Sunday, 15 September 2019

OneDrive как сетевой ресурс.

Всем привет.

При использовании сервиса "OneDrive для бизнеса" частенько может пропадать связь с ресурсом или нужным документом. Или пользователю неверно нарезали права доступа. Может потребоваться определенное время для решения такой проблемы.

В первом приближении в качестве временного решения (и проверки его прав на ресурс) можно дать сетевой доступ как к обычному сетевому ресурсу. Начинаем подключение сетевого диска.


Выбираем "Подключиться к web-сайту..."


А далее указываем адрес web-ресурса через http.

Успехов.

Saturday, 14 September 2019

С днем Программиста!

Их не понимают, их тихо боятся, им громко завидуют, к ним бегут за советом, на них ворчат и надеются одновременно. Их считают не от мира сего, хотя все уже давно не могут без этого мира жить. Они - это Программисты. Хотя сейчас имеющих отношение к ИТ намного больше и программисты немного затерялись среди других около ИТ-специальностей, но без них никак - код создают именно они. 


И хотя я сам уже давно не кодирую, сменил профиль, но Всех с кем творили, с кем сражались с чужим кодом и писали свой, причастных к этому процессу в прошлом и настоящем. Всех вас с праздником Программиста! 

Чудный 256-й день года, который к тому же пятница и 13-е.

Friday, 13 September 2019

Две раскладки клавиатуры или три?

Всем привет.

Случается что в вашей системе вмеcто двух раскладок клавиатуры их несколько.

Начиная с релиза 1803 в Windows 10 появилась проблема: невозможно удалить лишний язык - кнопка удаления просто не активна. Гуру утверждают что решение проблемы возможно только с помощью команд powershell.

Запустите Windows PowerShell правами администратора.

Выведите список установленных в Windows 10 языков командой:
Get-WinUserLanguageList

Запомните LanguageTag языка который вам не нужен и вы его хотите удалить (в моем случае это был ru-UA).

Далее надо последовательно выполнить несколько команд:
$LanguageList = Get-WinUserLanguageList
$DeleteLang = $LanguageList | where LanguageTag -eq "ru-UA"
$LanguageList.Remove($DeleteLang)
Set-WinUserLanguageList $LanguageList –Force

Будьте внимательны указывая LanguageTag а так же при копировании и вставке последней строки, иногда теряется тире перед  Force.

На будущее - не меняйте ничего в процессе установки ОС и делайте все языковые настройки уже после инсталляции. Также после удаления языка не забудьте новый набор языковых параметров скопировать в "Экран приветствия" и "Новый профиль пользователя".

Wednesday, 11 September 2019

Запрос Get-WinEvent из разных журналов.

Всем привет.

Есть хорошая новость.

Только вот закончил проверку Powershell-запроса определенных событий с контроллера домена через командлет Get-WinEvent из разных журналов. Работает!

В простейшем виде код запроса выглядит так:

$filterXml = @"
<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Microsoft-Windows-Sysmon/Operational">*[System[(EventID=2) and TimeCreated[timediff(@SystemTime) &lt;= 3600000]]]</Select>
    <Select Path="Security">*[System[((EventID &gt;= 4624 and EventID &lt;= 4627)) and TimeCreated[timediff(@SystemTime) &lt;= 3600000]]]</Select>
  </Query>
</QueryList>
"@

$Pdce = (Get-AdDomain).PDCEmulator

$Events = Get-WinEvent –FilterXml $filterXml -ComputerName $Pdce -MaxEvent 50

$Events | select TimeCreated,ID,LogName,message

Так выполняется выборка 50-ти последних событий одновременно из журнала Microsoft-Windows-Sysmon/Operational и журнала Security сгенерированных в течение часа.

Если надо сделать вывод подробнее и с нумерацией вывода то пишем так:

$global:i=0
$Events | select @{Name="#";Expression={$global:i++;$global:i.Tostring()}},TimeCreated,ID,LogName,message | fl

Что здесь нового? Теперь можно скоррелировать события не только из разных журналов, но из разных источников (хостов). 

Во первых, можно (и модно) использовать Sysmon для фиксации дополнительных событий происходящих с процессами, файлами, реестром и еще бог знает чем из того что происходит в наблюдаемой системе.

Во вторых, можно использовать "Перенаправление событий" в политиках.

В результате все интересные события попадают на один хост, где и коррелируются одним запросом в Powershell.

Успехов.

Tuesday, 10 September 2019

Лучшие бесплатные системы мониторинга ИТ-инфраструктуры.

Всем привет.

Существует множество программных продуктов, как коммерческих, так и бесплатных (с открытым исходным кодом), которые могут помочь вам осуществлять мониторинг вашей ИТ инфраструктуры и уведомлять о любых сбоях. Учитывая большое количество предложений на рынке, не просто найти нужный вам вариант, который впишется в ваш ценовой диапазон. Хорошие новости для многих из нас заключаются в том, что на рынке доступны мощные решения для мониторинга ИТ-инфраструктуры с открытым исходным кодом. Спасибо сообществам разработчиков программного обеспечения с открытым исходным кодом за их работу.

Давайте взглянем на лучшие варианты из доступных на рынке бесплатных систем мониторинга ИТ-инфраструктуры и определим, может что-то подойдет и нам.

Nagios

Сообщество Nagios (https://www.nagios.org/), ведущее свою историю с 1999 года, является одним из лидеров отрасли в области решений для мониторинга ИТ-инфраструктуры любого масштаба — от малого до корпоративного уровня.

Программное решение для мониторинга компьютерных систем и сетей Nagios способно осуществлять мониторинг практически любых компонентов, включая сетевые протоколы, операционные системы, системные показатели, приложения, службы, веб-сервера, веб-сайты, связующее программное обеспечение (Middleware) и т. д..

Базовая функциональность системы для мониторинга Nagios реализована на ядре Core 4, который обеспечивает высокий уровень производительности за счет меньшего потребления ресурсов сервера.



Вы можете, используя плагин, интегрировать его практически с любым типом стороннего программного обеспечения, причем, скорее всего, этот плагин кто-то уже написал (https://www.nagios.org/projects/nagios-plugins/).

Если вы используете связующее программное обеспечение (Middleware), вы можете использовать Nagios для мониторинга WebLogic, WebSphere, JBoss, Tomcat, Apache, URL, Nginx и т. д..

Monday, 9 September 2019

Remove background from image.

Привет всем.

Как известно самой востребованной операцией в графическом дизайне является удаление фона картинки. Своего рода начало творчества. Есть мастера этого дела, которые искусно владеют лассо в Фотошопе или в другом редакторе. А потом также искусно с помощью фильтров аккуратно заглаживают края перехода в область прозрачности.

У меня это получается на твердую четверку в Paint.NET. Так я сам себя оцениваю. Пробовал тоже самое сделать и в PowerPoint. Тоже неплохо. Но мороки много...

И вот на днях нашел онлайн-сервис Remove Background from Image который это делает на ура. Особенно его искусство проявляется в удаление фона на фото с девушками с развевающимися волосами. Оцените результат сами.


Сервис бесплатен, цены за услуги появляются тогда когда вам нужно такую обработку поставить на поток. И при обработке больших фотографий он уменьшает их размер на выходе. А в целом обработка идеальна. Рекомендую!

Успехов.

Saturday, 7 September 2019

WSUS или SCCM ?

Всем привет.

Разливая новую ОС Windows имеем необходимость обновить ее до последней даты. Что занимает некоторое время. Это уже тренд дня. 

Есть два варианта это сделать - с помощью WSUS или с помощью SCCM.  Они оба сделают свое дело на ура. Но тут важно как быстро. Особенно это актуально если вы еще разлили и полный пакет MS Office 2016.

Итак независимо от установленной в вашем домене политики можно пойти путем WSUS.
Выполняем ряд команд:

net stop wuauserv
regedit.exe -s WSUS-NEW.reg
net start wuauserv
wuauclt.exe /resetauthorization /detectnow

В WSUS-NEW.reg прописаны параметры реестра на ваш сервер WSUS. И тут же вызываем "Проверить обновления."

Или пойти путем SCCM. Вызываем из Панели управления Configuration Manager. В нем идем на вкладку "Actions" и там выполняем два действия "Run now". Контроль выполнения можно оценить в Software Center на страничке Updates.


Что по времени выполняется быстрее, WSUS или SCCM, оцениваете у себя сами.

Успехов.

Friday, 6 September 2019

Кроличья нора и ярлык.

Всем привет.

Приходилось мне править ярлык закрепленного web-сайта. А сегодня попался такой ярлык который работает, но не ведет к своему файлу.

Конечно вы скажете что есть кнопка "Расположение файла", клик по которой и покажет мне то что я хочу. Как бы не так. Клик по ней перебрасывает меня в web-браузер ибо тип ярлыка очень похож на ярлык закрепленного web-сайта.


Однако не все потеряно, узнать куда же ведет нас "кроличья нора" можно по кнопке "Сменить значок". Где первым делом видно из какого же файла был взята иконка для ярлыка.

Успехов.

Tuesday, 3 September 2019

MS Outlook и отложенный старт отправки - повторение.

Всем привет.

Разок я решал вопрос отправки отложенного письма. Вчера пришлось к нему вернуться.

Напомню вам что если требуется, что бы ваше электронное письмо отправилось адресату в назначенный день и час, то в программе Microsoft Outlook имеется возможность запрограммировать время и дату отправки вашей корреспонденции. После того как вы создадите сообщение и если требуется вложив в него необходимые файлы, нажмите на пункт меню "Параметры". Затем выберете пункт "Задержка доставки". 

В открывшемся окне отметьте пункт "Не доставлять до:". 


После этого установите требуемую дату и время отправки сообщения, выбирая нужные пункты в раскрывающихся окошках. 

Sunday, 1 September 2019

Идентификация интерфейсов в NetFlow Analyzer.

Всем привет.

Когда статистика моего роутера Cisco появляется в NetFlow Analyzer, то она прежде всего привязана к интерфейсам самого роутера. Эти интерфейсы видны под странными именами IfIndexN, где N-цифра. Какой реально это интерфейс на роутере, не сразу очевидно:



Прояснить ситуацию может команда show snmp mib ifmib ifindex:

router#show snmp mib ifmib ifindex
FastEthernet0: Ifindex = 1
Null0: Ifindex = 6
FastEthernet1: Ifindex = 2
Vlan1: Ifindex = 7
FastEthernet2: Ifindex = 3
FastEthernet3: Ifindex = 4
FastEthernet4: Ifindex = 5
Tunnel160: Ifindex = 8

Успехов.

Friday, 30 August 2019

Лучшие анализаторы Netflow.

Всем привет.

Системным инженерам и администраторам сетей, постоянно приходится сталкиваться с проблемами, причины которых не всегда очевидны. В этих случаях очень полезным будет провести беглый анализ сетевого трафика. Вашему вниманию представляется обзор лучших анализаторов и коллекторов Netflow, которые помогут значительно упростить нам жизнь.

Анализаторы и коллекторы NetFlow - это очень полезный инструментарий для мониторинга и анализа данных сетевого трафика, который поможет вам обнаружить возможные проблемы еще до того, как они станут реальной угрозой. Анализаторы NetFlow позволят вам определить те машины и устройства, которые негативно влияют на пропускную способность вашей сети, найти узкие места в вашей системе, а также, в конечном счете, повысить общую эффективность функционирования вашей сети.

Само понятие «NetFlow» относится к сетевому протоколу, разработанному компанией Cisco для сбора информации о трафике, проходящем через различные устройства в сети. Существует несколько версий протокола NetFlow (от 1 до 9), часть из которых уже устарели. На данный момент наиболее распространенными являются NetFlow версии 5, 7 и 9. Сейчас NetFlow представляет собой, фактически, промышленный стандарт и поддерживается не только оборудованием Cisco, но и многими другими устройствами от других производителей.

В то же время часть вендоров используют собственные версии NetFlow: к примеру, компания Juniper Networks называет свой протокол J-Flow, у компании Huawei — это NetStream. Несмотря на то, что эти «Flow» имеют разные имена, все они работают аналогичным NetFlow образом, предоставляя, в основном, одну и ту же информацию. Кроме того, на основе NetFlow версии 9 также был разработан открытый универсальный стандарт IPFIX (Internet Protocol Flow Information eXport) для передачи информации об IP-потоках.

Информация, которую собирает из IP-трафика NetFlow, включает в себя:

  • IP-адрес источника;
  • IP-адрес назначения;
  • порт источника для UDP и TCP;
  • порт назначения для UDP и TCP;
  • тип и код сообщения для ICMP;
  • номер интернет-протокола транспортного уровня, инкапсулированного в протокол IP;
  • тип обслуживания (Type of Service, ToS);
  • сетевой интерфейс.

Собирая и анализируя эту информацию, вы можете много узнать о функционировании вашей сети, а также использовать ее для разных целей, включая мониторинг пропускной способности, устранение неполадок в работе сети и обнаружение аномалий.

Когда в сети реализована поддержка протокола NetFlow, активируется работа двух основных компонентов: Flow Exporter и Flow Collector. Flow Exporter захватывает статистическую информацию о потоке и отправляет ее в коллектор. Он обычно настраивается на устройстве, таком, как маршрутизатор или коммутатор, а в некоторых случаях на одном устройстве используется несколько Flow Exporter для мониторинга разных потоков. Flow Collector получает данные о потоках и сохраняет их. Во многих современных решениях для анализа сетевого трафика функциональность коллектора и анализатора совмещена в одном решении — статистическая информация о потоках не только собирается и сохраняется, но также обрабатывается и анализируется, чтобы представить ее пользователям в удобном для понимания виде. В ряде случае Flow Collector может использоваться просто для получения данных, при этом их анализ осуществляется другим приложением с функциональностью анализатора.

Существует множество программных решений на основе протокола NetFlow, и в рамках этой статьи мы представим вам 5 лучших коммерческих и бесплатных анализаторов и коллекторов NetFlow. Большинство поставщиков программного обеспечения NetFlow, перечисленных ниже, имеют инструкции по включению NetFlow на устройства различных производителей. Кроме того, эта информация также должна содержаться в документации производителя вашего устройства.

Saturday, 24 August 2019

Поиск первой даты публикации.

Всем привет.

Нередко авторы публикуют статьи в сети и не указывают дату ее публикации. Вот например здесь https://networkguru.ru/5-best-netflow-analyzer-collector/ хороший материал про 5 лучших анализаторов и коллекторов Netflow.

Как узнать когда впервые автор ее вынес в сеть?

Не сложно. Идем в поисковик Google и вписываем фразу в кавычках "5 лучших анализаторов и коллекторов Netflow". Переходим по опциям поиска «Инструменты /За год» жмем «Поиск». Получаем ответ где наша искомая статья с датой публикации  28 ноября 2018.


Скорее всего это уже повторная редакция. Переходим по опциям поиска «Инструменты /За период…»  и ставим крайнюю дату периода поиска на год раньше, 2017-й. Жмем «Поиск». 

Так и есть, получаем ответ где наша искомая статья с датой публикации  28 августа 2015. Поищем может она публиковалась еще раньше. Ставим крайнюю дату периода поиска на 27 августа 2015. 

И получаем «Нет результатов.»

Делаем вывод что наша искомая статейка впервые была опубликована  под названием "5 лучших анализаторов и коллекторов Netflow" именно 28 августа 2015.

Вуаля! Задачка решена.

Friday, 23 August 2019

DLP от McAfee.

Всем привет.

В McAfee есть отличный модуль Data Protection. Который как раз и предназначен для организации процесса мониторинга использования съемных носителей на фирме. Но есть нюанс.

Независимо от принятой политики запрета в журнал DLP Incident Manager попадает информация об используемом носителе. Если это была флешка то устройство вполне адекватно определяется и по имени и по ID.

Пример:

Device Friendly Name : JetFlash Transcend 32GB USB Device
Device Description: Disk drive
Instance ID :         USBSTOR\Disk&Ven_JetFlash&Prod_Transcend_32GB&Rev_8.07\
USB Serial Number: 5200843DFE9E5685

Если это была не флешка, а например, смартфон, то все намного печальнее.

Пример:

Device Friendly Name : Remote NDIS based Internet Sharing Device
Device Description: Remote NDIS based Internet Sharing Device
USB Serial Number: KFKF5L8PMR09CIAU
Instance ID :         USB\VID_04E8&PID_6863\5200843DFE9E7785
USB (VID/PID Codes): 04E8-6863

Как видно в этом случае имя устройства безликое. А по VID/PID кодам можно только делать догадки ибо про их идентичность сейчас мало кто из производителей заботится. Ну разве что серийный номер нам сможет что-то сказать.(

Ну такое.

Thursday, 22 August 2019

Рекомендованное вам от youtube 2.

Всем привет.

Сегодня очередная разминка на тему Youtube. Уже столько сказано и написано. Но его алгоритмы постоянно совершенствуются. И я вам покажу результат экспериментов воочию. Недавно я вам писал что поведенческий алгоритм водит зрителя от ролика к ролику весьма настойчиво. А если наш зритель при это этом еще и залогинился в Google, то считайте что он пропал.)

Более того Youtube научился не только ловить ваше настроение, он уже умеет вычитывать тембр, тональность музыкального ряда, и прочее. И дело тут даже не в вездесущем копирайте.

Судите сами, вот слушаем легендарный хит Simple Man - Lynyrd Skynyrd 


Прекрасная песня, отличная игра. Чуть ниже в "Рекомедованное вам" следует не менее известное от Scorpions


Не плохо, да? И как "подозрительно" похожа игра на соло-гитаре.)

Бывают случаи и похитрее, которые только на первый взгляд случайны. Это Goolge ребятки, тут случайности исключены.

Берем, к примеру, Within Temptation - Faster 


Шарон ден Адель жжет на полную! Супер. Опять же в "Рекомедованное вам" я вижу Chris Isaak - Wicked Game. Ну какая ту связь? "Да никакой" - скажите вы.



А вот и нет. Романтичная Wicked Game это та же Faster, только в блюзе. Увеличьте скорость в два раза и забудьте про лирику. Теперь то убедились?

Youtube отжигает.


Saturday, 17 August 2019

Less и ness могут быть рядом.

Все привет.

За английским на  соскучились?)

Досталось мне из одной умной книжки сокращение STER, что в раскладе значит 4 слова: Selflessness, Timelessness, Effortlessness, Richness.

Сейчас не так важно что значит само сокращение и его книжный перевод как Бессамость,  Вневременность, Легкость и Насыщенность. Прикол в том что я никогда не думал что в английском языке могут быть рядом  суффиксы less  и ness. Это просто сюрприз для меня. Или выверт автора книги?

Сам Google предлагает более понятный перевод этих слов: Самоотверженность, Безвременье, Беззаботность, Богатство.

Крутим переводчик обратно и получаем: Selflessness, Timelessness, Carefreeness, Wealth. Т.е. автор крутанул со словом Effortlessness которое можно перевести как Легкость. А в остальном, да, less и ness могут быть рядом.

Увидимся.

Friday, 16 August 2019

Блокировка пользователя в домене и Powershell.

Всем привет.

В работе администратора домена Active Directory довольно часто возникает необходимость найти причину блокировки пользователя. Иногда причиной блокировки пользователя является заражённый вирусом хост - в таких случаях особо важна скорость обнаружения источника проблемы. В PowerShell есть прекрасный командлет Get-WinEvent который позволяет решать данную задачу за пару минут даже в большом домене.

Но для поиска причины блокировки пользователей потребуется некоторая настройка аудита безопасности на контроллерах домена. Должны быть включены следующие категории аудита на контроллерах домена:
  • Audit Account Logon Events (Вход учётной записи), отказ, для события 4771 Kerberos pre-authentication failed;
  • Audit Logon Events (Вход/Выход) Logon (Аудит входа в систему), отказ, для события  4625 An account failed to log on;
  • Audit Logon Events (Вход/Выход) Account Lockout (Аудит блокировки учётных записей), успех, для события  4740 Account locked.


В PowerShell я могу проверить кто сейчас заблокирован просто:
Search-ADAccount -UsersOnly –LockedOut

Также просто разблокировать пользователя:
Unlock-ADAccount -Identity test


Теперь посмотрим когда же пользователь заблокировался и с какой станции.

$Username = "test"

$Pdce = (Get-AdDomain).PDCEmulator
$GweParams = @{
"Computername" = $Pdce
"LogName" = "Security"
"FilterXPath" = "*[System[EventID=4740] and EventData[Data[@Name='TargetUserName']='$Username']]"
}

$Events = Get-WinEvent @GweParams
$Events | foreach {$_.Properties[1].value + ' ' + $_.TimeCreated}


Более подробный запрос для нескольких аккаунтов можно выполнить так:

param (
    $User,
    $PDC = "FORZA01",
    $Count = 5
 )

$Username = "test"

    $FilterHash = @{}
    $FilterHash.LogName = "Security"
    $FilterHash.ID = "4740"
    if ($User) {
        $FilterHash.data =$User
        $Count = 1
    }
   
    $FilterHash2 = @{}
    $FilterHash2.LogName = "Security"
    $FilterHash2.ID = @("4625", "4771")

    Get-WinEvent -Computername $PDC -FilterHashtable $FilterHash -MaxEvents $Count | ForEach-Object {
        $ResultHash = @{}
        $ResultHash.Username = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "TargetUserName"} | %{$_."#text"}
        $ResultHash.CallerFrom = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "TargetDomainName"} | %{$_."#text"}
        $ResultHash.LockTime = $_.TimeCreated

        $FilterHash2.data = $Username
        Get-WinEvent -Computername $PDC -FilterHashtable $FilterHash2 -MaxEvents $Count | ForEach-Object {
            $ResultHash.SrcAdrHost = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "IpAddress"} | %{$_."#text"}
            $ResultHash.LogonType = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "LogonType"} | %{$_."#text"}
            $ResultHash.FalureTime = $_.TimeCreated
            $ResultHash
        }
    }


Wednesday, 14 August 2019

MS Windows10 и SCCM.


Всем привет.

Тот же неловкий момент Windows10 и WSUS в MS SCCM обрабатывается более мягко. Окно обновления с призывом  «RESTART»  дает нам 24 часа на ребут. Если жмем "HIDE" он просто прячет окно обновления и ждет 24 часа. Если ты ничего не делаешь он за 1 час до ребут высветит снова это окно, но уже не даст его закрыть пока не перегрузишь. Ну и разумеется как выйдет 24 часа тогда ребутнет наш ПК вне зависимости от того будет юзер за ПК или нет.



24 часа даются исходя из того что за сутки пользователь точно должен перегрузить свой ПК. Как то так. И да, надо пользователям чуть подучить английский для прочтения таких сообщений.)



Saturday, 10 August 2019

Зависимый мозг.

Всем привет.

"Разница между использованием технологий 
и рабством состоит в том, что рабы полностью осознают свою несвободу."
Насим Н. Талеб

Время от времени я читаю книги. Не руководства и справочники, а именно книги. Иногда их рекомендую своему читателю. Недавно с увлечением прочитал книгу Жадсона Брюера «Зависимый мозг". В оригинале - Judson Brewer «The Craving Mind: From Cigarettes to Smartphones to Love - Why We Get Hooked and How We Can Break Bad Habits».

Книга о механизмах формирования человеческих зависимостей и о путях борьбы с ними. Хорошая возможность взглянуть на себя со стороны и оценить насколько же вы свободный человек.

Жадсон Брюер - американский нейро-ученый и психиатр, занимается изучением нейронных механизмов осознанности (mindfulness) с помощью функциональной магнитно-резонансной томографии. Автор долгие годы исследует природу формирования зависимостей различных типов и методы их преодоления. Основным методом, который он рекомендует, является медитация. Он считает себя последователем секулярного буддизма и уже несколько десятков лет сам практикует медитацию не только для борьбы с зависимостью, но и, например, для преодоления гнева и достижения общего гармоничного психического состояния. Среди интересных зависимостей в книге рассмотрены зависимость от социальных сетей, от мышления, от лени и прокрастинации, от отношений. Особенно интересными оказались его мысли про отношения между людьми, которые он весьма удачно называет "токсическими".

Эта, как и следующая книга, помогают взглянуть со стороны на собственную зависимость от смартфона, от соцсетей и прочей ерунды которой мы заполняем свою жизнь.

Следующая книга Стивена Котлера и Джейми Уила "Похищая огонь". 

Она о том как поток и другие измененные состояния сознания помогают решать сложные задачи. Книга о современных Прометеях, людях, которые решились «заглянуть за облака» и максимально приблизились к реализации этой мечты. Она рассказывает о влиянии измененных состояний сознания на способности человека. Авторы утверждают, что этот опыт повышает креативность мышления и продуктивность и приводит к рождению прорывных идей.


Удачи.

Tuesday, 6 August 2019

Учетки для McАfee.

Всем привет.

В Active Directory существуют неперсонифицированные пользователи для сервисных функций сторонних комплексов. 

Например пользователи для антивируса McАfee:

1) mcafee-bd    - учетная запись для связи с базой данных McAfee
2) mcafee-admin   - учетная запись для FrontEnd McAfee
3) mcafee-sync   - учетная запись для синхронизации  данных с AD     
4) mcafee-dlp – учетная запись для сервиса DLP
5) epo-email – учетная запись для посылки алертов по почте
6) mcafee-agent – учетная запись для установки агентов McAfee.

И разумеется согласно политике безопасности фирмы им надо менять периодически пароль. Так как пользователи расположены в ЕРО McАfee в разных местах то я ниже покажу где же найти каждого.

И так поехали.
forza.com\mcafee-bd   - меняем пароль пользователя для связи с базой данных MS SQL.

forza.com\ mcafee-admin -  меняем пароль пользователя и сразу проверяем ее работу. На ePO для него ничего делать не нужно.

forza.com\mcafee-sync      - меняем пароль синхронизации объектов с AD, заходим на ePO и  вносим соответствующие изменения. Из основного меню: Зарегистрированные серверы - Сервер LDAP – forza.com 



forza.com\mcafee-dlp  - сначала меняем пароль пользователя  в AD. Заходим на ePO и  вносим соответствующие изменения из основного меню - Параметры DLP. Но этого не достаточно!

Saturday, 3 August 2019

Схлопывание (flapping) событий в Zabbix.

Всем привет. 

Триггеры в системе мониторинга Zabbix несут полезную информационную нагрузку. Их полезность зависит от кода условия который вы в нем укажите. 

Вот пригодилось лично мне пару условий которые я недавно нашел в сети и публикую их вам ниже.

Оценить производительность системы можно так:
{server:system.cpu.load.last()} > 5

Производительность системы с 10-ти минутной историей:
{server:system.cpu.load.min(10m)} > 5

Оценить доступность сервиса по http можно так:
{server:net.tcp.service[http].last()} = 0

Доступность сервиса с 10-ти минутной историей:
{server:net.tcp.service[http].max(5m)} = 0
OR
{server:net.tcp.service[http].max(#3)} = 0

Как преодолеть схлопывание (Flapping) события? Это связано с количеством оповещений в рамках данной проблемы.

Исходное условие пишется так:
{server:system.cpu.load.last()} > 5

А должно быть так:
({TRIGGER.VALUE}=0 and {server:system.cpu.load.last()}>5)
OR
({TRIGGER.VALUE}=1 and {server:system.cpu.load.last()}>1)

Для оценки производительности системы:
({TRIGGER.VALUE}=0 and {server:system.cpu.load.min(5m)}>3)
OR
({TRIGGER.VALUE}=1 and {server:system.cpu.load.max(2m)}>1)

Для оценки свободного места:
({TRIGGER.VALUE}=0 and {server:vfs.fs.size[/,pfree].last()}<10)
OR
({TRIGGER.VALUE}=1 and {server:vfs.fs.size[/,pfree].min(10m)}<30)

Для оценки доступности SSH-сервиса:
({TRIGGER.VALUE}=0 and {server:net.tcp.service[ssh].max(#3)}=0)
OR
({TRIGGER.VALUE}=1 and {server:net.tcp.service[ssh].min(#10)}=0)

Для оценки аномалии производительности системы в течении недели:
{server:system.cpu.load.avg(1h)} > 2 *
{server:system.cpu.load.avg(1h,7d)}

На сегодня все.

Thursday, 1 August 2019

Gmail и отложенная отправка почты.

Всем привет.

Не знаю как давно, но в Google Gmail появилась отложенная отправка почты. Очень полезная фишка, которая мне нужна была много лет тому назад. Теперь она есть. Ура! 


Теперь я могу любые письма к определенной дате (Новый год, например) написать прямо сейчас, выставить время отправки и... забыть про них.

Вот такая вот мелочь, а приятно.

Saturday, 27 July 2019

Exchange Management Shell.

Всем привет.

Славный MS Exchange имеет так называемый доступ со стороны Exchange Management Shell. Не обошел замечательный инструмент Powershell вниманием и его. Exchange Management Shell имеет свыше 500-та командлетов, так что работать с ним можно очень серьезно.

Для тoго чтобы что-то узнать из своего Exchange надо к нему подсоединится со своими креденшелами.

Можно пробовать так:
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Или так:
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://forza.com/powershell/ -Authentication Basic -AllowRedirection -Credential $UserCredential

Я не админ своего Exchange поэтому я захожу так:
$uc=Get-Credential
$s=New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri http://forza.com/powershell -Authentication Kerberos -Credential $uc
Import-PSSession $s -DisableNameChecking | fl

А далее колдуем в рамках открытой сессии.

Общий размер почтовых баз на сервере:
Get-MailboxDatabase -Status | select-object Name,Server,DatabaseSize,Mounted

Узнать членов группы Buh-Forza:
Get-DistributionGroupMember –identity Buh-Forza
Это сработает если у вас выполнена: Set-ADServerSettings -ViewEntireForest $True

Saturday, 20 July 2019

Skype и его атрибут в AD.

Всем привет.

От пятницы совсем коротко и на коленках. Наш Skype стал настолько востребован, что завтра он будет у каждого пользователя фирмы. Единственное что подключают его не сразу, а по запросу. А пользователь часто и не знает подключен ли он. 

Самый быстрый способ это с помощью Powershell проверить атрибут msRTCSIP-PrimaryUserAddress:

Get-ADUser -Filter "Name -like 'Васечкин*'" -property name, msRTCSIP-PrimaryUserAddress | select name, msRTCSIP-PrimaryUserAddress | sort name

Значение атрибута должно быть не пустым.

Или вот так можно выбрать всех пользователей кто до сих пор не имеет аккредитации в корпоративном Skype:

Get-ADUser -Filter "msRTCSIP-PrimaryUserAddress -notlike '*'" -property name, msRTCSIP-PrimaryUserAddress | select name, msRTCSIP-PrimaryUserAddress | sort name

Успехов.

Thursday, 18 July 2019

Поколение Х2.


Всем привет.

Временами мне кажется что самым успешным твоим ИТ-проектом может быть успех сына. Главное вовремя направить и подсказать. Так он создал с нуля свой первый web-портал "Make Solution". И даже стал призером Малой Академии Наук.

Наши дети это совершенно другое поколение которое я бы назвал Х2. Я в свое время многое выучил по видео-курсам. Он поступает также. Но смотрит их на скорости х2. И говорит что ему все доступно.

Я в свое время потратил месяц чтобы поднять интернет-магазин на Joomla. А сын на WordPress тоже самое повторил за день. Раскатал полигон на OpenServer, после с помощью дубликатора выкатил его на хостинг. Получите!

Он во всем ищет что-то новое, и если не находит то привносит сам. Ему однажды стало скучно со мной играть в шашки. И он тут же внес нововведение в правила игры. Каждый игрок поочередно кидает кости с количеством от 1 до 3. В чем суть то?


Вы имеете не один ход, а от одного до трех подряд. Причем количество ходов каждый раз есть случайным. Это значит что наличие дамки не дает гарантии что она у вас останется на следующий ход.)

Успехов всем.


Wednesday, 10 July 2019

Особенности сервиса TinEye.

Всем привет.

Полагаю что для вас не будет новостью что TinEye - это поисковая система, специализирующаяся на поиске в интернете изображений, похожих на изображение-образец, т.е. фактически, она находит “почти” дубликаты, но не может осуществлять, например, поиск картинок аналогичного содержания в отличие того же Google. 

В отличие от большинства поисковых систем, TinEye не использует имена изображений или любые метаданные для выполнения поиска. После того как пользователь загрузил фотографию для поиска, TinEye создает уникальный и компактный цифровой “отпечаток” изображения, а затем сравнивает этот отпечаток с биллионами изображений в индексе своей базы данных.

Однако ресурс TinEye открывает для пользователей ряд различных возможностей. А именно, с его помощью можно:
● узнать автора изображения или фотографии;
● отследить, когда изображение появилось впервые в Интернете (First found on хх.хх.хххх);
● найти то же изображение/фотографию, но с более высоким разрешением, либо каким-то образом отредактированное (Most changed).

Если со временем первого появления и другим разрешением фото на выдаче TinEye, как правило, трудностей не возникает, то с автором изображения все не так очевидно. Его в результатах нет. Вам надо будет чуть пошевелить мышкой: перейти на страницу первого появления по дате, и там уже делать свои выводы.

Успехов.


Saturday, 6 July 2019

Оригинальный репринт на футболке.

Всем привет.

По поводу репринтов для картин на стену я вам уже рассказывал. И по поводу кружек тоже.

Как то мне пришла реклама из интернет-магазина с предложением футболок бренда TheMountain. TheMountain известен своими принтами, в основном спереди, в плане реалистичности. Я дам вам ссылку, глянете сами. В основном это зверюшки красиво вписанные в фон узора самой футболки.

Вам нравится? Мне очень выборочно. Я лично не сторонник изображать что либо спереди на футболке. Если вы носите такую футболку то рассматривают при встрече, ее, а не вас. Я также противник что-либо писать словами на футболках, вы становитесь похожи на бесплатный рекламный плакат.

Поэтому для меня остается одно - спина. Я решил чтобы иметь оригинальную футболку ее дизайн надо сделать самому. Тем более что и TheMountain часто используют не свои картинки. С печатью проблем не будет, студии репринта на каждом шагу.

Решил в эту тему добавить еще момент тату. Зачем мучать свою спину дорогой татушкой, пусть и очень крутой, когда можно ее же разместить на футболке, там же на спине. Надоела одна, надел другую. И телу легче, и вам же дешевле.




В общем TheMountain молодцы, да и мы не лыком шиты. Чуть фантазии и результат в ваших руках, или на вашей спине.

Успехов.

Monday, 1 July 2019

Мурал для Меган.

Всем привет.

Еще одна зарисовка на вечную тему. В основу положен рассказ О.Генри.

Дело было в июне. Господина Случай никак нельзя было назвать галантным джентльменом. Впечатлительная девушка какой была Мег, ее нежная душа едва ли могла считаться достойным соперником для его величества. Поэтому вполне естественно что случайная встреча в кафе нарушила ее душевный покой и затем буквально свалила ее с ног, и вот Мег лежала неподвижно на кровати, глядя сквозь мелкий переплет витражного окна на глухую серую стену соседнего кирпичного дома.

Студия Дейзи и Мег помещалась наверху девятиэтажного панельного дома. Мег - уменьшительное от Меган. Они познакомились еще в время учебы в институте и быстро нашли, что их взгляды на искусство, кофе, моду и молодых парней вполне совпадают. В результате у них возникла общая студия.

Доктор Джейк Фарадей непонятно чем занимался в основное время, но всегда с готовностью приходил на помощь к тем чья душа нуждалась в утешении. По отзывам благодарных клиентов делал он это с умением и совершенно бесплатно. Для него это было непросто, поэтому многим до сих пор было непонятно зачем ему это было нужно. Тем не менее Дейзи обратилась к нему без всяких сомнений. Бегло взглянув на Мег утром мистер Фарадей  одним движением своих темных глаз вызвал Дейзи в коридор.

- У нее один шанс… ну, я бы дал, против десяти, — сказал он, листая на смартфоне сообщения в Фейсбук. - Разумеется если ее душа захочет дальше жить. Вся мои усилия теряют смысл, когда люди начинают действовать не в своих интересах а  в,…. Ну вы меня понимаете. Ваша красавица твердо уверена что ей уже никто не поможет? Вот о чем она сейчас думает?

- Ей… ей когда-то хотелось написать красками летний закат.

- Красками? Какая чепуха! Нет ли у нее на душе чего-нибудь такого, о чем действительно стоило бы думать. Для контраста. Ну, например, мужчины?

- Мужчины?! — вспыхнула Дейзи, вскинув бровями, и ее голос зазвучал резко, как губная гармоника. — Неужели мужчина стоит того чтобы … Да нет, Джейк, бросьте, ничего подобного нет.

- Ну, тогда ее душа просто дала слабину, — решил Джейк усмехаясь. — Я сделаю все, что буду в силах сделать как знаток того что я умею. Но когда ваша подруга начинает считать лайки в своей ФБ-ленте, я сходу скидываю пятьдесят процентов с целебной силы беседы за чашкой кофе в ближайшем кафе. Если вы сумеете добиться, чтобы она хоть раз спросила, какого размера юбки будут носить этим летом, я вам ручаюсь, что у нее будет один шанс из пяти, вместо одного из десяти. Вкус жизни терять нельзя.

После того как Джейк ушел, Дейзи вышла в гостиную и глазами размочила бумажную салфетку окончательно. После она храбро вошла в комнату Мег с графическим арт-падом, насвистывая любимый рэгтайм.

Friday, 28 June 2019

Windows 10 - этот неловкий момент.

Всем привет.

Есть в обновлениях Windows 10 один неловкий момент. Система  после получения очередного набора обновлений, как обычно, нуждается в перезагрузке. Это логично. Логично и то что она сигнализирует от этом пользователю на экран что я, мол, хочу перегрузиться через 5 минут либо отмените мое такое желание на позже. Я сейчас не помню дословно.



Так вот если пользователь видит такой вопрос он и принимает решение как поступить. Если пользователь занят работой, стучит по клавишам или водит мышкой, то система будет ждать ответа. Но вот в случае если на ПК наблюдается бездействие клавиатуры или мыши, то система уйдет в ребут независимо от того какие приложения у вас запущены. Это касается и открытых документов и проводимой конференции в Скайпе. Печалька.

Мне сказали что якобы в новом ядре десятки 1903 это учтено. Однако смотрим на экран и продолжаем грустить по этому поводу.


Добавлена новая опция тайный смысл которой меня пока не вдохновляет. 
Дела.

Tuesday, 25 June 2019

Книги по наступательной информационной безопасности.

Всем привет.

Любую достаточно развитую технологию можно сравнить с оружием: когда у врага есть ружье, а у тебя нет, поневоле хочется изменить баланс сил в свою пользу. В области IT-безопасности знания, передаваемые различными способами, и есть то самое оружие, использование которого ограничивается не столько нормами уголовного кодекса, сколько этическим выбором.

Невозможно стать профессионалом в области информационной безопасности, не понимая тонкостей проникновения и обнаружения уязвимостей. Все книги в сегодняшней подборке похожи на заряженную винтовку, которую хочется иметь в качестве защиты: они обязательны для изучения как начинающим исследователям безопасности, так и специалистам, желающим расширить границы своих знаний.

Итак поехали - 16 лучших книжек в области информационной безопасности. 

Penetration testing, A hands-on introduction to hacking



В практическом руководстве по тестированию на проникновение эксперт по вопросам безопасности Georgia Weidman рассказывает об основных методах хак-тестирования, а также проводит серию практических занятий с такими инструментами, как Wireshark, Nmap и Burp Suite. Тесты проводятся на основе платформы Kali Linux — основной операционной системе для тестов на проникновение и проверку безопасности.

Georgia Weidman профессионально занимается тестированием, является основателем компании консалтинговой безопасности Bulb Security, выступает на таких конференциях как Black Hat, ShmooCon и DerbyCon. Также она получила грант FastTrack DARPA Cyber — для продолжения работы в области безопасности мобильных устройств. К созданию книги Georgia привлекла известного в узких кругах исследователя — Peter Van Eeckhoutteaka, основателя Corelan Security Team.

Saturday, 22 June 2019

401-я ошибка в McAfee ЕРО.

Всем привет.

Для входа в панель McAfee ePolicy Orchestrator 5.х.х нужны имя адлмина ЕРО и его пароль. Все как обычно, но можно на входе получить 401-ю ошибку на ровном месте. При верном вводе имени и пароля. 



Что такое 401-я ошибка?

Код ответа на статус ошибки  HTTP 401 Unauthorized клиента указывает, что запрос не был применен, поскольку ему не хватает действительных учетных данных для целевого ресурса.

Этот статус отправляется с  WWW-Authenticate, который содержит информацию о правильности авторизации.

Сам ответ может выглядит так:
HTTP/1.1 401 Unauthorized 
Date: Wed, 21 Oct 2018 07:28:00 GMT
WWW-Authenticate: Basic realm="Access to staging site"

Это в теории. На практике проблема решается просто. Достаточно вернуться на первую страницу входа в ЕРО переключить вход панели на Английский язык и тут же вернуть ее на Русский. Все, мы вошли.

Успехов.

Thursday, 20 June 2019

Violent Python Book.

Hi all.

It's very good news for us. I found good book "Violent Python" by TJ O’Connor for Python Programmers. Maybe is you). Python is a hacker's language evidently. It's great language. Python provides an excellent development platform to build your own offensive tools. If you are running Linux, odds are it is already installed on your system. While a wealth of offensive tools already exist, learning Python can help you with the difficult cases where those tools fail.

Note for you - it's not previous book "Python Programming for Hackers and Reverse Engineers" by author Justin Seitz. I wrote about it earlier.

Look here.

Chapter 1 introduces for us Python basics. If you are know it so you can skip this light chapter.

Chapter 2 introduces the idea of using the Python programming language to script attacks for penetration testing. The examples in the chapter include building a port scanner, constructing an SSH botnet, mass-compromising via FTP, replicating Conficker, and writing an exploit.

Chapter 3 utilizes Python for digital forensic investigations. This chapter provides examples for geo-locating individuals, recovering deleted items, extracting artifacts from the Windows registry, examining metadata in documents and images, and investigating application and mobile device artifacts.

Chapter 4 uses Python to analyze network traffic. The scripts in this chapter geo-locate IP addresses from packet captures, investigate popular DDoS toolkits, discover decoy scans, analyze botnet traffic, and foil intrusion detection systems.

Chapter 5 creates mayhem for wireless and Bluetooth devices. The examples in this chapter show how to sniff and parse wireless traffic, build a wireless key-logger, identify hidden wireless networks, remotely command UAVs, identify malicious wireless toolkits in use, stalk Bluetooth radios, and exploit Bluetooth vulnerabilities.

Chapter 6 examines using Python to scrape the web for information. The examples in this chapter include anonymously browsing the web via Python, working with developer APIs, scraping popular social media sites, and creating a spear-phishing email.

In the Final chapter, Chapter 7, we build a piece of malware that evades antivirus systems. Additionally, we build a script for uploading our malware against an online antivirus scanner.

It's cool book for cool guys.

Monday, 17 June 2019

Настройка https соединения для сервера Zabbix.

Всем привет.

Продолжаем тему HTTPS. Прошлый раз у нас был NetFlow Analyzer, а сегодня будет сервер Zabbix.

Защищенное HTTPS соединение, в настоящее время, является важным элементом для обеспечения безопасной передачи данных между клиентом и сервером. Для создания такого соединения необходимо установить на сервер SSL-сертификат, который можно или купить, или создать самому, используя собственный центр сертификации.

Для начала необходимо скопировать на сервер с Zabbix сертификат и закрытый ключ в директорию /etc/ssl/:

#копируем сам сертификат в директорию /etc/ssl/certs/ 
cp server.pem /etc/ssl/certs/ 
#копируем закрытый ключ в директорию /etc/ssl/private/
cp server.key /etc/ssl/private/
#делаем доступным файл закрытого ключа только для Администратора
chmod 0600 /etc/ssl/private/server.key

Необходимо активировать mod_ssl и включить HTTPS по умолчанию. Для этого в консоли LInux (из-под root) вводим следующие команды:
a2enmod ssl
a2ensite default-ssl

Для включения Alias (для настройки редиректа с http и https) необходимо выполнить команду:
a2enmod alias

Осталось настроить конфиги и перезапустить сервер. 

В файле /etc/apache2/sites-available/000-default.conf вносим следующие изменения:
 ServerName zabbix.forza.com
 ServerAlias www.zabbix.forza.com
 Redirect permanent / https://forza.com
 DocumentRoot /usr/share/zabbix

В файле /etc/apache2/sites-available/default-ssl.conf включаем SSLEngine и указываем путь до сертификата и закрытого ключа:
 SSLEngine on
 SSLProtocol all -SSLv2
 SSLCertificateFile      /etc/ssl/certs/server.pem
 SSLCertificateKeyFile /etc/ssl/private/server.key
 DocumentRoot /usr/share/zabbix

В файле Ports.conf комментируем строку чтобы наш сервер больше не слушал http:
#Listen 80

В принципе настройка HTTPS на этом завершена, перезапускаем сервис Apache:
service apache2 restart

Все готово.

Saturday, 15 June 2019

NetFlow Analyzer и SSL.


Всем привет.

Была у меня необходимость выполнить перевод доступа к frontend-у NetFlow Analyzer на SSL.

Инструкция разработчика пишет что надо выполнить два шага:
- сгенерировать сертификат server.keystore
- изменить файл  server.conf в том плане чтобы закрыть секцию отвечающую за прослушивание порта 8080 и открыть секцию отвечающую за прослушивание порт 8443.

Так и делаем, не забывая оглядываться.

Инсталлируем JRE если JAVA еще не установлена на сервере NetFlowAnalyzer-а.

С помощью утилиты keytool создаем самоподписанный сертификат для приложения Java. Для этого используется та же команда,  что и для создания новой пары ключей, но с параметром days, задающим срок действия сертификата. Данная команда создаст пару 2048-битных RSA-ключей, действительных на протяжении 365 дней, с указанным псевдонимом в заданном файле ключей (server.jks):

%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA –validity 365  -keystore server.jks

Копируем наш сертификат под именем server.keystore в <NetFlowAnalyzer_Home>/server/default/conf

Далее в файле server.conf находим  секцию «Define a non-SSL Coyote HTTP/1.1 Connector on port 8080» и комментируем всю секцию коннектора

 <!-- Connector URIEncoding="UTF-8"
acceptCount="100"
connectionTimeout="20000"
debug="3"
disableUploadTimeout="true"
enableLookups="false"
maxSpareThreads="75" maxThreads="150" minSpareThreads="25"
port="8080" redirectPort="8443"/ -->

Далее находим  секцию «Define a SSL Coyote HTTP/1.1 Connector on port 8443» и снимаем комментарий всю секцию коннектора

    <Connector port="8443"
SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" address="0.0.0.0" clientAuth="false"
compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024"
connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false"
keystoreFile="./conf/server.keystore" keystorePass="Iloveforza"
maxSpareThreads="75" maxThreads="150" minSpareThreads="25"
noCompressionUserAgents="gozilla, traviata"
protocol="HTTP/1.1" scheme="https" secure="true" sslProtocol="TLS"/>
 

При этом не забываем указать пароль keystorePass который мы указывали при генерации сертификата.

Перезапускаем службу «NetFlow Analyzer».

Теперь frontend нашего NetFlowAnalyzer-a откликается на https://forzaserver:8443

Все.

Версия на печать

Популярное

Медиа облако