Account Lockout: мифы и реалии

Система блокировки учётных записей Windows при неоднократном введении неправильного пароля существует с самой первой редакции ОС Windows (Windows NT 3.1 Advanced Server, 1993), но новички продолжают прокалываться на элементарных вещах. В данной статье я попробую разобрать основные ошибки начинающих администраторов. Ну и на кусочек Тайного Знания можете рассчитывать тоже.

Продолжить чтение этой записи

Реклама

Централизованный аудит событий SRP в домене

Политики Software Restriction Policies и AppLocker играют важнейшую роль в защите компьютера от вирусов и нежелательных программ. Блокируя запуск неразрешённой программы, политика генерирует событие в журнале Application локального компьютера, что позволяет администратору контролировать состояние системы и по мере необходимости вносить изменения в параметры политики. Однако, отслеживать содержимое журналов одновременно на большом числе компьютеров — слишком сложная задача. Существенно упростить контроль можно, настроив автоматическую рассылку почтовых уведомлений при появлении в журнале интересующих нас событий.

Продолжить чтение этой записи

HTB23108 — уязвимость, которой не было.

Иногда среди сообщений о найденных «дырах» попадаются интересные экземпляры. Мне понравилась уязвимость, информацию о которой опубликовали High-Tech Bridge (оригинал ищите на https://www.htbridge.com/advisory/HTB23108). Вкратце разъясню идею:

1. Системная служба IKE and AuthIP IPsec Keying Modules, присутствующая в Windows Vista и выше, в момент запуска пытается загрузить библиотеку wlbsctrl.dll, которой обычно в системе нет.
2. Порядок, в котором осуществляется поиск библиотеки, включает в себя переменную окружения %PATH%. Эту переменную любят менять различного рода приложения!
3. По умолчанию, пользователи могут создавать папки в корне системного диска и писать в эти папки.

Продолжить чтение этой записи

Как я выбираю количество дисков и разделов

Жёсткий диск — самый медленный компонент современного компьютера. Комплектуя новый сервер либо переделывая уже имеющийся, зачастую приходится долго и мучительно выбирать количество и тип дисков, а также схему разделов. Пришедшие на смену традиционным электронные диски внесли свои коррективы в соображения, которыми нужно я руководствуюсь. Поскольку постоянно приходится озвучивать основные критерии выбора, я решил их получше закрепить в памяти, перечислив здесь.

 

1. Основное «узкое место» традиционных дисков — шпиндель.

Шпиндель бывает физическим для одиночного диска и логическим для дискового массива. Время доступа на физическом шпинделе, измеряемое по формуле «Время поиска головкой нужного трека + Время поиска нужного сектора» существенно увеличивается при обслуживании конкурентно поступающих запросов к файловой системе. Слишком частое перепозиционирование головок, которое мы слышим как похрустывание диска, существенно замедляет работу системы. Объединение нескольких дисков в массив не решает проблему, а лишь несколько скрадывает её, поэтому для себя я держу законом правило разнесения данных по шпинделям:

«Если некий тип данных испытывает постоянную нагрузку потоком запросов, храни его на отдельном шпинделе.»

Например, если сервер класса Small Business является и файловым сервером, и сервером базы данных, эти два ресурса обязательно должны храниться на раздельных шпинделях. В то время как одна группа пользователей нагружает шпиндель с базой данных своими запросами, файловые службы практически беспрепятственно могут обслужить со второго шпинделя тех, кто работает с документами общего доступа. А если при этом ещё и саму операционную систему с её журналированием вынести на свой отдельный шпиндель, то вообще шоколад.

В целом, если на типичном сервере у вас имеются четыре жёстких диска, а вы желаете получить и производительность, и отказоустойчивость, лучше сделать два массива RAID1, чем один RAID5. Хотите проверить теорию шпинделей? Скопируйте крупный файл (например, образ системы) в пределах одного шпинделя и между шпинделями, замерив время (это удобно делается с помощью FAR Manager). Разница — в разы. И только на электронных дисках этот аргумент не имеет существенного значения.

 

2. Различающиеся требования отказоустойчивости или мобильности данных.

Если, к примеру, для базы данных важна каждая секунда, что логично приводит нас к необходимости хранения её на отказоустойчивом массиве, то меняющиеся раз в месяц медиа-ресурсы вполне можно разместить на обычном одиночном диске, при необходимости регулярно делая сетевые резервные копии. С другой стороны, те же самые резервные копии я также предпочту хранить на отдельном жёстком диске, чтобы при необходимости его было легко демонтировать и перенести на другой компьютер.

 

3. Цена носителей и объёмы данных.

Конечно, было бы отлично построить весь домашний компьютер на SSD-дисках. Система просто летает; однако, хранить на них HDTV-контент всё-таки пока дороговато. Что ж, решение очевидно — выделенный электронный диск под систему и документы плюс отдельный традиционный диск для фильмов, на котором цена за гигабайт существенно ниже, а требования к скорости доступа не столь высоки. Для сервера же решение может быть построено на SAS-дисках в качестве системных или массива базы данных; и небыстрых, но недорогих и предельно ёмких SATA-дисках с резервными копиями.

 

4. Фрагментация.

Не всегда корпус машины или выделяемый бюджет позволяют использовать достаточное количество физических дисков. Если различные типы данных хранятся на одном физическом или логическом шпинделе, к ним могут применяться различные стили работы. Например, документы общего доступа регулярно редактируются и перезаписываются, в то время как сама операционная система может оставаться практически законсервированной. В таких случаях считаю необходимым создать на диске несколько разделов, чтобы, как минимум, обеспечить раздельную фрагментацию и заполнение пространства. Высокий уровень фрагментации файлов базы данных не повлияет на фрагментацию системного раздела, а забитый до упора раздел с документами позволит той же системе или базе данных оставаться работоспособной.

 

5. Раздельные шаблоны резервного копирования.

Например, параметры Shadow Copies задаются только на уровне раздела; в то же время, частота и объёмы копирования документов и базы данных могут отличаться, а операционной системе теневое копирование вообще не нужно. Для традиционного копирования также удобнее определить в качестве целей разделы целиком. Это всё в сумме может являться причиной для создания нескольких разделов.

 

6. Раздельное квотирование ресурсов.

Стандартная NTFS Quota назначается только на уровне раздела, что также может быть веской причиной для разнесения ресурсов на несколько разделов.

 

7. Раздельные разрешения доступа.

Нет ничего особо сложного в разграничении доступа к отдельным папкам. Однако, бывают случаи, когда желательно работать с диском как с единым целым. Например, фильмы или инсталляционные ресурсы могут быть доступны рядовым пользователям только на Чтение, что в моём случае гарантирует как их неприкосновенность со стороны детей, так и обеспечивает защиту от случайного удаления мной самим. Поэтому мне удобно выделить под ресурсы подобного рода диск F:.

Эпидемия вируса LockDir — кто виноват? Что делать?

В очередной раз Интернет разрывается в лоскуты криками о помощи:

«Вирус зашифровал файлы и добавил им расширение loh», «Вирус заблокировал почти все файлы на обоих дисках»,«Lockdir.exe Помогите разблокировать базы 1С« и так далее до бесконечности. Это очень хороший вирус, я его люблю изо всех сил. Он в очередной раз блестяще доказал, что антивирусные программы не в состоянии защитить от вирусов, эта война ими давно проиграна. Принося очевидный весомый ущерб, он также доказал, заклинания «мне вирусы не мешают», «у меня в компьютере ничего ценного нет» являются чистым самообманом. Особенно глупо выглядят мантры «у меня хороший антивирус, он всё ловит»:

Продолжить чтение этой записи

Секреты Shadow Copies: как увеличить количество снимков

Ключевые особенности механизма Shadow Copies делают их незаменимыми для файловых серверов. Но как часто нужно делать моментальные снимки (snapshots)? Обычно частота резервного копирования определяется несколькими параметрами, в том числе:

  • Какую нагрузку даёт процедура копирования на систему и как долго исполняется?
  • Как много данных мы  готовы потерять в случае сбоя?

Предположим, первый пункт нас не сильно беспокоит в случае Shadow Copies. А вот пункт второй нуждается в подсчётах. Предельный объём потерь при удалении или повреждении корневой папки файлового сервера может быть высчитан как простое произведение количества пользователей, работающих с ресурсом, на время работы. Например, работающие с файловым сервером 50 человек за 4 часа вкладывают в него 200 человеко-часов труда. Цена такого объёма трудозатрат может весьма варьироваться, но в любом случае малой не будет.

Продолжить чтение этой записи

Секреты Shadow Copies: как настроить Previous Versions на Windows 7

        Технология Shadow Copies, впервые представленная в Windows Server 2003/Windows XP, совершила переворот в области резервирования данных. Shadow Copies напичкана плюсами, как кекс изюмом:

  • технология разрешает копировать данные, заблокированные приложениями;
  • создание копий даже существенного объёма данных занимает не более пары секунд;
  • копии занимают мизерный объём, примерно 300 Мб на каждые 10 Гб данных;
  • автоматически поддерживается глубина копирования, по умолчанию до 64 копий;
  • пользователи сами могут восстанавливать утраченные или повреждённые данные.

Продолжить чтение этой записи