Взлом паролей, сохранённых в Group Policy Preferences.

Много раз уже писалось, что задавать пароли через Group Policy Preferences небезопасно, так как они хоть и сохраняются в зашифрованном виде, но ключ шифрования всем известен. Интересно, что в Windows Server 2012 редактор групповых политик даже предупреждение выдаёт соответствующее:

GPP-Warning

Но так ли просто достать пароль из политик? Думаю, лучше один раз увидеть, чем сто раз услышать.

Продолжить чтение этой записи

Реклама

Защита от слежки в Интернете

Некоторое время назад я уже высказал своё мнение на тему спецслужб и интернетов на TV5: http://www.tv5.lv/play/#/video/315961, смотрите с 11:45.

Тема перехвата спецслужбами деятельности пользователей Интернета уже навязла в зубах, многих таковая ситуация совершенно не устраивает (http://rus.delfi.lv/news/daily/latvia/opros-latvijcy-schitayut-nedopustimym-proslushku-i-chtenie-lichnoj-perepiski.d?id=43561027), но почти никто не знает, реально ли от этого защититься. Если у вас есть практические соображения по этому поводу, давайте обсудим?

 

Update:

Разговор состоялся несколько не в том ключе, как я планировал, но уж как есть: http://www.tv5.lv/play/#/video/0319592. Смотрите с 26:10.

Централизованный аудит событий SRP в домене

Политики Software Restriction Policies и AppLocker играют важнейшую роль в защите компьютера от вирусов и нежелательных программ. Блокируя запуск неразрешённой программы, политика генерирует событие в журнале Application локального компьютера, что позволяет администратору контролировать состояние системы и по мере необходимости вносить изменения в параметры политики. Однако, отслеживать содержимое журналов одновременно на большом числе компьютеров — слишком сложная задача. Существенно упростить контроль можно, настроив автоматическую рассылку почтовых уведомлений при появлении в журнале интересующих нас событий.

Продолжить чтение этой записи

Конфигурация учебного компьютерного класса

Одним из факторов успешного обучения студентов IT-направлений является техническое оснащение аудитории, в которой проводятся занятия. Не стоит обсуждать такие параметры, как температура, влажность, освещение и объём доступного студенту рабочего пространства — эти вещи давно уже отработаны не только в IT. Я расскажу о конфигурации рабочих станций, которую нахожу для себя наиболее удачной и удобной как для студентов, так и для инструктора.

Продолжить чтение этой записи

Если вы хотели Windows 8, то сейчас — самое время!

Неоднократно слышал нытьё, что лицензионная Windows — слишком дорогое удовольствие. Так поспешите же воспользоваться предложением Microsoft, которое действует до конца 31 января 2013 года, прибретите обновление своей Windows до Windows 8 всего за 40 долларов!

Нееет, если вы думаете, что я подрядился рекламировать новые разработки Microsoft, то это не совсем так. В их предложении есть чисто технические фишки, которые я хочу вам показать:

Продолжить чтение этой записи

HTB23108 — уязвимость, которой не было.

Иногда среди сообщений о найденных «дырах» попадаются интересные экземпляры. Мне понравилась уязвимость, информацию о которой опубликовали High-Tech Bridge (оригинал ищите на https://www.htbridge.com/advisory/HTB23108). Вкратце разъясню идею:

1. Системная служба IKE and AuthIP IPsec Keying Modules, присутствующая в Windows Vista и выше, в момент запуска пытается загрузить библиотеку wlbsctrl.dll, которой обычно в системе нет.
2. Порядок, в котором осуществляется поиск библиотеки, включает в себя переменную окружения %PATH%. Эту переменную любят менять различного рода приложения!
3. По умолчанию, пользователи могут создавать папки в корне системного диска и писать в эти папки.

Продолжить чтение этой записи

Как я выбираю количество дисков и разделов

Жёсткий диск — самый медленный компонент современного компьютера. Комплектуя новый сервер либо переделывая уже имеющийся, зачастую приходится долго и мучительно выбирать количество и тип дисков, а также схему разделов. Пришедшие на смену традиционным электронные диски внесли свои коррективы в соображения, которыми нужно я руководствуюсь. Поскольку постоянно приходится озвучивать основные критерии выбора, я решил их получше закрепить в памяти, перечислив здесь.

 

1. Основное «узкое место» традиционных дисков — шпиндель.

Шпиндель бывает физическим для одиночного диска и логическим для дискового массива. Время доступа на физическом шпинделе, измеряемое по формуле «Время поиска головкой нужного трека + Время поиска нужного сектора» существенно увеличивается при обслуживании конкурентно поступающих запросов к файловой системе. Слишком частое перепозиционирование головок, которое мы слышим как похрустывание диска, существенно замедляет работу системы. Объединение нескольких дисков в массив не решает проблему, а лишь несколько скрадывает её, поэтому для себя я держу законом правило разнесения данных по шпинделям:

«Если некий тип данных испытывает постоянную нагрузку потоком запросов, храни его на отдельном шпинделе.»

Например, если сервер класса Small Business является и файловым сервером, и сервером базы данных, эти два ресурса обязательно должны храниться на раздельных шпинделях. В то время как одна группа пользователей нагружает шпиндель с базой данных своими запросами, файловые службы практически беспрепятственно могут обслужить со второго шпинделя тех, кто работает с документами общего доступа. А если при этом ещё и саму операционную систему с её журналированием вынести на свой отдельный шпиндель, то вообще шоколад.

В целом, если на типичном сервере у вас имеются четыре жёстких диска, а вы желаете получить и производительность, и отказоустойчивость, лучше сделать два массива RAID1, чем один RAID5. Хотите проверить теорию шпинделей? Скопируйте крупный файл (например, образ системы) в пределах одного шпинделя и между шпинделями, замерив время (это удобно делается с помощью FAR Manager). Разница — в разы. И только на электронных дисках этот аргумент не имеет существенного значения.

 

2. Различающиеся требования отказоустойчивости или мобильности данных.

Если, к примеру, для базы данных важна каждая секунда, что логично приводит нас к необходимости хранения её на отказоустойчивом массиве, то меняющиеся раз в месяц медиа-ресурсы вполне можно разместить на обычном одиночном диске, при необходимости регулярно делая сетевые резервные копии. С другой стороны, те же самые резервные копии я также предпочту хранить на отдельном жёстком диске, чтобы при необходимости его было легко демонтировать и перенести на другой компьютер.

 

3. Цена носителей и объёмы данных.

Конечно, было бы отлично построить весь домашний компьютер на SSD-дисках. Система просто летает; однако, хранить на них HDTV-контент всё-таки пока дороговато. Что ж, решение очевидно — выделенный электронный диск под систему и документы плюс отдельный традиционный диск для фильмов, на котором цена за гигабайт существенно ниже, а требования к скорости доступа не столь высоки. Для сервера же решение может быть построено на SAS-дисках в качестве системных или массива базы данных; и небыстрых, но недорогих и предельно ёмких SATA-дисках с резервными копиями.

 

4. Фрагментация.

Не всегда корпус машины или выделяемый бюджет позволяют использовать достаточное количество физических дисков. Если различные типы данных хранятся на одном физическом или логическом шпинделе, к ним могут применяться различные стили работы. Например, документы общего доступа регулярно редактируются и перезаписываются, в то время как сама операционная система может оставаться практически законсервированной. В таких случаях считаю необходимым создать на диске несколько разделов, чтобы, как минимум, обеспечить раздельную фрагментацию и заполнение пространства. Высокий уровень фрагментации файлов базы данных не повлияет на фрагментацию системного раздела, а забитый до упора раздел с документами позволит той же системе или базе данных оставаться работоспособной.

 

5. Раздельные шаблоны резервного копирования.

Например, параметры Shadow Copies задаются только на уровне раздела; в то же время, частота и объёмы копирования документов и базы данных могут отличаться, а операционной системе теневое копирование вообще не нужно. Для традиционного копирования также удобнее определить в качестве целей разделы целиком. Это всё в сумме может являться причиной для создания нескольких разделов.

 

6. Раздельное квотирование ресурсов.

Стандартная NTFS Quota назначается только на уровне раздела, что также может быть веской причиной для разнесения ресурсов на несколько разделов.

 

7. Раздельные разрешения доступа.

Нет ничего особо сложного в разграничении доступа к отдельным папкам. Однако, бывают случаи, когда желательно работать с диском как с единым целым. Например, фильмы или инсталляционные ресурсы могут быть доступны рядовым пользователям только на Чтение, что в моём случае гарантирует как их неприкосновенность со стороны детей, так и обеспечивает защиту от случайного удаления мной самим. Поэтому мне удобно выделить под ресурсы подобного рода диск F:.