Wednesday 25 September 2019

Полезные файлы для SCCM.

Всем привет.

Как известно, через консоль SCCM в инвентаризацию файлов можно добавить определённые папки, но нельзя исключить какие-то папки или диски (например, это большой файловый архив, папка с инсталляционными файлами на сервере и т.п.). Сделать это можно, создав скрытый пустой файл Skpswi.dat и поместив его в корень диска или папки клиента, которые нужно исключить из инвентаризации файлов.

Кроме это есть еще пару файлов с не менее важной миссией. 

Размещение пустого файла с именем NO_SMS_ON_DRIVE.SMS запрещает SCCM размещать свои файлы при развертывании на вашем ресурсе.

При устранении неполадок в клиентском программном или аппаратном обеспечении клиента ConfigMgr может потребоваться сохранить файлы XML, которые содержат сведения о том, что было обнаружено при последнем сканировании (независимо от того, было ли сканирование полным или просто дельта). Размещение файлика с именем ARCHIVE_REPORTS.SMS в %systemroot%\ccm\inventory\temp\ позволит собрать такие отчеты в одном месте. После проведения диагностики надо не забыть его удалить ибо такой подход нагружает систему.

Monday 23 September 2019

Проверка членства в группах администрирования.

Привет, привет.

Время от времени необходимо проверять членство в группах администрирования вашего домена. Особенно это полезно после перехода-увольнения одного из администраторов.

Для начала получим список групп с вхождением слова "Admin":

Get-ADGroup -filter 'Name -like "*Admin*"' | Select name

Далее следует проверить главные группы администрирования:

Get-ADGroupMember "Domain Admins" | Select name,SamAccountName
Get-ADGroupMember "Administrators" | Select name,SamAccountName

А также все остальные группы в зависимости от результата первого запроса:

Get-ADGroupMember "Local-Admins" | Select name,SamAccountName
Get-ADGroupMember "Hyper-V Administrators" | Select name,SamAccountName
Get-ADGroupMember "Key Admins" | Select name,SamAccountName
и т.д.

Также неплохо было бы глянуть кто находится в группе с правами удаленного подключения
(Remote) к хостам домена:

Get-ADGroup -filter 'Name -like "*Remote*"' | Select name
Get-ADGroupMember "Remote Desktop Users" | Select name

Ну а если есть кто подозрительный то его следует отдельно проверить на членство
в группах администрирования:

get-ADUser UserName -property MemberOf | foreach {$_.MemberOf -like "*Admin*"}


Saturday 21 September 2019

Netflow и Syslog рядом.

Всем привет.

Для анализа работы сети полезно анализировать трафик проходящий через маршрутизаторы сети. Полагаю у вас есть парочка пограничных Cisco. Сами Cisco придумали технологию NetFlow. NetFlow представляет собой продвинутую систему сбора статистики о трафике на интерфейсах оборудования Cisco

Для анализа потоков NetFlow я выбрал NetFlow Analyzer. Система NetFlow Analyzer состоит из http-сервера, работающего по умолчанию на порту TCP 8080, к нему подсоединяются браузером для просмотра отчётов и администрирования, и сервера для сбора статистики, работающего по умолчанию на порту UDP 9996. 

Для того чтобы сервер смог собирать статистику с оборудования прежде всего на каждом из устройств Cisco нужно настроить NetFlow-экспорт данных трафика. Эта процедура состоит из двух шагов.

1. На каждом сетевом интерфейсе, с которого будет осуществляться сбор статистики, нужно прописать следующее (предполагается, что мы уже зашли командами conf t/ interface {interface} {interface_number}):

router(conf-if)#ip route-cache flow
router(conf-if)#bandwidth
router(conf-if)#exit

Лучше всего сконфигурировать это сразу на двух интерфейсах роутера, тогда ManageEngine NetFlow Analyzer будет корректно показывать и входящий, и исходящий трафик. Команда bandwidth, указывающая пропускную способность в килобитах/сек не обязательна, но желательна - она используется  в дальнейшем для построения %-ных отчётов и графиков загрузки канала интерфейса.

2. Настройка для роутера в целом сервера сбора трафика  на сервер на котором пашет NetFlow Analyzer. Для этого в конфигурацию добавляются следующие команды:

router(config)#ip flow-export destination 192.168.1.10 9996

Здесь 192.168.1.10 как раз указывают на мой сервер NetFlow Analyzer.

router(config)#ip flow-export version 5

При этом можно использовать параллельно и общепринятый трансфер логов в Syslog сервер. Настройка Syslog-логирования в Cisco не менее простая.

router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

router(config)#logging trap ?
  <0-7>          Logging severity level
  alerts         Immediate action needed           (severity=1)
  critical       Critical conditions               (severity=2)
  debugging      Debugging messages                (severity=7)
  emergencies    System is unusable                (severity=0)
  errors         Error conditions                  (severity=3)
  informational  Informational messages            (severity=6)
  notifications  Normal but significant conditions (severity=5)
  warnings       Warning conditions                (severity=4)

router(config)#logging trap debugging
Можно указать другой уровень логирования, например только ошибки 3.

router(config)#logging facility local2
Желательно чтобы local2 был свободен на сервере Syslog-a.

router(config)#logging 192.168.1.11
Здесь 192.168.1.11 как раз указывают на мой сервер Syslog-a. Для теста я взял простой Visual Syslog Server.

router(config)#exit

Теперь собираем информацию по нашим маршрутизаторам, строим отчеты, анализируем. На сегодня все.

Friday 20 September 2019

Запрещаем Simple Bind.

Всем привет.

Есть такая неприятная штука как Simple Bind. Simple Bind с точки зрения безопасности опасен тем, что сервисы, обращаясь к PDC по протоколу LDAP передают учетные данные вместе с паролями в открытом текстовом виде. Такие сервисы необходимо переконфигурировать на использование протокола LDAPS а при невозможности сделать это – принять другие меры по защите трафика и понизить привелегии проблемной учетной записи до минимально необходимых.

Для начала логирования событий Simple Bind нужно поменять значение ключа реестра на PDC.


Изменения применяются сразу, перезагрузка сервера не требуется.

Thursday 19 September 2019

Отключаем WebRTC.

Всем привет.

WebRTC (Web Real-Time Communication) — технология с открытым исходным кодом, позволяющая передавать потоковые данные между браузерами по технологии «точка-точка» (p2p).

WebRTC встроен по умолчанию в последних версиях Firefox, Chrome/Chromium, Opera и позволяет производить соединение между двумя и более браузерами для видео/аудио-звонков и не только.

Почему не безопасно?

Дело в том, что для соединения по принципу p2p необходимо знать реальный IP-адрес и WebRTC эту информацию бесстыдно сливает. Даже если вы сидите под TOR/VPN то не составит особого труда узнать ваш локальный IP-адрес в сети и на стороне, например, VPN-сервера. А с использованием уязвимостей можно определить ваш реальный IP, за которым вы скрываетесь. Так я и не скрываюсь.)

Как отключить вручную?

В Google Chrome перейти на chrome://flags и в настройках “Anonymize local IPs exposed by WebRTC” поменять флаг на Enabled.

В Mozilla Firefox перейти на about:config и в настройках “media.peerconnection.enabled” поменять флаг на Enabled.

Wednesday 18 September 2019

Rogue System Sensor.

Всем привет.

В McAfee есть весьма полезная опция - Rogue System Sensor. Это опция которая позволяет вам организовать поиск хостов в вашей сети, которые не пока имеют отношения к защите McAfee. Т.е. на них по забывчивости, или другой причине, не установлен агент McAfee. Так вот Rogue System Sensor устанавливается на выборочные хосты и сканирует подсеть хоста на предмет таких сироток.

Результат попадает в панель Detected Systems. К сожалению туда попадает все до чего Rogue System Sensor смог дотянутся, т.е. и линукс хосты и активное оборудование и принтера, и даже смартфоны. Поэтому работу Rogue System Sensor лучше фильтровать заранее  с помощью исключения подсетей из скана либо с помощью фильтра по OUI.

The OUI (Organizational Unique Identifier) is used to identify the vendor, manufacturer or other organization of a particular piece of equipment. ePO uses this to identify the vendor of a specific network interface controller (NIC) whether physical or virtual. This information is maintained by the IEEE Registration Authority.

Самое полезное это то что прямо с панели Detected Systems вы можете инсталлировать агента на беспризорные хосты. Однако тут могут возникнуть проблема - агент по разным причинам может не установится. 

Сообщения неудачи могут говорить о многом, каждый случай приходится разбирать отдельно.

"Не удалось проверить подлинность удаленной системы, системная ошибка: Параметр задан неверно."
Причины:
-хост назначения не является Windows хостом. 
-хост назначения недоступен. 
-указаны не верные креденшелы для выполнения операции. 

"Не найдено сетевое имя ИЛИ Не найден сетевой путь."
Причина - хост назначения недоступен. 

Бывают и другие сообщения, но реже, их анализ проведу позже.
Успехов.

Tuesday 17 September 2019

5 правил устойчивости к стрессам.

Всем привет.

Случайно наткнулся на  заметку бывалого "Как сисадмину противостоять стрессам"

И знаете, автор во многом прав. Слово «стресс» уже давно вышло за рамки медицинской терминологии. Сейчас это практически синоним современной жизни, но как же иногда хочется тишины и покоя. Тем более что в требованиях к соискателям на многие вакансии повсеместно пишут опцию "быть стрессоустойчивым". Современный кошмар?)

Так вот, автор выделяет пять правил которые помогают сисадмину выжить. Выжить на работе, ибо в современной жизни мы на работе проводим больше времени чем вне ее. А сисадмина могут достать и среди ночи, и в отпуске. Приходиться с этим жить(.

Правило первое: «Отбивайся».

100%, не бойтесь показаться кому-то не хорошим парнем. Расставляйте правильно приоритеты и старайтесь чтобы эти приоритеты ваш руководитель внезапно не менял по своему видению. Обозначьте и стойко защищайте свою зону ответственности. Не становитесь в позицию "чего изволите" ибо очень быстро на вашей шее будут сидеть все подряд. А рабочего времени у вас не прибавиться. И к тому же одну и ту же проблему решать для одного и не решать для другого пользователя чревато. Желательно чтобы все пользователи для вас были равны. А еще лучше приручайте всех обращаться в сервисдеск, если он у вас есть. Самое плохое когда пользователь указывает вам как именно вы должны решать его проблему - таких надо ставить на место мягко и безотлагательно!

Правило второе: «Делегируй».

Это уже как повезет. Будет ли у вас возможность делегировать кому-либо то что пришло вам. Тут первую скрипку играет ваш линейный руководитель и именно его вы должны убедить что вот эту работу надо перепоручить другому отделу или смежникам. Иначе будете отвечать на весьма странные вопросы по поводу кондиционеров или вентиляторов.

Sunday 15 September 2019

OneDrive как сетевой ресурс.

Всем привет.

При использовании сервиса "OneDrive для бизнеса" частенько может пропадать связь с ресурсом или нужным документом. Или пользователю неверно нарезали права доступа. Может потребоваться определенное время для решения такой проблемы.

В первом приближении в качестве временного решения (и проверки его прав на ресурс) можно дать сетевой доступ как к обычному сетевому ресурсу. Начинаем подключение сетевого диска.


Выбираем "Подключиться к web-сайту..."


А далее указываем адрес web-ресурса через http.

Успехов.

Saturday 14 September 2019

С днем Программиста!

Их не понимают, их тихо боятся, им громко завидуют, к ним бегут за советом, на них ворчат и надеются одновременно. Их считают не от мира сего, хотя все уже давно не могут без этого мира жить. Они - это Программисты. Хотя сейчас имеющих отношение к ИТ намного больше и программисты немного затерялись среди других около ИТ-специальностей, но без них никак - код создают именно они. 


И хотя я сам уже давно не кодирую, сменил профиль, но Всех с кем творили, с кем сражались с чужим кодом и писали свой, причастных к этому процессу в прошлом и настоящем. Всех вас с праздником Программиста! 

Чудный 256-й день года, который к тому же пятница и 13-е.

Friday 13 September 2019

Две раскладки клавиатуры или три?

Всем привет.

Случается что в вашей системе вмеcто двух раскладок клавиатуры их несколько.

Начиная с релиза 1803 в Windows 10 появилась проблема: невозможно удалить лишний язык - кнопка удаления просто не активна. Гуру утверждают что решение проблемы возможно только с помощью команд powershell.

Запустите Windows PowerShell правами администратора.

Выведите список установленных в Windows 10 языков командой:
Get-WinUserLanguageList

Запомните LanguageTag языка который вам не нужен и вы его хотите удалить (в моем случае это был ru-UA).

Далее надо последовательно выполнить несколько команд:
$LanguageList = Get-WinUserLanguageList
$DeleteLang = $LanguageList | where LanguageTag -eq "ru-UA"
$LanguageList.Remove($DeleteLang)
Set-WinUserLanguageList $LanguageList –Force

Будьте внимательны указывая LanguageTag а так же при копировании и вставке последней строки, иногда теряется тире перед  Force.

На будущее - не меняйте ничего в процессе установки ОС и делайте все языковые настройки уже после инсталляции. Также после удаления языка не забудьте новый набор языковых параметров скопировать в "Экран приветствия" и "Новый профиль пользователя".

Wednesday 11 September 2019

Запрос Get-WinEvent из разных журналов.

Всем привет.

Есть хорошая новость.

Только вот закончил проверку Powershell-запроса определенных событий с контроллера домена через командлет Get-WinEvent из разных журналов. Работает!

В простейшем виде код запроса выглядит так:

$filterXml = @"
<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Microsoft-Windows-Sysmon/Operational">*[System[(EventID=2) and TimeCreated[timediff(@SystemTime) &lt;= 3600000]]]</Select>
    <Select Path="Security">*[System[((EventID &gt;= 4624 and EventID &lt;= 4627)) and TimeCreated[timediff(@SystemTime) &lt;= 3600000]]]</Select>
  </Query>
</QueryList>
"@

$Pdce = (Get-AdDomain).PDCEmulator

$Events = Get-WinEvent –FilterXml $filterXml -ComputerName $Pdce -MaxEvent 50

$Events | select TimeCreated,ID,LogName,message

Так выполняется выборка 50-ти последних событий одновременно из журнала Microsoft-Windows-Sysmon/Operational и журнала Security сгенерированных в течение часа.

Если надо сделать вывод подробнее и с нумерацией вывода то пишем так:

$global:i=0
$Events | select @{Name="#";Expression={$global:i++;$global:i.Tostring()}},TimeCreated,ID,LogName,message | fl

Что здесь нового? Теперь можно скоррелировать события не только из разных журналов, но из разных источников (хостов). 

Во первых, можно (и модно) использовать Sysmon для фиксации дополнительных событий происходящих с процессами, файлами, реестром и еще бог знает чем из того что происходит в наблюдаемой системе.

Во вторых, можно использовать "Перенаправление событий" в политиках.

В результате все интересные события попадают на один хост, где и коррелируются одним запросом в Powershell.

Успехов.

Tuesday 10 September 2019

Лучшие бесплатные системы мониторинга ИТ-инфраструктуры.

Всем привет.

Существует множество программных продуктов, как коммерческих, так и бесплатных (с открытым исходным кодом), которые могут помочь вам осуществлять мониторинг вашей ИТ инфраструктуры и уведомлять о любых сбоях. Учитывая большое количество предложений на рынке, не просто найти нужный вам вариант, который впишется в ваш ценовой диапазон. Хорошие новости для многих из нас заключаются в том, что на рынке доступны мощные решения для мониторинга ИТ-инфраструктуры с открытым исходным кодом. Спасибо сообществам разработчиков программного обеспечения с открытым исходным кодом за их работу.

Давайте взглянем на лучшие варианты из доступных на рынке бесплатных систем мониторинга ИТ-инфраструктуры и определим, может что-то подойдет и нам.

Nagios

Сообщество Nagios (https://www.nagios.org/), ведущее свою историю с 1999 года, является одним из лидеров отрасли в области решений для мониторинга ИТ-инфраструктуры любого масштаба — от малого до корпоративного уровня.

Программное решение для мониторинга компьютерных систем и сетей Nagios способно осуществлять мониторинг практически любых компонентов, включая сетевые протоколы, операционные системы, системные показатели, приложения, службы, веб-сервера, веб-сайты, связующее программное обеспечение (Middleware) и т. д..

Базовая функциональность системы для мониторинга Nagios реализована на ядре Core 4, который обеспечивает высокий уровень производительности за счет меньшего потребления ресурсов сервера.



Вы можете, используя плагин, интегрировать его практически с любым типом стороннего программного обеспечения, причем, скорее всего, этот плагин кто-то уже написал (https://www.nagios.org/projects/nagios-plugins/).

Если вы используете связующее программное обеспечение (Middleware), вы можете использовать Nagios для мониторинга WebLogic, WebSphere, JBoss, Tomcat, Apache, URL, Nginx и т. д..

Monday 9 September 2019

Remove background from image.

Привет всем.

Как известно самой востребованной операцией в графическом дизайне является удаление фона картинки. Своего рода начало творчества. Есть мастера этого дела, которые искусно владеют лассо в Фотошопе или в другом редакторе. А потом также искусно с помощью фильтров аккуратно заглаживают края перехода в область прозрачности.

У меня это получается на твердую четверку в Paint.NET. Так я сам себя оцениваю. Пробовал тоже самое сделать и в PowerPoint. Тоже неплохо. Но мороки много...

И вот на днях нашел онлайн-сервис Remove Background from Image который это делает на ура. Особенно его искусство проявляется в удаление фона на фото с девушками с развевающимися волосами. Оцените результат сами.


Сервис бесплатен, цены за услуги появляются тогда когда вам нужно такую обработку поставить на поток. И при обработке больших фотографий он уменьшает их размер на выходе. А в целом обработка идеальна. Рекомендую!

Успехов.

Saturday 7 September 2019

WSUS или SCCM ?

Всем привет.

Разливая новую ОС Windows имеем необходимость обновить ее до последней даты. Что занимает некоторое время. Это уже тренд дня. 

Есть два варианта это сделать - с помощью WSUS или с помощью SCCM.  Они оба сделают свое дело на ура. Но тут важно как быстро. Особенно это актуально если вы еще разлили и полный пакет MS Office 2016.

Итак независимо от установленной в вашем домене политики можно пойти путем WSUS.
Выполняем ряд команд:

net stop wuauserv
regedit.exe -s WSUS-NEW.reg
net start wuauserv
wuauclt.exe /resetauthorization /detectnow

В WSUS-NEW.reg прописаны параметры реестра на ваш сервер WSUS. И тут же вызываем "Проверить обновления."

Или пойти путем SCCM. Вызываем из Панели управления Configuration Manager. В нем идем на вкладку "Actions" и там выполняем два действия "Run now". Контроль выполнения можно оценить в Software Center на страничке Updates.


Что по времени выполняется быстрее, WSUS или SCCM, оцениваете у себя сами.

Успехов.

Friday 6 September 2019

Кроличья нора и ярлык.

Всем привет.

Приходилось мне править ярлык закрепленного web-сайта. А сегодня попался такой ярлык который работает, но не ведет к своему файлу.

Конечно вы скажете что есть кнопка "Расположение файла", клик по которой и покажет мне то что я хочу. Как бы не так. Клик по ней перебрасывает меня в web-браузер ибо тип ярлыка очень похож на ярлык закрепленного web-сайта.


Однако не все потеряно, узнать куда же ведет нас "кроличья нора" можно по кнопке "Сменить значок". Где первым делом видно из какого же файла был взята иконка для ярлыка.

Успехов.

Tuesday 3 September 2019

MS Outlook и отложенный старт отправки - повторение.

Всем привет.

Разок я решал вопрос отправки отложенного письма. Вчера пришлось к нему вернуться.

Напомню вам что если требуется, что бы ваше электронное письмо отправилось адресату в назначенный день и час, то в программе Microsoft Outlook имеется возможность запрограммировать время и дату отправки вашей корреспонденции. После того как вы создадите сообщение и если требуется вложив в него необходимые файлы, нажмите на пункт меню "Параметры". Затем выберете пункт "Задержка доставки". 

В открывшемся окне отметьте пункт "Не доставлять до:". 


После этого установите требуемую дату и время отправки сообщения, выбирая нужные пункты в раскрывающихся окошках. 

Sunday 1 September 2019

Идентификация интерфейсов в NetFlow Analyzer.

Всем привет.

Когда статистика моего роутера Cisco появляется в NetFlow Analyzer, то она прежде всего привязана к интерфейсам самого роутера. Эти интерфейсы видны под странными именами IfIndexN, где N-цифра. Какой реально это интерфейс на роутере, не сразу очевидно:



Прояснить ситуацию может команда show snmp mib ifmib ifindex:

router#show snmp mib ifmib ifindex
FastEthernet0: Ifindex = 1
Null0: Ifindex = 6
FastEthernet1: Ifindex = 2
Vlan1: Ifindex = 7
FastEthernet2: Ifindex = 3
FastEthernet3: Ifindex = 4
FastEthernet4: Ifindex = 5
Tunnel160: Ifindex = 8

Успехов.

Версия на печать

Популярное