Linux жил, Linux жив, Linux будет жить!

Я думал, такие люди перевелись лет десять тому обратно. Но нет, не оскудела земля латвийская чудесами, ещё остались и порох, и ягоды!

Приведённый ниже разговор состоялся пару дней назад. Текст является переводом с латышского; точно переданы оригинальные высказывания, сохранены некоторые английские выражения. Действующие лица: менеджер по продажам (М), клиент (К), ИТ-тренер (Я). Разумеется, настоящие имена и названия компаний я вам не раскрою.

 

М:   Ув. клиент, не желаете ли пройти какие-либо из наших популярных курсов, например, Ethical Hacking and Countermeasures или что-нибудь по Windows Server 2012?

 

К:   Мы делаем всё возможное, чтобы избавиться от продуктов MS, и вот почему:
Продолжить чтение этой записи

Надёжная установка программ средствами групповых политик без SCCM

Централизованно устанавливать программы в домене Active Directory можно либо средствами групповых политик (Group Policy), либо инструментарием наподобие System Center Configuration Manager. Но SCCM — мероприятие недешёвое, поэтому весомая часть системных администраторов распространяет MSI-пакеты политиками. Однако, установка политиками обладает рядом существенных недостатков:

  1. Если инсталляция не удалась с первого раза, она никогда не будет исполнена до конца. Причины сбоя установки могут быть разными, но политика так или иначе создаст в реестре клиентской машины запись «Объект политики с таким-то номером отработал, дело можно закрыть». Идентификатор объекта вы можете найти в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\AppMgmt. Получается, системе безразлично, нормально ли установилась программа — она регистрирует лишь факт исполнения политики, чтобы потом к этому вопросу больше уже не возвращаться.
  2. Если так случилось, что установленную политикой программу кто-то убрал вручную, она не будет возвращена на место автоматически. Проблема известная, вот где я нашёл объяснение, когда столкнулся с ней впервые: https://social.technet.microsoft.com/Forums/windowsserver/en-US/82f1e144-78a3-4446-8aaf-18843c890cdc/force-reinstall-of-applications-deployed-by-software-gpo-after-uninstall. Причина всё та же, что в пункте номер раз.
  3. Иногда требуется задавать особые условия установки или проверки предварительных условий, которые стандартные политики не поддерживают. Например, при инсталляции Oracle VirtualBox добавить сертификат доверенного издателя:
"%~dp0\cert\VBoxCertUtil.exe" add-trusted-publisher "%~dp0\cert\oracle-vbox.cer"

Для решения этих проблем я написал скрипты распространения и убирания программ. Стандартная схема централизованного распространения может выглядеть так:

Продолжить чтение этой записи

How to find out how many PCs in your domain are SRP-compliant?

During Application Whitelisting (AWL) implementation throughout an Enterprise, it is essential to easily find an answer for questions like «how far we have come?» Running a fairly complex Active Directory (AD) structure, you can never guess for sure. Instead, you may choose to implement some objective monitoring tool, let’s call it «AWL Compliance Report«. You don’t have SCCM? Not a problem, we will make it happen using built-in Group Policy (GP) mechanism.

For example, it’s quite easy to figure out the presence (or absence) of Software Restriction Policies (SRP) by querying particular values in HKLM\Software\Policy\Microsoft\Windows\Safer\CodeIdentifiers Registry key:

Продолжить чтение этой записи

Как узнать, какой процент компьютеров подчиняется SRP?

Внедряя Software Restriction Policies (SRP) в очередной компании, регулярно требуется отвечать на вопрос «а как далеко мы продвинулись?» Работая со сравнительно разветвлённой структурой Active Directory, никогда не получится ответить «с наскоку», требуется некий механизм объективного контроля (назовём его SRP Compliance Report). У вас нет SCCM? Не беда, такой контроль можно осуществлять с помощью встроенного механизма Group Policy.

Продолжить чтение этой записи

Массовая замена WSUS ID на клонированных машинах

Перемещаясь из одной компании в другую, практически везде вижу одну и ту же картину: клонированные с помощью Acronis или Ghost рабочие станции, а также тиражированные на гипервизоре VMWare сервера не распознаются сервером Windows Server Update Services (WSUS). То есть, компьютеры видят WSUS и ставят с него обновления, на самой же консоли управления WSUS их не видно — из 600 рабочих станций распознаются, к примеру, всего 100.

Причина весьма проста — после первого же визита на Windows Update служба WUAUServ генерирует уникальный идентификатор SusClientId, затем администратор сохраняет образ уже обновленной операционной системы. У всех растиражированных с данного образа копии ОС этот идентификатор будет одинаков.

Продолжить чтение этой записи

Вредоносное ПО тоже применяет SRP

Интересная заметка попалась на глаза: «Банковский троян использует групповые политики для блокировки антивирусных программ». Примерно накидаю перевод:

«Вредоносное ПО, в настоящий момент распространяющееся в Японии, использует встроенные механизмы Windows, чтобы заблокировать работу защитного программного обеспечения поражённых машин. Trend Micro сообщает, что крадущий реквизиты онлайн-доступа к некоторым японским банкам шпионский модуль BKDR_VAWTRAK использует компонент Windows под названием Политики Ограничения Программ (Software Restriction Policies, SRP), чтобы заблокировать на заражённых системах запуск широкого ряда защитных программ, в том числе антивирусы Microsoft, Symantec, Intel — всего 53 различных программы.

Продолжить чтение этой записи

Account Lockout: мифы и реалии

Система блокировки учётных записей Windows при неоднократном введении неправильного пароля существует с самой первой редакции ОС Windows (Windows NT 3.1 Advanced Server, 1993), но новички продолжают прокалываться на элементарных вещах. В данной статье я попробую разобрать основные ошибки начинающих администраторов. Ну и на кусочек Тайного Знания можете рассчитывать тоже.

Продолжить чтение этой записи

Отслеживать

Настройте получение новых записей по электронной почте.

Присоединиться к ещё 165 подписчикам