PoLP). sudo — это не просто "дать root". Это гранулированный инструмент. Архитектор никогда не дает ALL=(ALL) ALL. Он дает dev-user ALL=(ALL) /usr/sbin/systemctl restart myapp.service. Это и есть проектирование безопасности.
#linux #security #sudo #audit #cybersecurity #sysadmin #гайд
Windows: Будущее VPN уже здесь. Разбираем "SMB over QUIC"
Все мы знаем "боль" классических VPN: они медленные, отваливаются, их блокируют файрволы. Доступ к файловым шарам для удаленных пользователей — это вечный компромисс между удобством и безопасностью.
Microsoft решила эту проблему, и это будущее, которое уже здесь: SMB over QUIC.
Что это такое (простым языком): Это "родной" VPN от Microsoft, созданный только для доступа к файловым серверам. Он "заворачивает" стандартный файловый трафик SMB (порт 445) внутрь QUIC (HTTP/3).
Почему это революция для админа:
Безопасность: Весь трафик всегда зашифрован (DTLS 1.3).
Проходит везде: Работает поверх UDP-порта 443. Этот порт открыт в 99.9% сетей (для HTTPS), а значит, доступ будет из любого отеля, кафе или аэропорта.
Стабильность: QUIC "терпим" к смене сетей (Wi-Fi -> LTE -> Wi-Fi), не разрывая сессию.
Взгляд архитектора: Это не просто "фича". Это фундаментальный сдвиг к модели Zero Trust. Вы больше не "пускаете" пользователя во всю внутреннюю сеть (как с VPN). Вы даете ему шифрованный, изолированный доступ только к одному ресурсу — файловому серверу.
#windows #windowsserver #security #networking #smb #quic #architect #гайд
Все мы знаем "боль" классических VPN: они медленные, отваливаются, их блокируют файрволы. Доступ к файловым шарам для удаленных пользователей — это вечный компромисс между удобством и безопасностью.
Microsoft решила эту проблему, и это будущее, которое уже здесь: SMB over QUIC.
Что это такое (простым языком): Это "родной" VPN от Microsoft, созданный только для доступа к файловым серверам. Он "заворачивает" стандартный файловый трафик SMB (порт 445) внутрь QUIC (HTTP/3).
Почему это революция для админа:
Безопасность: Весь трафик всегда зашифрован (DTLS 1.3).
Проходит везде: Работает поверх UDP-порта 443. Этот порт открыт в 99.9% сетей (для HTTPS), а значит, доступ будет из любого отеля, кафе или аэропорта.
Стабильность: QUIC "терпим" к смене сетей (Wi-Fi -> LTE -> Wi-Fi), не разрывая сессию.
Взгляд архитектора: Это не просто "фича". Это фундаментальный сдвиг к модели Zero Trust. Вы больше не "пускаете" пользователя во всю внутреннюю сеть (как с VPN). Вы даете ему шифрованный, изолированный доступ только к одному ресурсу — файловому серверу.
#windows #windowsserver #security #networking #smb #quic #architect #гайд
🤨2
ИБ: Новая угроза — "Quishing". Как QR-коды обходят вашу защиту
Ваш дорогой anti-spam фильтр проверяет ссылки и текст. Но что, если в письме нет ни одной ссылки?
Встречайте "Quishing" (QR Code Phishing) — стремительно растущий вектор атак.
Как это работает:
Пользователь получает письмо (часто под видом "Срочно! Обновите MFA-аутентификацию").
В письме нет ссылок, только изображение (QR-код). Ваш спам-фильтр видит просто картинку и пропускает письмо.
Пользователь сканирует QR-код личным телефоном.
Телефон (который не защищен вашим корпоративным EDR) переходит на фишинговый сайт, где пользователь вводит свой логин и пароль.
Взгляд архитектора: Это атака на "слой 8" (человека), которая обходит традиционные технические средства защиты (E-Mail Gateway, EDR на ПК).
Как защищаться (Defense in Depth):
Обучение: Расскажите пользователям, что сканировать неизвестные QR-коды так же опасно, как и кликать по ссылкам.
MFA: Настоящий MFA (не SMS) — ваш главный бастион.
MDM (Mobile Device Management): Если сотрудники используют личные телефоны для работы, они должны быть под управлением (MDM) и иметь защиту (Endpoint Security).
#security #phishing #cybersecurity #zerotrust #гайд #musthave
Ваш дорогой anti-spam фильтр проверяет ссылки и текст. Но что, если в письме нет ни одной ссылки?
Встречайте "Quishing" (QR Code Phishing) — стремительно растущий вектор атак.
Как это работает:
Пользователь получает письмо (часто под видом "Срочно! Обновите MFA-аутентификацию").
В письме нет ссылок, только изображение (QR-код). Ваш спам-фильтр видит просто картинку и пропускает письмо.
Пользователь сканирует QR-код личным телефоном.
Телефон (который не защищен вашим корпоративным EDR) переходит на фишинговый сайт, где пользователь вводит свой логин и пароль.
Взгляд архитектора: Это атака на "слой 8" (человека), которая обходит традиционные технические средства защиты (E-Mail Gateway, EDR на ПК).
Как защищаться (Defense in Depth):
Обучение: Расскажите пользователям, что сканировать неизвестные QR-коды так же опасно, как и кликать по ссылкам.
MFA: Настоящий MFA (не SMS) — ваш главный бастион.
MDM (Mobile Device Management): Если сотрудники используют личные телефоны для работы, они должны быть под управлением (MDM) и иметь защиту (Endpoint Security).
#security #phishing #cybersecurity #zerotrust #гайд #musthave